DSGVO: Datenauskunftspflicht stellt Sicherheitsrisiko dar

Veröffentlicht am Veröffentlicht in Datenschutz, IT-Sicherheit

Auf der Sicherheitskonferenz Black Hat in Las Vegas wurde dieses Jahr eine Studie des britischen Doktoranden James Pavur vorgestellt. Dieser hatte in Einvernehmen mit seiner Verlobten Casey Knerr deren Daten von Unternehmen in Erfahrung gebracht, indem er sich als sie ausgab und unter Berufung auf die am 25.5.2018 von der EU erlassene DS-GVO Auskunft über Knerrs Daten einforderte. Hierbei konnte er nicht nur erfahren, welche Domains Knerr besaß oder wie oft sie wohin Zug gefahren ist, sondern auch wo sie wohnt und ihre Kreditkarteninformationen.[1] Dies gelang ihm aufgrund verschärft sanktionierter Pflichten von Unternehmen, gespeicherte Daten offenlegen zu müssen.

Rechtliche Rahmenbedingungen

Art 15 Abs. 1 Hs. 2 DSGVO spricht dem Betroffenen (der Person, deren Daten gespeichert werden) ein Auskunftsrecht über alle gespeicherten personenbezogenen Daten, die der Verantwortliche (die Person, der die Daten bereitgestellt worden sind) verarbeitet (Art. 4 Nr. 2 DS-GVO), gegen diesen zu. Auch ein Anspruch auf bloße Bestätigung, dass Daten verarbeitet werden, sprich – unter anderem – ob überhaupt ein Account besteht, geht aus Art 15 Abs. 1 Hs. 1 hervor. Dem Betroffenen stehen diese Rechte voraussetzungslos zu.[2]

Ihm wird somit ein Einblick in das Wie der Verarbeitung gewährt und es soll eine faire und transparente Verarbeitung von Daten ermöglicht werden.[3] Art 15 Abs. 3 regelt, dass der Verantwortliche eine Kopie der Daten in einem gängigem elektronischem Format bereitstellen muss. Eine Auskunftserteilung per E-Mail, wie sie in Pavurs Studie regelmäßig erfolgte, ist demnach z.B. in Form eines PDF-Anhangs möglich.[4]

Ein Anspruch auf Auskunft über personenbezogene Daten kann per Definition freilich nur derjenigen (natürlichen, vgl. Art. 4 Nr. 2 DS-GVO) Person zustehen, auf die sich die Daten beziehen. Ein Dritter kann, außer in Ausnahmefällen der Vertretung, keine Informationen über fremde personenbezogene Daten einholen.[5]

Es obliegt dem Verantwortlichen, die Identität des Antragstellers und dass es sich tatsächlich um den Betroffenen handelt, sorgfältig zu prüfen.[6] Hierfür darf der Verantwortliche gemäß Art. 11 Abs. 1 DS-GVO nicht vorbeugend Daten zur Identifizierung im Falle eines Antrags erheben. Dies ist Ausfluss des Grundsatzes der Datenminimierung (Art. 5 Abs. 1 lit. c) DS-GVO); der Verantwortliche soll möglichst wenige Daten speichern dürfen.[7] Selbst nach Antragstellung darf der Verantwortliche unter Berücksichtigung der Datenminimierung nur dann eine Identifikation verlangen, wenn er begründete Zweifel an der Identität (nicht aber Identifizierbarkeit) der Person einzelfallbezogen darlegen kann (Art. 12 Abs. 6 DS-GVO). Außerdem steht dem Verantwortlichen ein Leistungsverweigerungsrecht zu, wenn der Antrag offenkundig unbegründet ist (Art. 12 Abs. 5 S. 2 lit. b) DS-GVO). Dabei trägt er die Beweislast und in der Praxis wird es bei Anträgen gemäß Art. 15 wohl kaum zu Fällen kommen, in denen der Verantwortliche die offensichtliche Unbegründetheit des Antrags beweisen kann.[8]

