Ein weiteres Millionenbußgeld wurde durch eine Datenschutzaufsichtsbehörde aufgrund eines DSGVO-Verstoßes erlassen. Stattliche 9,55 Mio. Euro möchte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) von dem Telekommunikationsdienstleister 1&1 Telecom GmbH. Diesem wird vorgeworfen keine hinreichenden technischen und organisatorischen Maßnahmen (TOM) ergriffen zu haben, um telefonische Anrufer sicher zu authentifizieren. Was genau war der datenschutzrechtliche Verstoß und was hätte besser gemacht werden können?
Der Inhalt im Überblick
Was ist vorgefallen?
Die 1&1 Telecom GmbH bietet für seine Kunden eine telefonische Kundenbetreuung an. Damit die fleißigen Helfer an den Telefonen den Kunden auch tatsächlich helfen können, müssen sich die Kunden authentifizieren. Nur so kann der Kundenbetreuer den Anrufer überhaupt in seinem System identifizieren und mittels den dort zur Verfügung stehenden Informationen versuchen das Anliegen zu bearbeiten. Im vorliegenden Fall wurden die Kunden gebeten ihren Namen und ihr Geburtsdatum zur Authentifizierung anzugeben. Nachdem diese Informationen mitgeteilt wurden, können Kunden den eifrigen Kundenberater über die verschiedensten Dinge aus dem Vertragsverhältnis ausquetschen.
Der BfDI befand, dass die eingesetzte Authentifizierungsmethode zu einfach zu knacken sei. Somit könnten fremde mit vergleichsweise wenig Aufwand über praktisch alle bei 1&1 gespeicherten Daten Auskunft erhalten. Es liegt daher ein Verstoß gegen Art. 32 DSGVO vor, woraufhin der BfDI trotz einer einsichtigen und äußerst kooperativen 1&1 Telecom GmbH, ein Bußgeld von 9,55 Millionen Euro erließ. Es handelt sich dabei um das zweite Millionen-Bußgeld der deutschen Aufsichtsbehörden, welches mutmaßlich mithilfe der neuen Bußgeldberechnungsmaßstäbe erlassen wurde. Wir berichteten Anfang November über das erste Millionenbußgeld.
Trotz der angekündigten Besserungsmaßnahmen durch 1&1 war das Bußgeld geboten, so der BfDI, da die schwache Authentifizierungsmethode eine Gefahr für den gesamten Kundenbestand darstellte. Außerdem blieb der BfDI aufgrund des kooperativen Verhaltens von 1&1 im unteren Bereich des Bußgeldrahmens. Die 1&1 Telecom GmbH hat bereits verkündet, dass sie den erlassenen Bußgeldbescheid nicht akzeptiert und gerichtlich dagegen vorgehen wird.
Bußgeld aufgrund Verstoßes gegen Art. 32 DSGVO
Tatsächlich wird die Ergreifung geeigneter TOM in Unternehmen häufig unterschätzt. Jedoch führen zu halbherzig umgesetzte TOM immer wieder zu Datenverlusten, Datenschutzvorfällen, Meldungen an Aufsichtsbehörden und eben auch zu Bußgeldern. Was besagt Art. 32 DSGVO aber genau?
Art. 32 DSGVO ist eine maßgebliche Norm für den innerhalb der DSGVO verfolgten risikobasierten Ansatz. Die DSGVO legt in vielen Fällen keine konkreten Maßnahmen fest. Das würde auch nicht funktionieren, da der Anwendungsbereich des Datenschutzrechts sehr weit geht. Stattdessen findet man in Art. 32 Abs. 1 DSGVO folgende Formulierung:
„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten […] sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete TOM, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten […].“
Spielen wir diese zusammengefassten Voraussetzungen für den oben geschilderten Fall durch, so kann man schnell feststellen, dass die Einschätzungen des BfDI wohl zutreffend sind. Das Risiko ist der Zugriff auf personenbezogene Daten durch Unberechtigte. Die Eintrittswahrscheinlichkeit des Risikos ist aufgrund der schwachen Authentifizierung am Telefon wohl sehr hoch. Eine abschließende Einschätzung der Schwere des Risikos ist ohne die Vorlage der genau gespeicherten Daten durch 1&1 schwer vorzunehmen, jedoch birgt die widerrechtliche Weitergabe an Unbefugte ein wohl nicht zu unterschätzendes Risiko.
