≡ Sitemap
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD)

Sie sind hier: > Start > Tätigkeitsberichte > 29. TB 2019 > 2. Allgemeines Datenschutzrecht

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 99.01.2020

2. Allgemeines Datenschutzrecht

2.1. "Datenschutzreform 2018" - Ausweitung des Informationsangebots des Bayerischen Landesbeauftragten für den Datenschutz

Verstöße gegen datenschutzrechtliche Vorgaben wie auch Verfehlungen technisch-organisatorischer Standards können Verantwortliche oftmals vermeiden, wenn sie sich mit diesen Vorgaben und Standards sowie mit Instrumenten des Datenschutzes vertraut machen. Ein solcher präventiver Datenschutz ist zwar nicht ohne einen gewissen Aufwand an personellen und sachlichen Ressourcen zu haben; langfristig zahlt es sich aber aus, wenn ein Verantwortlicher nicht "alles dem Zufall überlässt".

Vor diesem Hintergrund habe ich schon vor dem Geltungsbeginn der Datenschutz-Grundverordnung damit begonnen, ein Informationsangebot für bayerische öffentliche - insbesondere staatliche und kommunale - Stellen als gemäß Art. 3 Abs. 2 BayDSG datenschutzrechtlich Verantwortliche aufzubauen (siehe bereits meinen 28. Tätigkeitsbericht 2018 unter Nr. 2.1). Im Berichtszeitraum habe ich wiederum zahlreiche neue Orientierungshilfen, Arbeitspapiere und Aktuelle Kurz-Informationen veröffentlicht. Alle diese Materialien stehen auf meiner Internetpräsenz https://www.datenschutz-bayern.de (externer Link) in der Rubrik "Datenschutzreform 2018" zum kostenfreien Abruf bereit.

Meine Orientierungshilfen behandeln größere Themenkreise, wobei sie Elemente eines Kommentars mit praktischen Hinweisen verbinden. Bayerische öffentliche Stellen erhalten so das datenschutzfachliche "Rüstzeug" für eine sichere Rechtsanwendung.

  • Im Juni 2019 erschien die Orientierungshilfe "Meldepflicht und Benachrichtigungspflicht des Verantwortlichen". Auf der Grundlage der bisher gewonnenen Erfahrungen greift die Orientierungshilfe zahlreiche Zweifelsfragen auf und erläutert für die bayerische Verwaltungspraxis umfassend die insoweit einschlägigen Vorschriften der Datenschutz-Grundverordnung sowie des bayerischen Landesrechts. Dabei macht die Orientierungshilfe deutlich, dass nicht jeder Verstoß gegen datenschutzrechtliche Vorschriften, sondern nur eine Verletzung der Sicherheit personenbezogener Daten die Melde- und gegebenenfalls auch die Benachrichtigungspflicht auslöst. Sie gibt Rat suchenden öffentlichen Stellen weiterhin Empfehlungen für eine vereinfachte Risikoanalyse sowie für die Nutzung meines mit Geltungsbeginn der Datenschutz-Grundverordnung eingeführten Online-Meldeformulars.
  • Im Dezember 2019 habe ich zudem eine Orientierungshilfe "Das Recht auf Auskunft nach der Datenschutz-Grundverordnung" bereitgestellt. Das Recht auf Auskunft nach Art. 15 DSGVO nimmt unter den Betroffenenrechten eine Schlüsselfunktion ein. Erst mit einer Auskunft lässt sich die Rechtmäßigkeit einer Verarbeitung der eigenen personenbezogenen Daten realistisch einschätzen. Die Auskunft schafft zudem eine Voraussetzung für den Gebrauch weiterer Betroffenenrechte, insbesondere auf Berichtigung und auf Löschung. Seit Geltungsbeginn der Datenschutz-Grundverordnung habe ich zu Art. 15 DSGVO viele Anfragen von Bürgerinnen und Bürgern, aber auch von Behörden beantwortet. In der Orientierungshilfe ist die so gewonnene Beratungspraxis zusammengefasst; die Erläuterungen beziehen überdies zu zahlreichen in Rechtsprechung und Literatur erörterten Fragen Stellung.
  • Ausgebaut habe ich mein Informationsangebot zum Themenkreis "Datenschutz-Folgenabschätzung (DSFA)". Die Datenschutz-Folgenabschätzung gab es vor der Datenschutzreform noch nicht. Hat eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, muss der für sie Verantwortliche nach dem neuen Recht nun eine Datenschutz-Folgenabschätzung durchführen. Dabei erarbeitet er strukturiert eine Beschreibung der Risiken und setzt ihnen geeignete technische und organisatorische Maßnahmen entgegen. Bayerische Behörden sind für zahllose Datenverarbeitungen verantwortlich. Darunter können sich auch solche Verarbeitungen befinden, die einer Datenschutz-Folgenabschätzung bedürfen.

