https://www.faz.net/-gqe-9q1gs

DSGVO : Wenn private Daten an den Falschen gehen

Bild: dpa

Seit der Datenschutzgrundverordnung müssen Unternehmen auf Anfrage gespeicherte Daten herausgeben – doch die Identität des Abfragestellers wird nicht immer geprüft.

          2 Min.

          Zu den Albträumen eines Intensivnutzers des Internets gehört wohl, dass das gesamte digitale Ich in falsche Hände gerät. Jetzt stellt sich heraus, dass die seit Mai 2018 greifende Datenschutzgrundverordnung genau diese Gefahr deutlich erhöht. Auf der Hacker-Konferenz Black Hat in Las Vegas hat der Doktorand James Pavur von der Universität in Oxford vor neuen Verwundbarkeiten durch die Auskunftsrechte der DSGVO gewarnt.

          Hendrik Wieduwilt

          Redakteur der Wirtschaft in Berlin, zuständig für „Recht und Steuern“.

          Indem er 150 DSGVO-Anfragen verschickte, ergatterte er Kreditkartendaten, Geburtsdaten, Passwörter und Sozialversicherungsnummern seiner (eingeweihten) Verlobten. Das Datenschutzrecht mache es ihm leicht, Unternehmen zu überlisten: Diese müssen nämlich innerhalb eines Monats antworten, sonst drohen hohe Geldbußen, schreibt Pavur in einer Analyse.

          Identität muss festgestellt werden 

          Zudem träfen die Anfragen auf Angestellte aus der Verwaltung oder der Rechtsabteilung – dort seien Informationen „viel leichter“ herauszukitzeln, als bei Sicherheitsfachleuten. Man müsse Unternehmen die Angst nehmen, durch Ablehnung verdächtiger Anfragen Bußgelder zu riskieren, rät er.

          Der baden-württembergische Datenschutzbeauftragte Stefan Brink nennt das Problem „naheliegend und bekannt“. Unternehmen müssten doppelt aufpassen: Sie seien verpflichtet, umfangreich über gespeicherte Daten Auskunft zu geben. Zugleich müssten sie die Identität feststellen. „Wir haben erlebt, dass Unternehmen aufs Kreuz gelegt werden sollten“, warnt Brink, „jemand hat versucht, Daten einer anderen Person zu erheben“.

          Unternehmen wollen Datenpannen vermeiden

          Die Unternehmen stünden zwischen Skylla und Charybdis: Sie müssen die Anfrage schnell beantworten, doch wenn die Daten an den falschen gehen ist das eine Datenpanne – das löst Auskunftspflichten an Behörden sowie an die richtige Person aus „und das ist natürlich sehr peinlich und Anlass für eine Aufsichtsbehörde, Bußgelder zu verhängen“, sagt Brink. Diese Gefahr ist real: 1700 Aufnahmen des Sprachassistenten Alexa schickte Amazon Ende vergangenen Jahres versehentlich an den falschen Nutzer – darunter Geräusche aus Bad und Schlafzimmer.

          Auch Vertretungskonstellationen, etwa wenn Betreuer Daten herausverlangen oder Eheleute füreinander Daten verlangen, seien schwierig. Dann müssten Unternehmen um Vollmachten bitten. Brink empfiehlt, innerhalb des Firmennetzwerks Auskunft zu geben. Soziale Netzwerke stellten die angeforderten Daten etwa innerhalb des Kontos bereit. Das Post-Ident-Verfahren – Nutzer zeigen dazu ihren Ausweis bei der Post vor – sei gut, einfacher das Zeigen des Ausweises per Video. Bei Letzterem werde aber das Verfahren beim Anbieter gespeichert, „was wieder ein neues Angriffsszenario schafft“.

          Wenn Unternehmen Ausweiskopien verlangen, rät Brink zum händischen Schwärzen etwa des Fotos – das Unternehmen müsse zudem danach nicht mehr benötigte Daten wieder löschen. Der Ausweis birgt allerdings noch weitere Rechtsrisiken: Der Verbraucherzentrale Bundesverband führt nach F.A.Z.-Informationen ein Verfahren gegen ein Unternehmen, weil es eine Ausweiskopie verlangte, obwohl die Anfrage von einer bekannten E-Mail-Adresse oder aus dem passwortgeschützten Kundenkonto geführt wurde.

          Weitere Themen

          Bis zu 6300 Euro Entschädigung für VW-Kunden Video-Seite öffnen

          Dieselskandal : Bis zu 6300 Euro Entschädigung für VW-Kunden

          Die Einigung von VW und Verbraucherzentrale Bundesverband (vzbv) im Dieselstreit sieht auch weiterhin ein Vergleichsangebot in Höhe von 830 Millionen Euro vor. Kunden, die sich in das Klageregister eingetragen haben, bietet VW eine Einmalzahlung an.

          Wenn das mal gut geht

          Coronavirus in Amerika : Wenn das mal gut geht

          Das Coronavirus stellt Amerikas Gesundheitssystem auf eine schwere Probe. Testkits taugen nichts – und viele Amerikaner können sie sich ohnehin nicht leisten.

          Topmeldungen

          Trump während seiner Pressekonferenz im Weißen Haus zum Coronavirus.

          Coronavirus in Amerika : Wenn das mal gut geht

          Das Coronavirus stellt Amerikas Gesundheitssystem auf eine schwere Probe. Testkits taugen nichts – und viele Amerikaner können sie sich ohnehin nicht leisten.
          Was nun?

          Scherbaums Börse : Was können Anleger jetzt tun?

          Das Coronavirus dominiert das Geschehen an den Börsen. Die heftigen Kursverluste von Aktien und der im Gegenzug gestiegene Goldpreis überrascht Experten nicht. Und nun?

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.