Artikel vom 04.02.2020

Datenleck bei Autovermietung Buchbinder: Recht auf Selbstauskunft wahrnehmen

Kein Auto vor der Tür? Wer zwischendurch einen fahrbaren Untersatz braucht, wird auf einem der zahlreichen Mietwagenportale fündig. Wie bei Buchbinder, das jetzt durch ein Datenleck ersten Ranges Schlagzeilen macht: Sehr persönliche Kundendaten von drei Millionen Nutzern schwirrten wochenlang frei im Netz. Weshalb Betroffene jetzt ihr Recht auf Selbstauskunft wahrnehmen sollten.

Millionen Kundendaten frei im Netz zu sehen

Aktuell können zahlreiche persönliche Kundendaten der zu Europcar gehörenden Autovermietung Buchbinder in falschen Hände sein, wie eine IT-Sicherheitsfirma entdeckte und Richtung Presse lancierte. Über 2,5 Millionen aus Deutschland plus ca. 400.000 aus Österreich sowie gut 100.000 Mietautointeressenten aus dem sonstigen Ausland sind betroffen. Außerdem tummelten sich Daten von Unfallgegnern und Unfallzeugen, Geschäftspartnern, Angestellten, Anwälten, Gutachtern, Autohäusern, Zulieferern und Autowerkstätten frei im Internet. Mehr noch: Die Datenpanne erstreckt sich auch auf Nutzer von Vergleichsportalen und Vermittlungsagenturen wie Expedia. Ohne dass diese Kenntnis davon haben, dass sie ein Fahrzeug von Buchbinder mieteten.

Geodaten, Unfallzeugen und Autofotos einsehbar

Wer wann wo ein Auto abgeholt bzw. dieses zurückgebracht hat und wie viele Kilometer gefahren wurden, verraten überdies zahlreiche Geodaten. Kunden, die Fahrzeuge des Unternehmens regelmäßig nutzen, müssen außerdem damit rechnen, dass sich daraus gewisse Bewegungsmuster stricken lassen. Darüber hinaus umfasst die Unfalldatenbank über 500.000 Fälle bis ins Jahr 2006 - inklusive Namen und Kontaktdaten von Unfallgegnern, aber auch Zeugen, Daten zu Zeit, Ort, Geschwindigkeit, Schadenshöhe und Schuldfrage. Auch Fahrzeugfotos und die Information, ob eine Blutprobe angeordnet wurde, waren ungeschützt zu sehen. Kunden hatten auch viele Daten analog an Buchbinder geschickt, wo man diese digitalisierte und speicherte.

Passwörter als Klartext, Zahlungsdaten & Co.

Besonders pikant, weil Spielraum für Stalking und Angriffe: Auch Politiker, Sportler und Prominente sind unter den Betroffenen - wie Grünen-Chef Habeck oder der Präsident des Bundesamts für Sicherheit in der Informationstechnik (BSI), mit sensiblen Daten wie Privatadresse, Handynummer und mehr. Sogar nach religiöser oder sexueller Orientierung lässt sich filtern. Daten, die bis 2003 zurückreichen - ein riesiger Datenpool. Nun muss das Unternehmen alle Betroffenen kontaktieren - ein langer Zeitraum, in dem sich so manche Kontaktinformation von E-Mail bis Telefonnummer geändert haben mag. Dabei sind die Datentypen breit gefächert, darunter:

- Name, Adresse und Geburtsdatum
- Führerscheindaten
- Zahlungsdaten wie Rechnungen und Kontoverbindungen
- Passwörter in Klartextform

Missbrauch sprichwörtlich Tür und Datentor geöffnet

Wer ein Onlinekonto bei Buchbinder hat, kann damit rechnen, dass seine Login-Daten mit E-Mail und Passwort öffentlich geworden sind. Ein gefundenes Fressen für Kriminelle, um Accounts zu kapern, bei denen Sie vergleichbare Passwörter benutzen. Auch die Kreditkarte sperren? Kreditkartenziffern waren höchstwahrscheinlich nicht betroffen. Trotzdem: Besser wachsam sein, um Phishingbetrügern, die das Datenleck zum Abgreifen von E-Mail-Adressen nutzen, einen Riegel vorzuschieben. Denn diese senden im Anschluss gern Nachrichten mit der Bitte um Aktualisierung von Zahlungsinformationen.

Betroffen? Umgehend Recht auf Selbstauskunft wahrnehmen

Die Firma Buchbinder muss nun Datenschutzmaßnahmen ergreifen. Dazu gehört, sämtliche Kunden zur Datenpanne informieren und auf potenzielle Folgen hinzuweisen. Sie müssen dies nicht abwarten, sondern können Ihren Auskunftsanspruch - und das auch präventiv - wahrnehmen: Welche Informationen hat Buchbinder über Sie gespeichert, in allen Details? Sind Sie vom Datenleck betroffen? Verlangen Sie eine datenschutzrechtliche Selbstauskunft nach Art. 15 DSGVO. Dies ist auch online an die Adresse der Autovermietung möglich, die als großes Unternehmen ihrer Pflicht zur Beschäftigung eines eigenen Datenschutzbeauftragten nachkommt. Zur Legitimation benötigt der Verursacher der Datenpanne Adresse und Kundennummer. Innerhalb eines Monats muss dieser Ihnen antworten - sogar dann, wenn er keinerlei Informationen zu Ihnen hat. Jeder Betroffene, der materiellen oder immateriellen Schaden erlitten hat, kann außerdem Schadenersatz gegen den Autoverleiher geltend machen.

Bayerisches Landesamt für Datenschutz ermittelt

Sprich: Wer betroffen ist, sollte davon allerdings - so sieht es das Gesetz vor - als Erster erfahren. Jeder Datenschutzverstoß muss der Aufsichtsbehörde des jeweiligen Bundeslandes innerhalb von 72 Stunden gemeldet werden - sofern Art. 33 DSGVO greift: Ist der Schutz personenbezogener Daten verletzt, stellt dies ein Risiko für "Rechte und Freiheiten natürlicher Personen" dar. Das ist hier gegeben, weil die freie Datenverfügbarkeit zum Missbrauch einlädt. Buchbinder sitzt in Bayern - hinsichtlich der Meldung an die Behörden kamen Journalisten dem Unternehmen zuvor. Das Bayerische Landesamt für Datenschutz ermittelt nun.

Grobfahrlässiger Umgang mit sensiblen Daten

Rechtlich betrachtet ist ein derart ungesicherter Server ein Daten-Supergau, weil ein fundamentaler Verstoß gegen die Datenschutzgrundverordnung (DSGVO). Die IT-Sicherheitsfirma Cyberscan aus Flensburg entdeckte das Datenleck - und informierte Buchbinder, wo man den Port schloss. Als Ursache für die Datenpanne gilt ein Konfigurationsfehler in einem der Backup-Server. Pure Basics des Datenschutzes wurden hier missachtet, weil unverschlüsselte Backups auf offen zugänglichen Netzservern gespeichert wurden - ein für die digitale Ära unverantwortlicher, weil grob fahrlässiger Umgang mit höchst sensiblen Daten.