DSGVO und Authentifizierung von Kunden am Telefon: blosse Abfrage von Name und Geburtsdatum ist laut BfDI ungenügend


Ihre Kontakte

Der deutsche Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat kürzlich gegen den Telekommunikationsdienstleister 1&1 eine Geldbusse in der Höhe von 9.5 Millionen Euro verhängt. Grund dafür war das bisherige Authentifizierungsverfahren, bei welchem die Kunden bloss mittels Namen und Geburtsdatum identifiziert wurden. Ein solches Verfahren stellt nach Ansicht des BfDI keine angemessene technische und organisatorische Massnahme zur Gewährleistung der Datensicherheit dar und verstösst somit gegen die Datenschutzgrundverordnung (DSGVO).

Authentifizierungsverfahren bei Kundenkontakt

Ein Grossteil der Unternehmen stellt ihren Kunden telefonische Kontaktmöglichkeiten bereit und erteilt in diesem Rahmen Auskünfte. In der Praxis stellt sich dann die Frage nach der Authentifizierung von Kunden, d.h. wie sichergestellt werden kann, dass personenbezogene Daten nicht an unberechtigte Dritte gelangen. In vielen Fällen erfolgt dies lediglich über die Abfrage des Namens und des Geburtsdatums, so auch beim deutschen Telekommunikationsunternehmen 1&1.

Unzureichende technische und organisatorische Massnahmen zur Datensicherheit

In einem aktuellen Verfahren gelangte der deutsche Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) zum Schluss, dass ein solches Authentifizierungsverfahren gegen Art. 32 DSGVO verstosse. Danach sind Unternehmen dazu verpflichtet, geeignete technische und organisatorische Massnahmen zu ergreifen, um die Verarbeitung von personenbezogenen Daten systematisch zu schützen (vgl. auch MLL-News vom 10. August 2019).

Busse im unteren Rahmen aufgrund Kooperation

Aufgrund der Verletzung gegen Art. 32 DSGVO hat der BfDI gegen den Telekommunikationsdienstleister 1&1 Telecom GmbH eine Geldbusse in der Höhe von 9.550.000 Euro verhängt.

Obwohl das Risiko bei diesem Vorfall nicht nur auf einen Teil der Kunden begrenzt ist, sondern sich auf die gesamte Kundschaft bezieht, hält sich die Höhe der Busse aufgrund der Einsicht und Kooperation seitens des Telekommunikationsdienstleisters 1&1 gemäss BfDI im unteren möglichen Bussgeldrahmen (vgl. Art. 83 DSGVO).

Einsicht und Kooperation des Kommunikationsdienstleisters 1&1

In einem ersten Schritt wurde durch die Abfrage zusätzlicher Angaben der Authentifizierungsprozess verstärkt. In einem zweiten Schritt wird nun beim Telekommunikationsdienstleister 1&1 unter Absprache mit dem BfDI ein neues, technisches und datenschutzrechtlich verbessertes Authentifizierungsverfahren eingeführt. So ist nun gemäss Medienberichten die Angabe einer Service-PIN erforderlich.

Folgen für weitere Anbieter von Telekommunikationsdienstleistungen

Aufgrund eigener Erkenntnisse, wie auch auf Grund von Hinweisen und Kundenbeschwerden untersucht der BfDI zurzeit die Authentifizierungsprozesse von weiteren Anbietern von Telekommunikationsdienstleistungen. Unabhängig davon veranschaulicht das vorliegende Verfahren, dass Unternehmen ihre aktuellen Authentifizierungsmassnahmen kritisch hinterfragen sollten. Allerdings ist darauf zu achten, dass dabei auch nicht mehr personenbezogene Informationen als nötig verlangt werden, wie ein weiterer aktueller Fall aus Österreich zeigt. In diesem Fall hat die Österreichische Datenschutzbehörde (DSB) entschieden, dass es gegen das sog. Erleichterungsgebot gemäss Art. 12 Abs. 2 DSGVO verstosse, wenn zum Zweck der Löschung eines Profils mehr Dateninformationen zur Authentifizierung des Nutzers angefordert werden, als dass der Nutzer bei der Errichtung des Profils abgespeichert hat.

