Datenleck bei Buchbinder: Was Betroffene jetzt tun können

Auskunftsansprüche, Meldepflichten oder sogar Schadensersatz: Was können die drei Millionen Betroffenen unternehmen und welche Rechte stehen ihnen zu?

In Pocket speichern vorlesen Druckansicht 66 Kommentare lesen
Datenleck bei Buchbinder: Was Betroffene jetzt tun können

(Bild: Heise)

Lesezeit: 9 Min.
Von
Inhaltsverzeichnis

Höchst persönliche Daten von drei Millionen Kunden der Autovermietung Buchbinder lagen über Wochen völlig ungeschützt im Netz. Betroffen sind nicht nur Mieter, die ihre Fahrzeuge direkt bei Buchbinder orderten, sondern mitunter auch Kunden von Vergleichsportalen und Vermittlungsdiensten, die oftmals gar nicht wissen, dass ihre Fahrzeuge von Buchbinder gestellt wurden. Rund 2,5 Millionen Kunden stammen aus Deutschland, etwa 400.000 aus Östereich und etwas über 100.000 aus dem übrigen Ausland.

Hinzu kommen rund 3,1 Millionen Fahrer aus allen Ländern der Welt, deren eventuelle Unfallgegner sowie Zeugen von Unfällen. Nicht zu vergessen sämtliche Mitarbeiter, Geschäftspartner, Gutachter, Rechtsanwälte, Zulieferer, Werkstätten und Autohäuser, mit denen die Buchbindergruppe zu tun hatte.

Da die Kundendaten bis ins Jahr 2003 zurückreichen, wird es für Buchbinder nicht einfach sein, sämtliche Betroffenen zu kontaktieren – mancher wird in der Zwischenzeit umgezogen sein, oder hat seine Telefonnumer oder E-Mail-Adresse geändert.

Da zu den öffentlich zugänglichen Informationen aus der Buchbinder-Datenbank nicht nur Namen, Adressen, Geburts- und Führerscheindaten, sondern auch Zahlungsdaten sowie Passwörter im Klartext gehören, ist das Missbrauchspotential hoch. Deshalb klären wir im Folgenden ab, welche Gefahren drohen und welche Rechte Betroffene haben.

Die wichtigste Antwort zuerst: Wir haben in der Datenbank keine Listen mit Kreditkartennummern gefunden. Wohl aber eingescannte Rechnungen mit Kontoverbindungen und Zahlungsinformationen. Deshalb sehen wir keinen Anlass, Kreditkarten pauschal sperren zu lassen.

Trickbetrüger könnten das Buchbinder-Leck jedoch für gezielte Phishing-Attacken nutzen, indem Sie Mails verschicken, die sich auf Autobuchungen beziehen und Sie auffordern, neue Zahlungsinformationen zu hinterlegen. Klicken Sie nicht direkt auf Links in Mails, sondern kontaktieren Sie die Firma gegebenenfalls auf anderem Wege.

Wenn Sie ein Online-Konto bei Buchbinder haben oder sogar Mitarbeiter sind, besteht die Wahrscheinlichkeit, dass Ihre Login-Informationen samt E-Mail-Adresse und Passwort veröffentlicht wurden. Wir haben in den Datenbanken mehrere tausend Passwörter im Klartext gefunden. Betrüger könnten mit diesen Informationen versuchen, auch andere Accounts von Ihnen zu übernehmen, wenn Sie dort das gleiche oder ein ähnliches Passwort wie bei Buchbinder nutzen. Deshalb sollten Sie betreffende Passwörter ändern. Auch hier wieder Vorsicht vor Phishing-Mails, die Sie mit einem Link zur Eingabe neuer Passwörter auffordern.

Zu jedem Kunden ist in der Datenbank vermerkt, zu welchem Zeitpunkt er an welchem Ort einen Wagen abgeholt und wo und wann er ihn wieder zurückgebracht hat, inklusive der zwischendurch gefahrenen Kilometer. Weitere Geodaten, die die Fahrwege der Mietwagen protokollieren, haben wir nicht gefunden.

Kritisch sind die Daten eventuell für Dauerkunden, die in sicherheitsrelevanten Bereichen tätig sind, da sich hier grobe Bewegungsmuster erstellen lassen.

Die Unfalldatenbank reicht bis ins Jahr 2006 zurück und umfasst etwas über 500.000 Fälle. Das meiste sind Lackschäden, aber es gab auch größere Unfälle mit Verletzten und sogar einigen Toten. In der Datenbank sind zuweilen die Namen und Kontaktdaten (Adresse, Telefonnummer) von Unfallgegnern sowie Zeugen vermerkt.

Zudem gibt es Freitext-Felder mit Angaben zum Unfallhergang: Zeit und Ort, mitunter Geschwindigkeitsangaben und Bemerkungen zur Schuldfrage, Versicherung und Schadenshöhe. In weniger als hundert Fällen ist auch angegeben, ob die Polizei eine Blutprobe angeordnet hatte. Ergebnisse von Blutproben haben wir nicht gefunden.

Wir haben in den Daten dutzende Persönlichkeiten des öffentlichen Lebens, Prominente, Politiker, ja sogar Weltstars gefunden, die wir aus Rücksicht jedoch nicht nennen. In der Datenbank sind deren Privatadresse, Geburtsdatum, Handy-Nummer und E-Mailadresse zu finden.

Herausfiltern lassen sich auch mutmaßliche Mitglieder religiöser Vereine, Parteien, von Schwulen- und Lesben-Gruppen sowie von Selbsthilfegruppen für Suchtkrankheiten et cetera – sofern sie deren Namen auf den Rechnungen bei einer Autoanmietung angegeben haben.

Diese Personen müssen damit rechnen, dass ihnen nachgestellt wird oder die Daten für weitere Doxing-Attacken genutzt werden.

Aus juristischer Sicht ist ein derart offener Server ein Datenschutz-GAU und ein elementarer Verstoß gegen die Vorgaben der DSGVO: Das Thema IT-Sicherheit hat in den europäischen Vorgaben einen weitaus höheren Stellenwert erhalten, so dass diese nun elementarer Bestandteil des Datenschutzes wird. Sollte die zuständige Aufsichtsbehörden einen Verstoß gegen die DSGVO feststellen, wäre ein Bußgeld in erheblicher Höhe fällig. Neben den vermutlich nicht allzu kleinen Bußgeldern droht dem Unternehmen allerdings noch ein anderes Damoklesschwert.

Vor dem Bußgeld erwartet den Autoverleiher von Seiten der eigenen Kunden eine ganze Reihe von anderen unangenehmen Maßnahmen aus dem Katalog des Datenschutzes. Es spricht einiges dafür, dass Buchbinder im vorliegenden Fall die betroffenen Kunden über das Daten-Desaster informieren muss. Wer darauf nicht warten will, kann sich im Rahmen eines Auskunftsanspruchs detaillierte Informationen über die bei dem Unternehmen gespeicherten Informationen holen.

Wer wissen will, ob seine Informationen in der Datenbank gespeichert sind und möglicherweise von dem Leck betroffen sind, kann dies im Rahmen einer Selbstauskunft proaktiv erfragen. Art. 15 DSGVO bietet allen Bürgern die Möglichkeit, von dem Unternehmen eine Selbstauskunft zu verlangen. Wir haben für eine solche Anfrage ein Formular vorbereitet, die ct5F. Die für private Zwecke kostenlos verwendbare Vorlage ist hier abrufbar:

Dabei ist es erforderlich, sich gegenüber dem Unternehmen zu legitimieren, so dass eine falsche Auskunft ausgeschlossen werden kann. Hierzu sollten demnach neben der Adresse noch weitere Daten angegeben werden, etwa die Kundennummer. Wer auf Nummer sicher gehen will, kann eine (teilgeschwärzte) Kopie seines Personalausweises mitschicken.

