Zwei Jahre nach Bekanntwerden der riesigen Schwachstelle mit zehn Terabyte an Kundendaten, verhängt die bayrische Datenschutzbehörde kein Bußgeld.
Auto online aussuchen, Daten eingeben, Kreditkarte hinterlegen und schon ist das Leihauto reserviert. Dabei wollen Verleihfirmen eine Reihe an persönlichen Daten. Dass diese nicht immer ausreichend gesichert sind, zeigt der Fall der deutschen Firma Buchbinder. Vor mehr als zwei Jahren wurde bekannt, dass mehr als drei Millionen Kundendaten durch eine Schwachstelle im System für jedermann offen einsehbar waren - mit mehr als zehn Terabyte an Daten. Auch 400.000 österreichische Kunden waren davon betroffen, so wie alle Buchbinder-Kunden von 2003 bis 2020. Für die bayrische Datenschutzbehörde aber kein Grund, diesen DSGVO-Verstoß irgendwie finanziell zu ahnden, oder Buchbinder die Verpflichtung aufzuerlegen, die Kunden darüber zu informieren.
Persönliche Daten zum Identitätsdiebstahl und weitere Formen des Betrugs wurden durch diese Schwachstelle auf einem Silbertablett geliefert. Name, Adresse, Geburtsdatum, Handynummer, E-Mail-Adresse, Details zum Führerschein sowie auch die Zahlungsinformationen standen offen im Netz zur Verfügung. Möglich wurde dies offenbar durch einen Konfigurationsfehler bei einem Backup-Server von Buchbinder.
Datenschutzbehörde ergreift keine rechtlichen Schritte
„Nachdem kürzlich bekannt wurde, dass die zuständige bayrische Datenschutzbehörde keine rechtlichen Schritte gegen Buchbinder ergreift, raten wir Kunden, selbst der Sache nachzugehen“, empfiehlt der Anwalt Florian Scheiber.
Es sei sehr wahrscheinlich, dass es vermehrt zu Phishing-Versuchen, Erpressungen und anderen betrügerischen Methoden aufgrund dieses Datenlecks kommen könnte, warnt der Jurist.
„Die Offenlegung von persönlichen Daten von drei Millionen Kunden dürfte einen schweren Verstoß gegen die DSGVO (Europäische Datenschutzgrundverordnung) darstellen. Nach Art 82 DSGVO hat jede Person, der wegen eines datenschutzrechtlichen Verstoßes ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen, somit gegen Buchbinder“, erklärt Scheiber.
Kein Zugriff - Nachweis über Log-Dateien
Der c't erklärte die bayrische Datenschutzbehörde jedoch, dass kein Anlass bestanden habe, "von Abhilfe- beziehungsweise Sanktionsbefugnissen Gebrauch zu machen". Der Sachverhalt begründe tatsächlich eine Verletzung der von Artikel 32 der Datenschutzgrundverordnung (DSGVO) geforderten Sicherheit der Datenverarbeitung. Auch geht die Behörde grundsätzlich davon aus, dass Daten, die ungeschützt im Netz lagen, "auch abgerufen wurden".
Der Datenschutzbehörde zufolge konnte Buchbinder aber anhand „der Auswertung von Log-Dateien“ nachweisen, dass kein externer Zugriff stattgefunden hat. Wenn der Betreiber eines offenen Servers nachweisen könne, dass es nur eine "begrenzte, gegebenenfalls sogar individuell identifizierbare und damit spezifisch zu bewertende Anzahl von Akteuren" gab, die Zugriff auf die Daten gehabt haben, so sei das zu berücksichtigen.
>>> Zum Bericht auf heise.de (C't)
(bagre)