Um die Identifizierung von "Hochrisiko-Verarbeitungen" zu erleichtern, habe ich die "Bayerische Blacklist" veröffentlicht, welche die wichtigsten Fälle aufzählt. Dazu bin ich nach der Datenschutz-Grundverordnung im Übrigen verpflichtet (siehe Art. 35 Abs. 4 DSGVO).

Zur Unterstützung der bayerischen Behörden habe ich außerdem meine bereits Mitte Mai 2018 veröffentlichte Orientierungshilfe "Datenschutz-Folgenabschätzung" überarbeitet und um ein neues, ausführliches Arbeitspapier zur Methodik ergänzt. Eine Fallstudie zeigt hier beispielhaft, wie eine Datenschutz-Folgenabschätzung IT-gestützt effektiv und effizient erarbeitet werden kann. Sie illustriert zugleich den Nutzen, den dieses Instrument im Rahmen eines geordneten Risikomanagements hat.

Zur Verfügung gestellt habe ich den bayerischen öffentlichen Stellen zudem eine Software, welche die Durchführung von Datenschutz-Folgenabschätzungen unterstützen soll. Das von der französischen Datenschutz-Aufsichtsbehörde entwickelte PIA-Tool liegt nun in deutscher Übersetzung vor. Ergänzend erscheinen sukzessive einige Werkzeuge, welche verschiedene Arbeitsschritte der Datenschutz-Folgenabschätzung erleichtern sollen. Alle diese Angebote sind auf meiner Homepage in der Rubrik "DSFA" näher erläutert (siehe vertiefend auch den Beitrag Nr. 12.2).

  • Eine Überarbeitung erfuhr schließlich die Orientierungshilfe "Auftragsverarbeitung", die von Verantwortlichen besonders häufig nachgefragt wird.

Mit den Arbeitspapieren habe ich ein neues Format etabliert, das "kleineren" Themen gewidmet ist.

  • Im Berichtszeitraum erschien zunächst das Arbeitspapier "Verarbeitung von Sozialdaten durch Beistand, Amtspfleger und Amtsvormund" (Februar 2019), das einen Themenkreis insbesondere aus dem Bereich der Ämter für Kinder, Jugend und Familie aufgreift (siehe näher den Beitrag Nr. 8.1).
  • Das Arbeitspapier "Die förmliche Verpflichtung als Instrument des Datenschutzes" (September 2019) beantwortet Fragen rund um die Verpflichtung nach dem Verpflichtungsgesetz. Mit diesem Instrument können Personen, die für öffentliche Stellen tätig werden, dem für Beamtinnen und Beamte geltenden strafrechtlichen Vertraulichkeitsschutz unterworfen werden.
  • In dem Arbeitspapier "Offenkundig unbegründete und exzessive Anträge" (September 2019) geht es dagegen um das Verständnis von Art. 12 Abs. 5 DSGVO, einer Vorschrift, die von Verantwortlichen öfter als rechtsmissbräuchlich eingeschätzten Auskunftsersuchen entgegengehalten wird. Das Arbeitspapier macht deutlich, dass bei der Anwendung dieser Vorschrift Zurückhaltung angezeigt ist.

Meine Aktuellen Kurz-Informationen greifen häufige Gegenstände aus der Beratungspraxis auf; vereinzelt ordnen sie auch neue Rechtsprechung ein. Im Berichtszeitraum sind mit den Aktuellen Kurz-Informationen 17 bis 26 insgesamt zehn dieser Beiträge erschienen. Die Reihe wird auch im folgenden Berichtszeitraum fortgesetzt.

Von dem in erster Linie für die Bürgerinnen und Bürger im Freistaat gedachten Buch "Meine Daten, die Verwaltung und ich" habe ich zunächst im Juli 2019 eine erste Auflage elektronisch zur Verfügung gestellt. Die durchgesehene zweite Auflage kann seit Dezember 2019 auch in gedruckter Fassung kostenfrei bezogen werden. Dieses Buch soll den bayerischen Bürgerinnen und Bürgern das notwendige Know-How vermitteln, um in einer zunehmend digitalisierten Welt den eigenen Freiheitsraum sichern zu können. Nach einer Darstellung der wichtigsten Grundstrukturen und Begriffe des Datenschutzrechts befasst sich das Buch zentral mit den Betroffenenrechten der Datenschutz-Grundverordnung, etwa den Rechten auf Auskunft, auf Berichtigung und auf Löschung. Hieran schließen sich Erläuterungen zur Datenschutzaufsicht und zum Beschwerderecht an. Bürgerinnen und Bürgern soll somit aufgezeigt werden, wie sie ihre Datenschutzrechte effektiv wahrnehmen und verteidigen können.

In den Berichtszeitraum fiel zudem eine Neugestaltung der Rubrik "Recht & Normen" auf meiner Homepage. Bürgerinnen und Bürger finden hier - thematisch sortiert und aus unterschiedlichen Quellen zusammengeführt - zahlreiche Vorschriftentexte, die datenschutzrechtliche Regelungen enthalten und daher für meine Beratungspraxis von Bedeutung sind.

2.2. Identifizierung bei der Geltendmachung von Betroffenenrechten

Jede betroffene Person kann von einer öffentlichen Stelle Auskunft unter anderem darüber verlangen, welche personenbezogenen Daten über sie gespeichert sind, zu welchen Zwecken diese Daten verarbeitet und wem gegenüber sie offen gelegt werden. Dieses Auskunftsrecht sowie weitere Betroffenenrechte sind in Kapitel III (Art. 12 bis 23) DSGVO geregelt. Sie stehen (nur) der betroffenen Person selbst zu. Wird ein Auskunftsantrag gestellt, so kann es nun in der Praxis zweifelhaft sein, ob es sich bei der Antragstellerin oder dem Antragsteller um diejenige Person handelt, deren Betroffenenrechte geltend gemacht werden. Das gilt insbesondere bei einer telefonischen Kontaktaufnahme.

Die öffentliche Stelle muss eine betroffene Person bei der Antragstellung unterstützen (vgl. Art. 12 Abs. 2 Satz 1 DSGVO) und einem Antrag möglichst rasch und bürgerfreundlich entsprechen. Zugleich muss sie aber sicherstellen, dass sie personenbezogene Daten nicht an Unbefugte übermittelt. Zweifel an der Identität einer Antragstellerin oder eines Antragstellers darf die öffentliche Stelle daher weder vorschnell annehmen noch leichtfertig unterdrücken.

Vor diesem Hintergrund bestimmt Art. 12 Abs. 6 DSGVO:

"Hat der Verantwortliche begründete Zweifel an der Identität der natürlichen Person, die den Antrag gemäß den Artikeln 15 bis 21 stellt, so kann er unbeschadet des Artikels 11 zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind."

Der vorliegende Beitrag beantwortet einige in der Verwaltungspraxis immer wieder auftretende Fragen, die sich bei der Anwendung dieser Vorschriften stellen. Im Vordergrund steht dabei das Recht auf Auskunft nach Art. 15 Abs. 1 DSGVO.

