Ihre Kontakte
Das Verwaltungsgericht Berlin hat kürzlich entschieden, wann ein datenschutzrechtlich Verantwortlicher «begründete Zweifel an der Identität der natürlichen Person» haben kann, um für die Erfüllung eines Auskunftsbegehrens eine Ausweiskopie verlangen zu dürfen. Nach Ansicht des Verwaltungsgerichts braucht eine auskunftspflichtige Behörde (konkret: das Amtsgericht Tiergarten) hierfür grundsätzlich einen besonderen Anlass. Von «begründeten Zweifeln» könne jedenfalls nicht ausgegangen werden, wenn die postalische Adresse des Antragsstellers schon bisher genutzt wurde, um mit diesem zu kommunizieren und keine Anhaltspunkte für unzulässiges Handeln Dritter erkennbar seien.
Recht auf Auskunft nach der EU-DSGVO
Die seit Mai 2018 geltende EU-Datenschutzgrundverordnung (DSGVO) brachte eine erhebliche Stärkung der Betroffenenrechte mit sich, um den Betroffenen eine bessere Kontrolle über die eigenen Daten zu ermöglichen. Dies führt einerseits dazu, dass wie im vorliegenden Urteil des Verwaltungsgerichts Berlin vom 31. August 2020 (1 K 90.19) die Formalitäten eines Auskunftsbegehrens strittig sein können. Andererseits divergieren auch die Meinungen über den konkreten Gehalt des z.B. datenschutzrechtlichen Auskunftsrechts (vgl. dazu MLL-News vom 06.07.2019).
Der Auskunftsanspruch nach Art. 15 DSGVO stellt eines der zentralen Betroffenenrechte im Rahmen des EU-Datenschutzrechtes dar und weist grundsätzlich zwei Ebenen auf. Die betroffene Person hat also das Recht, von dem Verantwortlichen zunächst eine Bestätigung darüber zu verlangen, ob dieser sie betreffende personenbezogene Daten verarbeitet. Wurden keine personenbezogenen Daten über den Auskunftssteller verarbeitet, hat der Verantwortliche diesem eine Negativauskunft zu erteilen. Ist die Datenverarbeitung hingegen zu bejahen, so hat der Betroffene Anspruch auf Auskunft über weitere Informationen wie z.B. die Verarbeitungszwecke oder die Empfänger, welchen die personenbezogenen Daten offengelegt worden sind.
Modalitäten der Rechtsausübung
Wie diese Betroffenenrechte ausgeübt werden, umschreibt Art. 12 DSGVO als Rahmenregelung und statuiert verschiedene formelle Vorgaben für die Erfüllung der Pflichten im Zusammenhang mit den Betroffenenrechten. Neben den Modalitäten für die Rechteausübung wird auch der Umgang des Verantwortlichen mit Anfragen von Betroffenen festgelegt. Der Gesetzgeber beabsichtigt damit ein einheitliches Vorgehen in der Kommunikation der Unternehmen mit Betroffenen, um die Rechtssicherheit zu erhöhen.
Die Art und Weise der Bereitstellung von Informationen durch den Verantwortlichen müssen deshalb präzise, transparent, verständlich und leicht zugänglich sein. Der Verantwortliche wird verpflichtet, der betroffenen Person die Ausübung ihrer Rechte zu erleichtern (Art. 12 Abs. 2 DSGVO) und falls die erforderte unverzügliche Bearbeitung der Anträge (Art. 12 Abs. 3 DSGVO) nicht möglich ist, seinen Informationspflichten (Art. 12 Abs. 4 und 5 DSGVO) nachzukommen. Hat der Verantwortliche begründete Zweifel an der Identität der natürlichen Person, welche z.B. einen Antrag auf Auskunft nach Art. 15 DSGVO stellt, kann er zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind (Art. 12 Abs. 6 DSGVO).
Identitätsfeststellung des Betroffenen
Das Verwaltungsgericht Berlin befand nun in seinem Urteil vom 31. August 2020 (1 K 90.19) über die Frage, wann ein datenschutzrechtlich Verantwortlicher (vorliegend das Amtsgericht Tiergarten) «begründete Zweifel» an der Identität eines Betroffenen gegen ein Auskunftsanspruch geltend machen kann.
Der Kläger begehrte schriftliche Auskunft über die beim Amtsgericht Tiergarten zu seiner Person gespeicherten persönlichen Daten. Der Präsident des Amtsgerichts Tiergarten lehnte diesen Auskunftsantrag mit Bescheid vom 17. Januar 2019 ab, weil der Kläger seine Identität nicht in der erforderlichen Form nachgewiesen habe. Der Präsident des Amtsgerichts verlangte dazu die Vorlage einer Kopie des Personalausweises des Klägers. Der Widerspruch des Klägers hatte keinen Erfolg und er klagte schliesslich gegen die Ablehnung.
