DE | EN

Tipp KW 52 – 2019

Kundenidentifizierung und -authentifizierung

Der Schutz personenbezogener Daten spielt nicht erst seit Einführung der DSGVO eine wichtige Rolle. Die Schäden durch Identitätsdiebstahl und Identitätsmissbrauch stellen eine ernstzunehmende Bedrohung der Rechtssicherheit im Distanzhandel dar. 

Durch die Distanz bei der Kontaktaufnahme über Fernkommunikationsmittel haben die Kommunikationspartner keine Möglichkeit, eine Identifizierung des Gegenübers durch Inaugenscheinnahme der Person und z.B. eines Ausweisdokumentes vorzunehmen. Es liegt jedoch im Interesse aller Beteiligten, dass personenbezogene Daten nur an Berechtigte übermittelt werden. Der Kommunikationspartner muss daher vor der Auskunft identifiziert und ggf. authentifiziert werden. Dies stellt im Distanzhandel regelmäßig ein Problem dar.

Der Gesetzgeber hat den Bedarf für technische und organisatorische Maßnahmen zur Gewährleistung des vorgeschriebenen Schutzes personenbezogener Daten erkannt und schafft die Rechtsgrundlage dazu insbesondere mit den Anforderungen der DSGVO. 

Dies geschieht zum einen, um den Inhaber der personenbezogenen Daten zu schützen, ist aber auch im Interesse der datenverarbeitenden Stelle selbst, deren Geschäftsbetrieb unter Umständen existentiell bedroht ist, wenn Daten verloren gehen oder in die Hände unbefugter Dritter gelangen.

Um entsprechende technische und organisatorische Maßnahmen erforderlich zu machen, müssten die Kundendaten, die in der on- und offline Kommunikation im Customer Care übermittelt werden, in den Schutzbereich der DSGVO fallen.

In ganz überwiegender Zahl handelt es sich dabei um Fragen, Auskünfte und Änderungen an folgenden Daten:

  • Name
  • Adresse
  • Bankverbindung (einschl. Zahlungsaufträgen)
  • Rechnungen und Kundenkonten
  • Vertragsdaten
  • Auskünfte zu Tarifen, Zusatzleistungen und Produkten

Hierbei handelt es sich um personenbezogene Daten gem. DGSVO. Es handelt sich um Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. 

Vereinfacht lässt sich sagen, dass es sich immer dann um personenbezogene Daten handelt, wenn die Auskunft eine Recherche in dem individuellen Kundendatensatz erforderlich macht oder eine Änderung daran vorgenommen werden soll.

Da regelmäßig personenbezogene Daten betroffen sind, muss die nicht-öffentliche Stelle geeignete technische und organisatorische Maßnahmen treffen.

Ein Verstoß gegen die Datensicherungspflichten kann erhebliche Rechtsfolgen im Sinne der Bußgeldtatbestände der DSGVO haben.

Ebenfalls nicht auszuschließen sind zivilrechtliche Schadensersatzansprüche von Betroffenen, die durch eine Überlassung von Daten an unbefugte Dritte, Opfer von z.B. Stalking, Erpressung, Raub etc. werden. Auch die Haftung für solche Schäden kann die datenverarbeitende Stelle nur vermeiden, wenn sie nachweisen kann, dass der verursachte Schaden ihr nicht anzulasten ist und sie die notwendigen Maßnahmen getroffen hat, um diesen zu verhindern.

Exkulpationsmöglichkeiten nach § 831 BGB hat die verantwortliche Stelle nur, wenn ihr der Nachweis gelingt, den Angestellten sorgfältig ausgewählt zu haben und insbesondere in Großbetrieben dem Bediensteten die notwendigen technischen und organisatorischen Maßnahmen zur Verfügung standen, um den Datenschutzverstoß zu verhindern. 

Weitere vertragliche und vorvertragliche Haftungsansprüche aus § 280 und §§ 323 ff BGB sowie der Ausgleich immaterieller Schäden in Geld sind ebenfalls nicht ausgeschlossen. 

Die beschriebenen Rechtsfolgen lassen sich durch geeignete Maßnahmen zur Kundenidentifizierung und -authentifizierung vermeiden.

