Mitte Dezember ließ ein weiteres Bußgeld im Datenschutz aufhorchen. Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) verhängte eine Geldbuße von 9,55 Millionen Euro gegen 1&1 wegen unzureichender Authentifizierung im telefonischen Kundendienst. Passiert war Folgendes: Eine Frau konnte telefonisch beim 1&1-Kundendienst die Handynummer ihres Ex-Partners erfragen, da sie dessen zur Sicherheit abgefragtes Geburtsdatum nennen konnte.

1&1 hat bereits angekündigt, gegen die Entscheidung zu klagen. Das wird interessant, steht damit erstmals ein Millionenbußgeld auf Grundlage des neue Bemessungskonzept der Datenschutzkonferenz vor Gericht. Unabhängig davon dürfte der Fall alle Unternehmen mit Endkundenkontakt aufschrecken. Wie jedes Mal, wenn in den vergangenen Wochen ein hohes Bußgeld durch die Medien ging, kommen sofort Fragen auf wie: Wie sieht das bei uns aus? Kann uns das auch passieren?

Authentifizierung ist das Verfahren zur Überprüfung einer bestimmten Eigenschaft, in der Regel der Identität. Im konkreten Fall bestand das Problem in der fehlenden Berechtigung der Ex-Partnerin, nicht der Authentifizierung. Der Kundenbetreuerin von 1&1 dürfte bei der Weitergabe klar gewesen sein, dass sie mit einer Frau und damit nicht mit dem Kundenkontoinhaber sprach.

Der BfDI hat das Bußgeld aber ausdrücklich auf den grundsätzlichen Authentifizierungsprozesses bei 1&1 gestützt, also die Abfrage von Name und Geburtsdatum, um Informationen im Hinblick auf ein Kundenkonto zu erhalten. Anknüpfungspunkt des BfDI war Art. 32 der Datenschutz-Grundverordnung (DSGVO). Danach ist der Datenverarbeitende zur Umsetzung von technischen und organisatorischen Maßnahmen verpflichtet, die sicherstellen sollen, dass keine Unbefugten Zugriff auf personenbezogene Daten erhalten. Für die Geltendmachung der Betroffenenrechte der DSGVO wie Auskunft und Löschung fordert Art. 12 Abs. 6 DSGVO noch spezieller, dass sowohl der Antragsteller auch als die betroffene Person zu identifizieren sind. Der zugehörige Erwägungsgrund fordert: „Der Verantwortliche sollte alle vertretbaren Mittel nutzen, um die Identität einer Auskunft suchenden betroffenen Person zu überprüfen …“. Aus dieser Formulierung lässt sich das Spannungsfeld erahnen, in dem sich der Verantwortliche befindet. Einerseits muss er gewährleisten, dass für die Inanspruchnahme der Betroffenenrechte keine zu hohen Hürden bestehen. Andererseits ist nichts schlimmer, als dem Falschen Auskunft zu erteilen. Wann also darf man dem Anfragenden eine Datenauskunft erteilen oder Daten löschen?

Betroffenenrechte gemäß der DSGVO darf grundsätzlich nur die betroffene natürliche Person geltend machen, also diejenige, auf die sich eine Information identifizierbar bezieht.
Führt man sich vor Augen, was die Authentifizierung eigentlich leisten soll, wird schnell klar, dass alleine die Abfrage des Geburtsdatums nicht als Identitätsnachweis ausreichen kann. Soll die Angabe eines Datums nachweisen, dass es sich tatsächlich um den Berechtigten, also etwa den Inhaber eines Nutzerkontos bei einer Online-Plattform handelt, scheiden sämtliche Informationen aus, die viele andere wissen können. Das gilt für die typischerweise im Kundenkonto gespeicherten Stammdaten wie Name, Anschrift, Telefonnummer oder eben das Geburtsdatum. Das gilt hingegen nicht automatisch für solche Informationen, die speziell für das individuelle Vertragsverhältnis generiert wurden, wie beispielsweise eine Kunden-, Vertrags- oder Vorgangsnummer. Diese werden typischerweise nicht mit Dritten geteilt, die keinen Bezug zum Vertrag haben. Da diese Informationen aber auch zu anderen Zwecken als zur Identifikation genutzt werden – so stehen sie zum Beispiel auf jedem Rechnungsschreiben –, besteht auch hier noch eine naheliegende Möglichkeit der Kenntnisnahme durch unberechtigte Mitarbeiter oder Dritte, die etwa einen Brief abfangen.

