Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat gegen den Telekommunikationsdienstleister 1&1 Telecom GmbH ein Bußgeld in Höhe von knapp 10 Mio. € verhängt. Das Unternehmen hatte keine hinreichenden technisch-organisatorischen Maßnahmen gegen unberechtigte Auskünfte zu Kundendaten bei der telefonischen Kundenbetreuung getroffen. Der Fall betrifft sämtliche Unternehmen, die Kunden-Hotlines betreiben.
Warum wurde das Bußgeld verhängt?
Anrufer konnten bei der Kundenbetreuung des Unternehmens allein schon durch Angabe des Namens und Geburtsdatums eines Kunden weitreichende Informationen zu weiteren personenbezogenen Kundendaten erhalten. Die Datenschutz-Grundverordnung (DSGVO) verlangt jedoch von Datenverarbeitern, dass diese „geeignete technische und organisatorische Maßnahmen“ treffen, um die Datensicherheit zu gewährleisten. Der BfDI sah darin einen Verstoß gegen die DSGVO. Parallel verhängte der BfDI ein Bußgeld gegen ein weiteres Unternehmen in Höhe von 10.000 €, weil ein Datenschutzbeauftragter fehlte.
Wieso fiel das Bußgeld so hoch aus?
Der BfDI beurteilt den Verstoß also Risiko für den gesamten Kundendatenbestand. Bei der Bemessung des Bußgeldes habe man sich allerdings sogar noch im unteren Bereich des möglichen Bußgeldrahmens bewegt. Hintergrund: Das Bußgeld berechnet sich auf der Basis des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs. Bußgeldmindernd berücksichtigte der BfDI, dass sich der Telekommunikationsdienstleister einsichtig und kooperativ zeigte.
1&1 hat das Bußgeld als „unverhältnismäßig“ kritisiert und bereits angekündigt, gegen den Bußgeldbescheid vorzugehen und zu klagen. Neben der Deutsche Wohnen SE hat nun das zweite Unternehmen eine millionenschwere Geldbuße kassiert. Es bleibt auch hier spannend, ob die Gerichte insbesondere die Höhe der Bußgelder akzeptieren werden.
Was bedeutet das für Unternehmen?
Es besteht dringender Handlungsbedarf: Unternehmen, die eine Hotline für die Kundenbetreuung unterhalten, dürfen die Kunden nicht allein anhand des Namens und des Geburtsdatums authentifizieren (also deren Identität feststellen). Was ist also zu tun?
- Identifizieren Sie die Kunden durch die Abfrage zusätzlicher Angaben (z.B. Kundennummer und Rechnungsnummer und Vertragsnummer). Dies hat der BfDI in einem ersten Schritt auch von dem Telekommunikationsdienstleister verlangt.
- Sie müssen die Sicherheit des Authentifizierungsprozesses erhöhen: Richten Sie z.B. eine Zwei-Faktor-Authentifizierung ein. Dabei wird der Kunde nicht nur durch die Angabe der telefonisch abgefragten Daten, sondern durch ein weiteres zusätzliches Sicherheitsmerkmal identifiziert, das regelmäßig nur im Besitz des Kunden ist. Das könnte beispielsweise eine auf das mobile Endgerät des Kunden gesendete Push-Nachricht (etwa in einer App) oder eine SMS mit einem automatisch generierten Sicherheitscode sein. Der Code kann dann mit dem bei dem Kundenbetreuer angezeigten Code verglichen werden. Das ist aber nur eine Variante denkbarer möglicher Änderungen. Es gilt: Je sicherer, desto besser.
Sie haben Fragen zum Datenschutz? Kontaktieren Sie uns.