DSGVO: Trotz massivem Datenleck kein Bußgeld für Buchbinder

Die Regensburger Autovermietung Buchbinder muss nach einem umfangreichen Datenleck weder ein Bußgeld bezahlen noch die betroffenen Kunden informieren. Das erklärte die bayrische Datenschutzbehörde dem Computermagazin c't. Juristen sind verwundert.

Aufgedeckt wurde das Datenleck bereits im Januar 2020. Ursache des Lecks war ein Konfigurationsfehler bei einem Backup-Server. Dort war der Port 445 offen und erlaubte damit Zugriffe über das Netzwerkprotokoll SMB. Entsprechend konnten beliebige Internetnutzer auf 10 TByte Daten zugreifen, darunter die persönlichen Daten von rund drei Millionen Kunden. Dazu gehörten auch Adressen und Telefonnummern von Prominenten und Politikern wie dem heutigen Wirtschafts- und Klimaschutzminister sowie Vizekanzler Robert Habeck.

Der c't erklärte die bayrische Datenschutzbehörde jedoch, dass kein Anlass bestanden habe, "von Abhilfe- beziehungsweise Sanktionsbefugnissen Gebrauch zu machen". Der Sachverhalt begründe tatsächlich eine Verletzung der von Artikel 32 der Datenschutzgrundverordnung (DSGVO) geforderten Sicherheit der Datenverarbeitung. Auch geht die Behörde grundsätzlich davon aus, dass Daten, die ungeschützt im Netz lagen, "auch abgerufen wurden".

Kein DSGVO-Verstoß, weil Zugriffe aus guten Intentionen

In einem solchen Fall könnten die Verantwortlichen - in diesem Fall die Buchbinder-Gruppe - jedoch nachweisen, dass ein Zugriff nicht der Fall gewesen sei, beispielsweise "durch die Auswertung von Log-Dateien samt übertragenen Datenmengen", erklärte die Datenschutzbehörde. Wenn der Betreiber eines offenen Servers nachweisen könne, dass es nur eine "begrenzte, gegebenenfalls sogar individuell identifizierbare und damit spezifisch zu bewertende Anzahl von Akteuren" gab, die Zugriff auf die Daten gehabt haben, so sei das zu berücksichtigen.

Durch Analysen des Netzwerkverkehrs habe Buchbinder "eine geringe Eintrittswahrscheinlichkeit eines Abrufs mit dem Zweck eines Datenmissbrauchs" ermittelt, so die Datenschutzbehörde. Entsprechend gibt es kein Bußgeld und keine individuelle Benachrichtigung der Betroffenen.

Die c't gibt jedoch zu bedenken, dass sowohl der Tippgeber als auch die Redakteure des Computermagazins sowie der Zeit mehrfach auf die Daten zugegriffen hätten. Deshalb hätten die Logdateien eigentlich eine ganze Menge unterschiedlicher IP-Adressen enthalten müssen. Zudem hätten die Logdateien von Unbekannten auch nachträglich manipuliert worden sein können, gibt das Magazin zu bedenken.

Wie Buchbinder die jeweiligen Zugriffe zuordnen und ausschließen konnte, dass weitere Dritte die Daten abgegriffen haben, bleibt unklar. Entsprechend verwundert ist auch der Professor für Medienrecht und Datenschutz an der Hochschule Hannover, Fabian Schmieder. Er kritisiert bereits die Annahme der Behörde, dass es auf die Intention der Personen ankomme, die auf die Daten zugegriffen haben sollen. Denn maßgeblich sei allein, dass durch die Fehlkonfiguration ein unberechtigter Zugriff faktisch ermöglicht wurde. Nach seiner Ansicht liegt ein schwerwiegender Verstoß gegen Artikel 32 Absatz 1 DSGVO vor, der ein Bußgeld rechtfertigen würde.