Ein weiteres Millionenbußgeld wurde durch eine Datenschutzaufsichtsbehörde aufgrund eines DSGVO-Verstoßes erlassen. Stattliche 9,55 Mio. Euro möchte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) von dem Telekommunikationsdienstleister 1&1 Telecom GmbH. Diesem wird vorgeworfen keine hinreichenden technischen und organisatorischen Maßnahmen (TOM) ergriffen zu haben, um telefonische Anrufer sicher zu authentifizieren. Was genau war der datenschutzrechtliche Verstoß und was hätte besser gemacht werden können?
Was ist vorgefallen?
Die 1&1 Telecom GmbH bietet für seine Kunden eine telefonische Kundenbetreuung an. Damit die fleißigen Helfer an den Telefonen den Kunden auch tatsächlich helfen können, müssen sich die Kunden authentifizieren. Nur so kann der Kundenbetreuer den Anrufer überhaupt in seinem System identifizieren und mittels den dort zur Verfügung stehenden Informationen versuchen das Anliegen zu bearbeiten. Im vorliegenden Fall wurden die Kunden gebeten ihren Namen und ihr Geburtsdatum zur Authentifizierung anzugeben. Nachdem diese Informationen mitgeteilt wurden, können Kunden den eifrigen Kundenberater über die verschiedensten Dinge aus dem Vertragsverhältnis ausquetschen.
Der BfDI befand, dass die eingesetzte Authentifizierungsmethode zu einfach zu knacken sei. Somit könnten fremde mit vergleichsweise wenig Aufwand über praktisch alle bei 1&1 gespeicherten Daten Auskunft erhalten. Es liegt daher ein Verstoß gegen Art. 32 DSGVO vor, woraufhin der BfDI trotz einer einsichtigen und äußerst kooperativen 1&1 Telecom GmbH, ein Bußgeld von 9,55 Millionen Euro erließ. Es handelt sich dabei um das zweite Millionen-Bußgeld der deutschen Aufsichtsbehörden, welches mutmaßlich mithilfe der neuen Bußgeldberechnungsmaßstäbe erlassen wurde. Wir berichteten Anfang November über das erste Millionenbußgeld.
Trotz der angekündigten Besserungsmaßnahmen durch 1&1 war das Bußgeld geboten, so der BfDI, da die schwache Authentifizierungsmethode eine Gefahr für den gesamten Kundenbestand darstellte. Außerdem blieb der BfDI aufgrund des kooperativen Verhaltens von 1&1 im unteren Rahmen des Bußgeldverfahrens. Die 1&1 Telecom GmbH hat bereits verkündet, dass sie den erlassenen Bußgeldbescheid nicht akzeptiert und gerichtlich dagegen vorgehen wird.
Bußgeld aufgrund Verstoßes gegen Art. 32 DSGVO
Tatsächlich wird die Ergreifung geeigneter TOM in Unternehmen häufig unterschätzt. Jedoch führen zu halbherzig umgesetzte TOM immer wieder zu Datenverlusten, Datenschutzvorfällen, Meldungen an Aufsichtsbehörden und eben auch zu Bußgeldern. Was besagt Art. 32 DSGVO aber genau?
Art. 32 DSGVO ist eine maßgebliche Norm für den innerhalb der DSGVO verfolgten risikobasierten Ansatz. Die DSGVO legt in vielen Fällen keine konkreten Maßnahmen fest. Das würde auch nicht funktionieren, da der Anwendungsbereich des Datenschutzrechts sehr weit geht. Stattdessen findet man in Art. 32 Abs. 1 DSGVO folgende Formulierung:
"Unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete TOM, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten ."
Spielen wir diese zusammengefassten Voraussetzungen für den oben geschilderten Fall durch, so kann man schnell feststellen, dass die Einschätzungen des BfDI wohl zutreffend sind. Das Risiko ist der Zugriff auf personenbezogene Daten durch Unberechtigte. Die Eintrittswahrscheinlichkeit des Risikos ist aufgrund der schwachen Authentifizierung am Telefon wohl sehr hoch. Eine abschließende Einschätzung der Schwere des Risikos ist ohne die Vorlage der genau gespeicherten Daten durch 1&1 schwer vorzunehmen, jedoch birgt die widerrechtliche Weitergabe an Unbefugte ein wohl nicht zu unterschätzendes Risiko.
