Nach Hackerangriff: Ergebnis der DSGVO-Selbstauskunft bei Domainfactory
Nachdem Kundendaten in den Händen eines Hackers landeten, stellten wir eine Anfrage zur Speicherung beim Hoster Domainfactory - hier das Ergebnis.
E-Mails, Support-Tickets und Stammdaten: Die Ausbeute unserer DSGVO-Selbstauskunft bei Domainfactory ist vielfältig
(Bild: heise online)
Im Zuge eines Hackerangriffs auf den Hoster Domainfactory hatte ein unbekannter Angreifer die Daten Tausender Kunden erbeutet – darunter Adressen, Telefonnummern, das telefonische Support-Passwort, Bankdaten und Schufa-Informationen zur Bonität des Kunden. Wie viele Menschen genau betroffen waren, sagt Domainfactory bis heute nicht, wir gehen allerdings davon aus, dass es alle zum Zeitpunkt des Angriffs bei der Firma erfassten Kunden waren.
Im Zuge der Recherchen zu dem Angriff auf Domainfactory spielte der mutmaßliche Angreifer heise online die Kundendaten des Autoren zu, was uns dann doch sehr überraschte, hatte der Autor doch vor über zehn Jahren sein Domainfactory-Kundenkonto gekündigt. Wir wollten der Sache nachgehen und stellten eine DSGVO-Selbstauskunft an die Firma. Die Antwort auf das von uns verschickte Formular liegt nun vor.
- DSGVO – Das sollten Sie über die Datenschutz-Grundverordnung wissen
- Domainfactory-Hack: Forum ist unsicher, Fragen bleiben unbeantwortet
- Nach Angriff: Domainfactory sichert Kundeninterface mit Web Application Firewall
- Nach Kundendaten-Hack: Was Domainfactory-Kunden jetzt tun können
- Wegen DSGVO-Panne: Domainfactory-Kundendaten waren als XML-Feed offen im Netz
- Datenleck bei Domainfactory: Hacker knackt Systeme, lässt Kundendaten mitgehen
Weitergabe der E-Mails von Dritten
Zunächst ließ sich die Firma mit dem Beantworten unserer Anfrage auf Grundlage der Datenschutz-Grundverordnung Zeit, später wurde der Prozess weiter verzögert, weil der Autor gegenüber dem Hoster erst einmal beweisen musste, dass er auch wirklich eine Anfrage über die eigenen Daten gestellt hatte. Das Ganze dauerte deutlich länger als die eigentlich vorgesehene Beantwortungsfrist von einem Monat.
Uns erreichten in der Zwischenzeit mehrere Leser-Zuschriften, die unserem Beispiel gefolgt waren und ein ähnliches Identitätsverifizierungsverfahren über sich ergehen lassen mussten. Zwar wurde dieser Schritt von den meisten als lästig, wenn nicht sogar überflüssig empfunden, generell ist es aber begrüßenswert, dass der Hoster sicherstellt, wem er die personenbezogenen Daten als Antwort auf eine DSGVO-Anfrage schickt. Auch die Tatsache, dass uns unser Datensatz verschlüsselt erreichte, ist lobenswert – selbst wenn für die Organisation der Weitergabe des Passwortes am Telefon ein paar zusätzliche Tage ins Land zogen.
Der von Domainfactory bereitgestellte Datensatz enthält, soweit wir das beurteilen können, alle Informationen zum Kundenkonto des Antragsstellers: Alle über die Firma registrierten Domains, genutzte Hosting-Dienste und die Stammdaten wie Adressen, Telefonnummern und Bankverbindungen. Außerdem scheint der Datensatz alle Support-Tickets zu enthalten, die im Laufe des Bestehens der Geschäftsverbindung angefallen sind. Besonders interessant ist, dass uns Domainfactory auch alle E-Mails geschickt hat, die das Kundenkonto betreffen. Die meisten davon sind E-Mails des Antragsstellers und Antworten der Support-Mitarbeiter von Domainfactory. Allerdings hat uns der Hoster auch E-Mails mit Anfragen Dritter geschickt, die das Kundenkonto des Antragsstellers betreffen. Diese E-Mails Dritter waren uns vorher nicht bekannt, waren sie doch an den Hoster und nicht an den Antragssteller der DSGVO-Auskunft gerichtet.
