≡ Sitemap
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD)

Sie sind hier: > Start > Datenschutzreform 2018 > AKI 22: Identifizierung bei der Geltendmachung von Betroffenenrechten

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 01.06.2020

Aktuelle Kurz-Information 22: Identifizierung bei der Geltendmachung von Betroffenenrechten

Stichwörter: Ausweiskopie - Betroffenenrechte - Identitätszweifel, Betroffenenrechte - Meldedatenabgleich bei Art. 12 Abs. 6 DSGVO; Stand 1. Juli 2020

Jede betroffene Person kann von einer öffentlichen Stelle Auskunft unter anderem darüber verlangen, welche personenbezogenen Daten über sie gespeichert sind, zu welchen Zwecken diese Daten verarbeitet und wem gegenüber sie offen gelegt werden. Dieses Auskunftsrecht sowie weitere Betroffenenrechte sind in Kapitel III (Art. 12 bis 23) Datenschutz-Grundverordnung (DSGVO) geregelt. Sie stehen (nur) der betroffenen Person selbst zu. Wird ein Auskunftsantrag gestellt, so kann es nun in der Praxis zweifelhaft sein, ob es sich bei der Antragstellerin oder dem Antragsteller um diejenige Person handelt, deren Betroffenenrechte geltend gemacht werden. Das gilt insbesondere bei einer telefonischen Kontaktaufnahme.

Die öffentliche Stelle muss eine betroffene Person bei der Antragstellung unterstützen (vgl. Art. 12 Abs. 2 Satz 1 DSGVO) und einem Antrag möglichst rasch und bürgerfreundlich entsprechen. Zugleich muss sie aber sicherstellen, dass sie personenbezogene Daten nicht an Unbefugte übermittelt. Zweifel an der Identität einer Antragstellerin oder eines Antragstellers darf die öffentliche Stelle daher weder vorschnell annehmen noch leichtfertig unterdrücken.

Vor diesem Hintergrund bestimmt Art. 12 Abs. 6 DSGVO:

"Hat der Verantwortliche begründete Zweifel an der Identität der natürlichen Person, die den Antrag gemäß den Artikeln 15 bis 21 stellt, so kann er unbeschadet des Artikels 11 zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind."

Die vorliegende Aktuelle Kurz-Information beantwortet einige in der Verwaltungspraxis immer wieder auftretende Fragen, die sich bei der Anwendung dieser Vorschriften stellen. Im Vordergrund steht dabei das Recht auf Auskunft nach Art. 15 Abs. 1 DSGVO.

1. Wann bestehen "Zweifel an der Identität" eines Antragstellers oder einer Antragstellerin?

Bei Beantwortung der Frage, ob Zweifel an der Identität des Antragstellers oder der Antragstellerin bestehen (vgl. Art. 12 Abs. 6 DSGVO), sollte zunächst einmal danach unterschieden werden, ob die betreffende Person bekannt ist oder nicht.

  • Regelmäßig bestehen keine Zweifel, wenn der Antragsteller oder die Antragstellerin dem Verantwortlichen persönlich bekannt ist, etwa weil der zuständige Sachbearbeiter oder die zuständige Sachbearbeiterin den Antragsteller oder die Antragstellerin samt der Kontaktdaten (E-Mail-Adresse, Postanschrift) aus dem Verwaltungsvorgang kennt. Gleichwohl ist auch hier Aufmerksamkeit geboten:

    • Ist die betroffene Person dem Verantwortlichen zwar grundsätzlich bekannt, können Zweifel an der Identität des Antragstellers oder der Antragstellerin insbesondere bei der Verwendung unbekannter Kontaktdaten (bislang unbekannte E-Mail-Adresse, Fax-Nummer oder Postanschrift) aufkommen.
    • Zweifel können auch entstehen, wenn ein Antrag als ungewöhnlich erscheint, weil er in seiner äußeren Form oder seiner sprachlichen Gestaltung von der bisherigen Korrespondenz abweicht. Zu beachten ist dabei, dass im Internet gerade für Auskunftsanträge Formulare mit vorgefertigten Standardtexten angeboten werden.

