Belgische Staatsbahn: Fahrlässiger Umgang mit Kundendaten

Insgesamt 1,46 Millionen Datensätze der belgischen Staatsbahn inklusive Anschriften, Geburtsdaten, Emailadressen und Telefonnummern der Kunden standen frei zugänglich im Netz, berichtet der belgische Internetnutzerverband Nurpa.

In Pocket speichern vorlesen Druckansicht 24 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Falk Lueke
  • Carsten Meyer

Eine Kundendatenbank der vom belgischen Eisenbahnunternehmen SNCB/NBMS betriebenen Website b-europe.com stand frei zugänglich im Netz – inklusive Anschriften, Sprachen, Geburtsdaten, Emailadressen und Telefonnummern der Kunden. Die Website wird vor allem für Zugreisen von und nach Brüssel genutzt und lässt Reisende sowohl ICE als auch Thalys, TGV und Eurostarzüge in die angrenzenden Länder buchen.

Insgesamt 1,46 Millionen Datensätzen enthielt die SQL-Datenbank, die ohne weitergehenden Schutz frei im Netz zugänglich war, berichtet der belgische Internetnutzerverband Nurpa. Ein Sprecher der belgischen Staatsbahn hat gegenüber dem belgischen Nachrichtenportal RTL.be erklärt, bei der Zugänglichmachung der Datenbank handele es sich nicht um einen Fehler des Unternehmens: Die Datenbank sei unverlinkt auf dem öffentlich zugänglichen Server der SNCB untergebracht und nur mit einem "Trick" zu finden gewesen. Dem widerspricht Nurpa: Nur weil man etwas nicht verlinkt, ist es noch lange nicht vor unberechtigten Zugriffen geschützt – der angebliche Trick bestand lediglich aus der Kenntnis der Datenbank-URL.

Die belgische Datenschutzaufsicht, die Commission de la protection de la vie privée (CPVP), wies daraufhin, dass die belgische Staatsbahn für die Nichtzugänglichkeit der Kundendaten zuständig sei. Allerdings sind in dem belgischen Datenschutzgesetz von 1992 nur geringe Strafen vorgesehen, wenn Unternehmen Kundendaten öffentlich preisgeben.

Ein Link auf die Datenbank war in einem belgischen Nutzerforum aufgetaucht. Vor dem Hintergrund der aktuellen Diskussion um die Europäische Datenschutzverordnung dürfte die Kundendatenbank, die auch Privatanschriften und Telefonnummern von EU- Abgeordneten und -Angestellten beinhaltet, für ein genaueres Augenmerk der Politiker bei den sogenannten „Data Breach Notifications“ sorgen, den Benachrichtigungspflichten für den Datenverarbeiter bei unzulässigem Datenzugriff durch Dritte. (cm)