DSGVO-Auskunft Identifizierung

Hallo, ich bin gerade dabei von allen Firmen, mit denen ich irgendwas zu tun hatte, DSGVO-Auskünfte zu beantragen. Bis jetzt gab es auch keine Probleme, jede Institution hat mir nach einem Brief/E-Mail baldigst den Datensatz ohne großen Stress per Post zugesandt. Nun bin ich bei jedermanns Freund der SCHUFA angelegt. Nach Antrag per Webseite, kam ein Brief indem eine beidseitige Ausweiskopie und Meldebscheinigung verlangt wird. Ich habe natürlich gleich geantwortet, dass ich meinen Ausweis nicht rumschicke und habe in der gleichen E-Mail Infos über meinen Datensatz geschickt. Interessiert die natürlich nicht.

Welche Wege gibt es dass ich vermeiden kann meinen Ausweis dorthin zu schicken? Kann ich später den Weg der Beschwerde gehen, wenn die im Rahmen der Frist nicht antworten?

(Wird denn wenigstens gesagt, dass man Daten schwärzen kann, die zur Identifizierung nicht nötig sind? Meist steht nicht dabei, welche das wären. Und es sollte ein sicherer Kanal angeboten werden, nicht z. B. verlangen, Kopien in unverschlüsselten Mails zu schicken.)

https://www.datenschutz-notizen.de/aufsichtsbehoerde-verhaengt-bussgeld-in-hoehe-von-525-000-euro-gegen-medienunternehmen-0234081/

https://www.datenschutz-notizen.de/betroffenenrechte-erleichterungsgebot-vs-identitaetsnachweis-3031904/

https://www.dr-datenschutz.de/identitaetspruefung-bei-elektronischen-auskunftsersuchen/

https://www.delegedata.de/2023/06/verwaltungsgericht-berlin-anforderungen-an-die-identifizierung-bei-auskunftsanfragen-mitwirkungsobliegenheit-des-betroffenen/

Zusätzliche Angaben (wie aus dem Ausweis) können verlangt werden, wenn Zweifel an der Identität bestehen (Art. 12 Abs. 6 DSGVO). Aber nur dann, und nicht standardmäßig. Ich würde bei besonders sensiblen Daten genauer hinschauen und früher „Zweifel“ haben. Doch ganz ohne Zweifel besteht kein Grund, Klimmzüge zu verlangen.

Normalerweise wird es keinen Zweifel geben, wenn jemand eine Auskunft an die gespeicherte Anschrift geschickt bekommen möchte. Ist man sich nicht ganz sicher, lässt sich die Auskunft mit eigenhändigem Einschreiben an bestimmte Personen bei dieser Adresse zustellen, sonst kommt sie zurück.

Richtige Zweifel kommen ins Spiel, sobald der Verantwortliche annehmen muss, dass seine gespeicherte Adresse nicht aktuell ist. Ebenso, wenn jemand die Auskunft per Mail haben möchte und diese Mailadresse noch nicht bekannt war. (Per Mail lieber nur Negativ-Auskünfte.)

Dann muss es nicht gleich eine Ausweiskopie sein, sondern man kann nach vorhandenen Daten zum Abgleich fragen, z. B. Geburtsdatum, Details dokumentierter Sachverhalte.

D., der meistens keine Ausweise haben möchte. Geschweige denn Kopien speichern oder was Abwegiges damit anstellen.

Halte ich für nicht akzeptabel. Meldebescheinigung ist völlig übertrieben, an eine Ausweiskopie kommen meist auch Lebenspartner, Kinder, etc. und ist damit ungeeignet. Ich lege bei derartigen Anforderungen regelmäßig Beschwerde ein.

Verstehe ich nicht ganz … online ist wohl https://www.meineschufa.de/de/datenkopie und da steht, dass die Ausweiskopie optional ist mit „Damit wir Sie eindeutig identifizieren können, bitten wir Sie, eine gut lesbare beidseitige Kopie Ihres Ausweisdokuments hochzuladen. Aus der Kopie müssen Vor- und Zuname/n, die vollständige Anschrift, Ihr Geburtsdatum und Geburtsort deutlich für uns erkennbar sein. Alle übrigen Angaben sowie das Foto können geschwärzt werden.“ Ich lese das so, dass auch die Meldebescheinigung optional ist.

