Datenleck bei Buchbinder: Was Betroffene jetzt tun können
Auskunftsansprüche, Meldepflichten oder sogar Schadensersatz: Was können die drei Millionen Betroffenen unternehmen und welche Rechte stehen ihnen zu?
- Joerg Heidrich
- Hartmut Gieselmann
Höchst persönliche Daten von drei Millionen Kunden der Autovermietung Buchbinder lagen über Wochen völlig ungeschützt im Netz. Betroffen sind nicht nur Mieter, die ihre Fahrzeuge direkt bei Buchbinder orderten, sondern mitunter auch Kunden von Vergleichsportalen und Vermittlungsdiensten, die oftmals gar nicht wissen, dass ihre Fahrzeuge von Buchbinder gestellt wurden. Rund 2,5 Millionen Kunden stammen aus Deutschland, etwa 400.000 aus Östereich und etwas über 100.000 aus dem übrigen Ausland.
Hinzu kommen rund 3,1 Millionen Fahrer aus allen Ländern der Welt, deren eventuelle Unfallgegner sowie Zeugen von Unfällen. Nicht zu vergessen sämtliche Mitarbeiter, Geschäftspartner, Gutachter, Rechtsanwälte, Zulieferer, Werkstätten und Autohäuser, mit denen die Buchbindergruppe zu tun hatte.
Da die Kundendaten bis ins Jahr 2003 zurückreichen, wird es für Buchbinder nicht einfach sein, sämtliche Betroffenen zu kontaktieren – mancher wird in der Zwischenzeit umgezogen sein, oder hat seine Telefonnumer oder E-Mail-Adresse geändert.
Da zu den öffentlich zugänglichen Informationen aus der Buchbinder-Datenbank nicht nur Namen, Adressen, Geburts- und Führerscheindaten, sondern auch Zahlungsdaten sowie Passwörter im Klartext gehören, ist das Missbrauchspotential hoch. Deshalb klären wir im Folgenden ab, welche Gefahren drohen und welche Rechte Betroffene haben.
Muss ich meine Kreditkarte sperren?
Die wichtigste Antwort zuerst: Wir haben in der Datenbank keine Listen mit Kreditkartennummern gefunden. Wohl aber eingescannte Rechnungen mit Kontoverbindungen und Zahlungsinformationen. Deshalb sehen wir keinen Anlass, Kreditkarten pauschal sperren zu lassen.
Trickbetrüger könnten das Buchbinder-Leck jedoch für gezielte Phishing-Attacken nutzen, indem Sie Mails verschicken, die sich auf Autobuchungen beziehen und Sie auffordern, neue Zahlungsinformationen zu hinterlegen. Klicken Sie nicht direkt auf Links in Mails, sondern kontaktieren Sie die Firma gegebenenfalls auf anderem Wege.
Was ist mit meinen Passwörtern?
Wenn Sie ein Online-Konto bei Buchbinder haben oder sogar Mitarbeiter sind, besteht die Wahrscheinlichkeit, dass Ihre Login-Informationen samt E-Mail-Adresse und Passwort veröffentlicht wurden. Wir haben in den Datenbanken mehrere tausend Passwörter im Klartext gefunden. Betrüger könnten mit diesen Informationen versuchen, auch andere Accounts von Ihnen zu übernehmen, wenn Sie dort das gleiche oder ein ähnliches Passwort wie bei Buchbinder nutzen. Deshalb sollten Sie betreffende Passwörter ändern. Auch hier wieder Vorsicht vor Phishing-Mails, die Sie mit einem Link zur Eingabe neuer Passwörter auffordern.
Lassen sich Bewegungsprofile erstellen?
Zu jedem Kunden ist in der Datenbank vermerkt, zu welchem Zeitpunkt er an welchem Ort einen Wagen abgeholt und wo und wann er ihn wieder zurĂĽckgebracht hat, inklusive der zwischendurch gefahrenen Kilometer. Weitere Geodaten, die die Fahrwege der Mietwagen protokollieren, haben wir nicht gefunden.
