wladimir1804 - stock.adobe.com
Fehler bei der Authentifizierung von Kunden vermeiden
Personenbezogene Daten dürfen nur an berechtigte Personen weitergegeben werden. Die Identität muss genau überprüft werden, bevor zum Beispiel telefonisch Auskunft gegeben wird.
„Nicht der Datenschutz erschwert die Digitalisierung, sondern schlechte Digitalisierung erschwert guten Datenschutz“, so der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit. Doch nicht nur bei der Digitalisierung passieren oftmals Fehler, die den Schutz personenbezogener Daten erschweren.
Auch bei eher klassischen Verfahren wie der telefonischen Betreuung von Kundinnen und Kunden wird oftmals nicht genug darüber nachgedacht, ob dem Datenschutz genüge getan wird. Wenn also Datenschutzmaßnahmen im Unternehmen geplant und Datenschutzkonzepte überarbeitet werden, sollte nicht nur an Online-Verfahren und das Internet gedacht werden.
Online-Dienste: Starke Identitätsüberprüfung gegen ungewollten Datenabfluss
Es gibt einen guten Grund, warum zum Beispiel so viel über Passwortsicherheit berichtet und diskutiert wird. Wenn Passwörter zu schwach sind und es nur eine Abfrage von Benutzernamen und Passwort gibt, dann könnten unberechtigte Dritte auf Online-Konten zugreifen und dort Daten ausspähen und missbrauchen.
Entsprechend wird für Online-Dienste eine Mehr-Faktor-Authentifizierung (MFA) gefordert. Doch oftmals sucht man die Möglichkeit für eine Zwei-Faktor-Authentifizierung (2FA) noch vergeblich. Wie verbreitet die 2FA bei Online-Diensten ist, hatte der Verbraucherzentrale Bundesverband e. V. (vzbv) in einer Marktübersicht zusammengefasst, bei der über 200 digitale Dienste aus 16 Branchen untersucht wurden.
Das Ergebnis: Lediglich in wenigen branchenspezifischen Bereichen, die bereits reguliert sind, werden flächendeckend Möglichkeiten zur Zwei-Faktor-Authentisierung angeboten. Hier besteht auch aus Sicht des BSI (Bundesamt für Sicherheit in der Informationstechnik) noch Nachholbedarf, um die Sicherheit der Nutzerinnen und Nutzer im Sinne des digitalen Verbraucherschutzes zu erhöhen.
Datenschutzauskunft: Nur für Betroffene
Die Datenschutz-Grundverordnung (DSGVO) fordert auch eine Sicherstellung der Identität, zum Beispiel wenn Betroffene eine Auskunft über ihre bei einer Organisation gespeicherten Daten anfordern. Dann gilt, dass die für die Datenverarbeitung Verantwortlichen angemessene Maßnahmen treffen müssen, um Personen hinter Auskunftsersuchen zu identifizieren, damit keine unberechtigten Dritten an die Daten gelangen (siehe auch Wie die Auskunftspflicht nach DSGVO richtig umgesetzt wird).
Was aber ist, wenn zum Beispiel eine Kundin oder ein Kunde bei der Support-Nummer oder bei der Kundenbetreuung eines Unternehmens anrufen, zum Beispiel bei dem Telekommunikationsanbieter?
Authentifizierung in Callcentern
Wir erinnern uns: Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hatte im Jahr 2019 einen Telekommunikationsdienstleister mit einer Geldbuße in Höhe von 9.550.000 Euro belegt. Das Unternehmen hatte keine hinreichenden technisch-organisatorischen Maßnahmen ergriffen, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können.
Dazu sagte damals der Bundesbeauftragte Ulrich Kelber: „Datenschutz ist Grundrechtsschutz. Die ausgesprochenen Geldbußen sind ein klares Zeichen, dass wir diesen Grundrechtsschutz durchsetzen werden. Die europäische Datenschutzgrundverordnung (DSGVO) gibt uns die Möglichkeit, die unzureichende Sicherung von personenbezogenen Daten entscheidend zu ahnden. Wir wenden diese Befugnisse unter Berücksichtigung der gebotenen Angemessenheit an.“
Im speziellen Fall hatte der BfDI Kenntnis erlangt, dass Anrufer bei der Kundenbetreuung des Unternehmens allein schon durch Angabe des Namens und Geburtsdatums eines Kunden weitreichende Informationen zu weiteren personenbezogenen Kundendaten erhalten konnten. In diesem Authentifizierungsverfahren sah der BfDI einen Verstoß gegen Artikel 32 DSGVO, nach dem das Unternehmen verpflichtet ist, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Verarbeitung von personenbezogenen Daten systematisch zu schützen.
Wichtig: MFA nicht nur im Internet, sondern auch am Telefon
Nach Beratung durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) haben inzwischen erste Telekommunikationsdienstleister ihre Authentifizierung bei der telefonischen Kundenbetreuung geändert.
Der BfDI stellt klar: Eine sichere Authentifizierung von Anrufern durch die Kundenbetreuung ist wichtig, da möglicherweise personenbezogene Daten preisgegeben werden oder Verträge geändert werden können. Gerade im Telekommunikationsmarkt gibt es viele Geschäftsvorgänge mit schützenswerten Daten des privaten Lebens, wie etwa die der Telefonnummer, der Bankverbindung oder der Adresse. Im Telefonservice besteht die besondere Schwierigkeit, dass sich kaum abschätzen lässt, ob auch tatsächlich die berechtigte Person handelt. Diesen Gefährdungen müsse wirkungsvoll und situationsangemessen begegnet werden.
Der BfDI ist hierzu mit den Telekommunikationsanbietern im Dialog, um einen sicheren Branchenstandard zu etablieren. Es ist ein positives Signal, wenn die Authentifizierung an der Hotline auch aus Sicht der Branche noch sicherer werden muss. Daher begrüßt der BfDI die aktuellen Anpassungen der Authentifizierungsvorgaben.
Nun können bestimmte Geschäftsvorgänge nur noch dann telefonisch erledigt werden, wenn die Kunden sich mit einer persönlichen Kundenkennzahl oder einer PUK legitimieren. Nach der Position des BfDI ist für Geschäftsvorgänge, bei denen private Daten preisgegeben werden oder es zu vertraglichen Änderungen kommt, diese sichere Legitimierung erforderlich. Der BfDI wird die Entwicklungen auch bei den anderen Unternehmen weiter proaktiv begleiten.
Es zeigt sich also: Nicht nur bei Online-Diensten, sondern auch bei Telefonkontakten kann der Einsatz von MFA (Mehr-Faktor-Authentifizierung) sinnvoll und notwendig sein, um dem Datenschutz Genüge zu tun.