Unternehmen in der Pflicht, Identitätsdiebstahl zu verhindern
Bisher trägt der Kunde das Risiko, wenn unter seinem Namen missbräuchlich gehandelt wird (beispielsweise durch Aufgabe einer Bestellung). Das wird sich ändern. Die Unternehmen müssen datenschutzrechtlich zulässige Anstrengungen unternehmen, um sicherzustellen, an den richtigen Kunden auszuliefern.
Heute sollte es zum Allgemeinwissen gehören, dass typische Stammdaten (nämlich Name, Geburtsdatum, Adresse, ja gegebenenfalls selbst Kreditkartennummern, Sozialversicherungsnummer und Führerscheindaten) nicht nur in vertrauensvollen Händen liegen. Zuletzt musste die größte amerikanische Wirtschaftsauskunftei Equifax einräumen, dass ca. 143 Mio. Datensätze von Verbrauchern bei einem Hacking übertragen worden sind.
Es wird Zeit, dass die Unternehmen ihre Obliegenheiten einhalten, wenn es um die Identifizierung des richtigen Kunden geht. Hier zeigt der Forderungskatalog der Berliner Beauftragten für Datenschutz und Informationsfreiheit vom 08.09.2017 („Identitätsdiebstahl darf nicht als allgemeines Geschäftsrisiko hingenommen werden“), dass auch Datenerhebungen gerechtfertigt sind, um Identitätsdiebstähle zu verhindern. Die Landesbeauftragte sieht die Unternehmen in der Pflicht, Methoden zur Identifizierung ihrer Kunden einzusetzen. Dazu gehört beispielsweise, bei Wirtschaftsauskunfteien im Rahmen einer Bestellung einen Adressabgleich vorzunehmen, gegebenenfalls Melderegisterauskünfte einzuholen und Identitätsunstimmigkeiten einem Inkassounternehmen mitzuteilen.
Auskunfteien müssten zudem bei der Einmeldung von Schuldnern solche Forderungen ausschließen, bei denen Anhaltspunkte für einen Identitätsdiebstahl vorliegen. Dann überwiegt das Geheimhaltungsinteresse des Kunden, nämlich sein Interesse an dem Ausschluss der Verarbeitung für Bonitätsbewertungszwecke.
(Philipp Kramer, Chefredakteur Datenschutz-Berater)