Mit der DSGVO sind die Rechte der Betroffenen gestärkt worden. In den Artikeln 12 bis 22 sind die Rechte des Betroffenen wie das Auskunftsrecht (Art. 15 DSGVO) genannt. Für Verantwortliche die dem Auskunftsrecht nach kommen stellt sich die Frage: Woher weiß ich eigentlich wer nach wessen Daten fragt?
Bei begründeten Zweifeln an der Identität der natürlichen Person können zusätzliche Informationen angefordert. Mit der Frage wie die Identifizierung einer Person aussehen kann, hat sich der Landesbeauftragte für Datenschutz und Informationsfreiheit für Baden-Württemberg befasst und eine Empfehlung hierzu abgegeben.
Wege der Antragstellung
Möglich scheint unter der DSGVO ein schriftlicher, telefonischer oder elektronischer (z.B. E-Mail, Nutzerkonto) Antrag zu sein. Hierbei dürfte schon nach dem Wortlaut der elektronische Weg der zu bevorzugende sein.
Methoden der Identifizierung
Bei telefonischen Anfragen ist es gängige Praxis, zusätzliche Informationen wie das Geburtsdatum oder sogar einen vorher mitgeteilten PIN abzufragen. Häufig bieten diese Fragen jedoch kein hohes Schutzniveau da Freunde/Verwandte diese Fragen (sofern keine PIN) meist ebenfalls beantworten können.
Die Übermittlung eines Ausweisdokumentes kann, begrenzt auf Name, Anschrift, Geburtsdatum und Gültigkeitsdauer (Restliches geschwärzt) ausreichend sein. Solange dies postalisch geschieht, bestehen hierbei auch nur insoweit Bedenken, dass WG-Mitbewohner oder Familienmitglieder Zugang zu Ausweis und Eingangs-Post haben könnten und daher an Informationen gelangen. Bei einer elektronischen Übermittlung muss eine verschlüsselte E-Mail oder eine HTTPS-geschützte Webseite herangezogen werden. Zu beachten ist hierbei, dass die erhaltenen Personalausweisdaten ausschließlich zur Identifikation genutzt und nicht in den Datenbestand mit aufgenommen werden dürfen.
Zudem gibt es Möglichkeiten wie die Online-Ausweisfunktion des elektronischen Personalausweises, bei dem im Vorhinein durch eine vertrauenswürdige Stelle die Identität der Person eindeutig geprüft wurde. Oder dem Video-Ident-Verfahren, bei dem per Videochat mit dem Verantwortlichen direkt die Identität festgestellt wird. Sie bieten das höchste Schutzniveau, sind jedoch mit hohem Aufwand des Betroffenen verbunden.
Hat die betroffene Person beim Verantwortlichen ein Nutzerkonto und sich bei der Anmeldung zu dessen Online-Dienst bereits Identifiziert, dürfen keine weiteren Informationen zur Identifizierung verlangt werden. Die Sicherheit hängt hierbei vom Passwort des Nutzers ab. Verschafft sich jemand Zugang zum Nutzerkonto, kann er über die Ausübung der Betroffenenrechte einigen Schaden anrichten. Eine Zwei-Faktor-Authentifizierung kann diesem vorbeugen. Der Aufwand für Betroffenen und Verantwortlichen ist hierbei am geringsten.
Auswahl des passenden Verfahrens
Bei der Auswahl des passenden Verfahrens muss der Verantwortliche selbst entscheiden. Hierbei sollte er seine Wahl anhand des Risikos für die Rechte und Freiheiten der betroffenen Person fest machen. Je sensibler die Daten sind, desto höher sollte das Schutzniveau im Sinne der betroffenen Person sein.
Den ausführlichen Bericht des LfDI-Baden-Württemberg lesen sie hier.