Das Auskunftsrecht nach der DSGVO ist nicht nur für Verbraucher eine feine Sache, sondern — weil Firmen bisweilen nicht so genau hinschauen, wem sie die Daten eigentlich schicken — auch für Cyberkriminelle.
Mit der EU-Datenschutzgrundverordnung wurden nicht nur die Anforderungen an Unternehmen im Umgang mit personenbezogenen Daten erhöht, sondern auch die Betroffenenrechte gestärkt. Verbraucher, die wissen wollen, ob und welche persönlichen Daten ein Unternehmen von ihnen gespeichert hat, können eine Auskunft darüber anfordern. Binnen eines Monats müssen sie diese erhalten — inklusive Informationen zum Verarbeitungszweck, zur geplanten Speicherdauer und zur Herkunft der Daten. Allerdings geben Firmen diese Informationen allzu häufig heraus, ohne die Identität des Anfragenden ausreichend zu prüfen.
Bei einem spontanen Test hat sich folgendes Bild ergeben. 23 Prozent der angeschriebenen Organisationen reagierten gar nicht erst, fünf Prozent erklärten, die DSGVO betreffe sie als amerikanische Unternehmen nicht und sie müssten EU-Bürgern keine Auskunft erteilen. Von den Firmen, die auf die Anfrage reagierten, rückten erstaunlicherweise 24 Prozent die persönlichen Daten ohne weitere Nachfragen heraus. 16 Prozent verlangten nach einem schwachen Identitätsnachweis, der einfach zu liefern war, etwa die schriftliche Versicherung, tatsächlich die betroffene Person zu sein.
Cyberkriminelle, die ebenso vorgehen würden, könnten sich auf diese Weise eine Vielzahl persönlicher Daten sichern, um sich andernorts für die betreffende Person auszugeben und womöglich dort weitere Daten abgreifen, weil sie mehr und mehr Detailwissen anhäufen. Mit einer solchen Anfrage über die persönlichen Daten gelangt man leicht an Einkaufshistorien, Telefonnummern, Adressen und Standortdaten. Bei dieser spontanen Anfrage lieferte die Unternehmen gar die vollständige Sozialversicherungsnummer der Verlobten, während andere Teile der Kreditkartennummer heraus — nicht genug, um sie vollständig zusammenzusetzen, womöglich aber ausreichend, um sich mit einzelnen Ziffern, dem Ablaufdatum und der ausstellenden Bank gegenüber einer anderen Firma erfolgreich auszuweisen. Leider macht die DSGVO keine Vorgaben, wie Unternehmen die Identität von EU-Bürgern bei Datenschutzauskünften prüfen sollen.
Möglichkeiten gibt es viele — von der Abfrage zusätzlicher Daten wie Geburtsdatum und Anschrift (die meist nicht wirklich geheim sind) bis zum Post-Ident-Verfahren. Am praktikabelsten dürfte meist die Identifizierung über ein bestehendes Nutzerkonto sein; praktikabler wahrscheinlich als eine Ausweiskopie, die über einen sicheren Zugangsweg und nicht via unverschlüsselter Mail übermittelt werden müsste.
Kommentare
Kommentar veröffentlichen