  • Die bloße Tatsache, dass ein Antragsteller oder eine Antragstellerin der öffentlichen Stelle - etwa aufgrund bereits vorhandener Kontaktdaten - nicht persönlich bekannt ist, führt nicht automatisch zu Zweifeln an seiner oder ihrer Identität. Art. 12 Abs. 6 DSGVO zielt nicht darauf, dass Verantwortliche für jeden Fall der Geltendmachung von Betroffenenrechten routinemäßige Identitätsprüfungen einrichten.

    Dennoch werden unbekannte Personen durch Umstände ihres Auftretens häufiger Identitätszweifel wecken als bekannte. Dabei kann auch die Bedeutung des Antrags für die betroffene Person eine Rolle spielen. Der Antrag, eine allgemeine Auskunft über den Zweck einer Datenverarbeitung zu erhalten (vgl. Art. 15 Abs. 1 Satz 1 Halbsatz 2 Buchst. a DSGVO), ist weniger gewichtig als ein Antrag, der sich auf einen Aufenthalt in einer psychiatrischen Klinik eines Bezirks bezieht und auch medizinische Befunde erfasst. In diesem Fall drohen erhebliche Nachteile für die Rechte und Freiheiten der betroffenen Person, wenn die Informationen auf Grund einer Identitätstäuschung an einen Dritten herausgegeben werden. Mit steigender Bedeutung des Antrags für die Rechte und Freiheiten betroffener Personen tritt die Funktion des Art. 12 Abs. 6 DSGVO in den Vordergrund, einer Beeinträchtigung der Datenvertraulichkeit präventiv entgegenzuwirken. Wird Auskunft über besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO begehrt, ist es regelmäßig angezeigt, dass sich der Verantwortliche in geeigneter Form über die Identität der antragstellenden Person vergewissert und/oder Maßnahmen trifft, dass die Informationen nur die betroffene Person erreichen können.

2. Wann sind die Zweifel an der Identität eines Antragstellers oder einer Antragstellerin "begründet"?

Die öffentliche Stelle darf gemäß Art. 12 Abs. 6 DSGVO Nachweise für die Identität eines Antragstellers oder einer Antragstellerin fordern, wenn ihre Zweifel an der Identität des Antragstellers oder der Antragstellerin "begründet" sind. Aus der Gesetzesformulierung ergibt sich, dass die pauschale Behauptung von Zweifeln nicht genügt, um einen Antrag nach den Art. 15 bis 21 DSGVO abzulehnen. Der Verantwortliche muss insofern auch seiner Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) nachkommen, sodass eine Dokumentation der begründeten Zweifel angebracht ist. Die Zweifel an der Identität des Antragstellers oder der Antragstellerin sind einzelfallbezogen plausibel darzulegen.

3. Welche Maßnahmen kann oder muss der Verantwortliche selbst treffen, um eine antragstellende Person zu identifizieren?

Nach Erwägungsgrund 64 Satz 1 DSGVO hat die öffentliche Stelle alle vertretbaren Mittel zur Identifikation einer Auskunft suchenden Person zu nutzen. Daraus ergibt sich eine Pflicht, Identitätszweifel mithilfe vorhandener Informationen möglichst selbst zu beseitigen.

  • Ein einfaches - allerdings nicht in jedem Fall praktikables - Mittel ist der Abgleich mit vorhandenen Kontaktinformationen. Anschließend kann der Verantwortliche personenbezogene Daten über den "verifizierten" Rückkanal versenden, indem er etwa ein entsprechendes Dokument der betroffenen Person unter ihrer bekannten Adresse per Briefpost zuleitet. Die erforderlichen Adressdaten der betroffenen Person werden den maßgeblichen Verwaltungsvorgängen oder - etwa bei wirtschaftlicher Betätigung von Kommunen - einer Kundendatei entnommen.

