{"id":2277,"date":"2020-01-14T10:39:38","date_gmt":"2020-01-14T09:39:38","guid":{"rendered":"http:\/\/www.wiesbadener-kreis.de\/?p=2277"},"modified":"2020-01-14T10:39:38","modified_gmt":"2020-01-14T09:39:38","slug":"telefonische-auskunftserteilung","status":"publish","type":"post","link":"http:\/\/www.wiesbadener-kreis.de\/?p=2277","title":{"rendered":"Telefonische Auskunftserteilung"},"content":{"rendered":"<p>Auf den letzten Metern des ausklingenden Jahres 2019 wurde <a href=\"https:\/\/www.bfdi.bund.de\/DE\/Infothek\/Pressemitteilungen\/2019\/30_BfDIverh%C3%A4ngtGeldbu%C3%9Fe1u1.html\">ein Rekord-Bu\u00dfgeld von Seiten des Bundesdatenschutzbeauftragten (BfDI)<\/a> in H\u00f6he von 9,55 Millionen Euro gegen einen Telefonanbieter erlassen.<\/p>\n<h3>Zum Hintergrund:<\/h3>\n<p>Der Telefonanbieter bot f\u00fcr seine Kunden einen umfassenden telefonischen Support. Hierbei hatten die Kunden die M\u00f6glichkeit, umfassende Informationen zu Ihren Vertr\u00e4gen zu erhalten. In den Fokus der Datenschutzbeh\u00f6rden geriet das Verfahren <a href=\"https:\/\/newsroom.1und1.de\/2019\/12\/09\/11-klagt-gegen-bussgeldbescheid-der-datenschutzbehoerde\/\">laut Stellungnahme des Unternehmens<\/a> anl\u00e4sslich eines konkreten Vorfalls: Bei einer telefonischen Anfrage erhielt eine nicht berechtigte Person die Telefonnummer eines ehemaligen Lebenspartners.<\/p>\n<p>Die Sicherheitsrichtlinie des Unternehmens sah zu dem Zeitpunkt als Authentifizierungsmethode vor, den Kunden mittels Abfrage von Name und Geburtsdatum als den Kunden zu identifizieren und damit f\u00fcr die Auskunftserteilung zu legitimieren.<\/p>\n<p>Dieses Verfahren beurteilte die Datenschutzbeh\u00f6rde als nicht ausreichend zum allgemeinen Schutz der personenbezogenen Daten der Kunden vor einer unrechtm\u00e4\u00dfigen Kenntnisnahme und sah hierin einen Versto\u00df gegen die Pflicht zur Ergreifung ad\u00e4quater technischer und organisatorischer Ma\u00dfnahmen zum Datenschutz aus Art. 32 DSGVO.<\/p>\n<h3>Konsequenzen:<\/h3>\n<p>Die telefonische Auskunftserteilung steht im Spannungsfeld zwischen Kundenservice und Datenschutz. Eine allzu restriktive Handhabung von telefonischen Ausk\u00fcnften ist vom Kunden oftmals nicht gew\u00fcnscht. Wenn dadurch allerdings tats\u00e4chlich Daten in unrechtm\u00e4\u00dfige H\u00e4nde gelangen, wie beispielsweise die neue Telefonnummer an den ehemaligen Lebenspartner, ist am Ende keiner damit gl\u00fccklich.<\/p>\n<h3>Vorgehensweise:<\/h3>\n<p>Wie sollten Sie vorgehen, wenn Sie telefonische Ausk\u00fcnfte f\u00fcr Ihre Kunden bieten wollen?<\/p>\n<p>Wenn Sie Informationen \u00fcber das Telefon austauschen, sollten Ma\u00dfnahmen ergriffen werden, die eine unrechtm\u00e4\u00dfige Verf\u00fcgung durch einen Unbefugten verhindern sollen, seien es Verf\u00fcgungen mit Rechtswirkung, seien es Auskunftsweitergaben.<br \/>\nEine telefonische Auskunft ergibt nur dann Sinn, wenn das Verfahren praktikabel ist. Das Verfahren sollte mithin m\u00f6glichst einfach f\u00fcr alle Seiten gestaltet sein.