Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), Ulrich Kelber, möchte aufgrund eines Datenschutzverstoßes ein Bußgeld in Höhe von 9,55 Mio. Euro gegen die 1&1 Telecom GmbH verhängen.
Der 1&1 Telecom GmbH wird vorgeworfen, dass keine ausreichenden technischen und organisatorischen Maßnahmen getroffen wurden, um einen Anrufer sicher authentifizieren zu können
Im Rahmen der telefonischen Kundenbetreuung müssen sich die Anrufer am Telefon authentifizieren (den eindeutigen Nachweis erbringen, dass sie als Anrufer auch tatsächlich der genannte Kunde sind). Ist der Kundenbetreuer am Telefon in der Lage den Anrufer im System der 1&1 Telecom GmbH zu identifizieren, kann er in der Folge die Anfrage bearbeiten. Zur Authentifizierung wurden beim Kunden lediglich Name und Geburtsdatum abgefragt.
Hier setzt der BfDI mit seiner Kritik an. Das Verfahren zur Authentifikation wird als nicht hinreichend sicher bewertet, da es einem fremden Dritten zu leicht möglich sei, Informationen über bestehende Kunden und deren Verträge zu erlangen. Dieses nicht adäquate Vorgehen zum Schutz der Daten bedeutet einen Verstoß gegen Art. 32 der Europäischen Datenschutzgrundverordnung (EU-DSGVO) in dem die notwendigen Maßnahmen zur Sicherheit bei der Verarbeitung personenbezogener Daten festgelegt werden.
Dies ist das zweite Mal, dass die Aufsichtsbehörden in Deutschland ein Millionen-Bußgeld gegen Unternehmen unter Berücksichtigung des Bußgeldverfahrens aussprechen bzw. ankündigen. 1&1 Telecom GmbH hat bereits angekündigt, dass das Unternehmen den Bußgeldbescheid nicht akzeptiert und gerichtlich dagegen vorgehen wird.
Hier sind die Unternehmen aufgefordert, Ihre Prozesse anzupassen und für mehr Sicherheit Sorge zu tragen, in dem z.B. weitere Informationen, wie Teile der Kundennummer, der Vertragsnummer bzw. anderer Kriterien abzufragen sind und dieses auch zu dokumentieren ist. Alternative Verfahren können z.B. der Versand von Identifikations-Kennzeichen (PIN) an bekannte Daten des Vertragspartners sein. Neben der abschließenden Beurteilung dieses Falles durch die Gerichte und des Strafmaßes, wird es in der Folge interessant sein zu erfahren, welche Maßnahmen durch die Aufsichtsbehörden als adäquat bewertet werden.
Es bleibt festzuhalten, dass die Authentifizierung am Telefon weiter problematisch bleibt. Eine 100% Sicherheit kann in der Praxis kaum bzw. nicht umgesetzt werden. Dennoch haben die Unternehmen als "Verantwortlicher" die Pflicht adäquate Maßnahmen auf dem Stand der Technik umzusetzen, Mitarbeiter ausreichend zu sensiblisieren und diese Maßnahmen auch zu dokumentieren.