Buchbinder hat seine Kunden über das bereits im Januar aufgedeckte Datenleck bislang im Unklaren gelassen, auch wenn gute Argumente dafür sprechen, dass die Betroffenen des Datenlecks unverzüglich hätten informiert werden müssen.
Nach unserer Kenntnis hat sich Buchbinder nun erstmals im Rahmen eines Auskunftsverlangens detaillierter zu dem Datenschutzvorfall und den betroffenen Daten geäußert. Wir fassen im Folgenden die Mitteilung in gekürzter und anonymisierter Form zusammen. Das Schreiben beginnt mit einem allgemeinen Teil, der zunächst nicht auf das Auskunftsverlangen selbst eingeht und sich zwischenzeitlich in vergleichbarer Form auf der Homepage von Buchbinder selbst findet:
„wir nehmen Bezug auf Ihre Anfrage vom 22.01.2020 zu bei uns über Sie gespeicherte personenbezogene Daten.
Wie Sie sicherlich wissen, wurden wir im Januar 2020 darauf aufmerksam gemacht, dass personenbezogene Daten unserer Kunden exponiert waren. Wir haben diesen Vorfall mit allerhöchster Aufmerksamkeit und in enger Kooperation mit der zuständigen Datenschutzaufsichtsbehörde, dem Bayerischen Landesamt für Datenschutzaufsicht (BayLDA), eingehend untersucht.
Der Grund für den Vorfall war eine Fehlkonfiguration (offener Port) der Firewall des Backup-Servers unseres Flottenmanagementsystems, mit dem wir Schadensvorgänge im Zusammenhang mit den von uns vermieteten Fahrzeugen verwalten. Wir haben hiervon am 20. Januar 2020 erfahren und den offenen Port noch am selben Tag geschlossen.
Aufgrund der zahlreichen Anfragen, die wir in den vergangenen Wochen aufgrund der Medienberichte über den Vorfall erhalten haben, und aufgrund der hohen Komplexität der intensiven Untersuchung des Vorfalls, mussten wir die Frist zur Beantwortung Ihrer Anfrage in Abstimmung mit dem BayLDA um zwei Monate verlängern.
Wir freuen uns, Ihnen nun mitteilen zu können, dass nach unseren Untersuchungen und den Ermittlungen des BayLDA keine Anhaltspunkte dafür festgestellt werden konnten, dass exponierte Daten aufgrund des Vorfalls in unbekannte Hände gelangt sein könnten. Es gibt auch keine Anzeichen dafür, dass der Vorfall zu irgendeinem anderen Missbrauch von Daten geführt haben könnte. In Abstimmung mit dem BayLDA sehen wir daher aufgrund des Vorfalls kein hohes Risiko für die von dem Vorfall betroffenen Personen.
Wir möchten uns an dieser Stelle dennoch noch einmal in aller Form bei Ihnen für den Vorfall entschuldigen und versichern Ihnen, dass wir alle erforderlichen technischen und organisatorischen Maßnahmen ergriffen haben und weiterhin ergreifen, um den Schutz Ihrer Daten zu gewährleisten.“
Folgen des Datenlecks
Der vorletzte Absatz überrascht neben der Formulierung insbesondere in zweierlei Hinsicht:
1. In jedem Fall sind die Daten – für die Betroffenen unerfreulich genug – in „bekannte Hände“ von Journalisten und Verlagshäusern gelangt: zumindest die Heise Medien GmbH als auch die ZEIT hatten ausweislich des unter https://www.heise.de/ct/artikel/Daten-Leak-bei-Autovermietung-Buchbinder-3-Millionen-Kundendaten-offen-im-Netz-4643015.html abrufbaren Artikels Zugriff auf die Daten. Ob Buchbinder sämtliche weiteren Zugriffe „bekannt“ sind, darf zumindest bezweifelt werden. Denn laut der Berichterstattung befanden sich die Daten wochenlang für jedermann abrufbar im Netz.
2. Mittels der geleakten Datensätze lassen sich zudem Bewegungsprofile der Betroffenen erstellen, die ohne Weiteres Rückschlüsse auf Hobbys, Unfälle samt der daran beteiligten Beifahrer oder Kontakte bis hin zu Affären zulassen. Die Risikoprognose seitens Buchbinders erstaunt angesichts der Sensibilität solcher Daten. Neben der Sensibilität der Daten sprechen zudem die Verfügbarkeit (die Kundendaten waren wochenlang für jedermann im Netz abrufbar), die Menge der betroffenen Daten (es handelt sich um ca. 3 Millionen Kundendaten) als auch die Eignung zum fortwährenden Missbrauch (bereits die E-Mailadressen laden zum Missbrauch durch Spam sowie zu Trojaner-Mails und Phishing-Attacken ein) für eine Benachrichtigungspflicht gegenüber den Betroffenen unter denen sich u. a. auch Prominente und Politiker befinden, für die die Veröffentlichung besonders rufschädigend und mit erheblichen gesellschaftlichen Nachteilen verbunden sein kann.
Strukturierte und unstrukturierte Daten
Bei der Beantwortung der eigentlichen Auskunftsanfrage unterscheidet Buchbinder zwischen „strukturierte(n)“ und „unstrukturierte(n)“ Daten. Die „unstrukturierten“ Daten seien im Gegensatz zu den maschinell durchsuchbaren „strukturierte(n)“ Daten nicht in einer bestimmten Struktur organisiert und daher nicht maschinell durchsuchbar. Sie könnten daher auch nicht ohne Weiteres einer Person zugeordnet werden.
Die vollständige Auskunft über die zu dem Betroffenen gespeicherten „strukturierten“ Daten macht Buchbinder trotz maschinenlesbarer Struktur von weiteren Identifikationsmerkmalen abhängig.
Kontakt des Bayerischen Landesamts für Datenschutzaufsicht
Buchbinder weist schließlich auf die Möglichkeit hin sich beim BayLDA – die für die in der Signatur des Schreibens genannte Charterline Fuhrpark Service GmbH, Kulmbacher Straße 8, 93057 Regensburg verantwortliche Datenschutzaufsichtsbehörde – oder bei einer anderen Aufsichtsbehörde zu beschweren oder einen Rechtsbehelf einzulegen. Im Weiteren wird über die bei der Verarbeitung der Anfrage angefallenen Daten sowie über den Zweck der Verarbeitung informiert und auf die Rechte der Betroffenen hingewiesen.
Zu den weiteren außergerichtlich geltend gemachten Ansprüchen hat sich Buchbinder bislang inhaltlich noch nicht geäußert.
