Kunde fällt auf Hacker rein – und muss doppelt zahlen
Das Oberlandesgericht (OLG) Karlsruhe urteilte am 27.07.2023 (Az. U 83/22), dass […]
Erneut kam es zu einem schweren Datenleck bei einem Unternehmen. Diesmal wurde das Datenleck bei der Buchbinder Autovermietung entdeckt.
Durch die Datenpanne wurden persönliche Daten von mehr als drei Millionen Kunden der Öffentlichkeit zugänglich gemacht. Dabei standen die Daten wochenlang ungeschützt im Netz.
Neben Daten gewöhnlicher Kunden der Autovermietung wurden auch Adressen und Telefonnummern von Prominenten wie etwa vom Grünen-Chef Robert Habeck online gestellt. Dabei sei der Zugriff auf einen Backup-Server über einen offenen Port möglich gewesen, der das Datenleck zuließ.
Neben Mietern sind auch Personen betroffen, die Kunden von Vergleichsportalen und Vermittlungsdiensten gewesen sind und häufig keine Kenntnis davon hatten, dass Buchbinder die bestellten Fahrzeuge gestellt hat.
Bereits hier berichteten wir über Datenlecks.
Nicht nur Namen, Adressen, Geburts- und Führerscheindaten waren Teil des Datensatzes. Vielmehr wurden auch Zahlungsdaten und Passwörter im Klartext veröffentlicht. Das Missbrauchspotenzial wird durch die Klartextdarstellung erhöht.
Bei den drei Millionen Kundendaten handelt es sich um 2,5 Millionen Daten aus Deutschland, 400.000 aus Österreich und 100.000 aus dem übrigen Ausland.
Dazu kommen Daten von ca. 3,1 Millionen Fahrern aus allen Ländern der Welt, Unfallgegner sowie Unfallzeugen. Auch Mitarbeiter, Geschäftspartner, Zulieferer Werkstätten etc., mit denen die Buchbinder Autovermietung zu tun hatte, blieben nicht verschont.
Zudem wurde die Unfalldatenbankveröffentlicht, die bis ins Jahr 2006 zurückreicht. Dort sind nicht nur Karosserieschäden erfasst, sondern auch Personenschäden und Todesfälle sowie sämtliche Kontaktdaten der Unfallbeteiligten und der Unfallzeugen.
Bei einem Routine-Scan der Firma Deutsche Gesellschaft für Cybersicherheit kam es zur Entdeckung des Datenlecks und des offenen Servers. Daraufhin wurde, nachdem sich Buchbinder nicht dazu äußerte, das Landesdatenschutzbeauftragte in Bayern informiert.
Ursache der Panne war ein Fehler im Backup-Server im Rahmen der Konfiguration. Der offene Port 445 hat Zugriffe über das Netzwerkprotokoll SMB zugelassen, sodass jeder Internet-Nutzer die Möglichkeit hatte, die auf dem Server abgelegten Dateien mit einem Volumen von 10 Terabyte passwortlos herunterzuladen.
Da in Deutschland keine Listen mit Kreditkartenummern von Kunden gefunden wurden, ist die Sperrung der Kreditkarten nicht zwingend notwendig.
Worauf betroffene Personen allerdings achten sollten, ist das genaue Lesen von vermeintlichen E-Mails von Buchbinder. Sogenannte Trickbetrüger könnten das Buchbinder-Leck für Phishing-Attacken nutzen, indem Sie die Kunden per E-Mail auffordert, beispielsweise neue Zahlungsinformationen zu hinterlegen. In diesen Fällen sollten Betroffene nicht auf die Links klicken, sondern die Firma bei Zweifel gesondert kontaktieren.
Betroffene sollten ihre Passwörter ändern, sollten sie ein Online-Konto bei Buchbinder habe. Dies ist auch den Mitarbeitern zu raten, da die Wahrscheinlichkeit besteht, dass die Login-Informationen inklusive E-Mail-Adresse und Passwort veröffentlicht wurden.
Es besteht zum einen die Gefahr, dass die Konten durch Betrüger missbraucht werden und zum anderen können Betrüger durch Nutzung des Passworts andere Konten übernehmen können, wenn jeweils Gleiche oder ähnliche Passwörter benutzt werden
Betroffene Personen haben einen Anspruch auf Auskunft darüber, ob und welche Informationen in der Datenbank gespeichert und vom Datenleck betroffen sind. Dies kann im Rahmen einer sogenannten Selbstauskunft stattfinden. Art. 15 DSGVO bietet allen Betroffenen den Rahmen, von dem Unternehmen eine Selbstauskunft zu verlangen.
