Im kürzlich erschienenen Tätigkeitsbericht des Bayerisches Landesamts für Datenschutzaufsicht (BayLDA) befasst sich die Datenschutzbehörde auch mit der Frage, ob der Betroffene bei einem Identitätsdiebstahl die Betroffenenrechte aus Art. 15 DSGVO wahrnehmen kann. Diskutiert wird hier die Problematik, wem die Daten eigentlich zugeordnet werden können und ob ggf. auch Daten des Diebes an das Opfer herausgegeben werden müssen. Häufig liegt der rechtlichen Problematik folgender Sachverhalt zu Grunde:
Die Identität einer Person wird genutzt, um bei einem Online-Versandhändler ein Kundenkonto anzulegen oder es wird ein bereits existierendes Kundenkonto einer Person genutzt, um Waren auf deren Kosten zu bestellen. Die Waren werden entweder an deren Anschrift oder eine andere, ggf. ihr unbekannte Adresse versendet. Nachdem der Inhaber der Identität von diesen kriminellen Aktivitäten Kenntnis erlangt hat, verlangt er nunmehr vom Online-Versandhändler Auskunft nach Art. 15 DSGVO zu allen Daten, die zu diesem Konto und den dazugehörigen Bestellungen geführt werden, also auch die Daten, die der Datendieb als Besteller angegeben hat (z.B. E-Mail-Adresse oder abweichende Lieferadressen). Der Online-Versandhändler verweigert die Auskunft mit dem Hinweis auf laufende Ermittlungen der Strafverfolgungsbehörden.
Wie steht es um das Auskunftsrecht?
Nachdem der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) in seinem Tätigkeitsbericht 2022 schon Stellung bezogen hat (wir berichteten), hat sich auch der Europäische Datenschutzausschuss Anfang 2023 in seinen Leitlinien zu diesem Thema geäußert (EDPD Guidelines on data subject rights, S.42).
Im Kern geht es um die Frage, ob der datenschutzrechtlich Verantwortliche bei Kenntnis des Identitätsdiebstahls Daten einer fremden Person (die des Diebes) an die anfragende Person, also an das Opfer, herausgeben muss. Gerade eine E-Mail oder eine abweichende Lieferadresse kann für das Opfer sehr wichtig sein, um den Täter zu identifizieren und weitere Schäden zu vermeiden.
Gemäß Art. 15 der DSGVO , kann die betroffene Person „…eine Bestätigung darüber verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden…“ (Art. 15 Abs. 1 DSGVO).
Zunächst geht der Wortlaut nicht ausdrücklich von Daten aus, die von der betroffenen Person stammen, sondern sie „betreffen“. Notwendig ist daher ein Mindestbezug zu der betroffenen Person, der so nicht weiter definiert und konkretisiert wird. Der Erwägungsgrund 63 der DSGVO kann in diesem Fall auch keine weitere Klarheit bringen. Dort heißt es u.a.
„Eine betroffene Person sollte ein Auskunftsrecht hinsichtlich der sie betreffenden personenbezogenen Daten […] besitzen“ und weiter „Jede betroffene Person sollte daher ein Anrecht darauf haben zu wissen und zu erfahren, insbesondere zu welchen Zwecken die personenbezogenen Daten verarbeitet werden und, wenn möglich, wie lange sie gespeichert werden, wer die Empfänger der personenbezogenen Daten sind, nach welcher Logik die automatische Verarbeitung personenbezogener Daten erfolgt und welche Folgen eine solche Verarbeitung haben kann, zumindest in Fällen, in denen die Verarbeitung auf Profiling beruht.“
Bei dieser sehr weiten Beschreibung der in Frage kommenden Daten liegt es nahe, dass auch Daten des Diebes an den Betroffenen herauszugeben sind, da ja der Diebstahl auch zu seinen Lasten gegangen ist.
Das Recht auf Auskunft nach Art. 15 DSGVO bezieht sich immer auf die personenbezogenen Daten, bei denen es sich nach Art. 4 Nr. 1 DSGVO um alle Informationen handelt, die sich auf identifizierbare natürliche Personen beziehen. Dies ist unproblematisch, wenn es sich um Daten des Identitätsinhabers handelt (also um dessen Name, Adresse oder Bankverbindung etc.). Soweit es sich aber um Daten des Datendiebs (z.B. E-Mail-Adresse oder abweichende Lieferadresse) handelt, könnte eingewendet werden, dass es sich um die Daten eines Dritten und nicht die des Identitätsinhabers handelt.
