In den letzten Monaten haben sich die Datenschutzaufsichtsbehörden in Hamburg, Berlin, Bayern und Baden-Württemberg im Rahmen einer abgestimmten Prüfaktion eingehend mit der Frage beschäftigt, inwieweit soziale Netzwerke, Dating-Portale und Online-Partnervermittlungen datenschutzkonform agieren (wir berichteten). Nun gab das Bayerische Landesamt für Datenschutzaufsicht in einer Pressemitteilung die Prüfergebnisse für die in seinen Zuständigkeitsbereich fallenden Dating-Portale bekannt.

Hauptkritikpunkt: Mangelnde Passwortsicherheit

Die Aufsichtsbehörde betonte in Ihrem Prüfbericht neben datenschutzrechtlichen Fragen insbesondere die Bedeutung der Umsetzung angemessener technischer Maßnahmen zur Datensicherheit durch Dating-Portal-Betreiber. So würden Nutzer auf allen Portalen dazu animiert, höchst sensible und intime Informationen preiszugeben, die sie im analogen Leben wahrscheinlich nie oder erst im Rahmen einer vertrauensvollen persönlichen Beziehung offenbart hätten. Hierzu zählen bspw. Angaben zu Rauch und Trinkgewohnheiten, Gewicht, Religionspraxis, Fitnesslevel und erotischen Vorlieben. Zur Verdeutlichung der möglichen Auswirkungen von Datenpannen in diesem Bereich, verweist der Prüfbericht auf den Fall des kanadischen Seitensprung-Portals Ashley Madison. Hacker hatten hier im Juli mehr als 30 Millionen sensible Nutzerdaten erbeutet und ins Internet gestellt. Nach Medienberichten waren betroffene Nutzer infolgedessen öffentlichem Spott und Erpressungsversuchen ausgesetzt. Teilweise sollen die Folgen des Hacking-Angriffs sogar Auslöser für suizidale Handlungen Betroffener gewesen sein.

In Anbetracht der hohen Sensibilität der Daten bemängelte das Bayerische Landesamt für Datenschutzaufsicht, dass sämtliche überprüfte Dating-Portale über ein unzureichend sicheres Anmeldeverfahren verfügen. Insbesondere die Passwortqualität stand in der Kritik. Auf den meisten Portalen würden im Rahmen des Logins Passwörter mit nur drei bis sechs Stellen und zudem ohne jegliche Komplexität gefordert. Dieses stufte die Aufsichtsbehörde als „schlichtweg unsicher“ ein.

Weitere Prüfergebnisse im Überblick

Neben Aspekten zur Datensicherheit wurde von der bayerischen Aufsichtsbehörde zudem in den folgenden Bereichen Nachholbedarf festgestellt:

Umgang mit Auskunftsersuchen

Zwar werde Auskunftsersuchen entsprechend der gesetzlichen Vorgaben (§ 34 BDSG – Bundesdatenschutzgesetz) schnell und zuverlässig entsprochen. Jedoch würden die Anforderungen an den Nachweis der Berechtigung des Auskunftsbegehrenden teilweise zu niedrig angesetzt. Im Falle unberechtigter Auskunftsersuchen könne der Schutz der Nutzerdaten auf diesem Wege ausgehebelt werden.

Datenschutzbestimmungen

Die auf den Dating-Portalen vorhandenen Datenschutzbestimmungen informieren die Nutzer nach Ansicht der Aufsichtsbehörde nicht hinreichend transparent darüber, welche personenbezogenen Daten konkret erhoben und wie diese verarbeitet werden.

Identifizierung und Altersverifikation

Weiter wurde festgestellt, dass zu Zwecken der Identifizierung und Altersverifikation teilweise Kopien der Personalausweise der Nutzer angefordert werden. Dieses ist aus datenschutzrechtlicher Sicht (insbesondere hinsichtlich des neuen elektronischen Personalausweises) grundsätzlich unzulässig (wir berichteten).

Zugriff auf Kommunikationsinhalte

Überrascht zeigte sich die Aufsichtsbehörde von der Feststellung, dass nahezu alle Portalbetreiber die Kommunikationsinhalte der (nichts ahnenden) Nutzer mitlesen und auswerten können. Ein derartiger Grundrechtseingriff sei jedoch nur auf Grundlage zuvor eingeholter Einwilligungserklärungen der Nutzer zulässig.

Die Portalbetreiber werden aktuell von dem Bayerischen Landesamt für Datenschutzaufsicht über die bei ihnen festgestellten Mängel informiert und aufgefordert diese unverzüglich zu beheben.

Appell an die Nutzer

Der Prüfbericht endet mit einem Appell an die Nutzer, sich im Vorfeld gezielt zu überlegen, welche und wie viele Informationen sie auf Dating-Portalen von sich preisgeben wollen. Insbesondere sollten Nutzer sich darüber bewusst sein, dass vorgeschlagene Partner alle eingegebenen persönlichen Informationen einsehen können. Zumal es keine Garantie dafür gebe, dass das Finden eines geeigneten Partners von der  Menge der eingegebenen Daten  abhängt.

Soweit das Bayerische Landesamt für Datenschutzaufsicht. Die Prüfungsergebnisse aus den anderen beteiligten Bundeländern bleiben mit Spannung abzuwarten.