https://www.faz.net/-gqe-9q1gs

DSGVO : Wenn private Daten an den Falschen gehen

  • -Aktualisiert am

Bild: dpa

Seit der Datenschutzgrundverordnung müssen Unternehmen auf Anfrage gespeicherte Daten herausgeben – doch die Identität des Abfragestellers wird nicht immer geprüft.

          2 Min.

          Zu den Albträumen eines Intensivnutzers des Internets gehört wohl, dass das gesamte digitale Ich in falsche Hände gerät. Jetzt stellt sich heraus, dass die seit Mai 2018 greifende Datenschutzgrundverordnung genau diese Gefahr deutlich erhöht. Auf der Hacker-Konferenz Black Hat in Las Vegas hat der Doktorand James Pavur von der Universität in Oxford vor neuen Verwundbarkeiten durch die Auskunftsrechte der DSGVO gewarnt.

          Indem er 150 DSGVO-Anfragen verschickte, ergatterte er Kreditkartendaten, Geburtsdaten, Passwörter und Sozialversicherungsnummern seiner (eingeweihten) Verlobten. Das Datenschutzrecht mache es ihm leicht, Unternehmen zu überlisten: Diese müssen nämlich innerhalb eines Monats antworten, sonst drohen hohe Geldbußen, schreibt Pavur in einer Analyse.

          Identität muss festgestellt werden 

          Zudem träfen die Anfragen auf Angestellte aus der Verwaltung oder der Rechtsabteilung – dort seien Informationen „viel leichter“ herauszukitzeln, als bei Sicherheitsfachleuten. Man müsse Unternehmen die Angst nehmen, durch Ablehnung verdächtiger Anfragen Bußgelder zu riskieren, rät er.

          Der baden-württembergische Datenschutzbeauftragte Stefan Brink nennt das Problem „naheliegend und bekannt“. Unternehmen müssten doppelt aufpassen: Sie seien verpflichtet, umfangreich über gespeicherte Daten Auskunft zu geben. Zugleich müssten sie die Identität feststellen. „Wir haben erlebt, dass Unternehmen aufs Kreuz gelegt werden sollten“, warnt Brink, „jemand hat versucht, Daten einer anderen Person zu erheben“.

          Unternehmen wollen Datenpannen vermeiden

          Die Unternehmen stünden zwischen Skylla und Charybdis: Sie müssen die Anfrage schnell beantworten, doch wenn die Daten an den falschen gehen ist das eine Datenpanne – das löst Auskunftspflichten an Behörden sowie an die richtige Person aus „und das ist natürlich sehr peinlich und Anlass für eine Aufsichtsbehörde, Bußgelder zu verhängen“, sagt Brink. Diese Gefahr ist real: 1700 Aufnahmen des Sprachassistenten Alexa schickte Amazon Ende vergangenen Jahres versehentlich an den falschen Nutzer – darunter Geräusche aus Bad und Schlafzimmer.

          Auch Vertretungskonstellationen, etwa wenn Betreuer Daten herausverlangen oder Eheleute füreinander Daten verlangen, seien schwierig. Dann müssten Unternehmen um Vollmachten bitten. Brink empfiehlt, innerhalb des Firmennetzwerks Auskunft zu geben. Soziale Netzwerke stellten die angeforderten Daten etwa innerhalb des Kontos bereit. Das Post-Ident-Verfahren – Nutzer zeigen dazu ihren Ausweis bei der Post vor – sei gut, einfacher das Zeigen des Ausweises per Video. Bei Letzterem werde aber das Verfahren beim Anbieter gespeichert, „was wieder ein neues Angriffsszenario schafft“.

          Wenn Unternehmen Ausweiskopien verlangen, rät Brink zum händischen Schwärzen etwa des Fotos – das Unternehmen müsse zudem danach nicht mehr benötigte Daten wieder löschen. Der Ausweis birgt allerdings noch weitere Rechtsrisiken: Der Verbraucherzentrale Bundesverband führt nach F.A.Z.-Informationen ein Verfahren gegen ein Unternehmen, weil es eine Ausweiskopie verlangte, obwohl die Anfrage von einer bekannten E-Mail-Adresse oder aus dem passwortgeschützten Kundenkonto geführt wurde.

          Weitere Themen

          Die Royals besuchen Jordanien  Video-Seite öffnen

          Charles und Camilla : Die Royals besuchen Jordanien

          Zuletzt hatte es Spekulationen über eine schwere Erkrankung von Charles Mutter, der Queen gegeben. Doch der Thronfolger trat die Auslandsreise an, was als Zeichen dafür gewertet wird, dass es der Queen nicht wirklich schlecht geht.

          Topmeldungen

          Särge mit Corona-Opfern in Johannesburg, Südafrika

          Omikron-Mutation B.1.1.529 : Im Variantenschock

          Die Delta-Variante macht gerade Europa den Winter zur Hölle. Aber all das könnte von einer neuen drohenden Viruswelle in den Schatten gestellt werden.
          Stellt sich der Kritik: Olaf Scholz am Samstag bei Juso-Bundeskongress in Frankfurt

          Kritik der SPD-Jugend : Muss Olaf Scholz die Jusos fürchten?

          Die Jusos kritisieren den Ampel-Vertrag deutlich. Die Asylpolitik finden sie „scheiße“. Der künftige Kanzler Olaf Scholz hält dagegen: „Wir können was Großes zustande bringen.“

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.