Wie reagieren Dienstanbieter auf Anfragen zur ... · Es wurde untersucht, wie Website-Betreiber mit...
Transcript of Wie reagieren Dienstanbieter auf Anfragen zur ... · Es wurde untersucht, wie Website-Betreiber mit...
Dr.DominikHerrmannUniversität Siegen
RingkolloquiumDigitaleHerausforderungen,14.Juli2016,HUBerlinFolien:https://dhgo.to/kein-recht
SiehabenkeinRechtzuschweigen:WiereagierenDienstanbieteraufAnfragenzurDatenauskunftundKontenlöschung?
2
WirbraucheneinanderesVerständnisvonDatenschutz[und]müsseninRichtungDatensouveränität gehen.
3
??
?
?
?
?
?
?
?
DatensouveränitäterfordertinformationelleSelbstbestimmung(1983): Bürgermüssenwissen…werwaswannundbeiwelcherGelegenheitübersieweiß.
WelcheAnbieter habenüberhauptDatenvonmir?
WelcheDaten hatPinterestundanwenwerdensieübermittelt?
Dashlane-Studie (2015)Mailsvon20.000NutzernMittelwert:92Accounts
https://blog.dashlane.com/infographic-online-overload-its-worse-than-you-thought/
4
DieexistierendenTransparenz-Mechanismensindunzureichend– oderbislangnochnichtsystematischuntersuchtworden.
1.Datenschutzerklärungen:unzureichend– unverständlich– keinekonkreteAuskunft
TODOQuellen,dass Policiesunzureichend undschwer verständlich sind
5
DieexistierendenTransparenz-Mechanismensindunzureichend– oderbislangnochnichtsystematischuntersuchtworden.
1.Datenschutzerklärungen:unzureichend– unverständlich– keinekonkreteAuskunft
TODOQuellen,dass Policiesunzureichend undschwer verständlich sind
6
DieexistierendenTransparenz-Mechanismensindunzureichend– oderbislangnochnichtsystematischuntersuchtworden.
1.Datenschutzerklärungen:unzureichend– unverständlich– keinekonkreteAuskunft
2.Profilseiten:unzureichend– konkreteAuskunft– unvollständig
TODOQuellen,dass Policiesunzureichend undschwer verständlich sind
BDSG§34–35undDSGVOArt.15–17
3.Betroffenenrechte:nochnichtuntersucht– Datenauskunft– BerichtigungundLöschung
Inwiefern können Nutzerihre Rechte durchsetzen?
7
Eswurdeuntersucht,wieWebsite-BetreibermitAnfragenaufAuskunft(Phase1)undDatenlöschung(Phase2)umgehen,dieperE-Mail/Web-Formulargestelltwerden.
Phase1:Datenauskunft
Registrierung
informelle Anfrage
formale Anfrage
SehrgeehrteDamenundHerren,
ichwürdemichgernedarüberinformieren,welcheDatenSieü[email protected] gespeicherthabenundwiedieseverwendetwerden.BittelassenSiemirdieseInformationenzeitnahzukommen.
MitfreundlichenGrüßenPaulMeier
Sender: PaulMeier<[email protected]>An: Datenschutzbeauftragter(sonst:Kunden-Support)
keine akzeptableAntwort innerhalb1Woche?
SehrgeehrteDamenundHerren,
ichwürdemichgernedarüberinformieren,welcheDatenSieü[email protected] gespeicherthabenundwiedieseverwendetwerden.BittelassenSiemirdieseInformationenzeitnahzukommen.
MitfreundlichenGrüßenPaulMeier
Sender: PaulMeier<[email protected]>An: Datenschutzbeauftragter(sonst:Kunden-Support)
Fake-Anfrage
Sender: PaulMeier<[email protected]>An: Datenschutzbeauftragter(sonst:Kunden-Support)
keine akzeptableAntwort innerhalb1Woche?
PaulMeierVogt-Kölln-Str.3022527Hamburg
[email protected]:0151-21512491geb.am05.03.1981
8
Eswurdeuntersucht,wieWebsite-BetreibermitAnfragenaufAuskunft(Phase1)undDatenlöschung(Phase2)umgehen,dieperE-Mail/Web-Formulargestelltwerden.
Phase1:Datenauskunft
RegistrierungPaulMeierVogt-Kölln-Str.3022527Hamburg
[email protected]:0151-21512491geb.am05.03.1981
informelle Anfrage
formale Anfrage
SehrgeehrteDamenundHerren,
ichwürdemichgernedarüberinformieren,welcheDatenSieü[email protected] gespeicherthabenundwiedieseverwendetwerden.BittelassenSiemirdieseInformationenzeitnahzukommen.
MitfreundlichenGrüßenPaulMeier
Sender: PaulMeier<[email protected]>An: Datenschutzbeauftragter(sonst:Kunden-Support)
keine akzeptableAntwort innerhalb1Woche?
Sender: PaulMeier<[email protected]>An: Datenschutzbeauftragter(sonst:Kunden-Support)
Fake-Anfrage
keine akzeptableAntwort innerhalb1Woche?
9
Eswurdeuntersucht,wieWebsite-BetreibermitAnfragenaufAuskunft(Phase1)undDatenlöschung(Phase2)umgehen,dieperE-Mail/Web-Formulargestelltwerden.
Phase1:Datenauskunft
Registrierung
informelle Anfrage
formale Anfrage
SehrgeehrteDamenundHerren,
ichwürdemichgernedarüberinformieren,welcheDatenSieü[email protected] gespeicherthabenundwiedieseverwendetwerden.BittelassenSiemirdieseInformationenzeitnahzukommen.
MitfreundlichenGrüßenPaulMeier
Sender: PaulMeier<[email protected]>An: Datenschutzbeauftragter(sonst:Kunden-Support)
keine akzeptableAntwort innerhalb1Woche?
HiermitfordereichSiegem.§ 34BDSG auf…mirAuskunftzuerteilen,welcheDatenübermich [email protected] beiIhnengespeichertsindundzuwelchemZweck (§ 34I-IIIBDSGi.V.m.§ 6II,§ 28Abs.4)…
FürdieErledigungsetzeichFrist aufden[+7Tage].NachfruchtlosemAblaufderFristbehalteichmirvor,diefürSiezuständigeAufsichtsbehörde gem.§ 38BDSGeinzuschalten.
Sender: PaulMeier<[email protected]>An: Datenschutzbeauftragter(sonst:Kunden-Support)
Fake-Anfrage
keine akzeptableAntwort innerhalb1Woche?
HypothesenzurDatenauskunft:– BezugaufBDSGundBeharrlichkeitzahlensichaus.– BearbeitungerfolgtnichtmitgebührenderSorgfalt.
10
Eswurdeuntersucht,wieWebsite-BetreibermitAnfragenaufAuskunft(Phase1)undDatenlöschung(Phase2)umgehen,dieperE-Mail/Web-Formulargestelltwerden.
Phase1:Datenauskunft
Registrierung
informelle Anfrage
formale Anfrage
Fake-Anfrage
Phase2:Datenlöschung
Registrierung
informelle Anfrage
formale Anfrage
4Wochen später
mitanderemPseudonym
Konto nach1Woche nochvorhanden?
ZusätzlicheHypothesezurDatenlöschung:AnbieterlöschenDatennicht(vollständig).
ErkennungunvollständigerLöschung– Login nochmöglich– Passwortvergessen reaktiviertKonto– erneuteRegistrierung nichtmöglich
11
DieStudiewurdeimHerbst2014mit120WebseitenausderAlexa„Top500DE“-Listedurchgeführt(Bedingung:eslässtsicheinBenutzerkontoanlegen).
Fake-Anfrage
nichterreichbar verweigert
0.16
keineReaktion(0.43) Auskunftverweigert(0.30)
unvollständig
OK(0.28) unvollständig(0.28) 0.07keineReaktion(0.31) 0.050.01
Kontoverschwunden
0.02
OK(0.43) unvollständig keineReaktion(0.23) 0.080.080.01
OK(0.18) 0.07
Antwortanbarmail-Adresse
informelle Anfrage
formale Anfrage
Erkenntnisse– BezugaufBDSGundBeharrlichkeitzahlensichaus.– BearbeitungerfolgtnichtmitgebührenderSorgfalt.– uneinheitlicheAuskünfte,hoherBearbeitungsaufwand
Ergebnisse für Datenauskunft
12
ArtundUmfangderausgestelltenAuskünftevariierterheblich.
nichterreichtgesperrt verschwunden unvollständig
vollständiggelöscht(0.48) 0.09 keineReaktion(0.26)0.09 0.080.01
vollständiggelöscht(0.52) gesperrt(0.18) keineReaktion(0.17)0.11
0.01 0.0213
DieErgebnissezurDatenlöschungfallenbesseraus – abernuraufdenerstenBlick.
informelle Anfrage
formale Anfrage
Erkenntnisse– BereitschaftzurDatenlöschunghöheralszurAuskunft.– EinigeAnbieterlöschenDatennichtvollständig.– Aber:BearbeitungerfolgtnichtmitgebührenderSorgfalt.
Ergebnisse für Datenlöschung
14
VieleAnbieterhabenAccountssofortnachEingangderAnfragegelöscht– ohneRückfragebeimKontoinhaber.
Guten TagMichael,
Ihr Konto ist hiermit gelöscht.
Mit besten Grüßen aus HamburgMathilde
Sender: SupportAn: [email protected]
Folge: UnberechtigteDrittekönnenfremdeKontenlöschen.
Anfrage Antwort
15
NurwenigeAnbieterhabenDatenauskunft- undLöschprozessesicherimplementiert.
SehrgeehrterHerrHummel,
…wennSieIhreTeilnahmeamMiles&MoreProgrammbeendigenmöchten,schickenSiebitteeinunterschriebenesKündigungs-schreiben andieAnschrift…oderperFaxandieNummer…
BeieinerKündigungwerdendieDatengesperrt undbleibenbiszumEndederjeweiligenAnspruchs- undgesetzlichenAufbewahrungsfristengespeichert.
MitfreundlichenGrüßenN.N.DeutscheLufthansaAG
SehrgeehrterHerrMüller,
…wirbedauernsehr,dassSiefürIhrBenutzerkontoauwww.bahn.dekeineVerwendungmehrhaben.
WennSieeslöschenmöchten,gehenSiewiefolgtvor:
LoggenSiesichmitIhremBenut-zernamen undPasswortein
KlickenSieanschließendauf„Kundenkontolöschen“
IhrekomplettenDatenwerdenjetztunwiderruflichgelöscht.BedenkenSiedabei,dassesdannnicht…
16
NurwenigeAnbieterhabenDatenauskunft- undLöschprozessesicherimplementiert.
BeobachteteSicherheitsmechanismen– VerweisaufLöschfunktionnachLogin– Personalausweiskopie und/oderUnterschrift– ÜbermittlungderAuskunftaufPostweg– AnbietererbittetRückruf
EinflussderUnternehmensgröße?KonzerneschneidennichterheblichbesserabalsmittlereundkleineUnternehmen.
EinflussdesUnternehmenssitzes?DeutscheUnternehmenschneidenbesserabalseuropäischeundaußereuropäische.
Dr.DominikHerrmann(http://herdom.net) https://dhgo.to/kein-recht
DurchsetzungderBetroffenenrechteineffektivundineffizient– Erfolgsquoteetwa50%(n.repräsentativ)
– uneinheitlichemanuelleProzesse
– fehlendeAwarenessimSupport
SiehabenkeinRechtzuschweigen:WiereagierenDienstanbieteraufAnfragenzurDatenauskunftundKontenlöschung?
Folgerungen
– BedarfanAutomatisierung
– StärkungderAufsichtsbehörden