Als Folge eines massiven Datenlecks stand die gesamte Unternehmensdatenbank der Autovermietung Buchbinder für einige Zeit ohne Passwortschutz offen. Die Eingabe der IP-Adresse des Servers in den Windows Explorer reichte für einen Zugriff aus. Betroffen waren personenbezogene Daten von drei Millionen Kunden, 400.000 davon aus Österreich, sowie Daten von Anwälten, Gutachtern, Behördenvertretern etc.

Den Autovermieter "Buchbinder" als Unternehmen gibt es nicht. Hinter dem Namen stehen die Charterline Fuhrpark Service GmbH und Carpartner Nord GmbH in Regensburg sowie die Terstappen Autovermietung GmbH in Duisburg.
Foto: Buchbinder

Ob und in welchem Ausmaß auf die Daten zugegriffen wurde, ist unklar; allein aber die Möglichkeit dazu begründet wohl bereits einen massiven Verstoß gegen die Datenschutzgrundverordnung. Die DSGVO schreibt den Verantwortlichen einer Datenverarbeitung nämlich vor, geeignete Maßnahmen zu treffen, um die Vertraulichkeit personenbezogener Daten sicherzustellen.

Was sollen Kunden nun tun? Laut DSGVO müssen Verantwortliche im Fall eines "Data-Breach" in der Regel binnen 72 Stunden die Behörde verständigen. Besteht zudem ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen, so sind auch diese zu verständigen.

Da die Datenbestände neben Namen, Adressen und Bankdaten auch Passwörter im Klartext enthielten, ist von einem hohen Risiko auszugehen. Wer immer befürchtet, betroffen zu sein, sollte ein Auskunftsbegehren gemäß Artikel 15 DSGVO stellen, ohne auf eine aktive Information zu warten.

Von wem aber soll man Auskunft fordern? Das Firmengeflecht ist aus datenschutzrechtlicher Sicht mehr als intransparent, was die Datenschutzbehörde ebenfalls auf den Plan rufen sollte. Das Unternehmen "Buchbinder" gibt es nicht. Vielmehr besteht die Gruppe aus den Unternehmen Charterline Fuhrpark Service GmbH und Carpartner Nord GmbH in Regensburg sowie der Terstappen Autovermietung GmbH in Duisburg. Diese drei Unternehmen sind auch laut Datenschutzerklärung auf der österreichischen Subwebsite von Buchbinder als sogenannte "gemeinsame Verantwortliche" genannt.

Schadenersatzansprüche möglich

Laut AGB werden Mietverträge in Österreich jedoch mit der Megadrive Autovermietung GmbH aus Wien geschlossen. Eine Datenschutzerklärung dieser österreichischen Gesellschaft fehlt. Es stellt sich daher bereits die allgemeine Frage, wie die deutschen Gesellschaften an die Daten der österreichischen Kunden kommen und zu welchem Zweck sie diese erhalten.

Ein Auskunftsbegehren muss daher sowohl an einen der deutschen Verantwortlichen als auch an die Megadrive gestellt werden. Darin sollte gefragt werden, woher die Daten stammen und an wen welche Daten zu welchem Zweck übermittelt wurden, einschließlich einer allfälligen unfreiwilligen Veröffentlichung im Internet. Wird diesem Begehren nicht rechtzeitig nachgekommen, kann Beschwerde bei der Datenschutzbehörde erhoben werden.

Steht fest, dass personenbezogene Daten rechtswidrig veröffentlicht wurden, könnten Betroffenen auch Schadenersatzansprüche zustehen. Deren Höhe hängt von Art und Menge der Daten, der tatsächlich erfolgten Verbreitung und dem möglichen Missbrauchspotenzial ab. Da aus den Kundendaten auch die Mitgliedschaft bei bestimmten Gruppierungen wie Gewerkschaften oder Religionsgemeinschaften extrahiert werden konnte, aber auch Daten von Unfällen und Verletzungen, sind hier oftmals auch sensible Daten umfasst. Die Abklärung und Beratung durch einen Rechtsanwalt empfiehlt sich jedenfalls.

Betroffene sollten zudem ihr Passwort ändern, wenn sie das bei Buchbinder verwendete auch woanders nutzen. Mit der Kombination aus E-Mail und Passwort können leicht andere Accounts gekapert werden. (Christian Kern, 27.1.2020)