Das Unternehmen hat dann einen Monat Zeit, die gewünschte Selbstauskunft vorzubereiten.
Dem Unternehmen, welches zur Europcar Mobility Group gehört, droht wegen der schwerwiegenden Verstöße ein hohes Bußgeld.
Ein Datenschutzverstoß bedingt zudem strenge Meldepflichten, zunächst bei den zuständigen Aufsichtsbehörden der Bundesländer.
Nach Art. 33 DSGVO müssen betroffene Unternehmen sich strengen Meldepflichten der zuständigen Datenschutzbehörde gegenüber unterwerfen, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich „zu einem Risiko für die Rechte und Freiheiten natürlicher Personen“ führt.
Im vorliegenden Fall wird dies zu bejahen sein in Anbetracht des enorm hohen Missbrauchspotenzials.
Zudem müssen nach Art. 34 DSGVO die betroffenen Kunden von der Verletzung durch das Unternehmen zu informieren, wenn durch den Vorfall „voraussichtlich ein hohes Risiko“ für deren persönlichen Rechte und Freiheiten entsteht.
Zudem drohen dem Unternehmen weitergehende finanzielle Konsequenzen, da jede betroffene Person, die wegen eines Verstoßes gegen die DSGVO einen materiellen oder immateriellen Schaden erlitten hat, Anspruch auf Schadenersatz (vgl. Art. 82 DSGVO).
Wurde auch mit Ihren Daten nicht datenschutzkonform umgegangen und dadurch Ihre Rechte verletzt? LEGAL SMART bietet Betroffenen einen besonderen Service zur Geltendmachung Ihrer Rechte. Wurden Ihre Rechte mehr als nur geringfügig verletzt, steht Ihnen ein Schmerzensgeldanspruch zu, welcher dann für Sie eingefordert werden kann. Mehr erfahren Sie auf unserer Service-Seite.
Sprechen Sie uns bei Frage einfach unverbindlich an. Wir helfen Ihnen gerne!
Rechtsanwalt Guido Kluck LL.M. ist Partner der Kanzlei LEGAL SMART am Standort Berlin. Er ist Ansprechpartner für das Recht der neuen Medien sowie für die Bereiche Wettbewerbsrecht, Markenrecht, Urheberrecht, IT-Recht, Vertragsrecht und das Datenschutzrecht (DSGVO).
ÜBER DIESEN AUTOR ARTIKEL VON DIESEM AUTORDas Oberlandesgericht (OLG) Karlsruhe urteilte am 27.07.2023 (Az. U 83/22), dass […]
Der BGH hat mit seinem Urt. v. 08.12.2020 (Az. VI ZR […]
Und wieder muss sich der BGH mit dem VW-Dieselskandal befassen. Dieses […]
Buchen Sie direkt online Ihren Termin für eine kostenlose Erstberatung. Der für Sie zuständige Rechtsanwalt wird Sie dann zu dem von Ihnen ausgewählten Termin anrufen.
LEGAL SMART beantwortet rechtliche Fragen auch per WhatsApp. Schreiben Sie uns einfach an und stellen Sie Ihre Frage. Antworten gibt es anschließend direkt auf Ihr Handy.
Viele Fragen lassen sich mit einem Profi in einem kurzen Gespräch rechtssicher klären. Mit der LEGAL SMART Anwaltshotline steht Ihnen unser Anwaltsteam für Ihre Fragen zur Verfügung. Bundesweite Beratung über die kostenlose Anwaltshotline unter 030 - 62 93 77 980.
Bestimmen Sie selbst, wer Sie vertreten soll, wenn Sie Ihre Angelegenheiten nicht mehr selbst regeln können. Mit einer Vorsorgevollmacht können Sie hierzu alles selbst bestimmen.
Gehen Sie auf Nr. Sicher. Lassen Sie Ihre Werbung vor der Veröffentlichung anwaltlich prüfen und sichern Sie sich vor Abmahnungen.
Sie haben eine Filesharing Abmahnung erhalten? Lassen Sie sich vom Profi verteidigen und reduzieren Sie Ihre Kosten.
LEGAL SMART ist die Legal Tech Kanzlei für wirtschaftsrechtliche Themen. Durch konsequente Prozessoptimierung interner und externer Prozesse bieten wir neue Lösungen für verschiedene Fragestellungen. So ist das Recht für jeden zugänglich; schnell, digital und trotzdem mit der Expertise und Kompetenz einer erfahrenen Wirtschaftsrechtskanzlei. Denn Legal Tech ist mehr als nur der Einsatz von Technologie. Legal Tech ist die Bereitstellung juristischer Kompetenz.