Wie gemeinsame Recherchen des Computermagazins "c't" und der Wochenzeitung "Die Zeit" kürzlich hervorgebracht haben, gab es bei der deutschen Autovermietung Buchbinder ein massives Datenleck. Die gesamte Unternehmensdatenbank stand demnach für einige Zeit ohne Passwortschutz jedermann offen. Die Eingabe der IP-Adresse des Servers in den Windows Explorer reichte für einen Zugriff aus. Unter diesen Daten waren auch personenbezogene Daten von insgesamt drei Millionen Kunden beziehungsweise Mietern, 400.000 davon aus Österreich; dazu kommen personenbezogene Daten von sonstigen Beteiligten wie Anwälten, Gutachtern, Behördenvertretern et cetera.

Bisher ist nicht klar, ob und in welchem Ausmaß tatsächlich auf die Daten zugegriffen wurde; allein aber die Tatsache, dass die Möglichkeit bestand, begründet wohl bereits einen massiven Verstoß gegen die Datenschutzgrundverordnung (DSGVO). Diese schreibt den Verantwortlichen einer Datenverarbeitung nämlich vor, geeignete technische und organisatorische Maßnahmen zu treffen, damit die Vertraulichkeit personenbezogener Daten sichergestellt ist.

Die Ursache für das gegenständliche Leck war nach derzeitigem Wissensstand ein Konfigurationsfehler bei einem Backup-Server. Die zuständigen Datenschutzbehörden werden sich den Sachverhalt und die verantwortlichen Unternehmen daher mit Sicherheit genau ansehen, könnte es sich dabei doch immerhin um eines der größten Datenlecks der jüngeren Geschichte handeln.

Verständigung binnen 72 Stunden

Für österreichische Kunden und sonstige Beteiligte stellt sich aber nun die Frage, ob sie überhaupt betroffen sind und, wenn ja, welche Maßnahmen sie ergreifen können beziehungsweise welche Rechte ihnen zustehen. Nach der DSGVO haben Verantwortliche die Pflicht, in einem solchen Fall eines "Data Breach" binnen 72 Stunden die zuständige Behörde zu verständigen, es sei denn, die Verletzung des Schutzes personenbezogener Daten führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich sogar ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so hat der Verantwortliche zusätzlich auch die betroffene Person selbst unverzüglich von der Verletzung zu verständigen.

Da die Datenbestände neben Namen, Adressen und Bankdaten (nicht Kreditkartennummern) auch Passwörter im Klartext enthielten, ist das Missbrauchspotenzial enorm und grundsätzlich von einem hohen Risiko für die Betroffenen auszugehen. Um daher die Frage zu klären, ob man von dem Datenleck betroffen ist, sollte jeder, der dies befürchtet, ein Auskunftsbegehren gemäß Artikel 15 DSGVO stellen, und zwar ohne auf eine möglicherweise erfolgende aktive Information zu warten.

Intransparentes Firmengeflecht

An wen ist das Begehren aber zu stellen? Das Firmengeflecht ist insbesondere aus datenschutzrechtlicher Sicht mehr als intransparent, was die Datenschutzbehörde ebenfalls auf den Plan rufen sollte. Das eine Unternehmen "Buchbinder" gibt es nicht. Vielmehr besteht die Gruppe aus den Unternehmen Charterline Fuhrpark Service GmbH und Carpartner Nord GmbH in Regensburg sowie der Terstappen Autovermietung GmbH in Duisburg. Diese drei Unternehmen sind auch laut Datenschutzerklärung auf der österreichischen Subwebsite von Buchbinder als sogenannte "gemeinsame Verantwortliche" genannt.

Laut AGB werden Mietverträge in Österreich jedoch mit der Megadrive Autovermietung GmbH aus Wien geschlossen. Eine Datenschutzerklärung dieser österreichischen Gesellschaft fehlt. Es stellt sich daher bereits die allgemeine Frage, wie die deutschen Gesellschaften überhaupt an die Daten der österreichischen Kunden kommen und zu welchem Zweck sie diese erhalten.

Ein Auskunftsbegehren muss daher sowohl an einen der oben genannten gemeinsamen deutschen Verantwortlichen als auch an die Megadrive Autovermietung GmbH gestellt werden. Darin sollte insbesondere auch Auskunft darüber begehrt werden, woher die Daten stammen und an wen welche Daten zu welchem Zweck übermittelt wurden, einschließlich einer allfälligen unfreiwilligen Veröffentlichung im Internet. Kommen die jeweiligen Verantwortlichen diesem Begehren nicht (rechtzeitig) nach, kann Beschwerde bei der Datenschutzbehörde erhoben werden.

Mögliche Schadenersatzansprüche

Steht fest, dass personenbezogene Daten rechtswidrig veröffentlicht wurden, stehen betroffenen Personen möglicherweise auch Schadenersatzansprüche zu, wobei deren Höhe von Art und Menge der Daten sowie der tatsächlich erfolgten Verbreitung beziehungsweise dem möglichen Missbrauchspotenzial und weiteren Faktoren abhängt. Da aus den Kundendaten auch die Mitgliedschaft bei bestimmten Gruppierungen extrahiert werden konnte, wie Gewerkschaften oder Religionsgemeinschaften, aber auch Daten von Unfällen einschließlich Verletzungen, sind hier oftmals sogar besondere Kategorien personenbezogener Daten ("sensible Daten") umfasst. Die Abklärung und Beratung durch einen Rechtsanwalt empfiehlt sich daher jedenfalls.

Daneben sollten betroffene Personen zumindest ihr Passwort ändern, wenn sie das bei Buchbinder verwendete auch woanders nutzen – durch die Kombination aus E-Mail und Passwort können leicht auch andere Accounts gekapert werden. (Christian Kern, 24.1.2020)