<br \/>\nEs sollte allerdings ein dem Risiko angemessenes Schutzniveau bieten, um die Gefahr vor Missbrauch durch Unbefugte f\u00fcr die Kunden zu minimieren.<\/p>\n<h3>Schutzbedarf feststellen:<\/h3>\n<p>Zun\u00e4chst sollten Sie klassifizieren, welche Informationen \u00fcberhaupt am Telefon ausgetauscht werden d\u00fcrfen. Je nach Organisationsgrad und Komplexit\u00e4t Ihres Unternehmens k\u00f6nnte es sinnvoll sein, zun\u00e4chst typische Fallgestaltungen der Anfragen zu differenzieren und festzuhalten, um daraus die geforderten Datenarten abzuleiten. Beispielsweise:<\/p>\n<p><strong>Fragen zum Vertrag:<\/strong><\/p>\n<ul>\n<li>Vertragsinhalte<\/li>\n<li>Laufzeiten<\/li>\n<li>Vertragsende<\/li>\n<\/ul>\n<p><strong>Fragen zur Buchhaltung:<\/strong><\/p>\n<ul>\n<li>offene Posten<\/li>\n<li>Kontoverbindung<\/li>\n<li>get\u00e4tigte Zahlungen<\/li>\n<\/ul>\n<p><strong>Vertragsabsprachen, rechtsgestaltende Absprachen:<\/strong><\/p>\n<ul>\n<li>Adress\u00e4nderungen<\/li>\n<li>\u00c4nderungen von Lieferadressen<\/li>\n<li>Neuauftr\u00e4ge, Erg\u00e4nzungsauftr\u00e4ge<\/li>\n<\/ul>\n<p>\u2026 und weitere Fallgestaltungen.<\/p>\n<p>F\u00fcr alle diese Stationen m\u00fcssen Sie dann eine Risikoabw\u00e4gung vornehmen:<\/p>\n<p>Was droht dem Kunden, wenn es sich um einen Unberechtigten handeln sollte?<br \/>\n\u2192 Schwere des Risikos<\/p>\n<p>Wie wahrscheinlich ist es, dass sich ein Unberechtigter Zugriff verschaffen kann?<br \/>\n\u2192 Eintrittswahrscheinlichkeit<\/p>\n<p>Je schwerer das Risiko f\u00fcr den Betroffenen wiegt, umso sch\u00e4rfere Ma\u00dfnahmen m\u00fcssen Sie ergreifen, um den Eintritt zu verhindern. Sinnvoll ist es, s\u00e4mtliche Daten in Schutzstufen zu unterteilen und f\u00fcr die jeweilige Schutzstufe entsprechende Ma\u00dfnahmen festzulegen.<\/p>\n<h3>M\u00f6gliche Ma\u00dfnahmen:<\/h3>\n<p>Dass die Abfrage des Namens und des Geburtsdatums keinen zuverl\u00e4ssigen Ausschluss von Unberechtigten bietet, sollte mit einem Blick in ein beliebiges soziales Netzwerk nach Wahl hoffentlich jedem klar sein. Auch die Abfrage der Adresse d\u00fcrfte kein ausreichendes Ausschlusskriterium f\u00fcr Unbefugte darstellen.<\/p>\n<p>Die Abfrage vertragsspezifischer Details d\u00fcrfte dahingehend bereits einen deutlich h\u00f6heren Schutz bieten, da solche Daten \u00fcblicherweise nicht \u00f6ffentlich kundgetan werden. Darunter leidet nat\u00fcrlich wieder die Benutzerfreundlichkeit. Eher selten hat der Kunde unterwegs die Vertragsunterlagen zur Hand.<\/p>\n<p>Die Abfrage von Kontodaten kann zwar auch nicht zuverl\u00e4ssig Unberechtigte ausschlie\u00dfen, da Kontodaten an viele verschiedene Gesch\u00e4ftspartner bekannt gegeben werden, jedoch reduziert sich dadurch der Kreis m\u00f6glicher Personen deutlich. Gegebenenfalls l\u00e4sst sich dieses Kriterium in Zusammenschau mit weiteren Abfragen kombinieren, um ein h\u00f6heres Schutzniveau zu erreichen.<\/p>\n<p>Letztlich bieten technische Ma\u00dfnahmen, wie ein Passwort- oder Tokenverfahren, je nach gew\u00e4hlten Vorgaben einen sehr zuverl\u00e4ssigen Schutz.