15.05.

2020

Belehrung zur korrekten

Authentifizierung von Endkunden
Bitte beachte, diese Belehrung bezieht sich nur auf
DA-Kundendaten sowie P- und Kallisto-Segmente.
Datenschutz-Verstoß - Millionenbußgeld gegen 1&1 verhängt

Am 09.12.2019 verhängte die Bundesdatenschutz-Behörde ein Bußgeld in Höhe von 9,55 Millionen
Euro gegen den Telekommunikationsdienstleister 1&1. Aufgrund des kooperativen Verhaltens von 1&1
bewegt sich das Bußgeld sogar noch im unteren Bereich des Bußgeldrahmens.

Was war passiert?

Die Bundesdatenschutz-Behörde wirft 1&1 vor, an der Kundenhotline zu leichtfertig „weitreichende

Informationen zu weiteren personenbezogenen Kundendaten“ herausgegeben zu haben. Der
Bundesdatenschutz-Beauftragte Ulrich Kelber befand, dass 1&1 die Informationen seiner Kunden nicht
ausreichend geschützt hat. In einem konkreten Fall hat es sogar ausgereicht, den Namen und das
Geburtsdatum eines Kunden zu nennen, um an weitreichende Informationen zu gelangen.

2
Was bedeutet das für uns bei E.ON?

In unserem Fall könnte ein datenschutzrechtlicher

Verstoß eine weit aus höhere Strafe nach sich ziehen.
Hier ist jeder Mitarbeiter gefragt, die Richtlinien zur
Authentifizierung strikt einzuhalten!

Ein Authentifizierungsfehler stellt einen schwerwiegenden

Verstoß gegen Datenschutzbestimmungen dar und kann zu
arbeitsrechtlichen Konsequenzen bzw. zum Ausschluss aus
dem E.ON-Projekt führen.

Aufgrund des 1&1-Vorfalls und den weitreichenden

Konsequenzen, belehren wir hier noch mal ausführlich zum
Authentifizierungsprozess.
3
 Kernbotschaft: Korrekte Authentifizierung ist stets sicher zu stellen !

1 Kein Vorlesen der Kundendaten!

2 Vor- und Nachname des Anrufers muss

immer gefragt werden!

Die komplette Beschreibung des Authentifizierungsvorgehens ist

3 Vertragspartner von Dritten unterscheiden! in der Wissensdatenbank (aktuell KIWi) nachzulesen:

Kundendaten > Authentifizierung > Authentifizierung P-Kunden

4 Kann der Anrufer sich nicht richtig
authentifizieren, bitte ihn, sich erneut mit den Kundendaten > Authentifizierung > Authentifizierung P-Kunden
notwendigen Daten zu melden! durch Dritte

5 Alle Vorgaben zum Thema Authentifizierung und

Dritte sind stets verpflichtend einzuhalten!

6 Ein Verstoß gegen diese Vorgaben kann zu folgenden

Konsequenzen führen:
• für EDS - arbeitsrechtliche Konsequenzen
• für externe Dienstleister - Ausschluss vom E.ON Projekt 4
Die wichtigsten Themen haben wir für dich in der Tabelle (P-Segment) erfasst. Diese Tabelle findest du auch in der
Wissensdatenbank (aktuell KIWi), unter: Kundendaten > Authentifizierung > Authentifizierung-P-Kernbotschaft.

5
Wenn du im DA arbeitest, schau dir bitte diese Tabelle an, welche du natürlich auch in der Wissensdatenbank (aktuell KIWi)
unter Digital Attacker > DA-Kundendaten > Authentifizierung-DA-Kernbotschaft findest.

6
Danke, dass du dir Zeit genommen hast!

7
EON Dialog S.R.L. - Eskalationsprozess bei Datenschutzverstoß
AllgemeinePrämissen:
- In jedem Gespräch wird der Mitarbeiter erneut über die bestehenden rechtlichen Regelungen belehrt.
- Es wird klar kommuniziert, dass weitere arbeitsrechtliche Konsequenzen geprüft werden, welche im Nachgang erfolgen.
→ Ablauf von disziplinarischen Maßnahmen (Ermahnung, Abmahnung, Kündigung) wird angekündigt.
- Die Gespräche werden vollumfänglich unter Einbindung des HR-Bereichsdokumentiert.

Eskalationsprozess:
Fehler Schrift Gesprächsteilnehmer Konsequenz
1. Verstoß Formale Ermahnung CL, FGL und Mitarbeiter Nachkontrolle
2. Verstoß Formale Ermahnung CL, FGL und Mitarbeiter + HR Nachkontrolle
3. Verstoß Disziplinarverfahren (Referat, Stellung- CL, HR, Mitarbeiter Legal HR und Nachkontrolle, Abmahnung, ggf.
nahme Mitarbeiter, Entscheidung) Mitarbeiter weitere disziplinarische Maßnahmen
4. Verstoß Disziplinarverfahren -> Abmahnung CL, HR, Legal HR und Mitarbeiter Nachkontrolle, Abmahnung, ggf.
weitere disziplinarische Maßnahmen

Nach jedem Verstoß wird jeweils eine 14 tägige (10 Werktage) Nachkontrolle mit (werk-)täglicher Stichprobe (Beisitz und
ggf. Voice Files) durch den Fachgruppenleiter durchgeführt.
8
 Declaratie de protectie a datelor pentru angajat
1. Am inteles instructiunile pentru o autentificare corecta si ca parte a responsabilitatilor mele in cadrul EON Dialog
S.R.L., ma angajez sa aplic toate procesele si specificatiile, pentru o autentificare corecta.
2. Ma angajez sa citesc in mod regulat in baza de date, actualizarile publicate cu privire la informatiile despre
procesul de autentificare.
3. Am inteles noul proces de escaladare in cazul unei abateri cu privire la procesul de autentificare. Imi este
cunoscut ca in urma fiecarei abateri si in urma discutiei purtate cu Team Leaderul cu privire la incalcarea
instructiunilor, urmeaza o verificare timp de 14 zile (10 zile lucratoare), folosind masuratorile de calitate. Sunt
constient ca au loc, periodic, controale de calitate.
4. O neglijare a sarcinilor mele pentru a efectua o autentificare corecta, reprezinta o abatere grava si poate avea
consecinte disciplinare (de ex. avertisment scris).

Ma angajez, in mod regulat, sa citesc informatiile actuale despre procesul de autentificare din baza de
date.
Am citit toate informatiile cu privire la “instructiuni de protectia datelor, le-am inteles si ma oblig sa le respect.
Ma oblig sa respect procesul de escaladare prin punerea in aplicare a masurile de autentificare.

Nume angajat: Semnatura: 9