Die Einführung der Europäischen Datenschutzgrundverordnung hat neben einer Vereinheitlichung der Datenschutzregeln in der EU auch zu einer Stärkung der Betroffenenrechte geführt. Jedes Unternehmen muss auf Anfrage unter anderem Auskunft darüber erteilen, welche Daten einer Person gespeichert wurden und auf Verlangen diese Daten auch löschen. Genau diese Rechte und die hohen Bußgelder, die bei Nichteinhaltung der Datenschutzregeln der DSGVO drohen, machen sich anscheinend nun Betrüger zu nutze.
Bisher sind hauptsächlich zwei Maschen bekannt. Die erste funktioniert so: Eine Person meldet sich über das Kontaktformular auf der Webseite des betroffenen Unternehmens und bittet um einen Rückruf. Kommt das Unternehmen dann dieser Bitte nach, ist niemand unter der angegebenen Nummer erreichbar. Einige Zeit später meldet sich die Person wieder und bittet um Auskunft, welche Daten das Unternehmen über sie gespeichert hat und verlangt die Löschung. In einer anderen Variante wird der Newsletter abonniert und dann kurze Zeit später ebenfalls um Auskunft und Löschung gebeten.
Hier gibt es drei Fehlerquellen für Unternehmen, die die eigentlichen Ansatzpunkte der Betrüger darstellen:
- Die Unternehmen antworten vorschnell, dass keine Daten der Person gespeichert wurden, da der bisherige kurze Kontakt im Unternehmen weitgehend unbekannt ist.
- Oft erfolgen Auskunftsersuchen über die gespeicherten Daten und Aufforderung zur Löschung derselben so kurzfristig hintereinander oder auch gleichzeitig, dass die Unternehmen meist nur die Löschung veranlassen.
- Teilweise reagieren betroffene Unternehmen auch gar nicht auf die entsprechenden Anfragen, obwohl die DSGVO eine vierwöchige Frist vorsieht.
„Die Betrüger machen sich die Unsicherheit vieler Unternehmen im Umgang mit der DSGVO zu nutze.“ erläutert der langjährige Datenschutzfachmann und UIMC-Geschäftsführer Dr. Jörn Voßbein. „Jedes Unternehmen sollte bei Betroffenenanfragen höchste Sorgfalt walten lassen.“ Die innerbetrieblichen Prozesse müssten so gestaltet werden, dass auch scheinbar belanglose Kontakte datenschutzkonform erfasst werden. „Ein Datenschutzkonzept muss alle Vorgänge im Unternehmen im Blick haben.“ Betroffenen Unternehmen rät Dr. Voßbein, nicht vorschnell auf die Forderungen einzugehen und sich durch einen Datenschutzexperten fachlich beraten zu lassen.