11. April 2016 - Service-Anbieter häufig ignorant oder nachlässig

Test: Wie gehen Unternehmen mit Recht auf Auskunft um?

Inwieweit kommen Anbieter von Online-Diensten ihrer gesetzlichen Pflicht zur Auskunft und/oder Löschung erfasster personenbezogener Daten nach? Die Ergebnisse einer Studie dazu sind ernüchternd.

Studie: Auskunftsrecht wird oft missachtet Die meisten Anbieter von Internet-Services zeigen sich bei Auskunftsersuchen ihrer Nutzer wenig kooperativ (Bild: Khampiranon / iStock / Thinkstock)

Der Paragraf 34 des Bundesdatenschutzgesetzes (BDSG) schreibt unter anderem vor, dass verantwortliche Stellen Auskunft zu geben haben, welche Daten eines Betroffenen sie zu welchem Zweck gespeichert haben. Gleichzeitig bekommen Betroffene das Recht, die Löschung oder Sperrung dieser Daten zu verlangen (§ 35 BDSG).

Nun haben Dominik Herrmann und Jens Lindemann, Informatiker der Universitäten Siegen bzw. Hamburg im Rahmen einer Studie untersucht, inwieweit die Service-Provider diesen verbindlichen Regelungen nachkommen. Dazu haben sie die Anbieter von 120 Internetseiten und 150 Smartphone-Apps, die bei deutschen Nutzern beliebt sind, überprüft.

Nur ein Viertel der Anbieter verhält sich gesetzeskonform

  • Nur rund ein Viertel der überprüften Unternehmen (28 Prozent der Website-Betreiber und 22 Prozent der App-Anbieter) kamen ihrer Pflicht nach und erteilten auf Anfrage entsprechende Auskünfte.
  • Ein weiteres knappes Viertel antwortete erst nach einer erneuten Kontaktaufnahme, in der auf das BDSG verwiesen und angedroht wurde, beim Ausbleiben einer Antwort die zuständige Aufsichtsbehörde einzuschalten.
  • 57 Prozent der Testkandidaten antworteten allerdings gar nicht oder unzureichend. Dabei handelte es sich zum großen Teil um Antworten, die lediglich auf die unternehmenseigene Datenschutzerklärung verweisen.
  • Ausländische Anbieter schnitten dabei deutlich schlechter ab als Anbieter, die ihren Sitz in Deutschland haben.

Selbstbedienungsladen für Betrüger

Neben dem im Schnitt ungenügenden Antwort- und Reaktionsverhalten verzeichneten die beiden Studienverantwortlichen ein hohes Maß an Nachlässigkeit. So haben die Unternehmen in vielen Fällen die Identität des Absenders einer Anfrage nicht überprüft.

Um dies festzustellen, wurde an die untersuchten Website-Betreiber eine Auskunftsanfrage geschickt, bei der die Absender-E-Mail-Adresse nicht mit der beim Anbieter hinterlegten E-Mail-Adresse übereinstimmte. Etwa ein Viertel der Website-Betreiber antwortete mit einer zufriedenstellenden oder zumindest einer unvollständigen Auskunft an diese falsche Adresse. Bei mehr als der Hälfte dieser Antworten hätten Dritte personenbezogene Daten erfahren.

Auch setzen viele Anbieter die Aufforderung zur Löschung unmittelbar um, ohne den Absender der Mail zu verifizieren. Um ein fremdes Benutzerkonto gegen den Willen seines Besitzers löschen zu lassen, muss man also nur die zugehörige E-Mail-Adresse kennen und die Absenderadresse beim Versand der Löschaufforderung fälschen.

Studienergebnisse als Plädoyer für Datensparsamkeit

Hannes Federrath, Vizepräsident der Gesellschaft für Informatik e.V. (GI): „Die Ergebnisse der Studie zeigen deutlich, wie verantwortungslos teilweise die Internet-Anbieter mit personenbezogenen Daten umgehen. Allein deshalb sollte grundsätzlich das Gebot der Datensparsamkeit gelten, sprich: Die Nutzer sollten grundsätzlich so wenig Daten über sich preisgeben wie möglich, also nur die Daten, die für einen Dienst unbedingt erforderlich sind.“

fgo

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln