Fachbücher zu Daten­schutz und IT-Sicher­heit finden Sie hier.
  1. Home
  2. News
  3. Telefonische Auskunftserteilung
  • Datenschutz

Telefonische Auskunftserteilung

Auf den letzten Metern des ausklingenden Jahres 2019 wurde ein Rekord-Bußgeld von Seiten des Bundesdatenschutzbeauftragten (BfDI) in Höhe von 9,55 Millionen Euro gegen einen Telefonanbieter erlassen.

Zum Hintergrund:

Der Telefonanbieter bot für seine Kunden einen umfassenden telefonischen Support. Hierbei hatten die Kunden die Möglichkeit, umfassende Informationen zu Ihren Verträgen zu erhalten. In den Fokus der Datenschutzbehörden geriet das Verfahren laut Stellungnahme des Unternehmens anlässlich eines konkreten Vorfalls: Bei einer telefonischen Anfrage erhielt eine nicht berechtigte Person die Telefonnummer eines ehemaligen Lebenspartners.

Die Sicherheitsrichtlinie des Unternehmens sah zu dem Zeitpunkt als Authentifizierungsmethode vor, den Kunden mittels Abfrage von Name und Geburtsdatum als den Kunden zu identifizieren und damit für die Auskunftserteilung zu legitimieren.

Dieses Verfahren beurteilte die Datenschutzbehörde als nicht ausreichend zum allgemeinen Schutz der personenbezogenen Daten der Kunden vor einer unrechtmäßigen Kenntnisnahme und sah hierin einen Verstoß gegen die Pflicht zur Ergreifung adäquater technischer und organisatorischer Maßnahmen zum Datenschutz aus Art. 32 DSGVO.

Konsequenzen:

Die telefonische Auskunftserteilung steht im Spannungsfeld zwischen Kundenservice und Datenschutz. Eine allzu restriktive Handhabung von telefonischen Auskünften ist vom Kunden oftmals nicht gewünscht. Wenn dadurch allerdings tatsächlich Daten in unrechtmäßige Hände gelangen, wie beispielsweise die neue Telefonnummer an den ehemaligen Lebenspartner, ist am Ende keiner damit glücklich.

Vorgehensweise:

Wie sollten Sie vorgehen, wenn Sie telefonische Auskünfte für Ihre Kunden bieten wollen?

Wenn Sie Informationen über das Telefon austauschen, sollten Maßnahmen ergriffen werden, die eine unrechtmäßige Verfügung durch einen Unbefugten verhindern sollen, seien es Verfügungen mit Rechtswirkung, seien es Auskunftsweitergaben.
Eine telefonische Auskunft ergibt nur dann Sinn, wenn das Verfahren praktikabel ist. Das Verfahren sollte mithin möglichst einfach für alle Seiten gestaltet sein.
Es sollte allerdings ein dem Risiko angemessenes Schutzniveau bieten, um die Gefahr vor Missbrauch durch Unbefugte für die Kunden zu minimieren.

Schutzbedarf feststellen:

Zunächst sollten Sie klassifizieren, welche Informationen überhaupt am Telefon ausgetauscht werden dürfen. Je nach Organisationsgrad und Komplexität Ihres Unternehmens könnte es sinnvoll sein, zunächst typische Fallgestaltungen der Anfragen zu differenzieren und festzuhalten, um daraus die geforderten Datenarten abzuleiten. Beispielsweise:

Fragen zum Vertrag:

  • Vertragsinhalte
  • Laufzeiten
  • Vertragsende

Fragen zur Buchhaltung:

  • offene Posten
  • Kontoverbindung
  • getätigte Zahlungen

Vertragsabsprachen, rechtsgestaltende Absprachen:

  • Adressänderungen
  • Änderungen von Lieferadressen
  • Neuaufträge, Ergänzungsaufträge

… und weitere Fallgestaltungen.

Für alle diese Stationen müssen Sie dann eine Risikoabwägung vornehmen:

Was droht dem Kunden, wenn es sich um einen Unberechtigten handeln sollte?
→ Schwere des Risikos

Wie wahrscheinlich ist es, dass sich ein Unberechtigter Zugriff verschaffen kann?
→ Eintrittswahrscheinlichkeit

Je schwerer das Risiko für den Betroffenen wiegt, umso schärfere Maßnahmen müssen Sie ergreifen, um den Eintritt zu verhindern. Sinnvoll ist es, sämtliche Daten in Schutzstufen zu unterteilen und für die jeweilige Schutzstufe entsprechende Maßnahmen festzulegen.

Mögliche Maßnahmen:

Dass die Abfrage des Namens und des Geburtsdatums keinen zuverlässigen Ausschluss von Unberechtigten bietet, sollte mit einem Blick in ein beliebiges soziales Netzwerk nach Wahl hoffentlich jedem klar sein. Auch die Abfrage der Adresse dürfte kein ausreichendes Ausschlusskriterium für Unbefugte darstellen.

Die Abfrage vertragsspezifischer Details dürfte dahingehend bereits einen deutlich höheren Schutz bieten, da solche Daten üblicherweise nicht öffentlich kundgetan werden. Darunter leidet natürlich wieder die Benutzerfreundlichkeit. Eher selten hat der Kunde unterwegs die Vertragsunterlagen zur Hand.

