<iframe title="GTM" src="https://www.googletagmanager.com/ns.html?id=GTM-WBPR4W&gtm_auth=3wMU78FaVR9TNKtaXLbV8Q&gtm_preview=env-23&gtm_cookies_win=x" height="0" width="0" style="display:none;visibility:hidden"></iframe>
DSGVO

Wenn private Daten an den Falschen gehen

Von Hendrik Wieduwilt
 - 16:11
Persönliche Daten können gerade wegen der Datenschutzgrundverordnung leicht an Dritte gelangen.

Zu den Albträumen eines Intensivnutzers des Internets gehört wohl, dass das gesamte digitale Ich in falsche Hände gerät. Jetzt stellt sich heraus, dass die seit Mai 2018 greifende Datenschutzgrundverordnung genau diese Gefahr deutlich erhöht. Auf der Hacker-Konferenz Black Hat in Las Vegas hat der Doktorand James Pavur von der Universität in Oxford vor neuen Verwundbarkeiten durch die Auskunftsrechte der DSGVO gewarnt.

Indem er 150 DSGVO-Anfragen verschickte, ergatterte er Kreditkartendaten, Geburtsdaten, Passwörter und Sozialversicherungsnummern seiner (eingeweihten) Verlobten. Das Datenschutzrecht mache es ihm leicht, Unternehmen zu überlisten: Diese müssen nämlich innerhalb eines Monats antworten, sonst drohen hohe Geldbußen, schreibt Pavur in einer Analyse.

Identität muss festgestellt werden

Zudem träfen die Anfragen auf Angestellte aus der Verwaltung oder der Rechtsabteilung – dort seien Informationen „viel leichter“ herauszukitzeln, als bei Sicherheitsfachleuten. Man müsse Unternehmen die Angst nehmen, durch Ablehnung verdächtiger Anfragen Bußgelder zu riskieren, rät er.

Der baden-württembergische Datenschutzbeauftragte Stefan Brink nennt das Problem „naheliegend und bekannt“. Unternehmen müssten doppelt aufpassen: Sie seien verpflichtet, umfangreich über gespeicherte Daten Auskunft zu geben. Zugleich müssten sie die Identität feststellen. „Wir haben erlebt, dass Unternehmen aufs Kreuz gelegt werden sollten“, warnt Brink, „jemand hat versucht, Daten einer anderen Person zu erheben“.

Unternehmen wollen Datenpannen vermeiden

Die Unternehmen stünden zwischen Skylla und Charybdis: Sie müssen die Anfrage schnell beantworten, doch wenn die Daten an den falschen gehen ist das eine Datenpanne – das löst Auskunftspflichten an Behörden sowie an die richtige Person aus „und das ist natürlich sehr peinlich und Anlass für eine Aufsichtsbehörde, Bußgelder zu verhängen“, sagt Brink. Diese Gefahr ist real: 1700 Aufnahmen des Sprachassistenten Alexa schickte Amazon Ende vergangenen Jahres versehentlich an den falschen Nutzer – darunter Geräusche aus Bad und Schlafzimmer.

Auch Vertretungskonstellationen, etwa wenn Betreuer Daten herausverlangen oder Eheleute füreinander Daten verlangen, seien schwierig. Dann müssten Unternehmen um Vollmachten bitten. Brink empfiehlt, innerhalb des Firmennetzwerks Auskunft zu geben. Soziale Netzwerke stellten die angeforderten Daten etwa innerhalb des Kontos bereit. Das Post-Ident-Verfahren – Nutzer zeigen dazu ihren Ausweis bei der Post vor – sei gut, einfacher das Zeigen des Ausweises per Video. Bei Letzterem werde aber das Verfahren beim Anbieter gespeichert, „was wieder ein neues Angriffsszenario schafft“.

Wenn Unternehmen Ausweiskopien verlangen, rät Brink zum händischen Schwärzen etwa des Fotos – das Unternehmen müsse zudem danach nicht mehr benötigte Daten wieder löschen. Der Ausweis birgt allerdings noch weitere Rechtsrisiken: Der Verbraucherzentrale Bundesverband führt nach F.A.Z.-Informationen ein Verfahren gegen ein Unternehmen, weil es eine Ausweiskopie verlangte, obwohl die Anfrage von einer bekannten E-Mail-Adresse oder aus dem passwortgeschützten Kundenkonto geführt wurde.

Quelle: F.A.Z.
Autorenporträt / Wieduwilt, Hendrik
Hendrik Wieduwilt
Redakteur der Wirtschaft in Berlin, zuständig für „Recht und Steuern“.
  Zur Startseite