Weitere Informationen:


Artikel teilen



meistgelesen


Highlights

MLL Legal

MLL Legal ist eine der führenden Anwaltskanzleien in der Schweiz mit Büros in Zürich, Genf, Zug, Lausanne, London und Madrid. Wir beraten unsere Klienten in allen Bereichen des Wirtschaftsrechts und zeichnen uns insbesondere durch unsere erstklassige Branchenexpertise in technisch-innovativen Spezialgebieten, aber auch in regulierten Branchen aus.

MLL Legal

 

Newsletter

MLL-News 03/22 mit Beiträgen zum Digital Markets Act, Digital Services Act, PBV-Revision, Abmahnungen zu Google Fonts, Inbox-Adverting und vieles mehr.

Zugang MLL-News 03/22

Jetzt anmelden!

Unsere Geschichte

MLL Legal ist eine führende Schweizer Anwaltskanzlei, deren Geschichte bis ins Jahr 1885 zurückreicht. Die Kanzlei ist sowohl organisch als auch durch strategische Fusionen gewachsen, von denen die Jüngste am 1. Juli 2021 zwischen Meyerlustenberger Lachenal und FRORIEP vollzogen wurde.

Durch diesen Zusammenschluss hat sich MLL Legal zu einer der grössten Wirtschaftskanzleien der Schweiz mit über 150 Anwältinnen und Anwälten in vier Büros in der Schweiz entwickelt. Auch zwei Büros im Ausland, in London und Madrid, bieten Anlaufstellen vor Ort für Klientinnen und Klienten, die Beratung im Schweizer Wirtschaftsrecht suchen.

Die Kanzlei verfügt heutzutage über ein starkes internationales Profil und ein langjährig aufgebautes globales Netzwerk. MLL Legal vereint anerkannte Führungsqualitäten und Fachwissen in allen Bereichen des Schweizer und internationalen Wirtschaftsrechts.

Über uns

Publikationen

Hier geht’s zu unseren neuesten Publikationen

COVID-19

Lesen Sie alle unsere rechtlichen Updates zu den Auswirkungen von COVID-19 für Unternehmen.

COVID-19 Information

Offene Stellen

Sind Sie auf der Suche nach einer neuen Herausforderung?

Unsere talentierten und ambitionierten Teams sind von einer gemeinsamen Vision motiviert, erfolgreich zu sein. Wir schätzen eine offene und unkomplizierte Kommunikation über alle Ebenen der Organisation hinweg in einem unterstützenden Arbeitsumfeld.

Offene Stellen

Real Estate Legal Update

Hier gehts zum Real Estate Legal Update 01/24. Unser Real Estate Team hat wiederum Artikel in verschiedenen Gebieten verfasst, so dass hoffentlich für alle etwas Interessantes dabei ist. Wir wünschen viel Spass bei der Lektüre.

Registrieren Sie sich hier, um unser 2 x jährlich erscheinendes Real Estate Legal Update zu erhalten.

Unser Team

Unsere über 150 Anwältinnen und Anwälte unterstützen Sie dabei, den regulatorischen und technologischen Anforderungen im modernen globalen Wirtschaftsleben erfolgreich zu begegnen und ihre wirtschaftlichen Chancen zu nutzen.

Unser Team

Revision DSG

Auf unserer Themenseite rund um die Revision des Schweizerischen Datenschutzgesetzes finden Sie regelmässig aktualisierte und umfassende Informationen und Hilfsmittel. Es ist uns ein Anliegen, Sie bei der Implementierung der neuen Vorgaben zu unterstützen.

Revision DSG Themenseite

MLL Legal on Social Media

Folgen Sie uns auf LinkedIn.