Dr.DominikHerrmannUniversität Siegen

RingkolloquiumDigitaleHerausforderungen,14.Juli2016,HUBerlinFolien:https://dhgo.to/kein-recht

SiehabenkeinRechtzuschweigen:WiereagierenDienstanbieteraufAnfragenzurDatenauskunftundKontenlöschung?

2

WirbraucheneinanderesVerständnisvonDatenschutz[und]müsseninRichtungDatensouveränität gehen.

3

??

?

?

?

?

?

?

?

DatensouveränitäterfordertinformationelleSelbstbestimmung(1983): Bürgermüssenwissen…werwaswannundbeiwelcherGelegenheitübersieweiß.

WelcheAnbieter habenüberhauptDatenvonmir?

WelcheDaten hatPinterestundanwenwerdensieübermittelt?

Dashlane-Studie (2015)Mailsvon20.000NutzernMittelwert:92Accounts

https://blog.dashlane.com/infographic-online-overload-its-worse-than-you-thought/

4

DieexistierendenTransparenz-Mechanismensindunzureichend– oderbislangnochnichtsystematischuntersuchtworden.

1.Datenschutzerklärungen:unzureichend– unverständlich– keinekonkreteAuskunft

TODOQuellen,dass Policiesunzureichend undschwer verständlich sind

5

DieexistierendenTransparenz-Mechanismensindunzureichend– oderbislangnochnichtsystematischuntersuchtworden.

1.Datenschutzerklärungen:unzureichend– unverständlich– keinekonkreteAuskunft

TODOQuellen,dass Policiesunzureichend undschwer verständlich sind

6

DieexistierendenTransparenz-Mechanismensindunzureichend– oderbislangnochnichtsystematischuntersuchtworden.

1.Datenschutzerklärungen:unzureichend– unverständlich– keinekonkreteAuskunft

2.Profilseiten:unzureichend– konkreteAuskunft– unvollständig

TODOQuellen,dass Policiesunzureichend undschwer verständlich sind

BDSG§34–35undDSGVOArt.15–17

3.Betroffenenrechte:nochnichtuntersucht– Datenauskunft– BerichtigungundLöschung

Inwiefern können Nutzerihre Rechte durchsetzen?

7

Eswurdeuntersucht,wieWebsite-BetreibermitAnfragenaufAuskunft(Phase1)undDatenlöschung(Phase2)umgehen,dieperE-Mail/Web-Formulargestelltwerden.

Phase1:Datenauskunft

Registrierung

informelle Anfrage

formale Anfrage

SehrgeehrteDamenundHerren,

ichwürdemichgernedarüberinformieren,welcheDatenSieübermeinProfilpaul.meier@barmail.de gespeicherthabenundwiedieseverwendetwerden.BittelassenSiemirdieseInformationenzeitnahzukommen.

MitfreundlichenGrüßenPaulMeier

Sender: PaulMeier<paul.meier@barmail.de>An: Datenschutzbeauftragter(sonst:Kunden-Support)

keine akzeptableAntwort innerhalb1Woche?

SehrgeehrteDamenundHerren,

ichwürdemichgernedarüberinformieren,welcheDatenSieübermeinProfilpaul.meier@barmail.de gespeicherthabenundwiedieseverwendetwerden.BittelassenSiemirdieseInformationenzeitnahzukommen.

MitfreundlichenGrüßenPaulMeier

Sender: PaulMeier<paul.meier@barmail.de>An: Datenschutzbeauftragter(sonst:Kunden-Support)

Fake-Anfrage

Sender: PaulMeier<paul.meier@fair-konsult.de>An: Datenschutzbeauftragter(sonst:Kunden-Support)

keine akzeptableAntwort innerhalb1Woche?

PaulMeierVogt-Kölln-Str.3022527Hamburg

paul.meier@barmail.deMobil:0151-21512491geb.am05.03.1981

8

Eswurdeuntersucht,wieWebsite-BetreibermitAnfragenaufAuskunft(Phase1)undDatenlöschung(Phase2)umgehen,dieperE-Mail/Web-Formulargestelltwerden.

Phase1:Datenauskunft

RegistrierungPaulMeierVogt-Kölln-Str.3022527Hamburg

paul.meier@barmail.deMobil:0151-21512491geb.am05.03.1981

informelle Anfrage

formale Anfrage

SehrgeehrteDamenundHerren,

ichwürdemichgernedarüberinformieren,welcheDatenSieübermeinProfilpaul.meier@barmail.de gespeicherthabenundwiedieseverwendetwerden.BittelassenSiemirdieseInformationenzeitnahzukommen.

MitfreundlichenGrüßenPaulMeier

Sender: PaulMeier<paul.meier@barmail.de>An: Datenschutzbeauftragter(sonst:Kunden-Support)

keine akzeptableAntwort innerhalb1Woche?

Sender: PaulMeier<paul.meier@barmail.de>An: Datenschutzbeauftragter(sonst:Kunden-Support)

Fake-Anfrage

keine akzeptableAntwort innerhalb1Woche?

9

Eswurdeuntersucht,wieWebsite-BetreibermitAnfragenaufAuskunft(Phase1)undDatenlöschung(Phase2)umgehen,dieperE-Mail/Web-Formulargestelltwerden.

Phase1:Datenauskunft

Registrierung

informelle Anfrage

formale Anfrage

SehrgeehrteDamenundHerren,

ichwürdemichgernedarüberinformieren,welcheDatenSieübermeinProfilpaul.meier@barmail.de gespeicherthabenundwiedieseverwendetwerden.BittelassenSiemirdieseInformationenzeitnahzukommen.

MitfreundlichenGrüßenPaulMeier

Sender: PaulMeier<paul.meier@barmail.de>An: Datenschutzbeauftragter(sonst:Kunden-Support)

keine akzeptableAntwort innerhalb1Woche?

HiermitfordereichSiegem.§ 34BDSG auf…mirAuskunftzuerteilen,welcheDatenübermich bzw.meinProfilpaul.meier@barmail.de beiIhnengespeichertsindundzuwelchemZweck (§ 34I-IIIBDSGi.V.m.§ 6II,§ 28Abs.4)…

FürdieErledigungsetzeichFrist aufden[+7Tage].NachfruchtlosemAblaufderFristbehalteichmirvor,diefürSiezuständigeAufsichtsbehörde gem.§ 38BDSGeinzuschalten.

Sender: PaulMeier<paul.meier@barmail.de>An: Datenschutzbeauftragter(sonst:Kunden-Support)

Fake-Anfrage

keine akzeptableAntwort innerhalb1Woche?

HypothesenzurDatenauskunft:– BezugaufBDSGundBeharrlichkeitzahlensichaus.– BearbeitungerfolgtnichtmitgebührenderSorgfalt.

10

Eswurdeuntersucht,wieWebsite-BetreibermitAnfragenaufAuskunft(Phase1)undDatenlöschung(Phase2)umgehen,dieperE-Mail/Web-Formulargestelltwerden.

Phase1:Datenauskunft

Registrierung

informelle Anfrage

formale Anfrage

Fake-Anfrage

Phase2:Datenlöschung

Registrierung

informelle Anfrage

formale Anfrage

4Wochen später

mitanderemPseudonym

Konto nach1Woche nochvorhanden?

ZusätzlicheHypothesezurDatenlöschung:AnbieterlöschenDatennicht(vollständig).

ErkennungunvollständigerLöschung– Login nochmöglich– Passwortvergessen reaktiviertKonto– erneuteRegistrierung nichtmöglich

11

DieStudiewurdeimHerbst2014mit120WebseitenausderAlexa„Top500DE“-Listedurchgeführt(Bedingung:eslässtsicheinBenutzerkontoanlegen).

Fake-Anfrage

nichterreichbar verweigert

0.16

keineReaktion(0.43) Auskunftverweigert(0.30)

unvollständig

OK(0.28) unvollständig(0.28) 0.07keineReaktion(0.31) 0.050.01

Kontoverschwunden

0.02

OK(0.43) unvollständig keineReaktion(0.23) 0.080.080.01

OK(0.18) 0.07

Antwortanbarmail-Adresse

informelle Anfrage

formale Anfrage

Erkenntnisse– BezugaufBDSGundBeharrlichkeitzahlensichaus.– BearbeitungerfolgtnichtmitgebührenderSorgfalt.– uneinheitlicheAuskünfte,hoherBearbeitungsaufwand

Ergebnisse für Datenauskunft

12

ArtundUmfangderausgestelltenAuskünftevariierterheblich.

nichterreichtgesperrt verschwunden unvollständig

vollständiggelöscht(0.48) 0.09 keineReaktion(0.26)0.09 0.080.01

vollständiggelöscht(0.52) gesperrt(0.18) keineReaktion(0.17)0.11

0.01 0.0213

DieErgebnissezurDatenlöschungfallenbesseraus – abernuraufdenerstenBlick.

informelle Anfrage

formale Anfrage

Erkenntnisse– BereitschaftzurDatenlöschunghöheralszurAuskunft.– EinigeAnbieterlöschenDatennichtvollständig.– Aber:BearbeitungerfolgtnichtmitgebührenderSorgfalt.

Ergebnisse für Datenlöschung

14

VieleAnbieterhabenAccountssofortnachEingangderAnfragegelöscht– ohneRückfragebeimKontoinhaber.

Guten TagMichael,

Ihr Konto ist hiermit gelöscht.

Mit besten Grüßen aus HamburgMathilde

Sender: SupportAn: michael.mueller@barmail.de

Folge: UnberechtigteDrittekönnenfremdeKontenlöschen.

Anfrage Antwort

15

NurwenigeAnbieterhabenDatenauskunft- undLöschprozessesicherimplementiert.

SehrgeehrterHerrHummel,

…wennSieIhreTeilnahmeamMiles&MoreProgrammbeendigenmöchten,schickenSiebitteeinunterschriebenesKündigungs-schreiben andieAnschrift…oderperFaxandieNummer…

BeieinerKündigungwerdendieDatengesperrt undbleibenbiszumEndederjeweiligenAnspruchs- undgesetzlichenAufbewahrungsfristengespeichert.

MitfreundlichenGrüßenN.N.DeutscheLufthansaAG

SehrgeehrterHerrMüller,

…wirbedauernsehr,dassSiefürIhrBenutzerkontoauwww.bahn.dekeineVerwendungmehrhaben.

WennSieeslöschenmöchten,gehenSiewiefolgtvor:

LoggenSiesichmitIhremBenut-zernamen undPasswortein

KlickenSieanschließendauf„Kundenkontolöschen“

IhrekomplettenDatenwerdenjetztunwiderruflichgelöscht.BedenkenSiedabei,dassesdannnicht…

16

NurwenigeAnbieterhabenDatenauskunft- undLöschprozessesicherimplementiert.

BeobachteteSicherheitsmechanismen– VerweisaufLöschfunktionnachLogin– Personalausweiskopie und/oderUnterschrift– ÜbermittlungderAuskunftaufPostweg– AnbietererbittetRückruf

EinflussderUnternehmensgröße?KonzerneschneidennichterheblichbesserabalsmittlereundkleineUnternehmen.

EinflussdesUnternehmenssitzes?DeutscheUnternehmenschneidenbesserabalseuropäischeundaußereuropäische.

Dr.DominikHerrmann(http://herdom.net) https://dhgo.to/kein-recht

DurchsetzungderBetroffenenrechteineffektivundineffizient– Erfolgsquoteetwa50%(n.repräsentativ)

– uneinheitlichemanuelleProzesse

– fehlendeAwarenessimSupport

SiehabenkeinRechtzuschweigen:WiereagierenDienstanbieteraufAnfragenzurDatenauskunftundKontenlöschung?

Folgerungen

– BedarfanAutomatisierung

– StärkungderAufsichtsbehörden