Neues aus der Handelswelt
Mit Forschung und Beratung erfolgreich im Handeln
#Verstehen
#Planen
#Machen
#Teilen
Expertise für Handel im digitalen Zeitalter
Menu
Studien und Marktdaten zum Kauf / Download
Studien
Daten
Spannende Projekte aus der IFH Welt
DIe EVENTS DES IFH KÖLN
22. September 2021

Von 9,55 Mio. Euro Bußgeld für eine mangelnde Kundenidentifizierung als Datenschutzverstoß blieben zwar nur 900.000 Euro übrig. Dennoch zeigt der Vorfall, dass sich Unternehmen mit Kundenidentifizierungsprozessen auch rechtlich auseinandersetzen müssen. Ein Beitrag von ECC CLUB Mitglied Rechtsanwalt Rolf Becker, Partner bei WIENKE & BECKER.

Es wurde von einer „Schlappe“ berichtet, die der Bundesdatenschutzbeauftragte Kelber habe einstecken müssen. Das LG Bonn (Urteil v. 11.11.2020 - 29 OWi 1/20) hatte in seinem vielbeachteten Urteil den verhängten Bußgeldbetrag von 9,55 Mio. Euro auf 900.000 Euro herabgesetzt. Der Anbieter von Telekommunikationsleistungen 1&1 war gegen den Bußgeldbescheid vorgegangen. Der war ergangen, weil sich ein Kunde im Jahr 2018 beschwert hatte. Allein der Name und das Geburtsdatum hatten einer ehemaligen Lebensgefährtin ausgereicht, um persönliche Kundendaten (Handynummer) zu ihrem Ex zu erhalten. Der Kunde wurde daraufhin zum Stalking Opfer.

Klarer Verstoß

Das LG Bonn entwickelte die ersten gerichtlichen Rechtsüberlegungen zur Bestimmung der Höhe des Bußgeldes. Das ist rechtlich spannend, aber noch nicht abschließend geklärt. Unstrittig lag aber ein klarer Verstoß gegen Datenschutzbestimmungen vor.

Nach Art. 24 Abs. 1 Satz 1 DSGVO muss der Verantwortliche geeignete technische und organisatorische Maßnahmen vorsehen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Es geht um den systematischen Schutz von Daten. Unter dem Stichwort „Sicherheit der Verarbeitung“ verlangt Art. 32 DSGVO ebenfalls „…geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Unzureichende Authentifizierungsverfahren verstoßen damit gegen Art. 32 DSGVO.

Welche Verfahren eignen sich?

Bei der Multi-Faktor-Authentifizierung, die meist in Gestalt der Zwei-Faktor-Authentifizierung aufgeführt wird, geht es um die Identitätsfeststellung über mehrere voneinander unabhängige Faktoren. Hier werden Besitz, Wissen und Inhärenz unterschieden.

Aus dem Bereich „Besitz“ kennt man die Bankkarte oder den Token und letztlich kann es auch die App sein, die erst einen Zugang ermöglicht. Bei Wissen haben wir die PIN oder ein Passwort. Zum Thema Inhärenz werden z.B. biometrische Merkmale (Fingerabdruck, Iris-Scan, Stimmerkennung, Tippmuster, Gangerkennung) genannt.

Das sind aber recht theoretische Grundlagen.

Abgestuftes Identifikationskonzept

Für die Praxis sollte man entsprechend den Anforderungen des Gesetzes ein risikoangemessenes Konzept erstellen und die typischen Cases herausarbeiten und dazu geeignete Identifizierungsmaßnahmen für den Kundenservice oder die Kommunikation mit Mitarbeitern oder Lieferanten vorgeben.

So ist z.B. für die Risikobetrachtung die Frage nach dem Verbleib einer Sendung anders zu bewerten, als das Ansinnen, die Lieferadresse zu ändern oder gar das Konto für eine Erstattung bei Retouren. Je nach Geschäftsmodell oder Anlass kann auch schon die Art der Daten in Form von besonders sensiblen Daten es gebieten, wegen des mit der Herausgabe verbundenen Risikos besondere Maßnahmen zur Identitätsfeststellung zu treffen (z.B. bei der Frage nach Gesundheitsdaten oder Angelegenheiten, die Kontodaten betreffen).

Nicht vergessen werden dürfen auch interne Identifizierungsmaßnahmen nach den Geldwäschevorschriften z.B. zu Feststellung eines Eintrags in das Transparenzregister.

