Trotz massiver Datenschutzverstöße kein Bußgeld gegen Buchbinder

Schlagwörter: Datenschutzverstoss | DSGVO | Kommentar

Einige von Euch erinnern sich vielleicht an den Fall – im Jahr 2020 war ein Backup der gesamten Buchbinder-Mieterdatenbank öffentlich abrufbar. „Kein Problem“, sagte nun die Aufsichtsbehörde in Bayern und verhängt tatsächlich kein Bußgeld wegen dieses Vorfalls. Wie kann das sein, fragst Du Dich? Wir uns auch!

Neun Millionen Mietverträge betroffen

Los ging die Geschichte im Januar 2020: Ein Sicherheitsforscher informierte den Autovermieter Buchbinder selbst, sowie die Redaktionen der „c’t“ und „Die Zeit“ über ein offen zugängliches Backup einer Datenbank mit zahlreichen Informationen über die Mieter*innen von Buchbinder.

In der Datenschutz- und IT-Sicherheitswelt schlug diese Information natürlich direkt hohe Wellen. Und das zurecht, denn die offengelegte Datenbank enthielt so einiges an Informationen über die Mieter*innen. Neben vollständig ausgefüllten Mietverträgen mit Privatadressen, Geburts-, Bank-, Kontakt- und Führerscheindaten waren auch Rechnungen und detaillierte Schadensberichte über die Datenbank abrufbar. Betroffen waren nicht nur die Mieter*innen, sondern teilweise auch abweichende Fahrer*innen und sogar vom Vertrag völlig unabhängige Unfallbeteiligte. Laut Informationen der c’t belief sich die Zahl von offengelegten Mietverträgen auf ganze neun Millionen(!). Die Daten gingen zudem zurück bis ins Jahr 2003. Warum derartig alte Daten noch in der Datenbank waren? Tja, das ist wohl die nächste gute Frage.

Die Sofortmaßnahmen von Buchbinder

Immerhin reagierte Buchbinder sofort und versah die Datenbank mit einer angemessenen Zugriffsbeschränkung noch am Tag der Meldung des Verstoßes durch c’t und Die Zeit, sodass die Informationen nicht mehr von außen abgerufen werden konnten. Über eine Pressemitteilung wurde zudem über die Sachlage informiert und eine Untersuchung des Vorfalls in Zusammenarbeit mit der zuständigen Aufsichtsbehörde angekündigt.

Und die zuständige Aufsichtsbehörde?!

Àpropos Aufsichtsbehörde: Zuständig für Buchbinder ist in erster Linie das Bayerische Landesamt für Datenschutzaufsicht (BayLDA). Die Behörde übte sich erst einmal in diskreter Zurückhaltung. Von wegen „scharfes Schwert der DSGVO“ – davon wollte man in Bayern erst einmal nichts hören. Die Behörde, so meint man zumindest, sollte nun allerdings doch einiges zu tun bekommen. Denn immerhin gab es einige kritische Fragen zu klären, insbesondere:

Sind die Betroffenen gem. Art. 34 DSGVO über den Vorfall zu informieren, da mit einem voraussichtlich hohen Risiko für die betroffenen Personen zu rechnen ist?
Wie konnte es dazu kommen, dass eine so wichtige, sensible und große Datenbank einfach offen zugänglich im Internet herumliegt?
Wieso enthält die Datenbank noch zu dem Zeitpunkt 17 Jahre alte Informationen aus dem Jahr 2003?
Was muss Buchbinder tun, damit eine solche Verletzung nicht noch einmal geschieht?
Und natürlich: Welche Sanktionen sind in diesem Fall angemessen, aber auch abschreckend genug?

Fragen über Fragen – da kann die Untersuchung und Beantwortung schon mal dauern…

Zwischenzeitlich bei Buchbinder

Als gäbe es einen Pakt zwischen Aufsichtsbehörde und Buchbinder passierte nun auch beim Verantwortlichen für den Vorfall nicht viel. Man schien wohl der Ansicht zu sein, dass die veröffentlichte Pressemitteilung genüge, um den Vorfall aus der Welt zu räumen.

Laut Berichten der c’t hielt es Buchbinder nicht einmal für nötig, die nun natürlich zu Hauf aufgekommenen Betroffenenanfragen über Auskünfte nach Art. 15 DSGVO rechtzeitig zu beantworten. Vertröstet wurde man hier mit dem enormen Anfrageaufkommen und einer verlängerten Bearbeitungsfrist.

Die Entscheidung der Aufsichtsbehörde

Und die Aufsichtsbehörde schwieg weiter. Erst nach mehrmaliger Nachfrage (!) durch die Journalisten der c’t erteilte das BayLDA im April 2022 die Auskunft, dass das Verfahren mittlerweile eingestellt sei. Ein Bußgeld gebe es nicht, da die Behörde keine Anlasspunkte für die Notwendigkeit einer Sanktion gesehen hätte. Als Gründe dafür nannte die Behörde laut heise.de unter anderem die „pandemiebedingt angestiegene Sanktionsempfindlichkeit des Unternehmens“. Nun, gegen eine verständliche, pragmatisch agierende Aufsichtsbehörde haben wir sicher alle nichts. Aber ist es wirklich ausreichend, Buchbinder als global agierende Mietwagenvermittlung, eingebettet in eine Konzernstruktur, den vorliegenden, schwerwiegenden Datenschutzverstoß einfach so durchgehen zu lassen?

Die Behörde argumentierte weiterhin, dass man nicht davon ausgehen konnte, dass die offengelegten Daten auch wirklich abgerufen worden sind. Auch das bezweifelt heise.de in ihrem Artikel sehr nachvollziehbar – immerhin haben diverse Gruppen von Sicherheitsforschern und Journalisten zu Recherchezwecken auf die offene Datenbank zugegriffen. Wie Buchbinder nun der Behörde weismachen konnte, dass also durch die erfolgten Zugriffe keinerlei Risiko entstanden ist, bleibt rätselhaft.

Fazit

Die Verantwortlichen bei Buchbinder lachen sich wahrscheinlich gerade ins Fäustchen und überlegen, was sie mit den schönen Rücklagen, die das Unternehmen nach dem großen medialen Aufschrei sicherlich gebildet hatte, so anstellen können. Vielleicht wurde das Geld wenigstens in Datenschutz- und IT-Sicherheitskompetenz investiert.

Das BayLDA hat dem Datenschutz sicherlich einen großen Bärendienst erwiesen. Es wird für andere Behörden nun schwer, ähnliche oder gar weniger schwerwiegende Verstöße mit Bußgeldern zu ahnden. Wir sind gespannt, wie sich diese Entscheidung des BayLDA in dieser Hinsicht noch auswirken wird. Hoffen wir, dass das Thema Datenschutz nun nicht wieder Ladenhüter wird.