Mit der Kundenidentifizierung wird zunächst die eindeutige Zuordnung des Kommunikationspartners zu einem Datensatz erreicht.

Die Identifizierung bedeutet dabei zunächst lediglich das Erkennen des Gegenübers. Die Identifizierung kann anhand kennzeichnender Merkmale oder durch einen Identifikator erfolgen.

Dabei kann z.B. nach den folgenden Identifizierungsmethoden unterschieden werden:

  • was jemand weiß (z. B. Kundennummer): Kognitive Identifikation
  • was jemand hat (z. B. Zugangskarte): Possessive Identifikation
  • was jemand ist (z. B. Fingerabdruck): Existenzielle Identifikation
  • was jemand kann (z. B. Unterschrift): Qualifikative Identifikation
  • wo sich jemand befindet.

Die Identifizierung kann durch die Angaben in der Kommunikation oder durch automatische Übermittlung entsprechender Informationen erfolgen.

Bei der Kommunikation im Distanzhandel bietet sich grundsätzlich nur die kognitive Identifikation an. Sofern hohe Ansprüche an die später zu erläuternde Authentifizierung zu stellen sind, kann dieser auch dadurch erreicht werden, dass bereits die Anforderungen an die Identifizierung angehoben werden. In einigen Branchen erfolgt daher eine Identifizierung durch possessive oder existentielle Merkmale.

Kann der Kommunikationspartner nicht identifiziert werden und sollen keine personenbezogenen Daten erfasst werden, sind weitere Maßnahmen zur Datensicherung nicht erforderlich.

Die Identifizierung anhand einer Kundennummer oder einer anderen dem Kunden zugeordneten Nummer bietet sich aus praktikablen Erwägungen und damit aus Gründen der Zeit- und Kostenersparnis im Distanzhandel an. Sind solche Identifizierungsmerkmale nicht bekannt, kann die Identifizierung durch andere Daten wie Name, Adresse, E-Mail-Adresse usw. erfolgen.

Eine Identifizierung wird in der Praxis regelmäßig anhand der folgenden Daten vorgenommen:

  • Kunden-, Auftrags-, Bestellnummer o.ä.
  • Vor- und Zuname
  • Adressabgleich
  • Übertragene oder angegebene Rufnummer
  • Übertragene oder angegebene E-Mail-Adresse
  • Andere spezifische Datensatzfragmente

Je nach Art der Geschäftstätigkeit der datenverarbeitenden Stelle können zusätzlich weitere Informationen zur Identifizierung zur Verfügung stehen (Domain, Kontonummer, Benutzername etc.).

Da an ein einzelnes Identifizierungsdatum regelmäßig keine hohen Datenschutzanforderungen zu stellen sind, kann dieses auch über ungesicherte Verbindungen übertragen werden, also z.B. bei einem Anruf über die Telefontastatur eingegeben oder mündlich übermittelt werden.

Die Authentifizierung schließt sich der Identifizierung an. Dabei ist festzustellen, ob der Kommunikationspartner die bei der Identifizierung behauptete Eigenschaft tatsächlich erfüllt. Eine Authentifizierung ist nur dann erforderlich, wenn die Person Auskunft zu bzw. Änderungen an personenbezogenen Daten wünscht. Um solche Daten handelt es sich (vereinfacht) immer dann, wenn die Information/Auskunft einer Recherche im identifizierten Datensatz bedarf.

Da die Datenübermittlung personenbezogener Daten nur an Berechtigte erfolgen darf, muss bei der Authentifizierung auch die Berechtigung geprüft werden:

  • Es handelt sich um die Person selbst, oder
  • es handelt sich um eine bevollmächtigte Person, oder
  • es handelt sich um eine andere berechtigte Stelle.

Je nach Kommunikationskanal eignen sich die im Folgenden beschriebenen Authentifizierungsmethoden. Die jeweils genannten Beispiele sind dabei jedoch nicht abschließend, sondern exemplarisch zu sehen.

Fernmündlich

  • Abfrage eines individuellen (Support-) Passwortes, das entweder 
    • vom Kunden vergeben, oder
    • vom Unternehmen vergeben, oder 
    • zuvor online generiert wurde.
  • Erkennung des Sprachmusters des Anrufers, anhand einer zuvor im Rahmen einer bereits erfolgten Authentifizierung erfassten Sprachprobe.