Typische kenntnisbasierte Merkmale zur Authentifizierung

In der Praxis meldet sich ein Kunde meist mit Namen und Kunden-ID oder Geburtsdatum oder der oder die Mitarbeitende nennt eine Personalnummer. Dies allein sollte grundsätzlich nicht ausreichen, um auf Anfrage Daten zu erhalten. Hier ist nur der Flurnachbar in Mietwohnungen zu nennen, der zum letzten Geburtstag eingeladen war und früher gelegentlich den Postkasten geleert hat. Häufig werden Kundennummern aus internen logistischen Gründen bei der Geschäftspost so aufgedruckt, dass sie im Sichtfeld der Briefadresse oder bei der Übersendung des Katalogs im Adressfeld gelesen werden können. Bei Verlagen ist die Angabe der Abo-Nummer auf dem Adressfeld ständig geübte Praxis.

Die Beispiele zeigen, dass allein Name, Geburtsdatum und Kundennummer keine geeigneten Identifikationsmerkmale sein sollten.

Ein gutes Stück mehr Sicherheit bietet in den meisten Fällen die Antwort auf die Frage zur letzten Korrespondenz. So kann beispielsweise nach dem Datum des letzten Schreibens, nach dem Betrag einer Rückerstattung oder ähnlichen Inhalten gefragt werden, die der Anrufer nur dann kennen kann, wenn er eben mehr weiß, als es dem typischen Nachbarn oder dem Expartner möglich ist.

Hier kommen auch die letzten drei Ziffern der IBAN in Betracht, der Geburtsort, Geburtsname der Mutter oder der Sachbearbeiter.

Einige Unternehmen verlangen die Angabe einer Kunden-PIN, die zuvor eingeführt wurde.

Technische Maßnahmen

Vielfach kommt ein Matching der Anrufertelefonnummer in Betracht. Fällt das nicht positiv aus, kann ein Rückruf unter der gespeicherten Rufnummer erfolgen. Wie eingangs beschrieben gibt es sogar Stimmerkennungssysteme, die im Massengeschäft die Authentifizierung (nach jeweiliger Kundeneinwilligung) erleichtern.

Denkbar sind auch Apps, über die ein Rückruf zu einem Support nach Vorauthentifizierung erreicht werden kann oder die Anforderung der Nennung/Eingabe von zeitbasierten Einmalkennwörtern (Beispiel Google-Authenticator) oder von Zeichenfolgen, die per SMS auf eine bekannte Mobilfunktelefonnummer gesendet werden.

Die Möglichkeiten sind vielfältig und in manchen Fällen mag es der einzige Ausweg sein, auf den schriftlichen Weg zu verweisen.

Vollmachtsfälle

Bei förmlichen Auskunftsersuchen sind häufig Anwälte eingeschaltet. Hier muss auf Vorlage einer Originalvollmacht bestanden werden. Dies gilt generell für das Ansinnen Dritter. Natürlich kann der gebrechliche Angehörige, wenn er eindeutig identifiziert wurde etwa via Konferenzschaltung per Telefon Tochter oder Sohn auch mündlich bevollmächtigen.

Zuviel Authentifizierung ist rechtswidrig

Auf den ersten Blick erscheint es befremdlich, aber auch ein Zuviel an Anforderungen kann Bußgelder auslösen. Das ist häufig dann der Fall, wenn es um die Ausübung von Rechten durch den Kunden geht und ihm diese über die gestellten Anforderungen unnötig bzw. unangemessen erschwert werden.

In einem Fall aus Österreich begehrte der Kunde eines Online-Dienstes Löschung seiner Daten und er sollte dazu erst ein Formular ausfüllen. Es ging um ein Kleinanzeigenportal mit mehr als 4 Millionen Usern. Zur Registrierung als User war lediglich die Angabe eines Vornamens und einer E-Mail-Adresse erforderlich. Beide Daten würden in Kombination als „unique identifier“ verwendet. Der Kunde hatte nun anlässlich seines Löschungsantrags lediglich den Familiennamen „A***“ und die E-Mail-Adresse „j***@***isp.at“ angegeben. Diese E-Mail-Adresse war in der entsprechenden Datenverarbeitung der Portalbetreiberin jedoch weder mit dem Familiennamen „A***“, noch mit dem Vornamen „Roland“, sondern mit dem Vornamen „Petra“ verknüpft. Daher machte der Portalbetreiber begründete Zweifel an der Identität des Kunden geltend und verlangte die Ausfüllung eines Formulars mit Angabe vollständiger Adressdaten und eigenhändiger Unterschrift des Kunden.

Keine neuen Daten anfordern

Die österreichische Datenschutzbehörde sah das Recht des Kunden auf Löschung als verletzt an. Von Beginn an hätten nur pseudonymisierte Daten vorgelegen, bei denen das Portal auf eine Identifizierung des Beschwerdeführers als spezifischer betroffener Person verzichtet habe. Nach Art. 12 Abs. 2 DSGVO besteht jedoch das Gebot, dem Betroffenen die Ausübung seiner Rechte zu erleichtern.

