Pressemitteilung

Recht auf Auskunft und Löschung personenbezogener Daten schwierig durchzusetzen – Anbieter häufig unkooperativ

Pressemitteilung

Bürgerinnen und Bürger sollen jederzeit die Kontrolle über ihre Daten haben. Seit Erlass der europäischen Datenschutzrichtlinie von 1995 sind Dienst-Anbieter unter anderem verpflichtet, ihren Kunden Auskunft zu geben, welche Daten sie zu welchem Zweck speichern, und diese auf Verlangen zu löschen. Entsprechende Regelungen finden sich u.a. in den Paragraphen 34 und 35 des Bundesdatenschutzgesetzes.

Wissenschaftler der Universitäten Hamburg und Siegen haben in einer Studie untersucht, inwieweit Dienste-Anbieter ihrer Pflicht zu Auskunft und/oder Löschung nachkommen. Dazu haben sie die Anbieter von 120 Internetseiten und 150 Smartphone-Apps, die bei deutschen Nutzern beliebt sind, überprüft. Nur rund ein Viertel der Anbieter kamen ihrer Pflicht nach und erteilten auf Anfrage befriedigende Auskünfte. Ein weiteres knappes Viertel antworte erst nach erneutem Versuch mit Verweis auf das entsprechende Gesetz mit einer zufriedenstellenden Auskunft. 57% allerdings haben bis zum Ende der Studie nicht oder unzureichend geantwortet. Ausländische Anbieter schnitten dabei deutlich schlechter ab als Anbieter, die ihren Sitz in Deutschland haben.

Darüber hinaus wurde untersucht, wie sorgfältig mit den gespeicherten Daten umgegangen wird. Rund ein Viertel der Anbieter gaben persönliche Daten an eine gefälschte E-Mail-Adresse weiter, ohne zu kontrollieren, ob der Anfragende tatsächlich der Dateninhaber ist.

Hannes Federrath, Vizepräsident der Gesellschaft für Informatik e.V. (GI) und Sprecher des GI-Fachbereichs „Sicherheit“: „Die Ergebnisse der Studie zeigen deutlich, wie verantwortungslos teilweise die Internetanbieter mit personenbezogenen Daten umgehen. Allein deshalb sollte grundsätzlich das Gebot der Datensparsamkeit gelten, sprich: Die Nutzer sollten grundsätzlich so wenig Daten über sich preisgeben wie möglich, also nur die Daten, die für einen Dienst unbedingt erforderlich sind.“ Die Autoren der Studie ergänzen: "Aufsichtsbehörden und Dienstanbieter sollten wirksame Mechanismen entwickeln, mit denen Bürgerinnen und Bürger ihre Rechte durchsetzen können."

Die Studie wird am 7. April in Bonn auf der Konferenz Sicherheit 2016 (https://www.sicherheit2016.de) vorgestellt, die vom Fachbereich „Sicherheit – Schutz und Zuverlässigkeit“ der Gesellschaft für Informatik organisiert wird. Die ausführlichen Ergebnisse sind unter http://arxiv.org/abs/1602.01804 abrufbar.

Zur Methodik und den Detailergebnissen:

Die Wissenschaftler Dominik Herrmann und Jens Lindemann registrierten sich zunächst inkognito mit plausiblen Angaben bei jedem Anbieter. Nach einer Weile wurde jeder Anbieter mit einer formlosen E-Mail darum gebeten, Auskunft über die gespeicherten Daten zu geben. Nur 22% der App-Anbieter bzw. 28% der Website-Betreiber reagierten auf diese Anfrage mit einer zufriedenstellenden Auskunft. Die meisten reagierten überhaupt nicht, viele beließen es bei einem Verweis auf ihre Datenschutzerklärung.

Anbieter, die keine zufriedenstellende Auskunft erteilt hatten, wurden erneut kontaktiert. Dabei wurden sie auf die Gesetzeslage (§ 34 BDSG) hingewiesen. Darüber hinaus enthielt die zweite Anfrage die Ankündigung, dass bei ausbleibender Antwort die zuständige Aufsichtsbehörde eingeschaltet werden würde. Daraufhin reagierten weitere 21% bzw. 15% der Anbieter mit einer zufriedenstellenden Auskunft. Mehr als die Hälfte der App-Anbieter und der Website-Betreiber (jeweils 57%) haben allerdings bis zum Ende der Studie überhaupt nicht oder nur unzureichend reagiert.

Ausbleibende oder unvollständige Auskünfte sind unbefriedigend. Noch schlimmer aber sind nachlässige Anbieter, die die Identität des Absenders einer Anfrage nicht überprüfen. Dann fallen sensible personenbezogene Daten unter Umständen in die Hände von neugierigen Trickbetrügern. Die Ergebnisse der Studie deuten darauf hin, dass manche Anbieter schon mit einfachen Social-Engineering-Techniken überlistet werden können. An die untersuchten Website-Betreiber wurde dazu eine Auskunftsanfrage geschickt, bei der die Absender-E-Mail-Adresse nicht mit der beim Anbieter hinterlegten E-Mail-Adresse übereinstimmte. Etwa ein Viertel der Website-Betreiber antwortete mit einer zufriedenstellenden oder zumindest einer unvollständigen Auskunft – an die falsche Adresse wohlgemerkt. Bei mehr als der Hälfte dieser Antworten hätten Dritte personenbezogene Daten erfahren.

Auch das in §35 BDSG eingeräumte Recht auf Löschung bzw. Sperrung von Daten ist in der Praxis nicht zuverlässig durchsetzbar. Etwa die Hälfte der Anbieter (54% der App-Anbieter, 48% der Website-Betreiber) löschte die hinterlegten Daten nach der ersten (informellen) Aufforderung. Weitere Versuche mit Verweis auf Gesetzeslage und Aufsichtsbehörde blieben allerdings weitgehend wirkungslos: Der Anteil der vollständig gelöschten Benutzerkonten stieg dadurch lediglich um 3–4 Prozentpunkte.

Weitaus problematischer sehen die beiden Wissenschaftler die Tatsache, dass viele Anbieter die Aufforderung unmittelbar umsetzten und in ihrer Antwort lediglich den Vollzug der Löschung mitteilten. Um ein fremdes Benutzerkonto gegen den Willen seines Besitzers löschen zu lassen, muss man also nur die zugehörige E-Mail-Adresse kennen und die Absenderadresse beim Versand der Löschaufforderung fälschen. Solche Angriffe könnten vergleichsweise einfach verhindert werden, etwa durch eine vorherige Rückfrage. Noch besser wäre es, wenn die Löschung der Daten an eine vorherige Authentifizierung geknüpft wäre, etwa durch Anmeldung mit Benutzername und Passwort auf der Webseite des Anbieters.

Die Ergebnisse der Studie belegen, dass gesetzlich zugesicherte Rechte an den eigenen Daten in der Praxis häufig überhaupt nicht oder nur mit erheblichem Aufwand durchsetzbar sind. Überraschend ist vor allem, mit welcher Arglosigkeit viele Dienstanbieter Auskunfts- und Löschanfragen bearbeiten und dadurch Missbrauch ermöglichen. Den ausführenden Mitarbeitern fehlen Sachkenntnis und Sorgfalt. Der aktuelle Zustand ist sowohl für die Kunden als auch für die Anbieter überaus unbefriedigend. Aus Sicht der Wissenschaftler wäre es daher wünschenswert, den Ablauf von Auskunfts- und Löschprozessen zu standardisieren und durch einheitliche Schnittstellen zu automatisieren, um den Aufwand für die Beteiligten zu senken und Missbrauch zu verhindern.