Ende März wurde nach 15 Jahren das Portal Mitfahrgelegenheit.de abgeschaltet. Eigentlich hätte das Thema für die ehemaligen Kunden der Firma damit erledigt sein sollen. Nun aber stellt sich heraus: Jemand Unbekanntes hat eine Datenbank kopiert, in der Daten Hunderttausender Nutzer des einst beliebten Portals enthalten sind.
Insgesamt enthalte der fragliche Datensatz 638.000 IBAN-Nummern und Kontonummern, 101.000 E-Mail-Adressen, 15.000 Mobilfunknummern sowie teilweise Namen und Adressen ehemaliger Mitglieder, teilt die Comuto Deutschland GmbH mit. Das Unternehmen ist eine Tochter der französischen Comuto SA, zu der auch das Mitfahrportal BlaBlaCar gehört. Letztere hatte im April ihren deutschen Carpooling-Wettbewerber geschluckt, zu dem neben Mitfahrgelegenheit.de auch das Portal Mitfahrzentrale.de gehörte. Im Gespräch mit SPIEGEL ONLINE erklärte BlaBlaCar-Manager Olivier Bremer, man habe die Daten der ehemaligen Kunden von Mitfahrgelegenheit.de für eine spätere Analyse verwenden wollen. Dazu hätten die Daten eigentlich anonymisiert werden sollen, was aber nur teilweise geschehen sei.
Daten nicht miteinander verknüpft
Das Unternehmen hatte die Kundendaten in einer Cloud gespeichert, aus der die Datenbank, zusammen mit rund 20 weiteren Dateien, widerrechtlich heruntergeladen worden sein soll. Der unerlaubte Zugriff sei einem Administrator bei einer Kontrolle der sogenannten Log-Dateien aufgefallen. Der Vorfall hat sich bereits Mitte Oktober ereignet. Kundendaten von BlaBlaCar seien von dem Datenleck nicht betroffen, heißt es.
Olivier Bremer zufolge sind die verschiedenen Datentypen nicht verknüpft, sodass sich beispielsweise Namen nicht einer bestimmten IBAN oder Telefonnummer zuordnen lassen. Dennoch bestehe beispielsweise die Möglichkeit, dass Kriminelle die Bankdaten nutzen, um per Lastschrift Geld von den fraglichen Konten einzuziehen. In solchen Fällen hätten die Betroffenen jedoch die Möglichkeit, die Zahlungen über ihre Bank rückgängig zu machen.
Das Archiv soll nach der Untersuchung des Falls durch die Strafverfolgungsbehörden gelöscht werden, teilt Comuto weiter mit. Neben der Polizei seien auch die Datenschutzbehörden informiert worden.
Ehemalige Nutzer von Mitfahrgelegenheit.de können über eine eigens dafür eingerichtete Telefon-Hotline erfragen, ob sie betroffen sind. Die Telefonnummer lautet 0800-32 32 555 und ist von Montag bis Freitag von 8 bis 18 Uhr besetzt.
Ich wusste schon warum ich bei Blablacar nicht meine Kontodaten angegeben habe. Lieber PayPal, und mit der E-Mail-Adresse können se erstmal nichts anfangen.
"… Der neue Eigentümer hatte die Daten der ehemaligen Kunden bei einem Clouddienst archiviert, statt diese zu löschen. …
Nach Angaben von Comuto sind die Daten auf Grund eines Fehlers nicht vollständig gelöscht worden. Man habe nur „anonymisierte“ beziehungsweise „depersonalisierte, statistisch relevante Daten“ aufheben wollen, was einer Löschung gleichkomme. Diese Aussage ist problematisch, immer wieder gelingt es mit relativ geringem Aufwand, eigentlich anonymisierten Daten wieder einen Personenbezug zu geben."
Zur Zeit hängt man bei der Hotline fast zehn Minuten in der Warteschleife…
Auf Nachfrage wurde mir erklärt, warum man die Betroffenen nicht per Mail informiert, obschon man zu jeder IBAN eine Mail-Adresse hat: Man wisse nicht, ob die Mail-Adressen noch aktuell seien und ob die Mail-Accounts regelmäßig gecheckt würden, daher sei die Hotline der bessere und sicherere Weg zur Information der Betroffenen.
Ich rechne mir lieber nicht aus, was der Call Center kostet, schätze aber, dass der Imageschaden für blablacar deutlich teurer wird.
Die Mitfahrer werden sich das ab sofort wohl noch besser überlegen, ob sie ihre Bankdaten bei einem Betreiber angeben, der offensichtlich die Daten seiner Nutzer nicht 100%ig vor dem Zugriff Dritter schützen kann…
Kontobewegungen beoachten, ob nicht erklärbare Beträge abgebucht werden. Dann Rückbuchung veranlassen.
Es würde sich um einen menschlichen Fehler bei der Datensicherung handeln, man arbeite mit dem Hamburger Datenschutz und der Polizei zusammen.
Auf die Frage der Haftbarkeit für eventuelle Schäden wurde nur wage mit dem Verweis auf mögliche Versicherungen geantwortet.
