Datenschutzbehörde Österreich: Zur User-Identifizierung nach DSGVO

31.12.2019

Die Datenschutzbehörde Österreich hat sich in einem Beschluss zu den Möglichkeiten eines Unternehmers geäußert, einen User, der eine Löschung seiner Daten wünscht, zu identifizieren (Beschl. v. 08.11.2019 - Az.: DSB-D122.970/0004-DSB/2019).

Ein männlicher User mit Vornamen "Roland" hatte sich bei einem Online-Portal registriert und verlangte nun per E-Mail die Löschung seiner Daten. Das Unternehmen lehnte dies ab, da es auf diese Weise nicht sicherstellen konnte, ob der User auch der tatsächliche Inhaber der Daten sei. Daher verlangte die Firma einen Identitätsnachweis durch Ausfüllen und Unterschreiben eines umfangreichen Formulars. Daraufhin wandte sich der User an die österreichische Datenschutzbehörde.

Als die Behörde aktiv wurde, verteidigte sich das Online-Portal wie folgt: Es betreibe ein Kleinanzeigenportal mit mehr als 4 Millionen Usern. Zur Registrierung als User sei lediglich die Angabe eines Vornamens und einer E-Mail-Adresse erforderlich.

Beide Daten würden in Kombination als „unique identifier“ verwendet. Der User habe nun anlässlich seines Löschungsantrags lediglich den Familiennamen A und die E-Mail-Adresse X angegeben. Diese E-Mail-Adresse sei jedoch weder mit dem Familiennamen A noch mit dem männlichen Vornamen "Roland", sondern mit dem Vornamen "Petra" verknüpft. Daher bestünden begründete Zweifel an der Identität, sodass die verlangte Identifizierung angemessen sei.

Der User erklärte dazu, dass der Vorname "Petra" seiner Frau gehöre. Der Account gehöre ihm und seiner Frau. Bei seiner damaligen Anmeldung habe er aus Gründen des Datenschutzes den Vornamen "Petra" angegeben.

Die Datenschutzbehörde Österreich stellte fest, dass das Verlangen des Unternehmens unberechtigt war. Es hätte vielmehr dem Löschungsbegehren stattgeben müssen.

"15. Da die Beschwerdegegnerin anlässlich der Verarbeitung der Daten des Beschwerdeführers keine Absicht hatte, den Beschwerdeführer zu identifizieren, das heißt, die Existenz und rechtserhebliche Identität (Übereinstimmung) des Beschwerdeführers als natürlicher Person (vgl. § 16 ABGB, Art. 4 Z 5 DSGVO spricht auch von einer „spezifischen betroffenen Person“) mit der im angelegten Nutzerprofil dargestellten „Online-Person“ zu überprüfen und entsprechende Daten (etwa die vollständigen Namensdaten, das Geburtsdatum oder eine überprüfbare Wohnadresse) zu speichern, lagen aus Sicht der Beschwerdegegnerin von Beginn an pseudonymisierte Daten gemäß Art. 4 Z 5 DSGVO vor.

Es wäre zwar denkbar möglich gewesen, den Beschwerdeführer durch Erhebung zusätzlicher Daten zu identifizieren, die Beschwerdegegnerin hat es jedoch, was aus Sicht der Datenschutzbehörde entscheidend ist, ihren Nutzern als den von der Verarbeitung betroffenen Personen ausdrücklich freigestellt, pseudonyme Nutzerprofile anzulegen, indem sie bei der Registrierung keinerlei Identitätsnachweis verlangt hat. Die Beschwerdegegnerin hat damit von Beginn an im Sinne des Art. 11 Abs. 1 DSGVO auf eine Identifizierung des Beschwerdeführers als spezifischer betroffener Person verzichtet. Der Beschwerdeführer war für sie bis zum Zeitpunkt des Löschungsantrags gewissermaßen nur ein Pseudonym, ein Vorname und eine E-Mail-Adresse in ihrer Nutzerdatenbank.

16.   Gemäß Art. 12 Abs. 2 DSGVO trifft die Beschwerdeführerin die ausdrückliche Pflicht, der betroffenen Person u.a. die Ausübung des Löschungsrechts zu erleichtern. Eine Identifizierung der betroffenen Person darf dabei nur insoweit stattfinden, als sie notwendig ist, um die Berechtigung zur Ausübung des Löschungsrechts zu überprüfen. Dabei werden im vorliegenden Fall der verlangten Löschung eines pseudonymen Nutzerprofils die gespeicherten Profildaten heranzuziehen sein. Ein pseudonymer Nutzer kann sich etwa durch Kenntnis der Login-Daten (User-ID, Passwort), durch Angaben zum gespeicherten Dateninhalt des Profils oder durch die nachgewiesene Verfügungsgewalt über die Mailbox, deren E-Mail-Adresse anlässlich der Registrierung angegeben worden ist, identifizieren. Neue Daten (wie Vorname, Familienname, Wohnadresse, eine Ausweiskopie oder das grafische Bild einer eigenhändigen Unterschrift) müssen aus diesem Anlass nicht erhoben werden (vgl. Art. 11 Abs. 1 DSGVO).

Diese wären im Übrigen für den angestrebten Zweck der Identitätsprüfung gar nicht geeignet, da bei der Beschwerdegegnerin keine Vergleichsdaten gespeichert sind, deren Identität (Übereinstimmung) mit den neu erhobenen Daten überprüft werden könnte. Darauf hat der Beschwerdeführer zu Recht hingewiesen.

17.   Im Beschwerdefall hätte der Beschwerdeführer etwa durch die Beschwerdegegnerin aufgefordert werden können, beide Teile des von der Beschwerdegegnerin so bezeichneten „unique identifier“, also Vorname und registrierte E-Mail-Adresse, zu nennen.

18.   Dadurch, dass die Beschwerdegegnerin sich damit nicht begnügt, sondern auf dem Ausfüllen eines umfangreichen Formulars (das auf den Regelfall der Verarbeitung der Daten identifizierter, nicht pseudonymer natürlicher Personen abstellt) bestanden hat, hat sie den Beschwerdeführer in seinem Recht auf Löschung gemäß Art. 12 Abs. 2 iVm Art. 17 Abs. 1 DSGVO verletzt. Dies war gemäß § 24 Abs. 5 1. Satz DSG spruchgemäß festzustellen [Anmerkung Bearbeiter: im Original in Folge eines Redaktionsversehens „§ 25 Abs. 1 1. Satz DSG“].

19.   Gemäß Art. 58 Abs. 2 lit c DSGVO iVm § 24 Abs. 5 2. Satz DSG war die Beschwerdegegnerin weiters anzuweisen, die Löschung des Nutzerprofils mit den Daten des Beschwerdeführers vorzunehmen. Dabei war in Rechnung zu stellen, dass der Beschwerdeführer bereits im Laufe des Verfahrens nachgewiesen hat, dass ihm beide Teil des „unique identifier“ bekannt sind, sodass keine entsprechende Bedingung zu setzen war. Eine Frist von zwei Wochen erscheint als angemessen und ausreichend, um eine einfache Datenverarbeitungsoperation wie die Löschung eines Nutzerprofils durchzuführen."