Die Multi-Faktor-Authentifizierung (MFA), auch Multi-Faktor-Authentisierung genannt, ist eine Methode bei der die Zugangsberechtigung durch mehrere unabhängige Merkmale (Faktoren) überprüft wird. Gerade in Zeiten von Cloud-Systemen und Homeoffice wird diese Methode zur Sicherung der Systeme immer beliebter. Grundsätzlich muss sich der Mitarbeiter mit seinen Zugangsdaten am betroffenen System (Benutzername und Passwort) anmelden und durch einen zweiten Faktor, der ihm über einen separaten Kanal zur Verfügung gestellt wird, zusätzlich verifizieren.
Im Unternehmensalltag kommen insbesondere drei Varianten zum Einsatz:
- Verifizierung per SMS: Hier wird dem Mitarbeiter eine SMS mit einem Code an eine angegebene Nummer geschickt. Über die Eingabe des Codes im System verifiziert er sich zusätzlich zu seinem normalen Benutzernamen und Passwort.
- Verifizierung per E-Mail: Auch hier wird dem Mitarbeiter ein Code an die angegebene E-Mail-Adresse versendet, durch den er sich verifizieren kann.
- Verifizierung per Authentifizierungs-App: Hier gibt es verschiedene Apps, die zum Einsatz kommen können. Teilweise stellen auch die Apps einen Code zur Verifizierung zur Verfügung. Andererseits kann man aber in einigen Apps direkt eine Bestätigung über eine Push-Benachrichtigung verschicken, die die Verifizierung beendet.
Datenschutzrechtliche Bewertung der Multi-Faktor-Authentifizierung
Bezüglich der rechtlichen Bewertung muss zwischen der Verwendung von dienstlichen und privaten Kontaktdaten unterschieden werden.
Dienstliche Kontaktdaten (dienstliche Mobilfunknummer, dienstliche E-Mail-Adresse)
Bei der SMS bzw. E-Mail-Methode werden Mobilfunknummern und E-Mail-Adressen verarbeitet. Rechtsgrundlage für die Verarbeitung der dienstlichen Kontaktdaten ist Art. 6 Abs. 1 lit. f DSGVO. Zweck der Verarbeitung ist die Versendung des Codes. Das berechtigte Interesse für die Verarbeitung der dienstlichen Kontaktdaten ergibt sich aus dem Schutz der Anwendungen und Daten vor Zugriffen Unbefugter. Für die Versendung des Codes ist eine Mobilfunknummer oder E-Mail-Adresse erforderlich. Überwiegende schützenswerte Interessen der betroffenen Personen sind nicht ersichtlich, da es sich um dienstliche Kontaktdaten handelt und das Interesse des Schutzes der Systeme überwiegt.
Private Kontaktdaten (private Mobilfunknummer, private E-Mail-Adresse)
Für die Verarbeitung der privaten Kontaktdaten ist eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO die rechtssichere Variante, da innerhalb der Interessensabwägung das schutzwürdige Interesse der Betroffenen überwiegen dürfte. Mit der Speicherung der privaten Nummer findet ein hoher Eingriff in die Privatsphäre des Mitarbeiters statt. Demnach sollte die Speicherung nur auf Basis einer Einwilligung erfolgen. Hier wäre es wegen § 26 Abs. 2 S. 3 BDSG am rechtssichersten, die Einwilligung schriftlich oder elektronisch einzuholen. Wenn der Mitarbeiter jedoch selbst seine private Mobilfunknummer eingibt, könnte hier auch die Ausnahme greifen, dass wegen der besonderen Umstände (eigene Eingabe durch den Mitarbeiter) eine andere Form angemessen ist. Hierfür müssen dem Mitarbeiter vor Eingabe aber dennoch die erforderlichen Informationen nach Art. 13 DSGVO zur Verfügung gestellt werden. Zudem muss die Einwilligung freiwillig erfolgen. Das heißt, dass der Mitarbeiter eine echte Wahl haben muss, diese Kontaktdaten nicht anzugeben und dennoch seine Arbeit ausüben zu können. Eine Alternative ist bspw. die Verwendung einer Authentifikations-App, die Nutzung von VPN oder das zur Verfügung stellen von dienstlichen Kontaktdaten.
Ergänzender Hinweis
Unabhängig davon, welche Varianten gewählt werden, müssen die Betroffenen nach Art. 13 DSGVO über die Datenverarbeitung informiert werden. Dies kann im Falle der Verwendung dienstlicher Kontaktdaten z. B. allgemein in Beschäftigtenhinweisen erfolgen.
Daneben ist zu prüfen, ob beim Einsatz einer App ggf. die Speicherung von personenbezogenen Daten durch den App-Betreiber erfolgt. In diesem Fall dürfte ein AV-Vertrag nach Art. 28 DSGVO zu schließen sein.
Zudem dürfen die privaten Kontaktdaten nicht zu anderen Zwecken verwendet werden, als die der Verifizierung. Sind weitere Zwecke gewünscht, müssen dafür separate Einwilligungserklärungen eingeholt werden.