Identitätsnachweis bei Auskunftsanfrage
Muss immer ein Ausweis vorgelegt werden?
Jetzt hat das BVwG entschieden
Eine Entscheidung des BVwG vom 27.05.2020 (W214 2222.8346-1) hat sich mit der Frage beschäftigt, ob bei einem Auskunftsersuchen eine Anfrage mittels elektronischer Signatur reicht, oder ein Ausweis gefordert werden kann.
Sowohl das BVwG als auch die DSB sagen (in Fortführung der bisherigen Judikatur): die eindeutige Identifizierbarkeit ist ausreichend, ein Ausweis kann nicht immer gefordert werden.
Die Anfrage der betroffenen Person
Die betroffene Person sandte per E-Mail mit elektronischer Signatur am 19.02.2019 ein
Auskunftsbegehren nach Art. 15 DSGVO an Verantwortlichen.
Der Verantwortliche hat die betroffene Person mit Schreiben vom 22.02.2019 darüber informiert, dass sein Ansuchen auf Auskunft nur dann weiterbearbeitet werden könne, wenn er seine Identität
mittels Vorlage eines geeigneten Identitätsnachweises nachweise.
Eine qualifizierte elektronische Signatur erfülle das rechtliche Erfordernis der Schriftlichkeit iSd § 886 ABGB, sei jedoch zur Durchführung einer Identitätsprüfung nicht ausreichend.
Da die betroffene Person der Aufforderung zur Vorlage eines Identitätsnachweises nicht nachkam hat der Verantwortliche die Auskunft nicht erteilt.
Die unterschiedlichen Standpunkte
Die betroffene Person war der Ansicht, dass eine digitale Signatur ausreichend ist, da eine Personenbindung besteht; weiters hat er im Verfahren den Standpunkt vertreten, dass ihm die Auskunft auch per eigenhändiger Zustellung zugestellt werden könne.
Der Verantwortliche argumentierte, dass die Identität nur durch Vorlage eines Ausweises möglich sei, und es an sich zu einer Verwechslung kommen könne. Auch auf der Website ist ersichtlich, dass die betroffene Person bei Auskunftsbegehren ihre Identität dem Verantwortlichen gegenüber nachweisen muss (zum Beispiel mit der Kopie eines Reisepasses oder Führerscheins), damit sichergestellt sei, dass es sich um Daten der betroffenen Person handle.
Die Entscheidung
„Gemäß Art. 15 Abs. 1 DSGVO
hat eine betroffene Person das Recht, vom Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden und soweit dies der Fall ist,
Auskunft über diese personenbezogenen Daten zu erhalten sowie Anspruch auf die Information gemäß lit. a bis h leg. cit.
Die Entstehung eines solchen datenschutzrechtlichen Auskunftsanspruches setzt gemäß Art. 12 DSGVO, wie von der belangten Behörde
zutreffend ausgeführt, unter anderem voraus, dass die Identität des Auskunftswerbers feststeht. Bei begründeten Zweifeln an der Identität kann der Verantwortliche gemäß Art. 12 Abs. 6 DSGVO zusätzliche Informationen anzufordern, die zur Bestätigung der Identität erforderlich sind. Dass dadurch jedoch keine
routinemäßige Identitätsprüfung ermöglicht wird und ein Verantwortlicher daher nicht generell die Vorlage eines Identitätsnachweises verlangen darf, wird in der Beschwerde von der
Beschwerdeführerin (:= dem Verantwortlichen) ausdrücklich zugestanden.“
Daraus ist abzuleiten, dass erst dann, wenn die Identität eindeutig feststeht, der Anspruch auf Auskunft iSd Art 15 DSGVO entsteht, und die Frist zu laufen beginnt. Vor der Identifzierung bzw. der Identifzierbarkeit der Person, die um Auskunft ersucht, ist der Antrag daher nicht ordnungsgemäß gestellt.
Es ist nach Ansicht des BVwG notwendig, dass gegenüber der betroffenen Person dargelegt wird, weshalb der Verantwortliche an der Identität der auskunftsersuchenden Person zweifelt.
Das BVwG verweist auf ErwG 64 und führt aus, dass der Verantwortliche „alle vertretbaren Mittel zu nutzen hat, um die Identität einer Auskunft suchenden betroffenen Person zu ermitteln.“
Wenn daher bei einem Auskunftsersuchen eine digitale Signatur verwendet wird, die auskunftsersuchende Person auch davor diese E-Mail-Adresse zur Kommunikation verwendet hat, bestehen keine Zweifel an der Identität.
Die Identität kann für den Verantwortlichen auch aus der Situation heraus klar sein (VwGH 04.07.2016, Ra 2016/04/0014; siehe auch OGH vom 25.02.1993, 6 Ob 6/93). „Soweit sich also die Beschwerdeführerin im Vorfeld des Auskunftsbegehrens bereits auf eine Korrespondenz mit dem Mitbeteiligten eingelassen hat, ohne an dessen Identität zu zweifeln, wäre auch aus diesem Grund kein gesonderter Identitätsnachweis notwendig.“
Auch die digitale Signatur ist geeignet, die Identität nachzuweisen, da eine feste Personenbindung besteht.
Schlussfolgerungen:
1.
Nur wenn tatsächlich Zweifel an der Identität der auskunftsersuchenden Person bestehen, können vom Verantwortlichen
weitere Mittel zur Feststellung der Identität gefordert werden.
2.
Die Zweifel sollten der auskunftsersuchenden Person auch mitgeteilt werden, wenn der Nachweis der Identität
gefordert wird.
3.
Die Identität kann sich aus der (bisherigen) Situation bzw. den Gesamtumständen – insbes. dem
bisherigen Kommunikationsverhalten - ergeben.
4.
Wenn davor vom Verantwortlichen mit der E-Mail-Adresse, von der auch um Auskunft ersucht wird, in Bezug auf die betroffene
Person korrespondiert wurde, und daher vor dem (lästigen Akt der) Auskunftsersuchen keine Zweifel an der Identität bestanden, dann kann mE auch kein Zweifel ab dem Auskunftsersuchen
bestehen.
5. Eine digitale Signatur, die eine feste Personenbindung umfasst, ist zur Identifikation der auskunftsersuchenden Person geeignet.
26.10.2020, Autor:
Michael Schweiger, zert DSBA
Kommentar schreiben
Daniel T (Dienstag, 15 Februar 2022 19:24)
Nachdem ich den Blog-Eintrag und auch den Entscheidungstext des Bundesverwaltungsgericht gelesen habe bin ich hierbei etwas irritiert:
Offensichtlich ist es bei Zweifeln an der Identität des Betroffenen legitim, dass man sich bei einer Datenauskunft gem Art 15 DSGVO mittels Ausweiskopie (zB Personalausweis) identifiziert. Und offenbar wäre dabei auch eine Identifikation mittels "Digitaler Signatur" zulässig.
Jetzt stellt sich mir die Frage, wie denn der Verantwortliche eindeutig feststellen kann, dass "die anfragende Person ausschließlich Daten zu Ihrer eigenen Person anfragt"?
Konkretes Beispiel:
Ich habe kürzlich eine Anfrage bzgl Datenauskunft gem Art 15 DSGVO an ein Unternehmen gestellt.
Bei meiner Anfrage habe ich meinen Vor- und Nachnamen sowie meine Anschrift angeführt und gemeinsam mit den konkreten Fragen zur Datenauskunft als PDF-Dokument gespeichert. Dieses File wurde von mir digital mittels "Qualifizierter elektronischer Signatur" unterzeichnet. (Mein digitales Zertifikat ist NICHT im A-Trust Verzeichnisdienst öffentlich abrufbar! Man kann das signierte Dokument jedoch auf Gültigkeit prüfen - auf der A-trust Webseite, oder bei RTR..).
Weitere Personenbezogenen Daten wie bspw Titel, SV-Nummer oÄ habe ich nicht bekannt gegeben.
Die Anfrage habe ich dem Unternhmen via (unverschlüsselter) Email geschickt. Und ich habe von vornherein gleich eine Kopie meines Personalausweises als Scan an die Email angehängt. Wobei ich nur die Vorderseite des Ausweises mitgeschickt habe. Dort geht noch mein Geburtsdatum und mein Geschlecht hervor. (Die Rückseite habe ich weggelassen - dort stünde noch mein Geburtsort, meine Körpergröße, Staatsangehöritgkeit)
Der Verantwortliche des Unternehmens hat mir bereits via (unverschlüsselter Email) einen Teil der Auskunft erteilt.
Jetzt zum interessanten Teil dabei - in Österreich gibt es offenbar mehrere Personen, die den gleichen Namen (Vor- und Nachname) haben wie ich. Das konnte ich zumindest aus dem Verzeichnisdienst der A-Trust auslesen.
Eine andere Person mit gleichem Vor- und Nachnamen wie der von mir könnte den "gleichen" Antrag stellen - verwendet dabei die seinige Ausweiskopie und auch die digitale Signatur von der anderen Person. Bezieht sich aber auf MEINE Anschrift.
(Oder anders herum - ICH könnte eine Datenauskunft beantragen, wo ich mich auf die Anschrift einer anderen Person gleichen Namens beziehe. Lege weiterhin meine Ausweiskopie bei, und signiere auch mit meiner Qualifizierten elektronischen Signatur.)
Woher soll nun der Verantwortliche aus den vorhandenen Daten (Personalausweis und digitale Signatur) wissen, welche der betroffenen Personen (es gibt ja mehrere mit dem gleichen Namen) schlussendlich wirklich gemeint ist? Nur aufgrund der
(willkürlichen) Angabe der Anschrift?
Gut, auf dem Personalausweis steht auch das Geburtsdatum. Aber wenn ich den Entscheidungstext des Bundesverwaltungsgerichts korrekt interpretiere dann wäre ja auch eine Identifikation rein mittels "Qualifizierter elektronischer Signatur" möglich. Dann gibt es defacto keine Unterscheidungen mehr zwischen mir und der anderen Person mit gleichem Namen...
Ich habe mir bspw. auch ein Zertifikat von einer anderen Personen mit dem gleichen wie dem meinen vom A-Trust-Verzeichnisdienst heruntergeladen, und dieses mit meinem Zertifikat verglichen.
Für einen Laien schauen beide "gleich" aus - insbesondere enthalten beide Zertifikate den gleichen Vor- und Nachnamen. Sonst sind natürlich diverse (unterschiedliche) Signaturrelevante Daten (Seriennummern etc.) enthalten.
Aber wer fängt damit schon etwas an?
Eine eindeutige Zuordnung zu meiner "einzigartigen" Person aufgrund dieser Angaben halte ich nicht für ausreichend! Und das könnte dann zu erheblichen Datenmissbrauch führen!
Wie sehen das andere??