Im Rahmen einer telefonischen Kundenbetreuung ist eine sichere Authentifizierung von anrufenden Kunden, sowohl in einem (kleinen, mittleren oder großen) Online-Handel mit / ohne Callcenter als auch bei Telekommunikations-Dienstleistungsunternehmen mit Callcenter, von hoher Bedeutung.
Nach Art. 32 Abs. 1 DSGVO hat der Verantwortliche (unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen) geeignete technische und organisatorische Maßnahmen („TOM“s) zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Bei einem Anruf bei z. B. einem Telekommunikations-Dienstleistungsunternehmen mit Callcenter, jedoch ebenso bei einem Anruf in einem (kleinen, mittleren oder großen) Online-Handel mit Callcenter besteht das Risiko einer Offenlegung von personenbezogenen Daten an Unbefugte. Vor dem Hintergrund der in Art. 32 Abs. 1 DSGVO genannten Maßgaben („Unter Berücksichtigung …“) muss dieses Offenlegungsrisiko minimiert werden. Welche Maßnahmen im Einzelfall geeignet sind, um dieses Risiko zu minimieren, muss anhand der vorstehend genannten Faktoren im Einzelfall beurteilt werden. Hierbei ist zu berücksichtigen, dass Kunden einerseits ein Interesse an einem schnellen und einfachen Zugang zum telefonischen Kundenservice haben müssen, andererseits aber auch ihre Daten sicher sein müssen. Das Schutzziel der Vertraulichkeit der Daten einerseits und das Schutzziel der Verfügbarkeit bzw. des Zuganges zu den eigenen Daten andererseits müssen abgewogen werden.
In einem von dem LG Bonn (Urteil vom 11.11.2020, Az. 29 OWi 1/20) entschiedenen Sachverhalt war Folgendes passiert: Der Betroffene war Kunde eines großen Telekommunikationsdienstleisters. In dem betroffenen Tatzeitraum hatte dieser Dienstleister verschiedene Callcenter betrieben. Anrufe erreichten dort in der Regel als erstes einen Serviceagenten des First-Level-Supportes. Dieser musste den Anrufer zunächst identifizieren und als Berechtigten authentifizieren. Hierzu wurde u. a. das Geburtsdatum abgefragt. Nach der Authentifizierung waren die Callcenter-Agenten ermächtigt, dem Anrufer Auskünfte zu erteilen und Änderungswünsche entgegenzunehmen. Bei dem Telekommunikationsdienstleister entsprach es gängiger Praxis, dass Personen, die sich als Familienangehörige des Kunden oder sonst nahestehender Personen vorstellten und zur Authentifizierung den Namen und das Geburtsdatum des Kunden nennen konnten, als legitimiert galten, für den Kunden zu handeln. Diese Praxis machte sich die ehemalige Lebensgefährtin eines Kunden zunutze. Der betroffene Kunde (d.h., ihr Ex-Partner) hatte seine vorherige Mobilfunknummer bewusst geändert, um von seiner ehemaligen Lebensgefährtin nicht mehr kontaktiert zu werden. Er hatte ferner eine offene Forderung des Telekommunikationsdienstleisters noch nicht beglichen, was seiner Ex-Partnerin bekannt war. Unter dem Vorwand, diese begleichen zu wollen, rief sie im Callcenter des Telekommunikationsdienstleisters an, gab sich als Ehefrau des Kunden aus und wurde durch die Nennung des Namens und des Geburtsdatums ihres Ex-Partners als Berechtigte qualifiziert. Im Verlaufe des Gespräches wurde ihr die neue Telefonnummer ihres Ex-Partners, der diese vor ihr geheim halten wollte, mitgeteilt. Unter deren Nutzung „wendete sie sich“ nachfolgend an ihren Ex-Partner.
Aufgrund dieser Vorgänge ist es zu einem von dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) eingeleiteten Ordnungswidrigkeitsverfahren gegen den Telekommunikationsdienstleisters gekommen, in dessen Rahmen ein Bußgeldbescheid vom 27.11.2019 in Höhe von 9,55 Mio. EUR verhangen wurde. Auf dessen Einspruch wurde dieses Bußgeld durch das LG Bonn auf 900.000,00 EUR reduziert.
Das LG Bonn beurteilte in seiner Entscheidung die von dem Telekommunikationsdienstleister durchgeführte Authentifizierung als unzureichend. Das zur Tatzeit angewendete Authentifizierungsverfahren durch Abfrage von Name und Geburtsdatum habe den Risiken nicht ausreichend Rechnung getragen.
Zu den Risiken hat das LG Bonn ausgeführt:
„Betroffen war nur wenig sensible Daten, allgemeine Kontaktdaten (Adresse, Telefonnummer und E-Mail-Adresse) sowie die Bankverbindung.“
„Das Risiko für die Rechte und Freiheiten bestimmter natürlicher Personen ist indes derart erheblich, dass die Daten wirksam geschützt werden mussten. Gefährdet waren etwa Personen, bei denen ganz allgemein die Gefahr einer unerwünschten Kontaktaufnahme besteht, z. B. Personen des öffentlichen Lebens. Es geht aber insbesondere auch um Personen, bei denen ein reelles Risiko besteht, dass sie Opfer von Straftaten werden, sei es durch Nachstellung (Stalking), Bedrohung oder Freiheitsberaubung. Jenseits dieser persönlichen Gefahren besteht auch stets das Risiko einer Schädigung durch unberechtigten Datengebrauch (…). Das Risiko, das Opfer eines Datenmissbrauchs durch Dritte zu werden, besteht zwar relativ betrachtet nur für einen geringen Anteil der Kunden (…) aufgrund der (…) Millionen Kunden war dies jedoch eine durchaus relevante absolute Anzahl.“
Vor dem Hintergrund dieser Risiken führte das LG Bonn aus, dass das angewendete Authentifizierungsverfahren durch Abfrage von Name und Geburtsdatum diesen Risiken nicht ausreichend Bedeutung beigemessen habe:
„Name und Geburtsdatum des Kunden stehen einem unüberschaubar großen Personenkreis zur Verfügung. Sie sind im Familien-, Bekannten- und Kollegenkreis vielfach bekannt oder verfügbar.
„Erst recht sind die Daten ungeeignet, eine Vermutung für eine Berechtigung/Vertretungsmacht des Anrufenden zu begründen, wenn Anrufer und Kunde erkennbar personenverschieden sind, weil ein Dritter im Namen des Kunden anruft. Dass andere Personen Kenntnis von Namen und Geburtsdatum des Kunden haben, impliziert schon nicht, dass diesen die Informationen bewusst preisgegeben wurden, und selbst eine bewusste Weitergabe des Geburtsdatums beinhaltet – auch im Familien- und Freundeskreis – keine Erteilung einer Vertretungsmacht.“
„Der Betroffenen wäre es ohne nennenswerten Aufwand möglich gewesen, den Sicherheitsstandard zu erhöhen. Bereits durch das zusätzliche Abfragen von Spezialwissen, etwa der Kunden- oder Rechnungsnummer, wäre die Annahme, dass der Anrufende tatsächlich der Kunde oder ein Berechtigter ist, belastbarer gewesen. Denn auf diese Daten haben regelmäßig nur der Kunde selbst oder sein nahes Umfeld Zugriff.“
Das LG Bonn hat damit zwischen „Allgemeinwissen“, das auch im Verwandten- und Bekanntenkreis des Betroffenen zur Verfügung stehen wird, und „Spezialwissen“, das im Regelfall nur dem Betroffenen und seinem engsten Familienkreis zur Verfügung steht, unterschieden. Eine „sichere Authentifizierung“ ist nach Ansicht des LG Bonn – u. E. zutreffend – nur durch Abfrage von Spezialwissen möglich.
Unternehmen, die bislang als Authentifizierungsmerkmale nur den Namen, die Anschrift, das Geburtsdatum und ggf. die E-Mail-Adresse vorgesehen haben, sollten daher sicherheitshalber über die Aufnahme weiterer Authentifizierungsmerkmale nachdenken. Spätestens durch den Bußgeldbescheid des BfDI und das Urteil des LG Bonn dürften Authentifizierungsmerkmale und deren Geeignetheit in den „Fokus“ der datenschutzrechtlichen Aufsichtsbehörden gelangt sein. In dem vorliegenden Sachverhalt war ein großes Telekommunikationsdienstleistungsunternehmen mit vielen Millionen Kunden betroffen. Es ist nicht unbedingt zu erwarten, dass die zuständige Landesdatenschutzbehörden auch bei (deutlich) kleineren Unternehmen, die bislang eine „unsichere“ Authentifizierung durchführen mögen, Bußgeldbescheide erlassen werden. Gleichwohl sollte diese Entscheidung zumindest zum Anlass genommen werden, um über das eigens angewendete Authentifizierungsverfahren nachzudenken und, sofern erforderlich, Optimierungen vorzunehmen.