  • Zum Abgleich der vom Antragsteller oder der Antragstellerin angegebenen Daten können auch Meldedaten genutzt werden:

    • Nach § 37 Abs. 1 in Verbindung mit § 34 Abs. 1 Bundesmeldegesetz (BMG) dürfen innerhalb der Verwaltungseinheit, der die Meldebehörde angehört, bestimmte Meldedaten weitergegeben werden, wenn dies zur Erfüllung der in ihrer Zuständigkeit liegenden öffentlichen Aufgaben erforderlich ist. Zu diesen Aufgaben zählt es auch, datenschutzrechtlichen Ansprüchen nachzukommen.
    • Hat die öffentliche Stelle keinen eigenen Zugriff auf die Meldedaten, kann sie diese bei der Meldebehörde anfordern. Zwar sind personenbezogene Daten gemäß Art. 4 Abs. 2 Satz 1 Bayerisches Datenschutzgesetz (BayDSG) vorrangig bei der betroffenen Person zu erheben. Sie können aber gemäß Art. 4 Abs. 2 Satz 2 Nr. 4 BayDSG bei einer anderen öffentlichen Stelle erhoben werden, wenn die Daten von der anderen Stelle an die erhebende Stelle übermittelt werden dürfen. Diese Voraussetzungen sind grundsätzlich erfüllt. Die Meldebehörden dürfen gemäß § 34 Abs. 1 BMG die dort genannten Daten (z. B. Name, Anschrift, Geburtsort) öffentlichen Stellen der Länder im Sinne von § 2 Abs. 2 Bundesdatenschutzgesetz übermitteln, wenn dies zur Erfüllung einer öffentlichen Aufgabe des Empfängers erforderlich ist.
    • Meldedaten können häufig im Rahmen des auf der Grundlage der Verordnung zur Übermittlung von Meldedaten (MeldDV) eingerichteten Bayerischen Behördeninformationssystems (BayBIS) abgerufen werden (zum BayBIS erläuternd mein Beitrag Nr. 7.1 "Nicht dienstlich veranlasste Abfrage von Meldedaten im Bayerischen Behördeninformationssystem [BayBIS]" im 28. Tätigkeitsbericht 2018, im Internet abrufbar auf https://www.datenschutz-bayern.de in der Rubrik "Tätigkeitsberichte").

Erwägungsgrund 64 Satz 1 DSGVO beschränkt die Pflicht der öffentlichen Stelle zur Beseitigung von Zweifeln an der Identität der Person des Antragstellers oder der Antragstellerin auf "vertretbare" Maßnahmen. Die öffentliche Stelle muss daher nicht "um jeden Preis" die Identität des Antragstellers oder der Antragstellerin zu ermitteln suchen. Hat sie keinen eigenen Zugang zu den Meldedaten, wird es regelmäßig auch nicht zu bemängeln sein, wenn sie von einer Anfrage bei der Meldebehörde absieht.

4. Welche Identitätsnachweise können bei begründeten Zweifeln
von einer antragstellenden Person gefordert werden?

Können im Einzelfall bestehende Zweifel an der Identität des Antragstellers oder der Antragstellerin durch die öffentliche Stelle nicht vertretbar mithilfe verfügbarer Informationen überwunden werden, wird die öffentliche Stelle von dem Antragsteller oder der Antragstellerin einen Identitätsnachweis verlangen. Im Interesse der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) sollen dabei nur Daten gefordert werden, die zur Identifizierung zwingend erforderlich sind.

Nach Möglichkeit sollten dem Antragsteller oder der Antragstellerin verschiedene Optionen zur Identifikation angeboten werden. Art. 12 Abs. 1 Satz 3 und Abs. 3 Satz 4 DSGVO weisen darauf hin, dass grundsätzlich die betroffene Person die freie Wahl der Kommunikationsmittel hat. Die folgenden Beispiele beschreiben Möglichkeiten, die dem Antragsteller oder der Antragstellerin angeboten werden können.

