Zurück zur Übersicht
29.03.2021

Authentifizierung bei Call-Centern

Bei einer telefonischen Hotline kann man keinen Ausweis vorzeigen. Wie kann und muss ein Telekommunikationsunternehmen feststellen, ob tatsächlich der Kunde anruft?

Ein Stalking-Fall, bei dem eine Ex-Lebenspartnerin die neue Handynummer ihres früheren Lebensgefährten an der Telefon-Hotline eines Telekommunikationsanbieters erhalten hatte, indem sie sich – ohne dabei vorzugeben, der Vertragspartner selbst zu sein – mit dessen Geburtsdatum authentifiziert hatte, zeigt auf, dass die Authentifizierung beim telefonischen Service nicht immer ausreichend durchgeführt wird. Gegen das betroffene Unternehmen hat die Aufsichtsbehörde ein Bußgeld verhängt, wogegen das Unternehmen gerichtlich vorging. In diesem Verfahren wurden verschiedene grundsätzliche Rechtsfragen geklärt Unter anderem hat das Gericht die Auffassung der Behörde bestätigt, dass ein Verstoß gegen die Anforderungen zur Sicherheit der Verarbeitung gemäß Art. 32 Datenschutz-Grundverordnung (DSGVO) vorlag.

Das Geburtsdatum ist vielen Personen aus dem privaten und beruflichen Umfeld bekannt und somit ungeeignet, um die Datenherausgabe oder eine Veränderung von personenbezogenen Daten bei einem Anruf zu legitimieren. Die Anforderungen der DSGVO, technische und organisatorische Maßnahmen zur Datensicherheit zu treffen, werden damit nicht erfüllt. In dem konkreten Fall hatte das Unternehmen vorgebracht, dass es eine „Zwei-Faktor-Authentifizierung“ mit den „Faktoren“ Name und Geburtsdatum durchführen würde. Im Bereich der Informationssicherheit wird der Begriff „Faktor“ jedoch anders verwendet. Neben den Daten, die zur Identifizierung einer Person erforderlich sind, z. B. Name mit Adresse, Kundennummer oder Benutzername, sind die Faktoren

→ Wissen (ein Geheimnis, z.B. Passwort oder PIN),
→ Besitz (z.B. eine Chipkarte oder ein TAN-Generator) und
→ Biometrie (z.B. ein Fingerabdruck)

notwendig.

Am einfachsten zu realisieren ist meist ein Geheimnis, z. B. durch ein Passwort. Dabei muss dem Nutzer bewusst sein, dass es sich um ein Geheimnis handelt. Dies kann derzeit in vielen Bereichen als noch ausreichende Maßnahme betrachtet werden. Allerdings wird z.B. durch betrügerische E-Mails und gefälschte Websites versucht, Zugangsdaten auszuspionieren. Insofern ist eine Zwei-Faktor-Authentifizierung anzustreben, insbesondere, wenn eine höhere Sicherheit erreicht werden muss (vgl. dazu auch den Katalog von Sicherheitsanforderungen der Bundesnetzagentur). Kundennummern und ähnliches können bei einer Authentifizierung nicht als ein Geheimwissen angesehen werden, höchstens als sogenannte Spezialwissen.

Ausgehend von diesem Vorfall wurde bei den großen Telekommunikationsunternehmen eine schriftliche Fragebogenkontrolle zu den dortigen Verfahren der Authentifizierung von Anrufern durchgeführt. Auch wenn diese Kontrollen noch nicht alle vollständig abgeschlossen sind, so lässt sich doch schon jetzt folgendes festhalten: Die Mehrheit der kontrollierten Unternehmen nutzt Passwörter oder vergleichbar sichere Verfahren wie eine PIN. Allerdings wurde oft eine Alternative für ein vergessenes Passwort angeboten, bei dem nur die Kundennummer oder ähnliche Daten, die nicht als Geheimwissen zu werten sind, für eine Authentifizierung herangezogen werden. Solche Verfahren sind zwar eindeutig besser als allein Name und Geburtsdatum abzufragen, dennoch kann man auch sie nicht als ausreichend bewerten. Die entsprechenden Unternehmen – aber selbstverständlich auch alle nicht zu dieser Fragestellung kontrollierten Telekommunikationsunternehmen – sind aufgefordert, zeitnah sichere und dem Stand der Technik entsprechende Verfahren umzusetzen.

Bei zwei Unternehmen musste festgestellt werden, dass ähnlich unsichere Verfahren zur Authentifizierung wie im Ausgangsverfahren im Einsatz sind, so dass entsprechende Abhilfemaßnahmen durch die Datenschutzaufsicht geprüft werden.

Alle Unternehmen sind dazu verpflichtet, ausreichend sichere Verfahren anzubieten. Dabei sind Verfahren regelmäßig zu überprüfen und anzupassen, wenn die technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nicht (mehr) ausreichen.

Quelle: BfDI

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks