Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) verhängte gegen den Telekommunikationsdienstleister 1&1 Telecom GmbH ein Bußgeld in Höhe von 9,55 Mio. Euro mit dem Vorwurf, keine hinreichenden technischen und organisatorischen Maßnahmen (TOM) ergriffen zu haben, um telefonische Anrufer sicher zu authentifizieren.
Im Rahmen der telefonischen Kundenbetreuung und Gewährleistung sachgerechter Betreuung, müssen sich die Kunden des Unternehmens (wie fast überall auch) authentifizieren. Im konkreten Fall wurden die Kunden gebeten ihren Namen und ihr Geburtsdatum zur Authentifizierung anzugeben. Nach Abgleich konnten Kunden über Details aus dem Vertragsverhältnis sprechen.
Der BfDI befand, dass die eingesetzte Authentifizierungsmethode zu einfach zu knacken sei. Somit könnten Fremde mit vergleichsweise wenig Aufwand über praktisch alle bei 1&1 gespeicherten Daten Auskunft erhalten. Es liegt daher ein Verstoß gegen Art. 32 DSGVO vor, woraufhin der BfDI trotz einer einsichtigen und äußerst kooperativen 1&1 Telecom GmbH, ein Bußgeld von 9,55 Millionen Euro erließ.
Trotz der angekündigten Besserungsmaßnahmen durch 1&1 soll das Bußgeld nach BfDI geboten sein, weil die schwache Authentifizierungsmethode eine Gefahr für den gesamten Kundenbestand darstelle. Außerdem will der BfDI aufgrund des kooperativen Verhaltens von 1&1 im unteren Bereich des Bußgeldrahmens verblieben sein. M.E. vollkommen zu Recht hat die 1&1 Telecom GmbH bereits verkündet, dass sie den erlassenen Bußgeldbescheid nicht akzeptiert und gerichtlich dagegen vorgehen wird.
Fazit, generell:
Tatsächlich wird die Ergreifung geeigneter TOM in Unternehmen häufig unterschätzt, führen halbherzig umgesetzte TOM immer wieder zu Datenverlusten, Datenschutzvorfällen, Meldungen an Aufsichtsbehörden und eben auch zu Bußgeldern.
Fazit für die Authentifizierung im Rahmen telefonischer Kundenberatung:
Da eine 100-prozentige Sicherheit kaum zu gewährleisten ist, die von 1&1 gewählte Authentifizierung jedoch der behördlichen Überprüfung nicht standgehalten hat, gilt es einen sicheren Weg zu finden.
Die sicherste Methode scheint zu sein, dass der Kunde ähnlich wie eine PIN, einen Code mit dem ersten Vertrag bei einem Unternehmen erhält, welcher bei der Telefonbetreuung zur Authentifizierung genannt werden muss. Schwierig dürfte die Umsetzung in laufenden Verträgen oder bei Verlegen/Vergessen der PIN sein. Gleiches dürfte für die Festlegung von Kontrollfragen/-antworten gelten.
Die Abfrage der Vertragsnummer ist eindeutig auf den Kunden bezogen und wird sowieso immer mit vergeben. Außerdem ist sie für den Kunden leicht zugänglich, da sie in der Regel bei jedem Kontakt mit einem Unternehmen mitgeteilt wird. Darin liegt jedoch auch wiederum ein Risiko. Die Vertragsnummer steht in jeder Mail, in jedem Brief und ist dadurch auch schnell mal im Papierkorb zu finden. Dennoch würde sich durch die Abfrage der Vertragsnummer der Kreis der möglichen Unberechtigten Personen stark reduzieren.
Teilweise werden auch Zahlen aus der IBAN oder Kontonummer abgefragt. Eine absolute Sicherheit liegt also auch hier nicht wirklich vor.
Die E-Mail-Adresse ist m.E. stärker verbreitet als das Geburtsdatum und mindestens genauso problematisch.