Authentifizierung von Kunden am Telefon

Authentifizierung von Kunden am Telefon:

Warum sollte die Authentifizierungs-Methode zeitnah überprüft werden?

Ein Bußgeld in Höhe von 9,55 Mio. Euro möchte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) von dem Telekommunikationsdienstleister 1&1 Telecom GmbH. Vorgeworfen wird dem Telekommunikationsdienstleister, dass er keine hinreichenden technischen und organisatorischen Maßnahmen (TOM), um telefonische Anrufer sicher zu authentifizieren. Bisher mussten Kunden dem Berater beim Kundenservice dafür ihr Geburtsdatum nennen. Danach konnten sie verschiedenste Informationen zum Vertragsverhältnis erfragen. Die Aufsichtsbehörde geht davon aus, dass diese Information von Dritten zu leicht in Erfahrung gebracht werden kann. Fremde können so mit wenig Aufwand über nahezu alle bei 1&1 gespeicherten Daten Auskunft erhalten. Nach Auffassung des BfDI liegt daher ein Verstoß gegen Art. 32 DSGVO vor. Tatsächlich wird die Ergreifung geeigneter TOM in Unternehmen häufig unterschätzt. Eine nicht ausreichende Umsetzung führt jedoch immer wieder zu Datenverlusten, Datenschutzvorfällen, Meldungen an Aufsichtsbehörden und damit zu Bußgeldern. Art. 32 DSGVO ist eine maßgebliche Norm für den innerhalb der DSGVO verfolgten risikobasierten Ansatz:

"Unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete TOM, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten ."

Demnach besteht durchaus das Risiko eines Zugriffs auf personenbezogene Daten durch Unberechtigte.  Bei schwacher Authentifizierung am Telefon ist die Eintrittswahrscheinlichkeit des Risikos durchaus hoch.

Gemäß Art. 83 Abs.4 lit a DSGVO kann Art. 32 DSGVO mit einer Geldbuße von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden.

In allen Bereichen, in denen es einen "Kundenservice" gibt, ist daher sicherzustellen, dass die Methode, welche zur Authentifizierung der Kunden (oder Nutzer) verwendet wird, DSGVO-konform ist. (Dies gilt natürlich auch in den Fällen, in denen über die Betroffenenrechte bspw. Auskunft über die gespeicherten Daten verlangt wird.)

Welche Authentifizierungs-Methoden sind DSGVO-konform?

Die Abfrage des Geburtsdatums des Kunden erscheint den deutschen Behörden als nicht ausreichend sichere Authentifizierungs-Methode (siehe Webseite BfDI). Sicherer kann etwa die Abfrage einer individuellen PIN oder eines Betreuungscodes sein, vielfach kann auch die Abfrage einer Kundennummer ausreichend sein.

Bei eventuellen Fragen unterstützen wir Sie gerne!

Hinweis: Wir haben die rechtlichen Vorgaben / Problemstellungen / die Rechtslage ausschließlich unverbindlich zusammengefasst. Der Artikel spiegelt darüber hinaus die persönliche Auffassung des Verfassers wider und ersetzt weder eine individuelle Rechtsberatung noch die weiteren Entwicklungen zu diesem Thema.

Letzte News

DSGVO | Alle News & Artikel zum Thema
Datenschutz und Datensicherheit

Erfahren Sie News und Wissenswertes zum Thema Datenschutz-Grundverordnung.

Anwaltliche Beratung im Arbeitsrecht - Wir bieten Ihnen schnelle und kompetente Beratung im Arbeitsrecht
Kirschenhofer Rechtsanwälte München

Wir beraten Sie zum Kündigungsschutz, zum Thema Abfindungen und Verhandlung von Abfindungen, zur Gestaltung von Arbeits-, Vorstands- und Geschäftsführerverträgen, Beratung des Aufsichtsrats, Mitarbeiterbeteiligung, Arbeitsrechtliche Fragen der Unternehmensgründung bzw. bei Umwandlungen.

DSGVO / DATENSCHUTZ

Wir bieten Ihnen Unterstützung und weitreichende Information zum Thema EU-Datenschutz-Grundverordnung an. Die DSGVO ist für alle Unternehmer, Shopbetreiber und Dienstleister ein wichtiges Thema - Wir helfen Ihnen personenbezogene Daten souverän zu schützen und rechtssicher einzusetzen.