Art. 32 DSGVO kann gem. Art. 83 Abs. 4 lit. a DSGVO mit einer Geldbuße von bis zu 10 Mio. Euro oder 2 % des weltweiten Jahresumsatzes geahndet werden. Bei einem Jahresumsatze im Jahr 2018 des Mutterkonzerns United Internet von 5,131 Mrd. Euro wäre somit ein Bußgeld von bis zu 102,62 Mio. Euro möglich gewesen. (Jahresabschlussbericht United Internet, S. 27)
Telefonische Kundenbetreuung somit unmöglich?
Die Erwägungen des BfDI sind nachvollziehbar und jeder der etwas genauer über diese Authentifizierungsmethode nachdenkt, kommt wohl zu dem Ergebnis, dass Geburtsdatum und Name nicht ausreichend sind. Doch die Frage ist vielmehr, was für Optionen bleiben den Unternehmen dann noch zur Authentifizierung der Kunden am Telefon? Folgende Möglichkeiten könnten wohl in Betracht kommen:
- Vertragsnummer:
Die Abfrage der Vertragsnummer erscheint wohl das logischste zu sein. Sie ist eindeutig auf den Kunden bezogen und wird sowieso immer mit vergeben. Außerdem ist sie für den Kunden leicht zugänglich, da sie in der Regel bei jedem Kontakt mit einem Unternehmen mitgeteilt wird. Darin liegt jedoch auch die „Schwäche“ der Vertragsnummer. Sie steht in jeder Mail, in jedem Brief und ist dadurch auch schnell mal im Papierkorb zu finden. Dennoch würde sich durch die Abfrage der Vertragsnummer der Kreis der möglichen Unberechtigten Personen stark reduzieren. - Kontodaten:
Teilweise werden auch Zahlen aus der IBAN oder Kontonummer abgefragt. Diese Informationen sind auch immer bei den Unternehmen zur Zahlung der Leistung hinterlegt und Kunden können ihre Kontonummer in der Regel auch auswendig oder finden sie zumindest schnell. Nur gilt das gleiche auch für jede Person, der man einmal Geld überwiesen hat. Eine absolute Sicherheit liegt also auch hier nicht wirklich vor. - E-Mail-Adresse:
Die E-Mail-Adresse ist heutzutage wohl so geheim wie der Name eines Menschen. Die Angabe der E-Mail-Adresse ist natürlich ein weiteres Mittel zur Authentifizierung, jedoch ist es so schwach, dass die Sicherheit der Authentifizierung dafür nur minimal steigt. Insofern würde sich durch eine weitere Abfrage wohl nichts an der Tatsache ändern, dass die Authentifizierung nicht den Vorgaben von Art. 32 DSGVO entspricht. - Betreuungs-Code:
Vorstellbar wäre auch, dass man ähnlich wie eine PIN, einen Code mit dem ersten Vertrag bei einem Unternehmen erhält, welcher bei der Telefonbetreuung zur Authentifizierung genannt werden muss. So hätte jeder Kunde seinen eigenen geheimen Betreuungscode und andere könnten sich nicht mehr als Vertragsinhaber ausgeben. Dies würde die Authentifizierungsproblematik sicherlich lösen, aber inwiefern es Unternehmen möglich ist dies nachträglich umzusetzen, wird sich in Zukunft zeigen.
Was ist zu tun?
Fakt ist, die Authentifizierung von Kunden am Telefon ist problematisch. Eine 100 Prozent sichere Authentifizierung ist fast unmöglich in der Praxis umzusetzen. So wie ich das Bußgeld des BfDI jedoch verstehe, liegt es nicht so, dass eine 100 Prozent sichere Authentifizierung am Telefon erfolgen muss. Vielmehr ist die Kombination aus Name und Geburtsdatum so schwach, dass das damit einhergehende Risiko für die Betroffenen untragbar ist. Es muss durch geeignete Abfragen sichergestellt werden, dass nicht jeder mit einem Freundebucheintrag aus der dritten Klasse, auch gleichzeitig auf die durch 1&1 gespeicherten personenbezogenen Daten zugreifen kann.