Das Verwaltungsgericht Berlin gab der Klage des Betroffenen auf unbedingten Auskunftsanspruch statt. Der Beklagte könne sich nicht auf die Ausnahmeregelung in § 59 Abs. 4 des Bundesdatenschutzgesetzes (BDSG) berufen, wonach der Verantwortliche bei begründetem Zweifel an der Identität einer betroffenen Person von dieser zusätzliche Informationen zur Identitätsbestätigung anfordern kann, so das Verwaltungsgericht. Dieselbe Formulierung ist in Art. 12 Abs. 6 DSGVO zu finden, weshalb die Begründung des VG Berlins auch für Unternehmen im Anwendungsbereich der DSGVO interessant ist.
Das VG Berlin begründete sein Urteil damit, dass ohne besonderen Anlass die auskunftspflichtige Behörde keinen Identitätsnachweis von einem Antragssteller verlangen darf. Einen solchen besonderen Anlass oder besondere Umstände seien weder vorgetragen noch sonst ersichtlich gewesen. Die Anschrift des Klägers sei dem Beklagten Amtsgericht Tiergarten schon seit längerem bekannt und dieses habe dem Kläger in der Vergangenheit verschiedene Entscheidungen unter seiner gegenwärtigen Adresse zugestellt. Des Weiteren würden Anhaltspunkte dafür fehlen, dass ein Dritter Interesse an der begehrten Auskunft haben könnte und deshalb unter Benutzung einer falschen Identität die Auskunft erschleichen könnte.
Aus diesen Gründen wurde das Amtsgericht dazu verpflichtet, die vom Kläger beantragte Auskunft zu erteilen und seine Klage somit gutgeheissen.
Anmerkungen
In der Praxis sind Fragen rund um die Identifikation und Authentifizierung von Kunden zentral, gilt es doch auch zu verhindern, dass personenbezogene Daten an unberechtigte Dritte gelangen. Der Grundsatz der Datensicherheit steht somit in gewissem Widerspruch zur vorliegend diskutierten Vorgabe bei der Erfüllung der Betroffenenrechte. So wurde in einem weiteren aktuellen Fall entschieden, dass die verbreitete Authentifizierung von Kunden über die Abfrage des Namens und des Geburtsdatums ungenügend sei. Es handle sich dabei um keine angemessene technische und organisatorische Massnahme zur Gewährleistung der Datensicherheit und verstosse somit gegen die Datenschutzgrundverordnung (DSGVO). Dem deutschen Telekommunikationsunternehmen 1&1 wurde aus diesem Grund eine Busse in der Höhe von 9.5 Millionen Euro auferlegt (vgl. dazu MLL-News vom 10.02.2020).
Unternehmen müssen deshalb die richtige und auf sie zugeschnittene Abwägung zwischen den beiden Vorgaben ausarbeiten. Das vorliegende Urteil zeigt dabei zumindest ein Ende des möglichen Massnahmenspektrums auf: Geht es um die Erfüllung von Betroffenenrechten darf nicht pauschal und generell eine Ausweiskopie verlangt werden. Unzulässig ist dies jedenfalls in Fällen, wo bereits über den gleichen Kanal eine Kommunikation stattfand und keine Anhaltspunkte für missbräuchliches Verhalten bestehen.
Gefordert sind im Übrigen nicht nur diejenigen Unternehmen, die im Anwendungsbereich der EU-DSGVO tätig sind, sondern auch alle anderen Schweizer Unternehmen. Denn das Spannungsfeld zwischen den beiden Anforderungen ergibt sich auch unter dem geltenden und auch dem künftigen Schweizer Datenschutzrecht.
Weitere Informationen:
- EU – Datenschutzverordnung (DSGVO)
- VG Berlin, Urteil vom 31.09.2020 – 1 K 90.19
- MLL-News vom 06.07.2019: «LG Köln: Auskunftsrecht nach Art. 15 DSGVO gibt kein umfassendes Recht auf Kopie»
- MLL-News vom 27.11.2019: «EuGH zum DSGVO-Löschungsrecht: Google muss Informationen aus Ergebnislisten EU-weit und nicht weltweit entfernen»
- MLL-News vom 10.02.2020: «DSGVO und Authentifizierung von Kunden am Telefon: blosse Abfrage von Name und Geburtsdatum ist laut BfDI ungenügend»