Datenleck bei Buchbinder: Was Betroffene jetzt tun k?nnen

Datenleck bei Buchbinder: Was Betroffene jetzt tun k?nnen

Praxis & Tipps | Tipps & Tricks

Bild: Heise

Auskunftsansprüche, Meldepflichten oder sogar Schadensersatz: Was k?nnen die drei Millionen Betroffenen unternehmen und welche Rechte stehen ihnen zu?

H?chst pers?nliche Daten von drei Millionen Kunden der Autovermietung Buchbinder lagen über Wochen v?llig ungeschützt im Netz. Betroffen sind nicht nur Mieter, die ihre Fahrzeuge direkt bei Buchbinder orderten, sondern mitunter auch Kunden von Vergleichsportalen und Vermittlungsdiensten, die oftmals gar nicht wissen, dass ihre Fahrzeuge von Buchbinder gestellt wurden. Rund 2,5 Millionen Kunden stammen aus Deutschland, etwa 400.000 aus ?stereich und etwas über 100.000 aus dem übrigen Ausland.

Hinzu kommen rund 3,1 Millionen Fahrer aus allen L?ndern der Welt, deren eventuelle Unfallgegner sowie Zeugen von Unf?llen. Nicht zu vergessen s?mtliche Mitarbeiter, Gesch?ftspartner, Gutachter, Rechtsanw?lte, Zulieferer, Werkst?tten und Autoh?user, mit denen die Buchbindergruppe zu tun hatte.

Da die Kundendaten bis ins Jahr 2003 zurückreichen, wird es für Buchbinder nicht einfach sein, s?mtliche Betroffenen zu kontaktieren – mancher wird in der Zwischenzeit umgezogen sein, oder hat seine Telefonnumer oder E-Mail-Adresse ge?ndert.

Da zu den ?ffentlich zug?nglichen Informationen aus der Buchbinder-Datenbank nicht nur Namen, Adressen, Geburts- und Führerscheindaten, sondern auch Zahlungsdaten sowie Passw?rter im Klartext geh?ren, ist das Missbrauchspotential hoch. Deshalb kl?ren wir im Folgenden ab, welche Gefahren drohen und welche Rechte Betroffene haben.

Die wichtigste Antwort zuerst: Wir haben in der Datenbank keine Listen mit Kreditkartennummern gefunden. Wohl aber eingescannte Rechnungen mit Kontoverbindungen und Zahlungsinformationen. Deshalb sehen wir keinen Anlass, Kreditkarten pauschal sperren zu lassen.

Trickbetrüger k?nnten das Buchbinder-Leck jedoch für gezielte Phishing-Attacken nutzen, indem Sie Mails verschicken, die sich auf Autobuchungen beziehen und Sie auffordern, neue Zahlungsinformationen zu hinterlegen. Klicken Sie nicht direkt auf Links in Mails, sondern kontaktieren Sie die Firma gegebenenfalls auf anderem Wege.

Wenn Sie ein Online-Konto bei Buchbinder haben oder sogar Mitarbeiter sind, besteht die Wahrscheinlichkeit, dass Ihre Login-Informationen samt E-Mail-Adresse und Passwort ver?ffentlicht wurden. Wir haben in den Datenbanken mehrere tausend Passw?rter im Klartext gefunden. Betrüger k?nnten mit diesen Informationen versuchen, auch andere Accounts von Ihnen zu übernehmen, wenn Sie dort das gleiche oder ein ?hnliches Passwort wie bei Buchbinder nutzen. Deshalb sollten Sie betreffende Passw?rter ?ndern. Auch hier wieder Vorsicht vor Phishing-Mails, die Sie mit einem Link zur Eingabe neuer Passw?rter auffordern.

Zu jedem Kunden ist in der Datenbank vermerkt, zu welchem Zeitpunkt er an welchem Ort einen Wagen abgeholt und wo und wann er ihn wieder zurückgebracht hat, inklusive der zwischendurch gefahrenen Kilometer. Weitere Geodaten, die die Fahrwege der Mietwagen protokollieren, haben wir nicht gefunden.

