Datendiebstahl per Datenschutzauskunft

Das Auskunftsrecht nach der DSGVO ist nicht nur für Verbraucher eine feine Sache, sondern – weil Firmen bisweilen nicht so genau hinschauen, wem sie die Daten eigentlich schicken – auch für Cyberkriminelle.

Mit der EU-Datenschutzgrundverordnung wurden nicht nur die Anforderungen an Unternehmen im Umgang mit personenbezogenen Daten erhöht, sondern auch die Betroffenenrechte gestärkt. Verbraucher, die wissen wollen, ob und welche persönlichen Daten ein Unternehmen von ihnen gespeichert hat, können eine Auskunft darüber anfordern. Binnen eines Monats müssen sie diese erhalten – inklusive Informationen zum Verarbeitungszweck, zur geplanten Speicherdauer und zur Herkunft der Daten.

Allerdings geben Firmen diese Informationen allzu häufig heraus, ohne die Identität des Anfragenden ausreichend zu prüfen, wie der britische Student James Pavur kürzlich auf der Sicherheitskonferenz »Black Hat« zeigte. Er hatte mehr als 150 Organisationen angeschrieben und eine Datenschutzauskunft verlangt – im Namen seiner Verlobten. 23 Prozent der angeschriebenen Organisationen reagierten gar nicht erst, 5 Prozent erklärten, die DSGVO betreffe sie als amerikanische Unternehmen nicht und sie müssten EU-Bürgern keine Auskunft erteilen. Von den Firmen, die auf die Anfrage reagierten, rückten erstaunlicherweise 24 Prozent die persönlichen Daten ohne weitere Nachfragen heraus. 16 Prozent verlangten nach einem schwachen Identitätsnachweis, der einfach zu liefern war, etwa die schriftliche Versicherung tatsächlich die betroffene Person zu sein.

Cyberkriminelle, die ebenso vorgehen würden, könnten sich auf diese Weise eine Vielzahl persönlicher Daten sichern, um sich andernorts für die betreffende Person auszugeben und womöglich dort weitere Daten abzugreifen, weil sie mehr und mehr Detailwissen anhäufen. Pavur gelangte mit seinen Anfragen etwa an Einkaufshistorien, Telefonnummern, Adressen und Standortdaten. Eine Organisation lieferte gar die vollständige Sozialversicherungsnummer seiner Verlobten, während andere Teile der Kreditkartennummer herausgaben – nicht genug, um sie vollständig zusammenzusetzen, womöglich aber ausreichend, um sich mit einzelnen Ziffern, dem Ablaufdatum und der ausstellenden Bank gegenüber einer anderen Firma erfolgreich auszuweisen.

Leider macht die DSGVO keine Vorgaben, wie Unternehmen die Identität von EU-Bürgern bei Datenschutzauskünften prüfen sollen. Möglichkeiten gibt es viele – von der Abfrage zusätzlicher Daten wie Geburtsdatum und Anschrift (die meist nicht wirklich geheim sind) bis zum Post-Ident-Verfahren. Am praktikabelsten dürfte meist die Identifizierung über ein bestehendes Nutzerkonto sein; praktikabler wahrscheinlich als eine Ausweiskopie, die über einen sicheren Zugangsweg und nicht via unverschlüsselter E-Mail übermittelt werden müsste.