Art. 12 Abs 2 DSGVO

1Der Verantwortliche erleichtert der betroffenen Person die Ausübung ihrer Rechte gemäß den Artikeln 15 bis 22. 2In den in Artikel 11 Absatz 2 genannten Fällen darf sich der Verantwortliche nur dann weigern, aufgrund des Antrags der betroffenen Person auf Wahrnehmung ihrer Rechte gemäß den Artikeln 15 bis 22 tätig zu werden, wenn er glaubhaft macht, dass er nicht in der Lage ist, die betroffene Person zu identifizieren.

Dagegen sei verstoßen worden, weil sich das Portal damit habe begnügen können, die Angabe des „unique identifier“, also Vorname und registrierte E-Mail-Adresse, zu verlangen.

Im Bescheid heißt es zur Begründung.

„Eine Identifizierung der betroffenen Person darf dabei nur insoweit stattfinden, als sie notwendig ist, um die Berechtigung zur Ausübung des Löschungsrechts zu überprüfen. Dabei werden im vorliegenden Fall der verlangten Löschung eines pseudonymen Nutzerprofils die gespeicherten Profildaten heranzuziehen sein. Ein pseudonymer Nutzer kann sich etwa durch Kenntnis der Login-Daten (User-ID, Passwort), durch Angaben zum gespeicherten Dateninhalt des Profils oder durch die nachgewiesene Verfügungsgewalt über die Mailbox, deren E-Mail-Adresse anlässlich der Registrierung angegeben worden ist, identifizieren.

Neue Daten (wie Vorname, Familienname, Wohnadresse, eine Ausweiskopie oder das grafische Bild einer eigenhändigen Unterschrift) müssen aus diesem Anlass nicht erhoben werden (vgl. Art. 11 Abs. 1 DSGVO). Diese wären im Übrigen für den angestrebten Zweck der Identitätsprüfung gar nicht geeignet, da bei der Beschwerdegegnerin keine Vergleichsdaten gespeichert sind, deren Identität (Übereinstimmung) mit den neu erhobenen Daten überprüft werden könnte. Darauf hat der Beschwerdeführer zu Recht hingewiesen.“

GZ: DSB-D122.970/0004-DSB/2019 vom 8.11.2019

Unternehmen müssen also darauf verzichten mehr Angaben zu verlangen, als letztlich bei ihnen gespeichert sind. Aber auch eine zu umfangreiche Anforderung von Angaben kann schon durch die Häufung eine Rechtsausübung erschweren. So ist dem Autor eine Monierung des Hessischen Datenschutzbeauftragten bekannt, der rügte, dass in einer E-Mail Anfrage „Wir können Sie leider nicht identifizieren…“ nicht klargestellt sah, dass eine Aufzählung von möglichen Angaben nicht kumulativ, sondern alternativ gemeint war.

Fazit

Erstellen Sie eine risikobasierte Kundenauthentifizierungsstrategie für unterschiedliche Kanäle und Fälle und dokumentieren Sie diese.

Achten Sie darauf, nicht mehr Daten vom Kunden zu verlangen, als dieser bei Ihnen gespeichert hat. Prüfen Sie Ihre Kundenkommunikation auf missverständliche Formulierungen.

Rolf Becker

ÜBER DEN AUTOR

Rechtsanwalt Rolf Becker ist Partner der Rechtsanwälte WIENKE & BECKER in Köln und Autor von Fachbüchern und Fachartikeln zum Wettbewerbsrecht, Markenrecht und Vertriebsrecht insbesondere im Fernabsatz. Als Mitglied im ECC CLUB kommentiert Rechtsanwalt Becker für das ECC KÖLN regelmäßig aktuelle Urteile zum Online-Handel und gibt Händlern praktische Tipps, wie sie mit den gesetzlichen Vorgaben umgehen sollen. 

RA Becker auf Twitter: http://twitter.com/rolfbecker   

Er ist auch Autor auf den Informationsdiensten www.versandhandelsrecht.de.

PRESSEHINWEISE

Gerne dürfen Sie den Text von Herrn Becker redaktionell weiterverwenden. Bitte geben Sie hierbei die URL zum Rechtstipp sowie folgende Quelle an: RA Rolf Becker WIENKE & BECKER / ECC Rechtstipp. Bitte senden Sie ein Belegexemplar bzw. den Link zur Veröffentlichung an presse(at)ifhkoeln.de. Vielen Dank!

Newsletter handel im fokus

Holen Sie sich die neueste Forschungserkenntnisse und aktuelle Themen, Trends und Hintergründe rund um Einzel-, Großhandel und E-Commerce wöchentlich in Ihr Postfach.
cartmagnifiermenu