Die im Mai 2018 in Kraft getretene Datenschutzgrundverordnung (DSGVO) soll die Verarbeitung personenbezogener Daten verbessern und damit Verbraucher besser schützen – eigentlich. Macht sie aber nicht immer, im Gegenteil, sie erhöht hie und da sogar die Gefahr neuer Datenlecks, wie die "Frankfurter Allgemeine Zeitung" (FAZ) berichtet. Der Zeitung zufolge warnte James Pavur von der Universität in Oxford auf der IT-Sicherheitskonferenz "Black Hat" in Las Vegas vor neuen Verwundbarkeiten durch die Auskunftsrechte, die die Verordnung vorschreib. 

Der Doktorand der britischen Elite-Universität stützt seine Warnung auf die Resultate eines spekatulären Selbstversuchs. Er verschickte 150 Anfragen an Firmen und erhielt problemlos Kreditkartendaten, Geburtsdaten, Passwörter und Sozialversicherungsnummern seiner Verlobten, die eingeweiht war. Dabei half ihm ausgerechnet das Datenschutzrecht dabei, die Unternehmen zu überlisten, so die FAZ. Der Grund ist banal: Die Firmen müssen innerhalb eines Monats auf Anfragen reagieren, sonst drohen hohe Geldbußen. Zudem landeten die Anfragen häufig bei Angestellten aus der Verwaltung oder der Rechtsabteilung – dort seien Informationen "viel leichter herauszukitzeln als bei Sicherheitsfachleuten" schreibt die Zeitung.

Bemerkenswert ist auch, dass IT-Profis die Thematik längst erkannt haben. Der baden-württembergische Datenschutzbeauftragte Stefan Brink nennt das Problem gegenüber der Zeitung "naheliegend und bekannt". Unternehmen wie Banken und Versicherer steckten allerdings in der Zwickmühle: Sie seien verpflichtet, umfangreich und schnell über gespeicherte Daten Auskunft zu geben. Zugleich müssten sie die Identität der Fragesteller feststellen. (jb)