Eine durchaus vermeidbare Datenschutzlücke bei verschiedenen deutschen Wohnungsbaugesellschaften geht zur Zeit als Skandal durch die Medien. Danach wurden sensible persönliche Informationen, die Wohnungssuchende in Web-Formulare eintrugen, unzulässiger Weise und entgegen geltender Standards unverschlüsselt über das Internet übertragen. In einigen Bundesländern wollen sich jetzt die Datenschutzbeauftragten mit der Angelegenheit befassen.
Immer wenn Internetnutzer sensible persönliche Daten auf Webseiten eingeben, können sie eigentlich schon seit vielen Jahren davon ausgehen, dass diese Daten auf dem Übertragungsweg sicher verschlüsselt werden.
Elementaren Datenschutz durch Verschlüsslung vergessen?
Als Standardverfahren kommt dazu etwa die sichere Variante des Übertragungsprotokolls HTTPS (Hypertext Transfer Protocol Secure) zum Einsatz. Doch nach einem Bericht der Frankfurter Allgemeinen Zeitung haben zahlreiche Wohnungsbaugesellschaften in Deutschland auf diese elementare Absicherung verzichtet und die Daten unverschlüsselt übertragen. Damit hätten sie schon lange geltende Standards unterschritten.
Sehr sensible Daten waren ungeschützt
Bei mindestens neun Unternehmen, die zusammen rund 230.000 Wohnungen anbieten und die in fünf verschiedenen Bundesländern tätig sind, soll es demnach zu diesen Problemen gekommen sein.
- Zwar hatten die Unternehmen auf ihre Webseiten die Einhaltung des Datenschutzes versprochen,
- doch seien die Daten trotzdem völlig ungesichert übertragen worden.
Zu den von den Wohnungsinteressenten auf den Web-Formularen eingegebenen Informationen gehörten auch hochsensible Daten wie etwa zum Einkommen, zum Arbeitsverhältnis oder zu Sozialleistungen.
Verschlüsselung nach dem Stand der Technik ist Pflicht
Zwar wurden die Sicherheitslücken zwischenzeitlich geschossen, allerdings gibt es immer noch einige Anbieter, die weiterhin veraltete Verschlüsselungsverfahren einsetzen bzw. ungeschützte Formulare verwenden. Damit verstoßen sie nach Ansicht des hessischen Datenschutzbeauftragten, Michael Ronellenfitsch, jedoch gegen geltendes Recht.
Besonders Daten, die erhöhtem Schutzbedarf unterliegen, dürften nie unverschlüsselt via Internet übertragen werden.
Click to tweet
Eine Transportverschlüsselung nach dem „Stand der Technik“ sei Pflicht.
Mieterbund: generelle Defizite beim Datenschutz bei Wohnungssuche
Beim Deutschen Mieterbund sieht man diesen Vorfall als weiteren Beleg dafür, dass der Datenschutz bei der Wohnungssuche kleingeschrieben werde. Auch beim Bundesverband der Verbraucherzentralen zeigte man unzufrieden und wies darauf hin, dass Nutzer sich darauf verlassen können müssten, dass ihre Daten bestmöglich verschlüsselt und gesichert werden.
Datenschutzbeauftragte wollen aktiv werden
Zumindest in einigen Bundesländern wollen laut dem FAZ-Bericht nun die Datenschutzbeauftragten diesen Vorfällen nachgehen, ob es jedoch zu Konsequenzen für die Unternehmen kommt, ist mehr als unsicher. Generell fehle es den Behörden an Personal, um etwa flächendeckende Kontrolle durchzuführen.
Lediglich in Bayern sei derzeit eine Massenüberprüfung von Webseiten, auf denen personenbezogene Daten erhoben werden, geplant.
(Kunden-)Daten als Compliance-Falle:
Immer wider stolpern Unternehmen über Kundendaten aus der Compliance. Mal hapert es an der Organisation, mal an der Schulung: Schulungsbedarf im Mittelstand: Digitalisierung nimmt zu, IT-Sicherheit nimmt ab. Auch Dienstliche Mails sind meist unverschlüsselt.