Die Einführung der Europäischen Datenschutzgrundverordnung hat neben einer Vereinheitlichung der Datenschutzregeln in der EU auch zu einer Stärkung der Betroffenenrechte geführt. Jedes Unternehmen muss auf Anfrage unter anderem Auskunft darüber erteilen, welche Daten einer Person gespeichert wurden und auf Verlangen diese Daten auch löschen. Genau diese Rechte und die hohen Bußgelder, die bei Nichteinhaltung der Datenschutzregeln der DSGVO drohen, machen sich anscheinend nun Betrüger zu nutze.
Bisher sind hauptsächlich zwei Maschen bekannt. Die erste funktioniert so: Eine Person meldet sich über das Kontaktformular auf der Webseite des betroffenen Unternehmens und bittet um einen Rückruf. Kommt das Unternehmen dann dieser Bitte nach, ist niemand unter der angegebenen Nummer erreichbar. Einige Zeit später meldet sich die Person wieder und bittet um Auskunft, welche Daten das Unternehmen über sie gespeichert hat und verlangt die Löschung. In einer anderen Variante wird der Newsletter abonniert und dann kurze Zeit später ebenfalls um Auskunft und Löschung gebeten.
Hier gibt es drei Fehlerquellen für Unternehmen, die die eigentlichen Ansatzpunkte der Betrüger darstellen:
- Die Unternehmen antworten vorschnell, dass keine Daten der Person gespeichert wurden, da der bisherige kurze Kontakt im Unternehmen weitgehend unbekannt ist.
- Oft erfolgen Auskunftsersuchen über die gespeicherten Daten und Aufforderung zur Löschung derselben so kurzfristig hintereinander oder auch gleichzeitig, dass die Unternehmen meist nur die Löschung veranlassen.
- Teilweise reagieren betroffene Unternehmen auch gar nicht auf die entsprechenden Anfragen, obwohl die DSGVO eine vierwöchige Frist vorsieht.
Hat ein Unternehmen mit einem der drei Punkte eine Angriffsfläche geboten, meldet sich nach einiger Zeit eine Anwaltskanzlei. Diese fordert wegen mutmaßlicher Verletzung der Betroffenenrechte einen Schadenersatz in vierstelliger Höhe (meist zwischen 1.500 und 2.500 Euro) zuzüglich angefallener Anwaltskosten. Als Gründe werden die unvollständige und falsche Auskunft über die gespeicherten Daten und die vorschnelle Löschung ohne vorherige Auskunft angeführt. Sollte das Unternehmen auf das Angebot nicht eingehen, wird ein angeblich weitaus teureres Gerichtsverfahren angedroht, dass außerdem zu Bußgeldern im Rahmen der DSGVO führen könne.
„Die Betrüger machen sich die Unsicherheit vieler Unternehmen im Umgang mit der DSGVO zu nutze.“ erläutert der langjährige Datenschutzfachmann und UIMC-Geschäftsführer Dr. Jörn Voßbein. „Jedes Unternehmen sollte bei Betroffenenanfragen höchste Sorgfalt walten lassen.“ Die innerbetrieblichen Prozesse müssten so gestaltet werden, dass auch scheinbar belanglose Kontakte datenschutzkonform erfasst werden. „Ein Datenschutzkonzept muss alle Vorgänge im Unternehmen im Blick haben.“ Betroffenen Unternehmen rät Dr. Voßbein, nicht vorschnell auf die Forderungen einzugehen und sich durch einen Datenschutzexperten fachlich beraten zu lassen.
Die UIMC ist eine gesellschaftergeführte mittelständische Unternehmensberatung mit den Kerngebieten Datenschutz und Informationssicherheit; im Datenschutz gehören wir zu den marktführenden Beraterhäusern. Wir bieten als Vollsortimenter sämtliche Unterstützungsmöglichkeiten der Analyse, Beratung, Umsetzung und Schulung/Sensibilisierung bis hin zum Komplett-Outsourcing des Beauftragten an.
Das Schwesterunternehmen UIMCert ist als sachverständige Prüfstelle für die Norm ISO/IEC 27001 von der DAkkS akkreditiert.
UIMC Dr. Vossbein GmbH & Co. KG
Otto-Hausmann-Ring 113
42115 Wuppertal
Telefon: +49 (202) 946 7726 200
Telefax: +49 (202) 946 7726 9200
http://www.uimc.de
Geschäftsführer
Telefon: +49 (202) 9467726-200
Fax: +49 (202) 9467726-9200
E-Mail: consultants@uimc.de