Datenleck bei Corona-Listen und Reservierungsdaten

Wie der Chaos Computer Club (CCC) auf seiner Website berichtet, haben Mitglieder des Vereins auf über 87.000 Corona-Datensätze von Restaurants und über 5,4 Mio. Reservierungs-Datensätze Zugriff erlangen können. Die personenbezogenen Daten lagen nur unzureichend geschützt in der Cloud. Doch wie können sich Restaurants vor solchen Datenlecks angemessen schützen?

Umfang des Datenlecks

Laut CCC ermöglichten gleich mehrere Schwachstellen den Zugriff auf über 87.000 Daten zu Corona-Kontakterhebungen von 180 Restaurants. Darüber hinaus war auch der Zugriff auf 5,4 Mio. Reservierungsdaten, die zum Teil über ein Jahrzehnt zurückreichen möglich. Die Daten waren bei einem als Auftragsverarbeiter eingesetzten Clouddienstleister gelagert.

Die CCC Mitglieder stellten folgende Schwachstellen fest, die Ihnen den Zugriff ermöglichten:

  • mangelndes Rechte-Management
  • unzureichend geschützte Passwörter
  • unzureichende Passwortvorgaben
  • Fehler in der API

Die vom CCC genutzten Schwachstellen ermöglichten schon davor, dass zum Beispiel Restaurants auf die Daten anderer Restaurants zugreifen konnten. Passwörter konnten auch im Klartext erlangt werden, wobei die Hacker feststellten, dass auch Trivialpasswörter wie „1234“ verwendet werden konnten. Zudem wäre es möglich gewesen, Bestellungen oder Stornierungen für Gäste auszulösen.

Wie der CC berichtet, hat der betroffene Clouddienstleister inzwischen Korrekturen wohl vorgenommen, die die Fehler beheben.

Datenschutzrechtliche Bewertung

Die technischen und organisatorischen Maßnahmen (TOM) zum Schutz der personenbezogenen Daten waren nicht ausreichend. Der daraus resultierende Vorfall ist nicht nur sehr peinlich für den Dienstleister und die ihm vertrauenden Restaurants, welche den Auftragsverarbeiter zuvor nicht ausreichend geprüft hatten.

Ein solches Leck von personenbezogenen Daten stellt neben dem Reputationsverlust auch einen Datenschutzvorfall wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) dar und kann Bußgelder oder Ansprüche betroffener Personen nach sich ziehen.

Neben dem Datenleck wurden noch weitere Verstöße zu Tage gefördert. Dass Reservierungsdaten noch nach über einem Jahrzehnt gespeichert sind, könnte ein Verstoß gegen die Grundsätze der Verarbeitung in Form der Speicherbegrenzung und Rechtmäßigkeit der Verarbeitung nach Art. 5 Abs. 1 DSGVO darstellen.

Gegebenenfalls muss auch eine Meldung an die zuständige Aufsichtsbehörde oder gar an die Betroffenen erfolgen. Ein Unternehmen, das personenbezogene Daten gegenüber unbefugten Personen offenlegt, sie unberechtigt vernichtet, verliert oder verändert, ist unter bestimmten Voraussetzungen gemäß Art. 33 Abs. 1 DSGVO dazu verpflichtet, den Vorfall innerhalb von 72 Stunden zu melden.

Empfehlung für Corona-Listen

Cloudlösungen mögen zwar bequem sein, sind aber auch risikobelasteter als die Papierlösung. Wer dennoch Cloudlösungen einsetzen möchte, muss seine Dienstleister genauestens prüfen. Als Verantwortlicher für die Daten haftet ein Restaurant auch für Fehler seines Auftragsverarbeiters.

Aber auch wenn auf die Papierform gesetzt wird, gibt es ein paar Punkte zu beachten:

  • Um insbesondere die Vertraulichkeit zu wahren, sollten für die Erhebung der Kontaktdaten keine Listen verwendet werden, sondern die Daten für jeden Kunden bzw. Gast jeweils auf einem separaten Blatt aufgenommen werden. Eine offen zugängliche Liste, in die sich nacheinander die Kunden und Gäste selbst eintragen, ist nicht zulässig. Nutzen Sie dafür z. B. unsere kostenlose Vorlage.
  • Die Daten sollten zudem sicher aufbewahrt werden, so dass ein Zugriff unbefugter Personen ausgeschlossen ist. Nach Ablauf der Aufbewahrungsfristen sollten die Daten unwiderruflich gelöscht bzw. geschreddert werden (siehe auch unsere Checkliste zur datenschutzkonformen Aktenvernichtung).
  • Kunden und Gäste müssen bereits bei der Erhebung über ihre Datenschutz- bzw. Betroffenenrechte informiert werden. Diese Informationen müssen leicht verständlich und leicht zugänglich sein. Hängen Sie die Informationspflichten gut auffindbar in Ihren Räumlichkeiten auf. Alternativ können Sie die Informationen auch auf Ihrer Website veröffentlichen.

Fazit

Die Befunde des CCC sind erschreckend, aber auch nicht unbedingt überraschend, wurden doch in der Corona-Krise regelmäßig übereilte Lösungen für die anstehende Probleme gesucht. Es gilt auch in diesem Fall dasselbe wie sonst auch: Wo personenbezogene Daten verarbeitet werden, gilt es sorgfältig vorzugehen.

Im Fall der Corona-Kontaktinformationen können solche Neuigkeiten auch noch andere negative Auswirkungen haben. Das Vertrauen der Betroffenen in die Verantwortlichen sinkt und Kontaktdaten werden nicht mehr oder nur falsch angegeben. Damit würde der Zweck, für den die Daten eigentlich erhoben werden, konterkariert. Das kann in niemandes Interesse liegen. Vor allem nicht in dem der Gastronomen, die darauf hoffen, auch während der Pandemie bewirten zu dürfen.

Wir bieten betroffenen Verantwortlichen daher neben zahlreichen anderen Vorlagen zur Unterstützung bei der Umsetzung des Datenschutz ein Muster-Informationsschreiben und Erhebungsbogen für Kontaktdaten zur Eindämmung von Infektionsketten an.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.