Der Autovermieter Buchbinder lässt Kunden über sein Datenleck im Unklaren

Inhaltsverzeichnis

Die EU-Datenschutz-Grundverordnung (DSGVO) gibt strenge Regeln zum Umgang mit personenbezogenen Daten vor. Pflichten ergeben sich gerade im Nachgang von Schadensfällen, etwa, wenn Kundendaten wegen einer Sicherheitslücke ungeschützt abrufbar waren. Befolgt eine Firma diese Regeln nicht, drohen deftige Sanktionen.

Seitdem die DSGVO wirksam ist (Mai 2018), haben die Aufsichtbehörden bereits zu einigen kleineren Datenlecks Bußgelder verhängt. Keines davon ist vergleichbar mit der Panne beim Autovermieter Buchbinder, die c’t und das Wochenblatt Die Zeit Ende Januar veröffentlichten. Die Unternehmensgruppe speicherte über mehrere Monate regelmäßige Backups ihrer Firmendatenbank auf einem ungeschützten Server, die über das Dateisystemprotokoll SMB frei im Internet zugänglich waren.

Die Backups enthielten dem Augenschein nach die komplette MSSQL-Kundendatenbank zusammen mit über 9 Millionen Mietverträgen bis zurück zum Jahr 2003. Neben den Mietern waren auch Fahrer mit Name, Adresse, Geburtsdatum, Führerscheinnummer und -ausstellungsdatum sowie Mobilfunknummern und zuweilen auch E-Mail-Adressen aufgeführt. Hinzu kamen 5 Millionen Dateien mit umfangreicher Firmenkorrespondenz nebst eingescannten Rechnungen, Verträgen, Faxen, E-Mails und Schadensbildern von Autos. Verknüpfungen von Fahrern und Mietern ließen Rückschlüsse auf sensible Personengruppen zu. Zudem waren unter anderem Kontaktdaten von Unfallbeteiligten gespeichert.

Nach einem Hinweis von c’t und Die Zeit am 20. Januar schloss Buchbinder das Leck noch am selben Tag. In einer Pressemitteilung entschuldigte sich Buchbinder und versprach seinen Kunden, „alle notwendigen technischen Maßnahmen zu ergreifen, um das Niveau des Datenschutzes und der Sicherheit zu erreichen, das wir ihnen schulden“.

Außerdem teilte das Unternehmen mit, dass es gemäß der Verpflichtung aus Art. 34 DSGVO die Betroffenen über diese Datenverletzung und mögliche Folgen wie Phishing-Versuche oder Identitätsdiebstahl informieren wird. Man habe die zuständige Datenschutzbehörde informiert, den betroffenen Server neu konfiguriert und damit weitere Zugriffe auf die Datenbank unterbunden.

Schweigen und aussitzen

Nach dieser Mitteilung folgte lange: nichts. In der öffentlichen Darstellung setzt Buchbinder bislang augenscheinlich auf die Taktik des Schweigens und Aussitzens. Betroffen von dem Datenleck waren auch Mitarbeiter in der c’t-Redaktion. Jedoch wurde bislang keiner von Buchbinder proaktiv davon informiert, dass seine Daten in fremde Hände gelangt sind. Buchbinder erfüllte sein beschwichtigendes Versprechen bis heute nicht.

Mit Recht hatte das Unternehmen auf Art. 34 DSGVO verwiesen. Danach müssen verantwortliche Firmen die Betroffenen eines Datenlecks „ohne schuldhaftes Zögern“ informieren. Der Gesetzgeber spricht sogar von einer Pflicht, die Betroffenen „umgehend zu unterrichten“. Einen Zeitraum von über zwei Monaten wird man darunter kaum verstehen können, selbst wenn die Anzahl der zu informierenden Personen hoch ist.

Als Voraussetzung muss das Datenleck „voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge“ haben. Beispiele wären etwa ein möglicher Identitätsdiebstahl oder -betrug, eine Diskriminierung oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile. In jedem Fall gehören dazu die in den Datenbanken gespeicherten Informationen, die Kunden des Autoverleihers als Vertreter von Selbsthilfegruppen aus dem gesundheitlichen oder sexuellen Bereich ausweisen. Auch Datensätze, die sich etwa auf Autounfälle mit Verletzten beziehen, sind zweifellos betroffen.

Für die meisten Buchbinder-Kunden dürfte zumindest das Problem bestehen, dass ihre Daten beispielsweise für Identitätsdiebstahl durch Phising verwendet werden könnten. So wäre es zum Beispiel für Betrüger recht leicht, über die ergatterten Mietverträge Kunden anzurufen und zur Herausgabe von Kontodaten zu überreden. Hier wäre es hilfreich und wichtig gewesen, jeden Betroffenen möglichst früh zu warnen – sei es mit einem postalischen Anschreiben oder mit einer E-Mail.

