Authentifizierung kann zwar lästig sein – notwendig ist sie doch
Die DSGVO stellt die Anforderung an Verantwortliche, dass sie geeignete technische und organisatorische Maßnahmen ergreifen müssen, um die Verarbeitung der personenbezogenen Daten systematisch zu schützen. Diese Maßnahmen schließen unter anderem die Fähigkeit ein, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen, so Art. 32 Abs. 1 Buchstabe b) DSGVO.
Im Berichtszeitraum wandte sich ein Beschwerdeführer an den Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI) mit der Frage, weshalb bei einem Telefonat mit einem Inkassounternehmen zusätzlich zur Kundennummer weitere Angaben wie das Geburtsdatum beim Authentifizierungsverfahren am Telefon abgefragt werden. Er trug vor, trotz einer Abfrage des bestehenden Aktenzeichens und einer Kundennummer keine Auskunft zu seinem Anliegen erhalten zu haben. Auch wurden ähnliche Vorgehensweisen bei einem Telekommunikationsanbieter und Krankenkasse vorgetragen.
Aufgrund des Beschwerdevortrags wies der TLfDI den Beschwerdeführer daraufhin, dass die Verantwortlichen gemäß Art. 5 Abs. 1 Buchstabe f) Datenschutz-Grundverordnung (DSGVO) sicherzustellen haben, dass personenbezogene Daten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet. Dies schließt den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung durch geeignete technische und organisatorische Maßnahmen (Integrität und Vertraulichkeit) ein. So müssen nach Art. 32 DSGVO geeignete technische und organisatorische Maßnahmen bestimmt und umgesetzt werden, um die Verarbeitung von personenbezogenen Daten systematisch zu schützen und die Vertraulichkeit und die Integrität nach Art. 32 Abs. 1 Buchstabe b) DSGVO sicherzustellen. Aus diesem Grund werden von den Verantwortlichen die Authentifizierungsverfahren durch die Abfrage zusätzlicher Angaben stärker abgesichert, um zu verhindern, dass Unberechtigte bei einer telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten. Die Vorgehensweise sah der TLfDI als datenschutzkonform an.
Quelle: LfDI Thüringen
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks