Vorsicht bei Auskunftsanfragen

13. August 2019
Vorsicht bei Auskunftsanfragen
13. August 2019

Die DSGVO verpflichtet Unternehmen und Vereine zur Herausgabe aller gespeicherten Daten mit Personenbezug auf Anfrage. Diese Vorschrift lässt sich auch zum Identitätsdiebstahl einsetzen.

Kunden, Nutzern und allen anderen Betroffenen wird somit seit Mai 2018 ein Recht auf Auskunft und ein Recht auf Datenportabilität garantiert. Doch zahlreiche Organisationen geben offenbar ohne ausreichende Identitätskontrolle personenbezogene Daten von Betroffenen heraus. Das geht aus einer Studie des britischen Studenten James Pavur hervor, die vergangene Woche auf der Sicherheitskonferenz Black Hat in Las Vegas vorgestellt wurde. Pavur nutzte in seiner Studie die DSGVO aus, um an personenbezogene Daten seiner Freundin zu gelangen.

Er gab sich als seine Freundin und Mitautorin Casey Knerr aus und legte sich einen neuen E-Mail-Account unter deren Namen zu. Dann verschickte er eine Standardanfrage an 150 Organisationen, wobei er nicht wusste, ob Knerr deren Dienste überhaupt einmal genutzt hatte. Dabei berief er sich auf das Auskunftsrecht nach der DSGVO und bat um die Herausgabe aller personenbezogenen Daten an die angegebene Adresse. In dem Anschreiben gab er jedoch nicht nur die Fake-Adresse an, sondern auch weitere, jedoch komplett öffentlich zugängliche, Daten von Knerr, um die Legitimität des Ersuchens zu erhöhen.

Keine Reaktion: Verstoß gegen die DSGVO

Laut Pavur reagierten immerhin 72 Prozent der angeschriebenen Organisationen auf die Anfrage. In 23 Prozent der Fälle erhielt er keine Antwort. Fünf Prozent der Anbieter wiesen das Auskunftsersuchen zurück, was einen Verstoß gegen die DSGVO darstellen würde. Darunter waren laut der Studie vier große Anbieter, die vor allem auf dem US-Markt aktiv sind. Deren Ansicht nach haben EU-Bürger kein Anrecht auf die Datenauskunft, was schlichtweg falsch ist.

Aus den ersten Antworten der Anbieter ging laut Pavur in zwei Drittel der Fälle immerhin hervor, ob von Knerr überhaupt Daten gespeichert waren. Darunter seien auch Dating-Plattformen gewesen. Selbst dieses Wissen kann für Betroffene schon unangenehm sein.

Keine Identitätskontrolle bei vielen Anbietern

Was noch erschreckender ist: 24 Prozent der Organisationen, die reagierten, übermittelten ohne weiteren Identitätscheck die gespeicherten Daten. Weitere 16 Prozent forderten einen schwachen Identitätscheck, der laut Pavur einfach zu umgehen gewesen wäre. Dazu zählten Geräte-Cookies oder eine schriftliche Erklärung, tatsächlich die betroffene Person zu sein. Fünf Prozent der Plattformen gaben an, keine Daten gespeichert zu haben, obwohl Knerr dort einen Account angelegt hatte. Was ärgerlich sein könnte: Drei Prozent verstanden die Anfrage falsch und löschten den Account, anstatt die Daten herauszugeben.

Unternehmen und Vereine sollten vorbereitet sein

Alle Unternehmen und Vereine, die personenbezogene Daten von EU-Bürgern verarbeiten sind zur Beantwortung von Betroffenenanfragen verpflichtet. Wichtig ist, dass sich die Person ausreichend zu identifizieren hat. Der Verantwortliche hat sicherzugehen, dass die Daten nur an die betreffende Person herauszugeben haben, sonst verstößt er gegen die DSGVO. Die Beantwortung muss innerhalb der Frist von einem Monat erfolgen. Nach Art. 12 Abs. 1 der Datenschutz-Grundverordnung können die Informationen schriftlich, auf elektronischem Wege oder, auf Verlangen der betroffenen Person, mündlich erteilt werden. Erfolgt die Auskunftserteilung mündlich, muss die Identität der betroffenen Person jedoch in anderer Form nachgewiesen werden.

Kommentare

  1. Konstantin Lindner

    26. August 2019 - 15:25

    Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore.

Kommentiere diesen Artikel

Top

Pin It on Pinterest