Nimmt ein Unternehmen keine ausreichende Identitätsüberprüfung vor und schickt daher personenbezogene Daten (hier: Rechnungen) an eine unbekannte dritte Person, liegt hierin ein DSGVO-Verstoß, der eine Geldbuße iHv. 48.000,- EUR rechtfertigt (Spanische Datenschutzbehörde, Az.: EXP202105644).
Die betroffene Firma war ein Energieunternehmen.
Es meldete sich bei dem ein Unternehmen ein Anrufer, der sich als Verwandter eines Kunden ausgab, und um Änderung der E-Mail-Adresse und die Zusendung der beiden letzten Rechnungen bat. Zur Überprüfung fragte der Betrieb ab: Name, Adresse, Personalausweisnummer, Vertragsnummer und die letzten 4 Ziffern der Kontoverbindung.ab.
Wie sich wenig später herausstellte, war der Anrufer nicht der Kunde, sondern ein unbeteiligter Dritter.
Die Spanische Datenschutzbehörde sah in der vorgenommenen Identitätsprüfung einen Verstoß gegen Art. 32 DSGVO, da keine ausreichende technische Sicherheit bei der Datenverarbeitung vorgenommen worden sei.
Das Unternehmen verteidigte sich damit, dass die Kontrolle ausreichend gewesen sei anhand der vorgenommenen Informationen. Insbesondere würde die Kontoverbindung zu keinem Zeitpunkt auf den von ihr versandten Dokumenten abgedruckt, sodass sichergestellt sei, dass die Kontodaten nur der eigentliche Kunde kennen könne.
Dies überzeugte die Behörde nicht, sondern sie blieb bei ihrer Einschätzung eines DSGVO-Verstoßes:
"Nach den derzeit vorliegenden Beweisen und unbeschadet der Ergebnisse der Untersuchung dieses Sanktionsverfahrens wird davon ausgegangen, dass die betreffende Stelle gegen die Vertraulichkeit bei der Verarbeitung personenbezogener Daten verstoßen hat, da sie trotz der angegebenen Sicherheitsmaßnahmen den Zugang zu den personenbezogenen Daten eines Kunden ohne dessen Zustimmung ermöglicht hat, indem sie es geschafft hat, zwei Rechnungen an die E-Mail-Adresse des besagten Dritten zu senden, wobei sie das Bestehen einer Art von Beziehung zu dem Kunden behauptet hat, um diese Informationen zu erhalten.
Daher wurde gegen Artikel 5 Absatz 1 Buchstabe f der DSGVO, der den Grundsatz der Integrität und Vertraulichkeit regelt, verstoßen, so dass die Daten so verarbeitet werden müssen, dass eine angemessene Sicherheit personenbezogener Daten, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor zufälligem Verlust, zufälliger Zerstörung oder zufälliger Beschädigung, durch geeignete technische oder organisatorische Maßnahmen gewährleistet ist.
Die Behörde ist außerdem der Ansicht, dass ein Verstoß gegen Artikel 32 der Datenschutz-Grundverordnung vorliegt, da die Sicherheitsmaßnahmen der beanstandeten Einrichtung nicht angemessen sind und verbessert werden sollten, nachdem festgestellt wurde, dass sie nicht ausgereicht haben, um die beanstandeten Ereignisse zu verhindern."
Und weiter:
"Unter diesen Umständen ist die Behörde der Auffassung, dass die beklagte Einrichtung unbeschadet des Ergebnisses der Untersuchung gegen Artikel 5 Absatz 1 Buchstabe f und Artikel 32 der Datenschutz-Grundverordnung verstoßen hat, indem sie den Grundsatz der Integrität und Vertraulichkeit verletzt und es versäumt hat, die erforderlichen Sicherheitsmaßnahmen zu ergreifen, um den Schutz der personenbezogenen Daten ihrer Kunden zu gewährleisten."
Die Behörde bewertete ein (reduziertes) Bußgeld iHv. 48.000,- EUR als angemessen für den Verstoß. Das Unternehmen zahlte die Strafe.
Anmerkung:
Die Entscheidung lässt einen mehr oder minder ratlos zurück. Denn eine plausible Begründung, warum die vorgenommene Identitätsprüfung nicht ausreichend sein soll, gibt die Datenschutzbehörde nicht.
Wenn die Kombination der unterschiedlichen Informationen (Name, Adresse, Personalausweisnummer, Vertragsnummer und die letzten 4 Ziffern der Kontoverbindung) nicht ausreichend sein soll, dann dürfte die telefonische Identitätsprüfung faktisch gestorben sein. Ist man nämlich der Ansicht, dass alle diesen Daten möglicherweise durch Dritte abgegriffen werden konnten und daher nicht genügen, so wird man diese Argumentation auch auf die Zusendung einer speziellen PIN-Nummer für Telefon-Calls anwenden müssen.
Damit wäre dann aber der telefonische Support in der Praxis gestorben. Denn egal, was der Kunde will, wird je Handlung einen Personenbezug haben und damit die Anwendbarkeit der DSGVO berühren.