Checkliste für Kundenbestandsdaten in Vertrieb und Service
Telekommunikationsanbieter verwalten typischerweise eine Vielzahl relevanter personenbezogener Daten Ihrer Kundinnen und Kunden. Die DSGVO verpflichtet die Anbieter, für den Schutz dieser personenbezogenen Daten geeignete technische und organisatorische Maßnahmen umzusetzen.
Zu den personenbezogenen Daten, die Telekommunikationsanbieter typischerweise verarbeiten, gehören Name, Geburtsdatum, Postanschrift, Bankverbindung, E-Mail-Adresse und Rufnummern. Diese Daten sind bereits als solches für Angreifer interessant. Zusätzlich gehört zum Geschäftsmodell der Telekommunikationsanbieter der Umgang mit teurer Hardware. Mobilfunknummer oder E-Mail-Adressen werden zudem oft als Sicherheitsanker anderer Dienste genutzt. Insgesamt besteht also ein relevantes Risiko sowohl für Kundinnen und Kunden als auch für die Telekommunikationsanbieter selbst, durch einen unberechtigten Zugriff auf diese Daten oder eine Datenänderung durch Kriminelle persönliche oder finanzielle Schäden zu erleiden.
Nach Art. 32 Abs. 1 DSGVO sind verantwortliche Stellen verpflichtet, für den Schutz der personenbezogenen Daten natürlicher Personen geeignete technische und organisatorische Maßnahmen umzusetzen. Dabei ist jeweils die betroffene Datenverarbeitung zu betrachten und das Risiko für die personenbezogenen Daten nach der Schwere und Eintrittswahrscheinlichkeit einzuschätzen. Unter Berücksichtigung des Stands der Technik und der Implementierungskosten ist dann ein jeweils angemessenes Schutzniveau zu gewährleisten. Dies erfordert eine sorgfältige Analyse der jeweiligen Risiken bezogen auf die Systeme und Prozesse durch die verantwortliche Stelle.
Nachfolgend bietet die BfDI als Hilfestellung eine Checkliste zum Umgang mit Kundenbestandsdaten im Vertrieb für Telekommunikationsunternehmen aus einer datenschutzrechtlichen Perspektive, um die Analyse der Risiken in Bezug auf personenbezogene Daten zu erleichtern.