Eine Entscheidung des BVwG vom 27.05.2020 (W214 2222.8346-1) hat sich mit der Frage beschäftigt, ob bei einem Auskunftsersuchen eine Anfrage mittels elektronischer Signatur reicht, oder ein Ausweis gefordert werden kann.

Sowohl das BVwG als auch die DSB sagen (in Fortführung der bisherigen Judikatur): die eindeutige Identifizierbarkeit ist ausreichend, ein Ausweis kann nicht immer gefordert werden.

 

 

Die Anfrage der betroffenen Person

Die betroffene Person sandte per E-Mail mit elektronischer Signatur am 19.02.2019 ein Auskunftsbegehren nach Art. 15 DSGVO an Verantwortlichen.
Der Verantwortliche hat die betroffene Person mit Schreiben vom 22.02.2019 darüber informiert, dass sein Ansuchen auf Auskunft nur dann weiterbearbeitet werden könne, wenn er seine Identität mittels Vorlage eines geeigneten Identitätsnachweises nachweise.
Eine qualifizierte elektronische Signatur erfülle das rechtliche Erfordernis der Schriftlichkeit iSd § 886 ABGB, sei jedoch zur Durchführung einer Identitätsprüfung nicht ausreichend.

Da die betroffene Person der Aufforderung zur Vorlage eines Identitätsnachweises nicht nachkam hat der Verantwortliche die Auskunft nicht erteilt.

 

Die unterschiedlichen Standpunkte

Die betroffene Person war der Ansicht, dass eine digitale Signatur ausreichend ist, da eine Personenbindung besteht; weiters hat er im Verfahren den Standpunkt vertreten, dass ihm die Auskunft auch per eigenhändiger Zustellung zugestellt werden könne.

Der Verantwortliche argumentierte, dass die Identität nur durch Vorlage eines Ausweises möglich sei, und es an sich zu einer Verwechslung kommen könne. Auch auf der Website ist ersichtlich, dass die betroffene Person bei Auskunftsbegehren ihre Identität dem Verantwortlichen gegenüber nachweisen muss (zum Beispiel mit der Kopie eines Reisepasses oder Führerscheins), damit sichergestellt sei, dass es sich um Daten der betroffenen Person handle.

 

Die Entscheidung

„Gemäß Art. 15 Abs. 1 DSGVO hat eine betroffene Person das Recht, vom Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden und soweit dies der Fall ist, Auskunft über diese personenbezogenen Daten zu erhalten sowie Anspruch auf die Information gemäß lit. a bis h leg. cit.
Die Entstehung eines solchen datenschutzrechtlichen Auskunftsanspruches setzt gemäß Art. 12 DSGVO, wie von der belangten Behörde zutreffend ausgeführt, unter anderem voraus, dass die Identität des Auskunftswerbers feststeht. Bei begründeten Zweifeln an der Identität kann der Verantwortliche gemäß Art. 12 Abs. 6 DSGVO zusätzliche Informationen anzufordern, die zur Bestätigung der Identität erforderlich sind. Dass dadurch jedoch keine routinemäßige Identitätsprüfung ermöglicht wird und ein Verantwortlicher daher nicht generell die Vorlage eines Identitätsnachweises verlangen darf, wird in der Beschwerde von der Beschwerdeführerin (:= dem Verantwortlichen) ausdrücklich zugestanden.“

 

Daraus ist abzuleiten, dass erst dann, wenn die Identität eindeutig feststeht, der Anspruch auf Auskunft iSd Art 15 DSGVO entsteht, und die Frist zu laufen beginnt. Vor der Identifzierung bzw. der Identifzierbarkeit der Person, die um Auskunft ersucht, ist der Antrag daher nicht ordnungsgemäß gestellt.

 

Es ist nach Ansicht des BVwG notwendig, dass gegenüber der betroffenen Person dargelegt wird, weshalb der Verantwortliche an der Identität der auskunftsersuchenden Person zweifelt.

 

Das BVwG verweist auf ErwG 64 und führt aus, dass der Verantwortliche „alle vertretbaren Mittel zu nutzen hat, um die Identität einer Auskunft suchenden betroffenen Person zu ermitteln.“

Wenn daher bei einem Auskunftsersuchen eine digitale Signatur verwendet wird, die auskunftsersuchende Person auch davor diese E-Mail-Adresse zur Kommunikation verwendet hat, bestehen keine Zweifel an der Identität.

 

Die Identität kann für den Verantwortlichen auch aus der Situation heraus klar sein (VwGH 04.07.2016, Ra 2016/04/0014; siehe auch OGH vom 25.02.1993, 6 Ob 6/93). „Soweit sich also die Beschwerdeführerin im Vorfeld des Auskunftsbegehrens bereits auf eine Korrespondenz mit dem Mitbeteiligten eingelassen hat, ohne an dessen Identität zu zweifeln, wäre auch aus diesem Grund kein gesonderter Identitätsnachweis notwendig.“

 

Auch die digitale Signatur ist geeignet, die Identität nachzuweisen, da eine feste Personenbindung besteht.

 

 

Schlussfolgerungen:

1.    Nur wenn tatsächlich Zweifel an der Identität der auskunftsersuchenden Person bestehen, können vom Verantwortlichen weitere Mittel zur Feststellung der Identität gefordert werden. 

2.    Die Zweifel sollten der auskunftsersuchenden Person auch mitgeteilt werden, wenn der Nachweis der Identität gefordert wird.

3.    Die Identität kann sich aus der (bisherigen) Situation bzw. den Gesamtumständen – insbes. dem bisherigen Kommunikationsverhalten - ergeben.

4.    Wenn davor vom Verantwortlichen mit der E-Mail-Adresse, von der auch um Auskunft ersucht wird, in Bezug auf die betroffene Person korrespondiert wurde, und daher vor dem (lästigen Akt der) Auskunftsersuchen keine Zweifel an der Identität bestanden, dann kann mE auch kein Zweifel ab dem Auskunftsersuchen bestehen.

 

5.    Eine digitale Signatur, die eine feste Personenbindung umfasst, ist zur Identifikation der auskunftsersuchenden Person geeignet.

 

 

 

    26.10.2020, Autor:
    Michael Schweiger, zert DSBA