Einschätzung des Unabhängigen Datenschutzzentrums Saarland
Im Tätigkeitsbericht des Saarlandes 2020 folgt daraus, dass vom Dieb hinterlassene Daten dem Betroffenen zugeordnet werden können, da „der Datendieb diese Informationen mit dem Ziel hinzugefügt hat, dass diese Daten dem Identitätsinhaber zugerechnet werden und hat damit den Personenbezug zu dem Identitätsinhaber hergestellt. Folglich handelt es sich zumindest auch um Daten des Identitätsinhabers, die insofern auch zu beauskunften sind.“ (Tätigkeitsbericht des Saarlandes, 2020, S.112 f).
Insofern könnten die Daten, die aus der Sphäre des Diebes stammen oder auf dessen Identität hinweisen dann an den Betroffenen herausgegeben werden, wenn der Dieb sie dem Betroffenen zuordnen wollte, um sich so einen Vorteil zu verschaffen.
Differenziertere Ansicht des BayLDA
Das Bayerische Landesamt für Datenschutzaufsicht kommt in seinem Tätigkeitsbericht zu einem differenzierteren Ergebnis. Grundsätzlich handelt es sich in diesen Fällen um Daten nach Art. 4 Abs. 1 DSGVO, die sich auf den Betroffenen beziehen, also vom Umfang des Auskunftsersuchens nach Art. 15 DSGVO auch erfasst sind. Auch gilt allerdings die Ausnahme nach Art. 15 Abs. 4 DSGVO, nach der eine Auskunft dann nicht zu geben ist, wenn Rechte und Freiheiten anderer Personen betroffen sind. Hier wird dann der Tätigkeitsbericht noch einmal sehr deutlich: „Der Umstand, dass es sich bei den in Frage stehenden personenbezogenen Daten (auch) um personenbezogenen Daten anderer Personen handelt, führt für sich gesehen, nicht dazu, dass eine Auskunft nicht erteilt werden dürfte.“ (13. Tätigkeitsbericht des Bayerischen Landesamts für Datenschutzaufsicht, 2023, S. 27)
Bei dieser Ausgangslage ist es aber so gut wie ausgeschlossen, dass die Auskunft aufgrund der Rechte und Freiheiten des Diebes zu Lasten des Betroffenen ausfällt, so dass „…diese Abwägung regelmäßig zu Gunsten des Opfers…“ getroffen wird.
Dennoch kann es auch hier Konstellationen geben, bei denen eine Datenweitergabe an das Opfer ggf. problematisch sein kann, z.B. wenn mehrere Opfer vorhanden sind oder irrtümlich gehandelt wurde. In solchen Fällen müssen deren Rechte berücksichtigt werden und die Auskunft ggf. so gestaltet werden, dass Informationen über Dritte nicht erkennbar sind.
Realist
19. August 2024 @ 18:41
Wer selbst mal Opfer eines Identitätsdiebstahls wurde und versucht hat Auskunft nach Art. 15 DS-GVO zu erhalten und bei Nichterfüllung die zuständige Aufsichtsbehörde eingeschalten hat, weiß dass es speziell US-Unternehmen gar nicht interessiert, ob man Opfer ist und ein Anrecht auf die Auskunft hat oder nicht.
Das bringt kein Geld. Und was kein Geld bringt, aber auch keine Konsequenzen (zumindest sind die Aufsichtsbehörden in Luxemburg und Niederlande) wird auch nicht beantwortet. So einfach ist die Realität. Da kann man auf sein Recht nach Art. 15 DS-GVO bestehen so lange man will, die Aufsichtsbehörden an seiner Seite haben, es bringt nichts.
Thorsten
16. August 2024 @ 11:37
Dies sind genau solche Diskussionen, die den normalen Bürger glauben lassen Datenschutz ist nur Schwachsinn. Vielen Dank für die (für uns Fachleute) interessante Darstellung.
Anonymous
11. August 2024 @ 13:50
Wenn kein offensichtlicher und vernünftiger Zweifel an einer rechtswidrigen Handlung durch den Angreifer besteht, ist es selbstverständlich, dass das Opfer der kriminellen Handlung einen Anspruch auf Herausgabe hat. Das ergibt sich trotz des Artikeldickichts der DSGVO und seiner unendlichen teilweise herbeihalluzinierten Graubereiche auch aus Art. 1 und 8 der Grundrechtscharta der EU. Ansonsten auch mal ausnahmsweise aus dem gesunden Menschenverstand, soweit er denn im Sinne des Menschenbildes des Grundgesetztes geschult ist. Daran kann sich auch ein Datenschutzbeauftragter orientieren. Wir betreiben keinen Datenschutz um Kriminelle zu decken, die unbescholtene Bürger zu ihren Opfern machen. Dass weiß ein DSB auch ohne vorher eine Stellungnahme einer Behörde zu erhalten. Die neigen leider nicht selten zu Übereifer, der den Datenschutz mehr schadet als nutzt.