Fachanwalt für Urheber- und Medienrecht und Spezialist für Arbeitsrecht, Zertifizierter Datenschutzbeauftragter (TÜV)
T (+49) 040 / 7344 086-0
Rechtsanwältin & Expertin für IT-Recht und Datenschutz
T (+49) 040 / 7344 086-0
Blog News
Der jüngste Fall eines italienischen IT-Beraters zeigt, wie leicht private Kontaktdaten hochrangiger Politiker, Militärs und Wirtschaftsführer im Internet verfügbar sind – und wie unterschätzt der Datenhandel in Wahrheit ist. Andrea Mavilla, der eigentlich als IT-Spezialist in Mailand arbeitet, kann dank Datenbrokern mit wenigen Klicks persönliche Handynummern prominenter deutscher Entscheidungsträger aufrufen. Wenn selbst die Nummer von Bundeskanzler Friedrich Merz darunter ist, stellt sich ein Problem im Datenschutzrecht und der IT-Sicherheit.
Wenn man davon liest, dass die private Handynummer des Bundeskanzlers einem IT-Spezialisten zur Verfügung steht, denkt man das könne ja nicht so einfach sein. Sicherlich stecken da gewiefte Hacker dahinter- immerhin müssen Personen in Spitzenämtern doch auch digital gut geschützt sein.
Wie der Spiegel berichtet, muss jemand wie Mavilla aber gar nicht im Darknet stöbern und auch keine Sicherheitslücken ausnutzen. Stattdessen nutzt er frei verfügbare Erweiterungen für LinkedIn, die für Marketingzwecke geschaffen wurden. Diese Tools greifen auf gewaltige Datenbestände von Brokerfirmen zu, die ihre Informationen aus zahlreichen Quellen zusammentragen. So gelangen immer wieder private Kontaktdaten in Umlauf, ohne dass Betroffene davon wissen oder je eine Einwilligung erteilt haben.
Ein Datenbroker sammelt, kauft und analysiert große Mengen persönlicher Informationen aus unterschiedlichsten Quellen – etwa sozialen Netzwerken, Online-Registrierungen, Leaks, öffentlichen Registern oder Marketingdaten. Diese Informationen werden anschließend gebündelt, angereichert und meist gewinnbringend weiterverkauft.
Kunden solcher Broker sind vor allem Unternehmen, die die Daten für Werbung, Vertrieb oder Risikoanalysen nutzen. Das Problem: Betroffene wissen oft nicht, dass ihre Daten gesammelt werden, geschweige denn, dass sie dem zugestimmt hätten. Datenbroker schaffen so intransparenten Handel mit persönlichen Informationen, der Missbrauch, Überwachung oder Identitätsdiebstahl begünstigen kann.
Für Menschen in öffentlichen Ämtern kann das verheerende Folgen haben: Nicht nur Belästigungen, sondern auch gezielte Angriffe auf Smartphones oder kompromittierte Kommunikationswege können entstehen. Wo der physische Schutz durch Sicherheitsteams längst Standard ist, erscheint die digitale Verwundbarkeit umso alarmierender. Der Datenhandel schafft ein Einfallstor, das die Arbeit von Regierung und Behörden empfindlich stören kann.
Während Mavilla dem Spiegel die Ergebnisse seiner Recherche präsentiert, wird klar, wie tiefgreifend die Konsequenzen sein können. Gelangen sensible Nummern in die falschen Hände, wächst das Risiko von Angriffen massiv. Der Missbrauch reicht dabei weit über Spam oder Anrufe hinaus: Kriminelle können die betroffenen Geräte überwachen, Konten übernehmen oder Personen gezielt ausspionieren.
Identitätsdiebstahl wird so zu einer zentralen Gefahr. Dass selbst hochrangige Vertreter der Digital- und Cybersicherheit betroffen sind, verdeutlicht die Ohnmacht der Nutzer gegenüber den Verantwortlichen. Einige hohe Regierungsmitglieder fanden erst über den Spiegel-Artikel heraus, dass ihre Nummer kursierte. Die digitale Infrastruktur erfordert heute fast überall die Preisgabe persönlicher Daten – und jede dieser Stellen kann zur Quelle eines Leaks werden.