Von großer Relevanz ist nun die Frage, wann welche Identifizierungsmaßnahmen getroffen werden müssen. Nimmt man irrtümlich an, es lägen begründete Zweifel an der Identität vor und verweigert deshalb die Auskunft, so verstößt man gegen die Auskunftspflicht, was mit einer Geldbuße belegt werden kann (Art. 83 Abs. 5 lit. b) DS-GVO). Eine solche Sanktion kann sich auf bis zu 20 Millionen Euro, bzw. wenn dieser Betrag höher ist, 4% des weltweiten Jahresumsatzes des betroffenen Unternehmens belaufen. Gleichzeitig muss der Datenminimierungsgrundsatz gewahrt werden, d.h. der Verantwortliche darf auch nur die Daten einholen, die objektiv zur Identifikation genügen.[9] Auf dieser Gratwanderung wird dem Verantwortlichen ein gewisser Ermessensspielraum zuzubilligen sein. So können Zweifel aus dem Weg geräumt werden, wenn z.B. eine Unternehmens-E-Mail Adresse mit der Unternehmens-Website abgeglichen wird. Konkrete Maßstäbe für die Identifizierung von Betroffenen gehen (noch) nicht aus dem Gesetzestext hervor und müssen erst durch Rechtsprechung gebildet werden.[10]

Die DS-GVO im Einzelfall

Die Studie von James Pavur sollte überprüfen, ob der genannte rechtliche Rahmen eingehalten wird, bzw. ob er für Missbrauch anfällig ist. Pavur schickte zu diesem Zweck ein und denselben Antrag unter dem Namen seiner Verlobten an 150 verschiedene Unternehmen auf einem weitreichenden Spektrum. Den Rechtsschein erzeugte er mit einem von ihm erstellten Standardformular, dass er im Anhang seiner Studie hinzufügte.[11] Er machte sich dabei vornehmlich zunutze, dass eine Auskunftserteilung per Email rechtlich zulässig ist (s.o.) und deshalb als bequemster Weg voraussichtlich von den meisten Unternehmen genutzt werden wird. So konnte Pavur die richtige Anschrift der Betroffenen (Casey Knerr) angeben, darunter aber die E-Mail-Adresse setzen, von der aus die gefälschte Anfrage gesendet wurde. Als zusätzlichen “Beweis” der Identität gab er eine zweite – fiktive ( Vorname.Nachname@gmail.com ) – sowie eine dritte – echte – E-Mail-Adresse an, die beispielsweise auf der Unternehmenswebsite in Erfahrung zu bringen war. Außerdem wurde Knerrs richtige Telefonnummer (sofern diese dem Opfer bekannt war) angegeben. Pavurs Taktik dahinter setzte darauf, dass die Unternehmen seine Anfrage weder postalisch oder telefonisch, noch über die Zweit- und Dritt-E-Mail-Adresse bearbeiten würden. Die vermeintliche Identifikation versuchte er mit öffentlich zugänglichen Daten zu fingieren. Auf die so präparierte Anfrage erhielt er verschiedenste Reaktionen:[12]

28% der angefragten Unternehmen gaben keine Antwort oder ignorierten die DS-GVO. Es ist unklar, ob dies daran lag, dass sie die Illegitimität der Anfrage erkannt hatten oder einfach nicht über die technische Infrastruktur verfügten, solche Anfragen zu bearbeiten. Für den ersteren Fall gilt allerdings, wie oben aufgeführt, dass der Verantwortliche seine Zweifel dem Antragsteller darlegen muss. Anderenfalls hat der tatsächlich legitime Antragsteller keine hinreichende Möglichkeit, sein Auskunftsrecht dem Verantwortlichen gegenüber, im Zweifel auf dem Rechtsweg, geltend zu machen. Es ist auch nicht ersichtlich, dass Art. 15 DS-GVO wegen mangelnder Identifizierbarkeit keine Anwendung fände. Dies kann nur unter den zusätzlichen Voraussetzungen des Art. 11 Abs. 2 DS-GVO der Fall sein[13] und auch Art. 11 Abs. 2 verlangt eine Unterrichtung des Antragstellers, was bei 28% der angefragten Unternehmen gerade nicht geschehen ist. Von diesen 28% antworteten 5%, darunter wohl vier große Konzerne mit Sitz in den USA, ein britischer Staatsbürger könne sich einem amerikanischen Unternehmen gegenüber nicht auf die DS-GVO berufen. Der räumliche Anwendungsbereich der DS-GVO ist in Art. 3 DS-GVO geregelt. Das Gesetz statuiert unter anderem ein Sitz- und Niederlassungsprinzip (Abs. 1) und ein Marktortprinzip (Abs. 2) für die Festlegung des Anwendungsbereiches. Nach dem Niederlassungsprinzip gilt die DS-GVO immer dann, wenn der Verantwortliche ein Unternehmen mit einer Niederlassung (nicht Sitz!) innerhalb der EU ist. Ob eine Niederlassung i.S.v. Art. 3 Abs. 1 DS-GVO existiert, muss unter Beachtung des besonderen Charakters der Tätigkeit und des Grades der Beständigkeit im Einzelfall ermittelt werden.[14]