Die Abfrage von Kontodaten kann zwar auch nicht zuverlässig Unberechtigte ausschließen, da Kontodaten an viele verschiedene Geschäftspartner bekannt gegeben werden, jedoch reduziert sich dadurch der Kreis möglicher Personen deutlich. Gegebenenfalls lässt sich dieses Kriterium in Zusammenschau mit weiteren Abfragen kombinieren, um ein höheres Schutzniveau zu erreichen.

Letztlich bieten technische Maßnahmen, wie ein Passwort- oder Tokenverfahren, je nach gewählten Vorgaben einen sehr zuverlässigen Schutz.

Alternativ dazu können auch Sicherheitsfragen vereinbart werden, deren Kenntnis üblicherweise nur dem Betroffenen selbst oder einem engsten Vertrautenkreis bekannt sind.

Um eine ausgewogene Balance zwischen Schutzbedarf und Benutzerfreundlichkeit herzustellen, können auch verschiedene Methoden miteinander kombiniert werden.

Sicherheitsrichtlinie erstellen und vermitteln:

Wenn Sie alle Daten nach Schutzbedarf erfasst haben, und entsprechende Sicherheitsvorgaben für jede Schutzstufe festgelegt haben, müssen diese Informationen an die Mitarbeiter vermittelt werden, angefangen mit einer entsprechenden Arbeitsanweisung und bestenfalls einer praktischen Einarbeitung. Die Einhaltung dieser Vorgaben sollte im Nachgang auch stichprobenartig überprüft werden.

So lassen sich Datenpannen vermeiden und die Datenschutzbehörden sollten ebenfalls zufriedengestellt sein.

Über die Details sprechen Sie am besten mit Ihrem Datenschutzbeauftragten.

Ass. iur. Nicole Krause
Juristische Mitarbeiterin bei der GINDAT GmbH

Zurück
© 2011–2024 GINDAT GmbH

Hinweis zu Cookies

Unsere Website verwendet Cookies. Einige davon sind technisch notwendig für die Funktionalität unserer Website und daher nicht zustimmungspflichtig. Darüber hinaus setzen wir Cookies, mit denen wir Statistiken über die Nutzung unserer Website führen. Hierzu werden anonymisierte Daten von Besuchern gesammelt und ausgewertet. Eine Weitergabe von Daten an Dritte findet ausdrücklich nicht statt.

Ihr Einverständnis in die Verwendung der Cookies können Sie jederzeit widerrufen. In unserer Datenschutzerklärung finden Sie weitere Informationen zu Cookies und Datenverarbeitung auf dieser Website. Beachten Sie auch unser Impressum.

Technisch notwendig

Diese Cookies sind für die einwandfreie Funktion der Website erforderlich und können daher nicht abgewählt werden. Sie zählen nicht zu den zustimmungspflichtigen Cookies nach der DSGVO.

Name Zweck Ablauf Typ Anbieter
CookieConsent Speichert Ihre Einwilligung zur Verwendung von Cookies. 1 Jahr HTML Website
fe_typo_user Dieser Cookie wird gesetzt, wenn Sie sich im Bereich myGINDAT anmelden. Session HTTP Website
PHPSESSID Kurzzeitiger Cookie, der von PHP zum zwischenzeitlichen Speichern von Daten benötigt wird. Session HTTP Website
__cfduid Wir verwenden eine "Content Security Policy", um die Sicherheit unserer Website zu verbessern. Bei potenziellen Verstößen gegen diese Policy wird ein anonymer Bericht an den Webservice report-uri.com gesendet. Dieser Webservice lässt über seinen Anbieter Cloudflare diesen Cookie setzen, um vertrauenswürdigen Web-Traffic zu identifizieren. Der Cookie wird nur kurzzeitig im Falle einer Bericht-Übermittlung auf der aktuellen Webseite gesetzt. 30 Tage/ Session HTTP Cloudflare/ report-uri.com
Statistiken

Mit Hilfe dieser Statistik-Cookies prüfen wir, wie Besucher mit unserer Website interagieren. Die Informationen werden anonymisiert gesammelt.

Name Zweck Ablauf Typ Anbieter
_pk_id Wird verwendet, um ein paar Details über den Benutzer wie die eindeutige Besucher-ID zu speichern. 13 Monate HTML Matomo
_pk_ref Wird verwendet, um die Informationen der Herkunftswebsite des Benutzers zu speichern. 6 Monate HTML Matomo
_pk_ses Kurzzeitiger Cookie, um vorübergehende Daten des Besuchs zu speichern. 30 Minuten HTML Matomo
_pk_cvar Kurzzeitiger Cookie, um vorübergehende Daten des Besuchs zu speichern. 30 Minuten HTML Matomo
MATOMO_SESSID Kurzzeitiger Cookie, der bei Verwendung des Matomo Opt-Out gesetzt wird. Session HTTP Matomo
_pk_testcookie Kurzzeitiger Cookie der prüft, ob der Browser Cookies akzeptiert. Session HTML Matomo