Missbrauch der DSGVO-Auskunftsrechte

Guido Kluck, LL.M. | 4. Oktober 2019

Die DSGVO soll den Datenschutz in der EU vereinheitlichen, doch sie ermöglicht auch den Missbrauch der personenbezogenen Daten. Das Recht auf Auskunft, Berichtigung und Löschung kann nämlich bei vielen Unternehmen für einen Datendiebstahl ausgenutzt werden, da diese keine ausreichende Identitätskontrolle durchführen.

Welche Rechte hat man durch die DSGVO?

Die DSGVO verlangt nicht nur nach einem gerechtfertigten Grund für die Verarbeitung und Speicherung von Daten (Art. 6 DSGVO), sondern gibt Personen, von denen Daten gespeichert sind, unter anderem auch das Recht eine Auskunft über diese zu bekommen (Art. 15 DSGVO), die Daten berichtigten zu lassen (Art. 16 DSGVO) und die Daten löschen zu lassen (Art. 17 DSGVO).

Warum ist der Missbrauch der DSGVO-Rechte so leicht?

Gelangen Unbefugte an private Daten anderer Personen, kann dies schwere Konsequenzen für diese mit sich bringen. Schließlich bekommen die Unbefugten eine Übersicht sämtlicher gespeicherter Daten – ein Identitätsdiebstahl und Missbrauch der Daten ist dann nicht mehr aufzuhalten. Außerdem ist die Privatsphäre der Personen betroffen, da offengelegt wird, wo sie sich überall registriert haben.

Die DSGVO gibt keine Vorgaben

Das Problem ist einerseits, dass die DSGVO selbst keine klaren Anforderungen an eine Identitätskontrolle stellt. In Artikel 12 Absatz 6 steht lediglich:

Hat der Verantwortliche begründete Zweifel an der Identität der natürlichen Person, die den Antrag gemäß den Artikeln 15 bis 21 stellt, so kann er unbeschadet des Artikels 11 zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.

Daten werden vorschnell rausgegeben

Das andere Problem sind die Verantwortlichen der Datenverarbeitung. Sie geben die Daten oft viel zu schnell und einfach heraus. Auf der Sicherheitskonferenz namens „Black Hat“ in Las Vegas berichtet James Pavur über einen Selbsttest. Er beschreibt wie leicht er an die bei Unternehmen hinterlegten Daten seiner Freundin gekommen ist. Er legte sich eine E-Mail-Adresse an, die ihren Namen enthält und stellte Auskunftsanfragen an 150 Unternehmen, ohne zu wissen, ob seine Freundin dort Kunde ist/einen Account hat oder nicht. Knapp drei Viertel der Unternehmen antworteten auf seine Anfrage und knapp ein Viertel übermittelte die Daten ohne weitere Überprüfung der Identität. Drei Prozent löschten sogar den Account, weil sie die Anfrage offensichtlich falsch verstanden haben…

Identitätskontrolle gegen Missbrauch

In einer Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg wird erklärt, dass sich die Anfragen der verantwortlichen datenverarbeitenden Personen häufen und eine große Unsicherheit herrscht, wie auf Auskunfts- Berichtigungs- und Löschungsanfragen richtig reagiert werden muss.

Der Grundsatz lautet: Je sensibler die Daten, desto höher müssen die Schutzmaßnahmen sein.

In der Pressemitteilung werden als Maßnahmen zur Identitätsprüfung vorgeschlagen:

Abfrage weiterer Daten

Eine Möglichkeit ist die Abfrage weiterer Daten zur Identifizierung. Das kann zum Beispiel das Geburtsdatum sein oder auch die im zugehörigen Account hinterlegte E-Mail-Adresse oder Benutzerkennung. Problematisch ist allerdings, dass solche Daten, gerade das Geburtsdatum, von relativ vielen Personen gekannt werden – z. B. auch, weil sie bei Facebook und Co zu finden sind. Vor allem bei sensiblen Daten ist die Abfrage allgemeiner persönlicher Daten daher nicht ausreichend.

Ausweisdokument

Alternativ kommt die Übermittlung eines Ausweisdokuments in Betracht. Dabei sind aber einige Regeln zu beachten. Nach dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) kann die Anforderung eines Ausweises oder ähnlichem Dokument als Legitimationsmöglichkeit in Betracht kommen, sofern diese sicher übermittelt wird, nur die benötigten Daten angefordert werden und die Daten des Ausweises nur für den Abgleich der Identität verwendet werden.

Das bedeutet: Fordert ein Unternehmen eine Ausweiskopie an, darf der Betroffene alle Daten auf dem Ausweis außer seinem Namen, Geburtsdatum und der Adresse schwärzen. Falls dabei Daten sind, die das Unternehmen vorher nicht kannte, darf es diese nicht übernehmen. Außerdem müssen sie einen sicheren Übertragungsweg wählen – z.B. per Post oder über eine Ende-zu-Ende-Verschlüsselung per Mail oder eine HTTPS-geschützte Webseite zum Upload.

eIDAS

Die eIDAS-Verordnung enthält Regelungen zur elektronischen Identifizierung und damit eingeführte Systeme, denen die Verantwortlichen vertrauen dürfen. Dazu gehören z.B. die Online-Funktion des Personalausweises oder die De-Mail.

