Weit gefehlt. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat sich schon im Dezember 2021 dazu entschieden, der Autovermietung nicht nur das erwartete gewaltige Bußgeld nicht aufzuerlegen, sondern sogar gar keine Sanktionen zu verhängen.

Dabei waren es nicht irgendwelche Daten, die die Autovermietung jedem mit einem Netzwerk-Scanner zugänglich gemacht hatte. Namen, Adressen, Geburtsdaten, Telefonnummern, Mailadressen, Führerscheinnummern und -Ausstellungsdaten, Mietverträge, Rechnungen, Zahlungsinformationen und Bankverbindungen sowie Unfallberichte und Namen, Adressen und Kennzeichen von Unfallgegnern sowie eventueller Zeugen samt Telefonnummern und sogar Informationen über polizeilich durchgeführte Blutproben nebst Verletzten und Toten konnte die interessierte Öffentlichkeit aus den Buchbinder-Datenbanken lesen.

Neben allen Daten von Kunden enthielt die Datenbank sogar sensiblen Informationen von Personen, die bei Buchbinder überhaupt noch kein Auto ausgeliehen hatten. So hatten sich etwa Daten des Grünenpolitikers Robert Habeck auslesen lassen. Dabei war die Ursache peinlich profan.

Eine falsche, es ließe sich auch formulieren, schlampige Serverkonfiguration hatte den Zugriff ohne jedwede Umstände eröffnet. Noch nicht einmal der Begriff Hack ließ sich sinnvoll als Erklärung verwenden. Buchbinder hatte die Daten gleichsam auf dem Silbertablett offeriert. Erst nachdem Heise und die Tageszeitung Die Zeit darüber berichtet hatten, sorgte Buchbinder für das Schließen der Sicherheitslücke, auf die der ursprüngliche Finder zuvor mehrmals erfolglos hingewiesen hatte.

Damit sollte für Buchbinder nach eigenem Gusto der Fall erledigt sein. Nicht einmal die Benachrichtigung der betroffenen drei Millionen Kunden hielt der Autovermieter für erforderlich. Das Unternehmen schien den Datengau am liebsten aussitzen und verschweigen zu wollen. Experten hatten eine drakonische Strafe vorhergesagt, weil Buchbinder unter verschiedenen Aspekten gegen einschlägiges Recht, vor allem die Europäische Datenschutzgrundverordnung DSGVO verstoßen hatte.

Es wundert nicht, dass die Heise-Publikation c’t an der Angelegenheit drangeblieben war und immer wieder – meist erfolglos – bei der zuständigen Behörde nach dem Stand der Angelegenheit gefragt hatte. Dann die Überraschung: Weder der fahrlässige Umgang mit vertraulichen Daten noch die Weigerung, die Betroffenen zu warnen haben, werden für Buchbinder rechtliche Konsequenzen haben.

Wie Heise in Erfahrung bringen konnte, sieht das zuständige Bayerische Landesamt für Datenschutzaufsicht keinen Verstoß nach Artikel 34 der Datenschutzgrundverordnung und somit keine Verpflichtung aufseiten Buchbinders, für die Information Betroffener zu sorgen. Ein Bußgeld wegen der diversen sonstigen Verstöße hat die Behörde ebenfalls nicht verhängt, weil Buchbinder habe nachweisen können, dass nur „eine geringe Eintrittswahrscheinlichkeit eines Abrufs mit dem Zweck eines Datenmissbrauchs“ bestanden habe. Damit stellten die Datenschützer das Verfahren Ende vergangenen Jahres ein.