1. Home
  2. News
  3. Telefonische Auskunftserteilung
  • Datenschutz

Telefonische Auskunftserteilung

Auf den letzten Metern des ausklingenden Jahres 2019 wurde ein Rekord-Bußgeld von Seiten des Bundesdatenschutzbeauftragten (BfDI) in Höhe von 9,55 Millionen Euro gegen einen Telefonanbieter erlassen.

Zum Hintergrund:

Der Telefonanbieter bot für seine Kunden einen umfassenden telefonischen Support. Hierbei hatten die Kunden die Möglichkeit, umfassende Informationen zu Ihren Verträgen zu erhalten. In den Fokus der Datenschutzbehörden geriet das Verfahren laut Stellungnahme des Unternehmens anlässlich eines konkreten Vorfalls: Bei einer telefonischen Anfrage erhielt eine nicht berechtigte Person die Telefonnummer eines ehemaligen Lebenspartners.

Die Sicherheitsrichtlinie des Unternehmens sah zu dem Zeitpunkt als Authentifizierungsmethode vor, den Kunden mittels Abfrage von Name und Geburtsdatum als den Kunden zu identifizieren und damit für die Auskunftserteilung zu legitimieren.

Dieses Verfahren beurteilte die Datenschutzbehörde als nicht ausreichend zum allgemeinen Schutz der personenbezogenen Daten der Kunden vor einer unrechtmäßigen Kenntnisnahme und sah hierin einen Verstoß gegen die Pflicht zur Ergreifung adäquater technischer und organisatorischer Maßnahmen zum Datenschutz aus Art. 32 DSGVO.

Konsequenzen:

Die telefonische Auskunftserteilung steht im Spannungsfeld zwischen Kundenservice und Datenschutz. Eine allzu restriktive Handhabung von telefonischen Auskünften ist vom Kunden oftmals nicht gewünscht. Wenn dadurch allerdings tatsächlich Daten in unrechtmäßige Hände gelangen, wie beispielsweise die neue Telefonnummer an den ehemaligen Lebenspartner, ist am Ende keiner damit glücklich.

Vorgehensweise:

Wie sollten Sie vorgehen, wenn Sie telefonische Auskünfte für Ihre Kunden bieten wollen?

Wenn Sie Informationen über das Telefon austauschen, sollten Maßnahmen ergriffen werden, die eine unrechtmäßige Verfügung durch einen Unbefugten verhindern sollen, seien es Verfügungen mit Rechtswirkung, seien es Auskunftsweitergaben.
Eine telefonische Auskunft ergibt nur dann Sinn, wenn das Verfahren praktikabel ist. Das Verfahren sollte mithin möglichst einfach für alle Seiten gestaltet sein.
Es sollte allerdings ein dem Risiko angemessenes Schutzniveau bieten, um die Gefahr vor Missbrauch durch Unbefugte für die Kunden zu minimieren.

Schutzbedarf feststellen:

Zunächst sollten Sie klassifizieren, welche Informationen überhaupt am Telefon ausgetauscht werden dürfen. Je nach Organisationsgrad und Komplexität Ihres Unternehmens könnte es sinnvoll sein, zunächst typische Fallgestaltungen der Anfragen zu differenzieren und festzuhalten, um daraus die geforderten Datenarten abzuleiten. Beispielsweise:

Fragen zum Vertrag:

  • Vertragsinhalte
  • Laufzeiten
  • Vertragsende

Fragen zur Buchhaltung:

  • offene Posten
  • Kontoverbindung
  • getätigte Zahlungen

Vertragsabsprachen, rechtsgestaltende Absprachen:

  • Adressänderungen
  • Änderungen von Lieferadressen
  • Neuaufträge, Ergänzungsaufträge

… und weitere Fallgestaltungen.

Für alle diese Stationen müssen Sie dann eine Risikoabwägung vornehmen:

Was droht dem Kunden, wenn es sich um einen Unberechtigten handeln sollte?
→ Schwere des Risikos

Wie wahrscheinlich ist es, dass sich ein Unberechtigter Zugriff verschaffen kann?
→ Eintrittswahrscheinlichkeit

Je schwerer das Risiko für den Betroffenen wiegt, umso schärfere Maßnahmen müssen Sie ergreifen, um den Eintritt zu verhindern. Sinnvoll ist es, sämtliche Daten in Schutzstufen zu unterteilen und für die jeweilige Schutzstufe entsprechende Maßnahmen festzulegen.

