CR-online.de Blog

Datenleck bei Auskunftei Infoscore, großes Geschrei – und wie man Betroffene für die Selbstauskunft korrekt identifiziert

avatar  Matthias Bergt

Bei der Auskunftei Infoscore konnte man ohne Überprüfung die Bonitätsdaten beliebiger Personen erhalten. Das Geschrei ist – zu Recht – groß. Doch die nun lautstark geäußerten Forderungen darf man teilweise freundlich ausgedrückt als unsinnig bezeichnen. Denn selbst der Personalausweis ist zum Identifizieren keineswegs immer so geeignet wie die meisten denken.

Das Problem: Online-Auskunft ohne Identifizierung

Die Bertelsmann-Tochter Infoscore hatte sich das Geschäftsmodell so schön ausgedacht: Name, Anschrift und Geburtstag eingeben, dazu eine E-Mail-Adresse und eine Mobiltelefonnummer – und für 19,95 Euro gibt es die Bonitätsauskunft gleich online. Das Problem: Die Auskunft nannte sich zwar “Selbstauskunft” – aber wer sie anforderte, wurde nicht überprüft. Zur vermeintlichen Identifizierung diente ein Code, der per SMS an die angegebene Handynummer geschickt wurde. Die Auskunft wurde dann sofort online erteilt – was Infoscore auch groß auf der WWW-Seite als Vorteil herausstellte. Dumm nur: Name, Anschrift und Geburtstag sind nun Daten, die man durchaus nicht nur von sich selbst kennt.

Datenschutzskandal

Das hat auch NDR Info bemerkt. Nach dem entsprechenden Bericht hat Infoscore die WWW-Seite erst einmal vom Netz genommen.

Vermeintliche Lösung: Personalausweiskopie

Die Lösung hat NDR Info natürlich auch gleich parat: die berühmte Personalausweiskopie, wie auch die Schufa sie für eine Selbstauskunft verlange. Da sind erst mal die Tatsachen gerade zu rücken: die Schufa verlangt mitnichten standardmäßig eine Personalausweiskopie. Statt dessen schickt sie die Auskunft ohne Weiteres per Post an die ihr bekannte Anschrift. Nur wenn eine Auskunft an eine andere Anschrift geschickt werden soll, verlangt sie eine Ausweiskopie.

Personalausweiskopie ermöglicht keine Identifizierung

Doch welchen Beweiswert hat eigentlich eine Personalausweiskopie? In Zeiten, in denen auf jedem Schreibtisch ein Computer steht, mit dem man sich in wenigen Minuten eine “Ausweiskopie” mit beliebigen Daten erstellt? In Zeiten, in denen der Personalausweis (illegal, aber wen stört’s) bei jeder beliebigen Gelegenheit kopiert, gescannt und fotografiert wird?

Ja, das werden viele nicht gerne hören – aber: Eine Personalausweiskopie hat exakt null Beweiswert. Oder um es mit dem VG Wiesbaden (Urt. v. 20.01.2015 – 6 K 1567/14.WI) zu sagen: “Eine Kopie erweckt zwar den Anschein, Abbild des Originals zu sein, ihre inhaltliche Unverfälschtheit steht aber nicht fest. Kopien können manipuliert oder in anderer Form elektronisch erzeugt worden sein.” Nicht umsonst spricht § 20 Abs. 1 PAuswG ausdrücklich davon, dass der “Ausweis” als Identitätsnachweis dient – und dies bitte im Abgleich mit der ihn vorlegenden Person.

Wer sich auf eine Ausweiskopie verlässt, um jemanden zu “identifizieren”, bewegt sich irgendwo zwischen Leichtfertigkeit und bedingtem Vorsatz, wenn die “Identifizierung” dann doch nicht den Richtigen identifiziert hat. Eine Identifizierung per Personalausweiskopie ist in etwa so gut wie das – jetzt zum Glück abgeschaltete – System von Infoscore, wobei Infoscore immerhin mit der Handynummer und den Zahlungsdaten gewisse Indizien hatte, den tatsächlich Abfragenden möglicherweise nachträglich zu identifizieren (auch wenn viele SIM-Karten auf falsche Namen registriert sind und man z.B. für die Zahlung fremde Kreditkartendaten verwenden kann).