Art. 32 DSGVO kann gem. Art. 83 Abs. 4 lit. a DSGVO mit einer Geldbuße von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden. Bei einem Jahresumsatze im Jahr 2018 des Mutterkonzerns United Internet von 5,131 Mrd. Euro wäre somit ein Bußgeld von bis zu 102,62 Mio. Euro möglich gewesen. (Jahresabschlussbericht United Internet, S. 27)
Telefonische Kundenbetreuung somit unmöglich?
Die Erwägungen des BfDI sind nachvollziehbar und jeder der etwas genauer über diese Authentifizierungsmethode nachdenkt, kommt wohl zu dem Ergebnis, dass Geburtsdatum und Name nicht ausreichend sind. Doch die Frage ist vielmehr, was für Optionen bleiben den Unternehmen dann noch zur Authentifizierung der Kunden am Telefon? Folgende Möglichkeiten könnten wohl in Betracht kommen:
• Vertragsnummer:
Die Abfrage der Vertragsnummer erscheint wohl das logischste zu sein. Sie ist eindeutig auf den Kunden bezogen und wird sowieso immer mit vergeben. Außerdem ist sie für den Kunden leicht zugänglich, da sie in der Regel bei jedem Kontakt mit einem Unternehmen mitgeteilt wird. Darin liegt jedoch auch die "Schwäche" der Vertragsnummer. Sie steht in jeder Mail, in jedem Brief und ist dadurch auch schnell mal im Papierkorb zu finden. Dennoch würde sich durch die Abfrage der Vertragsnummer der Kreis der möglichen Unberechtigten Personen stark reduzieren.
• Kontodaten:
Teilweise werden auch Zahlen aus der IBAN oder Kontonummer abgefragt. Diese Informationen sind auch immer bei den Unternehmen zur Zahlung der Leistung hinterlegt und Kunden können ihre Kontonummer in der Regel auch auswendig oder finden sie zumindest schnell. Nur gilt das gleiche auch für jede Person, der man einmal Geld überwiesen hat. Eine absolute Sicherheit liegt also auch hier nicht wirklich vor.
• E-Mail-Adresse:
Die E-Mail-Adresse ist heutzutage wohl so geheim wie der Name eines Menschen. Die Angabe der E-Mail-Adresse ist natürlich ein weiteres Mittel zur Authentifizierung, jedoch ist es so schwach, dass die Sicherheit der Authentifizierung dafür nur minimal steigt. Insofern würde sich durch eine weitere Abfrage wohl nichts an der Tatsache ändern, dass die Authentifizierung nicht den Vorgaben von Art. 32 DSGVO entspricht.
• Betreuungs-Code:
Vorstellbar wäre auch, dass man ähnlich wie eine PIN, einen Code mit dem ersten Vertrag bei einem Unternehmen erhält, welcher bei der Telefonbetreuung zur Authentifizierung genannt werden muss. So hätte jeder Kunde seinen eigenen geheimen Betreuungscode und andere könnten sich nicht mehr als Vertragsinhaber ausgeben. Dies würde die Authentifizierungsproblematik sicherlich lösen, aber inwiefern es Unternehmen möglich ist dies nachträglich umzusetzen, wird sich in Zukunft zeigen.
Was ist zu tun?
Fakt ist, die Authentifizierung von Kunden am Telefon ist problematisch. Eine 100 Prozent sichere Authentifizierung ist fast unmöglich in der Praxis umzusetzen. So wie ich das Bußgeld des BfDI jedoch verstehe, liegt es nicht so, dass eine 100 Prozent sichere Authentifizierung am Telefon erfolgen muss. Vielmehr ist die Kombination aus Name und Geburtsdatum so schwach, dass das damit einhergehende Risiko für die Betroffenen untragbar ist. Es muss durch geeignete Abfragen sichergestellt werden, dass nicht jeder mit einem Freundebucheintrag aus der dritten Klasse, auch gelichzeitig auf die durch 1&1 gespeicherten personenbezogenen Daten zugreifen kann.
Beitrag hier kommentieren
