Recht auf Auskunft und Löschung personenbezogener Daten schwierig durchzusetzen – Anbieter häufig unkooperativ
Bonn, 4. April 2016 Bürgerinnen und Bürger sollen jederzeit die
Kontrolle über ihre Daten haben. Seit Erlass der europäischen
Datenschutzrichtlinie von 1995 sind Dienst-Anbieter unter anderem
verpflichtet, ihren Kunden Auskunft zu geben, welche Daten sie zu
welchem Zweck speichern, und diese auf Verlangen zu löschen.
Entsprechende Regelungen finden sich u.a. in den Paragraphen 34 und 35
des Bundesdatenschutzgesetzes.
Wissenschaftler der Universitäten Hamburg und Siegen haben in einer
Studie untersucht, inwieweit Dienste-Anbieter ihrer Pflicht zu Auskunft
und/oder Löschung nachkommen. Dazu haben sie die Anbieter von 120
Internetseiten und 150 Smartphone-Apps, die bei deutschen Nutzern
beliebt sind, überprüft. Nur rund ein Viertel der Anbieter kamen ihrer
Pflicht nach und erteilten auf Anfrage befriedigende Auskünfte. Ein
weiteres knappes Viertel antworte erst nach erneutem Versuch mit Verweis
auf das entsprechende Gesetz mit einer zufriedenstellenden Auskunft.
57% allerdings haben bis zum Ende der Studie nicht oder unzureichend
geantwortet. Ausländische Anbieter schnitten dabei deutlich schlechter
ab als Anbieter, die ihren Sitz in Deutschland haben.
Darüber hinaus wurde untersucht, wie sorgfältig mit den gespeicherten
Daten umgegangen wird. Rund ein Viertel der Anbieter gaben persönliche
Daten an eine gefälschte E-Mail-Adresse weiter, ohne zu kontrollieren,
ob der Anfragende tatsächlich der Dateninhaber ist.
Hannes Federrath, Vizepräsident der Gesellschaft für Informatik e.V.
(GI) und Sprecher des GI-Fachbereichs „Sicherheit“: „Die Ergebnisse der
Studie zeigen deutlich, wie verantwortungslos teilweise die
Internetanbieter mit personenbezogenen Daten umgehen. Allein deshalb
sollte grundsätzlich das Gebot der Datensparsamkeit gelten, sprich: Die
Nutzer sollten grundsätzlich so wenig Daten über sich preisgeben wie
möglich, also nur die Daten, die für einen Dienst unbedingt erforderlich
sind.“ Die Autoren der Studie ergänzen: „Aufsichtsbehörden und
Dienstanbieter sollten wirksame Mechanismen entwickeln, mit denen
Bürgerinnen und Bürger ihre Rechte durchsetzen können.“
Die Studie wird am 7. April in Bonn auf der Konferenz Sicherheit 2016 (https://www.sicherheit2016.de) vorgestellt, die vom Fachbereich „Sicherheit – Schutz und
Zuverlässigkeit“ der Gesellschaft für Informatik organisiert wird. Die
ausführlichen Ergebnisse sind unter http://arxiv.org/abs/1602.01804 abrufbar.
Zur Methodik und den Detailergebnissen:
Die Wissenschaftler Dominik Herrmann und Jens Lindemann registrierten
sich zunächst inkognito mit plausiblen Angaben bei jedem Anbieter. Nach
einer Weile wurde jeder Anbieter mit einer formlosen E-Mail darum
gebeten, Auskunft über die gespeicherten Daten zu geben. Nur 22% der
App-Anbieter bzw. 28% der Website-Betreiber reagierten auf diese Anfrage
mit einer zufriedenstellenden Auskunft. Die meisten reagierten
überhaupt nicht, viele beließen es bei einem Verweis auf ihre
Datenschutzerklärung.
Anbieter, die keine zufriedenstellende Auskunft erteilt hatten,
wurden erneut kontaktiert. Dabei wurden sie auf die Gesetzeslage (§ 34
BDSG) hingewiesen. Darüber hinaus enthielt die zweite Anfrage die
Ankündigung, dass bei ausbleibender Antwort die zuständige
Aufsichtsbehörde eingeschaltet werden würde. Daraufhin reagierten
weitere 21% bzw. 15% der Anbieter mit einer zufriedenstellenden
Auskunft. Mehr als die Hälfte der App-Anbieter und der Website-Betreiber
(jeweils 57%) haben allerdings bis zum Ende der Studie überhaupt nicht
oder nur unzureichend reagiert.
Ausbleibende oder unvollständige Auskünfte sind unbefriedigend. Noch
schlimmer aber sind nachlässige Anbieter, die die Identität des
Absenders einer Anfrage nicht überprüfen. Dann fallen sensible
personenbezogene Daten unter Umständen in die Hände von neugierigen
Trickbetrügern. Die Ergebnisse der Studie deuten darauf hin, dass manche
Anbieter schon mit einfachen Social-Engineering-Techniken überlistet
werden können. An die untersuchten Website-Betreiber wurde dazu eine
Auskunftsanfrage geschickt, bei der die Absender-E-Mail-Adresse nicht
mit der beim Anbieter hinterlegten E-Mail-Adresse übereinstimmte. Etwa
ein Viertel der Website-Betreiber antwortete mit einer
zufriedenstellenden oder zumindest einer unvollständigen Auskunft – an
die falsche Adresse wohlgemerkt. Bei mehr als der Hälfte dieser
Antworten hätten Dritte personenbezogene Daten erfahren.
Auch das in §35 BDSG eingeräumte Recht auf Löschung bzw. Sperrung von
Daten ist in der Praxis nicht zuverlässig durchsetzbar. Etwa die Hälfte
der Anbieter (54% der App-Anbieter, 48% der Website-Betreiber) löschte
die hinterlegten Daten nach der ersten (informellen) Aufforderung.
Weitere Versuche mit Verweis auf Gesetzeslage und Aufsichtsbehörde
blieben allerdings weitgehend wirkungslos: Der Anteil der vollständig
gelöschten Benutzerkonten stieg dadurch lediglich um 3–4 Prozentpunkte.
Weitaus problematischer sehen die beiden Wissenschaftler die
Tatsache, dass viele Anbieter die Aufforderung unmittelbar umsetzten und
in ihrer Antwort lediglich den Vollzug der Löschung mitteilten. Um ein
fremdes Benutzerkonto gegen den Willen seines Besitzers löschen zu
lassen, muss man also nur die zugehörige E-Mail-Adresse kennen und die
Absenderadresse beim Versand der Löschaufforderung fälschen. Solche
Angriffe könnten vergleichsweise einfach verhindert werden, etwa durch
eine vorherige Rückfrage. Noch besser wäre es, wenn die Löschung der
Daten an eine vorherige Authentifizierung geknüpft wäre, etwa durch
Anmeldung mit Benutzername und Passwort auf der Webseite des Anbieters.
Die Ergebnisse der Studie belegen, dass gesetzlich zugesicherte
Rechte an den eigenen Daten in der Praxis häufig überhaupt nicht oder
nur mit erheblichem Aufwand durchsetzbar sind. Überraschend ist vor
allem, mit welcher Arglosigkeit viele Dienstanbieter Auskunfts- und
Löschanfragen bearbeiten und dadurch Missbrauch ermöglichen. Den
ausführenden Mitarbeitern fehlen Sachkenntnis und Sorgfalt. Der aktuelle
Zustand ist sowohl für die Kunden als auch für die Anbieter überaus
unbefriedigend. Aus Sicht der Wissenschaftler wäre es daher
wünschenswert, den Ablauf von Auskunfts- und Löschprozessen zu
standardisieren und durch einheitliche Schnittstellen zu automatisieren,
um den Aufwand für die Beteiligten zu senken und Missbrauch zu
verhindern.
Die Gesellschaft für Informatik e.V. (GI) ist eine
gemeinnützige Fachgesellschaft zur Förderung der Informatik in all ihren
Aspekten und Belangen. Gegründet im Jahr 1969 ist die GI mit ihren
heute rund 20.000 Mitgliedern die größte Vertretung von
Informatikerinnen und Informatikern im deutschsprachigen Raum. Die
Mitglieder der GI kommen aus Wissenschaft, Wirtschaft, öffentlicher
Verwaltung, Lehre und Forschung.