DSGVO und Authentifizierung von Kunden am Telefon: blosse Abfrage von Name und Geburtsdatum ist laut BfDI ungenügend

  
Der deutsche Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat kürzlich gegen den Telekommunikationsdienstleister 1&1 eine Geldbusse in der Höhe von 9.5 Millionen Euro verhängt. Grund dafür war das bisherige Authentifizierungsverfahren, bei welchem die Kunden bloss mittels Namen und Geburtsdatum identifiziert wurden. Ein solches Verfahren stellt nach Ansicht des BfDI keine angemessene technische und organisatorische Massnahme zur Gewährleistung der Datensicherheit dar und verstösst somit gegen die Datenschutzgrundverordnung (DSGVO).
  

Authentifizierungsverfahren bei Kundenkontakt

Ein Grossteil der Unternehmen stellt ihren Kunden telefonische Kontaktmöglichkeiten bereit und erteilt in diesem Rahmen Auskünfte. In der Praxis stellt sich dann die Frage nach der Authentifizierung von Kunden, d.h. wie sichergestellt werden kann, dass personenbezogene Daten nicht an unberechtigte Dritte gelangen. In vielen Fällen erfolgt dies lediglich über die Abfrage des Namens und des Geburtsdatums, so auch beim deutschen Telekommunikationsunternehmen 1&1.
  

Unzureichende technische und organisatorische Massnahmen zur Datensicherheit

In einem aktuellen Verfahren gelangte der deutsche Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) zum Schluss, dass ein solches Authentifizierungsverfahren gegen Art. 32 DSGVO verstosse. Danach sind Unternehmen dazu verpflichtet, geeignete technische und organisatorische Massnahmen zu ergreifen, um die Verarbeitung von personenbezogenen Daten systematisch zu schützen (vgl. auch MLL-News vom 10. August 2019).
  

Busse im unteren Rahmen aufgrund Kooperation

Aufgrund der Verletzung gegen Art. 32 DSGVO hat der BfDI gegen den Telekommunikationsdienstleister 1&1 Telecom GmbH eine Geldbusse in der Höhe von 9.550.000 Euro verhängt.

Obwohl das Risiko bei diesem Vorfall nicht nur auf einen Teil der Kunden begrenzt ist, sondern sich auf die gesamte Kundschaft bezieht, hält sich die Höhe der Busse aufgrund der Einsicht und Kooperation seitens des Telekommunikationsdienstleisters 1&1 gemäss BfDI im unteren möglichen Bussgeldrahmen (vgl. Art. 83 DSGVO).
  

Einsicht und Kooperation des Kommunikationsdienstleisters 1&1

In einem ersten Schritt wurde durch die Abfrage zusätzlicher Angaben der Authentifizierungsprozess verstärkt. In einem zweiten Schritt wird nun beim Telekommunikationsdienstleister 1&1 unter Absprache mit dem BfDI ein neues, technisches und datenschutzrechtlich verbessertes Authentifizierungsverfahren eingeführt. So ist nun gemäss Medienberichten die Angabe einer Service-PIN erforderlich.
  

Folgen für weitere Anbieter von Telekommunikationsdienstleistungen

Aufgrund eigener Erkenntnisse, wie auch auf Grund von Hinweisen und Kundenbeschwerden untersucht der BfDI zurzeit die Authentifizierungsprozesse von weiteren Anbietern von Telekommunikationsdienstleistungen. Unabhängig davon veranschaulicht das vorliegende Verfahren, dass Unternehmen ihre aktuellen Authentifizierungsmassnahmen kritisch hinterfragen sollten. Allerdings ist darauf zu achten, dass dabei auch nicht mehr personenbezogene Informationen als nötig verlangt werden, wie ein weiterer aktueller Fall aus Österreich zeigt. In diesem Fall hat die Österreichische Datenschutzbehörde (DSB) entschieden, dass es gegen das sog. Erleichterungsgebot gemäss Art. 12 Abs. 2 DSGVO verstosse, wenn zum Zweck der Löschung eines Profils mehr Dateninformationen zur Authentifizierung des Nutzers angefordert werden, als dass der Nutzer bei der Errichtung des Profils abgespeichert hat.

 

Weitere Informationen: