Home / Allgemein / Datenschutz: Internet- und App-Anbieter sind nachlässig und oft unkooperativ

Datenschutz: Internet- und App-Anbieter sind nachlässig und oft unkooperativ

castle-538722_1280Bürgerinnen und Bürger sollen jederzeit die Kontrolle über ihre Daten haben. Seit Erlass der europäischen Datenschutzrichtlinie von 1995 sind Dienst-Anbieter unter anderem verpflichtet, ihren Kunden Auskunft zu geben, welche Daten sie zu welchem Zweck speichern, und diese auf Verlangen zu löschen. Allerdings gehen Internet-Anbieter verantwortungslos mit den Daten um, und die zugesicherten Rechte sind nur schwer durchsetzbar.

Wissenschaftler der Universitäten Hamburg und Siegen haben in einer Studie untersucht, inwieweit Dienste-Anbieter ihrer Pflicht zu Auskunft und/oder Löschung nachkommen. Dazu haben sie die Anbieter von 120 Internetseiten und 150 Smartphone-Apps, die bei deutschen Nutzern beliebt sind, überprüft. Nur rund ein Viertel der Anbieter kamen ihrer Pflicht nach und erteilten auf Anfrage befriedigende Auskünfte. Ein weiteres knappes Viertel antworte erst nach erneutem Versuch mit Verweis auf das entsprechende Gesetz mit einer zufriedenstellenden Auskunft. 57 Prozent allerdings haben bis zum Ende der Studie nicht oder unzureichend geantwortet. Ausländische Anbieter schnitten dabei deutlich schlechter ab als Anbieter, die ihren Sitz in Deutschland haben.

Darüber hinaus wurde untersucht, wie sorgfältig mit den gespeicherten Daten umgegangen wird. Rund ein Viertel der Anbieter gaben persönliche Daten an eine gefälschte E-Mail-Adresse weiter, ohne zu kontrollieren, ob der Anfragende tatsächlich der Dateninhaber ist.

Hannes Federrath, Vizepräsident der Gesellschaft für Informatik e.V. (GI) und Sprecher des GI-Fachbereichs „Sicherheit“: „Die Ergebnisse der Studie zeigen deutlich, wie verantwortungslos teilweise die Internetanbieter mit personenbezogenen Daten umgehen. Allein deshalb sollte grundsätzlich das Gebot der Datensparsamkeit gelten, sprich: Die Nutzer sollten grundsätzlich so wenig Daten über sich preisgeben wie möglich, also nur die Daten, die für einen Dienst unbedingt erforderlich sind.“ Die Autoren der Studie ergänzen: „Aufsichtsbehörden und Dienstanbieter sollten wirksame Mechanismen entwickeln, mit denen Bürgerinnen und Bürger ihre Rechte durchsetzen können.“

So kamen die Ergebnisse zustande

Die Wissenschaftler Dominik Herrmann und Jens Lindemann registrierten sich zunächst inkognito mit plausiblen Angaben bei jedem Anbieter. Nach einer Weile wurde jeder Anbieter mit einer formlosen E-Mail darum gebeten, Auskunft über die gespeicherten Daten zu geben. Nur 22 Prozent der App-Anbieter bzw. 28 Prozent der Website-Betreiber reagierten auf diese Anfrage mit einer zufriedenstellenden Auskunft. Die meisten reagierten überhaupt nicht, viele beließen es bei einem Verweis auf ihre Datenschutzerklärung.

Anbieter, die keine zufriedenstellende Auskunft erteilt hatten, wurden erneut kontaktiert. Dabei wurden sie auf die Gesetzeslage (§ 34 BDSG) hingewiesen. Darüber hinaus enthielt die zweite Anfrage die Ankündigung, dass bei ausbleibender Antwort die zuständige Aufsichtsbehörde eingeschaltet werden würde. Daraufhin reagierten weitere 21 Prozent bzw. 15 Prozent der Anbieter mit einer zufriedenstellenden Auskunft. Mehr als die Hälfte der App-Anbieter und der Website-Betreiber (jeweils 57 %) haben allerdings bis zum Ende der Studie überhaupt nicht oder nur unzureichend reagiert.