Gut versteckte Hinweise

Stattdessen findet sich auf der Website des Unternehmens seit einiger Zeit lediglich folgender Hinweis-Link: „WICHTIGE INFORMATION – Erklärung von Buchbinder“. Da dort kein Zusammenhang zum Datenleck hergestellt wird, dürften Besucher der Homepage wohl eher mit Sonderangeboten und kaum mit einem dringlichen Datenschutzhinweis rechnen. Auch in der verlinkten Erklärung findet sich ein „Zusatz gemäß Artikel 34 der DSGVO“, wonach man „über diese Datenverletzung informieren“ müsse. Wer genau davon angesprochen werden soll, ergibt sich aus dem Text allerdings nicht.

Immerhin werden die Kunden darüber informiert, dass Daten von Ihnen in den Umlauf gekommen sein können: Buchbinder zufolge geht es „insbeson­dere“ um „Mietwagenverträge, Namen, E-Mail-Adressen, Telefonnummern und Postanschriften“. Dass auch Informationen über die Anmietung, Führerscheindaten sowie die während der Anmietung entstandenen Schäden oder Unfälle ge­leakt worden sind, verschweigt das Unternehmen. Im Zusammenhang mit Schäden und Unfällen waren darüber hinaus auch die Namen der Beteiligten – keine Kunden von Buchbinder – und Bankinformationen betroffen.

Dass dieser Hinweis ausreichend sein könnte, um für eine sichere Information der über 3 Millionen betroffenen Buchbinder-Kunden zu sorgen, ist sehr unwahrscheinlich. Nur ein Bruchteil der Betroffenen dürfte seit dem Vorfall überhaupt das Online-Angebot des Autovermieters besucht haben. Zudem sind auch Kunden betroffen, die ihren Wagen nicht wissentlich über Buchbinder, sondern über einen anderen Vermittler gebucht hatten.

Selbstauskunft

Neben den gesetzlichen Benachrichtigungspflichten dürfte eine Menge Kunden eine Auskunft nach Art. 15 DSGVO verlangt haben. Mit einer solchen Anfrage dürfen sie sich detailliert darüber informieren lassen, welche eigenen personenbezogenen Daten gespeichert sind, wo diese erhoben wurden und an wen sie gegebenenfalls weitergegeben worden sind. Ein Muster für eine solche Anfrage hat auch c’t zur freien Nutzung bereitgestellt.

Der DSGVO zufolge muss der Verantwortliche solche Anfragen „unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang des Antrags“ beantworten. Uns ist kein Fall bekannt, bei dem ein Buchbinder-Kunde, der um Auskunft gebeten hatte, diese innerhalb der Frist erhalten hätte.

Stattdessen liegen uns E-Mail-Antworten des „Buchbinder-Datenschutz-Teams“ von Ende Februar vor, in denen um Auskunft ersuchende Kunden nach einem Monat Wartezeit vertröstet wurden: „Wir bedanken uns für Ihre Anfrage und möchten Sie auf diesem Wege darüber informieren, dass wir aufgrund der zahlreichen Anfragen potenziell betroffener Personen die Frist zur Beantwortung Ihrer Anfrage um zwei Monate verlängern müssen.“ Und: „Bitte seien Sie versichert, dass wir unser Bestes tun, um Ihre Anfrage so schnell wie möglich zu beantworten, spätestens jedoch in der verlängerten Frist von drei Monaten ab Eingang Ihrer Anfrage.“

Zwar lässt die DSGVO ausnahmsweise eine Verlängerung um weitere zwei Monate zu. Voraussetzung hierfür ist aber, dass dies „unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist“. Im Fall von Buchbinder sind sicher vergleichsweise viele Anträge gestellt worden. Dass jedoch die Antwort auf die Anfragen besonders komplex sein soll, erschließt sich zumindest von außen nicht.

Schweigsames Amt

Zu all den hier angesprochenen rechtlichen Themen hat c’t Buchbinder einen ausführlichen Fragenkatalog geschickt, etwa: „Nach unserer Kenntnis befanden sich auf dem Server offen abrufbar auch Daten, die aus dem Jahr 2003 oder den Jahren danach stammen. Unter welcher Rechtsgrundlage haben Sie solche Daten gespeichert?“

Statt konkreter Antworten erhielten wir lediglich ein kurzes Statement. Unter anderem versichterte man uns: „Potenziell betroffene Personen wurden informiert und ein Standardprozess wurde aufgesetzt, um deren Auskunftsersuchen zu entsprechen.“ Auf welchem Weg die betroffenen Kunden informiert wurden, ließ Buchbinder offen. Diese Aussage kann sich eigentlich nur auf den kurzen Hinweis auf der Homepage beziehen, der wohl kaum ausreichen dürfte.