  • Haben die betroffene Person und die öffentliche Stelle bisher elektronisch unter Verwendung sicherer Authentifizierungsmittel kommuniziert, kann die öffentliche Stelle anregen, dass der Antragsteller oder die Antragstellerin seinen oder ihren Antrag auf dem bislang üblichen Weg stellt. Ist die betroffene Person etwa mit einem "Bürgerkonto" bei einer Gemeinde registriert und dient dieses allgemein zur digitalen Abwicklung von Verwaltungsvorgängen, kann die Gemeinde dem Antragsteller oder der Antragstellerin die Nutzung dieses Zugangs empfehlen.
  • Bei Verwendung einer bisher unbekannten E-Mail-Adresse kann auch vorgeschlagen werden, den Antrag über eine schon bekannte Adresse kurz zu bestätigen. Das gilt jedenfalls dann, wenn Anhaltspunkte dafür fehlen, dass die Kennung oder sonstige Zugangsberechtigung unbefugt benutzt wird. Die öffentliche Stelle kann aber nicht verlangen, dass der Antragsteller oder die Antragstellerin zur Identifizierung Nutzer oder Nutzerin des Online-Dienstes wird.
  • In Betracht kommt auch die Abfrage von Informationen, die zum Zweck der Kommunikation zwischen der betroffenen Person und dem Verantwortlichen vereinbart wurden (z. B. Kennwort, Kundennummer, Transaktionsnummer). So könnte ein kommunaler Wasserversorger die Angabe spezifizierender Kundendaten verlangen, von denen nur die betroffene Person weiß, wenn ihm ein Antragsteller oder eine Antragstellerin auf eine nach dem bisherigen Kontakt ungewöhnliche Weise entgegentritt.
  • Je nach Bedeutung des Antrags kommt zudem eine persönliche Vorsprache und/oder die Identifizierung durch ein amtliches Ausweisdokument in Betracht.

Die Anforderung einer Ausweiskopie ist aus datenschutzrechtlicher Sicht regelmäßig nicht erforderlich. Anderes kann etwa gelten, wenn eine Auskunft besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) betrifft. Die Anforderung unterliegt jedenfalls den in § 20 Abs. 2 Personalausweisgesetz und § 18 Abs. 3 Paßgesetz genannten Grenzen. Danach muss insbesondere sichergestellt sein, dass eine Kopie dauerhaft als solche erkennbar ist. Grundsätzlich wird es allerdings genügen, sich den Ausweis vorlegen zu lassen und darüber eine Aktennotiz zu fertigen. Es ist ausreichend, dabei Name, Vorname, Geburtsdatum und Seriennummer des Ausweisdokuments festzuhalten (beim Personalausweis und auf der Datenseite des Reisepasses jeweils in der rechten oberen Ecke). Wird im Ausnahmefall zulässigerweise eine Ausweiskopie gefordert, ist die betroffene Person auf die Möglichkeit einer Schwärzung der nicht benötigten Daten hinzuweisen.

5. Was geschieht, wenn der Identitätsnachweis scheitert?

Hat die öffentliche Stelle alle vertretbaren Mittel zur Identifikation erfolglos eingesetzt und auch der Antragsteller oder die Antragstellerin nicht an der Beseitigung der bestehenden Zweifel mitgewirkt, wird sie dem Antrag nicht entsprechen.

Dieses Ergebnis steht mit der Pflicht der öffentlichen Stelle zu einem angemessenen Schutz der verarbeiteten Daten (Art. 5 Abs. 1 Buchst. f DSGVO) in Einklang und spiegelt sich auch in Art. 12 Abs. 2 Satz 2 und Art. 11 Abs. 2 DSGVO wider. Danach kann der Verantwortliche sich weigern, einem Antrag nach Art. 15 ff. DSGVO zu entsprechen, wenn er glaubhaft macht, dass er nicht in der Lage ist, die betroffene Person zu identifizieren. Diese Pflicht zur Glaubhaftmachung konkretisiert die Rechenschaftspflicht in Art. 5 Abs. 2 DSGVO. Die öffentliche Stelle ist verpflichtet, ihre begründeten Zweifel an der Identität des Antragstellers oder der Antragstellerin und seine oder ihre unzureichende Mitwirkung an der Identifizierung zu dokumentieren und erforderlichenfalls gegenüber der Datenschutz-Aufsichtsbehörde nachzuweisen.

Ist der Antragsteller oder die Antragstellerin der Auffassung, die Weigerung sei nicht rechtmäßig, kann er oder sie sich an die Datenschutz-Aufsichtsbehörde wenden (vgl. Art. 77 Abs. 1 DSGVO).