Auf die Frage, ob der dauerhaften Speicherung der Daten seitens der (Ex)Nutzer zugestimmt wurde bzw. eine Zustimmung notwendig gewesen wäre, wurde nur gesagt, dass die Daten ausreichend anonymisiert worden seien. Hierzu werde ich eine Auskunft des zuständigen Datenschutzbeauftragten einholen.
Es zeigt sich, wie „verantwortungsvoll“ die Carpooling AG mit ihren Mitgliedsdaten umgegangen ist. Es wäre doch möglich gewesen, diese Daten offline zu verwalten? Was sich aber positiv sehen lässt: dadurch gibts wieder neue Pressemitteilungen und die alternativen Portale - wo keine Kontodaten angegeben werden müssen - können bekannter werden. Kostenlose Werbung für uns
Wie kann BBC behaupten daß die Blablubb-Nutzer „nicht betroffen“ sind, wo doch viele Blablubb-Nutzer ihre gleiche Kontoverbindung bereits vorher als ehemalige „Fans“ des Buchungssystems auch bei MFG gespeichert hatten? MMn ist die Geschichte noch nicht abgeschlossen, denn was spricht dagegen, daß BBC selbst die Altdaten „zu Geld gemacht hat“? Bankdaten sind von anderen Kriminellen gefragt, ebenso email- und Kontaktdaten. Ob’s die ermittelnden Behörden aufklären wollen/können ist eine andere Frage. Aber: wer glaubt, daß die Neu-Daten bei BBC sicher sind?
Eine „Aufklärung“ wird das BBC-Management bestimmt nicht liefern, sondern mit ihrem „bewährten Textbausteinkasten“ versuchen, alle Bedenken der Nutzer zu zerstreuen. Bei den meisten Fahrern wird das auch funktionieren - bis sie selbst betroffen sind. Das ist mal ein Punkt, wo ich die vom Datenklau betroffenen Mitfahrer für kritischer halte. Die werden wohl in Zukunft eher ihre Kontoverbindung nicht mehr so leichtfertrig herausgeben.
Mir kann’s egal sein, weil ich - wie viele andere - immer davor gewarnt habe, Kontoverbindungen leichtfertig an unseriöse Firmen weiterzugeben.
Mein Mitleid für die Betroffenen hält sich daher in Grenzen.
Es ist aber echt bitter - Jahre nach Schließung des Ladens sind Daten der User immer noch vorhanden, und in der „Cloud“ gespeichert. Denn die Cloud ist sicher (fast so sicher, wie unsere Rente).
Es besteht nun die Chance, dass Bla von diversen Behörden, vielleicht auch von Usern sehr weh getan wird, und sie das finanziell vielleicht gar nicht mehr abfangen können. Lieber Christophorus, bittebitte lass es soweit kommen! (Auf meine alten Tage werde ich zur Not vielleicht sogar Katholisch)
Im übrigen waren die Kontodaten meiner Frau dort angegeben. Die sollten unproblematisch sein.
Entgegen anderslautenden Aussagen von Blablacar können die Daten wohl entschlüsselt werden, da der Schlüssel ebenfalls im Speicher abgelegt wurde.
In anderen Foren mehren sich die Aussagen, dass man bereits entsprechende Spam-Mails erhalten hat, in denen ganz konkret damals angegebene Kontaktdaten (Telefonnummer samt Adresse) verwendet wurden.
Kontobewegungen beobachten??? Solange man das Konto hat, wird es durch diesen Vorfall der Sicherheit beraubt, und zwar nicht nur für jetzt mal so ein paar Wochen. Das einzige was nutzt, ist eine neue Kontonummer bei der kontoführenden Bank. Das habe ich bereits wegen eines anderen Betrugs hinter mir. Ansonsten kann es nämlich jederzeit sein, dass sich wieder mal jemand am fremden Konto bedient. Auch nach Jahren.
Die Daten wurden nicht gelöscht (wie von BlaBlaCar kommuniziert) sondern weiterhin aufbewahrt.
Die Daten wurden inkl beiliegendem, zugehörigem Schlüssel zur Entschlüsselung in der Cloud gespeichert.
Die Daten wurden zur Aufbewahrung nicht anonymisiert (lt. BlaBlaCar aufgrund eines „menschlichen“ Fehlers).
BlaBlaCar kommuniziert das Datenleck erst nach Aufdeckung durch Spiegel-online.de (bis zu diesem Zeitpunkt war BlaBlaCar das Datenleck bereits über einen Monat lang bekannt).
BlaBlaCar informiert betroffene Nutzer lediglich passiv (Kommunikation über facebook/twitter) und erheblich zeitverzögert (>1 Monat). Das BDSG schreibt in solchen Fällen eine aktive und unverzügliche Informationspflicht vor (§ 42a Satz 4 BDSG).
BlaBlaCar sperrt öffentliche Kommentarfunktionen (z.B. bei facebook) anstatt diesbezüglich mit Nutzern in Dialog zu treten.
BlaBlaCar kommuniziert, dass einzelne Datensätze nicht systematisch miteinander verbunden seien. Auf Nachfrage bei der von BlaBlacar eingerichteten Hotline erfolgte jedoch eine Zuordnung zwischen Email-Adresse und IBAN.
Ich habe bei der Hotline angerufen. Zunächst einmal durchaus etwas positives vorweg: ich habe nicht lange in der Warteschlange ausgeharrt, die Mitarbeiterin war sehr nett, außerdem sind meine Daten nicht betroffen gewesen. Das war der positive Teil.
Negativ ist, dass die Mitarbeiterin bis auf die prüfbaren Merkmale (Tel.nr., Email, IBAN) nichts weiter wusste. Das ist nicht besonders viel. Sie wusste auch nicht, ob Leute, die bei mfg registriert waren, aber schon sehr frühzeitig ihren Account gelöscht hatten, nämlich als mfg kostenpflichtig wurde, ebenfalls betroffen sein könnten. Ich war einer der Premiumnutzer, hatte daher durchaus meine Bankdaten hinterlegt, aber nicht für das Bezahlsystem, sondern nur für die Premiumfunktionen. Ich wiege mich daher nicht in Sicherheit. Wer weiß, ob die Informationen, die mir die Dame nannte, auch tatsächlich der Weisheit letzter Schluss waren …?
Die Vorgehensweise von bla mit dieser Angelegenheit ist jedenfalls höchst unprofessionell. Jeder, der irgendwie noch mit dem Gedanken spielt, bei dieser Firma, sensible Daten anzugeben, sollte gewarnt sein. Das Bezahlsystem mit der online Buchung nebst Gebühren ist, nett ausgedrückt, Geschmackssache (und über den kann man sich bekanntlich streiten), aber die aktuelle Angelegenheit ist durch nichts zu entschuldigen und auch durch nichts schön zu reden.
Nachfolgend die Antwort des Hamburger Datenschutzbeauftragten auf meine Anfrage:
Dazu kann ich Ihnen allgemein folgendes mitteilen:
Die Firma Comuto Deutschland GmbH hat uns Anfang der Woche eine Meldung nach § 42a Bundesdatenschutzgesetz (BDSG; Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten) gemacht. Die Polizei sei von dort aus eingeschaltet worden.
Wir prüfen zur Zeit den Sachverhalt und etwaige Ordnungswidrigkeitentatbestände und haben der Firma zur Aufklärung des Sachverhalts eine Reihe von Fragen übermittelt.
Bitte haben Sie Verständnis dafür, dass wir Ihnen hierzu keine konkreteren Auskünfte erteilen können.
Ohne Kenntnis der näheren Umstände kann ich Ihnen aus datenschutzrechtlicher Sicht zu Ihren Fragen folgendes mitteilen:
· Speicherung Ihrer Daten:
Grundsätzlich treten Rechtsnachfolger von Unternehmen in die bestehenden Rechtspflichten ein.
Dem allgemeinen datenschutzrechtlichen Grundsatz, dass Daten zu löschen sind, sobald sie nicht mehr erforderlich sind, gehen spezialgesetzliche Regelungen vor. Dies betrifft zum Beispiel Aufbewahrungsfristen nach Steuerrecht oder Handelsrecht. Hierfür bedarf es eines ausgearbeiteten Löschungskonzepts, das auch die Sperrung von aufzubewahrenden Daten für den laufenden Geschäftsbetrieb berücksichtigt.
Zur Einhaltung gesetzlicher Verarbeitungspflichten bedarf es keiner gesonderten Einwilligung durch die Betroffenen.
· Strafanzeige:
Eine gesonderte Strafanzeige gegen das Unternehmen nach § 44 BDSG haben wir derzeit nicht ins Auge gefasst.
· Sanktionsmöglichkeiten:
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit kann im Rahmen von Ordnungswidrigkeitenverfahren nach §43 Bußgelder verhängen.
Daneben kann er durch verwaltungsrechtliche Anordnung auf ein Tun oder Unterlassen hinwirken, um eine über eine Beratung hinaus beibehaltene rechtswidrige Verarbeitungspraxis zu unterbinden.
· Ihre Möglichkeiten:
Nach §§ 34f, BDSG steht Ihnen grundsätzlich ein Anspruch auf Auskunft und gegebenenfalls Berichtigung, Sperrung und/oder Löschung von fehlerhaft verarbeiteten personenbezogenen Daten zu.
Ist Ihnen dadurch ein materieller Schaden entstanden, besteht nach § 7 BDSG grundsätzlich auch ein Anspruch auf Schadenersatz, der gegenüber der verantwortlichen Stelle vor den Zivilgerichten geltend gemacht werden muss.
Ich vermute mal, dass der „Gang an die Öffentlichkeit“ nicht ganz freiwillig von BlaBlaCar war. Er war ja quasi zeitgeich mit der Berichterstattung bei Spiegel-online. Zu dem Zeitpunkt konnte BlaBlaCar das Ganze vermutlich nicht mehr weiter verheimlichen, so wie sie es anscheinend zuvor getan hatten. Der Hack war ja anscheinend schon Ende Oktober.
Interessant wäre zu erfahren, wo Spiegel-online die Informationen her hat. War es am Ende ein „freundlicher“ Hacker der auf die Missstände aufmerksam machen wollte?