Wie c’t und ZEIT nach ausführlicher Recherche berichten, kam es bei der großen Autovermietung BUCHBINDER zu einem Datenleck. Aufgrund eines Konfigurationsfehlers standen wohl 10 Terabyte teils empfindliche Daten für jedermann wochenlang zum Download bereit. Es wird vermutet, dass es sich dabei um die gesamte Firmendatenbank der Unternehmensgruppe handelt. Dem Unternehmen droht jetzt eine immense Strafe durch die zuständigen Behörden, aber auch Betroffene könnten Anspruch auf Schadensersatz haben.
Welche Daten sind betroffen?
Laut c’t umfasst die Datenbank 9 Millionen Mietverträge, die teilweise bis ins Jahr 2003 zurückgehen. Mit den (bei natürlichen Personen) personenbezogenen Daten der Mieter, wie etwa Name, Anschrift, Geburtsdatum, Telefonnummer oder E-Mail-Adresse wurden die der Fahrer verknüpft. Fahrer kann nur eine natürliche Person sein, sodass hier jedenfalls personenbezogene Daten im Sinne der DSGVO verarbeitet wurden. Durch die Verknüpfung beider Datensätze könnte man evtl. Rückschlüsse auf den Arbeitgeber des Fahrers, dessen politische Gesinnung, Gewerkschaftsangehörigkeit oder andere besonders empfindlichen Daten i.S.d. Art. 9 DSGVO ziehen.
Auch fanden sich in der Datenbank Unfallberichte, die bis ins Jahr 2006 zurückgehen. Dabei sind wohl auch die personenbezogenen Daten von Personen wie Unfallbeteiligten oder Zeugen aufgeführt, die keine Kunden von BUCHBINDER sind oder waren.
Zwar sind den Datensätzen wohl keine Kreditkartennummern entnehmbar, allerdings findet man dort angeblich Rechnungen, auf denen das Zahlungsmittel des Mieters angegeben sei.
Wie kann es dazu kommen?
Vereinfacht gesagt, dürfte es sich vorliegend um einen Fall von menschlichem Versagen handeln. BUCHBINDER hat es vermutlich unterlassen, den für die SMB-Freigabe zuständigen Port 445 nicht zu schließen. Die SMB-Freigabe (Server Message Block) ist ein Protokoll für die Netzwerkfreigabe und ermöglicht das Lesen, Schreiben und Anfordern von Dateien auf dem konkreten Server. Dabei dürfte es sich um grob fahrlässiges Verschulden handeln.
DSGVO-Verstöße durch BUCHBINDER
Zunächst sollte festgehalten werden, dass bereits die Speicherung von Mietverträgen und Unfallunterlagen über mehr als zehn Jahre gegen datenschutzrechtliche Vorgaben verstößt. Die Firmendatenbank mit Millionen personenbezogener Daten – so vermutet – über Wochen für Jedermann frei zugänglich zu lassen, dürfte ein Verstoß gegen die DSGVO eklatanten Ausmaßes darstellen.
Schadensersatz von Betroffenen gegen BUCHBINDER
Nach Art. 82 DSGVO hat jede Person, der wegen eines Verstoßes gegen die Vorschriften der DSGVO ein Schaden entstanden ist, Anspruch auf Schadensersatz. Dass hier gegen solche Vorschriften verstoßen wurde, dürfte wohl gegeben sein. Fraglich ist, ob dem oder der Betroffenen ein Schaden entstanden ist. Die Besonderheit bei Art. 82 DSGVO ist, dass auch immaterieller Schadensersatz, vergleichbar mit Schmerzensgeld, umfasst ist. Es muss also überhaupt nicht zu einem finanziellen Schaden gekommen sein, vielmehr dürfte der Umstand, dass Ihre Daten frei zugänglich gemacht wurden und unbefugte Dritte davon Kenntnis erlangen konnten, ausreichen. Die offenen Datensätze können nunmehr für Spam, Phishing oder gar Identitätsdiebstahl genutzt werden.
In einem ersten Schritt wäre also nachzuweisen, dass die Daten der konkret betroffenen natürlichen Person offengelegt wurden. Sollte BUCHBINDER die Betroffenen persönlich über den Datenschutzvorfall unterrichten, wäre dies bereits als gegeben anzusehen. Sollte nur eine allgemeine Bekanntgabe erfolgen, so wäre in einem ersten Schritt, eine Anfrage nach Art. 15 DSGVO zu stellen. Für die Höhe des Schadensersatzes wären verlässliche Belege hilfreich, ob und wie viele externe Anwender Zugriff auf die Datensätze hatten und wie lange diese offen lagen.
In Österreich wurden einem Betroffenen 800 EUR Schadensersatz zugesprochen, dessen politische Parteiaffinität durch die Post ohne Einwilligung verarbeitet wurde. Die politische Gesinnung stellt zwar ein besonders geschütztes personenbezogenes Datum i.S.d. Art. 9 DSGVO dar, weshalb der Schadensersatz pro (gewöhnliches) personenbezogenes Datum niedriger anzusetzen wäre. Da hier in jedem Fall mehrere Daten pro Betroffenem verarbeitet wurden, dürfte sich der Schadensersatz allerdings summieren.
Wir stellen für Sie in einem ersten Schritt ein qualifiziertes Auskunftsgesuch bei BUCHBINDER und machen in einem zweiten Schritt Ihre Betroffenenrechte in Form von Schadensersatz geltend. Gerne stellen wir für Sie auch die Deckungsanfrage bei einer vorhandenen Rechtsschutzversicherung.
Vertretung Betroffener
Sollten Sie Betroffener sein, nutzen Sie einfach unser Kontaktformular oder rufen Sie uns während unserer Geschäftszeiten an um unverbindlich anzufragen. Auch über unseren Kanzlei Chat erreichen Sie uns werktags von 09:00 bis 18:00 Uhr.