So macht man’s richtig

Wer jemanden online identifizieren will, benutze eines der dafür vorgesehenen Systeme – etwa die entsprechende Funktion des neuen Personalausweises oder eine elektronische Signatur. Wer diese Möglichkeit entweder nicht nutzen will oder kann, der muss den Medienbruch in Kauf nehmen: So schickt die Schufa ihre Bonitätsauskunft per Post, bzw. wer sich für die Online-Auskunft registriert, erhält einen Code per Post geschickt.

Auskunft an die gespeicherte Adresse

Wenn die Empfängeranschrift mit den gespeicherten Daten übereinstimmt, wird man davon ausgehen können, dass die Auskunft den Betroffenen erreicht. Ausnahmen mögen gelten, wenn es Hinweise darauf gibt, dass die gespeicherten Daten nicht mehr aktuell sind – dann haben sie allerdings auch in der Auskunft nichts mehr zu suchen, weil der Betroffene ein schutzwürdiges Interesse am Ausschluss der Speicherung (§ 29 Abs. 1 Satz 1 Nr. 1 BDSG) oder jedenfalls der Übermittlung hat (§ 29 Abs. 2 Satz 1 Nr. 2 BDSG; Entsprechendes gilt auch im Rahmen des § 28 BDSG). Bei Daten von Auskunfteien wird sich das Problem allerdings in der Praxis nicht stellen, da die Vertragspartner der Auskunfteien Adressänderungen umgehend melden (siehe dazu Plath in Plath (Hrsg.), BDSG, § 29 Abs. 1 Satz 1 Nr. 1 BDSG Rz. 43 und 48).

Auskunft an andere Adressen oder bei Zweifeln

Soll allerdings eine Auskunft an eine andere Anschrift als die gespeicherte geschickt werden oder gibt es sonstige Zweifel an der Identität des Anfragenden, gibt es eine ganz einfache Lösung: sie nennt sich “Einschreiben eigenhändig”. Das mag zwar für die Auskunftei im Einzelfall mit ärgerlichen Kosten (2,15 Euro für das Einschreiben, 1,80 Euro für eigenhändig bei der Deutschen Post AG) verbunden sein – aber einerseits ist dies nur in sehr seltenen Fällen nötig (künftig ist der Betroffene an der Anschrift ja identifiziert), und andererseits erspart sich die Auskunftei damit Personal- und Portokosten für das Hin- und Herschicken von Briefen, etwa für das (untaugliche) Anfordern von Ausweiskopien.

Zudem darf nicht vergessen werden: Es ist die Auskunftei, die mit den Daten des Betroffenen Geld verdient, und das Auskunftsrecht ist einer der ganz wesentlichen, unabdingbaren Bestandteile des Grundrechts auf informationelle Selbstbestimmung. Das muss dann im Zweifel eingepreist werden.

 

Mehr zum Autor: Matthias Bergt ist Partner bei von BOETTICHER Rechtsanwälte, Berlin, und berät Unternehmen in den Bereichen Gewerblicher Rechtsschutz, Wettbewerbsrecht und Informationstechnologierecht, insbesondere Datenschutz und techniklastige Rechtsfragen. Er kommentiert beispielsweise die Artikel 37-39 (Datenschutzbeauftragter), 40-43 (Verhaltensregeln und Zertifizierung) und 77-84 (Rechtsbehelfe, Haftung und Sanktionen) in Kühling/Buchner (Hrsg.): Datenschutz-Grundverordnung (DSGVO), und trägt eine Vielzahl von Mustern zum Formularhandbuch Datenschutzrecht von Koreng/Lachenmann (Hrsg.) bei.

Schreiben Sie einen Kommentar

Sie müssen sich einloggen um einen Kommentar schreiben zu können.