X
Digital
Datenschutz Digital Law Top Stories

Massives Datenleck bei Autoverleiher Buchbinder

(Bild: © Marcus_Millo) (Bild: © Marcus_Millo)

Millionen Kundendaten, davon 400.000 aus Österreich, standen für unbekannte Zeit völlig ungeschützt und für jedermann zugänglich im Internet. Neben Strafen drohen nun auch eine Flut an Auskunftsbegehren sowie Schadenersatzforderungen.  

Gemeinsame Recherchen des Computermagazins c’t und der Wochenzeitung DIE ZEIT haben ans Licht gebracht, dass es bei der Autovermietung Buchbinder ein Datenleck von bedeutendem Ausmaß gab. Zwar wurde das Leck mittlerweile geschlossen, jedoch stand (für eine noch unbekannte Dauer) ein Backup der gesamten Unternehmensdatenbank ohne Passwortschutz jedermann offen.

Wer davon wusste, musste lediglich die IP-Adresse des Servers in den Windows-Explorer eingeben um vollen Zugriff, einschließlich Downloadmöglichkeit, zu erlangen. Diese Datenbank enthielt auch personenbezogene Daten von etwa 400.000 Kunden aus Österreich sowie personenbezogene Daten von anderen an den Mietverträgen Beteiligten, wie etwa von Anwälten, Werkstätten oder Versicherungen.  

Auch wenn uU niemand das Leck vor dem Sicherheitsexperten, der es an Buchbinder meldete und mangels Reaktion an die Medien weiterleitete, entdeckt haben könnte, begründet aber wohl bereits die Tatsache, dass die Daten ungeschützt offengelegt wurden einen massiven Verstoß gegen die Datenschutzgrundverordnung (DSGVO).

Nach dieser müssen Verantwortliche einer Datenverarbeitung nämlich „geeignete technische und organisatorische Maßnahmen“ treffen, um die Vertraulichkeit personenbezogener Daten zu gewährleisten. Da die Ursache offenbar ein Konfigurationsfehler der internen IT-Abteilung bei einem Backup-Server war, lässt dies einen Verstoß gegen die nach der DSGVO vorgeschriebenen organisatorischen Maßnahmen im Sinne gewisser Sorgfaltspflichten schließen.

Aufgrund der Menge sowie der Art der Daten drohen somit empfindliche Strafen. Neben Namen, Adressen und Bankdaten enthielt die Datenbank nämlich auch Passwörter im Klartext und besondere Kategorien personenbezogener Daten („sensible Daten“), wie die Mitgliedschaft bei Gewerkschaften oder Religionsgemeinschaften (wenn etwa Autos auf deren Rechnung gemietet wurden), aber auch Daten von Unfällen und deren gesundheitlichen Folgen. Strafen könnte es auch für den Umgang mit dem Leck selbst geben, wenn z.B. Verständigungspflichten (sog. „Data Breach Notification Duties“) verletzt wurden.

Neben behördlichen Strafen sind daher nach entsprechenden Auskunftsbegehren auch eine Vielzahl an Schadenersatzforderungen nicht ausgeschlossen.

0 Kommentare zu “Massives Datenleck bei Autoverleiher Buchbinder

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.