Im Mai vergangenen Jahres war es dann soweit. Die DSGVO trat in Kraft und hat für so einigen Wirbel – mitunter auch Panik – gesorgt. Der Schutz der Daten stand dabei aber immer im Vordergrund. Allerdings könnte der Schuss nun nach hinten losgegangen sein.
Firmen und Websitebetreibern wurde es vergangenes Jahr nicht einfach gemacht. Über allem schwebte die DSGVO und drohte mit zahlreichen Abmahnungen und Klagen, wenn die neuen Richtlinien nicht eingehalten werden. Die vorherrschende Panik etwas falsch machen zu können, führte aber nun genau zu dem was die Verordnung eigentlich verhindern wollte: die Daten der Verbraucher schützen. Ausgangspunkt ist dabei der Punkt „Auskunftspflicht von Unternehmen“. Dieser schreibt es vor, dass Firmen und Seitenbetreiber Informationen der Nutzer preisgegeben müssen, wenn diese danach fragen. Der wahr gewordene Traum für alle die sich mit Identitätsdiebstahl beschäftigen. Im Rahmen einer Studie, die auf der »black hat«-Konferenz 2019 in Las Vegas vorgestellt wurde, fand der Brite James Pavur nämlich heraus, dass viele Firmen schnell gewillt sind Nutzerdaten herauszugeben. Alles was Pavur offenbar nur braucht, war eine gefälschte E-Mail-Adresse. Dabei gab sich der Brite nicht einmal als Nutzer an sich aus, sondern als angebliche Freundin des Nutzers. Die Zahlen sprechen dabei für sich. 72 Prozent der angeschriebenen Firmen antworteten, wovon gerade einmal fünf Prozent die Auskunft verweigerten. Erschreckende 24 Prozent kamen Pavurs Anfrage sogar direkt nach und schickten ihm, ohne weitere Identitätskontrollen, die Daten zu. Bei den restlichen Firmen reichte offenbar ein marginaler Identitätscheck aus, um an die Daten zu kommen.
Pavuir schien selbst überrascht zu sein, wie leicht er an die Nutzerdaten gekommen ist und hat daher auch gleich ein paar Verbesserungsvorschläge mitgebracht. So sollen Firmen aus Prinzip die Account-Logindaten verlangen und auch eIDV („Electronic Identity Verification“) zum Einsatz bringen. Damit könne schon ein Großteil der verdächtigen Anfragen bearbeitet werden. Auch sollte das Gesetz dahingehend klarer und lockerer werden, so dass es Firmen leichter fällt, ominöse Anfragen abzulehnen. Am Ende ist aber immer noch Vorsicht das höchste Gebot und alle Websitebetreiber sollten lieber zweimal die Anfragen überprüfen, anstatt einfach nachzugeben.