Statt sich lange mit online-Kram zu ärgern, kann man das auch postalisch anfordern, der Verbraucherschutz hat eine Vorlage

Edit: Link
https://www.verbraucherzentrale.de/wissen/digitale-welt/datenschutz/scoring-mit-kundendaten-so-verlangen-sie-auskunft-bei-schufa-co-12756
https://www.verbraucherzentrale.de/sites/default/files/2019-10/Auskunft_nach_Art._15_DSGVO.pdf

Ne, da wird nur das geschrieben das hardener zitiert hat und in der Antwort per Post wird auch erwähnt dass Dritte Daten per E-Mail abfangen könnten.

Den Servicearbeiter interessiert das nicht, im ersten Brief wurde beides verlangt, dann hab ich demjenigen gesagt dass es übertrieben ist, im zweiten Brief nur noch die Meldebescheinigung, dann im dritten Brief wieder beides. Ich hab demjenigen meine ungefähre Vertragsgeschichte dargelegt, aber es kommen nur die copypasted Textblöcke zurück.
Soll ich in der postalischen Anfrage gleich ne Frist reinschreiben oder mit möglichen Drohungen abwarten bzw gleich Beschwerde einlegen?

Ich habe die Auskunft bei der SCHUFA immer per formlosem Brief beantragt (zuletzt 2022) und musste mich nie legitimieren. Die Ausweiskopie sollte im Regelfall nur gefordert werden, wenn eine sichere Identifizierung deiner Person sonst nicht möglich ist, insbesondere wenn im System mehrere verschiedene Einträge vorhanden sind, die zu den von dir angegebenen Daten passen würden.

Wäre mir alles egal, solange die Auskunft als Brief an eine bekannte Adresse gehen soll. Meinetwegen per Mail bestellt, per Post geliefert. Dann gibt es keine Bedenken, also keine zusätzlichen Daten nötig.

(Ja, die Nachbarn können in Urlaubs-Abwesenheit einen Antrag stellen und den Briefkasten aufbrechen. Beschäftigte in Meldebehörden können von uns allen (Ogottogott) Meldebescheinigungen rauslassen und Auskünfte an Mark Zuckerberg umleiten. Etc.)

Wer unbedingt die Antwort per Mail möchte (was ich meistens nicht mitmachen würde), muss natürlich nachvollziehbar machen, dass es sich um dieselbe Person handelt.

Ausweiskopien sollten nicht ohne Not verlangt werden; auch nicht freiwillig. Sondern nur nachverlangt, wenn konkret Zweifel bestehen. Sonst liegen die Daten nämlich bei der Schufa rum und sind dort nicht erforderlich = unzulässig.

D., der eigentlich kein großes Problem sieht. Und der immer noch so wenig Ausweise wie möglich haben möchte.

Recht gut zusammengefasst. Mit der Ausnahme, dass Auskunft per Mail ja mal gar nicht geht, alleine schon vor dem Hintergrund des Art. 32 DSGVO. Und da müsste schon nachgewiesen werden (etwa per elektronischer Identifizierung per Perso), dass du du bist.

Die Leitlinien des Europäischen Datenschutzausschusses sagen schon recht klar, dass Ausweiskopien nicht gehen.

Frage 1: Willst du die Auskunft an die bei der Schufa gespeichert Anschrift? Dann sollte das als Authentifizierung reichen.

Frage 2: Kann die Schufa dich nicht finden, etwa weil umgezogen und unter der Anschrift noch nicht in der Datenbank? Dann dürfte sie weitere Angaben (z.B. Geburtsdatum) verlangen - hätte aber das Problem, dass sie natürlich nicht weiß, ob du umgezogen bist oder dich als jemand anderes ausgibt. Dann wäre zumindest ein Einschreiben eigenhändig fällig.

Ich hatte früher auch Stress mit der Schufa in Sachen Auskunft, die wollten immer alles Mögliche. Habe das dann aber mit der Rechtsabteilung geklärt. Seitdem gab es die Auskunft ohne Murren. Und selbstverständlich ohne Ausweiskopie.

Ggf. mail’ doch mal an die/den DSB der Schufa und frag, ob das ernst ist und bitte darum, dass sie/er das klärt.

