Zahlreiche Firmen geben persönliche Daten ohne ausreichende Identitätskontrolle des Auskunftstellers heraus. Eine dementsprechende Studie hat Pavur jüngst auf der Hacker-Konferenz "Black Hat" in Las Vegas vorgestellt. Der Oxford-Student musste lediglich eine E-Mail-Adresse mit dem Namen seiner Verlobten anlegen, um – mit ihrer Zustimmung – an zahlreiche persönliche Daten zu gelangen.
Ein Auskunftsrecht gehört zu einer der zahlreichen Bestimmungen der DSGVO. Privatleute haben Anspruch darauf zu erfahren, welche personenbezogenen Daten Unternehmen über sie speichern. Dabei kann es sich von der Kreditkartennummer bis hin zu Chatprotokollen um nahezu alle möglichen Informationen handeln.
Unter Berufung auf dieses Recht hat Pavur mittels der gefälschten E-Mail-Adresse eine standardisierte Anfrage an 150 Firmen geschickt. "Es hat nur ein paar Minuten gedauert", so Pavur. In den Mails gab er lediglich weitere öffentlich zugängliche Daten seiner Verlobten als Signatur an. Das Ergebnis: Von 83 Unternehmen, die ihm antworteten, verschickten 24 Prozent die gewünschten Daten ohne jede weitere Identitätsprüfung.
Darunter: eine britische Hotelkette, die eine vollständige Auflistung der Übernachtungen seiner Partnerin schickte, zwei Bahnfirmen, die Angaben über alle über Jahre hinweg getätigten Fahrten zur Verfügung stellten und ein US-amerikanisches Bildungsunternehmen, das ihre High-School-Noten, den Mädchennamen der Mutter sowie ein polizeiliches Führungszeugnis preisgab.
Datenschützern ist die Problematik nicht neu. "Das Thema ist bekannt, sagt der baden-württembergische Landesdatenschutzbeauftragte Stefan Brink dieser Zeitung. Im Prinzip handele es sich um Datendiebstahl, wenn eine Person die DSGVO auf diese Art und Weise missbraucht.
Keine Schwachstelle im Gesetz
Eine strukturelle Schwachstelle des Gesetzestextes kann sein Kollege Jürgen Müller allerdings nicht erkennen. "Alle datenverarbeitenden Stellen haben bei der Erfüllung von Auskunftsersuchen sicherzustellen, dass die Daten nur an berechtigte Empfänger übermittelt werden", sagte der stellvertretende Bundesdatenschutzbeauftragte dieser Zeitung. "Insofern handelt es sich bei der aktuellen Diskussion nicht um ein Thema, dass die DSGVO mit sich gebracht hat."
Hilfreicher hätte die DSGVO jedoch durchaus sein können, räumt Brink ein. Etwa "indem sie Standards setzt, wie Unternehmen die Identität prüfen müssen, zum Beispiel mit Ausweiskopie oder persönlichen Daten".
Brink beobachtet, dass vor allem kleinere Firmen, die keine standardisierten Abläufe für Auskunftsanfragen entwickelt haben, zeitlich oft unter Druck stehen. "Die Unternehmen haben ein Problem, weil sie schnell reagieren müssen und stehen dann vor der Wahl: Entweder sie prüfen die Identität des Antragstellers nicht so genau oder sie reißen womöglich die Frist von einem Monat, was ebenfalls ein Bußgeldtatbestand ist." Häufig sei zudem der Datenschutzbeauftragte eines Unternehmens mit solchen Anfragen beauftragt, was eigentlich nicht in sein Aufgabengebiet fällt.
Müller warnt dennoch vor zu viel Schludrigkeit: "Auf jeden Fall wäre es falsch, aus Angst vor Bußgeldern wegen Nichterfüllung einer Auskunftspflicht nach der DSGVO, voreilig und ungeprüft personenbezogene Daten zu übermitteln." Denn die Übermittlung an unberechtigte Dritte stelle einen noch schwerwiegenderen Verstoß dar.

Strafe in Millionenhöhe angekündigt

Bei schweren Verstößen gegen den Datenschutz müssen Firmen mit empfindlichen Strafen rechnen. Das Land Berlin etwa will ein Bußgeld in Millionenhöhe verhängen. Die Strafe könne sogar einen zweistelligen Millionenbetrag erreichen, sagte eine Behördensprecherin. Um welches Unternehmen es sich handelt ist noch unklar. Zuvor schon hatte Berlin zwei Bußgeldbescheide gegen ein Unternehmen in Höhe von insgesamt 200 000 Euro verhängt.

Bislang haben die Datenschutzbeauftragten deutlich geringere Bußgelder verhängt. An der Spitze standen Baden-Württemberg und Berlin mit jeweils 50 000 Euro. Im Südwesten waren Gesundheitsdaten im Internet gelandet. dpa