Die Übermittlung solcher Daten Dritter ist im Rahmen der DSGVO unzulässig. Als Konsequenz erfuhr der Antragssteller den Namen und die Mailadresse einer Person, die daran interessiert war, eine seiner Domains zu erwerben. Von uns auf diesen Umstand angesprochen, antwortete Domainfactory: "Wir wurden von einem Dritten über Ihr Konto kontaktiert, daher haben wir diese Informationen mit Ihrem Konto verknüpft und haben es Ihnen entsprechend mitgeteilt."
Unbeantwortete Fragen
Die mit unserer Anfrage verbundenen Fragen zur Speicherung der Daten ließ der Hoster zuerst unbeantwortet. Erst auf explizite Nachfrage schickte man uns Antworten auf Fragen nach der Speicherdauer, dem Zweck der Speicherung und unseren Rechten zur Löschung der Daten.
Domainfactory hat uns auf unsere Anfrage nach der Löschung der Daten versichert, dass dies nun geschehen sei. Darüber hinaus teilte man uns mit, dass man es Kunden ermögliche, ihre Daten aus dem Kundenmenü heraus zu löschen – soweit das im Rahmen der gesetzlichen Speicherungsfristen für den Hoster machbar ist.
Man arbeitet laut Domainfactory momentan ebenfalls an einem automatisierten System, dass auch die Daten alter Kunden ohne bestehende Geschäftsbeziehungen selbstständig löscht. Dieses System soll, so der Hoster, ab Mitte November zum Einsatz kommen. Auf unsere Frage, warum die Daten des Antragsstellers so lange gespeichert wurden, antwortete die Firma: "Wir speichern Daten so lange, als dies für die Erfüllung unserer vertraglichen Pflichten sowie gesetzlicher Aufbewahrungspflichten erforderlich ist oder wir durch unsere berechtigten Geschäftsinteressen hierzu ermächtigt sind." Das erklärt allerdings nicht, warum in unserem Fall Kundendaten länger als zehn Jahre aufbewahrt wurden.
Wir wollten von Domainfactory ebenfalls wissen, ob unsere Daten an ein Drittland oder eine Organisation übermittelt wurden, die nicht im Rechtsbereich der DSGVO liegen. Das ist vor allem vor dem Hintergrund interessant, dass es im Zusammenhang des Hackerangriffs Spekulationen darüber gab, dass Domainfactory die Bearbeitung von Kundendaten in die Ukraine ausgegliedert hat. Zwar bestreitet der Hoster, dass hier einen Zusammenhang mit dem Hackerangriff besteht, verwies uns aber auf eine Liste von Dienstleistern der Fima, aus der hervorzugehen scheint, dass der Dienstleister LvivIT aus der Ukraine Daten der deutschen Kunden verabeitet. Domainfactory versicherte uns in seiner Antwort allerdings, dass dies "auf Grundlage von Standarddatenschutzklauseln im Sinne von Artikel 46" der DSGVO passiert. Welche Garantien für die sachgerechte Handhabung der Daten bei der ukrainischen Firma bestehen, lässt diese Antwort allerdings offen.
Fazit unserer Anfrage
Zwar hat sich Domainfactory mit der Beantwortung unsere Anfrage reichlich Zeit gelassen, immerhin scheint man uns allerdings ein umfassendes Archiv der über uns gespeicherten Daten geschickt zu haben. Wir gehen davon aus, dass Kunden, die viel längere Geschäftsbeziehungen mit dem Hoster unterhalten und mehr Produkte der Firma in Anspruch genommen haben, weitaus mehr Daten erhalten würden, als bei unserer Anfrage anfielen.
Etwas enttäuschend ist, dass uns der Hoster unsere Fragen zur Speicherung der Daten erst beantwortet hat, als wir ihn explizit darauf hinwiesen. Immerhin scheint man unsere Daten auf Anfrage direkt gelöscht zu haben und will sich in Zukunft mehr Mühe geben, veraltete Datensätze automatisch zu löschen. In unserem Fall wurden Daten anscheinend länger gespeichert, als rechtskonform ist. Und auch die scheinbare Verarbeitung von Kundendaten in der Ukraine erscheint uns in Ermangelung belastbarer Datenschutzgarantien fragwürdig. (fab)
