02.09.2021 — Rolf Becker. Quelle: Verlag Dashöfer GmbH.
Der Anbieter von Telekommunikationsleistungen 1&1 war gegen den hohen Bußgeldbescheid vorgegangen, den der Bundesdatenschutzbeauftragte verhängt hatte, weil sich ein Kunde im Jahr 2018 beschwert hatte. Allein der Name und das Geburtsdatum hatten einer ehemaligen Lebensgefährtin ausgereicht, um persönliche Kundendaten (Handynummer) zu ihrem Ex zu erhalten. Der Kunde wurde daraufhin zum Stalking Opfer. Das LG Bonn (Urteil v. 11.11.2020 - 29 OWi 1/20) hatte dann in seinem vielbeachteten Urteil den verhängten Bußgeldbetrag von 9,55 Mio. Euro auf 900.000 Euro herabgesetzt.
Nach Art. 24 Abs. 1 Satz 1 DSGVO muss der Verantwortliche geeignete technische und organisatorische Maßnahmen vorsehen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß dieser Verordnung erfolgt. Es geht um den systematischen Schutz von Daten. Unter dem Stichwort „Sicherheit der Verarbeitung“ verlangt Art. 32 DSGVO ebenfalls „…geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Unzureichende Authentifizierungsverfahren verstoßen damit gegen Art. 32 DSGVO.
Bei der Multi-Faktor-Authentifizierung, die meist in Gestalt der Zwei-Faktor-Authentifizierung aufgeführt wird, geht es um die Identitätsfeststellung über mehrere voneinander unabhängige Faktoren. Hier werden Besitz, Wissen und Inhärenz unterschieden.
Aus dem Bereich „Besitz“ kennt man die Bankkarte oder den Token und letztlich kann es auch die App sein, die erst einen Zugang ermöglicht. Bei Wissen haben wir die PIN oder ein Passwort. Zum Thema Inhärenz werden z.B. biometrische Merkmale (Fingerabdruck, Iris-Scan, Stimmerkennung, Tippmuster, Gangerkennung) genannt.
Für die Praxis sollte man entsprechend den Anforderungen des Gesetzes ein risikoangemessenes Konzept erstellen und die typischen Cases herausarbeiten und dazu geeignete Identifizierungsmaßnahmen für den Kundenservice oder die Kommunikation mit Mitarbeitern oder Lieferanten vorgeben.
So ist z.B. für die Risikobetrachtung die Frage nach dem Verbleib einer Sendung anders zu bewerten, als das Ansinnen, die Lieferadresse zu ändern oder gar das Konto für eine Erstattung bei Retouren. Je nach Geschäftsmodell oder Anlass kann auch schon die Art der Daten in Form von besonders sensiblen Daten es gebieten, wegen des mit der Herausgabe verbundenen Risikos besondere Maßnahmen zur Identitätsfeststellung zu treffen (z.B. bei der Frage nach Gesundheitsdaten oder Angelegenheiten, die Kontodaten betreffen).
In der Praxis meldet sich ein Kunde meist mit Namen und Kunden-ID oder Geburtsdatum oder der Mitarbeiter nennt eine Personalnummer. Dies allein sollte grundsätzlich nicht ausreichen, um auf Anfrage Daten zu erhalten. Hier ist nur der Flurnachbar in Mietwohnungen zu nennen, der zum letzten Geburtstag eingeladen war und früher gelegentlich den Postkasten geleert hat. Häufig werden Kundennummern aus internen logistischen Gründen bei der Geschäftspost so aufgedruckt, dass sie im Sichtfeld der Briefadresse oder bei der Übersendung des Katalogs im Adressfeld gelesen werden können. Bei Verlagen ist die Angabe der Abo-Nummer auf dem Adressfeld ständig geübte Praxis.
Die Beispiele zeigen, dass allein Name, Geburtsdatum und Kundennummer keine geeigneten Identifikationsmerkmale sein sollten.
Ein gutes Stück mehr Sicherheit bietet in den meisten Fällen die Antwort auf die Frage zur letzten Korrespondenz. So kann beispielsweise nach dem Datum des letzten Schreibens, nach dem Betrag einer Rückerstattung oder ähnlichen Inhalten gefragt werden, die der Anrufer nur dann kennen kann, wenn er eben mehr weiß, als es dem typischen Nachbarn oder dem Expartner möglich ist.
