Kunden-Backup landet bei fremder Person

Durch einen Fehler landet das Backup einer Kundin auf dem falschen Rechner. Ein schwerwiegender Datenschutzverstoß. Die Betroffene wartet lange auf Erklärungen.

5

11.04.2025, 05:55 Uhr

Lesezeit: 7 Min.

c't Magazin

Von

Tim Gerber

Dies ist ein Beitrag aus unserer Magazin-Rubrik Vorsicht, Kunde!, der erstmals am 29.12.2023 in c't 1/2024 erschienen ist.

Am 29. Juni 2023 erwarb Luisa M. (Name von der Red. geändert) ein neues MacBook Air M2 in der Lüneburger Filiale der Comspot GmbH. Der Laden firmiert als Apple Premium Reseller und wirbt mit "zertifizierten Techniker*innen" sowie "höchsten Sicherheitsstandards". Deshalb willigte Luisa M. ohne Bedenken ein, als ihr ein Mitarbeiter den kostenlosen "digitalen Umzugsservice" anbot. Die Werkstatt erstellt dabei ein Backup des alten Geräts und überträgt die Daten auf das gekaufte Produkt. Am Abend war das neue Notebook tatsächlich mit all ihren persönlichen Onlinekonten und Daten einsatzbereit.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmung wird hier ein externer Podcast (Podigee GmbH) geladen.

Podcasts immer laden

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Podigee GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Fast vier Monate später, am 21. Oktober, klingelte bei Luisa M. das Handy. Es war Samstag spätabends: "In der Leitung war eine mir völlig unbekannte Frau", schilderte sie uns. Diese hatte am Vormittag genau wie Luisa M. damals den Datenumzugsservice von Comspot in Anspruch genommen. Als sie ihr neues Notebook zu Hause gestartet hatte, erschien der Desktop einer anderen Person. Luisa M. erzählt: "Die Frau hat in die fremden Mails geschaut und fand so meine Handynummer, die ich in vielen Fällen bei meinem Mail-Schriftverkehr angebe." Offensichtlich hatte Comspot versehentlich das Backup von Luisa M. auf den Rechner einer anderen Kundin aufgespielt.

Luisa M. war einerseits dankbar für den Anruf, andererseits aber entsetzt. Ihr MacBook enthielt ihre gesamte digitale Identität. Außerdem ist die ältere Dame politisch aktiv und kommuniziert in einer Gruppe von Parkinson-Erkrankten. Nicht nur ihre Daten, sondern auch höchst private Informationen über andere Personen waren bei einer wildfremden Person gelandet. Und: Das Backup lag offensichtlich fast vier Monate in der Filiale. Was also, wenn es auf weiteren Rechnern gelandet ist, deren Besitzer nicht so nett waren, sich bei ihr zu melden?

Am folgenden Montag stand Luisa M. gleich vormittags in der Comspot-Filiale. Ihrer Erinnerung nach entschuldigte sich der angesprochene Verkäufer mehrmals "und versicherte mir, meine Daten seien inzwischen gelöscht und auf kein anderes Laptop aufgespielt worden. Schriftlich habe ich das nicht." Außerdem habe sie auf den Anrufbeantworter der von Comspot angegebenen Datenschutzbeauftragten gesprochen. Diese habe gleich zurückgerufen und versichert, "sich umgehend zu kümmern". Über einen Freund, der c’t-Leser ist, hat sich Luisa M. bald auch bei uns gemeldet und den Fall geschildert.

Tückisch: Der Apple-Händler Comspot bietet an, Kundendaten von alte auf neue Geräte zu migrieren., — Tückisch: Der Apple-Händler Comspot bietet an, Kundendaten von alte auf neue Geräte zu migrieren.

Nachgehakt

Nachdem die Kundin 14 Tage nichts von Comspot gehört hatte, hakten wir nach. Tina Walloschek, Inhaberin der Beratungsfirma QuaSi Consult GbR aus Bispingen, fungiert als bezahlte externe Datenschutzbeauftragte gemäß DSGVO für alle Filialen der Hamburger Comspot GmbH. Wir fragten sie per Mail unter anderem, ob die Ursache der Datenpanne ermittelt ist und ob die Daten noch auf anderen Kundenrechnern gelandet sind.

Walloschek versicherte, sie habe nach dem Telefonat mit der Kundin "alle datenschutzrelevanten Schritte in die Wege geleitet, und der Datenschutzvorfall wurde mit den Verantwortlichen der Comspot GmbH aufgearbeitet und von der Rechtsabteilung der Comspot GmbH übernommen." Daher werde sich Comspot bei uns melden und die Fragen beantworten. In der Tat mailte uns vier Tage später Michael Hencke, Geschäftsführer der Comspot GmbH. Er schlug ein erklärendes Telefonat vor. Wir sprachen mit ihm, baten aber außerdem um eine verbindliche schriftliche Antwort auf unsere Fragen, die dann wieder 14 Tage später, am 24. November folgte.

Hencke betonte, dass die Filiale in Lüneburg zur Comspot GmbH gehöre, Reparaturen aber von der getrennten Comspot Repair GmbH erledigt würden, deren Geschäftsführer er nicht sei. Im Fall von Luisa M. "wäre es bei ordnungsgemäßer Auftragserteilung zu einem Auftrag für die Dienstleistung mit der Comspot Repair GmbH gekommen". Da an diesem Tag aber niemand aus der Werkstatt anwesend gewesen sei, habe ein Shopkollege eigenmächtig und unbefugt improvisiert.

