Bußgeld wegen unzureichender Identitätsprüfung

Bußgeld wegen unzureichender Identitätsprüfung
Sichere Identitätsprüfung bei Vertragsänderungen erforderlich

(ESP) Unautorisierte Dritte besteht Identitätsprüfung und bewirkt Vertragsänderung zum Ungunsten des Vertragsinhabers. Aufsichtsbehörde bemängelt Wirksamkeit des Sicherheitsprotokolls und verurteilt wegen Sicherheitsverletzung und unrechtmäßige Verarbeitung von personenbezogenen Daten zu einer Geldbuße von 150.000 EUR;

Ein Betroffener reichte bei der spanischen Datenschutzbehörde eine Beschwerde gegen ein Energieunternehmen ein, nachdem dieses eine vom der betroffenen Person nicht geforderte Änderung an seinem bestehenden Stromliefervertrag vorgenommen hatte. Die Änderung war von einer dritten Person, der Schwester der betroffenen Person, telefonisch beantragt worden und hatte zu einer Erhöhung der vertraglich vereinbarten Leistung und damit zu erhöhten Kosten geführt.

Für Dritte verfügbare Daten für Identitätsprüfung nicht ausreichend

Die Schwester hatte gegenüber dem Mitarbeiter des Energieversorgers am Telefon angegeben, an der Adresse des Beschwerdeführers zu wohnen und unter Stromausfällen leiden. Als sie daraufhin aufgefordert wurde, zum Nachweis ihrer Identität ihren Personalausweis vorzulegen, gab sie den Namen sowie die Personalausweisnummer des Betroffenen an. Dies wurde vom Kundendienst akzeptiert und sodann eine Änderung der Vertragsbedingungen des Betroffenen durchgeführt.

In einer Beschwerdebeantwortung gab das beklagte Unternehmen an, dass der Kundendienst das Protokoll zur Identifikation von betroffenen Personen eingehalten hat, indem er die Daten des Personalausweises, den Vor- und Nachnamen, die Telefonnummer und die Lieferanschrift des Vertragsinhabers abfragte. Die Angaben konnten durch einen vorgelegten Telefonmitschnitt auch belegt werden. In der Folge erschien es aus Sicht des Verantwortlichen nicht mehr notwendig zu sein, weitere im Protokoll vorgesehene Informationen wie die E-Mail-Adresse oder die Konto- oder Vertragsnummern abzufragen.

Verarbeitung wegen mangelhafter Identitätsprüfung als unrechtmäßig

Nach Auffassung der spanischen Datenschutzbehörde konnte sich der Vorfall wegen unzureichender Sicherheitsmaßnahmen aufseiten des Bußgeldempfängers ereignen. So hatte der Kundendienst des Energieversorgers zum Nachweis dessen, dass ein Anrufer im Auftrag eines Kunden handelte, lediglich die Vorlage des Namens, der Personalausweis- und Telefonnummer und Anschrift des Vertragskunden verlangt. Diese Daten könnten jedoch auch für unautorisierte Dritte leicht zugänglich sein, sodass sie alleine aus Sicht der Aufsichtsbehörde nicht als ausreichender Identitätsnachweis geeignet waren. Da vor dem Hintergrund der inadäquaten Identitätsprüfung die Vertragsänderung ohne Einwilligung des Beschwerdeführers erfolgt war, wertete die Behörde die mit ihr einhergehende Verarbeitung der Daten des Betroffenen als unrechtmäßig.

Bußgeld von 150.000 EUR

Die Aufsichtsbehörde verhängte gegen das Energieunternehmen bei einem Jahresumsatz von 110 bis 120 Mio EUR ein Bußgeld in der Höhe von 150.000 EUR. Die Bußgeldhöhe setzt sich anteilig zusammen aus 100.000 EUR aufgrund eines Verstoßes gegen Art. 6 DSGVO und aus 50.000 EUR aufgrund eines Verstoßes gegen Art. 32 DSGVO.

Die Aufsichtsbehörde hielt es nämlich für erwiesen, dass das verantwortliche Unternehmen gegen Artikel 32 DSGVO verstoßen hat, da es nicht über ein angemessenes Sicherheitsprotokoll verfügte, das es ihr ermöglicht, zu überprüfen, ob sie im Namen der betroffenen Person handelt, da ihr Sicherheitsprotokoll den Personalausweis, den Vor- und Nachnamen, die Telefonnummer und die Lieferanschrift des Vertragsinhabers verlangt, Daten, die Dritten ohne deren Wissen zugänglich sein können, was impliziert, dass sie im Namen des Vertragsinhabers handelt.

Durch das Fehlen eines angemessenen Sicherheitsprotokolls, hat der Verantwortliche, die vertraglich vereinbarte Stromlieferung ohne die Zustimmung des Vertragsinhabers, d.h. der betroffenen Person, geändert, was wiederum einen Verstoß gegen Art. 6 der DSGVO darstellte.

Anmerkungen

Angesichts der in der gängigen Praxis weit verbreiteten Identitätsprüfung durch Abfrage von gespeicherten Kundendaten, zeigt der oa Beschlusses der spanischen Aufsichtsbehörde ein bestehendes systemisches Sicherheitsrisiko des Verfahrens. Der Aufsichtsbehörde reichte es schon, dass die im “Sicherheitsprotokoll geforderten Daten (Personalausweisnummer, Vor- und Nachname, Telefonnummer und Adresse), die für Dritte zugänglich sein könnten.”

Dem Beschluss sind keine Informationen zu entnehmen, ob eine vollständig durchgeführte Identitätsprüfung irgendwelche Auswirkungen auf den Inhalt des Beschlusses gehabt hätte.

Ebenfalls unbeantwortet bleibt die Frage, ob nicht schon alleine das unterschiedliche Geschlecht der Anruferin (im Vergleich zum Vertragsinhaber) für die Feststellung einer unzureichenden Identitätsüberprüfung ausreichend gewesen wäre?


[1] Das Sicherheitsprotokoll verlangte bei der telefonischen Identitätsfeststellung, zB durch den Kundendienst, zu überprüfen, ob der Anrufer den Namen, den Nachnamen und die Personalausweis-ID des Vertragsinhabers, die Adresse der Lieferstelle, die Telefonnummer oder die E-Mail-Adresse hat. Falls der Anrufer nicht über die der Telefonnummer oder der E-Mail-Adresse entsprechenden Informationen verfügt, waren auch die letzten vier Ziffern des Bankkontos für den Liefervertrag oder die Vertragsnummer abzufragen..

Quelle

Bußgeldbescheid der spanischen Aufsichtsbehörde, URL: https://www.aepd.es/es/documento/ps-00476-2021.pdf; (Übersetzung per DeepL)