Identitätsmissbrauch bei Internetbestellungen
Es ist festzustellen, dass Unternehmen keine ausreichenden Maßnahmen zur Identifizierung von Personen bei Bestellvorgängen ergreifen. Dabei werden nach wie vor entweder komplette Identitäten oder Kontodaten von Betroffenen für Betrugsfälle missbraucht.
Bereits im Jahr 2017 musste sich die Datenschutzaufsicht aufgrund einer großen Zahl an Betrugsfällen intensiv mit dem Thema beschäftigen und hatten Änderungen im Geschäftsgebaren von Online-Händlern gefordert. Nun musste wieder festgestellt werden, dass Online-Händler bei Auffälligkeiten, die auf einen möglichen Betrug hinweisen (z. B. bei einer Abweichung zwischen Rechnungs- und Lieferanschrift), nach wie vor keine ausreichenden Kontrollen ergriffen haben, um Identitätsmissbräuche zu verhindern. Eine Erstbestellung auf Rechnung mit einer von der Rechnungsadresse abweichenden Lieferadresse ist weiterhin bei vielen Unternehmen möglich, ohne dass dies zu genaueren Kontrollen oder zumindest einer risikobewussten Ausgestaltung des Mahn- und Inkassoverfahrens führen würde.
Zwar wurden immerhin in den meisten Beschwerdefällen die Mahnungen nicht ausschließlich per E-Mail versandt. Allerdings kommt es auch vor, dass falsche Rechnungsadressen angegeben werden, sodass die potenziellen Opfer dennoch erst durch das erste Schreiben des Inkassounternehmens nach dessen Adressrecherche von dem Mahnverfahren und letztlich dem Identitätsmissbrauch Kenntnis erlangen.
Von Unternehmen, die Erstbestellungen auf Rechnung mit abweichender Lieferanschrift erlauben und keine Identitätsprüfung vornehmen, wäre daher nicht nur zu verlangen, dass diese vor Abgabe an ein Inkassounternehmen zumindest einen eigenen Mahnversuch per Post unternehmen, sondern auch, dass sie Postrückläufe in solchen Fällen zum Anlass nehmen, selbstständig einen Identitätsmissbrauch zu prüfen. Dabei sind auch die langen Laufzeiten von Postrückläufen zu beachten – es darf also in solchen Fällen nicht etwa schon zwei Wochen nach der postalischen Mahnung eine Übergabe an ein Inkassounternehmen erfolgen. Ergibt die Prüfung durch das Unternehmen keinen Hinweis auf einen Identitäts-
missbrauch, sollte dennoch das Unternehmen zunächst selbst die richtige Anschrift der betroffenen Person ermitteln und die postalische Mahnung nochmals an die tatsächliche Anschrift senden, um eine Aufklärung des Sachverhalts zu ermöglichen.
Jedenfalls muss ein Widerspruch der betroffenen Person im Mahnverfahren angemessen berücksichtigt werden. Denn die Übermittlung personenbezogener Daten an ein Inkassounternehmen ist zum Zwecke des Forderungseinzugs nicht erforderlich und damit nicht nach Art. 6 Abs. 1 lit. b der Datenschutz-Grundverordnung (DSGVO) zulässig, wenn die geltend gemachte Forderung überhaupt nicht besteht. In Betracht kommt in solchen Fällen zwar eine Übermittlung an das Inkassounternehmen auf der Grundlage berechtigter Interessen nach Art. 6 Abs. 1 lit. f DSGVO. Ist aber für das Unternehmen ein Identitätsmissbrauch offensichtlich, fehlt es an einem berechtigten Interesse an der Weitergabe der personenbezogenen Daten bei Einschaltung eines Inkassobüros. Wendet die betroffene Person einen Identitätsmissbrauch ein, darf eine Datenübermittlung an das Inkassounternehmen erst dann erfolgen, wenn die Forderung nach dieser Einwendung genau überprüft wurde. In einem uns vorliegenden Beschwerdefall ist die Überprüfung trotz mehrfachen Widerspruchs unterblieben, sodass wir dieses Verfahren unserer Sanktionsstelle zur Prüfung der Einleitung eines Bußgeldverfahrens vorgelegt haben.
In Fällen von Identitätsmissbrauch stellt sich oftmals auch die Frage, ob die Betroffenen einen Auskunftsanspruch über ihre rechtswidrig verwendeten Bestelldaten haben.
Personenbezogene Daten sind nach der gesetzlichen Definition alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen und dieser somit zugeordnet werden können. Die durch einen Dritten erzeugten Daten werden durch das jeweilige Unternehmen der vom Identitätsdiebstahl betroffenen Person zugeordnet und damit verarbeitet. Nach der Auslegung des Begriffs des Personenbezugs in der Rechtsprechung des Europäischen Gerichtshofs (EuGH) ist der Personenbezug eines Datums auch dann gegeben, wenn „die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist“. Dies ist bei einem Identitätsmissbrauch ersichtlich der Fall. Es handelt sich somit um personenbezogene Daten der jeweiligen natürlichen Person.
Die Betroffenen müssen bei einem (auch vermuteten) Identitätsdiebstahl über alle zu ihnen gespeicherten Daten ausnahmslos Auskunft erhalten. Davon umfasst sind alle Daten, die das Kundenkonto, Kontenbewegungen und die Bestellhistorie betreffen, da diese Daten der Identität der Betroffenen zugeordnet sind oder zu diesen in Bezug stehen. Daher stellen sie personenbezogene Daten der Betroffenen dar, auch wenn sie von Dritten unter Vorspiegelung der falschen Identität verursacht worden sind.
Dem Auskunftsanspruch der betroffenen Person können auch nicht die Rechte Dritter entgegenhalten werden. Ein Schutzbedürfnis der personenbezogenen Daten Dritter besteht nicht, da diese bewusst die personenbezogenen Daten der betroffenen Person verwendet haben, um ihr Handeln dieser zuzuordnen. Insbesondere haben sie die Situation, dass ihre und die Daten der betroffenen Personen zusammenfallen, selbst herbeigeführt.
Zur Vermeidung von Identitätsmissbrauch ist die Behörde weiterhin im Austausch mit den Unternehmen, um auf eine risikobewusste Ausgestaltung des Bestell- und Mahnverfahrens hinzuwirken. Die Rechtmäßigkeit der Verarbeitung ihrer Daten können betroffene Personen bei einem (vermuteten) Identitätsdiebstahl nur überprüfen, wenn sie über alle Daten Auskunft erhalten, die ihr Kundenkonto bzw. ihre Kundennummer betreffen. Da es sich dabei nach dem Gesetz um personenbezogene Daten des Opfers eines Identitätsmissbrauchs handelt, sind Unternehmen zu einer umfassenden Auskunft verpflichtet.
Quelle: BInBDI
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks