Betroffenenrechte: Sichere Identifizierung unumgänglich
In Deutschland verhängte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ein Bußgeld in Höhe von knapp 10 Millionen Euro gegen Internetanbieter 1&1. Der Telekommunikationskonzern hatte es Unbefugten zu leicht gemacht, über die Telefon-Hotline die Daten von Kunden abzufragen.
Im Fall von 1&1 Telecom GmbH hatte der BfDI Kenntnis erlangt, dass Anrufer bei der Kundenbetreuung des Unternehmens allein schon durch Angabe des Namens und Geburtsdatums eines Kunden weitreichende Informationen zu weiteren personenbezogenen Kundendaten erhalten konnten. In diesem Authentifizierungsverfahren sieht der BfDI einen Verstoß gegen Artikel 32 DSGVO, nach dem das Unternehmen verpflichtet ist, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Verarbeitung von personenbezogenen Daten systematisch zu schützen.
Im Verfahren ging es laut Pressemitteilung des Unternehmens “nicht um den generellen Schutz der bei 1&1 gespeicherten Daten, sondern um die Frage, wie Kunden auf ihre Vertragsinformationen zugreifen können. Der fragliche Fall ereignete sich bereits 2018. Konkret ging es um die telefonische Abfrage der Handynummer eines ehemaligen Lebenspartners. Die zuständige Mitarbeiterin erfüllte dabei alle Anforderungen der damals bei 1&1 gültigen Sicherheitsrichtlinien. Zu diesem Zeitpunkt war eine Zwei-Faktor-Authentifizierung üblich, einen einheitlichen Marktstandard für höhere Sicherheitsanforderungen gab es nicht.” [1]
Nachdem der BfDI den unzureichenden Datenschutz bemängelt hatte, zeigte sich 1&1 Telecom GmbH einsichtig und äußerst kooperativ. In einem ersten Schritt wurde zunächst der Authentifizierungsprozess durch die Abfrage zusätzlicher Angaben stärker abgesichert. In einem weiteren Schritt wird bei der 1&1 Telecom GmbH derzeit und nach Absprache mit dem BfDI ein neues, technisch und datenschutzrechtlich deutlich verbessertes Authentifizierungsverfahren eingeführt.
Ungeachtet dieser Maßnahmen war die Verhängung einer Geldbuße geboten. So war unter anderem der Verstoß nicht nur auf einen geringen Teil der Kunden begrenzt, sondern stellte ein Risiko für den gesamten Kundenbestand dar. Bei der Festsetzung der Höhe der Geldbuße blieb der BfDI aufgrund des während des gesamten Verfahrens kooperativen Verhaltens von 1&1 Telecom GmbH im unteren Bereich des möglichen Bußgeldrahmens.
Anmerkungen
- Der BfDI hat mit diesem Urteil der gängigen Praxis, “dass der Verantwortliche von der betroffenen Person zusätzliche Informationen abfragt, um sicherzugehen, dass es sich tatsächlich um die richtige Person handelt. Typischerweise handelt es sich dabei um Daten wie Geburtsdatum und Anschrift der betroffenen Person. In wenigen Fällen (fast ausschließlich beim Telebanking) werden „richtige“ Geheimnisse (etwa eine zuvor mitgeteilte PIN) abgefragt.” [2] eine klare Absage erteilt;
- Unklar bleibt, wie eine 2-Faktor-Authentifizierung am Telefon durchgeführt worden war. Die Zwei-Faktor-Authentisierung (2FA), häufig auch als Zwei-Faktor-Authentifizierung bezeichnet, bezeichnet den Identitätsnachweis eines Nutzers mittels der Kombination zweier unterschiedlicher und insbesondere unabhängiger Komponenten (Zwei von 3 Faktoren müssen erfüllt sein: Wissen, Besitz, Biometrie). Typische Beispiele sind Bankkarte plus PIN beim Geldautomaten, Fingerabdruck plus Zugangscode in Gebäuden, oder Passphrase und TAN beim Online-Banking. [3]
- Das Urteil unterstreicht die Bedeutung von datenschutzkoformen Identifizierungs- und Authentifizierungsprozessen bei der Erfüllung von Betroffenenansprüchen;
- Empfohlen wird eine Überprüfung und gegebenenfalls Adaptierung der eigenen Identifizierungs- und Authentifizierungsprozesse im Zusammenhang mit der Erfüllung von Betroffenenansprüchen, vor allem bei Auskunftsbegehren;
- Entsprechenden Identifizierungs- und Authentifizierungsverfahren sind im Rahmen von Schulungsmaßnahmen, den mit der Verarbeitung befassten Mitarbeitern zu vermitteln;
- Der mögliche Bußgeldrahmen bei mangelhaften TOMs beträgt 10 Mio Euro oder 2% des weltweiten Konzernumsatzes. Die 1&1 Telekom GmbH ist Teil der United Internet Gruppe mit einem konzernweiten Jahresumsatz (2018) von 5,1 Mrd Euro (Quelle: https://de.wikipedia.org/wiki/United_Internet);
Quellen
[1] 1&1 klagt gegen Bußgeldbescheid der Datenschutzbehörde, URL: https://newsroom.1und1.de/2019/12/09/11-klagt-gegen-bussgeldbescheid-der-datenschutzbehoerde/#page-content, Stand: 10.12.2019;
[2] Eine umfassende und überaus sachdienliche Zusammenfassung der Aspekte zur Identitätsprüfung veröffentlichte der baden-württembergische Datenschutzbeauftragte: Identitätsprüfung bei elektronischen Auskunftsersuchen nach Art. 15 DS-GVO;
[3] 2-Faktor-Authentisierung, URL: https://de.wikipedia.org/wiki/Zwei-Faktor-Authentisierung, Stand: 10.12.2019;
BfDI verhängt Geldbußen gegen Telekommunikationsdienstleister, URL: https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2019/30_BfDIverhängtGeldbuße1u1.html, Stand: 10.12.2019;
Eine Gegenüberstellung von verschiedenen Authentifizierungsverfahren in Hinblick auf ihre Tauglichkeit zur Erfüllung der Anforderungen der 2. Zahlungrichtlinie (EU) (Payment Services Directive, PSD2 ) enthält die Stellungnahme der Europäische Bankenaufsichtsbehörde (EBA) zur starken Kundenauthentifizierung (Strong Customer Authentication, SCA);