Personenbezogene Daten geraten in die falschen Hände

Ausbleibende oder unvollständige Auskünfte sind unbefriedigend. Noch schlimmer aber sind nachlässige Anbieter, die die Identität des Absenders einer Anfrage nicht überprüfen. Dann fallen sensible personenbezogene Daten unter Umständen in die Hände von neugierigen Trickbetrügern. Die Ergebnisse der Studie deuten darauf hin, dass manche Anbieter schon mit einfachen Social-Engineering-Techniken überlistet werden können. An die untersuchten Website-Betreiber wurde dazu eine Auskunftsanfrage geschickt, bei der die Absender-E-Mail-Adresse nicht mit der beim Anbieter hinterlegten E-Mail-Adresse übereinstimmte. Etwa ein Viertel der Website-Betreiber antwortete mit einer zufriedenstellenden oder zumindest einer unvollständigen Auskunft – an die falsche Adresse wohlgemerkt. Bei mehr als der Hälfte dieser Antworten hätten Dritte personenbezogene Daten erfahren.

Auch das in §35 BDSG eingeräumte Recht auf Löschung bzw. Sperrung von Daten ist in der Praxis nicht zuverlässig durchsetzbar. Etwa die Hälfte der Anbieter (54 % der App-Anbieter, 48 % der Website-Betreiber) löschte die hinterlegten Daten nach der ersten (informellen) Aufforderung. Weitere Versuche mit Verweis auf Gesetzeslage und Aufsichtsbehörde blieben allerdings weitgehend wirkungslos: Der Anteil der vollständig gelöschten Benutzerkonten stieg dadurch lediglich um 3 bis 4 Prozentpunkte.

Den Mitarbeitern fehlen Sachkenntnis und Sorgfalt

Weitaus problematischer sehen die beiden Wissenschaftler die Tatsache, dass viele Anbieter die Aufforderung unmittelbar umsetzten und in ihrer Antwort lediglich den Vollzug der Löschung mitteilten. Um ein fremdes Benutzerkonto gegen den Willen seines Besitzers löschen zu lassen, muss man also nur die zugehörige E-Mail-Adresse kennen und die Absenderadresse beim Versand der Löschaufforderung fälschen. Solche Angriffe könnten vergleichsweise einfach verhindert werden, etwa durch eine vorherige Rückfrage. Noch besser wäre es, wenn die Löschung der Daten an eine vorherige Authentifizierung geknüpft wäre, etwa durch Anmeldung mit Benutzername und Passwort auf der Webseite des Anbieters.

Die Ergebnisse der Studie belegen, dass gesetzlich zugesicherte Rechte an den eigenen Daten in der Praxis häufig überhaupt nicht oder nur mit erheblichem Aufwand durchsetzbar sind. Überraschend ist vor allem, mit welcher Arglosigkeit viele Dienstanbieter Auskunfts- und Löschanfragen bearbeiten und dadurch Missbrauch ermöglichen. Den ausführenden Mitarbeitern fehlen Sachkenntnis und Sorgfalt. Der aktuelle Zustand ist sowohl für die Kunden als auch für die Anbieter überaus unbefriedigend. Aus Sicht der Wissenschaftler wäre es daher wünschenswert, den Ablauf von Auskunfts- und Löschprozessen zu standardisieren und durch einheitliche Schnittstellen zu automatisieren, um den Aufwand für die Beteiligten zu senken und Missbrauch zu verhindern.

Die Studie wird am 7. April in Bonn auf der Konferenz Sicherheit 2016 vorgestellt, die vom Fachbereich „Sicherheit – Schutz und Zuverlässigkeit“ der Gesellschaft für Informatik organisiert wird. Die ausführlichen Ergebnisse sind hier  abrufbar.

Share

Leave a Reply

Your email address will not be published. Required fields are marked *

*