Hier kommen auch die letzten drei Ziffern der IBAN in Betracht, der Geburtsort, Geburtsname der Mutter oder der Sachbearbeiter.
Einige Unternehmen verlangen die Angabe einer Kunden-PIN, die zuvor eingeführt wurde.
Vielfach kommt ein Matching der Anrufertelefonnummer in Betracht. Fällt das nicht positiv aus, kann ein Rückruf unter der gespeicherten Rufnummer erfolgen. Wie eingangs beschrieben gibt es sogar Stimmerkennungssysteme, die im Massengeschäft die Authentifizierung (nach jeweiliger Kundeneinwilligung) erleichtern.
Denkbar sind auch Apps, über die ein Rückruf zu einem Support nach Vorauthentifizierung erreicht werden kann oder die Anforderung der Nennung/Eingabe von zeitbasierten Einmalkennwörtern (Beispiel Google-Authenticator) oder von Zeichenfolgen, die per SMS auf eine bekannte Mobilfunktelefonnummer gesendet werden.
Die Möglichkeiten sind vielfältig und in manchen Fällen mag es der einzige Ausweg sein, auf den schriftlichen Weg zu verweisen.
Bei förmlichen Auskunftsersuchen sind häufig Anwälte eingeschaltet. Hier muss auf Vorlage einer Originalvollmacht bestanden werden. Dies gilt generell für das Ansinnen Dritter. Natürlich kann der gebrechliche Angehörige, wenn er eindeutig identifiziert wurde - etwa via Konferenzschaltung per Telefon -Tochter oder Sohn auch mündlich bevollmächtigen.
Auf den ersten Blick erscheint es befremdlich, aber auch ein Zuviel an Anforderungen kann Bußgelder auslösen. Das ist häufig dann der Fall, wenn es um die Ausübung von Rechten durch den Kunden geht und ihm diese über die gestellten Anforderungen unnötig bzw. unangemessen erschwert werden.
Die österreichische Datenschutzbehörde sah das Recht des Kunden auf Löschung als verletzt an, weil ein Anzeigenportal für eine Löschung von Daten nicht nur die für die Registrierung allein notwendigen Daten (Vorname und E-Mail) verlangt hatte, sondern die Angabe von Adresse und Unterschrift. Von Beginn an hätten nur pseudonymisierte Daten vorgelegen, bei denen das Portal auf eine Identifizierung des Beschwerdeführers als spezifischer betroffener Person verzichtet habe. Nach Art. 12 Abs. 2 DSGVO besteht jedoch das Gebot, dem Betroffenen die Ausübung seiner Rechte zu erleichtern (GZ: DSB-D122.970/0004-DSB/2019 vom 8.11.2019).
Unternehmen müssen also risikobasierte Authentifizierungskonzepte aufstellen. Dabei müssen Sie jedoch darauf verzichten mehr Angaben zu verlangen, als letztlich bei ihnen gespeichert sind. Auch eine zu umfangreiche Anforderung von Angaben kann schon durch die Häufung eine Rechtsausübung erschweren. So ist dem Autor eine Monierung des Hessischen Datenschutzbeauftragten bekannt, der rügte, dass in einer E-Mail Anfrage „Wir können Sie leider nicht identifizieren…“ nicht klargestellt sah, dass eine Aufzählung von möglichen Angaben nicht kumulativ, sondern alternativ gemeint war.
Bild: Kevin Ku (Pexels, Pexels Lizenz)
Themen
Gerne können Sie Ihre Fragen per E-Mail oder Telefon direkt an die zuständige Produktmanagerin oder den zuständigen Produktmanager richten.
Gerne können Sie sich direkt per E-Mail an die zuständige Produktmanagerin oder den zuständigen Produktmanager wenden.
Zur Teilnahme am Online-Seminar benötigen Sie Kopfhörer, Lautsprecher oder Ähnliches.
Da wir unsere Online-Seminaren so interaktiv wie möglich gestalten, empfehlen wir auch die Verwendung von Kamera und Mikrofon.
Für einen optimalen Ablauf empfehlen wir die Nutzung von Google Chrome oder Mozilla Firefox. Die detaillierten technischen Voraussetzungen finden Sie in der Anmeldebestätigung, die wir an die bei der Bestellung angegebene E-Mail-Adresse senden.
