Ja, eine Identitätsprüfung ist unter bestimmten Voraußetzungen zuläßig und sogar geboten. Die Herausgabe personenbezogener Daten an eine nicht-identifizierte Person wäre selbst ein Datenschutzverstoß.
Die Rechtsgrundlage (Art. 12 Abs. 6 DSGVO):
Hat der Verantwortliche begründete Zweifel an der Identität der anfragenden Person, kann er zusätzliche Informationen anfordern, die zur Bestätigung der Identität erforderlich sind.
Wichtige Grenzen:
- Die Prüfung muss verhältnismäßig sein. Der Verantwortliche darf nicht mehr Daten zur Identifizierung verlangen, als notwendig.
- Die Identitätsprüfung darf nicht dazu genutzt werden, die Ausübung der Betroffenenrechte zu erschweren oder zu verzogern.
- Eine generelle Pflicht zur Vorlage eines Personalausweises besteht nicht. In vielen Fällen genügen andere Identifikationsmethoden (z.B. Verifizierung über eine registrierte E-Mail-Adresse, Kundennummer plus weitere Merkmale).
- Umgekehrt muss der Verantwortliche keine zusätzlichen Daten erheben, nur um eine Identifizierung zu ermöglichen (Art. 11 Abs. 1 DSGVO). Kann er die Person nicht identifizieren, entfallen die Rechte nach Art. 15-20, es sei denn, die betroffene Person stellt zusätzliche Informationen bereit (Art. 11 Abs. 2 DSGVO).
Praxisempfehlung: Die Identitätsprüfung sollte dem Kontext angemessen sein: Bei einem Online-Dienst genügt die Verifizierung über den eingeloggten Account. Bei sensiblen Gesundheitsdaten kann eine strengere Prüfung gerechtfertigt sein. In jedem Fall sollte der Verantwortliche seine Methode zur Identitätsprüfung dokumentieren.