Es wundert mich, dass der Laden das noch nicht weitgehend automatisiert hat - bis auf echte Zweifelsfälle.

so pauschal stimmt das nicht. Ich fordere Auskünfte immer per Mail an, schon alleine damit ich mich über Papier beschweren kann, und erhalte sie auch meist auf dem Weg, manchmal noch verschlüsselt und das Passwort per Post, manchmal auch ohne (dann würde ich SMPT-DANE erwarten, verwenden aber nicht alle).
Eine Identifizierung kann oft auch ohne Ausweis stattfinden, und wenn der Kontakt sowieso per Email war und die Auskunftsanfrage von der gleichen Mailbox kommt (z.B. bei einem Webshop) ist der Ausweis entbehrlich und damit auch nicht zulässig.

Es ging vorliegend um die Schufa. Da geht Auskunft per Mail… nun ja, eher schwierig. Natürlich theoretisch schon, aber da müsste schon E2E genutzt werden, und das tut die Schufa vermutlich eher nicht so… jedenfalls nicht gegenüber Auskunftsbegehrenden… Außerdem sollte die Schufa nicht auch noch deine Mail-Adresse in ihrer Datenbank haben, sodass das Problem der Authentifizierung bleibt.

In anderen Fällen kann das natürlich völlig anders aussehen. Wenn das Auskunftsverlangen von der bekannten E-Mail-Adresse kommt (heute ja idR mit DKIM-Signatur) und an die bekannte E-Mail-Adresse gesendet werden soll und es um nichts wirklich Vertrauliches geht - na klar, dann kann die Auskunft per Mail kommen, vorausgesetzt, sie ist zumindest erzwungen transportverschlüsselt.

Eine Ausweiskopie ist IMMER Unfug, vielleicht mal abgesehen von dem Fall, dass die betroffene Person zu faul ist, ihre Daten abzutippen. Ausweiskopien sind derart einfach zu manipulieren oder am Computer zu erstellen, dass sie ein völlig ungeeignetes Mittel zur Feststellung der Identität der anfragenden Person sind. Für Details siehe die juristische Fachliteratur und zur Not die Leitlinien des EDSA zur Auskunft.

Selbst beim Post Identverfahren wird der Ausweis gescannt.
Letztens erst selbst gesehen.
Müssen die machen und haben sogar nen eigenen kleinen Scanner dafür.

Gibts bei manchen Bereichen evtl. Gesetze die das vorschreiben?
Geldwäscheprävention oder so?

Bei mir wurde das immer abgeschrieben, naja das liegt vermutlich daran dass ich im letzten Kaff wohne und es keiner einsieht irgendwas zu ändern, solange sie vom Gesetz her nicht dazu gezwungen werden.

Die Sache hat sich nun weitestgehend erledigt. Ich habe im ersten Durchgang meine neue Adresse im Webformular angegeben, das hat vermutlich den „Spaß“ verursacht. Die haben trotz Aufforderung mein Zeug an die alte Adresse zu schicken, weiter die oben genannten Schikanen durchgezogen. Weil mir das zu bunt wurde, habe ich einfach einen neuen Antrag über das Webformular gestartet und meine alte Adresse angegeben, erst dachte ich dass ein Brief kommt und mir erzählt dass ich nur einen Antrag stellen darf, aber nein da kamen tatsächlich meine Daten.
Nun ist die Frage, müssen die mir den kompletten Datensatz schicken oder reicht laut DSGVO die letzten 12 Monate? Ich weiß dass der Satz nicht komplett ist, weil da Sachen von früher fehlen.

ja, GWG und TKG schreiben das vor. Im Unterschied zur isolierten Kopie liegt der Ausweis da aber wirklich vor, und es liegen meist keine Anhaltspunkte vor, dass Ausweisbesitzer und Identität auf dem Ausweis nicht zusammen passen.

dann hat sich die Schufa korrekt verhalten

Die Daten, die noch vorliegen. M. W. werden dort nur die Abfragen der letzten 12 Monate protokolliert.