Das Teilnahmezertifikat wird Ihnen am Tag nach der Veranstaltung per E-Mail zugesandt.
Die Veranstaltungsunterlage wird Ihnen in digitaler Form am Vortag oder am Tag nach dem Online-Seminar zugesandt.
Sie erhalten am Vortag der Veranstaltung den Zugangslink, über den Sie sich anmelden können. Bei Seminaren, die an einem Montag stattfinden, erhalten Sie den Link am Freitag zuvor.
Gerne können Sie Ihre Fragen per E-Mail oder Telefon direkt an die zuständige Produktmanagerin oder den zuständigen Produktmanager richten.
Gerne können Sie sich direkt per E-Mail an die zuständige Produktmanagerin oder den zuständigen Produktmanager wenden.
Der Standard-Tagesablauf eines eintägigen Seminars sieht wie folgt aus:
Für Teilnehmende stehen bei Veranstaltungen in einigen Tagungshotels begrenzte Zimmerkontingente zur Verfügung. Bei Bedarf können Sie die Reservierungen selbstständig beim Hotel unter dem Stichwort „Verlag Dashöfer“ vornehmen.
Der Veranstaltungsort ist auf der Detailseite jedes Seminars angegeben. Weitere Details zum Veranstaltungshotel erhalten Sie mit Ihrer Seminarbestätigung, spätestens 14 Tage vor der Veranstaltung.
Sobald die Durchführung des Seminars bestätigt wurde, spätestens 14 Tage vorher, erhalten Sie alle Details zur Veranstaltung sowie Ihre Rechnung.
Wenn Sie keine Werbung/Newsletter mehr zugesandt bekommen möchten, können Sie dies per E-Mail an unseren Kundenservice (abmeldung@dashoefer.de) durchgeben.
Die Anmeldung zu unseren kostenfreien Newslettern ist über unsere Internetseite möglich.
Sie haben jederzeit die Möglichkeit, kostenfrei einen Ersatzteilnehmenden für den gebuchten Termin zu benennen.
Schreiben Sie uns einfach eine Mail mit der Seminarnummer, dem Namen der angemeldeten Person sowie dem Namen und der E-Mail-Adresse der Person, die nun an der Veranstaltung teilnehmen wird, an: veranstaltungsmanagement@dashoefer.de
Wenn Sie ein Präsenz-Seminar trotz der Möglichkeit der Terminverschiebung und des Teilnehmerwechsels stornieren möchten, berechnen wir bis 31 Tage vor Seminarbeginn eine Stornierungsgebühr in Höhe von 40 € zzgl. MwSt. pro Seminartag. Ab 30 Tage vor Seminarbeginn wird die volle Teilnahmegebühr fällig.
Wenn Sie eine Stornierung wünschen, schreiben Sie uns einfach eine E-Mail mit der Seminarnummer sowie dem Namen der angemeldeten Person an: veranstaltungsmanagement@dashoefer.de
Präsenz-Seminare können bis zu 15 Tage vor der Veranstaltung kostenlos umgebucht werden. Danach wird aufgrund der Kurzfristigkeit eine Umbuchungsgebühr in Höhe von 60 € zzgl. MwSt. fällig.
Wenn Sie eine Umbuchung wünschen, schreiben Sie uns einfach eine E-Mail mit der Seminarnummer, dem Namen der angemeldeten Person sowie dem neuen Wunschtermin (einzusehen auf der jeweiligen Seminarseite auf unserer Homepage) an: veranstaltungsmanagement@dashoefer.de
Sie haben jederzeit die Möglichkeit, kostenfrei einen Ersatzteilnehmenden für den gebuchten Termin zu benennen.
Schreiben Sie uns einfach eine Mail mit der Seminarnummer, dem Namen der angemeldeten Person sowie dem Namen und der E-Mail-Adresse der Person, die nun an der Veranstaltung teilnehmen wird, an: veranstaltungsmanagement@dashoefer.de
Wenn Sie ein Online-Seminar trotz der Möglichkeit der Terminverschiebung und des Teilnehmerwechsels stornieren möchten, stellen wir Ihnen eine Gebühr in Höhe von 15 % der Seminargebühr zzgl. MwSt. in Rechnung. Ab 13 Tage vor Seminarbeginn wird die volle Teilnahmegebühr fällig.
