Herausgabe der Bestellinformationen nach Identitätsklau

Hallo liebe Community, 

wir haben foldendes Problem: Nach einer Bestellung meldet sich ein Kunde und behauptet, er sei Opfer eines Identitätsdiebstahls geworden. 

Die Nachricht kommt von der gleichen E-Mail Adresse wie die Kunden E-Mail Adresse.

Als Zahlungsmittel wurde anscheinend ein )dem Kunde unbekanntes) Paypalkonto mit einer fast identischen E-Mail Adresse (Domain-Endung des Anbieters anders, .net statt .de) genutzt. 

Die Frage ist jetzt: Wenn sich das potentielle Opfer mit einem Ausweis identifiziert und uns eine Vollmacht für die Herausgabe "seiner" Bestelldaten bittet, dürfen wir ihm diese dann übermitteln? 

Fleming

Hallo Fleming,

Euer Kunde X hat nach "DSGVO Art. 15 - Auskunftsrecht der betroffenen Person" Anspruch.

Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen: .....

Die Indentität eures Kunden X muss natürlich sichergestellt sein.

Ich habe den Sachverhalt aber noch nicht richtig verstanden.
Magst Du mir dazu noch klärende Infos senden?

Viele Grüße
Gerd
e. datenschutz@reunert.de

Gerd_M_R

Hallo Gerd, 

 

ich versuche es gerne noch mal zu erklären: 

Wir haben einen Kunden, der schon mehrfach mit der E-Mail Adresse Vorname.Nachname@gmx.net bestellt hat. Bei seiner letzten Bestellung gab er (wohl aus versehen), die Kunden E-Mail-Adresse vorname.nachname@gmx.de an.

Von dem Besitzer der .de-Adresse kam dann die Mail, dass ein Identitätsdiebstahl vorliegen könnte. 

 

Dürfen wir dem Bestitzer .de Adresse nun die Kundendaten geben? Die Bestell-Bestätigung etc. ging ja eh schon an ihn raus. 

 

Danke für eine Einschätzung. 

Viele Grüße

Fleming

Fleming

Halo Fleming,

Dem .de Inhaber würde ich auf keinem Fall die Daten des .net Nutzers schicken!!!!
Ihr würdet damit eine Datenpanne wegen unbefugter Offenlegung Personenbezogener Daten machen.

Nach DSGVO Artikel 12 Absatz 6 DSGVO ist man zur Identifikation der Betroffenen Person verpflichtet. Insbesondere dann falls Zweifel bestehen.
Ihr, also euer Shop hat doch bestimmt schon eine Bestellung an den Kunden verschickt? Dann sollet ihr im Besitz der postalischen Adresse.
Dementsprechend würde ich den postalischen Weg auch nur als Kommunikationsweg zur Klärung nutzen.

Ich hoffe die Info hilft weiter.
Falls nicht, bitte einfach weiterfragen.
Nutze ggf. auch mein Email Adresse, weil ich nicht immer hier ins Portal schaue.

Viele Grüße
Gerd
e. datenschutz@reunert.de

Gerd_M_R

Hallo Gerd, 

vielen Dank für Deine Einschätzung. Das hilft mir sehr. 

Dann war mein Gedanke ja richtig, dass wir die Daten nicht rausgeben dürfen. Auch wenn der Kunde das ja versehentlich schon selbst gemacht hat. 

Viele Grüße

Fleming

Fleming

Bitte melden Sie sich an, um auf diese Frage zu antworten.