Zurück zur Übersicht
08.02.2022

Kundendatenbank im Netz

Kundendatenbank ungesichert im Internet

Die Datenschutzbehörde wurde anonym über eine Datenschutzverletzung bei einem Tourismusunternehmen informiert. Konkret ging es darum, dass eine MongoDB-Datenbank dieses Unternehmens mit personenbezogenen Daten von Kundinnen und Kunden sowie von Gastgeberinnen und Gastgebern ungesichert im Internet erreichbar war.

MongoDB ist ein dokumentenorientiertes Datenbankmanagementsystem. Im Gegensatz zu herkömmlichen relationalen Datenbankmanagementsystemen erfolgt die Speicherung von Einträgen nicht in miteinander verknüpften Tabellen, sondern in hierarchisch strukturierbaren Kollektionen von Dokumenten. Dokumente können unterschiedliche Einträge enthalten wie Name-Wert-Paare, Texte, Listen von Einträgen oder Verweise auf andere Dokumente.

Im fraglichen Fall enthielt die Datenbank über 3.000 Einträge vermutlich zu Kundinnen und Kunden – unter anderem mit deren Namen, Reisen und Interessen. Außerdem waren über 600 Einträge vermutlich zu Gastgeberinnen und Gastgebern gespeichert – unter anderem mit Kontoinformationen und verschlüsselten Passwörtern.

Im Rahmen einer ersten Untersuchung und Beweissicherung hat sich die Datenschutzaufsicht davon überzeugt hatten, dass die Datenschutzverletzung andauerte und wandte sich an das Unternehmen. Der Verantwortliche versicherte, dass er in der Zwischenzeit die Erreichbarkeit der Datenbank aus dem Internet unterbunden und die interne IT-Abteilung mit einer umfangreichen Nachforschung beauftragt hatte. Gleichwohl hatte die Datenschutzaufsicht eine Reihe von Nachfragen. Insbesondere wollte man in Erfahrung bringen, Weiter interessierten die Umstände, unter denen das Unternehmen von der ungesicherten Datenbank erfuhr, warum es keine Meldung nach Artikel 33 DSGVO abgegeben hatte, wie das Risiko für die Rechte und Freiheiten der betroffenen Personen im Zuge des Vorfalls eingeschätzt wurde und ob deren Information nach Artikel 34 DSGVO geplant war.

Die Stellungnahme des Unternehmens beantwortete die Fragen nur zum Teil. Im Rahmen der Prüfung ergaben sich auch neue Fragen, z. B. zum Passwort- und Zugriffsmanagement in der Anwendung, zu Einzelheiten des Datenabflusses und zur Benachrichtigung der betroffenen Personen. Eine weitere Besonderheit resultierte daraus, dass der Verantwortliche plante, die bisherige Datenbank zu migrieren und dabei ein ausschließlich cloudbasiertes Angebot eines amerikanischen Anbieters zu verwenden. Vor allem hinsichtlich des Speicherortes der Daten in dieser Cloud-Lösung und der Gestaltung der Auftragsverarbeitung verlangten die Datenschutzbehörde vor dem Hintergrund des Schrems II-Urteils des Europäischen Gerichtshofes detailliertere Informationen.

Der Vorgang ist noch nicht abgeschlossen. Aufgrund der bisherigen Sachlage wird wegen der festgestellten Verstöße gegen die Datenschutz-Grundverordnung die Einleitung eines Ordnungswidrigkeitenverfahrens durch die Bußgeldstelle der Behörde geprüft.

Quelle: Landesbeauftragte für Datenschutz und Akteneinsicht

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks