Im aktuellen „Tätigkeitsbericht Datenschutz 2022“ des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) werden die in der Praxis vermehrt auftretenden Auskunftsansprüche bei Identitätsdiebstählen datenschutzrechtlich analysiert und bewertet. In vielen Fällen begehren die betroffenen (geschädigten) Personen von den Onlineshops oder Dienstleistern Auskunft über die Datenverarbeitung nach Art. 15 Abs. 1 DSGVO bzw. eine Kopie nach Art. 15 Abs. 3 DSGVO, um auf diese Weise nicht nur Kenntnis über die konkrete Datenverarbeitung, sondern auch über die Herkunft dieser Daten und damit auch über den*die mögliche(n) Täter*in zu erlangen. Schließlich kann dieses Wissen auch der Strafverfolgung sowie der Geltendmachung von zivilrechtlichen Ansprüchen gegenüber etwaig rechtswidrig handelnden Personen dienen.
Das datenschutzrechtliche Auskunftsrecht
Im europäischen Datenschutzrecht wird der von einer Datenverarbeitung betroffenen Person gem. Art. 15 Abs. 1 und Abs. 3 DSGVO ein Recht auf Auskunft über die Datenverarbeitung bzw. ein Recht auf Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, eingeräumt.
Bei einem Identitätsdiebstahl, bspw. der rechtswidrigen Beschaffung und Verwendung von fremden Personendaten für den Online-Einkauf oder Abschluss eines Vertrages, liegen jedoch einige Besonderheiten vor:
Zum einen könnten bestimmte (personenbezogene) Daten aus der Datenverarbeitung gar nicht zu der betroffenen (geschädigten) Person gehören, sondern den*die Täter*in betreffen, bspw. die IP-Adresse bei der Registrierung und Verwendung der Daten in einem Onlineshop. Solche Daten wären grundsätzlich nicht vom Auskunftsanspruch der geschädigten Person gem. Art. 15 Abs. 1 und Abs. 3 DSGVO umfasst – was wiederum für die verantwortliche Stelle vermutlich nicht ohne Weiteres zu erkennen sein dürfte. Sofern Abweichungen überhaupt erkennbar sind, bspw. beim Vorliegen einer verwendeten IP-Adresse aus einem anderen Land, einer ungewöhnlichen Lieferanschrift oder einer kurz zuvor geänderten E-Mail-Adresse bei einem schon länger bestehenden Kundenkonto, so dürften diese personenbezogenen Daten natürlich nicht an die anfragende Person herausgegeben werden. Bei einer Mitteilung dieser Informationen an die Person, die Opfer des Identitätsdiebstahls geworden ist, könnte dann theoretisch sogar eine Datenschutzverletzung gem. Art. 4 Nr. 12 DSGVO vorliegen. Bei professionellem Betrug werden die Täter*innen zumeist aber anders agieren und keine auffälligen Daten verwenden, sodass es für den Handel schwieriger ist, den Identitätsdiebstahl zu erkennen.
Zum anderen sieht das Auskunftsrecht in Art. 15 Abs. 1 lit. g DSGVO vor, „wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten“ zu übermitteln. Daraus könnte abgeleitet werden, dass der Verantwortliche weitere Auskünfte über die Herkunft (Quelle) der Daten und folglich indirekt über den Tathergang zu erteilen hätte. Schließlich könnte sich das Auskunftsrecht damit auch auf Angaben über die Person erstrecken, die den Identitätsdiebstahl mutmaßlich begangen hat.
Schutz von Drittinteressen
Gleichwohl gilt es (direkt oder indirekt) die Einschränkung des Auskunftsrechts aus Art. 15 Abs. 4 DSGVO entsprechend zu berücksichtigen, wonach „das Recht auf Erhalt einer Kopie gemäß Absatz 3 […] die Rechte und Freiheiten anderer Personen nicht beeinträchtigen“ darf. Überdies ist zu diskutieren, ob die Wertung aus dieser Einschränkung (in Art. 15 Abs. 4 DSGVO) auch generell für die Auskunft nach Art. 13 Abs. 1 DSGVO greift, wofür zur Vereinheitlichung des Rechts bzw. der Einschränkung desselbigen einiges spricht. Andernfalls drohe auch eine Wertungslücke, wenn die Informationen zwar nicht in der Kopie, aber bei der Auskunft nach Art. 15 Abs. 1 DSGVO enthalten sein würden.
In einer anschließenden Interessenabwägung wäre daher zu prüfen, inwiefern die Herausgabe dieser Informationen zur Herkunft der Daten die Rechte und Freiheiten „anderer Personen“, in der Regel des*der Täter*in, schutzwürdig und vorrangig wären, sodass die Beauskunftung im Hinblick auf dessen*deren Daten abzulehnen wäre. Dabei könnte vorgetragen werden, dass kriminell handelnde Personen grundsätzlich weniger schutzwürdig sind und daher das Interesse der anderen betroffenen Person an der Herausgabe dieser Daten über die Quelle überwiegt. Ebenso gut könnte aber auch argumentiert werden, dass die Ermittlung dieses Sachverhalts und etwaige Herausgabeansprüche den strafrechtlichen Vorschriften unterliegen und den Strafverfolgungsbehörden vorbehalten sind. Mithin könnten auch unbeteiligte andere Personen, die ggf. Opfer einer weiteren Straftat sind, hiervon betroffen sein. Die Einschätzung der geringen Schutzbedürftigkeit von Straftäter*innen im Zusammenhang mit dem Auskunftsrecht führt zur Vorwegnahme einer Verurteilung – denn auch hier gilt die Unschuldsvermutung.
Lösungsweg
Die Hamburger Datenschutzaufsichtsbehörde verfolgt nun – völlig zu Recht – mit Verweis auf die bisherige Position einen pragmatischen Ansatz und lässt grundsätzlich den Anspruch auf Herausgabe dieser Daten der mutmaßlichen Täter*innen an das Opfer eines Identitätsdiebstahls zu.
So führt der Landesdatenschutzbeauftragte im aktuellen Tätigkeitsbericht hierzu aus:
„Bezogen auf die Herausgabe von Täter:innendaten, die dem Benutzerkonto zugeordnet werden können, besteht nach Auffassung des HmbBfDI grundsätzlich eine – zumindest mittelbare – Verbindung zwischen den verarbeiteten Daten und den geschädigten betroffenen Personen, da deren Identität für eine Datenverarbeitung von vermeintlichen Straftäter:innen missbraucht wurde. Die hierbei verarbeiteten Daten stehen inhaltlich in direktem Zusammenhang mit der begangenen Straftat und können Rechtsfolgen wie z.B. Zahlungsansprüche gegenüber den geschädigten betroffenen Personen auslösen. Die Interessen der Täter:innen sind auch nicht im Rahmen des Art. 15 Abs. 4 DSGVO zu berücksichtigen, weil sie aufgrund des deliktischen Verhaltens nicht schutzwürdig sind. Insofern ist es rechtmäßig, eine vollumfängliche Beauskunftung im Sinne des Art. 15 DSGVO zur Vorbereitung weiterer Rechtsmittel zu ermöglichen, um die Interessen der Geschädigten zu wahren. Dieser bereits langjährig angewandten Position des HmbBfDI hat sich nun auch der Europäische Datenschutzausschuss angeschlossen (EDSA Guidelines 01/2022 on data subject rights – Right of access vom 18.1.2022, S. 2; in der öffentlichen Konsultationsversion, S. 34).“ (Tätigkeitsbericht Datenschutz 2022, S. 63)
Hiermit legt der HmbBfDI den Anspruch auf Auskunft nach Art. 15 DSGVO relativ weit aus und spricht der betroffenen Person ein vorrangiges Interesse an der Herausgabe der Informationen zur Herkunft der Daten zu. Insbesondere Letzteres ist durchaus schlüssig, da etwaige Täter*innen bei einem Identitätsdiebstahl nicht schutzwürdig sein sollten.
Gleichwohl ergibt die Einschränkung aus Art. 15 Abs. 4 DSGO in vielen Fällen ebenfalls Sinn: Denn anders wäre dies unter Umständen bei irrtümlichem Handeln (bei einem gemeinsamen Account der Familie) oder Personen, die rechtmäßig handeln und bewusst „inkognito“ bleiben möchten (anonyme Spende/Schenkung oder Gewinnspielaktion), selbst wenn die begünstigte Person irritiert sein könnte über die Verwendung ihrer Daten. Zudem sollte das Ergebnis auch anders ausfallen, wenn die „anderen Personen“ hier ebenfalls Geschädigte von Straftaten sind, d. h. verschiedene geschädigte Personen involviert sind. Hier wären die Interessen der beteiligten Personen differenzierter auszutarieren – und möglicherweise eine Herausgabe der Information zur Quelle der Daten abzulehnen. Der Verantwortliche müsste sodann die teilweise Auskunftsverweigerung begründen können.
Fazit
Im Ergebnis ist der im aktuellen Tätigkeitsbericht beschriebene Ansatz der Hamburger Aufsichtsbehörde bei Identitätsdiebstählen zu begrüßen und führt zu einem weitreichenden Steuerungsinstrument aus den datenschutzrechtlichen Betroffenenrechten. Gleichwohl sollte eine Interessenabwägung auf Basis von Art. 15 Abs. 4 DSGVO differenziert vorgenommen werden.