Buchbinder – Anspruch auf Schadensersatz aus DSGVO für Betroffene?

Wie c't und ZEIT nach ausführlicher Recherche berichten, kam es bei der großen Autovermietung Buchbinder zu einem Datenleck. Aufgrund eines Konfigurationsfehlers standen wohl 10 Terabyte teils empfindliche Daten für jedermann wochenlang zum Download bereit. Es wird vermutet, dass es sich dabei um ein Backup der gesamten Firmendatenbank der Unternehmensgruppe handelt. Dem Unternehmen droht jetzt eine immense Strafe durch die zuständigen Behörden, aber auch Betroffenen könnte Anspruch auf Schadensersatz zustehen.

Welche Daten sind betroffen?

Laut c't umfasst die Datenbank 9 Millionen Mietverträge, die teilweise bis ins Jahr 2003 zurückgehen. Mit den (bei natürlichen Personen) personenbezogenen Daten der Mieter, wie etwa Name, Anschrift, Geburtsdatum, Telefonnummer oder E-Mail-Adresse wurden die der Fahrer verknüpft. Fahrer kann nur eine natürliche Person sein, sodass hier jedenfalls personenbezogene Daten im Sinne der DSGVO verarbeitet wurden. Durch die Verknüpfung beider Datensätze könnte man evtl. Rückschlüsse auf den Arbeitgeber des Fahrers, dessen politische Gesinnung, Gewerkschaftsangehörigkeit oder andere besonders empfindlichen Daten i.S.d. Art. 9 DSGVO ziehen.

Auch fanden sich in der Datenbank Unfallberichte, die bis ins Jahr 2006 zurückgehen. Dabei sind wohl auch die personenbezogenen Daten von Personen wie Unfallbeteiligten oder Zeugen aufgeführt, die keine Kunden von Buchbinder sind oder waren.

Zwar sind den Datensätzen wohl keine Kreditkartennummern entnehmbar, allerdings findet man dort angeblich Rechnungen, auf denen das Zahlungsmittel des Mieters angegeben sei.

Wie kann es dazukommen?

Vereinfacht gesagt dürfte es sich vorliegend um einen Fall menschlichen Versagens handeln. Buchbinder hat es vermutlich unterlassen, den für die SMB-Freigabe zuständigen Port 445 nicht zu schließen. Die SMB-Freigabe (Server Message Block) ist ein Protokoll für die Netzwerkfreigabe und ermöglicht das Lesen, Schreiben und Anfordern von Dateien auf dem konkreten Server. Durch bestimmte Suchmaschinen können offene SMB-Freigaben von Jedermann innerhalb von Stunden festgestellt werden. Laut c't lag der erste Hinweis auf das Leck bei Buchbinder bereits Anfang Dezember 2019 vor. Dabei dürfte es sich um grob fahrlässiges Verschulden handeln.

Schadensersatz von Betroffenen gegen Buchbinder?

Nach Art. 82 DSGVO hat jede Person, der wegen eines Verstoßes gegen die Vorschriften der DSGVO ein Schaden entstanden ist, Anspruch auf Schadensersatz. Dass hier gegen solche Vorschriften verstoßen wurde, dürfte wohl gegeben sein. 

Fraglich ist, ob dem oder der Betroffenen ein Schaden entstanden ist. Die Besonderheit bei Art. 82 DSGVO ist, dass auch immaterieller Schadensersatz, vergleichbar mit Schmerzensgeld, umfasst ist. Es muss also überhaupt nicht zu einem finanziellen Schaden gekommen sein, vielmehr dürfte der Umstand, dass Ihre Daten frei zugänglich gemacht wurden und unbefugte Dritte davon Kenntnis erlangen konnten, ausreichen. Die offenen Datensätze können nunmehr für Spam, Phishing oder gar Identitätsdiebstahl genutzt werden.

Vorgehensweise

Zunächst wäre nachzuweisen, dass die Daten der konkret betroffenen natürlichen Person offengelegt wurden. Sollte Buchbinder die Betroffenen persönlich über den Datenschutzvorfall unterrichten, wäre dies bereits als gegeben anzusehen. Sollte nur eine allgemeine Bekanntgabe erfolgen, so wäre in einem ersten Schritt, ein qualifiziertes Auskunftsgesuch nach Art. 15 DSGVO bei Buchbinder zu stellen.

In einem zweiten Schritt machen wir Ihre Betroffenenrechte in Form von Schadensersatz geltend. Gerne stellen wir für Sie auch die Deckungsanfrage bei einer vorhandenen Rechtsschutzversicherung.

Höhe des Schadensersatzes für Betroffene

Für die Höhe des Schadensersatzes wären verlässliche Belege hilfreich, ob und wie viele externe Anwender Zugriff auf die Datensätze hatten und wie lange diese offen lagen. Verlässliche Zahlen kann hierbei jedoch nur der Verantwortliche selbst oder dessen Auftragsverarbeiter angeben.

In Österreich wurden einem Betroffenen 800 EUR Schadensersatz zugesprochen, dessen politische Parteiaffinität durch die Post ohne Einwilligung verarbeitet wurde. Die politische Gesinnung stellt zwar ein besonders geschütztes personenbezogenes Datum i.S.d. Art. 9 DSGVO dar, weshalb der Schadensersatz pro (gewöhnliches) personenbezogenes Datum niedriger anzusetzen wäre. Da hier in jedem Fall mehrere Daten pro Betroffenem verarbeitet wurden, dürfte sich der Schadensersatz allerdings summieren.

Unterlassungsanspruch

Einerseits ist ein Unterlassungsanspruch der DSGVO nicht zu entnehmen, andererseits ist die SMB-Freigabe, unmittelbar nachdem c't und ZEIT berichteten, geschlossen worden. Die Buchbinder Unternehmensgruppe hat nun keine Einwirkungsmöglichkeiten mehr auf die weitere Nutzung der Daten.