Datenschutz: Auskunfts- und Löschrechte laufen oft ins Leere
App- und Web-Anbieter kommen ihren Pflichten meist nicht nach, Nutzer über die zu ihnen gespeicherten Daten auf Anfrage zu informieren und diese gegebenenfalls zu löschen. Dies haben Forscher aus Hamburg und Siegen herausgefunden.
Die gesetzlich verankerten Rechte, bei Datensammlern im Internet Einblick in Informationen zur eigenen Person zu nehmen und diese gegebenenfalls korrigieren oder löschen zu lassen, sind nur schwer durchsetzbar. Zu diesem Ergebnis sind Wissenschaftler der Universitäten Hamburg und Siegen in einer jetzt veröffentlichten Studie gekommen.
Die Forscher haben 120 Webseiten und 150 Smartphone-Apps auf die Probe gestellt, die bei deutschen Nutzern besonders beliebt sind. Dazu gehören die Mobilanwendungen von Angry Birds, eBay, Facebook oder Whatsapp genauso wie etwa die Webseiten von Amazon, Apple, der Bundesarbeitsagentur, Bild, FAZ, Handelsblatt, heise online, Spiegel, Süddeutscher Zeitung, Twitter, Welt, YouPorn, YouTube oder der Zeit.
57 Prozent reagierten gar nicht oder unzureichend
Bei dem Test, für den sich die Wissenschaftler zunächst "inkognito mit plausiblen Angaben" bei jedem Anbieter anmeldeten, reagierte zunächst nur rund ein Viertel mit "befriedigenden Auskünften" auf eine Anfrage zu den über sie vorgehaltenen persönlichen Daten. Ein weiteres knappes Viertel antworte erst nach erneutem Versuch mit Verweis auf die Rechtsgrundlagen mit einer zufriedenstellenden Auskunft. Mit je 57 Prozent haben mehr als die Hälfte der App-Anbieter und der Website-Betreiber bis zum Ende der Analyse überhaupt nicht oder nur unzureichend reagiert.
Noch schlimmer als "ausbleibende oder unvollständige Auskünfte" bewerten die Forscher die Tatsache, dass die Anbieter, die personenbezogene Daten geschickt haben, teils die Identität des Absenders einer Anfrage nicht überprüften. So könnten sensible personenbezogene Informationen "unter Umständen in die Hände von neugierigen Trickbetrügern" fallen. Die Ergebnisse deuteten darauf hin, dass manche Dienstleister "schon mit einfachen Social-Engineering-Techniken überlistet werden können".
Die Forscher schickten für diesen Test nach eigenen Angaben an die untersuchten Website-Betreiber eine Auskunftsanfrage, bei der die Absender-E-Mail-Adresse nicht mit der beim Anbieter hinterlegten übereinstimmte. Etwa ein Viertel der Website-Betreiber habe daraufhin mit einer zufriedenstellenden oder zumindest unvollständigen Auskunft geantwortet – "an die falsche Adresse wohlgemerkt", wie das Team betont.
Missbrauchsgefahr
Mit den ebenfalls im Bundesdatenschutzgesetz verbrieften Rechtsansprüchen, eigene Daten löschen oder sperren zu lassen, bissen die Wissenschaftler auch oft auf Granit. 54 Prozent der App-Anbieter und 48 Prozent der Website-Betreiber entfernten nach einem ersten informellen Schreiben die hinterlegten Informationen der Antragsteller. Rückgefragt oder authentifiziert wurde in der Regel nicht, sodass die Missbrauchsgefahr hier ebenfalls hoch sei. Weitere Versuche, die eigenen Rechte mit Verweis auf Gesetzeslage und Aufsichtsbehörde geltend zu machen, blieben weitgehend wirkungslos: Der Anteil der vollständig gelöschten Benutzerkonten stieg dadurch nur um drei bis vier Prozentpunkte.
Die Macher der Studie, Dominik Herrmann und Jens Lindemann, wollen die Resultate am Donnerstag auf der Konferenz Sicherheit 2016 in Bonn mit einem Fachpublikum diskutieren. Die Tagung organisiert die Gesellschaft für Informatik (GI). Deren Vizepräsident Hannes Federrath betonte vorab, die Ergebnisse zeigten, "wie verantwortungslos teilweise die Internetanbieter mit personenbezogenen Daten umgehen". Allein deshalb sollte "grundsätzlich das Gebot der Datensparsamkeit gelten". Auch die Aufsichtsbehörden seien gefragt. Die Auskunfts- und Korrekturrechte sollen mit der geplanten EU-Datenschutzreform noch erweitert werden. (anw)