Allzu schnelle Antwort darf man bei derartigen Anfragen nicht erwarten, denn die DSGVO sieht hierfür eine Frist von einem Monat vor. Eine Antwortpflicht besteht übrigens auch dann, wenn keine Informationen über den Anfragenden vorliegen. Die Kontaktanschrift für das Gesuch kann man dem Impressum der Buchbinder-Webseite entnehmen. Der Datenschutzbeauftragte, an den man solche Auskünfte auch online richten kann, ist unter datenschutz@buchbinder.de erreichbar.

Betroffene Kunden erfahren allerdings möglicherweise noch früher von dem Daten-GAU. Denn ein Datenschutzverstoß bedingt zudem strenge Meldepflichten, zunächst bei den zuständigen Aufsichtsbehörden der Bundesländer. Dies gilt nach Art. 33 DSGVO zumindest dann, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich "zu einem Risiko für die Rechte und Freiheiten natürlicher Personen" führt. Dies dürfte im vorliegenden Fall eindeutig zu bejahen sein, da sich aus den frei zugänglichen Informationen ein erhebliches Missbrauchspotential ergibt.

Daher ist vorliegend "unverzüglich und möglichst binnen 72 Stunden", nachdem ihm die Verletzung bekannt wurde, die Behörde zu informieren. Nach Information der c’t ist allerdings im Buchbinder-Fall das zuständige Amt in Bayern bereits von Dritten informiert.

Mehr Infos

Zur DSGVO und aktuellen Entwicklungen siehe:

Die aktualisierte und stark erweiterte Ausgabe des c't-Sonderhefts zur Datenschutz-Grundverordnung mit noch mehr FAQs, Checklisten und Mustern für die aktuellen Probleme des Datenschutzes.

Damit nicht genug, sieht Art. 34 DSGVO vor, dass im Falle eines Sicherheitslecks auch die Betroffenen von der Verletzung zu informieren sind, also die Kunden. Voraussetzung dafür ist, dass durch den Vorfall "voraussichtlich ein hohes Risiko" für deren persönlichen Rechte und Freiheiten entsteht, wofür im vorliegenden Fall einiges spricht. In diesem Fall muss sich das verantwortliche Unternehmen an jeden einzelnen Betroffenen wenden, von dem Datenleck berichten und über mögliche Folgen warnen.

Neben den Bußgeldern, die leicht eine siebenstellige Höhe erreichen können, droht dem Autoverleiher aber auch noch weiterer finanzieller Ärger. Denn jede Person, der wegen eines Verstoßes gegen die DSGVO "ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz". Dieser richtet sich gegen den Verantwortlichen, hier also die Buchbinder-Gruppe, oder sogar gegen den Auftragsverarbeiter, im vorliegenden Fall mutmaßlich der Hoster.

Dabei reicht bereits eine immaterielle Schädigung aus. Hier kann bereits die Tatsache genügen, dass sensible Daten der Kunden offen im Web standen. Da im vorliegenden Fall zum Beispiel auch Gesundheitsdaten, politische Ansichten oder sexuelle Vorlieben aus den Daten extrahiert werden könnten, ist ein solcher Anspruch nicht unwahrscheinlich. Dieser wäre dann zwar im Normalfall allenfalls im vierstelligen Bereich. Andererseits könnten aber leicht Hunderttausend Kunden oder mehr betroffen sein.

Dass es hier möglicherweise Geld zu verdienen gibt, hat inzwischen auch ein erstes Unternehmen der Legaltech-Branche erkannt. Kaum vier Stunden nach Veröffentlichung unserer Meldung war eine Landingpage online. Diese bietet den Betroffenen an, Schadensersatzansprüche nach DSGVO gegen den Autoverleiher geltend zu machen – natürlich gegen eine entsprechende Beteiligung. (hag)