<\/p>\n<p>Alternativ dazu k\u00f6nnen auch Sicherheitsfragen vereinbart werden, deren Kenntnis \u00fcblicherweise nur dem Betroffenen selbst oder einem engsten Vertrautenkreis bekannt sind.<\/p>\n<p>Um eine ausgewogene Balance zwischen Schutzbedarf und Benutzerfreundlichkeit herzustellen, k\u00f6nnen auch verschiedene Methoden miteinander kombiniert werden.<\/p>\n<h3>Sicherheitsrichtlinie erstellen und vermitteln:<\/h3>\n<p>Wenn Sie alle Daten nach Schutzbedarf erfasst haben, und entsprechende Sicherheitsvorgaben f\u00fcr jede Schutzstufe festgelegt haben, m\u00fcssen diese Informationen an die Mitarbeiter vermittelt werden, angefangen mit einer entsprechenden Arbeitsanweisung und bestenfalls einer praktischen Einarbeitung. Die Einhaltung dieser Vorgaben sollte im Nachgang auch stichprobenartig \u00fcberpr\u00fcft werden.<\/p>\n<p>So lassen sich Datenpannen vermeiden und die Datenschutzbeh\u00f6rden sollten ebenfalls zufriedengestellt sein.<\/p>\n<p>\u00dcber die Details sprechen Sie am besten mit Ihrem Datenschutzbeauftragten.<\/p>\n<p>Ass. iur. Nicole Krause<br \/>\nJuristische Mitarbeiterin bei der GINDAT GmbH<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Auf den letzten Metern des ausklingenden Jahres 2019 wurde ein Rekord-Bu\u00dfgeld von Seiten des Bundesdatenschutzbeauftragten (BfDI) in H\u00f6he von 9,55 Millionen Euro gegen einen Telefonanbieter erlassen. Zum Hintergrund: Der Telefonanbieter bot f\u00fcr seine Kunden einen umfassenden telefonischen Support. Hierbei hatten die Kunden die M\u00f6glichkeit, umfassende Informationen zu Ihren Vertr\u00e4gen zu erhalten. In den Fokus der &hellip; <\/p>\n<p class=\"link-more\"><a href=\"http:\/\/www.wiesbadener-kreis.de\/?p=2277\" class=\"more-link\"><span class=\"screen-reader-text\">\u201eTelefonische Auskunftserteilung\u201c <\/span>weiterlesen<\/a><\/p>\n","protected":false},"author":15,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[1],"tags":[],"_links":{"self":[{"href":"http:\/\/www.wiesbadener-kreis.de\/index.php?rest_route=\/wp\/v2\/posts\/2277"}],"collection":[{"href":"http:\/\/www.wiesbadener-kreis.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/www.wiesbadener-kreis.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/www.wiesbadener-kreis.de\/index.php?rest_route=\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"http:\/\/www.wiesbadener-kreis.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2277"}],"version-history":[{"count":6,"href":"http:\/\/www.wiesbadener-kreis.de\/index.php?rest_route=\/wp\/v2\/posts\/2277\/revisions"}],"predecessor-version":[{"id":2284,"href":"http:\/\/www.wiesbadener-kreis.de\/index.php?rest_route=\/wp\/v2\/posts\/2277\/revisions\/2284"}],"wp:attachment":[{"href":"http:\/\/www.wiesbadener-kreis.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2277"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/www.wiesbadener-kreis.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2277"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/www.wiesbadener-kreis.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2277"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}