Identitätsprüfung: Missbrauch von GDPR-Anfragen vermeiden
- Autor: Niklas Drexler
- Letzte Aktualisierung: 02.09.2019
- Kategorie: Verbraucherrechte; Datensicherheit
Die Rechte aus der Datenschutz-Grundverordnung sollen die Transparenz der Datenverarbeitung gewährleisten und es dem Einzelnen ermöglichen, mitzubestimmen, welche Informationen über ihn gespeichert werden. Die Antworten auf entsprechende Anfragen können sensible Informationen enthalten, wenn nicht sogar eine Kopie aller gespeicherten Daten. Wenn beispielsweise eine Zugangsanfrage von jemandem gefälscht wird, der die Identität einer anderen Person vortäuscht, können die GDPR-Rechte für einen Eingriff in die Privatsphäre missbraucht werden - und zu einer unbefugten Weitergabe personenbezogener Daten an Dritte führen.
Die EU-Datenschutzgrundverordnung (GDPR) gewährt Einzelpersonen mehrere Rechte in Bezug auf ihre personenbezogenen Daten gegenüber jedem, der sie verarbeitet. Betroffene Personen haben das Recht, Auskunft über die sie betreffenden Daten zu verlangen und diese in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten (Datenübertragbarkeit). Darüber hinaus haben sie unter bestimmten Voraussetzungen das Recht auf Löschung, auf Berichtigung unrichtiger Daten, auf Einschränkung der Verarbeitung und auf Widerspruch gegen die Verarbeitung.
Wie die britische Datenschutzaufsichtsbehörde und eine der deutschen Behörden ausdrücklich einräumen, rechtfertigt die Gefahr des Missbrauchs durch Dritte Maßnahmen zum Nachweis der Identität einer Person, die ihre Rechte nach der Datenschutz-Grundverordnung wahrnimmt. Wir haben ihre Ratschläge zusammengefasst, je nachdem, über welchen Medienkanal die Anfrage gestellt wurde. Ein Spoiler vorweg: Es gibt keine eindeutige Antwort, alles hängt, wie so oft im Datenschutzrecht, von einer individuellen Risikobewertung ab, insbesondere von der Art der betroffenen Daten.
Antrag per E-Mail
Bei einer Zugangsanfrage per E-Mail sind zwei Fälle zu unterscheiden, je nachdem, ob die Anfrage von einer E-Mail-Adresse stammt:
- Eine E-Mail-Adresse, die dem für die Verarbeitung Verantwortlichen bekannt ist und die zuvor verifiziert wurde, z. B. durch Anklicken eines Bestätigungslinks während eines Registrierungsprozesses. In diesem Fall kann die Identität als verifiziert angesehen werden.
- die dem für die Datenverarbeitung Verantwortlichen unbekannt ist und daher noch nicht überprüft wurde. In diesem Fall können die für die Datenverarbeitung Verantwortlichen einen zusätzlichen Identitätsnachweis verlangen.
Wenn ein zusätzlicher Nachweis verlangt wird, können die Unternehmen zwischen verschiedenen Maßnahmen wählen:
Wenn zusätzliche Nachweise erforderlich sind, können die Unternehmen zwischen verschiedenen Maßnahmen wählen:
- Die betroffene Person kann aufgefordert werden, eine geschwärzte Kopie ihres Ausweises vorzulegen, aus der nur Name, Postanschrift, Geburtsdatum und Gültigkeitsdauer hervorgehen. Für den Erhalt solcher Dokumente müssen hohe Datensicherheitsstandards eingehalten werden. Die für die Datenverarbeitung Verantwortlichen können entweder einen öffentlichen Schlüssel für einen Ende-zu-Ende-verschlüsselten Versand veröffentlichen oder dem Anfragenden eine browserbasierte Lösung zum Hochladen des Dokuments in einer HTPPS-Umgebung zur Verfügung stellen.
- Die Identifizierung ist auch über zwischengeschaltete Diensteanbieter im Rahmen des Standards für elektronische Identifizierungs-, Authentifizierungs- und Vertrauensdienste (eIDAS) möglich. eIDAS ist ein europäischer Rechtsrahmen für einen sicheren Identitätsnachweis, der z. B. durch den deutschen "Online-Ausweis" in die Praxis umgesetzt wird. eIDAS-Lösungen sind bei EU-Kunden noch nicht sehr beliebt und verbreitet.
- Eine weitere Möglichkeit ist der Einsatz von Video-Ident-Verfahren. Bei diesem Verfahren startet der Anfragende einen Videoanruf, bei dem Fotos von der Person und ihrem Ausweis gemacht werden. Falls Ihr Unternehmen das Identifizierungsverfahren auslagert, sollte bei der Auswahl des Dienstleisters auf dessen Datenschutzstandards geachtet werden.
Bei der Entscheidung, welches dieser Verfahren zum Einsatz kommt, sollten Unternehmen die Art der Daten und den Grad der Sicherheit, den das jeweilige Verfahren bietet, berücksichtigen. Handelt es sich beispielsweise um sensible Daten wie Gesundheitsinformationen, private Kommunikation auf einer Dating-Plattform oder umfangreiche Nutzerprofile, ist es ratsam, das Video-Ident-Verfahren anzuwenden, da es ein hohes Maß an Sicherheit bietet. Unternehmen, die mit Daten mit geringem Risiko zu tun haben, können sich auf Ausweiskopien verlassen, die für die Kunden weniger belastend und für das Unternehmen wahrscheinlich kostengünstiger zu überprüfen sind.
Anfrage über die Benutzeroberfläche
Der einfachste Weg, Zugang zu den Rechten der DSGVO zu gewähren, ist die Integration entsprechender Optionen in die App- oder Website-Schnittstellen von passwortgeschützten Login-Bereichen. Hat der Nutzer seine Identität durch Kenntnis des Passworts nachgewiesen, kann er in der Regel als identifiziert angesehen werden. Eine deutsche Aufsichtsbehörde bezeichnet den Einsatz der Zwei-Faktor-Authentifizierung jedoch als "wünschenswert", um die Risiken für Nutzer mit schwachen Passwörtern zu mindern.
Telefonische Anfrage
Wenn Kunden per Telefon Anfragen zur DSGVO stellen, können Unternehmen Standard-Sicherheitsfragen stellen, z. B. nach dem Geburtsdatum oder der Postanschrift, um die Identität des Anfragenden nachzuweisen. Eine deutsche Aufsichtsbehörde weist darauf hin, dass solche Informationen nicht "wirklich" geheim sind und dass ein solches Verfahren nicht angewandt werden sollte, wenn es sich um sensible Informationen handelt.
Anfrage per Post
Wenn Unternehmen Anfragen zur Datenschutz-Grundverordnung per Post erhalten und der Anfragende angibt, dass er oder sie auch weiterhin per Post kommunizieren möchte, können die Unternehmen antworten und eine ausgedruckte und geschwärzte Ausweiskopie verlangen, die nur Angaben zu Name, Postanschrift, Geburtsdatum und Gültigkeitsdauer enthält.