Kritisch sind die Daten eventuell für Dauerkunden, die in sicherheitsrelevanten Bereichen tätig sind, da sich hier grobe Bewegungsmuster erstellen lassen.
Was ist mit Unfällen?
Die Unfalldatenbank reicht bis ins Jahr 2006 zurück und umfasst etwas über 500.000 Fälle. Das meiste sind Lackschäden, aber es gab auch größere Unfälle mit Verletzten und sogar einigen Toten. In der Datenbank sind zuweilen die Namen und Kontaktdaten (Adresse, Telefonnummer) von Unfallgegnern sowie Zeugen vermerkt.
Zudem gibt es Freitext-Felder mit Angaben zum Unfallhergang: Zeit und Ort, mitunter Geschwindigkeitsangaben und Bemerkungen zur Schuldfrage, Versicherung und Schadenshöhe. In weniger als hundert Fällen ist auch angegeben, ob die Polizei eine Blutprobe angeordnet hatte. Ergebnisse von Blutproben haben wir nicht gefunden.
Was ist mit exponierten Personen?
Wir haben in den Daten dutzende Persönlichkeiten des öffentlichen Lebens, Prominente, Politiker, ja sogar Weltstars gefunden, die wir aus Rücksicht jedoch nicht nennen. In der Datenbank sind deren Privatadresse, Geburtsdatum, Handy-Nummer und E-Mailadresse zu finden.
Herausfiltern lassen sich auch mutmaßliche Mitglieder religiöser Vereine, Parteien, von Schwulen- und Lesben-Gruppen sowie von Selbsthilfegruppen für Suchtkrankheiten et cetera – sofern sie deren Namen auf den Rechnungen bei einer Autoanmietung angegeben haben.
Diese Personen mĂĽssen damit rechnen, dass ihnen nachgestellt wird oder die Daten fĂĽr weitere Doxing-Attacken genutzt werden.
Juristische Beurteilung
Aus juristischer Sicht ist ein derart offener Server ein Datenschutz-GAU und ein elementarer Verstoß gegen die Vorgaben der DSGVO: Das Thema IT-Sicherheit hat in den europäischen Vorgaben einen weitaus höheren Stellenwert erhalten, so dass diese nun elementarer Bestandteil des Datenschutzes wird. Sollte die zuständige Aufsichtsbehörden einen Verstoß gegen die DSGVO feststellen, wäre ein Bußgeld in erheblicher Höhe fällig. Neben den vermutlich nicht allzu kleinen Bußgeldern droht dem Unternehmen allerdings noch ein anderes Damoklesschwert.
Vor dem BuĂźgeld erwartet den Autoverleiher von Seiten der eigenen Kunden eine ganze Reihe von anderen unangenehmen MaĂźnahmen aus dem Katalog des Datenschutzes. Es spricht einiges dafĂĽr, dass Buchbinder im vorliegenden Fall die betroffenen Kunden ĂĽber das Daten-Desaster informieren muss. Wer darauf nicht warten will, kann sich im Rahmen eines Auskunftsanspruchs detaillierte Informationen ĂĽber die bei dem Unternehmen gespeicherten Informationen holen.
AuskunftsansprĂĽche
Wer wissen will, ob seine Informationen in der Datenbank gespeichert sind und möglicherweise von dem Leck betroffen sind, kann dies im Rahmen einer Selbstauskunft proaktiv erfragen. Art. 15 DSGVO bietet allen Bürgern die Möglichkeit, von dem Unternehmen eine Selbstauskunft zu verlangen. Wir haben für eine solche Anfrage ein Formular vorbereitet, die ct5F. Die für private Zwecke kostenlos verwendbare Vorlage ist hier abrufbar:
Dabei ist es erforderlich, sich gegenüber dem Unternehmen zu legitimieren, so dass eine falsche Auskunft ausgeschlossen werden kann. Hierzu sollten demnach neben der Adresse noch weitere Daten angegeben werden, etwa die Kundennummer. Wer auf Nummer sicher gehen will, kann eine (teilgeschwärzte) Kopie seines Personalausweises mitschicken.
