Buchbinder Autovermietung: Kundendaten wochenlang im Netz zugänglich
Wochenlang standen persönliche Daten von drei Millionen Kunden der Buchbinder Autovermietung ungeschützt im Netz. Darunter Adressen und Telefonnummern von Prominenten und Politikern. Unfallberichte sowie Mails und Zugangsdaten von Mitarbeitern der Buchbinder-Gruppe waren ebenfalls ersichtlich. Eine gemeinsame Recherche des Computermagazins c’t und der Wochenzeitung DIE ZEIT brachte dies ans Licht. Ein Konfigurationsfehler bei einem Backup-Server war die Ursache des Lecks.
Ein geradezu katastrophaler Verstoß gegen die Vorgaben der DSGVO ist aus juristischer Sicht ein derart offener Server. Wenn die zuständigen Aufsichtsbehörden einen Verstoß gegen die DSGVO feststellen, wäre ein sehr hohes Bußgeld fällig.
In der Buchbinder-Datenbank können Kunden nach politischen, religiösen, sexuellen Vorlieben oder Erkrankungen zugeordnet werden. Das heißt, dass diese Daten nach Art. 9 DSGVO noch stärker geschützt werden müssten. Mehrere Hundert islamische Vereine, Einträge jüdischer Gemeinden wie auch von Schwulen- und Lesben-Vereinen sowie Selbsthilfegruppen von Süchtigen sind gelistet.
Ob seine eigenen Informationen in der Datenbank gespeichert und von dem Leck betroffen sind, kann dies bei Buchbinder erfragen. Für eine solche Anfrage wurde ein Formular vorbereitet, welches an die Charterline Fuhrpark Service GmbH, Kulmbacher Str. 8.10, 93057 Regensburg und per E-Mail an [email protected] geschickt werden kann. Die Vorlage ist unter ct.de/ycyu abrufbar und für private Zwecke kostenlos.
auf ct.de wird in den kommenden Tagen genauer analysiert werden, wie sich Betroffene darüber hinaus schützen können, was Firmen beachten sollten, um nicht den selben Fehler wie Buchbinder zu begehen und was der Daten-GAU für Auswirkungen in Bezug auf die DSGVO hat.
Verbraucherschutz.de hat darüber mit dem Rechtsanwalt und Fachanwalt für IT-Recht Daniel Loschelder (www.LL-ip.com) gesprochen:
Verbraucherschutz.de: Falls sich die Presseberichte bewahrheiten sollten, handelt es sich um einen Skandal, ist das richtig?
RA Loschelder: Ja, da viele sensible personenbezogene Daten wie Adressen, Telefonnummern etc. sichtbar waren. Wenn diese in die falschen Hände geraten, können Kriminelle damit sehr viel Unfug anstellen.
Verbraucherschutz.de: Sollten solche Fälle nicht durch die DSGVO verhindert werden? Was können Betroffene nun unternehmen?
RA Loschelder: Die DSGVO erlegt den Unternehmen Pflichten auf, die gerade solche Datenlecks ausschließen sollen. Anscheinend hat das bei Buchbinder nicht gewirkt. Von Seiten der Datenschutzbehörden dürfte Buchbinder daher ein empfindliches Bußgeld erwarten. Aber auch Betroffene haben gem. § 82 DSGVO die Möglichkeit, Schadensersatz zu verlangen. Bislang tun sich die deutschen Gerichte allerdings noch sehr schwer damit, diese Vorschrift auch tatsächlich anzuwenden. Meiner Ansicht nach steht den betroffenen ein Schadensersatzanspruch zu. In welcher Höhe werden am Ende Gerichte entscheiden müssen.
Daniel A. Loschelder
Rechtsanwalt
Fachanwalt für IT-Recht
Fachanwalt für Gewerblichen Rechtsschutz
Franz-Joseph-Straße 35
80801 München
Fon +49 (0)89 38 666 070
Fax +49 (0)89 38 666 0711
[email protected]
www.LL-ip.com
LoschelderLeisenberg
Rechtsanwälte PartG mbB
AG München, PR 1760
USt-ID DE314984504