Mögliche Maßnahmen:

Dass die Abfrage des Namens und des Geburtsdatums keinen zuverlässigen Ausschluss von Unberechtigten bietet, sollte mit einem Blick in ein beliebiges soziales Netzwerk nach Wahl hoffentlich jedem klar sein. Auch die Abfrage der Adresse dürfte kein ausreichendes Ausschlusskriterium für Unbefugte darstellen.

Die Abfrage vertragsspezifischer Details dürfte dahingehend bereits einen deutlich höheren Schutz bieten, da solche Daten üblicherweise nicht öffentlich kundgetan werden. Darunter leidet natürlich wieder die Benutzerfreundlichkeit. Eher selten hat der Kunde unterwegs die Vertragsunterlagen zur Hand.

Die Abfrage von Kontodaten kann zwar auch nicht zuverlässig Unberechtigte ausschließen, da Kontodaten an viele verschiedene Geschäftspartner bekannt gegeben werden, jedoch reduziert sich dadurch der Kreis möglicher Personen deutlich. Gegebenenfalls lässt sich dieses Kriterium in Zusammenschau mit weiteren Abfragen kombinieren, um ein höheres Schutzniveau zu erreichen.

Letztlich bieten technische Maßnahmen, wie ein Passwort- oder Tokenverfahren, je nach gewählten Vorgaben einen sehr zuverlässigen Schutz.

Alternativ dazu können auch Sicherheitsfragen vereinbart werden, deren Kenntnis üblicherweise nur dem Betroffenen selbst oder einem engsten Vertrautenkreis bekannt sind.

Um eine ausgewogene Balance zwischen Schutzbedarf und Benutzerfreundlichkeit herzustellen, können auch verschiedene Methoden miteinander kombiniert werden.

Sicherheitsrichtlinie erstellen und vermitteln:

Wenn Sie alle Daten nach Schutzbedarf erfasst haben, und entsprechende Sicherheitsvorgaben für jede Schutzstufe festgelegt haben, müssen diese Informationen an die Mitarbeiter vermittelt werden, angefangen mit einer entsprechenden Arbeitsanweisung und bestenfalls einer praktischen Einarbeitung. Die Einhaltung dieser Vorgaben sollte im Nachgang auch stichprobenartig überprüft werden.

So lassen sich Datenpannen vermeiden und die Datenschutzbehörden sollten ebenfalls zufriedengestellt sein.

Über die Details sprechen Sie am besten mit Ihrem Datenschutzbeauftragten.

Ass. iur. Nicole Krause
Juristische Mitarbeiterin bei der GINDAT GmbH

About Cookies

This website uses cookies. Those have two functions: On the one hand they are providing basic functionality for this website. On the other hand they allow us to improve our content for you by saving and analyzing anonymized user data. You can redraw your consent to to using these cookies at any time. Find more information regarding cookies on our Data Protection Declaration and regarding us on the Imprint.
Mandatory

These cookies are needed for a smooth operation of our website.

Name Purpose Lifetime Type Provider
CookieConsent Saves your consent to using cookies. 1 year HTML Website
fe_typo_user Assigns your browser to a session on the server. session HTTP Website
PHPSESSID Temporary cookies which is required by PHP to temporarily store data. session HTTP Website
__cfduid missing translation: trackingobject.__cfduid.desc 30 missing translation: duration.days-session HTTP Cloudflare/ report-uri.com
Statistics

With the help of these statistics cookies we check how visitors interact with our website. The information is collected anonymously.

Name Purpose Lifetime Type Provider
_pk_id Used to store a few details about the user such as the unique visitor ID. 13 months HTML Matomo
_pk_ref Used to store the attribution information, the referrer initially used to visit the website. 6 months HTML Matomo
_pk_ses Short lived cookie used to temporarily store data for the visit. 30 minutes HTML Matomo
_pk_cvar Short lived cookie used to temporarily store data for the visit. 30 minutes HTML Matomo
MATOMO_SESSID Temporary cookies which is set when the Matomo Out-out is used. session HTTP Matomo
_pk_testcookie missing translation: trackingobject._pk_testcookie.desc session HTML Matomo