2.2.1. Wann bestehen "Zweifel an der Identität" eines Antragstellers oder einer Antragstellerin?

Bei Beantwortung der Frage, ob Zweifel an der Identität des Antragstellers oder der Antragstellerin bestehen (vgl. Art. 12 Abs. 6 DSGVO), sollte zunächst einmal danach unterschieden werden, ob die betreffende Person bekannt ist oder nicht.

  • Regelmäßig bestehen keine Zweifel, wenn der Antragsteller oder die Antragstellerin dem Verantwortlichen persönlich bekannt ist, etwa weil der zuständige Sachbearbeiter oder die zuständige Sachbearbeiterin den Antragsteller oder die Antragstellerin samt der Kontaktdaten (E-Mail-Adresse, Postanschrift) aus einem Verwaltungsvorgang kennt. Gleichwohl ist auch hier Aufmerksamkeit geboten:

Ist die betroffene Person dem Verantwortlichen zwar grundsätzlich bekannt, können Zweifel an der Identität des Antragstellers oder der Antragstellerin insbesondere bei der Verwendung unbekannter Kontaktdaten (bislang unbekannte E-Mail-Adresse, Fax-Nummer oder Postanschrift) aufkommen.

Zweifel können auch entstehen, wenn ein Antrag als ungewöhnlich erscheint, weil er in seiner äußeren Form oder seiner sprachlichen Gestaltung von der bisherigen Korrespondenz abweicht. Zu beachten ist dabei, dass im Internet gerade für Auskunftsanträge Formulare mit vorgefertigten Standardtexten angeboten werden.

  • Die bloße Tatsache, dass ein Antragsteller oder eine Antragstellerin der öffentlichen Stelle - etwa aufgrund bereits vorhandener Kontaktdaten - nicht persönlich bekannt ist, führt nicht automatisch zu Zweifeln an seiner oder ihrer Identität. Art. 12 Abs. 6 DSGVO zielt nicht darauf, dass Verantwortliche für jeden Fall der Geltendmachung von Betroffenenrechten routinemäßige Identitätsprüfungen einrichten.

Dennoch werden unbekannte Personen durch Umstände ihres Auftretens häufiger Identitätszweifel wecken als bekannte. Dabei kann auch die Bedeutung des Antrags für die betroffene Person eine Rolle spielen. Der Antrag, eine allgemeine Auskunft über den Zweck einer Datenverarbeitung zu erhalten (vgl. Art. 15 Abs. 1 Satz 1 Halbsatz 2 Buchst. a DSGVO), ist weniger gewichtig als ein Antrag, der sich auf einen Aufenthalt in einer psychiatrischen Klinik eines Bezirks bezieht und auch medizinische Befunde erfasst. In diesem Fall drohen erhebliche Nachteile für die Rechte und Freiheiten der betroffenen Person, wenn die Informationen auf Grund einer Identitätstäuschung an einen Dritten herausgegeben werden. Mit steigender Bedeutung des Antrags für die Rechte und Freiheiten betroffener Personen tritt die Funktion des Art. 12 Abs. 6 DSGVO in den Vordergrund, einer Beeinträchtigung der Datenvertraulichkeit präventiv entgegenzuwirken. Wird Auskunft über besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO begehrt, ist es regelmäßig angezeigt, dass sich der Verantwortliche in geeigneter Form über die Identität der antragstellenden Person vergewissert und/oder Maßnahmen trifft, dass die Informationen nur die betroffene Person erreichen können.

2.2.2. Wann sind die Zweifel an der Identität eines Antragstellers oder einer Antragstellerin "begründet"?

Die öffentliche Stelle darf gemäß Art. 12 Abs. 6 DSGVO Nachweise für die Identität eines Antragstellers oder einer Antragstellerin fordern, wenn ihre Zweifel an der Identität des Antragstellers oder der Antragstellerin "begründet" sind. Aus der Gesetzesformulierung ergibt sich, dass die pauschale Behauptung von Zweifeln nicht genügt, um einen Antrag nach den Art. 15 bis 21 DSGVO abzulehnen. Der Verantwortliche muss insofern auch seiner Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) nachkommen, sodass eine Dokumentation der begründeten Zweifel angebracht ist. Die Zweifel an der Identität des Antragstellers oder der Antragstellerin sind einzelfallbezogen plausibel darzulegen.

