Keine Konsequenzen wegen riesiger Datenschludrigkeit: Buchbinder kann aufatmen

Buchbinder-Datenleck: Autovermieter scheint aus dem Schneider. (Foto: Tobias Arhelger / Shutterstock)
Weit gefehlt. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat sich schon im Dezember 2021 dazu entschieden, der Autovermietung nicht nur das erwartete gewaltige Bußgeld nicht aufzuerlegen, sondern sogar gar keine Sanktionen zu verhängen.
Dabei waren es nicht irgendwelche Daten, die die Autovermietung jedem mit einem Netzwerk-Scanner zugänglich gemacht hatte. Namen, Adressen, Geburtsdaten, Telefonnummern, Mailadressen, Führerscheinnummern und -Ausstellungsdaten, Mietverträge, Rechnungen, Zahlungsinformationen und Bankverbindungen sowie Unfallberichte und Namen, Adressen und Kennzeichen von Unfallgegnern sowie eventueller Zeugen samt Telefonnummern und sogar Informationen über polizeilich durchgeführte Blutproben nebst Verletzten und Toten konnte die interessierte Öffentlichkeit aus den Buchbinder-Datenbanken lesen.
Neben allen Daten von Kunden enthielt die Datenbank sogar sensiblen Informationen von Personen, die bei Buchbinder überhaupt noch kein Auto ausgeliehen hatten. So hatten sich etwa Daten des Grünenpolitikers Robert Habeck auslesen lassen. Dabei war die Ursache peinlich profan.
Eine falsche, es ließe sich auch formulieren, schlampige Serverkonfiguration hatte den Zugriff ohne jedwede Umstände eröffnet. Noch nicht einmal der Begriff Hack ließ sich sinnvoll als Erklärung verwenden. Buchbinder hatte die Daten gleichsam auf dem Silbertablett offeriert. Erst nachdem Heise und die Tageszeitung Die Zeit darüber berichtet hatten, sorgte Buchbinder für das Schließen der Sicherheitslücke, auf die der ursprüngliche Finder zuvor mehrmals erfolglos hingewiesen hatte.
Damit sollte für Buchbinder nach eigenem Gusto der Fall erledigt sein. Nicht einmal die Benachrichtigung der betroffenen drei Millionen Kunden hielt der Autovermieter für erforderlich. Das Unternehmen schien den Datengau am liebsten aussitzen und verschweigen zu wollen. Experten hatten eine drakonische Strafe vorhergesagt, weil Buchbinder unter verschiedenen Aspekten gegen einschlägiges Recht, vor allem die Europäische Datenschutzgrundverordnung DSGVO verstoßen hatte.
Es wundert nicht, dass die Heise-Publikation c’t an der Angelegenheit drangeblieben war und immer wieder – meist erfolglos – bei der zuständigen Behörde nach dem Stand der Angelegenheit gefragt hatte. Dann die Überraschung: Weder der fahrlässige Umgang mit vertraulichen Daten noch die Weigerung, die Betroffenen zu warnen haben, werden für Buchbinder rechtliche Konsequenzen haben.
Wie Heise in Erfahrung bringen konnte, sieht das zuständige Bayerische Landesamt für Datenschutzaufsicht keinen Verstoß nach Artikel 34 der Datenschutzgrundverordnung und somit keine Verpflichtung aufseiten Buchbinders, für die Information Betroffener zu sorgen. Ein Bußgeld wegen der diversen sonstigen Verstöße hat die Behörde ebenfalls nicht verhängt, weil Buchbinder habe nachweisen können, dass nur „eine geringe Eintrittswahrscheinlichkeit eines Abrufs mit dem Zweck eines Datenmissbrauchs“ bestanden habe. Damit stellten die Datenschützer das Verfahren Ende vergangenen Jahres ein.
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team
Schweinerei. Der Fall ist so offensichtlich, wer da zu einem anderen Urteil sollte aus dem Amt wegen Inkompetenz entfernt werden. Vermutlich haben da aber eher welche eine sehr klebrige Nähe.