Unbe­merkt häuft(e) der größ­te EC-Netz­be­trei­ber Easy­cash in sei­nem Ratin­ger Rechen­zen­trum Zah­lungs­da­ten sei­ner Kun­den an — die Rede ist von mehr als 50 Mio. EC-Kar­ten­da­ten­Da­zu gehö­ren nicht nur Kon­to- und Kar­ten­num­mern, son­dern auch Zahl­be­trag, Ort und Zeit jeder ein­zel­nen Zah­lung. Aus die­sen Anga­ben gewinnt Easy­cash sog. Ver­hal­tens­da­ten, um damit Pro­gno­sen über die Zah­lungs­fä­hig­keit und Kre­dit­wür­dig­keit des Kar­ten­in­ha­bers zu tref­fen. Easy­cash macht dar­aus auch kein Geheim­nis, son­dern brüs­tet sich damit offi­zi­ell z.B. in einer Kundenzeitschrift.

Pro­ble­ma­tisch: die betrof­fe­nen Ver­brau­cher wis­sen /​ wuss­ten davon nichts. Daten­schüt­zer sind alar­miert und arbei­ten län­der­über­grei­fend in enger Abstim­mung zusam­men. REWE hat ers­te Kon­se­quen­zen gezo­gen und bie­tet sei­nen Kun­den zwar wei­ter­hin die Bezahl­mög­lich­keit per Last­schrift an, ohne jedoch den Pool von Easy­cash zu nutzen.

Aus­führ­lich berich­tet der NDR in sei­nem Bei­trag online über den Vor­fall, die Hin­ter­grün­de und die Auswirkungen.

  • Zum NDR-Bei­trag “Der Daten­kra­ke von Ratingen”

Update vom 24.09.2010:

Nach­dem sich am Vor­abend die TV-Medi­en in ihren Nach­rich­ten­sen­dun­gen des The­mas ange­nom­men haben, formt sich Wider­stand im Netz. Bei­spiel­haft sei hier der Bei­trag von Pandur2000 /​ Ste­fan Jaco­bi erwähnt, der ein Mus­ter­schrei­ben zur Lösch­auf­for­de­rung an Easy­cash vor­be­rei­tet hat.

  • Zum Blog­bei­trag von Ste­fan Jaco­bi mit Musterschreiben

Die Gemein­de Eching hat eine CD-ROM mit Adres­sen an den Münch­ner Indus­trie- und Han­dels­ver­lag zwecks Abdruck in einem Tele­fon- & Adress­buch wei­ter­ge­ge­ben. Die­ses Adress­buch wird für die Gemein­den Isma­ning, Unter­föh­ring, Ober- und Unter­schleiß­heim, Neu­fahrn, Gar­ching und Eching aufgelegt.

Bedau­er­li­cher­wei­se waren die Daten auf der CD zu umfang­reich. Ergeb­nis: die vol­len Namen und Adres­sen aller Babys, Klein­kin­der, Schü­ler und Teen­ager aus Eching sind mit abge­druckt — teil­wei­se zusam­men mit den Tele­fon­nu­mern der Eltern! Bedau­er­lich: Das Adress­buch wur­de bereits mit einer Auf­la­ge von 45.000 Exem­pla­ren an alle Haus­hal­te verteilt.

Sei­tens der Gemein­de hüllt man sich zu die­ser Daten­pan­ne in Schwei­gen. Eine Ein­woh­ne­rin zum Vor­fall: “Anhand der Vor­na­men ist son­nen­klar, dass es sich dabei um Kin­der­na­men han­delt. Ein Leit­fa­den für Pädo­phi­le. Wir sind total ent­setzt und in gro­ßer Sor­ge. Mal ganz abge­se­hen davon, dass unse­re Kin­der ver­mut­lich schon bald mit einer Wer­be­flut über­häuft werden.”

“Es ist halt so” kom­men­tier­te das Balin­ger Finanz­amt auf Anfra­ge einer empör­ten Bür­ge­rin. Was war pas­siert? Ihr Steu­er­be­scheid war ver­se­hent­lich an den Bescheid eines wei­te­ren Mit­bür­gers gehef­tet und wur­de die­sem zuge­stellt. Der ehr­li­che Emp­fän­ger mel­de­te sich sofort bei der eigent­li­chen Adres­sa­tin, wor­auf­hin die­se bei Ihrem Finanz­amt vor­stel­lig wur­de. Dort wur­de sie von der zustän­di­gen Abtei­lung mit die­sem lapi­da­ren Kom­men­tar beschieden.

Erst der Bür­ger­re­fe­rent ver­such­te, die Wogen zu glät­ten. Obwohl er zuvor die Schuld am Vor­fall der ver­sen­den­den Stel­le weit­ab des Finanz­amts zuschie­ben woll­te, lenk­te er den­noch mit den Wor­ten ein “Da muss man fein­füh­lig sein” und man dür­fe die Bür­ge­rin nicht mit einem sol­chen Kom­men­tar bedenken.

Die Betrof­fe­ne, Betrei­be­rin einer Schwimm­schu­le behält sich recht­li­che Schrit­te vor. “Mei­ne Steu­er­erstat­tung geht kei­nen was an”, sagt sie gegen­über dem Schwarz­wä­ler Boten. “Wenn ich die Daten und Adres­sen der Kin­der wei­ter­ge­be, wer­de ich auch zur Rechen­schaft gezo­gen. Da kom­me ich unter Umstän­den vor den Kadi, und hier heißt es nur, das ist halt so.”

Recht hat sie. Unter­neh­men dro­hen emp­find­li­che Geld­bu­ßen in sol­chen Fäl­len, sie­he auch den Blog-Bei­trag “Buß­geld­vor­schrif­ten Daten­schutz bei Ver­stoß gegen das Bundesdatenschutzgesetz”

Feh­ler kön­nen pas­sie­ren, den­noch soll­ten Unter­neh­men und Behör­den sol­che Vor­fäl­le nicht auf die leich­te Schul­ter neh­men. Ger­ne unter­stüt­ze ich Sie mit Bera­tung und Dienst­leis­tung rund um die The­men Daten­schutz und Daten­si­cher­heit — spre­chen Sie mich an.

Auf­grund der fort­wäh­ren­den Skan­da­le und Pan­nen soll­te man mei­nen, das The­ma Daten­schutz und Daten­si­cher­heit sei bei den Ver­ant­wort­li­chen ange­kom­men. Die fort­wäh­ren­den Pan­nen der letz­ten Wochen, egal ob klein oder groß, spre­chen da eine ganz ande­re Spra­che. Der heu­ti­ge Auf­ma­cher in der Pres­se wur­de von der bekann­ten Dro­ge­rie­ket­te Schle­cker verursacht.

Welt online berich­tet, eine inter­ne Daten­bank mit 150.000 Daten­sät­zen von Schle­cker-Kun­den mit Name, Anschrift, Geschlecht, Email und Kun­den­pro­fil war frei über das Inter­net ein­seh­bar. Zusätz­lich waren die Adres­sen von 7,1 Mio. Schle­cker-News­let­ter-Emp­fän­gern abruf­bar. Gro­ße Hür­den waren nicht zu über­win­den, von jedem nor­ma­len Gerät mit Inter­net-Anschluß soll der Zugriff mög­lich gewe­sen sein. Unter den betrof­fe­nen Kun­den befan­den sich u.a. das Finanz­mi­nis­te­ri­um, die Alli­anz, das Bun­des­ver­wal­tungs­ge­richt und der SPD-Parteivorstand.

Schle­cker teil­te mit, das Daten­leck sei mitt­ler­wei­le vom zustän­di­gen Dienst­leis­ter geschlos­sen wor­den. Man wol­le die betrof­fe­nen Kun­den “bald­mög­lichst umfas­send infor­mie­ren”. Wenn sich in den Kun­den­pro­fi­len Zah­lungs­an­ga­ben wie Bank­ver­bin­dung oder Kre­dit­kar­ten­da­ten befan­den, dann ist dies sicher kei­ne Ange­le­gen­heit des Wol­lens mehr, son­dern des Müs­sens - § 42 a BDSG Infor­ma­ti­ons­pflicht bei unrecht­mä­ßi­ger Kennt­nis­er­lan­gung von Daten. Auf der Home­page von Schle­cker sind zum Zeit­punkt der Erstel­lung die­ses Bei­trags noch kei­ne Infor­ma­tio­nen zur Daten­pan­ne im Haus ver­öf­fent­licht. Dabei ist davon aus­zu­ge­hen, daß die ver­lo­re­nen Daten sicher­lich bereits in ein­schlä­gi­gen Krei­sen kur­sie­ren und im Zwei­fel miß­braucht werden.

Der zustän­di­ge Lan­des­be­auf­trag­te Edgar Wag­ner dazu “Die Unter­neh­men müs­sen sich bewusst wer­den, dass mit der Nut­zung des Inter­net für Unter­neh­mens­zwe­cke Daten­schutz-Risi­ken ver­bun­den sind, die bereits bei der Pla­nung von Geschäfts­pro­zes­sen beach­tet wer­den müs­sen. Daten­schutz im Unter­neh­men ist kei­ne läs­ti­ge Pflicht, son­dern Vor­aus­set­zung für ein erfolg­rei­ches Agie­ren im Netz.”

Wie ist es um die The­men Daten­schutz und Daten­si­cher­heit in Ihrem Unter­neh­men bestellt? Spre­chen Sie mich an und sichern Sie sich fach­män­ni­sche Unter­stüt­zung und Bera­tung in die­sen Belangen.

Update vom 30.08.2010:

  • Wie “kon­struk­tiv” das Unter­neh­men mit die­ser Pan­ne umgeht, kön­nen Sie hier nach­le­sen: Schle­cker bie­tet Kun­den Gut­schein an — “All­ge­mei­ne Kulanz­ges­te” nach Daten­pan­ne — Die Dro­ge­rie­ket­te Schle­cker will ihre Kun­den wegen der ver­gan­ge­ne Woche bekannt gewor­de­nen Daten­pan­ne mit einem Ein­kaufs­gut­schein in Höhe von fünf Euro besänf­ti­gen. — The­ma verfehlt