2.2.3. Welche Maßnahmen kann oder muss der Verantwortliche selbst treffen, um eine antragstellende Person zu identifizieren?

Nach Erwägungsgrund 64 Satz 1 DSGVO hat die öffentliche Stelle alle vertretbaren Mittel zur Identifikation einer Auskunft suchenden Person zu nutzen. Daraus ergibt sich eine Pflicht, Identitätszweifel mithilfe vorhandener Informationen möglichst selbst zu beseitigen.

  • Ein einfaches - allerdings nicht in jedem Fall praktikables - Mittel ist der Abgleich mit vorhandenen Kontaktinformationen. Anschließend kann der Verantwortliche personenbezogene Daten über den "verifizierten" Rückkanal versenden, indem er etwa ein entsprechendes Dokument der betroffenen Person unter ihrer bekannten Adresse per Briefpost zuleitet. Die erforderlichen Adressdaten der betroffenen Person werden den maßgeblichen Verwaltungsvorgängen oder - etwa bei wirtschaftlicher Betätigung von Kommunen - einer Kundendatei entnommen.
  • Zum Abgleich der vom Antragsteller oder der Antragstellerin angegebenen Daten können auch Meldedaten genutzt werden:

Nach § 37 Abs. 1 in Verbindung mit § 34 Abs. 1 Bundesmeldegesetz (BMG) dürfen innerhalb der Verwaltungseinheit, der die Meldebehörde angehört, bestimmte Meldedaten weitergegeben werden, wenn dies zur Erfüllung der in ihrer Zuständigkeit liegenden öffentlichen Aufgaben erforderlich ist. Zu diesen Aufgaben zählt es auch, datenschutzrechtlichen Ansprüchen nachzukommen.

Hat die öffentliche Stelle keinen eigenen Zugriff auf die Meldedaten, kann sie diese bei der Meldebehörde anfordern. Zwar sind personenbezogene Daten gemäß Art. 4 Abs. 2 Satz 1 BayDSG vorrangig bei der betroffenen Person zu erheben. Sie können aber gemäß Art. 4 Abs. 2 Satz 2 Nr. 4 BayDSG bei einer anderen öffentlichen Stelle erhoben werden, wenn die Daten von der anderen Stelle an die erhebende Stelle übermittelt werden dürfen. Diese Voraussetzungen sind grundsätzlich erfüllt. Die Meldebehörden dürfen gemäß § 34 Abs. 1 BMG die dort genannten Daten (zum Beispiel Name, Anschrift, Geburtsort) öffentlichen Stellen der Länder im Sinne von § 2 Abs. 2 Bundesdatenschutzgesetz übermitteln, wenn dies zur Erfüllung einer öffentlichen Aufgabe des Empfängers erforderlich ist.

Meldedaten können häufig im Rahmen des auf der Grundlage der Verordnung zur Übermittlung von Meldedaten (MeldDV) eingerichteten Bayerischen Behördeninformationssystems (BayBIS) abgerufen werden (zum BayBIS erläuternd meine Ausführungen im 28. Tätigkeitsbericht 2018 unter Nr. 7.1).

Erwägungsgrund 64 Satz 1 DSGVO beschränkt die Pflicht der öffentlichen Stelle zur Beseitigung von Zweifeln an der Identität der Person des Antragstellers oder der Antragstellerin auf "vertretbare" Maßnahmen. Die öffentliche Stelle muss daher nicht "um jeden Preis" die Identität des Antragstellers oder der Antragstellerin zu ermitteln suchen. Hat sie keinen eigenen Zugang zu den Meldedaten, wird es regelmäßig auch nicht zu bemängeln sein, wenn sie von einer Anfrage bei der Meldebehörde absieht.

