Manch einer erinnert sich vielleicht noch: Kurz vor der Einführung der Datenschutz-Grundverordnung (DSGVO) im Jahre 2018 hatten viele Unternehmen Angst vor Abmahnungen und Abmahnanwälten. Nachdem diese Angst sich vor knapp drei Jahren als unbegründet herausstellte, scheint nun doch eine „Masche“ gefunden worden zu sein, mit der DSGVO „Geld zu verdienen“. So berichtet die GDD (Gesellschaft für Datenschutz und Datensicherheit e.V.) über einen Anstieg von Anfragen zu Betroffenenrechten, die scheinbar in betrügerischer Absicht gestellt werden. Den betroffenen Unternehmen wird unter Androhung eines Gerichtsverfahrens eine Einigung gegen die Zahlung eines vierstelligen Schadenersatzes angeboten. „Diese Nepper-, Schlepper- und Bauernfängermethode ist nicht zu verharmlosen und sorgt für Verunsicherung, Ärger und finanzielle Schäden“, erklärt der langjährige Datenschutzexperte und UIMC-Geschäftsführer Dr. Jörn Voßbein. Wie genau funktioniert die Masche und wie sollten sich Unternehmen absichern?
Die Einführung der Europäischen Datenschutzgrundverordnung hat neben einer Vereinheitlichung der Datenschutzregeln in der EU auch zu einer Stärkung der Betroffenenrechte geführt. Jedes Unternehmen muss auf Anfrage unter anderem Auskunft darüber erteilen, welche Daten einer Person gespeichert wurden und auf Verlangen diese Daten auch löschen. Genau diese Rechte und die hohen Bußgelder, die bei Nichteinhaltung der Datenschutzregeln der DSGVO drohen, machen sich anscheinend nun Betrüger zu nutze.
Bisher sind hauptsächlich zwei Maschen bekannt. Die erste funktioniert so: Eine Person meldet sich über das Kontaktformular auf der Webseite des betroffenen Unternehmens und bittet um einen Rückruf. Kommt das Unternehmen dann dieser Bitte nach, ist niemand unter der angegebenen Nummer erreichbar. Einige Zeit später meldet sich die Person wieder und bittet um Auskunft, welche Daten das Unternehmen über sie gespeichert hat und verlangt die Löschung. In einer anderen Variante wird der Newsletter abonniert und dann kurze Zeit später ebenfalls um Auskunft und Löschung gebeten.
Hier gibt es drei Fehlerquellen für Unternehmen, die die eigentlichen Ansatzpunkte der Betrüger darstellen:
- Die Unternehmen antworten vorschnell, dass keine Daten der Person gespeichert wurden, da der bisherige kurze Kontakt im Unternehmen weitgehend unbekannt ist.
- Oft erfolgen Auskunftsersuchen über die gespeicherten Daten und Aufforderung zur Löschung derselben so kurzfristig hintereinander oder auch gleichzeitig, dass die Unternehmen meist nur die Löschung veranlassen.
- Teilweise reagieren betroffene Unternehmen auch gar nicht auf die entsprechenden Anfragen, obwohl die DSGVO eine vierwöchige Frist vorsieht.
Hat ein Unternehmen mit einem der drei Punkte eine Angriffsfläche geboten, meldet sich nach einiger Zeit eine Anwaltskanzlei. Diese fordert wegen mutmaßlicher Verletzung der Betroffenenrechte einen Schadenersatz in vierstelliger Höhe (meist zwischen 1.500 und 2.500 Euro) zuzüglich angefallener Anwaltskosten. Als Gründe werden die unvollständige und falsche Auskunft über die gespeicherten Daten und die vorschnelle Löschung ohne vorherige Auskunft angeführt. Sollte das Unternehmen auf das Angebot nicht eingehen, wird ein angeblich weitaus teureres Gerichtsverfahren angedroht, dass außerdem zu Bußgeldern im Rahmen der DSGVO führen könne.
„Die Betrüger machen sich die Unsicherheit vieler Unternehmen im Umgang mit der DSGVO zu nutze.“ erläutert der langjährige Datenschutzfachmann und UIMC-Geschäftsführer Dr. Jörn Voßbein. „Jedes Unternehmen sollte bei Betroffenenanfragen höchste Sorgfalt walten lassen.“ Die innerbetrieblichen Prozesse müssten so gestaltet werden, dass auch scheinbar belanglose Kontakte datenschutzkonform erfasst werden. „Ein Datenschutzkonzept muss alle Vorgänge im Unternehmen im Blick haben.“ Betroffenen Unternehmen rät Dr. Voßbein, nicht vorschnell auf die Forderungen einzugehen und sich durch einen Datenschutzexperten fachlich beraten zu lassen.