Dieser Mitarbeiter habe einen dafür nicht vorgesehenen Datenträger hergenommen, während "auf einem anderen Datenträger versehentlich noch ungelöschte Daten von Luisa M. als zurückgespieltes Kundenbackup über einen falschen Rechner in Umlauf kamen. Letzteres ist künftig durch Passwörter und Verschlüsselung verhindert." Hencke könne ausschließen, dass das Backup von Luisa M. auf Rechnern weiterer Kunden gelandet sei: "Entsprechende Bestätigungen aller Beteiligten liegen uns vor, und es gab in der Zwischenzeit keine weiteren ähnlich lautenden Aufträge."

Immer wieder bekommen wir E-Mails, in denen sich Leser über schlechten Service, ungerechte Garantiebedingungen und überzogene Reparaturpreise beklagen. Ein gewisser Teil dieser Beschwerden ist offenbar unberechtigt, weil die Kunden etwas überzogene Vorstellungen haben. Vieles entpuppt sich bei genauerer Analyse auch als alltägliches Verhalten von allzu scharf kalkulierenden Firmen in der IT-Branche.

Manchmal erreichen uns aber auch Schilderungen von geradezu haarsträubenden Fällen, die deutlich machen, wie einige Firmen mit ihren Kunden umspringen. In unserer Rubrik „Vorsicht, Kunde!“ berichten wir über solche Entgleisungen, Ungerechtigkeiten und dubiose Geschäftspraktiken. Damit erfahren Sie als Kunde schon vor dem Kauf, was Sie bei dem jeweiligen Unter nehmen erwarten oder manchmal sogar befürchten müssen. Und womöglich veranlassen unsere Berichte ja auch den einen oder anderen Anbieter, sich zukünftig etwas kundenfreundlicher und kulanter zu verhalten.

Falls Sie uns eine solche böse Erfahrung mitteilen wollen, senden Sie bitte eine chronologisch sortierte knappe Beschreibung Ihrer Erfahrungen an: vorsichtkunde@ct.de.

Art. 33 der Datenschutz-Grundverordnung (DSGVO) verpflichtet Verantwortliche, "Verletzungen des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden" an die zuständige Datenschutzbehörde zu melden, nachdem ihm die Verletzung bekannt wurde. Im vorliegenden Fall besteht diese Pflicht zweifellos. Verantwortlich im Sinne der DSGVO dürfte die Hamburger Comspot GmbH sein, also wäre der Hamburgische Beauftragte für Datenschutz zu informieren.

Ja, man habe die Datenschutzverletzung gemeldet, erklärte Geschäftsführer Hencke. Allerdings habe man "die 72 Stunden etwas gerissen, da die betroffenen Kollegen, die heute nicht mehr im Unternehmen tätig sind, leider erst versucht haben, den Fall allein aus der Welt zu schaffen". Außerdem sei die Meldung erst "in die falsche Firma weitergeleitet" worden und verzögert bei der Comspot GmbH eingegangen.

Auf Anfrage teilte uns die Hamburger Behörde mit, dass die Meldung keinesfalls wenig später, sondern erst am 16. November eingegangen ist, also 24 Tage, nachdem die Comspot GmbH vom Datenverlust erfahren hatte und zehn Tage, nachdem c’t die erste Anfrage dort gestellt hatte. Mit Hinweis auf ein laufendes Verfahren wollte uns die Behörde "zum jetzigen Zeitpunkt keine weiteren Auskünfte dazu erteilen".

Unternehmen haftet für Mitarbeiter

Mehrfach wies uns Geschäftsführer Hencke darauf hin, dass sich im Fall von Luisa M. ein einzelner Mitarbeiter eigenmächtig über die Regeln hinweggesetzt habe. Wir baten Rechtsanwalt Adrian Schneider, Experte für IT- und Datenschutzrecht bei der Kanzlei Osborne Clarke, den Fall einzuschätzen. Tatsächlich stellt sich für ihn die Frage: "Kann ein Bußgeld gegen ein Unternehmen verhängt werden, wenn ein Mitarbeiter eigenmächtig und unbefugt gehandelt hat oder müsste das Bußgeld dann gegen den entsprechenden Kollegen verhängt werden?"

Genau mit dieser Frage habe sich gerade erst der Europäische Gerichtshof (EuGH) in der Entscheidung "Deutsche Wohnen" beschäftigt (Az. C-807/21 vom 5. Dezember 2023). Es sei nicht erforderlich, den Verstoß einer identifizierten natürlichen Person zuzurechnen. Ein Unternehmen hafte also auch für Datenschutzverstöße anderer Personen, die im Rahmen der unternehmerischen Tätigkeit und im Namen des Unternehmens handeln: "Allein der Umstand, dass das Backup also nicht von der Geschäftsführung, sondern von einem Shop-Mitarbeiter überspielt wurde, führt nicht dazu, dass Comspot von einem Bußgeld befreit wäre."

Unabhängig von einem drohenden Bußgeld könnten Schneider zufolge auch Schadensersatzforderungen auf Comspot zukommen: "Schon den Aufwand, den Luisa M. damit hatte, Comspot hinterherzulaufen, um Informationen zu erhalten, wird sich als Schaden belegen lassen. Obendrein erfasst die DSGVO nicht nur ‚harte‘ materielle Schäden, sondern auch immaterielle Schäden." Die Weitergabe der Daten sei vergleichbar mit einem Wohnungseinbruch: "Wenn Fremde unbefugt in der Wohnung waren, hinterlässt das auch emotionale Spuren." Inzwischen hat Luisa M. eine Anwältin beauftragt, ihre Interessen gegenüber Comspot geltend zu machen.

Alle 14 Tage präsentiert Ihnen Deutschlands größte IT-Redaktion aktuelle Tipps, kritische Berichte, aufwendige Tests und tiefgehende Reportagen zu IT-Sicherheit & Datenschutz, Hardware, Software- und App-Entwicklungen, Smart Home und vielem mehr. Unabhängiger Journalismus ist bei c't das A und O.

(tig)