2.2.4. Welche Identitätsnachweise können bei begründeten Zweifeln von einer antragstellenden Person gefordert werden?

Können im Einzelfall bestehende Zweifel an der Identität des Antragstellers oder der Antragstellerin durch die öffentliche Stelle nicht vertretbar mithilfe verfügbarer Informationen überwunden werden, wird die öffentliche Stelle von dem Antragsteller oder der Antragstellerin einen Identitätsnachweis verlangen. Im Interesse der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) sollen dabei nur Daten gefordert werden, die zur Identifizierung zwingend erforderlich sind.

Nach Möglichkeit sollten dem Antragsteller oder der Antragstellerin verschiedene Optionen zur Identifikation angeboten werden. Art. 12 Abs. 1 Satz 3 und Abs. 3 Satz 4 DSGVO weisen darauf hin, dass grundsätzlich die betroffene Person die freie Wahl der Kommunikationsmittel hat. Die folgenden Beispiele beschreiben Möglichkeiten, die dem Antragsteller oder der Antragstellerin angeboten werden können.

  • Haben die betroffene Person und die öffentliche Stelle bisher elektronisch unter Verwendung sicherer Authentifizierungsmittel kommuniziert, kann die öffentliche Stelle anregen, dass der Antragsteller oder die Antragstellerin seinen oder ihren Antrag auf dem bislang üblichen Weg stellt. Ist die betroffene Person etwa mit einem "Bürgerkonto" bei einer Gemeinde registriert und dient dieses allgemein zur digitalen Abwicklung von Verwaltungsvorgängen, kann die Gemeinde dem Antragsteller oder der Antragstellerin die Nutzung dieses Zugangs empfehlen.
  • Bei Verwendung einer bisher unbekannten E-Mail-Adresse kann auch vorgeschlagen werden, den Antrag über eine schon bekannte Adresse kurz zu bestätigen. Das gilt jedenfalls dann, wenn Anhaltspunkte dafür fehlen, dass die Kennung oder sonstige Zugangsberechtigung unbefugt benutzt wird. Die öffentliche Stelle kann aber nicht verlangen, dass der Antragsteller oder die Antragstellerin zur Identifizierung Nutzer oder Nutzerin des Online-Dienstes wird.
  • In Betracht kommt auch die Abfrage von Informationen, die zum Zweck der Kommunikation zwischen der betroffenen Person und dem Verantwortlichen vereinbart wurden (zum Beispiel Kennwort, Kundennummer, Transaktionsnummer). So könnte ein kommunaler Wasserversorger die Angabe spezifizierender Kundendaten verlangen, von denen nur die betroffene Person weiß, wenn ihm ein Antragsteller oder eine Antragstellerin auf eine nach dem bisherigen Kontakt ungewöhnliche Weise entgegentritt.
  • Je nach Bedeutung des Antrags kommt zudem eine persönliche Vorsprache und/oder die Identifizierung durch ein amtliches Ausweisdokument in Betracht.

Die Anforderung einer Ausweiskopie ist aus datenschutzrechtlicher Sicht regelmäßig nicht erforderlich. Anderes kann etwa gelten, wenn eine Auskunft besondere Kategorien personenbezogener Daten (Art. 9 DSGVO) betrifft. Die Anforderung unterliegt jedenfalls den in § 20 Abs. 2 Personalausweisgesetz und § 18 Abs. 3 Paßgesetz genannten Grenzen. Danach muss insbesondere sichergestellt sein, dass eine Kopie dauerhaft als solche erkennbar ist. Grundsätzlich wird es allerdings genügen, sich den Ausweis vorlegen zu lassen und darüber eine Aktennotiz zu fertigen. Es ist ausreichend, dabei Name, Vorname, Geburtsdatum und Seriennummer des Ausweisdokuments festzuhalten (beim Personalausweis und auf der Datenseite des Reisepasses jeweils in der rechten oberen Ecke). Wird im Ausnahmefall zulässigerweise eine Ausweiskopie gefordert, ist die betroffene Person auf die Möglichkeit einer Schwärzung der nicht benötigten Daten hinzuweisen.

2.2.5. Was geschieht, wenn der Identitätsnachweis scheitert?

Hat die öffentliche Stelle alle vertretbaren Mittel zur Identifikation erfolglos eingesetzt und auch der Antragsteller oder die Antragstellerin nicht an der Beseitigung der bestehenden Zweifel mitgewirkt, wird sie dem Antrag nicht entsprechen.

Dieses Ergebnis steht mit der Pflicht der öffentlichen Stelle zu einem angemessenen Schutz der verarbeiteten Daten (Art. 5 Abs. 1 Buchst. f DSGVO) in Einklang und spiegelt sich auch in Art. 12 Abs. 2 Satz 2 und Art. 11 Abs. 2 DSGVO wider. Danach kann der Verantwortliche sich weigern, einem Antrag nach Art. 15 ff. DSGVO zu entsprechen, wenn er glaubhaft macht, dass er nicht in der Lage ist, die betroffene Person zu identifizieren. Diese Pflicht zur Glaubhaftmachung konkretisiert die Rechenschaftspflicht in Art. 5 Abs. 2 DSGVO. Die öffentliche Stelle ist verpflichtet, ihre begründeten Zweifel an der Identität des Antragstellers oder der Antragstellerin und seine oder ihre unzureichende Mitwirkung an der Identifizierung zu dokumentieren und erforderlichenfalls gegenüber der Datenschutz-Aufsichtsbehörde nachzuweisen.

Ist der Antragsteller oder die Antragstellerin der Auffassung, die Weigerung sei nicht rechtmäßig, kann er oder sie sich an die Datenschutz-Aufsichtsbehörde wenden (vgl. Art. 77 Abs. 1 DSGVO). Hierauf ist er oder sie hinzuweisen (vgl. Art. 12 Abs. 4 DSGVO).

2.2.6. Dürfen erhobene Identitätsnachweise gespeichert werden?

Art. 12 Abs. 6 DSGVO gestattet der öffentlichen Stelle, die zur Identifizierung erforderlichen Daten zu erheben und für diesen Zweck zu verarbeiten. Die dauerhafte Speicherung der Identifizierungsdaten für künftige Identitätsprüfungen sieht Art. 12 Abs. 6 DSGVO nicht vor (vgl. Erwägungsgrund 64 Satz 2 DSGVO). Sofern nicht eine bereichsspezifische Rechtsgrundlage die Speicherung der Identifizierungsdaten zulässt, sind diese nach Zweckerreichung zu löschen. Das entspricht dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO).

2.2.7. Welche vorbeugenden Maßnahmen können öffentliche Stellen treffen?

Öffentliche Stellen sollten prüfen, ob sie durch vorbeugende Maßnahmen späteren Schwierigkeiten bei der Identifizierung von Antragstellern oder Antragstellerinnen entgegenwirken können.

Beim Recht auf Auskunft (Art. 15 DSGVO) steht dabei die Gewährleistung eines sicheren Rückkanals im Vordergrund. Je nach dem Grad der Schutzwürdigkeit zu übermittelnder personenbezogener Daten kann dabei die Dokumentation einer Telefonnummer für einen "Kontrollanruf" oder die Vereinbarung eines Kennworts in Betracht kommen. Sicherheit und Komfort lassen sich auch in Auskunftsportalen verbinden (vgl. Erwägungsgrund 63 Satz 4 DSGVO). Dort können betroffene Personen, die nach Verifizierung der angegebenen Identität ein (Einmal-)Passwort erhalten haben, die beantragten Informationen gesichert herunterladen.

So entspricht die öffentliche Stelle der Verpflichtung, die Ausübung der Betroffenenrechte zu erleichtern; zugleich gestaltet sie ihre Verwaltungsarbeit effizient, insbesondere wenn sie ihre Dienstleistungen ohnehin bereits elektronisch anbietet.

  1. Zur Anforderung von Ausweiskopien siehe mein 26. Tätigkeitsbericht 2014 unter Nr. 2.1.5 und Nr. 3.7. Diese Ausführungen gelten sinngemäß auch unter der Datenschutz-Grundverordnung und dem neuen Polizeiaufgabengesetz. [Zurück]