Millionen Kundendaten im Netz – Das Datenleck beim Autovermieter oder warum Datenschutz und IT-Sicherheit so wichtig ist

Persönliche Daten von Millionen Kunden des Autovermieters Buchbinder haben wochenlang ungeschützt im Internet gestanden. Das zeigen Recherchen von "c't" und der "Zeit". Auch Grünen-Chef Habeck, der Chef des BSI und die Polizei sollen betroffen sein. Hätte der Leak verhindert werden können? Und welche Strafen drohen bei solch einer Datenpanne? Das IT-Security Team von BREDEX gibt Antworten.

 

Was ist passiert?

Eine zehn Terabyte große Datenbank mit umfangreichen persönlichen Kundendaten könnte für die große Autovermietung Buchbinder zu einem veritablen Datenskandal mit teuren Auswirkungen und dem damit verbundenen Imageverlust führen. Das IT-Portal Heise Online, das den Datenskandal zusammen mit der Redaktion der Zeit öffentlich machte, nennt den Vorfall eines der größten Datenlecks der Geschichte der Bundesrepublik. Unter den Daten finden sich unter anderem Adressen und Telefonnummern von Kunden, aber offenbar auch Unfallberichte und andere sensible Daten wie eingescannte Rechnungen, E-Mails und Verträge aus dem Zeitraum seit 2003. Da zu den öffentlich zugänglichen Informationen aus der Buchbinder-Datenbank nicht nur Namen, Adressen, Geburts- und Führerscheindaten, sondern auch Zahlungsdaten sowie Passwörter im Klartext gehören, ist das Missbrauchspotential hoch.

 

Verstoß gegen die DSGVO und seine Folgen

Warum sich offenbar auf die gesamte MSSQL-Datenbank ohne Passwortschutz zugreifen ließ, müssen die Verantwortlichen jetzt beantworten. Aus juristischer Sicht ist ein derart offener Server ein Datenschutz-GAU und ein elementarer Verstoß gegen die Vorgaben der DSGVO. Dem Autovermieter droht daher ein hohes Bußgeld, das ein siebenstellige Höhe erreichen kann. Vor dem Bußgeld erwartet den Autoverleiher aber auch von Seiten der eigenen Kunden eine ganze Reihe von anderen unangenehmen Maßnahmen aus dem Katalog des Datenschutzes. Es spricht einiges dafür, dass Buchbinder im vorliegenden Fall nicht nur die betroffenen Kunden über das Daten-Desaster informieren muss, sondern auch mit Schadensersatzforderungen zu rechnen ist. Kaum vier Stunden nach Veröffentlichung unserer Meldung war eine Landingpage online. Diese bietet den Betroffenen an, Schadensersatzansprüche nach DSGVO gegen den Autoverleiher geltend zu machen.

 

Verstoß kein Einzelfall

Doch nicht nur der aktuelle Fall bei Buchbinder zeigt, dass Unternehmen Datenschutz und IT-Sicherheit nicht auf die leichte Schulter nehmen sollten. Seitdem die DSGVO im Mai 2018 in Kraft getreten ist, wurden mehr als 40.000 Datenpannen gemeldet. Die meisten davon – mehr als 12.000 – in Deutschland. Im letzten Jahr wurden 187 Bußgelder verhängt. Das höchste Bußgeld hierzulande in Höhe von 14,5 Millionen Euro wurde dabei von der Berliner Datenschutzbeauftragten gegen eine Immobilienfirma, da das Unternehmen laut der Behörde personenbezogene Daten von Mietern in einem Archivsystem gespeichert hat, bei dem nicht mehr erforderliche Daten nicht gelöscht werden konnten.

 

Hilfe vom Profi

Wer sein Unternehmen vor Verstößen, Datenlecks und Bußgeldern schützen möchte, sollte sich Rat beim Profi holen. Mit der BREDEX können alle Fragen rund um Datenschutz und IT-Sicherheit schnell und unkompliziert im Rahmen eines Supportpakets gelöst werden. Damit sind sie immer auf der sicheren Seite. Wir orientieren uns immer am aktuellen Stand der Gesetzeslage, somit können Änderungen sofort berücksichtigen und bearbeitet werden. Kontaktieren Sie uns für weitere Informationen.

Kontakt-Icon