Kritisch sind die Daten eventuell für Dauerkunden, die in sicherheitsrelevanten Bereichen t?tig sind, da sich hier grobe Bewegungsmuster erstellen lassen.

Die Unfalldatenbank reicht bis ins Jahr 2006 zurück und umfasst etwas über 500.000 F?lle. Das meiste sind Lacksch?den, aber es gab auch gr??ere Unf?lle mit Verletzten und sogar einigen Toten. In der Datenbank sind zuweilen die Namen und Kontaktdaten (Adresse, Telefonnummer) von Unfallgegnern sowie Zeugen vermerkt.

Zudem gibt es Freitext-Felder mit Angaben zum Unfallhergang: Zeit und Ort, mitunter Geschwindigkeitsangaben und Bemerkungen zur Schuldfrage, Versicherung und Schadensh?he. In weniger als hundert F?llen ist auch angegeben, ob die Polizei eine Blutprobe angeordnet hatte. Ergebnisse von Blutproben haben wir nicht gefunden.

Wir haben in den Daten dutzende Pers?nlichkeiten des ?ffentlichen Lebens, Prominente, Politiker, ja sogar Weltstars gefunden, die wir aus Rücksicht jedoch nicht nennen. In der Datenbank sind deren Privatadresse, Geburtsdatum, Handy-Nummer und E-Mailadresse zu finden.

Herausfiltern lassen sich auch mutma?liche Mitglieder religi?ser Vereine, Parteien, von Schwulen- und Lesben-Gruppen sowie von Selbsthilfegruppen für Suchtkrankheiten et cetera – sofern sie deren Namen auf den Rechnungen bei einer Autoanmietung angegeben haben.

Diese Personen müssen damit rechnen, dass ihnen nachgestellt wird oder die Daten für weitere Doxing-Attacken genutzt werden.

Aus juristischer Sicht ist ein derart offener Server ein Datenschutz-GAU und ein elementarer Versto? gegen die Vorgaben der DSGVO: Das Thema IT-Sicherheit hat in den europ?ischen Vorgaben einen weitaus h?heren Stellenwert erhalten, so dass diese nun elementarer Bestandteil des Datenschutzes wird. Sollte die zust?ndige Aufsichtsbeh?rden einen Versto? gegen die DSGVO feststellen, w?re ein Bu?geld in erheblicher H?he f?llig. Neben den vermutlich nicht allzu kleinen Bu?geldern droht dem Unternehmen allerdings noch ein anderes Damoklesschwert.

Vor dem Bu?geld erwartet den Autoverleiher von Seiten der eigenen Kunden eine ganze Reihe von anderen unangenehmen Ma?nahmen aus dem Katalog des Datenschutzes. Es spricht einiges dafür, dass Buchbinder im vorliegenden Fall die betroffenen Kunden über das Daten-Desaster informieren muss. Wer darauf nicht warten will, kann sich im Rahmen eines Auskunftsanspruchs detaillierte Informationen über die bei dem Unternehmen gespeicherten Informationen holen.

Wer wissen will, ob seine Informationen in der Datenbank gespeichert sind und m?glicherweise von dem Leck betroffen sind, kann dies im Rahmen einer Selbstauskunft proaktiv erfragen. Art. 15 DSGVO bietet allen Bürgern die M?glichkeit, von dem Unternehmen eine Selbstauskunft zu verlangen. Wir haben für eine solche Anfrage ein Formular vorbereitet, die ct5F. Die für private Zwecke kostenlos verwendbare Vorlage ist hier abrufbar:

Dabei ist es erforderlich, sich gegenüber dem Unternehmen zu legitimieren, so dass eine falsche Auskunft ausgeschlossen werden kann. Hierzu sollten demnach neben der Adresse noch weitere Daten angegeben werden, etwa die Kundennummer. Wer auf Nummer sicher gehen will, kann eine (teilgeschw?rzte) Kopie seines Personalausweises mitschicken.