Wenn Sie eine Stornierung wünschen, schreiben Sie uns einfach eine E-Mail mit der Seminarnummer sowie dem Namen der angemeldeten Person an: veranstaltungsmanagement@dashoefer.de
Online-Seminare können bis zu 15 Tage vor der Veranstaltung kostenlos umgebucht werden. Danach wird aufgrund der Kurzfristigkeit eine Umbuchungsgebühr in Höhe von 60 € zzgl. MwSt. fällig.
Wenn Sie eine Umbuchung wünschen, schreiben Sie uns einfach eine E-Mail mit der Seminarnummer, dem Namen der angemeldeten Person sowie dem neuen Wunschtermin (einzusehen auf der jeweiligen Seminarseite auf unserer Homepage) an: veranstaltungsmanagement@dashoefer.de
Alle Informationen zu unseren Inhouse-Angeboten sowie die passenden Ansprechpartnerinnen und -partner finden Sie auf unserer Inhouse-Seite unter: https://www.dashoefer.de/inhouse-seminare.html
Das Zertifikat, das Sie nach der Veranstaltung per E-Mail erhalten, beinhaltet alle Kriterien (Inhalt, Dauer, Referent*in und Datum), um das Seminar bei den entsprechenden Kammern als Weiterbildung anrechnen zu lassen.
Darüber hinaus gelten unsere Seminare aus dem Bereich Immobilien und Grundbesitz als Qualifikationsnachweis für Mietverwalter, WEG-Verwalter und Immobilienverwalter sowie unsere Seminare aus dem Personalmanagementbereich als Fortbildungsnachweis nach § 15 FAO für Anwält*innen.
Wir akzeptieren ausschließlich Bildungschecks aus dem Bundesland Nordrhein-Westfalen.
Ab der dritten teilnehmenden Person aus einem Unternehmen erhalten die dritte und jede weitere Person einen Preisnachlass von 10 %. Dies gilt für Anmeldungen zu demselben Termin.
Die Seminarpreise verstehen sich netto zzgl. MwSt. und gelten pro Person. Demnach sind bei Online-Seminaren nur die angemeldeten Personen berechtigt, sich mit den Zugangsdaten für die jeweilige Online-Veranstaltung anzumelden.
Das Zahlungsziel unserer Rechnungen beträgt 14 Tage.
Eine Rechnungskorrektur können Sie schriftlich per E-Mail an rechnungsversand@dashoefer.de anfordern. Bitte teilen Sie uns in Ihrer Nachricht die Rechnungsnummer sowie die gewünschte Änderung mit.
Sie erhalten die Rechnung frühestens acht Wochen vor Seminarbeginn und nur dann, wenn wir die Durchführung aufgrund der erreichten Mindestteilnehmendenzahl gewährleisten können.
Die Seminargebühr wird mit Zugang der Anmeldebestätigung fällig und ist zuzüglich der jeweils geltenden gesetzlichen Mehrwertsteuer zu zahlen. Die Fälligkeit der Rechnung ist unabhängig vom Leistungszeitpunkt.
Wenn Sie im Bestellvorgang bei „Diesem Teilnehmer eine eigene Bestellbestätigung zusenden?“ ein Häkchen gesetzt haben und die E-Mail-Adresse der teilnehmenden Person mit der im Feld „Rechnungsanschrift eingeben“ übereinstimmt, werden Ihnen zwei Bestätigungen zugesendet. Sie sind in diesem Fall nicht doppelt angemeldet.
Login
Bitte melden Sie sich mit Ihrem Benutzernamen und Ihrem Passwort an.
Benutzerkonto anlegen
Sind Sie auf unserer Website noch nicht registriert? Hier können Sie sich ein neues Kundenkonto bei dashoefer.de anlegen.
RegistrierenHaben Sie Fragen? Kontaktformular
So erreichen Sie unseren Kundenservice:
Telefon: 040 / 41 33 21 -0
Email: kundenservice@dashoefer.de
Haben Sie Fragen zu unseren Produkten und Online-Angeboten?
Rückruf vereinbaren
Möchten Sie einen Rückruf vereinbaren?