Auf der Black Hat Konferenz 2019 in Las Vegas wurde berichtet, dass es durch Auskunftsanfragen gem. §15 DS-GVO zu Datendiebstählen gekommen ist. Über gefälschte e-Mail-Adressen wurden Auskunftsersuchenanfragen an Webseitenbetreiber gestellt. Gem. DS-GVO Artikel 20 sind die Betreiber verpflichtet ihren Nutzern eine Datenportabilität zu ermöglichen. Der englische Student James Pavur stellte mit einer gefälschten e-Mail Adresse Auskunftsersuchen an 150 Organisationen per Standardanfrage. Es war vorab aber gar nicht klar,
ob bei den Organisationen überhaupt Benutzerkonten für den verwendeten Namen bestanden. Verlangt wurde jeweils die vollständige Herausgabe aller Daten.
72% der Unternehmen reagierten. 23% erteilten überhaupt keine Antwort. 5% wiesen das Ersuchen zurück. Insgesamt 24% der Organisationen übermittelten ohne weitere Prüfung die angeforderten Daten. 16% forderten weitere Identitätsnachweise. Das macht in Summe 40% der Organisationen, die unberechtigterweise ihre Kundendaten preisgaben.
Datenschutz Bochum rät: Falls Sie so eine Abfrage erhalten, prüfen Sie genau, wem Sie Auskunft erteilen.