Brief, Fax

  • Sofern die Absenderadresse mit der hinterlegten Adresse identisch ist und die Antwort an diese Adresse erfolgen soll, ist eine zusätzliche Authentifizierung nicht erforderlich.
  • Bei abweichender Empfängeranschrift (z.B. bei der Meldung eines Umzuges) kann ein Abgleich mit vorliegenden Unterschriftsproben erfolgen.

E-Mail

  • Sofern im Kundendatensatz eine E-Mail-Adresse hinterlegt ist und die Anfrage von dieser Adresse stammt (Absender entspricht der hinterlegten E-Mail-Adresse), kann die Antwort an diese Adresse ohne eine erneute Identifizierung erfolgen.
  • Bei abweichendem Absender dürfen personenbezogene Daten nicht übermittelt werden. In diesem Fall ist der Absender aufzufordern, auf anderem Wege (mit Authentifizierungsmöglichkeit) eine Anpassung der E-Mail-Adresse vorzunehmen.

Kontaktformular

  • Sofern es nur nach einer zuvor online durchgeführten Authentifizierung möglich ist, das Kontaktformular aufzurufen, genügt dies den Anforderungen und es kann unmittelbar eine Antwort erfolgen.
  • Sofern es sich um ein ungesichertes Kontaktformular ohne zusätzliche Authentifizierungsmaßnahme handelt, ist die Anfrage wie eine Anfrage per E-Mail zu behandeln.

Anfragen durch Dritte

  • Die Authentifizierung eines bevollmächtigten Dritten ist durch eine formlose Vollmacht möglich.

Hat der Dritte Kenntnis von den üblicherweise zur Authentifizierung verwendeten Daten (Supportpasswort etc.), ist von einer Bevollmächtigung auszugehen. 

  • Je nach Art der betroffenen Daten kann eine zusätzliche, ausdrückliche Bevollmächtigung erforderlich sein (z.B. bei Vertragsänderungen).

Andere Stellen

  • Vorlage entsprechender Urteile, Bescheide oder Beschlüsse (Staatsanwaltschaft, Finanzbehörden, Insolvenzverwaltung, Betreuer, Rechteinhaber).
  • Gesetzliche Vorgaben sehen die Übermittlung vor. In diesem Fall muss sich die Legitimation aus dem entsprechenden Gesetz ergeben.

Sofern die hier genannten Möglichkeiten oder andere Möglichkeiten mit identischem Sicherheitsniveau angewandt werden, genügen diese den Anforderungen einer geeigneten technischen, organisatorischen Maßnahme zum Schutz der personenbezogenen Daten.

Die eingesetzten technischen und organisatorischen Mittel zur Datensicherung müssen unter Berücksichtigung der Verhältnismäßigkeit sicherstellen, dass personenbezogene Daten nur an Berechtigte übermittelt werden.

Je nach Sensibilität der Daten bzw. der gewünschten Änderung an den gespeicherten Daten und der Stellung des Auskunftsersuchenden zu diesen Daten, bieten sich unterschiedliche Mittel zur Identifizierung und Authentifizierung an.

Da ein einheitliches Authentifizierungssystem nicht vorhanden ist, nutzen die Unternehmen unterschiedliche Maßnahmen, um die Daten ihrer Kunden zu schützen. So sind die Unternehmen in der Lage, ihre Authentifizierungssysteme den Bedürfnissen der jeweiligen Produkt-, Kunden- und damit auch Datenart anzupassen. 

Aufgrund der zum Teil erheblichen Rechtsfolgen fehlender oder mangelhafter technischer und organisatorischer Maßnahmen zur Datensicherung sind die Unternehmen gut beraten, wenn sie geeignete Maßnahmen zum Schutz der personenbezogenen Daten in der on- und offline Kommunikation ergreifen.

Bei konsequenter Anwendung und entsprechendem Monitoring lässt sich jedoch ein geeignetes Datensicherheitsniveau erreichen. Im Übrigen erscheint es auch aus Gründen der Kundenzufriedenheit sinnvoll und erforderlich, dem Kunden mit leicht und schnell anzuwendenden Maßnahmen deutlich zu machen, dass seine Daten sicher sind.

Felix Prömel – Senior Berater

 junokai