Auf den letzten Metern des ausklingenden Jahres 2019 wurde ein Rekord-Bußgeld von Seiten des Bundesdatenschutzbeauftragten (BfDI) in Höhe von 9,55 Millionen Euro gegen einen Telefonanbieter erlassen.
Zum Hintergrund:
Der Telefonanbieter bot für seine Kunden einen umfassenden telefonischen Support. Hierbei hatten die Kunden die Möglichkeit, umfassende Informationen zu Ihren Verträgen zu erhalten. In den Fokus der Datenschutzbehörden geriet das Verfahren laut Stellungnahme des Unternehmens anlässlich eines konkreten Vorfalls: Bei einer telefonischen Anfrage erhielt eine nicht berechtigte Person die Telefonnummer eines ehemaligen Lebenspartners.
Die Sicherheitsrichtlinie des Unternehmens sah zu dem Zeitpunkt als Authentifizierungsmethode vor, den Kunden mittels Abfrage von Name und Geburtsdatum als den Kunden zu identifizieren und damit für die Auskunftserteilung zu legitimieren.
Dieses Verfahren beurteilte die Datenschutzbehörde als nicht ausreichend zum allgemeinen Schutz der personenbezogenen Daten der Kunden vor einer unrechtmäßigen Kenntnisnahme und sah hierin einen Verstoß gegen die Pflicht zur Ergreifung adäquater technischer und organisatorischer Maßnahmen zum Datenschutz aus Art. 32 DSGVO.
Konsequenzen:
Die telefonische Auskunftserteilung steht im Spannungsfeld zwischen Kundenservice und Datenschutz. Eine allzu restriktive Handhabung von telefonischen Auskünften ist vom Kunden oftmals nicht gewünscht. Wenn dadurch allerdings tatsächlich Daten in unrechtmäßige Hände gelangen, wie beispielsweise die neue Telefonnummer an den ehemaligen Lebenspartner, ist am Ende keiner damit glücklich.
Vorgehensweise:
Wie sollten Sie vorgehen, wenn Sie telefonische Auskünfte für Ihre Kunden bieten wollen?
Wenn Sie Informationen über das Telefon austauschen, sollten Maßnahmen ergriffen werden, die eine unrechtmäßige Verfügung durch einen Unbefugten verhindern sollen, seien es Verfügungen mit Rechtswirkung, seien es Auskunftsweitergaben.
Eine telefonische Auskunft ergibt nur dann Sinn, wenn das Verfahren praktikabel ist. Das Verfahren sollte mithin möglichst einfach für alle Seiten gestaltet sein.
Es sollte allerdings ein dem Risiko angemessenes Schutzniveau bieten, um die Gefahr vor Missbrauch durch Unbefugte für die Kunden zu minimieren.
Schutzbedarf feststellen:
Zunächst sollten Sie klassifizieren, welche Informationen überhaupt am Telefon ausgetauscht werden dürfen. Je nach Organisationsgrad und Komplexität Ihres Unternehmens könnte es sinnvoll sein, zunächst typische Fallgestaltungen der Anfragen zu differenzieren und festzuhalten, um daraus die geforderten Datenarten abzuleiten. Beispielsweise:
Fragen zum Vertrag:
- Vertragsinhalte
- Laufzeiten
- Vertragsende
Fragen zur Buchhaltung:
- offene Posten
- Kontoverbindung
- getätigte Zahlungen
Vertragsabsprachen, rechtsgestaltende Absprachen:
- Adressänderungen
- Änderungen von Lieferadressen
- Neuaufträge, Ergänzungsaufträge
… und weitere Fallgestaltungen.
Für alle diese Stationen müssen Sie dann eine Risikoabwägung vornehmen:
Was droht dem Kunden, wenn es sich um einen Unberechtigten handeln sollte?
→ Schwere des Risikos
Wie wahrscheinlich ist es, dass sich ein Unberechtigter Zugriff verschaffen kann?
→ Eintrittswahrscheinlichkeit
Je schwerer das Risiko für den Betroffenen wiegt, umso schärfere Maßnahmen müssen Sie ergreifen, um den Eintritt zu verhindern. Sinnvoll ist es, sämtliche Daten in Schutzstufen zu unterteilen und für die jeweilige Schutzstufe entsprechende Maßnahmen festzulegen.
Mögliche Maßnahmen:
Dass die Abfrage des Namens und des Geburtsdatums keinen zuverlässigen Ausschluss von Unberechtigten bietet, sollte mit einem Blick in ein beliebiges soziales Netzwerk nach Wahl hoffentlich jedem klar sein. Auch die Abfrage der Adresse dürfte kein ausreichendes Ausschlusskriterium für Unbefugte darstellen.
Die Abfrage vertragsspezifischer Details dürfte dahingehend bereits einen deutlich höheren Schutz bieten, da solche Daten üblicherweise nicht öffentlich kundgetan werden. Darunter leidet natürlich wieder die Benutzerfreundlichkeit. Eher selten hat der Kunde unterwegs die Vertragsunterlagen zur Hand.
Die Abfrage von Kontodaten kann zwar auch nicht zuverlässig Unberechtigte ausschließen, da Kontodaten an viele verschiedene Geschäftspartner bekannt gegeben werden, jedoch reduziert sich dadurch der Kreis möglicher Personen deutlich. Gegebenenfalls lässt sich dieses Kriterium in Zusammenschau mit weiteren Abfragen kombinieren, um ein höheres Schutzniveau zu erreichen.
Letztlich bieten technische Maßnahmen, wie ein Passwort- oder Tokenverfahren, je nach gewählten Vorgaben einen sehr zuverlässigen Schutz.
Alternativ dazu können auch Sicherheitsfragen vereinbart werden, deren Kenntnis üblicherweise nur dem Betroffenen selbst oder einem engsten Vertrautenkreis bekannt sind.
Um eine ausgewogene Balance zwischen Schutzbedarf und Benutzerfreundlichkeit herzustellen, können auch verschiedene Methoden miteinander kombiniert werden.
Sicherheitsrichtlinie erstellen und vermitteln:
Wenn Sie alle Daten nach Schutzbedarf erfasst haben, und entsprechende Sicherheitsvorgaben für jede Schutzstufe festgelegt haben, müssen diese Informationen an die Mitarbeiter vermittelt werden, angefangen mit einer entsprechenden Arbeitsanweisung und bestenfalls einer praktischen Einarbeitung. Die Einhaltung dieser Vorgaben sollte im Nachgang auch stichprobenartig überprüft werden.
So lassen sich Datenpannen vermeiden und die Datenschutzbehörden sollten ebenfalls zufriedengestellt sein.
Über die Details sprechen Sie am besten mit Ihrem Datenschutzbeauftragten.
Ass. iur. Nicole Krause
Juristische Mitarbeiterin bei der GINDAT GmbH