Datenschutzrechtliche Anforderungen an Auskunftsersuchen: Identitätsfeststellung leicht gemacht

Die Beantwortung von Auskunftsersuchen gemäß Art. 15 DSGVO ist für Verantwortliche oft eine Herausforderung. Besonders bei sensiblen Daten, wie Gesundheitsinformationen, stellt sich die Frage, wie die Identität der Antragsteller sichergestellt werden kann, ohne die Datensicherheit zu gefährden. Im folgenden Artikel erfahren Sie, welche Anforderungen gelten und wie eine datenschutzkonforme Beauskunftung umgesetzt werden kann.

1. Identitätsfeststellung: Warum ist sie wichtig?

Verantwortliche müssen sicherstellen, dass personenbezogene Daten nur an die berechtigte Person weitergegeben werden. Wenn Zweifel an der Identität bestehen, erlaubt Art. 12 Abs. 6 DSGVO, zusätzliche Informationen einzufordern, um die Identität zu bestätigen. Dabei gilt:

  • Verhältnismäßigkeit: Die angeforderten Informationen dürfen nicht unverhältnismäßig sein.
  • Sicherer Nachweis: Geeignet sind z. B. Ausweisdokumente, bei denen nur relevante Daten wie Name, Anschrift und Geburtsdatum sichtbar sind. Andere Informationen (z. B. Ausweisnummer) können geschwärzt werden.

2. Datenübermittlung: Welcher Weg ist zulässig?

Nach der Identitätsfeststellung muss auch die Übermittlung der Daten datenschutzkonform erfolgen. Hier gelten unterschiedliche Standards je nach Art der personenbezogenen Daten:

    a) Standard-Daten (Art. 6 DSGVO)

    • Postversand (Einwurf) ist ausreichend, wenn keine besonderen Zweifel an der Identität bestehen.

    b) Besonders sensible Daten (Art. 9 DSGVO)

    • Verschlüsselter E-Mail-Versand oder gesicherte Portale sind bevorzugt.
    • Alternativ kann ein Einschreiben/eigenhändig oder die Abholung in einer Postfiliale genutzt werden.

    3. Praxisbeispiel: Auskunftsersuchen eines Krankenhauses

    Ein Krankenhaus erhielt ein Auskunftsersuchen zu Gesundheitsdaten einer ehemaligen Patientin. Nach der Überprüfung der Identität mittels geschwärzter Ausweiskopie wählte das Krankenhaus den sicheren Weg der Übermittlung per Einschreiben/eigenhändig. Obwohl die Patientin die Zustellung als „Einschreiben/Einwurf“ forderte, hielt das Krankenhaus dies für nicht sicher genug.

    Die Datenschutzbehörde bestätigte:

    • Die gewählte Methode war datenschutzkonform, da sie die Sicherheit der sensiblen Daten gewährleistete.
    • Eine Zustellung per Einwurf wäre jedoch auch zulässig gewesen, wenn zuvor die Identität eindeutig festgestellt wurde und keine weiteren Zweifel bestanden.

    4. Was müssen Verantwortliche beachten?

    • Identität prüfen: Nutzen Sie einfache, aber sichere Methoden wie geschwärzte Ausweiskopien oder gesicherte E-Mail-Kommunikation.
    • Datenübermittlung absichern: Verwenden Sie angemessene Übertragungswege, die den Schutz der Daten gewährleisten.
    • Verhältnismäßigkeit wahren: Die Maßnahmen zur Identitätsfeststellung und Datenübermittlung dürfen keine unnötigen Hürden darstellen.

      Fazit

      Die Verarbeitung von Auskunftsersuchen erfordert Sorgfalt und ein Gleichgewicht zwischen Datenschutz und Zugänglichkeit. Verantwortliche sollten klare Prozesse definieren, um den Anforderungen der DSGVO gerecht zu werden, ohne die Rechte der Betroffenen unverhältnismäßig einzuschränken. Transparenz und Sicherheit sind dabei der Schlüssel zur erfolgreichen Umsetzung.

      Dieser Beitrag wurde unter Arbeitgeber, Arbeitnehmer, Betroffene Personen, Unternehmen veröffentlicht. Setze ein Lesezeichen auf den Permalink.