Pavur traf keine weiteren Ausführungen zu besagten amerikanischen Unternehmen, es ist also denkbar, dass sie tatsächlich über keine Niederlassung in der EU verfügten. Die Anwendbarkeit der DS-GVO kann sich aber weiterhin aus dem Marktortprinzip ergeben, welches besagt, dass die DS-GVO auch dann Anwendung findet, wenn Daten von Personen innerhalb der EU verarbeitet werden, um dem Betroffenen Waren oder Dienstleistungen anzubieten (Art. 3 Abs. 2 lit. a) DS-GVO) oder das Verhalten dieser Person zu beobachten (Art. 3 Abs. 2 lit. b) DS-GVO). Dahinter steckt (nach Ansicht der Europäischen Kommission) eine Menschenrechtsverpflichtung, die Daten von EU-Bürgern zu schützen.[15] Der Verantwortliche soll sich insbesondere bei reinen Online-Dienstleistungen nicht nur deshalb den gesetzlichen Vorschriften entziehen können, weil er keine Niederlassung innerhalb der EU betreibt.[16]

Laut der Studie gaben die amerikanischen Unternehmen jeweils an, Daten über Casey Knerr zu besitzen[17], weshalb (mangels ausführlicher Informationen) davon auszugehen ist, das besagte Unternehmen diese Daten im Zusammenhang mit den in Art. 3 Abs. 2 lit. a), lit. b) DS-GVO genannten Gründen erlangt haben. Insoweit wäre die DS-GVO anwendbar und das Verweigern der Auskunft stellt einen nach § 83 Abs. 5 lit. b) DS-GVO sanktionierbaren Verstoß dar. Allerdings enthält die DS-GVO keine eigenständigen Vollstreckungsnormen, sie stößt in der Praxis auf weitreichende Durchsetzungsprobleme, wenn keine Niederlassung in einem Mitgliedstaat vorliegt und das Unternehmen somit nicht der Jurisdiktion der EU unterliegt. Dennoch sprach sich die Europäische Kommission für den weiten Anwendungsbereich aus, nicht zuletzt, um klare Regelungen zum Schutz der Grundrechte der Betroffenen zu schaffen.[18]

Von den übrigen 72% der angefragten Unternehmen, verlangten nochmal ganze 40% entweder eine “schwache”, also (laut Pavur) leicht zu fälschende Identifikation, wie z.B. eine schriftliche Erklärung (16%) oder gar keine Identifikation und gaben alle Daten sofort heraus (24%). Bei diesen 24% handelt es sich ohne Frage um eine grobe Nachlässigkeit seitens der Unternehmen, besonders in Hinblick auf die Sensitivität der Daten auf die Identität des Antragstellers zu vertrauen. Aber auch eine “schwache” Identifikation kann der vom Gesetz geforderten Beseitigung von Zweifeln nicht genügen. Mit der Identifikationskontrolle soll bezweckt werden, dass man nicht auf illegale Weise Zugriff auf Daten Dritter erhält. Jemand, der dieses Ziel verfolgt, wird im Zweifel auch nicht davor zurückschrecken, eine schriftliche Bestätigung der Identität zu fälschen. Unternehmen können sich nicht anhand dieser Identifikation von der Legitimität der Anfrage überzeugen lassen. Explizit zu missbilligen scheint die DS-GVO dieses Verhalten aber nicht. Weiterhin hat sich als problematisch herausgestellt, dass ungefähr zwei Drittel aller antwortenden Unternehmen in einer Weise geantwortet haben, aus der – ungeachtet der Bereitstellung der Daten – hervorging, dass überhaupt Daten gesammelt worden sind, d.h. dass ein Account existiert. Diese Information kann sich beispielsweise bei Anbietern von Dating-Plattformen als äußerst heikel erweisen.

Fazit

Das gesamte Problem lässt sich letztendlich darauf zurückführen, dass die DS-GVO Unternehmen nicht ausdrücklich vorschreibt, welche Maßnahmen zur Identifizierung einer Person getroffen werden müssen. De lege lata müssen die Unternehmen im Einzelfall eine Maßnahme wählen, die die Berechtigung des Antragstellers ausreichend sicherstellen kann, aber gleichzeitig nicht unzulässigerweise zu viele Daten vom Betroffenen erhebt. Zudem schwebt die Strafandrohung des § 83 Abs. 5 lit. b) DS-GVO von bis zu 20 Mio. Euro allgegenwärtig über einem eingehenden Auskunftsersuchen. Unternehmen, die im Zweifelsfall noch nicht viel Erfahrung mit der DS-GVO haben, könnten dann dazu neigen, diese Sanktion auszuschließen, indem sie dem Antrag ohne große Identifikationskontrolle stattgeben. Dabei wird den Unternehmen durch die sehr kurze Monatsfrist des Art. 12 Abs. 3 S. 1 DS-GVO zusätzlich Druck gemacht.

