DSGVO: Trotz massivem Datenleck kein Bußgeld für Buchbinder

Nach einem Datenleck bei der Autovermietung Buchbinder muss diese kein Bußgeld bezahlen. Juristen wundern sich über die Begründung der Datenschutzbehörde.

Artikel veröffentlicht am ,
Ein Leihwagen der Autovermietung Buchbinder
Ein Leihwagen der Autovermietung Buchbinder (Bild: Buchbinder)

Die Regensburger Autovermietung Buchbinder muss nach einem umfangreichen Datenleck weder ein Bußgeld bezahlen noch die betroffenen Kunden informieren. Das erklärte die bayrische Datenschutzbehörde dem Computermagazin c't. Juristen sind verwundert.

Stellenmarkt
  1. IT Service Manager (m/w/d)
    8com GmbH & Co. KG., Neustadt
  2. IT - Projektmanager (m/w/d)
    FOM Hochschule für Oekonomie & Management gemeinnützige GmbH, Essen
Detailsuche

Aufgedeckt wurde das Datenleck bereits im Januar 2020. Ursache des Lecks war ein Konfigurationsfehler bei einem Backup-Server. Dort war der Port 445 offen und erlaubte damit Zugriffe über das Netzwerkprotokoll SMB. Entsprechend konnten beliebige Internetnutzer auf 10 TByte Daten zugreifen, darunter die persönlichen Daten von rund drei Millionen Kunden. Dazu gehörten auch Adressen und Telefonnummern von Prominenten und Politikern wie dem heutigen Wirtschafts- und Klimaschutzminister sowie Vizekanzler Robert Habeck.

Der c't erklärte die bayrische Datenschutzbehörde jedoch, dass kein Anlass bestanden habe, "von Abhilfe- beziehungsweise Sanktionsbefugnissen Gebrauch zu machen". Der Sachverhalt begründe tatsächlich eine Verletzung der von Artikel 32 der Datenschutzgrundverordnung (DSGVO) geforderten Sicherheit der Datenverarbeitung. Auch geht die Behörde grundsätzlich davon aus, dass Daten, die ungeschützt im Netz lagen, "auch abgerufen wurden".

Kein DSGVO-Verstoß, weil Zugriffe aus guten Intentionen

In einem solchen Fall könnten die Verantwortlichen - in diesem Fall die Buchbinder-Gruppe - jedoch nachweisen, dass ein Zugriff nicht der Fall gewesen sei, beispielsweise "durch die Auswertung von Log-Dateien samt übertragenen Datenmengen", erklärte die Datenschutzbehörde. Wenn der Betreiber eines offenen Servers nachweisen könne, dass es nur eine "begrenzte, gegebenenfalls sogar individuell identifizierbare und damit spezifisch zu bewertende Anzahl von Akteuren" gab, die Zugriff auf die Daten gehabt haben, so sei das zu berücksichtigen.

Golem Karrierewelt
  1. DP-203 Data Engineering on Microsoft Azure virtueller Vier-Tage-Workshop
    12.-15.09.2022, virtuell
  2. Microsoft 365 Security: virtueller Drei-Tage-Workshop
    29.06.-01.07.2022, Virtuell
Weitere IT-Trainings

Durch Analysen des Netzwerkverkehrs habe Buchbinder "eine geringe Eintrittswahrscheinlichkeit eines Abrufs mit dem Zweck eines Datenmissbrauchs" ermittelt, so die Datenschutzbehörde. Entsprechend gibt es kein Bußgeld und keine individuelle Benachrichtigung der Betroffenen.

Die c't gibt jedoch zu bedenken, dass sowohl der Tippgeber als auch die Redakteure des Computermagazins sowie der Zeit mehrfach auf die Daten zugegriffen hätten. Deshalb hätten die Logdateien eigentlich eine ganze Menge unterschiedlicher IP-Adressen enthalten müssen. Zudem hätten die Logdateien von Unbekannten auch nachträglich manipuliert worden sein können, gibt das Magazin zu bedenken.

Wie Buchbinder die jeweiligen Zugriffe zuordnen und ausschließen konnte, dass weitere Dritte die Daten abgegriffen haben, bleibt unklar. Entsprechend verwundert ist auch der Professor für Medienrecht und Datenschutz an der Hochschule Hannover, Fabian Schmieder. Er kritisiert bereits die Annahme der Behörde, dass es auf die Intention der Personen ankomme, die auf die Daten zugegriffen haben sollen. Denn maßgeblich sei allein, dass durch die Fehlkonfiguration ein unberechtigter Zugriff faktisch ermöglicht wurde. Nach seiner Ansicht liegt ein schwerwiegender Verstoß gegen Artikel 32 Absatz 1 DSGVO vor, der ein Bußgeld rechtfertigen würde.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Oktavian 08. Mai 2022 / Themenstart

Wenn Du Kunde bei Buchbinder warst, könntest du da nachfragen. Ggf. könntest Du auch...

Oktavian 08. Mai 2022 / Themenstart

Na mal ehrlich, wie sollen die es denn auch überprüfen? Durch die Pflicht zur...

plutoniumsulfat 08. Mai 2022 / Themenstart

Radfahrer lachen über diesen Witz.

crea 08. Mai 2022 / Themenstart

Das ist nicht ganz der Punkt. Es geht mehr darum, dass hier nicht mit zweierlei Ma...

Kommentieren



Aktuell auf der Startseite von Golem.de
Liberty Lifter
US-Militär lässt ein eigenes Ekranoplan entwickeln

In den 1960er Jahren schockten die Sowjets den Westen mit dem Kaspischen Seemonster. Die Darpa will ein eigenes, besseres Bodeneffektfahrzeug bauen.

Liberty Lifter: US-Militär lässt ein eigenes Ekranoplan entwickeln
Artikel
  1. Abo: Spielebranche streitet über Game Pass
    Abo
    Spielebranche streitet über Game Pass

    Nach Kritik von Sony gibt es mehr Stimmen aus der Spielebranche, die Game Pass problematisch finden - aber auch klares Lob für das Abo.

  2. Microsoft: Der Android-App-Store für Windows 11 kommt nach Deutschland
    Microsoft
    Der Android-App-Store für Windows 11 kommt nach Deutschland

    Build 2022 Der Microsoft Store soll noch attraktiver werden. So können Kunden ihre Apps künftig ohne lange Wartezeiten direkt veröffentlichen.

  3. Dev Box: Die schnelle und einfache Entwicklungmaschine aus der Cloud
    Dev Box
    Die schnelle und einfache Entwicklungmaschine aus der Cloud

    Build 2022Das Einrichten einzelner Rechner zur Entwicklung kann viel Aufwand machen. Mit der Dev Box aus der Cloud will Microsoft das vereinfachen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5-Controller (alle Farben) günstig wie nie: 49,99€ • Samsung SSD 1TB 79€ • LG OLED TV 77" 56% günstiger: 1.099€ • Alternate (u. a. Cooler Master Curved Gaming-Monitor 34" UWQHD 144 Hz 459€) • Sony-Fernseher bis zu 47% günstiger • Samsung schenkt 19% MwSt.[Werbung]
    •  /