DSGVO: Trotz massivem Datenleck kein Bußgeld für Buchbinder

Nach einem Datenleck bei der Autovermietung Buchbinder muss diese kein Bußgeld bezahlen. Juristen wundern sich über die Begründung der Datenschutzbehörde.

Artikel veröffentlicht am ,
Ein Leihwagen der Autovermietung Buchbinder
Ein Leihwagen der Autovermietung Buchbinder (Bild: Buchbinder)

Die Regensburger Autovermietung Buchbinder muss nach einem umfangreichen Datenleck weder ein Bußgeld bezahlen noch die betroffenen Kunden informieren. Das erklärte die bayrische Datenschutzbehörde dem Computermagazin c't. Juristen sind verwundert.

Stellenmarkt
  1. IT-Systemadministrator / Fachinformatiker für Systemintegration (m/w/d)
    andagon people GmbH, Köln
  2. Ingenieur (m/w/d) Netzberechnung Datenhaltung
    Amprion GmbH, Pulheim
Detailsuche

Aufgedeckt wurde das Datenleck bereits im Januar 2020. Ursache des Lecks war ein Konfigurationsfehler bei einem Backup-Server. Dort war der Port 445 offen und erlaubte damit Zugriffe über das Netzwerkprotokoll SMB. Entsprechend konnten beliebige Internetnutzer auf 10 TByte Daten zugreifen, darunter die persönlichen Daten von rund drei Millionen Kunden. Dazu gehörten auch Adressen und Telefonnummern von Prominenten und Politikern wie dem heutigen Wirtschafts- und Klimaschutzminister sowie Vizekanzler Robert Habeck.

Der c't erklärte die bayrische Datenschutzbehörde jedoch, dass kein Anlass bestanden habe, "von Abhilfe- beziehungsweise Sanktionsbefugnissen Gebrauch zu machen". Der Sachverhalt begründe tatsächlich eine Verletzung der von Artikel 32 der Datenschutzgrundverordnung (DSGVO) geforderten Sicherheit der Datenverarbeitung. Auch geht die Behörde grundsätzlich davon aus, dass Daten, die ungeschützt im Netz lagen, "auch abgerufen wurden".

Kein DSGVO-Verstoß, weil Zugriffe aus guten Intentionen

In einem solchen Fall könnten die Verantwortlichen - in diesem Fall die Buchbinder-Gruppe - jedoch nachweisen, dass ein Zugriff nicht der Fall gewesen sei, beispielsweise "durch die Auswertung von Log-Dateien samt übertragenen Datenmengen", erklärte die Datenschutzbehörde. Wenn der Betreiber eines offenen Servers nachweisen könne, dass es nur eine "begrenzte, gegebenenfalls sogar individuell identifizierbare und damit spezifisch zu bewertende Anzahl von Akteuren" gab, die Zugriff auf die Daten gehabt haben, so sei das zu berücksichtigen.

Golem Akademie
  1. First Response auf Security Incidents: Ein-Tages-Workshop
    14.11.2022, Virtuell
  2. Entwicklung mit Unity auf der Microsoft HoloLens 2 Plattform: virtueller Zwei-Tage-Workshop
    07./08.06.2022, Virtuell
Weitere IT-Trainings

Durch Analysen des Netzwerkverkehrs habe Buchbinder "eine geringe Eintrittswahrscheinlichkeit eines Abrufs mit dem Zweck eines Datenmissbrauchs" ermittelt, so die Datenschutzbehörde. Entsprechend gibt es kein Bußgeld und keine individuelle Benachrichtigung der Betroffenen.

Die c't gibt jedoch zu bedenken, dass sowohl der Tippgeber als auch die Redakteure des Computermagazins sowie der Zeit mehrfach auf die Daten zugegriffen hätten. Deshalb hätten die Logdateien eigentlich eine ganze Menge unterschiedlicher IP-Adressen enthalten müssen. Zudem hätten die Logdateien von Unbekannten auch nachträglich manipuliert worden sein können, gibt das Magazin zu bedenken.

Wie Buchbinder die jeweiligen Zugriffe zuordnen und ausschließen konnte, dass weitere Dritte die Daten abgegriffen haben, bleibt unklar. Entsprechend verwundert ist auch der Professor für Medienrecht und Datenschutz an der Hochschule Hannover, Fabian Schmieder. Er kritisiert bereits die Annahme der Behörde, dass es auf die Intention der Personen ankomme, die auf die Daten zugegriffen haben sollen. Denn maßgeblich sei allein, dass durch die Fehlkonfiguration ein unberechtigter Zugriff faktisch ermöglicht wurde. Nach seiner Ansicht liegt ein schwerwiegender Verstoß gegen Artikel 32 Absatz 1 DSGVO vor, der ein Bußgeld rechtfertigen würde.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Oktavian 08. Mai 2022 / Themenstart

Wenn Du Kunde bei Buchbinder warst, könntest du da nachfragen. Ggf. könntest Du auch...

Oktavian 08. Mai 2022 / Themenstart

Na mal ehrlich, wie sollen die es denn auch überprüfen? Durch die Pflicht zur...

plutoniumsulfat 08. Mai 2022 / Themenstart

Radfahrer lachen über diesen Witz.

crea 08. Mai 2022 / Themenstart

Das ist nicht ganz der Punkt. Es geht mehr darum, dass hier nicht mit zweierlei Ma...

Kommentieren



Aktuell auf der Startseite von Golem.de
Nordvpn, Expressvpn, Mullvad & Co
Die Qual der VPN-Wahl

Wer sicher im Internet unterwegs sein will, braucht ein VPN - oder doch nicht? Viele Anbieter kommen jedenfalls gar nicht erst in Frage.
Von Moritz Tremmel

Nordvpn, Expressvpn, Mullvad & Co: Die Qual der VPN-Wahl
Artikel
  1. Autoindustrie: Mit handgeknüpften Kabelbäumen gegen die Lieferkrise
    Autoindustrie
    Mit handgeknüpften Kabelbäumen gegen die Lieferkrise

    Der Krieg in der Ukraine unterbricht die Lieferkette bei den Kabelbäumen. Jetzt suchen Autohersteller nach neuen Produktionswegen.
    Von Wolfgang Gomoll

  2. Ubisoft Blue Byte: Entwicklung von Die Siedler geht weiter
    Ubisoft Blue Byte
    Entwicklung von Die Siedler geht weiter

    Trotz harscher Kritik an einer Vorabversion geben die Entwickler nicht auf: Nun soll Die Siedler zusammen mit der Community entstehen.

  3. Homeoffice: Bastler baut Gestell für die liegende Büroarbeit im Bett
    Homeoffice
    Bastler baut Gestell für die liegende Büroarbeit im Bett

    Der Bildschirm über dem Kopf, die Tastatur hängt herab: Das Homeoffice aus dem Bett heraus funktioniert - mit Handwerk und Kreativität.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 jetzt bestellbar • Cyber Week: Bis zu 900€ Rabatt auf E-Bikes • MindStar (u. a. Intel Core i9 529€, MSI RTX 3060 Ti 609€) • Gigabyte Waterforce Mainboard günstig wie nie: 480,95€ • Razer Ornata V2 Gaming-Tastatur günstig wie nie: 54,99€ • AOC G3 Gaming-Monitor 34" 165 Hz günstig wie nie: 404€ [Werbung]
    •  /