Authentifizierung von Kunden am Telefon
Authentifizierung von Kunden am Telefon:
Warum sollte die Authentifizierungs-Methode zeitnah überprüft werden?
Ein Bußgeld in Höhe von 9,55 Mio. Euro möchte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) von dem Telekommunikationsdienstleister 1&1 Telecom GmbH. Vorgeworfen wird dem Telekommunikationsdienstleister, dass er keine hinreichenden technischen und organisatorischen Maßnahmen (TOM), um telefonische Anrufer sicher zu authentifizieren. Bisher mussten Kunden dem Berater beim Kundenservice dafür ihr Geburtsdatum nennen. Danach konnten sie verschiedenste Informationen zum Vertragsverhältnis erfragen. Die Aufsichtsbehörde geht davon aus, dass diese Information von Dritten zu leicht in Erfahrung gebracht werden kann. Fremde können so mit wenig Aufwand über nahezu alle bei 1&1 gespeicherten Daten Auskunft erhalten. Nach Auffassung des BfDI liegt daher ein Verstoß gegen Art. 32 DSGVO vor. Tatsächlich wird die Ergreifung geeigneter TOM in Unternehmen häufig unterschätzt. Eine nicht ausreichende Umsetzung führt jedoch immer wieder zu Datenverlusten, Datenschutzvorfällen, Meldungen an Aufsichtsbehörden und damit zu Bußgeldern. Art. 32 DSGVO ist eine maßgebliche Norm für den innerhalb der DSGVO verfolgten risikobasierten Ansatz:
"Unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete TOM, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten ."
Demnach besteht durchaus das Risiko eines Zugriffs auf personenbezogene Daten durch Unberechtigte. Bei schwacher Authentifizierung am Telefon ist die Eintrittswahrscheinlichkeit des Risikos durchaus hoch.
Gemäß Art. 83 Abs.4 lit a DSGVO kann Art. 32 DSGVO mit einer Geldbuße von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden.
In allen Bereichen, in denen es einen "Kundenservice" gibt, ist daher sicherzustellen, dass die Methode, welche zur Authentifizierung der Kunden (oder Nutzer) verwendet wird, DSGVO-konform ist. (Dies gilt natürlich auch in den Fällen, in denen über die Betroffenenrechte bspw. Auskunft über die gespeicherten Daten verlangt wird.)
Welche Authentifizierungs-Methoden sind DSGVO-konform?
Die Abfrage des Geburtsdatums des Kunden erscheint den deutschen Behörden als nicht ausreichend sichere Authentifizierungs-Methode (siehe Webseite BfDI). Sicherer kann etwa die Abfrage einer individuellen PIN oder eines Betreuungscodes sein, vielfach kann auch die Abfrage einer Kundennummer ausreichend sein.
Bei eventuellen Fragen unterstützen wir Sie gerne!
Hinweis: Wir haben die rechtlichen Vorgaben / Problemstellungen / die Rechtslage ausschließlich unverbindlich zusammengefasst. Der Artikel spiegelt darüber hinaus die persönliche Auffassung des Verfassers wider und ersetzt weder eine individuelle Rechtsberatung noch die weiteren Entwicklungen zu diesem Thema.