Seit Inkrafttreten der Datenschutz-Grundverordnung können Betroffene von Unternehmen Auskunft darüber verlangen, welche sie betreffenden personenbezogenen Daten verarbeitet werden. Wer als Betroffener von seinem Auskunftsrecht Gebrauch machen will, kann eine Kopie aller Daten einfordern, die Gegenstand weiterer Verarbeitung geworden sind. Die Möglichkeiten der Antragstellung sind dabei vielseitig.
Wie kann ein Antrag auf Auskunft gestellt werden?
Nach wie vor wird der Antrag am häufigsten schriftlich gestellt. Zur schriftlichen Antragstellung rät u.a. der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI). Gleichzeitig besteht zudem die Möglichkeit, den Antrag telefonisch oder per E-Mail zu stellen. Bisweilen kann die Auskunft auch direkt über die Webseite des betroffenen Unternehmens verlangt werden, beispielsweise im Rahmen eines Nutzerkontos.
Richtige Identifizierung entscheidend
Zu Problemen bei der Bearbeitung von Auskunftsbegehren kommt es vor allem dann, wenn es um die Identifizierung des Betroffenen geht. Wie kann das Unternehmen sicherstellen, dass nicht unbefugte Dritte sich als Betroffene ausgeben, um an deren wertvolle Daten zu gelangen?
Möglichkeiten der Identifizierung
Insbesondere bei telefonischer Geltendmachung der Auskunftsansprüche stellt sich die Frage nach einer einfachen Authentifizierung. Zusätzliche, am Telefon abgefragte Informationen, wie beispielsweise Geburtsdatum, Postleitzahl oder Wohnanschrift der betroffenen Person, machen es Betrügern schwer. Aber schwer bedeutet eben nicht unmöglich – denn auch Familie oder Freunde kennen oftmals die seitens des Unternehmens abgefragten Daten. Daher ist die rein telefonische Identifizierung zwar besonders praktisch, jedoch nur bedingt sicher.
Besser scheint hier die Bereitstellung eines Ausweisdokuments bzw. einer Kopie. Dabei muss vom Verantwortlichen für die Übermittlung per E-Mail ein sicherer Zugangsweg bereitgestellt werden. Postalisch gibt es datenschutzrechtlich hingegen keine Bedenken.
Auch steht den Betroffenen der Weg einer Post- oder Video-Ident-Identifizierung offen. Hierbei werden die Betroffenen durch einen Mitarbeiter der Post, bzw. durch Videochat mit einem Mitarbeiter eines Identifizierungsdienstanbieters identifiziert.
Je sicherer, desto aufwändiger
Bei allen Methoden gilt jedoch: Je sicherer die Identifizierungsmethode, desto mehr Aufwand muss betrieben werden. Der Spagat zwischen einer möglichst sicheren Identifizierung und einem möglichst geringen Aufwand für die antragstellende Person bleibt also eine Herausforderung.
Abzuwägen ist jedoch auch die Qualität der Daten. Bei sensibleren Daten ist ein höheres Sicherheitsniveau geboten, um das Risiko einer unberechtigten Datenweitergabe zu minimieren und den Betroffenen dadurch zu schützen.
Beratung von Experten für Datenschutz
Im Zweifel dürfte es Betroffenen und Verantwortlichen wichtiger sein, dass Daten nicht in die Hände Dritter fallen. Unsere Experten für Datenschutzrecht beraten Sie gerne zum Auskunftsersuchen von Betroffenen und dazu, wie sich Datenpannen vermeiden lassen.
Weiterlesen:
Erstes DSGVO-Bußgeld in Deutschland verhängt
In drei Schritten zum rechtssicheren Datenschutz