Allzu schnelle Antwort darf man bei derartigen Anfragen nicht erwarten, denn die DSGVO sieht hierfĂĽr eine Frist von einem Monat vor. Eine Antwortpflicht besteht ĂĽbrigens auch dann, wenn keine Informationen ĂĽber den Anfragenden vorliegen. Die Kontaktanschrift fĂĽr das Gesuch kann man dem Impressum der Buchbinder-Webseite entnehmen. Der Datenschutzbeauftragte, an den man solche AuskĂĽnfte auch online richten kann, ist unter datenschutz@buchbinder.de erreichbar.
Meldepflichten
Betroffene Kunden erfahren allerdings möglicherweise noch früher von dem Daten-GAU. Denn ein Datenschutzverstoß bedingt zudem strenge Meldepflichten, zunächst bei den zuständigen Aufsichtsbehörden der Bundesländer. Dies gilt nach Art. 33 DSGVO zumindest dann, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich "zu einem Risiko für die Rechte und Freiheiten natürlicher Personen" führt. Dies dürfte im vorliegenden Fall eindeutig zu bejahen sein, da sich aus den frei zugänglichen Informationen ein erhebliches Missbrauchspotential ergibt.
Daher ist vorliegend "unverzüglich und möglichst binnen 72 Stunden", nachdem ihm die Verletzung bekannt wurde, die Behörde zu informieren. Nach Information der c’t ist allerdings im Buchbinder-Fall das zuständige Amt in Bayern bereits von Dritten informiert.
Zur DSGVO und aktuellen Entwicklungen siehe:
Die aktualisierte und stark erweiterte Ausgabe des c't-Sonderhefts zur Datenschutz-Grundverordnung mit noch mehr FAQs, Checklisten und Mustern fĂĽr die aktuellen Probleme des Datenschutzes.
Damit nicht genug, sieht Art. 34 DSGVO vor, dass im Falle eines Sicherheitslecks auch die Betroffenen von der Verletzung zu informieren sind, also die Kunden. Voraussetzung dafür ist, dass durch den Vorfall "voraussichtlich ein hohes Risiko" für deren persönlichen Rechte und Freiheiten entsteht, wofür im vorliegenden Fall einiges spricht. In diesem Fall muss sich das verantwortliche Unternehmen an jeden einzelnen Betroffenen wenden, von dem Datenleck berichten und über mögliche Folgen warnen.
Legaltechs auf Beutezug
Neben den Bußgeldern, die leicht eine siebenstellige Höhe erreichen können, droht dem Autoverleiher aber auch noch weiterer finanzieller Ärger. Denn jede Person, der wegen eines Verstoßes gegen die DSGVO "ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz". Dieser richtet sich gegen den Verantwortlichen, hier also die Buchbinder-Gruppe, oder sogar gegen den Auftragsverarbeiter, im vorliegenden Fall mutmaßlich der Hoster.
Dabei reicht bereits eine immaterielle Schädigung aus. Hier kann bereits die Tatsache genügen, dass sensible Daten der Kunden offen im Web standen. Da im vorliegenden Fall zum Beispiel auch Gesundheitsdaten, politische Ansichten oder sexuelle Vorlieben aus den Daten extrahiert werden könnten, ist ein solcher Anspruch nicht unwahrscheinlich. Dieser wäre dann zwar im Normalfall allenfalls im vierstelligen Bereich. Andererseits könnten aber leicht Hunderttausend Kunden oder mehr betroffen sein.
Dass es hier möglicherweise Geld zu verdienen gibt, hat inzwischen auch ein erstes Unternehmen der Legaltech-Branche erkannt. Kaum vier Stunden nach Veröffentlichung unserer Meldung war eine Landingpage online. Diese bietet den Betroffenen an, Schadensersatzansprüche nach DSGVO gegen den Autoverleiher geltend zu machen – natürlich gegen eine entsprechende Beteiligung. (hag)