Auch wir Juristen sind schon seit einiger Zeit auf die Problematiken von Datenbrokern gestoßen. Naheliegend ist hier eine Verletzung der DSGVO durch die Verarbeitung personenbezogener Daten. Auch wenn diese Daten einzelner Personen von Einwilligungen diverser Dienste (Google Maps, Facebook etc.) gedeckt sein können, erfassen diese nicht den späteren Handel.
Nach Art. 6 Abs. 1 a), 7 DSGVO muss eine Einwilligung nämlich freiwillig, spezifisch, informiert und eindeutig sein. In Betracht kommt für die Broker eine Rechtfertigung über das sog. legitime Interesse. Danach müsste die Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen erforderlich sein und die Interessen der betroffenen Person dürfen nicht überwiegen. Ob das bei den rein wirtschaftlichen Interessen der Datenbroker an dem Handel mit personenbezogenen Daten zutrifft, ist zweifelhaft.
Problematisch ist auch, dass viele Datenbroker-Plattformen lediglich als Handelsplätze agieren und pauschal an Verkäufen beteiligt werden. Sie handeln somit nicht selbst mit den Daten und versuchen so, sich aus der Verantwortung zu ziehen. Dies ist vergleichbar mit Plattformen wie Ebay, bei denen es stets eine Herausforderung ist, wie weit sie für Rechtsverstöße verantwortlich gemacht werden können.
Obwohl mehrere deutsche Behörden über die Funde informiert wurden, dauerte es lange, bis die Warnungen ernst genommen wurden. Selbst Datenschutzverantwortliche und IT-Experten erfuhren häufig erst über journalistische Recherchen, dass ihre private Kontaktdaten im Netz kursieren.
Während staatliche Stellen eine wachsende Gefahr für IT-Sicherheit sehen, berufen sich die Datenhändler auf angeblich „legitime“ Methoden und verweisen auf Datenschutzstandards, die sie bei näherem Hinsehen kaum erfüllen. Doch was die Plattformen tun, ist in vielen Fällen unethisch und teilweise illegal. Trotzdem wächst der Markt rasant, denn der Bedarf an Daten ist groß – und der Datenhandel bleibt für viele Unternehmen lukrativ.
Besonders problematisch ist, dass Nutzer oft gar keine Möglichkeit haben, ihre Datenspuren zurückzuverfolgen. Telefonnummern landen in Leaks, werden weiterverkauft oder aus verschiedenen Quellen zusammengeführt. Selbst Löschanträge bei Datenbrokern sind riskant, da die Anbieter oft zusätzliche Informationen verlangen – ein Paradox, das die Betroffenen weiter belastet.
Auffällig ist zudem, dass jene Firmen, die mit gigantischen Datenmengen handeln, ihre eigenen private Kontaktdaten streng unter Verschluss halten. Es zeigt sich ein strukturelles Machtgefälle: Die Öffentlichkeit ist transparent, die Datenhändler sind es nicht.
Datenschutz ist seit einiger Zeit das Thema, das Unternehmen fast täglich mit neuen rechtlichen Herausforderungen konfrontiert. Als Anwalt für Datenschutz befasst sich SBS Legal im Datenschutzrecht mit den Anforderungen der Datenschutzgrundverordnung (DSGVO) und des Bundesdatenschutzgesetzes (BDSG). Und dies tun wir nicht nur bei der Erstellung der Datenschutzerklärung für Unternehmen des Mittelstandes. Das Datenschutzrecht ist dabei in das IT-Recht integriert, berührt aber zugleich auch das Arbeitsrecht, Wettbewerbsrecht, Urheberrecht sowie eine Reihe anderer Rechtsgebiete.
Als Spezialisten für Datenschutzrecht beraten wir Sie umfassend im Themenbereich Datenschutz und unterstützen Sie bei der Erstellung einer Datenschutzerklärung und den rechtmäßigen Umgang mit Cookies. Oder sind Sie auf der Suche nach einem TÜV zertifizierten Datenschutzbeauftragten - dann sind Sie bei uns richtig.
Sie brauchen eine Beratung im Datenschutzrecht oder einen Datenschutzanwalt, etwa für die Frage, wie die Handynummer des Kanzlers einfach erhältlich sein kann? Dann sind Sie bei uns richtig.