Unzureichender Authentifizierungsprozess bei Kundenanrufen führt zu saftigem Bußgeld für 1 & 1

Nach wie vor gibt es erhebliche Lücken beim Kundendatenschutz im Zusammenhang  mit Telefonanrufen. Egal ob Banken, Versicherungen oder sonstige Dienstleister, allzu oft werden vorschnell am Telefon Auskünfte erteilt ohne das eine ausreichende Authentifizierung etwa durch Kennwortabfrage o.ä. stattgefunden hat.

Aus diesem Grund hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Ulrich Kelber gegen das Unternehmen 1&1 Telecom ein saftiges Bußgeld in Höhe von 9,55 Millionen Euro verhängt. Der Telekommunikationsdienstleister habe keine hinreichenden Maßnahmen ergriffen, um Unberechtigten den Zugriff auf Kundendaten bei der telefonischen Kundenbetreuung zu verwehren. Der Bundesbehörde zufolge hat 1&1 damit gegen die europäische Datenschutz-Grundverordnung (DSGVO) verstoßen.

Anrufer hätten bei der Kundenbetreuung des Unternehmens allein schon durch Angabe des Namens und Geburtsdatums eines Kunden “weitreichende Informationen zu weiteren personenbezogenen Kundendaten” erhalten können, hieß es. 1&1 habe inzwischen einen verbesserten Authentifizierungsprozess eingeführt. Eine Geldbuße sei jedoch geboten gewesen, da der Verstoß ein “Risiko für den gesamten Kundenbestand” dargestellt habe.

Datenschutz sei Grundrechtsschutz, sagte Kelber. Die Geldbuße sei “ein klares Zeichen, dass wir diesen Grundrechtsschutz durchsetzen werden”. Er verwies darauf, dass die Geldbuße höher hätte ausfallen können, die Firma habe sich aber einsichtig gezeigt hätte.

Für Verbraucher gilt: Achten Sie darauf, wenn Sie das nächste Mal bei Ihrer Bank oder Versicherung anrufen. Insbesondere dann, wenn es um besondere Datenkategorien (Gesundheitsdaten etc.) geht. Wie wird sichergestellt, dass die Daten in die richtigen Hände gelangen?

Für Unternehmen gilt: Im Grunde ist es kein Hexenwerk den Prozess der Authentifizierung bzw. der Identifikation des Anrufers sicherer zu machen. Es genügt häufig schon ein paar zusätzliche Daten abzufragen, die (nur) der tatsächlich Berechtigte kennt (die letzten drei Ziffern der IBAN, Geburtsort,  Geburtsname der Mutter o.ä.). Es ist Alles eine Frage der Organisation und des Qualitätsmanagements im Unternehmen. Und damit letztlich sogar eine Frage des Wettbewerbsvorteils – der Datensicherheit.