Die 2-Faktor-Authentifizierung (kurz: 2FA; vgl. auch die Definition in § 1 Nr. 24 ZAG) gilt zu Recht als bewährte Maßnahme zur Erhöhung der Datensicherheit (Art. 32 DSGVO). Sie wird üblicherweise eingesetzt, um die Zugangsdaten (i.d.R. bestehend aus Nutzername und Passwort) um einen weiteren Faktor zu ergänzen. Letzterer besteht meist aus einem sich verändernden Code, der entweder per E-Mail vom Server des jeweiligen Anbieters verschickt wird oder aber von einem Soft- oder Hardwaretoken generiert wird. Auch eine zusätzliche biometrische Freischaltung auf dem jeweiligen Endgerät ist als zweiter Faktor möglich.
Es gibt nun eine Variante der 2FA, die sich gerade von Anbieterseite steigender Beliebtheit erfreut, aber besonders diskutabel ist: Die entsprechende Freigabe bzw. der Einmalcode wird nur über eine eigene, proprietäre App des jeweiligen Anbieters bereitgestellt. So ist beispielsweise der 2-Faktor-Zugang zu einem Portal eines Direktversicherers nur über die entsprechende App desselben für iOS oder Android verfügbar. Alternativen wie etwa über ein standardisiertes Software-Token (sog. Authenticator-Apps) werden nicht angeboten. Die Nutzer:innen sind somit gezwungen, die jeweilige App zu nutzen um ein entsprechendes Maß an Datensicherheit zu erreichen bzw. teilweise verweigern die jeweiligen Anbieter die Nutzung ihrer Dienste ohne diese 2FA per se.
Diese Praxis ist datenschutzrechtlich kritisch zu sehen: Die 2FA ist eine sinnvolle technische Maßnahme im Sinne des Art. 32 Abs. 1 DSGVO und entspricht dem Stand der Technik. Aus dem Erfordernis der Geeignetheit bzw. der Angemessenheit dieser Maßnahmen ist jedoch auch abzuleiten, dass Maßnahmen, die zusätzliche personenbezogene Daten verarbeiten (z.B. auch Logdateien über das Verhalten von Nutzer:innen), ihrerseits erforderlich sein müssen, d.h. es darf kein milderes, gleichermaßen wirksames Mittel zur Verfügung stehen.
Ebendies muss in den Fällen der 2FA ausschließlich über eine eigene App des Anbieters aber bezweifelt werden. Durch ein standardisiertes Software-Token steht ein gleichermaßen wirksames Mittel zur Verfügung, welches aber im Sinne des Datenschutzes milder ist, da ohne die eigene App auch keine weiteren personenbezogenen Daten verarbeitet werden. Wird hingegen eine eigene App des Anbieters verwendet, ist zumeist auch ein personalisierender Login erforderlich und es werden weitere Daten wie Geräte-IDs, Telefonnummern und App-Interaktionen erhoben.
Fazit: Von der Praxis der 2FA ausschließlich mit der eigenen App ist daher dringend abzuraten. Stattdessen sollte zumindest als anzubietende Alternative auch auf die genannten standardisierten Token-Verfahren zurückgegriffen werden. Natürlich ist die Lösung (nur) mit der eigenen App für die Anbieter attraktiv: Oft sind in der App gleich noch Shop-Funktionalitäten integriert, sodass die Kundenbindung gestärkt werden kann. Mit Blick auf die DSGVO ist dieses Vorgehen aber aus den genannten Gründen mindestens rechtlich zweifelhaft.