6. Dürfen erhobene Identitätsnachweise gespeichert werden?

Art. 12 Abs. 6 DSGVO gestattet der öffentlichen Stelle, die zur Identifizierung erforderlichen Daten zu erheben und für diesen Zweck zu verarbeiten. Die dauerhafte Speicherung der Identifizierungsdaten für künftige Identitätsprüfungen sieht Art. 12 Abs. 6 DSGVO nicht vor (vgl. Erwägungsgrund 64 Satz 2 DSGVO). Sofern nicht eine bereichsspezifische Rechtsgrundlage die Speicherung der Identifizierungsdaten zulässt, sind diese nach Zweckerreichung zu löschen. Das entspricht dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO).

7. Welche vorbeugenden Maßnahmen können öffentliche Stellen treffen?

Öffentliche Stellen sollten prüfen, ob sie durch vorbeugende Maßnahmen späteren Schwierigkeiten bei der Identifizierung von Antragstellern oder Antragstellerinnen entgegenwirken können.

Beim Recht auf Auskunft (Art. 15 DSGVO) steht dabei die Gewährleistung eines sicheren Rückkanals im Vordergrund. Je nach dem Grad der Schutzwürdigkeit zu übermittelnder personenbezogener Daten kann dabei die Dokumentation einer Telefonnummer für einen "Kontrollanruf" oder die Vereinbarung eines Kennworts in Betracht kommen. Sicherheit und Komfort lassen sich auch in Auskunftsportalen verbinden (vgl. Erwägungsgrund 63 Satz 4 DSGVO). Dort können betroffene Personen, die nach Verifizierung der angegebenen Identität ein (Einmal-)Passwort erhalten haben, die beantragten Informationen gesichert herunterladen.

So entspricht die öffentliche Stelle der Verpflichtung, die Ausübung der Betroffenenrechte zu erleichtern; zugleich gestaltet sie ihre Verwaltungsarbeit effizient, insbesondere wenn sie ihre Dienstleistungen ohnehin bereits elektronisch anbietet.

8. Was ist bei der Selbstauskunft über Meldedaten hinsichtlich des Identitätsnachweises zu beachten?

Mit der Anpassung des Bundesmeldegesetzes an die Datenschutz-Grundverordnung hat der Gesetzgeber die bislang eigenständige Regelung eines Anspruchs der betroffenen - meldepflichtigen - Person auf "Selbstauskunft" abgeschafft. Eine solche Regelung enthielt § 10 Abs. 1 BMG in der bis zum 25. November 2019 geltenden Fassung. Die Selbstauskunft richtet sich nun im Grundsatz nach Art. 15 DSGVO, wobei § 10 und § 11 BMG jedoch einzelne Modifikationen vorsehen.

So schreibt § 10 Abs. 1 BMG nun eine Identitätsprüfung zwingend vor. Der Gesetzgeber unterstellt in Ansehung des Umfangs und der Sensibilität des Datensatzes eine erhöhte Missbrauchsgefahr, sodass stets die von Art. 12 Abs. 6 DSGVO geforderten "begründeten Zweifel" (siehe Fragen 1 und 2) vorliegen. Die Auswahl der Mittel der Identitätsprüfung richtet sich grundsätzlich nach den allgemeinen Regeln.

Zu den Mitteln der Identitätsprüfung trifft das Gesetz keine umfassende Regelung. Die - schon in der ursprünglichen Fassung des Bundesmeldegesetzes enthaltene - Vorschrift des § 10 Abs. 3 BMG behielt der Gesetzgeber bei. Diese Vorschrift legt aus datenschutz-rechtlicher Sicht einen Standard der Identitätsprüfung für den Fall der elektronisch beantragten Selbstauskunft fest. Sie ist jedoch nicht dahin zu verstehen, dass in anderen Fällen - insbesondere bei einer persönlichen Vorsprache - nur die in § 10 Abs. 3 BMG genannten Identifizierungsmittel genutzt werden dürfen.

Lesehinweis: Zur Anforderung von Ausweiskopien zur Feststellung der Identität des Antragstellers oder der Antragstellerin siehe die Beiträge Nr. 2.1.5 "Anfertigen von Kopien des neuen Personalausweises (nPA)" und Nr. 3.7 "Ausweiskopien zum Identitätsnachweis bei Auskunftsersuchen" in meinem 26. Tätigkeitsbericht 2014. Diese Ausführungen gelten sinngemäß auch unter der Datenschutz-Grundverordnung und dem neuen Polizeiaufgaben-Gesetz (PAG).