Ihr Premium Partner für Informationssicherheits-, Datenschutz- und Risikomanagementberatung
NEWS 17.09.2019
Identitätsdiebstahl durch Auskunftsbegehren
17. September 2019, Lisa Goritschnig
Die Datenschutz-Grundverordnung ermöglicht betroffenen Personen das Recht, über sie betreffende personenbezogene Daten Auskunft zu begehren. Diese Möglichkeit eröffnet natürlich die Türen für kriminelle Machenschaften. Viele Betrüger nutzen das Recht auf Auskunft gem. Art 15 DSGVO, um an fremde Daten zu kommen und diese für Identitätsdiebstähle zu nutzen. Der Grund hierfür liegt darin, dass viele Unternehmen die Identitätsfeststellungen nicht ordnungsgemäß durchführen.
Ein britischer Student der Oxford Universität hat eine Studie durchgeführt, welche zeigte, dass zahlreiche Unternehmen personenbezogene Daten verschicken, ohne den entsprechenden Identitätsnachweis der anfragenden Person einzuholen. Der britische Student gab sich als seine Freundin aus und legte eine neuen E-Mail Account an. Dann verschickte er 150 Auskunftsbegehren an unterschiedlichste Unternehmen, darunter waren auch Unternehmen von denen seine Freundin niemals Dienste in Anspruch nahm. Im Begehren berief er sich auf Art 15 DSGVO und bat um Herausgabe sämtlicher personenbezogenen Daten. In dem Schreiben gab er nicht nur die Fake-Adresse an, sondern auch weitere öffentlich zugängliche Daten über seine Freundin. Die Statistik hat ergeben, dass 72 Prozent der angeschriebenen Organisationen auf die Anfrage reagiert haben. In 23 Prozent wurde auf die Anfrage nicht reagiert und 5 Prozent der Organisationen wiesen das Auskunftsbegehren zurück. Unter den Organisationen waren vier große Anbieter aus dem amerikanischen Markt, die der Ansicht waren, dass EU-Bürger kein Recht auf Auskunft haben.
Das wirklich Erschreckende an der Studie ist, dass 24 Prozent der Organisationen, die auf das Auskunftsbegehren reagiert haben, ohne Identitätscheck personenbezogene Daten der Freundin bereitstellten. In 16 Prozent der Antworten der Organisationen war die Identitätsfeststellung dermaßen lapidar, dass diese leicht zu umgehen gewesen wäre. Zu diesen Identitätsfeststellungen zählen Geräte-Cookies oder schriftliche Erklärungen, dass es sich tatsächlich um die betroffene Person handelt. Darüber hinaus gaben 5 Prozent der befragten Organisationen an, dass keine Daten der jeweiligen Person gespeichert werden, obwohl die Freundin einen Account angelegt hatte und drei Prozent löschten den Account ohne das Auskunftsbegehren zu beantworten.
In Folge der Feststellungen, empfiehlt der Student den Organisationseinheiten, entsprechende Identitätsfeststellungen zu verwenden, Account-Logindaten zu verlangen oder eIDV (»Electronic Identity Verification«) zu nutzen und verdächtige Anfragen abzulehnen. Zusätzlich hält der Student die nationalen Gesetzgeber an, den Organisationen unter die Arme zu greifen und gesetzliche Vorgaben zu Verifikationsverfahren umzusetzen. Im Hinblick auf den Umgang mit eigenen Daten und Identitätsdiebstahl rät er Privatpersonen mit ihren Daten sorgsam umzugehen.
Die Studie wurde bei der Sicherheitskonferenz Black Hat in Las Vegas vorgestellt.
Tipps im Umgang mit Betroffenenrechten:
Wenn es Ihnen durch die jeweilige Anfrage nicht möglich ist, die betroffene Person zu identifizieren (z.B. keine Kopie des Ausweises beigelegt?), müssen Sie einen Identitätsnachweis einholen. Somit haben Sie die Möglichkeit zusätzliche Informationen anzufordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind. Beachten Sie bitte auch, dass eine standardiesierte Pauschalanforderung eines Identitätsnachweises bei Auskunftsbegehren auch nicht erfolgen darf. Ein Identitätsnachweis muss immer dann eingefordert werden, wenn sich die Identität des Betroffenen mit den zur Verfügung stehenden Informationen nicht eindeutig feststellen lässt.
Wichtig ist den Identitätsnachweis nach erfolgter Beantwortung des Auskunftsbegehren zu löschen! Der Grund hierfür liegt darin, dass der Zweck, nämlich die Identitätsfeststellung der betroffenen Person abgeschlossen wurde und somit zur weiteren Aufbewahrung kein Zweck mehr vorhanden ist. Aus datenschutzrechtlichen Dokumentationspflichten („Accountability“) raten wir dazu, dass ein Vermerk nach der Löschung vorgenommen wird „Ausweis hat vorgelegen“.
Brauchen Sie Unterstützung bei der Umsetzung der Betroffenenrechte in Ihrer Organisation? Wir verfügen über sämtliche Musterformulare, Checklisten bzw. Arbeitsanweisungen zu allen Betroffenenrechten. Wir helfen Ihnen dabei, um nicht in die Falle von Identitätsdiebstählen zu fallen.
Informieren Sie sich unverbindlich unter office@secriso.com oder unter 0463/276376.
Wir sind Ihnen gerne bei der praktischen Umsetzung der gesetzlichen Anforderungen behilflich.