https://www.faz.net/-gqe-9q1gs

DSGVO : Wenn private Daten an den Falschen gehen

Persönliche Daten können gerade wegen der Datenschutzgrundverordnung leicht an Dritte gelangen. Bild: dpa

Seit der Datenschutzgrundverordnung müssen Unternehmen auf Anfrage gespeicherte Daten herausgeben – doch die Identität des Abfragestellers wird nicht immer geprüft.

          Zu den Albträumen eines Intensivnutzers des Internets gehört wohl, dass das gesamte digitale Ich in falsche Hände gerät. Jetzt stellt sich heraus, dass die seit Mai 2018 greifende Datenschutzgrundverordnung genau diese Gefahr deutlich erhöht. Auf der Hacker-Konferenz Black Hat in Las Vegas hat der Doktorand James Pavur von der Universität in Oxford vor neuen Verwundbarkeiten durch die Auskunftsrechte der DSGVO gewarnt.

          Hendrik Wieduwilt

          Redakteur der Wirtschaft in Berlin, zuständig für „Recht und Steuern“.

          Indem er 150 DSGVO-Anfragen verschickte, ergatterte er Kreditkartendaten, Geburtsdaten, Passwörter und Sozialversicherungsnummern seiner (eingeweihten) Verlobten. Das Datenschutzrecht mache es ihm leicht, Unternehmen zu überlisten: Diese müssen nämlich innerhalb eines Monats antworten, sonst drohen hohe Geldbußen, schreibt Pavur in einer Analyse.

          Identität muss festgestellt werden 

          Zudem träfen die Anfragen auf Angestellte aus der Verwaltung oder der Rechtsabteilung – dort seien Informationen „viel leichter“ herauszukitzeln, als bei Sicherheitsfachleuten. Man müsse Unternehmen die Angst nehmen, durch Ablehnung verdächtiger Anfragen Bußgelder zu riskieren, rät er.

          Der baden-württembergische Datenschutzbeauftragte Stefan Brink nennt das Problem „naheliegend und bekannt“. Unternehmen müssten doppelt aufpassen: Sie seien verpflichtet, umfangreich über gespeicherte Daten Auskunft zu geben. Zugleich müssten sie die Identität feststellen. „Wir haben erlebt, dass Unternehmen aufs Kreuz gelegt werden sollten“, warnt Brink, „jemand hat versucht, Daten einer anderen Person zu erheben“.

          Unternehmen wollen Datenpannen vermeiden

          Die Unternehmen stünden zwischen Skylla und Charybdis: Sie müssen die Anfrage schnell beantworten, doch wenn die Daten an den falschen gehen ist das eine Datenpanne – das löst Auskunftspflichten an Behörden sowie an die richtige Person aus „und das ist natürlich sehr peinlich und Anlass für eine Aufsichtsbehörde, Bußgelder zu verhängen“, sagt Brink. Diese Gefahr ist real: 1700 Aufnahmen des Sprachassistenten Alexa schickte Amazon Ende vergangenen Jahres versehentlich an den falschen Nutzer – darunter Geräusche aus Bad und Schlafzimmer.

          Auch Vertretungskonstellationen, etwa wenn Betreuer Daten herausverlangen oder Eheleute füreinander Daten verlangen, seien schwierig. Dann müssten Unternehmen um Vollmachten bitten. Brink empfiehlt, innerhalb des Firmennetzwerks Auskunft zu geben. Soziale Netzwerke stellten die angeforderten Daten etwa innerhalb des Kontos bereit. Das Post-Ident-Verfahren – Nutzer zeigen dazu ihren Ausweis bei der Post vor – sei gut, einfacher das Zeigen des Ausweises per Video. Bei Letzterem werde aber das Verfahren beim Anbieter gespeichert, „was wieder ein neues Angriffsszenario schafft“.

          Wenn Unternehmen Ausweiskopien verlangen, rät Brink zum händischen Schwärzen etwa des Fotos – das Unternehmen müsse zudem danach nicht mehr benötigte Daten wieder löschen. Der Ausweis birgt allerdings noch weitere Rechtsrisiken: Der Verbraucherzentrale Bundesverband führt nach F.A.Z.-Informationen ein Verfahren gegen ein Unternehmen, weil es eine Ausweiskopie verlangte, obwohl die Anfrage von einer bekannten E-Mail-Adresse oder aus dem passwortgeschützten Kundenkonto geführt wurde.

          Weitere Themen

          Topmeldungen

          Immer mehr, immer größer, immer schneller: Autos auf den Straßen von Berlin.

          Wandel der Mobilität : Augen auf vorm Autokauf!

          Ob Auto, Bahn oder Fahrrad – Mobilität ist individuell und abhängig von Bedürfnissen und Lebensumständen. Doch jeder sollte bereit sein, sich zu hinterfragen.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.