Aktuell wurde gerade wieder ein Bußgeld in Millionenhöhe verhängt. Dieses Mal hat es die Firma 1&1 getroffen. Auch hier ist der Grund für das Bußgeld beispielhaft für andere Unternehmen.

Grund sind nach Ansicht Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ungenügende technisch-organisatorische Maßnahmen zum Schutz von Kundendaten.

Der Bundesbeauftragte für Datenschutz bemängelte, dass Anrufer bei der Kundenbetreuung bei 1&1 lediglich ihren Namen und ihr Geburtsdatum angeben mussten, um weitere Informationen zu gespeicherten personenbezogenen Kundendaten zu erhalten. Die Datenschützer bemängeln, dass dieses Identifizierungsverfahren nicht ausreichend ist, um die personenbezogenen Daten vor missbrauch zu schätzen, da Name und Geburtsdatum als Identifikationskriterium hier zu schwach sind.

Obwohl 1&1 den Identifizierungsprozess kurzfristig umgestellt hat, wurde dennoch ein Bußgeld im Millionenbereich verhängt, da argumentiert wurde, dass über dieses unsichere Verfahren bereits viele Kunden an Daten gelangt sein konnten.

Auch hier ist die Ursache für das Bußgeld durchaus beispielhaft für viele andere Unternehmen zu sehen.
Auskunftsersuchen über Telefon oder elektronisch finden in vielen Unternehmen Anwendung. Sowohl in Unternehmen mit diversen Kundenkonten oder speziell auch im Gesundheitswesen sind derartige Auskunftsersuchen meist an der Tagesordnung.

notwendige Maßnahmen:

Aus diesem Anlasse heraus sollten nun alle Unternehmen zeitnah ihre Prozesse dahingehend prüfen, ob und in welcher Art Auskunftsprozesse im Unternehmen stattfinden oder potenziell stattfinden könnten.

Diese Auskunftsprozesse sollten zunächst unbedingt in des „Verzeichnis der Verarbeitungstätigkeiten“ aufgenommen werden. Bei der Aufnahme in das Verzeichnis sollte darauf geachtet werden, dass die verschiedenen Möglichkeiten der Auskunft über personenbezogene Daten möglich klar abgebildet werden.

In einem nächsten Schritt muss überlegt werden, welche Daten Bestandteil dieser Auskunft sind und ob es sich dabei um personenbezogene Daten handelt. Ist dies der Fall, muss der bisherige Prozess der Identifizierung dahingehend überprüft werden, ob mit den Angaben der Kunden eine eindeutige Identifizierung möglich ist, oder ob der Identifizierungsprozess (z.B. nur Name, Kundennummer, Geburtsdatum) zu schwach ist.

Sollten Sie zu dem Schluss kommen, dass der Prozess nicht ausreichend ist, müssen die Kriterien angepasst werden. Die Umsetzung des neuen Identifizierungsprozesses sollte bei allen relevanten Mitarbeitern geschult werden.

Nach einiger Zeit (2-4 Monaten) sollte die Wirksamkeit des neuen Identifikationsprozesses im Rahmen eines internen Audits überprüft werden.

Bildnachweis by Gerd Altmann from Pixabay

Kontakt zu Uns

Haben Sie konkrete Fragen oder wünschen Sie ein direkten Rückruf

Ihre Kontakdaten


Wie können wir Ihnen behilflich sein?

Teilen Sie uns hier Ihre Anfrage oder Ihre Anmerkungen mit..


Hinweise zum Datenschutz finden Sie in unserer Datenschutz-Erklärung:

"Datenschutz-Erklärung"