Inwieweit kann / soll die Bußgeldlogik als solches gegen das GG verstoßen? 1&1 argumentiert in seiner PM: „Darüber hinaus verstößt die neue Bußgeldlogik gegen das Grundgesetz, insbesondere die Grundsätze der Gleichbehandlung und der Verhältnismäßigkeit.“. Die Formulierung ist allgemein und nicht speziell auf 1&1 bezogen.
Wie in unserem Blogbeitrag zum Bußgeldkatalog beschrieben, äußern sich Datenschutzexperten kritisch zu der neuen Bußgeldlogik der Aufsichtsbehörden. 1&1 greift damit die Kritik auf, dass der Konzernumsatz kein in Art. 83 DSGVO genanntes Kriterium für die Höhe des Bußgelds ist. Es stellt sich daher für Unternehmen die Frage inwiefern hier die Grundsätze der Gleichbehandlung, aber auch der Verhältnismäßigkeit, berücksichtigt werden. Die DSGVO selbst sieht in Art. 83 Abs. 1 DSGVO vor, dass Bußgelder verhältnismäßig sein müssen. Verhältnismäßig bedeutet dabei schuld- und tatangemessen. Die starke Orientierung an dem Umsatz der Unternehmen bzw. Konzerne kommt daher zu zweifelhaft verhältnismäßigen Ergebnissen.
Weiterhin beruft sich die 1&1 auf den Grundsatz der Gleichbehandlung aus Art. 3 Abs. 1 GG i.V.m. Art. 19 Abs. 3 GG. Danach ist Gleiches gleich zu behandeln. Der gleiche Verstoß bei einem kleineren Unternehmen und einem großen Konzern, könnte aufgrund des starken Bezugs zum Umsatz zu Bußgeldern führen, die Millionen Euro auseinanderliegen. Die Frage ist jedoch, ob hier noch von gleichen Sachverhalten auszugehen ist.
Passen dazu auch Herr Wybitul in einem Beitrag.
Ich hatte den Blogbeitrag mit großen Interesse gelesen. Allerdings sagt uns Art. 83 (1) Satz 2 DS-GVO auch, dass die Sanktionen abschreckend sein sollen.
Dazu empfehle ich folgenden Twitter thread https://twitter.com/Velofisch/status/1204030499536150530 in dem es u.a. um einfache telefonische Auskunft geht wie z.B. Anruf beim Arzt um nochmals nach dem Termin zu fragen, weil man den Zettel mit eben jenem weg geworfen hat und wie sinnvoll es ist, dies mit 2FA zu verbinden.
Sehr geehrte Damen und Herren!
Das Unternehmen 1 & 1 hat seine Kunden bezgl. Telefonischer Kontakte am 13.12.2019 darüber informiert, wie diese zukünftig zu erfolgen haben. Wohl eine Reaktion auf diesen Bußgeldbescheid.
>>> bitte halten Sie ab sofort immer Ihre persönliche 1&1 Service-PIN sowie zusätzlich Ihre 1&1 Rufnummer oder Ihre 1&1 Vertragsnummer bereit, wenn Sie bei uns anrufen. So kann der telefonische Kundenservice Sie als Vertragspartner identifizieren. Sie brauchen diese Angaben ab dem 16.12.2019 zwingend für Ihren Anruf bei uns. Nur so können Sie telefonisch auf Ihre 1&1 Verträge zugreifen oder diese ändern. Bitte geben Sie diese Daten nicht an Dritte weiter. Wo finden Sie Ihre PIN? Ihre persönliche PIN ist im 1&1 Control-Center unter „Kundendaten“ hinterlegt. Dabei handelt es sich um eine 5-stellige Nummer. Sie schützt Ihre bei 1&1 hinterlegten persönlichen Daten. <<<
Hoffen wir, dass die Sicherheitslücke damit geschlossen ist. Vielen Dank für Ihre Arbeit und stets umfangreichen Informationen,
MfG