Allzu schnelle Antwort darf man bei derartigen Anfragen nicht erwarten, denn die DSGVO sieht hierfür eine Frist von einem Monat vor. Eine Antwortpflicht besteht übrigens auch dann, wenn keine Informationen über den Anfragenden vorliegen. Die Kontaktanschrift für das Gesuch kann man dem Impressum der Buchbinder-Webseite entnehmen. Der Datenschutzbeauftragte, an den man solche Auskünfte auch online richten kann, ist unter d[email protected] erreichbar.

Betroffene Kunden erfahren allerdings m?glicherweise noch früher von dem Daten-GAU. Denn ein Datenschutzversto? bedingt zudem strenge Meldepflichten, zun?chst bei den zust?ndigen Aufsichtsbeh?rden der Bundesl?nder. Dies gilt nach Art. 33 DSGVO zumindest dann, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich "zu einem Risiko für die Rechte und Freiheiten natürlicher Personen" führt. Dies dürfte im vorliegenden Fall eindeutig zu bejahen sein, da sich aus den frei zug?nglichen Informationen ein erhebliches Missbrauchspotential ergibt.

Daher ist vorliegend "unverzüglich und m?glichst binnen 72 Stunden", nachdem ihm die Verletzung bekannt wurde, die Beh?rde zu informieren. Nach Information der c’t ist allerdings im Buchbinder-Fall das zust?ndige Amt in Bayern bereits von Dritten informiert.

Zur DSGVO und aktuellen Entwicklungen siehe:

Die aktualisierte und stark erweiterte Ausgabe des c't-Sonderhefts zur Datenschutz-Grundverordnung mit noch mehr FAQs, Checklisten und Mustern für die aktuellen Probleme des Datenschutzes.

Damit nicht genug, sieht Art. 34 DSGVO vor, dass im Falle eines Sicherheitslecks auch die Betroffenen von der Verletzung zu informieren sind, also die Kunden. Voraussetzung dafür ist, dass durch den Vorfall "voraussichtlich ein hohes Risiko" für deren pers?nlichen Rechte und Freiheiten entsteht, wofür im vorliegenden Fall einiges spricht. In diesem Fall muss sich das verantwortliche Unternehmen an jeden einzelnen Betroffenen wenden, von dem Datenleck berichten und über m?gliche Folgen warnen.

Neben den Bu?geldern, die leicht eine siebenstellige H?he erreichen k?nnen, droht dem Autoverleiher aber auch noch weiterer finanzieller ?rger. Denn jede Person, der wegen eines Versto?es gegen die DSGVO "ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz". Dieser richtet sich gegen den Verantwortlichen, hier also die Buchbinder-Gruppe, oder sogar gegen den Auftragsverarbeiter, im vorliegenden Fall mutma?lich der Hoster.

Dabei reicht bereits eine immaterielle Sch?digung aus. Hier kann bereits die Tatsache genügen, dass sensible Daten der Kunden offen im Web standen. Da im vorliegenden Fall zum Beispiel auch Gesundheitsdaten, politische Ansichten oder sexuelle Vorlieben aus den Daten extrahiert werden k?nnten, ist ein solcher Anspruch nicht unwahrscheinlich. Dieser w?re dann zwar im Normalfall allenfalls im vierstelligen Bereich. Andererseits k?nnten aber leicht Hunderttausend Kunden oder mehr betroffen sein.

Dass es hier m?glicherweise Geld zu verdienen gibt, hat inzwischen auch ein erstes Unternehmen der Legaltech-Branche erkannt. Kaum vier Stunden nach Ver?ffentlichung unserer Meldung war eine Landingpage online. Diese bietet den Betroffenen an, Schadensersatzansprüche nach DSGVO gegen den Autoverleiher geltend zu machen – natürlich gegen eine entsprechende Beteiligung. (hag)

Kommentare

Kommentare lesen (66 Beitr?ge)

汤姆叔叔影院