Besser geeignet ist ein gutes Passwort (zwölf oder mehr Zeichen, Klein- und Großbuchstaben, Ziffern und Satzzeichen), das vom Kunden individuell erstellt wird und von ihm geheimgehalten wird. Stellt ein Kunde eine bestimmte Anfrage per E-Mail, spricht eine relevante Wahrscheinlichkeit dafür, dass dort nur der Berechtigte (wiederum passwortgeschützt) Zugang hat. Das gilt natürlich nur, wenn die Anfrage von einer E-Mail-Adresse kommt, die im Kundenkonto hinterlegt ist. Beliebt sind außerdem zuvor abgespeicherte Kontrollfragen wie etwa nach dem ersten Haustier oder dem Geburtsnamen der Mutter.

Wenn es ernster wird, benötigt man eine Zwei- beziehungsweise Multi-Faktor-Authentifizierung. Dabei werden mehrere Informationen aus unterschiedlichen Bereichen abgefragt, die von einem Unberechtigten schwerer oder nur mit erheblichem Aufwand zu beschaffen wären. Kombiniert werden dabei die Sphären Wissen (wie ein Passwort), Haben (etwa Smartphone, Bankkarte oder Token), ein biometrisches Kennzeichen (beispielsweise der Fingerabdruck) oder etwas, was das System über den Benutzer weiß (etwa der Aufenthaltsort). Beim Onlinebanking gibt es für zahlreiche Transaktionen seit September eine Pflicht zur Zwei-Faktor-Authentifizierung (§ 55 ZAG).

Welche Mittel kann und sollte die verantwortliche Stelle einsetzen, wenn eine datenschutzrechtliche Anfrage kommt? Die DSGVO gibt darüber nur allgemein Auskunft. Unter Berücksichtigung des Stands der Technik, der Kosten, der Umstände, der Eintrittswahrscheinlichkeit und der Schwere des Risikos sind die geeigneten Maßnahmen zu treffen, um ein angemessenes Schutzniveau zu gewährleisten (Art. 32 DSGVO).
Zunächst ist jeweils zu fragen: Was weiß ich überhaupt über den Nutzer? Kennt der Verantwortliche nur dessen E-Mail-Adresse, zum Beispiel bei einem Online-Forum, dann kann er auch nicht mehr für seine Authentifizierung verlangen. Anschließend sind das Risiko und alle anderen Umstände zu bewerten. Falls aber Gesundheitsdaten (Art. 9 DSGVO) betroffen sind oder ein konkreter Schaden droht, wird man an einer Mehr-Faktor-Authentifizierung kaum vorbeikommen.

Die betroffene Person soll alle Informationen und Mitteilungen in verständlicher und leicht zugänglicher Form erhalten (Art. 12 Abs. 1 DSGVO). Deshalb wäre es beispielsweise unzulässig, hierfür grundsätzlich eine Personalausweiskopie zu verlangen, außer wenn keine andere Möglichkeit zur Identitätsfeststellung vorliegt. Andererseits muss auch gesichert sein, dass nur der Betroffene selbst seine Rechte geltend macht. Das angewendete Authentifizierungsverfahren muss einen Ausgleich zwischen diesen beiden Anforderungen herstellen. Es gilt der risikobasierte Ansatz, wonach das Schutzniveau an das tatsächliche Risiko anzupassen ist.

Für den Zugriff auf das Kundenkonto dürfte in den meisten Fällen die Abfrage eines Passwortes leicht umsetzbar sein und eine ausreichende Authentifizierung gewährleisten. Das ist (noch) der übliche Weg, wie Kunden auf ihren Account zugreifen, wenn dort keine sensiblen Informationen sind und deshalb keine Mehr-Faktor-Authentifizierung implementiert ist. Im Konto kann man dann Funktionen vorsehen, wie der Betroffene seine Daten selbst herunterladen oder löschen kann. Im Bereich telefonischer Anfragen wurde hier bisher oft noch ein niedrigerer Standard praktiziert. Sachliche Gründe hierfür sind nicht ersichtlich. Schlussendlich dürfte die Lehre aus dem aktuellen Bußgeld somit für viele Unternehmen sein, telefonische Anfragen genauso zu behandeln, wie elektronische. Außerdem sind Informationen grundsätzlich nicht an Dritte herauszugeben, es sei denn, dies ist im Vorfeld mit dem Betroffenen ausdrücklich vereinbart.

Auch wenn man weiß, wer einer ist – immer schön vorsichtig bleiben
Mit der Authentifizierung des Berechtigten ist es allein noch nicht getan. Auch der Rückkanal, insbesondere bei einer datenschutzrechtlichen Auskunft, muss sicher sein. Das bedeutet dann zumeist Verschlüsselung oder einen Medienbruch hin zur guten alten Briefpost.