Dennoch handelt es sich bei dem Problem um keine “strukturelle Schwachstelle des Gesetzestextes“[19]. Dass Unternehmen keine hinreichende Identifikation von Antragstellern verlangen, ist kein Effekt, den die Einführung der DS-GVO mit sich gebracht hat. Vielmehr verstand es sich auch vorher von selbst, dass Stellen, die Daten verarbeiten, diese nicht an unzureichend identifizierbare Personen herausgeben. Und tatsächlich geht aus Pavurs Studie hervor, dass vor allem kleinere Unternehmen Daten preisgegeben haben. Größere Unternehmen konnten mit Pavurs Anfrage souveräner umgehen und verlangten schwer zu fälschende Identifikationsnachweise wie den Personalausweis. Sie waren mit den Vorschriften und den Anforderungen der DS-GVO besser vertraut. Aber trotzdem darf ein Unternehmen – egal welcher Größe – nicht aus Angst vor Bußgeldern übereilt und ungeprüft personenbezogene Daten übermitteln. Dabei wäre es hilfreich, wenn die DS-GVO konkrete Anforderungen an die Identifikation des Antragstellers stellen würde. Aber auch Rechtsfortbildung durch die Rechtsprechung kann Klarheit in die Sache bringen.

 


 

[1] Pavur, GDPArrrrr: Using Privacy Laws to Steal Identities, abrufbar unter: https://www.blackhat.com/us-19/briefings/schedule/index.html#gdparrrrr-using-privacy-laws-to-steal-identities-14526, (zuletzt abgerufen am 14.08.2019).

[2] Bäcker in: Kühling/Buchner (Hrsg.), DSGVO BDSG, 2. Aufl. 2018, Art. 15 Rn. 6.

[3] Paal in: Paal/Paullsyy (Hrsg.), DSGVO BDSG, 2. Aufl. 2018, Art. 15 Rn. 6.

[4] DSK, Kurzpapier Nr. 6, S. 2.

[5] Franck in: Gola (Hrsg.), DSGVO, 2. Aufl. 2018, Art. 15 Rn. 20.

[6] Schwartmann/Klein in: Schwartmann/Jaspers/Thüsing/Kugelmann, DSGVO/BDSG, Art. 15 Rn. 5 f.

[7] Erwägungsgrund Nr. 64 der DS-GVO, S. 2.

[8] Franck in: Gola (Hrsg.), DSGVO, 2. Aufl. 2018, Art. 15 Rn. 27.

[9] Bäcker in: Kühling/Buchner (Hrsg.), DSGVO BDSG, 2. Aufl. 2018, Art. 12 Rn. 30.

[10] Heckmann/Paschke in: Ehmann/Selmayr (Hrsg.), Datenschutz-Grundverordnung, Art. 12 Rn. 27 ff.

[11] Pavur/Knerr, GDPArrrrr: Using Privacy Laws to Steal Identities, 2019, S.10.

[12] Pavur/Knerr, GDPArrrrr: Using Privacy Laws to Steal Identities, 2019, S. 2 ff.

[13] Paal in: Paal/Pauly (Hrsg.), DSGVO BDSG, 2. Aufl. 2018, Art. 15 Rn. 10.

[14] EuGH, Urt. v. 1. Oktober 2015 – C-230/14 – NJW 2015, 3636, Rn. 29.

[15] Piltz in: Gola (Hrsg.), DSGVO, 2. Aufl. 2018, Art. 3 Rn. 24.

[16] Ernst in: Paal/Pauly (Hrsg.), DSGVO BDSG, 2. Aufl. 2018, Art. 3 Rn. 14.

[17] Pavur/Knerr, GDPArrrrr: Using Privacy Laws to Steal Identities, 2019, S. 5.

[18] Piltz in: Gola (Hrsg.), DSGVO, 2. Aufl. 2018, Art. 3 Rn. 26.

[19] Steinle, Bei der DSGVO gibt es Datenleck statt Datenschutz, MOZ.de, 16. August 2019, abrufbar unter:  https://www.moz.de/wirtschaft/regionale-wirtschaft/artikel-ansicht/dg/0/1/1746957/, zuletzt abgerufen am 28.10.2019.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*