Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Cover Cover Jetzt testen
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework EuGH Fotos HinSchG Homeoffice Hybrid Work KI KRITIS Rechenschaftspflicht TTDSG Urteil Vorlagen
Menü
Aktuelle Ausgabe

Datenschutz PRAXIS 04/24

Zeitschrift - Aktuelle Ausgabe

jetzt informieren
Betriebsrat ChatGPT Checklisten Cookies Data Privacy Framework EuGH Fotos HinSchG Homeoffice Hybrid Work KI KRITIS Rechenschaftspflicht TTDSG Urteil Vorlagen
30. April 2021

So geht Identifizierung bei Auskunftsersuchen (nicht)

Ohne Identifizierung kann ein Auskunftsersuchen schnell zur Datenpanne werden
Bild: iStock.com / z_wei
3,00 (1)
drucken
Betroffenenrechte und Sicherheit der Identitäten
Wie lässt sich die Identität einer Auskunft suchenden betroffenen Person überprüfen, insbesondere im Rahmen von Online-Diensten? Kann die Online-Ausweisfunktion des Personalausweises helfen? Wie sind andere digitale Identitätsdienste zu beurteilen?

Die Betroffenenrechte nach Datenschutz-Grundverordnung (DSGVO) zu erfüllen, bereitet weiterhin Probleme. Geht z.B. ein Auskunftsersuchen ein und der Verantwortliche erteilt die Auskunft fristgerecht, doch er hat die Identifizierung vergessen und der Antragsteller war gar nicht die betroffene Person, sind personenbezogene Daten in falsche Hände gelangt.

Deshalb ist es ein wichtiger Teil der Umsetzung des Auskunftsrechts, die Identität des Antragstellers oder der Antragstellerin zu überprüfen (Erwägungsgrund 64 DSGVO). Gefälschte digitale Identitäten sind leider keine Seltenheit. So basieren die um sich greifenden Phishing-Attacken auf einer gefälschten digitalen Identität, die vertrauliche Daten herauslocken soll.

Der Klassiker: die Ausweiskopie

Eine Recherche im Internet liefert Beispiele, wie Unternehmen und Behörden die Verfahren für ein Auskunftsersuchen umsetzen und die Identität des Antragstellenden überprüfen.

Wer etwa ein Auskunftsersuchen zu gespeicherten Fluggastdaten an das Bundeskriminalamt richtet, soll bei einem postalischen Antrag eine gut leserliche Kopie eines aktuellen Ausweisdokuments beifügen.

Eine wichtige Empfehlung: Die Aufsichtsbehörden für den Datenschutz haben darauf hingewiesen, dass man als betroffene Person die nicht erforderlichen persönlichen Daten auf der Kopie des Ausweises (wie Augenfarbe, Größe, ID-Nummer, Unterschrift) schwärzen sollte.

Identifizierung bei Auskunftsersuchenüber digitale Verfahren

In Zeiten der fortschreitenden Digitalisierung sind teilweise geschwärzte Kopien des Personalausweises, per Post verschickt, für manche betroffenen Personen nicht mehr der Weg der Wahl.

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg hatte bereits 2019 auf digitale Alternativen wie die Identifizierung über ein Nutzerkonto, Video-Ident-Identifizierung und die Identifizierung über einen eIDAS-Dienst (electronic IDentification, Authentication and trust Services) hingewiesen.

Allerdings gab es 2019 bei diesen digitalen Alternativen einige Punkte zu beachten:

  • Dienste nach der eIDAS-Verordnung haben Bürgerinnen und Bürger noch nicht in größerem Umfang genutzt.
  • Aus Datenschutzsicht weniger schön ist, dass eine Schwärzung der Videoaufnahme des Ausweisdokuments nicht ohne Weiteres möglich ist. Fraglich war deshalb, ob datenschutzbewusste Bürger bereit sind, eine Video-Ident-Identifizierung durchzuführen.
  • Die Sicherheit des Identifizierungsverfahrens über ein Nutzerkonto hängt stark vom Passwort ab. Können Angreifer Nutzerkonten übernehmen, lassen sich damit weitere Daten ausspähen, womöglich dann über ein Auskunftsersuchen mit gefälschter Identität.

Nun stellt sich die Frage, ob die digitalen Verfahren bei der Identifizierung von Auskunftsersuchenden inzwischen besser helfen. Dazu seien einige Verfahren der digitalen Identitätsprüfung näher betrachtet.

De-Mail

Zum Auskunftsrecht schreibt der Bundesdatenschutzbeauftragte: „Es empfiehlt sich daher, die Auskunft schriftlich oder in einer sicheren elektronischen Form (z.B. per De-Mail oder mittels verschlüsselter E-Mail über das Programm Pretty Good Privacy (PGP) oder GnuPG) anzufordern.“

Doch wie steht es um die Verbreitung von De-Mail, gerade auch bei Privatpersonen, die sich als Auskunftsersuchende an Unternehmen wenden? In einem Bericht stellte der Bundesrechnungshof fest: „Allerdings kann der Bundesrechnungshof nicht erkennen, dass sich De-Mail bislang als Standardverfahren für rechtssichere elektronische Kommunikation etabliert hat. Dies bestätigen insbesondere der niedrige Nutzungsgrad und die geringe Akzeptanz von De-Mail.“

Offensichtlich kann ein Unternehmen also nicht davon ausgehen, mit De-Mail viele Identitäten bei Auskunftsersuchen klären zu können.

Identifizierung über Nutzerkonten

Es gibt zwar inzwischen eine Vielzahl an Online-ID-Diensten und Identity-Providern im Internet. Doch ein Identitätsnachweis über einen solchen Identity-Provider hängt grundsätzlich von der Sicherheit, von der Vertrauenswürdigkeit und von der Verbreitung der Online-ID ab.

  • So stellt sich die Frage, wie der Anbieter die Identität bei Einrichtung der Online-ID prüft. Denn auf diese Erstprüfung beziehen sich später alle Online-Nachweise.
  • Dann muss geklärt sein, wie gut die Online-ID gegen einen Identitätsdiebstahl geschützt ist. Selbst eine Zwei-Faktor-Authentifizierung, mit der sich der Auskunftssuchende bei dem Identity-Provider angemeldet hat, um seine Identität zu bestätigen, lässt sich mitunter austricksen.
  • Schließlich macht es die Vielzahl an verschiedenen Online-IDs schwierig, Identitätsnachweise darüber abzubilden. Denn ein Unternehmen müsste viele ID-Dienste unterstützen.

Besser wäre also eine ID, die jede Bürgerin und jeder Bürger und damit jede Kundin und jeder Kunde in Deutschland hat. Hier kommt der Personalausweis ins Spiel.

Online-Funktion des Personalausweises

Über zehn Jahre nach der Einführung des elektronischen Personalausweises ist das Interesse an der Online-Funktion grundsätzlich groß, so eine Umfrage des Digitalverbands Bitkom. Sieben von zehn Bundesbürgern (69 %) würden den elektronischen Personalausweis nutzen, um sich bei digitalen Behördengängen zu identifizieren. Noch ist die Nutzung dieser eID aber eher gering.

Auf Grundlage des Onlinezugangsgesetzes (OZG) sollen 575 Verwaltungsdienstleistungen bis Ende 2022 online zugänglich sein. Die Online-Funktion des Personalausweises soll nach den Plänen des Bundes zukünftig einfacher gestaltet und an den Nutzerbedürfnissen ausgerichtet werden.

Nutzer und Nutzerinnen eines NFC-fähigen Smartphones könnten nach Installation der AusweisApp2 die Online-Ausweisfunktion des Personalausweises heute schon deutlich stärker einsetzen. Daher wäre gerade die Verbindung NFC-Funktion eines Smartphones + AusweisApp2 + Online-Ausweisfunktion des Personalausweises ein vielversprechender Weg, um Identitätsnachweise digital zu erbringen.

Identifizierung bei Auskunftsersuchen über Personalausweis

Zusammenspiel von Online-Ausweisfunktion des Personalausweises und Smartphone

In Zukunft geht dann das Online-Ausweisen direkt im Smartphone ohne die Ausweiskarte, so das Bundesinnenministerium, also mit einem Smartphone-basierten Personalausweis.

Wichtig

Noch hat sich kein digitaler Identitätsnachweis durchsetzen können. Unternehmen müssen also weiterhin mit verschiedenen Verfahren arbeiten, um die Identität bei Auskunftsersuchen zu kontrollieren.

Es lohnt sich aber, die Online-Ausweisfunktion in Verbindung mit der AusweisApp2 und der NFC-Funktion des Smartphones im Auge zu behalten. Das könnte mittelfristig den digitalen Weg der Identitätsprüfung ebnen.

Stellen Sie daher als Datenschutzbeauftragte/r diese Verfahren beispielsweise im Rahmen einer Schulung vor.

Oliver Schonschek

Oliver Schonschek
zu den Kommentaren
Wie nützlich war dieser Beitrag für Sie?
Jetzt teilen:
drucken
Verfasst von
Oliver Schonschek
Oliver Schonschek
Oliver Schonschek ist freiberuflicher News Analyst, Journalist und Kommentator, der sich auf Sicherheit, Datenschutz und Compliance spezialisiert hat. Er schreibt für führende Medien, ist Herausgeber und Autor mehrerer Lehrbücher.
Verwandte Beiträge
15. April 2024
Datenschutz-Sicherheit
Bild: iStock/Getty Images Plus/Funtap

Geschäftsführer-Daten im Handelsregister

Urteil
EuGH Urteil
08. April 2024
DP+
Verantwortlicher, Auftragsverarbeiter oder Joint Controller?
Bild: iStock.com / PeopleImages

Verantwortlicher, Auftragsverarbeiter oder Joint Controller?

Analyse
02. April 2024

Muster: Gliederungspunkte einer IT-Sicherheitsrichtlinie

Downloads
IT-Sicherheit Vorlagen
02. April 2024
Die DSGVO ist nur anwendbar, wenn die Daten, die Gegenstand der mündlichen Auskunft sind, in einem „Dateisystem gespeichert sind“ oder „in einem Dateisystem gespeichert werden sollen“.
Bild: iStock.com / bymuratdeniz

Löschung von Daten – auf wessen Veranlassung?

Urteil
EuGH Urteil
27. März 2024
DP+

Checkliste: Datenschutz-Audit von Auftragsverarbeitern

Downloads
Checklisten Vorlagen
weitere Beiträge laden
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.