Weil das Unternehmen Carpartner Nord GmbH, dem die Marke Buchbinder gehört, in Regensburg sitzt, ist das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) für den Fall zuständig. Man kooperiere mit dieser Behörde, versicherte Buchbinder sowohl gegenüber den Kunden als auch den Medien.

Auf Anfrage von c’t bestätigte das BayLDA tatsächlich wortwörtlich „eine Kooperation“ mit Buchbinder. Die Frage, ob ein Ordnungswidrigkeitsverfahren eingeleitet werde, entscheide man, „sobald das aufsichtliche Verfahren zur Ursache und Umgang mit dem Sicherheitsvorfall abgeschlossen ist“, teilte die Behörde mit. Ob eine Information an die Betroffenen nach Art. 34 DSGVO erforderlich sei, hänge im vorliegenden Fall auch von der „Eintrittswahrscheinlichkeit eines Downloads der Daten“ ab. Dies prüfe man gerade. Die Fristverlängerung von Buchbinder um zwei Monate bewertet die Behörde als „verhältnismäßig und zulässig“.

Schadenersatz

Neben der Bußgeldsanktionierung liefern die DSGVO-Vorschriften eine weitere, bislang in Deutschland eher weniger bekannte monetäre Drohung für Unternehmen: Jede Person, der wegen eines Verstoßes gegen die Vorgaben des Datenschutzes ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz. Dies regelt Art. 82 der DSGVO. Als Beispiele für materiellen oder immateriellen Schaden gelten Fälle, bei denen die Datenverarbeitung zu einer Diskriminierung, einem Identitätsdiebstahl, einem finanziellen Verlust, einer Rufschädigung oder anderen erheblichen wirtschaftlichen oder gesellschaftlichen Nachteilen führen kann.

Dazu existieren allerdings bislang kaum Gerichtsurteile. Ungeklärt ist insbesondere die Frage, welche Intensität der immaterielle Schaden haben muss, um eine Ausgleichszahlung zu rechtfertigen. So entschied das Amtsgericht Diez mit Urteil im November 2018 (Az.: 8 C 130/18), dass ein geringfügiger Verstoß gegen die Vorschriften des Datenschutzes ohne ernsthafte Beeinträchtigung nicht ausreicht. Geklagt hatte der Empfänger einer Spam-Mail, der dafür eine Zahlung von 500 Euro erreichen wollte.

Offen ist also, ob bereits die ungewollte Veröffentlichung von Kundendaten zu einem Ausgleichsanspruch führen kann oder ob Gerichte dies eher als Bagatellfall werten. Eindeutig dürfte der Anspruch allerdings in Fällen sein, in denen sensible Daten frei im Netz verfügbar waren, etwa Krankheitsinformationen bei Unfällen. Ebenfalls wahrscheinlich ist ein Anspruch, sofern das Datenleck eine Zuordnung des Betroffenen zu Vereinen aus dem Bereich Erkrankung, Politik oder sexuelle Vorlieben zulässt.

Die Möglichkeit, solche potenziellen Ansprüche einzusammeln und gebündelt durchzusetzen, lockt sogenannte Legal-Techs an. Erste Angebote entstanden bereits am Tag, als heise online Informationen zu dem Buchbinder-Datenleck veröffentlicht hatte. Kunden sollen bei den Legal-Techs ihre Daten angeben und Ansprüche gegen Provision abtreten.

Doch offensichtlich haben diese Unternehmen bislang keine ausreichende Informationsbasis. Wir meldeten uns etwa probehalber bei der kedapro UG an, die Schadensersatzansprüche aus dem Buchbinder-Leck durchsetzen will. Erst zwei Monate später erhielten wir erste Infos per Mail: „Genau wie auch für Sie, ist die Situation derzeit nicht ganz übersichtlich. Unter der Bezeichnung ,Buchbinder’ agieren mehrere Unternehmen.“ Und: „Wir gehen nicht davon aus, dass wir hier bereits in den kommenden Wochen einen Zwischenstand präsentieren können und bitten um Ihre Geduld.“

Legal-Tecs dürften in dieser Situation vorerst keine Hilfe sein. Für betroffene Kunden bleibt zunächst, auf Auskunft bei Buchbinder zu bestehen. Außerdem können Sie gegebenenfalls Beschwerde bei der Datenschutzbehörde einreichen. Wer in dieser Situation einen Schadensersatzanspruch durchsetzen möchte, sollte sich zumindest zuvor von einem versierten Anwalt beraten lassen.

Dieser Artikel stammt aus c't 8/2020. (hob)