Unternehmen sind laut DS-GVO verpflichtet, gespeicherte, personenbezogene Daten auf Verlangen den betroffenen Personen zu übergeben. Dem seit Mai 2018 geltenden Recht zur Auskunft und Datenportabilität müssen alle Unternehmen und Anbieter nachkommen. Doch diese Vorschrift kann offensichtlich ganz einfach zu einem umfangreichen Identitätsdiebstahl genutzt werden. Dies machte ein britischer Student auf der Sicherheitskonferenz „Black Hat“ in Las Vegas deutlich und zeigte, wie unkompliziert es ist, personenbezogene Daten aufgrund des Auskunftsrechts zu erhalten. Dafür benötigte er nur eine Fake-Adresse sowie öffentlich zugängliche Daten einer Person.
Auf seine Anfrage erhielt er bei vier großen Unternehmen, die auch auf dem US-Markt tätig sind, gar keine Auskunft mit der Begründung, dass EU-Bürger nach deren Sicht kein Recht auf Datenauskunft haben. Aber immerhin 72 Prozent der kontaktierten Unternehmen oder Plattformen reagierten auf seine Anfrage. Das katastrophale Ergebnis dieser Studie: Einige verlangten eine einfache, leicht zu umgehende Identitätsprüfung und bei ca. 24 Prozent der Anbieter wurde komplett auf eine Prüfung verzichtet und die Daten ohne weitere Fragen an die Fake-Adresse versendet.
Mehr zum Thema finden Sie hier:
https://www.golem.de/news/dsgvo-datenschutzauskunft-als-sicherheitsrisiko-1908-143186.html