Ich hatte selbiges Problem bei zwei Auskunfteien, beide Male wollte man mir ohne Ausweiskopie keine Auskunft erteilen, auch wenn ich weitere Daten angeboten hatte.
Was bei anschließenden Beschwerden überhaupt nicht berücksichtigt wurde, eine Behörde hat hier ganz Klar die parteiische Rechtsabteilung gespielt, mit persönlicher Meinung von Rechtsauffassung und aus der Luft gegriffenen Behauptungen die Beschwerde innerhalb von 2 Stunden abgelehnt… Meine mitgelieferte Korrespondenz wurde nicht im entferntesten gelesen. Da erfolgte wahrscheinlich nicht mal ein Anruf bei der Auskunftei.

Es wurde immer nur wiederholt das eine Ausweiskopie in Ausnahmefällen zulässig wäre.
Wie man hier lesen kann war meine Beschwerde der pauschalisierten Forderung von Ausweiskopien berechtigt und sogar die Begründung, weil man Datenschutz Bewusste Berechtigte mit der rechtswidrig geforderten Ausweis über eine unverschlüsselten Kanal abschrecken will.
Ich forderte auch eine elektronische Auskunft, weil erstens in der Verordnung steht, elektronische gestellte Anträge sind auf Wunsch auch so zu beantworten, zweitens kann ich von einem Unternehmen das Daten ausschließlich elektronisch verarbeitet erwarten diese auch in der Form bereit zu stellt und drittens ist die Post meiner Meinung nach kein sicherer Übertragungsweg, weil die Daten unverschlüsselt gesendet werden.

Aktuell wird behauptet nachdem schon Briefe angekommen sind um meine Anschrift zu betätigen, das ein erteilte Auskunft mit Empfänger nicht ermittelbar zurück kam…aber natürlich…

Ja und bei der andere Auskunftei warte ich immer noch auf die Benachrichtigung das sich jemand „unbefugtes“ meine Daten erschleichen wollte, weil dazu sind die ja auch verpflichtet wenn man schon begründete Zweifel an der Identität gelten machen will. Wer A sagt muss auch B sagen, oder wie war das?

Aber so Lächerlich machen sie sich leider nicht, obwohl es einfach nur Lächerlich ist was hier abgezogen und anscheinend durch die Behörden legitimiert wird.

Weil wenn ich ja nicht der einzige bin mit dieser Erfahrung, dann müsste doch langsam der Behörde ein Licht aufgehen, das hier Gesetzes Auslegungen der Firmen auf den Prüfstand gehören.

Wie kann das sein, dass der Scorewert sich mit Vertragslaufzeiten die schon längst gelöscht sein sollen ändern kann, in die Berechnung des Scorewertes werden auch längere Vertragslaufzeiten mit einbezogen, woher weiß der Rechner das, wenn nichts gespeichert wird?
Wie kann ich so nachvollziehen, ob meine Einwilligung zum Profiling/Scoring vorlag, welcher nachhaltig meinen Score verändert hat.
Oder ob die verwendetet Daten korrekt oder berechtigt sind?
Auch finde ich interessant das jeder dort Anfragen stellen kann und ohne einen Identitätsnachweis seitens des Anfragenden Daten raus geben werden? Wenn meine Daten doch so schützenswert sind, das sie nicht mal mir mit geteilt werden.
Wenn ich es jetzt zu meine Hobby mache regelmäßig Kreditanträge abzuschicken und das Postident Verfahren nicht durchführe, kann das jeder tun und verändert so meinen Score, nachhaltig nicht nachvollziehbar.
Eine Bonitätsprüfung sollte ohne privatwirtschaftliche Unternehmen alleine durch die Giro Bank stattfinden, unter dem Abgleich der Schuldner Kartei, welche als einziges Merkmal zur Senkung des Wertes führt. Damit wird das Bankgeheimnis bewahrt und die Kreditinstitute können noch günstigere Kondition dem Verbraucher anbieten, weil keine Auskunftei noch bezahlt werden muss, für Auskünfte die jede Bank besser bewerten kann anhand der Kontobewegungen, die doch sowieso aufgrund frm GWG gescant werden.

Hessische Beauftragte? Die fallen mir auch immer wieder auf… aber loben kann ich keine Aufsicht. Im Zweifel klagen oder zumindest die Erfahrungen veröffentlichen, sonst ändert sich da nichts.