Erneut kam es zu einem schweren Datenleck bei einem Unternehmen. Diesmal wurde das Datenleck bei der Buchbinder Autovermietung entdeckt.

Was war geschehen?

Durch die Datenpanne wurden persönliche Daten von mehr als drei Millionen Kunden der Öffentlichkeit zugänglich gemacht. Dabei standen die Daten wochenlang ungeschützt im Netz.

Neben Daten gewöhnlicher Kunden der Autovermietung wurden auch Adressen und Telefonnummern von Prominenten wie etwa vom Grünen-Chef Robert Habeck online gestellt. Dabei sei der Zugriff auf einen Backup-Server über einen offenen Port möglich gewesen, der das Datenleck zuließ.

Neben Mietern sind auch Personen betroffen, die Kunden von Vergleichsportalen und Vermittlungsdiensten gewesen sind und häufig keine Kenntnis davon hatten, dass Buchbinder die bestellten Fahrzeuge gestellt hat.

Bereits hier berichteten wir über Datenlecks.

Welche Daten wurden öffentlich gemacht?

Nicht nur Namen, Adressen, Geburts- und Führerscheindaten waren Teil des Datensatzes. Vielmehr wurden auch Zahlungsdaten und Passwörter im Klartext veröffentlicht. Das Missbrauchspotenzial wird durch die Klartextdarstellung erhöht.  

Wie viele Kundendaten wurden erfasst?

Bei den drei Millionen Kundendaten handelt es sich um 2,5 Millionen Daten aus Deutschland, 400.000 aus Österreich und 100.000 aus dem übrigen Ausland.

Dazu kommen Daten von ca. 3,1 Millionen Fahrern aus allen Ländern der Welt, Unfallgegner sowie Unfallzeugen. Auch Mitarbeiter, Geschäftspartner, Zulieferer Werkstätten etc., mit denen die Buchbinder Autovermietung zu tun hatte, blieben nicht verschont.

Zudem wurde die Unfalldatenbankveröffentlicht, die bis ins Jahr 2006 zurückreicht. Dort sind nicht nur Karosserieschäden erfasst, sondern auch Personenschäden und Todesfälle sowie sämtliche Kontaktdaten der Unfallbeteiligten und der Unfallzeugen.

Wie kam es zur Kenntnis über das Datenleck?

Bei einem Routine-Scan der Firma Deutsche Gesellschaft für Cybersicherheit kam es zur Entdeckung des Datenlecks und des offenen Servers. Daraufhin wurde, nachdem sich Buchbinder nicht dazu äußerte, das Landesdatenschutzbeauftragte in Bayern informiert.

Ursache des Lecks bei Buchbinder

Ursache der Panne war ein Fehler im Backup-Server im Rahmen der Konfiguration. Der offene Port 445 hat Zugriffe über das Netzwerkprotokoll SMB zugelassen, sodass jeder Internet-Nutzer die Möglichkeit hatte, die auf dem Server abgelegten Dateien mit einem Volumen von 10 Terabyte passwortlos herunterzuladen.

Was können Betroffene tun?

Da in Deutschland keine Listen mit Kreditkartenummern von Kunden gefunden wurden, ist die Sperrung der Kreditkarten nicht zwingend notwendig.

Worauf betroffene Personen allerdings achten sollten, ist das genaue Lesen von vermeintlichen E-Mails von Buchbinder. Sogenannte Trickbetrüger könnten das Buchbinder-Leck für Phishing-Attacken nutzen, indem Sie die Kunden per E-Mail auffordert, beispielsweise neue Zahlungsinformationen zu hinterlegen. In diesen Fällen sollten Betroffene nicht auf die Links klicken, sondern die Firma bei Zweifel gesondert kontaktieren.

Betroffene sollten ihre Passwörter ändern, sollten sie ein Online-Konto bei Buchbinder habe. Dies ist auch den Mitarbeitern zu raten, da die Wahrscheinlichkeit besteht, dass die Login-Informationen inklusive E-Mail-Adresse und Passwort veröffentlicht wurden.

Es besteht zum einen die Gefahr, dass die Konten durch Betrüger missbraucht werden und zum anderen können Betrüger durch Nutzung des Passworts andere Konten übernehmen können, wenn jeweils Gleiche oder ähnliche Passwörter benutzt werden

Auskunftsansprüche

Betroffene Personen haben einen Anspruch auf Auskunft darüber, ob und welche Informationen in der Datenbank gespeichert und vom Datenleck betroffen sind. Dies kann im Rahmen einer sogenannten Selbstauskunft stattfinden. Art. 15 DSGVO bietet allen Betroffenen den Rahmen, von dem Unternehmen eine Selbstauskunft zu verlangen.

Das Unternehmen hat dann einen Monat Zeit, die gewünschte Selbstauskunft vorzubereiten.

Was droht Buchbinder jetzt?

Dem Unternehmen, welches zur Europcar Mobility Group gehört, droht wegen der schwerwiegenden Verstöße ein hohes Bußgeld.

Ein Datenschutzverstoß bedingt zudem strenge Meldepflichten, zunächst bei den zuständigen Aufsichtsbehörden der Bundesländer.

Nach Art. 33 DSGVO müssen betroffene Unternehmen sich strengen Meldepflichten der zuständigen Datenschutzbehörde gegenüber unterwerfen, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich „zu einem Risiko für die Rechte und Freiheiten natürlicher Personen“ führt.

Im vorliegenden Fall wird dies zu bejahen sein in Anbetracht des enorm hohen Missbrauchspotenzials.

Zudem müssen nach Art. 34 DSGVO die betroffenen Kunden von der Verletzung durch das Unternehmen zu informieren, wenn durch den Vorfall „voraussichtlich ein hohes Risiko“ für deren persönlichen Rechte und Freiheiten entsteht.

Zudem drohen dem Unternehmen weitergehende finanzielle Konsequenzen, da jede betroffene Person, die wegen eines Verstoßes gegen die DSGVO einen materiellen oder immateriellen Schaden erlitten hat, Anspruch auf Schadenersatz (vgl. Art. 82 DSGVO).

Wir helfen Ihnen!

Wurde auch mit Ihren Daten nicht datenschutzkonform umgegangen und dadurch Ihre Rechte verletzt? LEGAL SMART bietet Betroffenen einen besonderen Service zur Geltendmachung Ihrer Rechte. Wurden Ihre Rechte mehr als nur geringfügig verletzt, steht Ihnen ein Schmerzensgeldanspruch zu, welcher dann für Sie eingefordert werden kann. Mehr erfahren Sie auf unserer Service-Seite.

Sprechen Sie uns bei Frage einfach unverbindlich an. Wir helfen Ihnen gerne!