Post- und Video-Ident

Außerdem ist eine Validierung der Person über das Post- bzw. Video-Ident-Verfahren möglich, das die meisten schon von Kontoeröffnungen kennen. Dabei wird in einer Postfiliale oder bei Video-Chat ein Bild des Ausweises gemacht und an den Empfänger übermittelt. Dieses Verfahren können auch die Verantwortlichen selbst durchführen.

Nutzerkonto

Schließlich ist noch die Identifizierung über das Nutzerkonto möglich. Wer die Anfrage über sein Nutzerkonto absendet, braucht keine weitere Identifizierung durchzuführen. Das stellt eine für beide Seiten einfache Methode dar.

Fazit

Zusammenfassend kann festgehalten werden, dass es verschiedene Möglichkeiten zur sicheren Identifizierung der Personen gibt. Welche davon die richtige ist, hängt von der Art der Daten und dem Unternehmen ab. Dabei spielt sicherlich das Aufwand-Nutzen-Verhältnis eine recht große Rolle. Es sollte aber nicht vergessen werden, dass es sich um sensible Daten handelt, die durch die DSGVO geschützt werden sollen und nicht für jedermann zum Missbrauch offengelegt.

Bei Fragen zum Datenschutzrecht können Sie sich gerne an unsere Kanzlei wenden. Wir helfen Ihnen kompetent und umfassend bei allen Belangen rund um die DSGVO.

Wir bieten unter anderem ein DSGVO Website Update zum Festpreis und einen Online-Fragebogen an, mit dem Sie erfahren, ob Ihr Unternehmen fit im Bereich DSGVO ist.

Jetzt teilen:

Guido Kluck, LL.M.

Rechtsanwalt Guido Kluck LL.M. ist Partner der Kanzlei LEGAL SMART am Standort Berlin. Er ist Ansprechpartner für das Recht der neuen Medien sowie für die Bereiche Wettbewerbsrecht, Markenrecht, Urheberrecht, IT-Recht, Vertragsrecht und das Datenschutzrecht (DSGVO).

ÜBER DIESEN AUTOR ARTIKEL VON DIESEM AUTOR

Das könnte Sie auch interessieren

Holen Sie sich Unterstützung

SIE HABEN NOCH FRAGEN?

Online Termin vereinbaren

Buchen Sie direkt online Ihren Termin für eine kostenlose Erstberatung. Der für Sie zuständige Rechtsanwalt wird Sie dann zu dem von Ihnen ausgewählten Termin anrufen.

Antworten per WhatsApp

LEGAL SMART beantwortet rechtliche Fragen auch per WhatsApp. Schreiben Sie uns einfach an und stellen Sie Ihre Frage. Antworten gibt es anschließend direkt auf Ihr Handy.

LEGAL SMART Anwaltshotline

Viele Fragen lassen sich mit einem Profi in einem kurzen Gespräch rechtssicher klären. Mit der LEGAL SMART Anwaltshotline steht Ihnen unser Anwaltsteam für Ihre Fragen zur Verfügung. Bundesweite Beratung über die kostenlose Anwaltshotline unter 030 - 62 93 77 980.

LEGAL SMART RECHTSPRODUKTE

ANWALTLICHE LEISTUNG ZUM FESTPREIS

LEGAL SMART Rechtsprodukt Markenanmeldung EU
899,00 €

Markenanmeldung EU

Mit der EU Marke ist Ihre Marke europaweit geschützt und sichert Sie und Ihre Marke vor parallelen Marken in anderen europäischen Staaten. Nutzen Sie jetzt Ihre Chance auf Ihre EU Marke

LEGAL SMART Rechtsprodukt Anwaltliche Erstberatung
149,00 €

Anwaltliche Erstberatung

Lassen Sie sich umfassend und invidiuell beraten zu Ihrer rechtlichen Frage. Fast 85% aller rechtlichen Probleme lassen sich bereits mit der anwaltlichen Erstberatung klären.

MEHR PRODUKTE Anwaltliche Leistung zum Festpreis

LEGAL SMART Rechtsanwaltsgesellschaft mbH

LEGAL SMART ist die Legal Tech Kanzlei für wirtschaftsrechtliche Themen. Durch konsequente Prozessoptimierung interner und externer Prozesse bieten wir neue Lösungen für verschiedene Fragestellungen. So ist das Recht für jeden zugänglich; schnell, digital und trotzdem mit der Expertise und Kompetenz einer erfahrenen Wirtschaftsrechtskanzlei. Denn Legal Tech ist mehr als nur der Einsatz von Technologie. Legal Tech ist die Bereitstellung juristischer Kompetenz.