Offene (Auto-)türen
Es handelt sich wohl um eines der größeren Datenlecks der Geschichte – der Datenskandal des deutschen Autovermieters Buchbinder. Wie die Recherche des Computermagazins c’t und der Wochenzeitung DIE ZEIT ergab, soll ein Konfigurationsfehler bei einem Backup-Server die Ursache sein.
10 Terabyte teilweise sensibler Kundendaten waren über Wochen/oder sogar Monate für jeden zugängig. Daten (die bis ins Jahr 2003 zurückreichten) wie Namen, Geburtsdatum, private Telefonnummern, Adressen, Bankdaten, Passwörter, Führerscheindaten und Unfallberichte von 3 Millionen Kunden waren wochenlang im Klartext – also ungeschützt – im Netz. Das bedeutet, dass theoretisch jeder Internet Nutzer jede Datei vom betroffenen Server hätte downloaden können und das ohne Passwort. Man musste lediglich die IP-Adresse des Servers im Windows-Datei-Explorer eingeben und schon standen zahlreiche Dateien zum Download bereit. Gezielte Phishing-Attacken, Identitätsdiebstahl aber auch negative Folgen im persönlichen Umfeld sind nun mögliche Risiken für Betroffene.
Doch das wohl Unverständlichste an der Geschichte: Buchbinder wurde mehrmals von IT-Sicherheitsexperten Matthias Nehls gewarnt, hat jedoch – aus unerfindlichen Gründen – nicht reagiert. Also wandte sich dieser an die Medien und so wurde der Datenskandal publik. Solch ein offener Server ist natürlich ein folgenschwerer Verstoß gegen die Vorgaben der DSGVO. Der Autovermieter hat die Sicherheitslücke zwar behoben, doch das Problem ist hiermit noch lange nicht gelöst, da die Daten ja bereits im Umlauf sind! Nun stellt sich die Frage, wer vom Datenleck betroffen ist und was dagegen unternommen werden kann.
Welche Rechte Sie als Betroffener haben und was Sie nun tun können und sollten:
- Passwort ändern (wenn das bei Buchbinder verwendete auch woanders genutzt wird)
- Auskunftsanspruch: Buchbinder anfragen, ob und welche persönlichen Daten gespeichert sind (ct.de/ycyu) (datenschutz@buchbinder.de)
- Schadensersatzanspruch: sofern ihre Daten betroffen sind
- Unterlassungsanspruch
Was dieser Fall jedoch auch deutlich gezeigt hat, auch fast zwei Jahre nach der Einführung der DSGVO sind auch größere Unternehmen noch immer mit der rechtmäßigen Umsetzung der Datenschutzrichtlinien überfordert.
Folgende Aufgaben können Sie als Unternehmen umsetzen um Datenschutz gesetzeskonform anzuwenden:
- Überblick verschaffen
- Ziele des Datenschutzprojektes festlegen
- Falls notwendig, eine Datenschutz-Folgenabschätzung durchführen.
- Vorhandene Datenverarbeitungen DSGVO-konform machen
- Notwendige IT-Tools auswählen und implementieren
- Datenschutzrelevante Unternehmensrichtlinien erstellen
- Konzept für unternehmensinterne Informationsmaßnahmen und Schulungen erstellen und diese Maßnahmen durchführen.
- Unterstützung bieten, um Datenschutz im täglichen Betrieb aufrecht zu erhalten