Gegen das 2019 vom Bundesbeauftragten für den Datenschutz und Informationsfreiheit (BfDI) verhängte Bußgeld in Höhe von 9,55 Mio. EURO setzte sich der damit wegen Verstoß gegen Art. 32, Abs. 1 DSGVO betroffene Internetdienstanbieter 1&1 zur Wehr und fuhr im November 2020 einen Teilerfolg ein. Das Landgericht Bonn bestätigte zwar die Datenschutzrechtsverletzung durch 1&1, setzte jedoch das Bußgeld auf 900.000 EURO herab. Das Urteil des Landgerichtes ist beachtenswert. Daraus folgt, dass nicht nur Betreiber von Telefon-Hotlines und Callcentern, sondern alle Unternehmen, die Kunden auch telefonisch beraten, ihre technischen und organisatorischen Maßnahmen (TOM) für das telefonische Authentifizierungsverfahren regelmäßig prüfen sollten.
Art. 32, Abs. 1 DSGVO bestimmt, dass der Verantwortliche (das Unternehmen) unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete TOM ergreifen muss, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dabei muss der Verantwortliche jederzeit dokumentieren und beweisen können, dass er diese Vorschriften einhält. Kein ganz einfaches Unterfangen, wie der der Fall von 1&1 zeigt.
Geburtsdatum, Name und Anschrift unzureichend
Die ehemalige Lebensgefährtin eines 1&1 Kunden rief im Callcenter der Firma an, gab sich als Ehefrau des Kunden aus und erfragte seine aktuelle Handynummer. Alles was sie brauchte, waren Name und Geburtsdatum ihres Verflossenen. Der BfDI war nun der Auffassung, dass das eingesetzte Authentifizierungsverfahren datenschutzrechtlich unzureichend sei und einen Verstoß gegen Art.32 Abs.1 DSGVO darstellte. Er verhängte ein Bußgeld in Höhe von 9,55 Mio EURO.
Interessante Urteilbegründung
In seiner Urteilbegründung zur Entscheidung vom 12.11.2020 29 OWI 1/20 gab das Landgericht dieser Einschätzung im Prinzip Recht, sah jedoch für die Höhe des Bußgeldes keinen hinreichenden Anlass. Mangels verbindlicher (gesetzlicher) Vorgaben an den Authentifizierungsprozess in Callcentern habe sich 1&1 hinsichtlich der Angemessenheit seines Schutzniveaus zwar im vermeidbaren, aber verständlichen Rechtsirrtum befunden. Auch hätte nach Gerichtsauffassung der Telekommunikationsdienstleiter durchaus fehlendes Problembewusstsein gezeigt, aber im Hinblick auf die seit Jahren geübte und zuvor nie beanstandete Authentifizierungspraxis entschied die zuständige Kammer am Landgericht Bonn, dass ein Verschulden im vorliegenden Fall gering sei. Das und die Tatsache, dass der Datenschutzverstoß nicht zu einer massenhaften Datenweitergabe an Nichtberechtigte geführt hätte, bewog das Gericht, das Bußgeld herabzusetzen.
Dieses Urteil müsste alle Unternehmen, die ihre Kunden telefonisch beraten, aufhorchen lassen. Denn auch bei kleineren Unternehmen ist nicht jeder Kunde persönlich bekannt, so dass ein Irrtum bei der Identifikation ausgeschlossen werden kann. Die Abfrage von Geburtsdatum, Name und Adressdaten zum Zweck der Authentifizierung des Anrufers ist ja immer noch weit verbreitete Praxis. Das sind jedoch häufig Daten, die sich ein geschickter Dritter ohne große Probleme beschaffen kann. Welche TOM, die schnell, praktikabel und preiswert in den Betriebsalltag zu integrieren sind, kann ein Unternehmen also einsetzen?
Zusätzliche Informationen abfragen
Bei der telefonischen Kundenbetreuung ist der Zeitfaktor in der Regel ein wesentliches Problem. Gerade hier muss hier ohne größeren Aufwand eine sichere Identifikation des Anrufenden durchgeführt werden können. Wenn ein Kundenkonto eingerichtet ist, könnte die Nennung des Kundenkontos Teil des Identifikationsprozesses sein. Das ist genauso wie eine Vertrags- oder Vorgangsnummer ein Datum, das üblicherweise nicht mit Dritten geteilt wird. Empfehlenswert für die Absicherung dieses Prozesses kann auch die zusätzliche Vergabe eines Telefonkennwortes oder einer individuellen PIN sein. Das sollte dann vorab per Briefpost an den Kunden versendet werden. Wenn Kunden einen Online-Zugang auf ihr Kundenkonto haben, könnten Sicherheitsabfragen eigens für die telefonische Beratung konfiguriert werden. Beispiele sind Kombinationen aus 3 bis 4 persönlichen Fragen, auf deren Antworten Dritte normalerweise keinen Zugriff haben können.
Autor: Daniela Maria Hübsch
Foto von Tima Miroshnichenko von Pexels