Schlagwort: Kundendaten
27. September 2021
Der (interimsweise) amtierende Hamburger Datenschutzbeauftragte (HmbBfDI) Ulrich Kühn verhängte gegen den Energiekonzern Vattenfall jüngst ein Bußgeld in Höhe von ca. 900.000 Euro. Grund dafür war, dass Vattenfall Kundendaten ohne legitimen Grund gespeichert hatte. Zwar dürfen Energieversorger grundsätzlich bis zu 10 Jahren Kundendaten speichern, dies allerdings nur wenn ein Grund vorliegt, wie etwa dass diese Daten dem Finanzamt vorgelegt werden müssen. Alternativ kann auch eine Einwilligung der Kunden zur Speicherung vorliegen, was hier allerdings nicht der Fall war.
Im vorliegenden Fall hatte Vattenfall die gespeicherten Daten genutzt, um sogenannte “Bonusshopper” als Neukunden abzulehnen. Bonusshoppper sind Kunden, die durch häufiges Wechseln ihrer Strom- und Gasverträge Geld sparen und Boni sammeln. Um solche von vorneherein auszusortieren und keinen Vertrag mit Ihnen einzugehen, hatte Vattenfall zwischen August 2018 und Dezember 2019 die Daten von potenziellen Neukunden mit älteren Kundendaten verglichen. So sollte festgestellt werden, ob die potenziellen Neukunden, die eine Anfrage für einen bestimmten Vertrag gestellt hatten, bereits früher einen Vertrag mit Vattenfall abgeschlossen hatten und dann gewechselt waren. Betroffen waren davon rund 500.000 Kunden.
Die Kunden wussten über diese Praxis nicht Bescheid, sodass HmbBfDI Kühn davon ausging, dass Vattenfall seiner Informationspflicht nicht nachgekommen sei. Das nun verhängte Bußgeld hätte deutlich höher ausfallen können, allerdings kooperierte Vattenfall umfassend mit der Hamburger Datenschutzbehörde. In dieser Zusammenarbeit wurde von Vattenfall ein Verfahren aufgebaut, mit dem sie in Zukunft Daten abgleichen dürfen. Voraussetzung dafür ist dann aber eine Einwilligung der Betroffenen.
30. Juli 2021
Wer einen Mobilfunkvertrag in einem O2-Shop abschließt, dem wird scheinbar eine Einwilligung untergejubelt. Einige Verkäufer und Shop-Inhaber bestätigen nun die Vorwürfe, die jüngst durch Recherchen von Netzpolitik ans Licht kamen. Mehrere Shop-Betreiber sollen ungefragt für die Kunden eingewilligt haben, um Boni zu kassieren.
Telefónica sammle personenbezogene Daten seiner Kunden, um daraus Nutzungsprofile zu erstellen. Die Daten dienen dem internen Marketing, beispielsweise um den Betroffenen weitere Produkte anzubieten. Kommunikationsinhalte sollen dabei nicht gespeichert werden.
Grundsätzlich gilt: Wer einen Vertrag beim Unternehmen Telefónica, zu dem O2 gehört, abschließt oder verlängert, kann der Datenverarbeitung zustimmen oder sie ablehnen. Laut Bericht, geben jedoch mehrere Betreiber von Telefonicá-Ladengeschäften zu, ihren Kunden Pseudo-Einwilligungen unterzujubeln. „Der Verkäufer setzt am Computer einfach alle Einwilligungshäkchen und dreht dem Kunden dann nur noch das Signpad zur Unterschrift rüber“, erklärt ein anonymer Betreiber eines O2-Partnershops gegenüber Netzpolitik.
Das Unternehmen weise alle Vorwürfe ab und behauptet: „In unseren Betreiberinformationen, Prozessdokumentationen sowie Arbeitsanweisungen weisen wir unsere Vertriebspartner stets auf diese datenschutzrechtlichen Vorgaben hin.“
Wie bei einem Franchise-System werden zahlreiche O2-Geschäfte als Partnershops betrieben. Die Betreiber arbeiten nicht direkt für Telefónica, sondern führen ihre Geschäfte unabhängig. Doch scheinbar fühlen sich einige von ihnen von dem Unternehmen dazu gedrängt, möglichst viele Einwilligungen von ihren Kunden einzuholen. Nur wenn sie eine Quote von mehr als 75 Prozent Einwilligungen erreichen, würden sie von Telefónica einen sogenannten Qualitätsbonus erhalten.
Der Fall hat inzwischen auch den Bundesdatenschutzbeauftragten erreicht. „Wir kennen die Vorwürfe gegen den Mobilfunkanbieter und prüfen den Fall derzeit“, erklärte eine Sprecherin. Zu den Vorwürfen könne man sich aufgrund des laufenden Verfahrens aktuell nicht weiter äußern.
16. Dezember 2019
Am Montag, den 9.12.19, hat sich bei der Miles & More GmbH, der 100- prozentigen Tochtergesellschaft der Lufthansa, eine Datenpanne ereignet. 40 Minuten lang konnten die Kunden die personenbezogenen Daten der anderen Miles & More-Nutzer einsehen, die zu diesem Zeitpunkt gleichzeitig auf der Website eingeloggt waren.
Laut Stellungnahme der Lufthansa sind maximal 9.885 Miles & More-Kunden von dem Vorfall betroffen, die am 9.12.19 zwischen 16:00 und 16:40 Uhr eingeloggt waren. Zu dem Zeitpunkt waren 4100 User aktiv, denen die fremden Daten unfreiwillig angezeigt worden sind. Hinzu kamen die 5785 Nutzer, die dauerhaft angemeldet waren.
Einsehbar waren: Name, Adresse, E-Mail, Telefonnummer, Geburtsdatum, Benutzername, Servicekartennummer, Meilenstand, Transaktionsdaten, Reisepräferenzen, Einwilligungen zur werblichen Ansprache sowie die bevorzugte Spracheinstellung. Zusätzlich konnten die Kunden sogar die Flugmeilen der anderen User einlösen.
Die Ursache war wohl kein Hackerangriff, sondern ein technisches Problem.
Die Lufthansa hatte E-Mails an ihre Kunden versandt, in denen sie versicherte, dass die Bonusmeilen, die widerrechtlich eingelöst worden sind selbstverständlich wieder gutgeschrieben werden.
Nach Aussage der Pressesprecherin hat die Lufthansa die Aufsichtsbehörde bereits informiert, sodass eine datenschutzrechtliche Bewertung noch aussteht.
25. November 2019
Der chinesische Smartphone-Hersteller OnePlus räumt zum zweiten Mal innerhalb von zwei Jahren eine Datenpanne ein. Das Sicherheitsteam des Unternehmens hat im OnePlus-Forum veröffentlicht, dass Unbefugte über einen unbekannten Zeitraum auf Kundendaten zugreifen konnten. Auch Käufer aus Deutschland sollen betroffen sein.
OnePlus teilt mit, dass der Name, die Kontaktnummer, die E-Mail-Adresse
und die Lieferadresse bestimmter Benutzer möglicherweise offengelegt wurden. Das
Unternehmen versichert jedoch, dass Zahlungsinformationen, Passwörter und
Accounts sicher seien. Die Betroffenen seien per E-Mail über den Vorfall
informiert worden. OnePlus schreibt im Online-Forum, dass als Folge dieses
Sicherheitsvorfalls Betroffene möglicherweise Spam- und Phishing-E-Mails
erhalten. Es bleibt noch unbekannt,
wie viele Kunden betroffen sind und wie
lange Unbefugte die Daten abgreifen konnten.
In seiner Bekanntmachung bittet das Unternehmen um Entschuldigung und verspricht,
dass OnePlus weitere Maßnahmen ergreifen will, um den Schutz der Kundendaten zu
verbessern. Dabei wird das Unternehmen im nächsten Monat mit einer Sicherheitsplattform zusammenarbeiten, um
die Datensicherheit zu verbessern.
19. November 2019
Hackern war es möglich, sich durch eine Sicherheitslücke des Servers des Versandunternehmens Conrad Electronics Zugang auf ca. 14 Millionen Kundendatensätze in einer Elasticsearch-Datenbank zu verschaffen.
Kreditkarteninformationen oder Kundenpasswörter seien zwar nicht davon betroffen, jedoch Postadressen, E-Mail Adressen, Telefonnummern sowie bei einem Fünftel der Datensätze Bankverbindungen (IBANs). Die Conrad Electronics-Gruppe habe bereits Strafanzeige beim Landeskriminalamt erstattet sowie das Bayerische Landesamt für Datenschutzaufsicht informiert.
Einen Hinweis, dass die Daten zu einem Missbrauch führten gäbe es bislang nicht, teilte die Conrad Electronic SE mit, jedoch bittet das Unternehmen um Vorsicht, falls Kunden E-Mails mit unsauberen Anhängen erhalten sollten. Um den Kunden entgegen kommen zu können wurde eine Seite eingerichtet auf der Informationen zum Vorfall bereitstehen und Fragen gestellt werden können.
3. Juli 2019
Am 24.05.2019 hat sich die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder auf einen Katalog von Fallgruppen verständigt, die im Rahmen der Interessenabwägung nach Art. 6 Abs. 1 lit. f i.V.m. Abs. 4 DSGVO bei einem Unternehmensverkauf zu berücksichtigen sind.
Ein Asset Deal ist eine Unterart des Unternehmenskaufs, bei dem Wirtschaftsgüter (engl. Assets) eines Unternehmens, wie Grundstücke, Gebäude, Maschinen, Patente etc., im Rahmen der Singularsukzession übertragen werden.
Bisher war es umstritten, ob und in welchem Umfang in einem solchen Fall auch Daten von Kunden verkauft werden dürfen.
Folgende Fallgruppen wurden von der DSK nun beschlossen:
- Kundendaten bei laufenden Verträgen
- Bestandskunden ohne laufende Verträge und letzter Vertragsbeziehung älter als 3 Jahre
- Daten von Kundinnen und Kunden bei fortgeschrittener Vertragsanbahnung; Bestandskundinnen und -kunden ohne laufende Verträge und letzte Vertragsbeziehung jünger als 3 Jahre
- Kundendaten im Falle offener Forderungen
- Kundendaten besonderer Kategorie nach Art. 9 Abs. 1 DS-GVO
21. Januar 2019
Es werden zurzeit E-Mails im Namen der Deutschen Bank mit dem Betreff “Informationen zu Ihrem Bankkonto” versendet. In dieser E-Mail wird darauf verwiesen, dass aufgrund der Datenschutzgrundverordnung (DSGVO) das TAN-Verfahren annulliert werden müsste. Dabei soll der Betroffene das angehängte Formular benutzen um die Änderung des TAN-Systems kostenfrei durchzuführen. Tut er dies nicht, würde die Deutsche Bank dies manuell durchführen und eine Gebühr dafür verlangen.
Hierbei handelt es sich um keine E-Mail von der Deutschen Bank. Als Absender der E-Mail wird “info@db.com” angezeigt. In der Email befindet sich in der Anlage eine Datei mit dem Namen “Formular.html”. Das ist die eigentliche Phishing-Seite, über die die Daten der Betroffenen gestohlen werden.
Die Deutsche Bank hat auf ihrer Seite einen Sicherheitshinweis veröffentlicht, in der sie vor den Phishing-Mails warnt. Die Empfänger der E-Mails sollen nicht auf enthaltene Buttons oder Links in der E-Mail klicken. Wurde bereits auf den Button oder Link geklickt, dürfen in keinem Fall persönlichen Daten eingegeben werden, da diese sonst unverschlüsselt bei den Cyberkriminellen landen.
12. Oktober 2018
Das LG Frankfurt a. M. hat in seinem Urteil vom 13.09.2018 (Az.: 2-03 O 283/18) das Veröffentlichen eines Videos von einer Kundin aus einem Frisör-Salon auf seiner Facebook-Seite für rechtswidrig erklärt.
Der Entscheidung lag ein Fall zugrunde, in dem ein Frisör ein Video und Fotos von einer Kundin in seinem Salon auf seiner Facebook-Seite veröffentlicht hatte. Die Kundin beschwerte sich, worauf der Frisör nur die Fotos entfernte aber nicht das Video. Darauf hin klagte die Kundin auf Unterlassung.
Das Gericht prüfte, ob der Frisör die Datenverarbeitung auf eine Rechtsgrundlage stützen kann. In Betracht kamen §§ 22, 23 KUG, Art. 6 Abs. 1 lit a und lit. f. DSGVO in Betracht. Laut Gericht konnte der Frisör nicht glaubhaft darlegen, dass die Kundin eingewilligt hatte. Da auch keine Ausnahmen vom Einwilligungserfordernis nach § 23 KUG einschlägig sind, ist die Veröffentlichung des Videos nicht von §§ 22, 23 KUG gedeckt ist. Mangels Einwilligung scheidet auch Art. 6 Abs. 1 lit. a DSGVO als taugliche Rechtsgrundlage aus. In der weiteren Prüfung verneinte das Gericht ein berechtigtes Interesse des Frisörs an der Veröffentlichung des Videos. Das LG zog hierfür die Grundsätze der §§ 22, 23 KUG und der dazugehörigen Rechtsprechung für die Abwägung heran. Demnach überwiegt bei einem Frisörbesuch das Interesse der Kundin an der Unterlassung gegenüber dem Werbeinteresse des Frisör-Salonbetreibers.
Da sich die Veröffentlichung des Videos auf keine Rechtsgrundlage stützen ließ, muss der Frisör nun das Video von seiner Facebook-Seite entfernen. Diese Entscheidung bestätigt nochmals die Bedeutung der Dokumentationspflichten im Zusammenhang mit der Einwilligung nach Art. 7 Abs. 1 DSGVO.
23. Februar 2018
Laut Andreas Wiegenstein sind Kundenportale von Energieversorgern nicht ausreichend geschützt.
Ebenso wie andere Unternehmen sind auch Energieversorger verpflichtet den Anforderungen an Datenschutz und Datensicherheit nachzukommen. Nach einem Artikel von Andreas Wiegenstein kommen sie diesen Anforderungen jedoch in nur unzureichendem Maße nach.
Gerade bei Kundenportalen soll ein nicht ausreichender Schutz von Kundenkonten gegen Angreifer bestehen, obwohl die Kunden dort sensitive Daten eingeben. Die Angreifer benötigen zwar einige Informationen für einen Zugriff, jedoch ließen sich diese laut Wiegenstein zu leicht beschaffen. So sollen sich speziell die scheinbar sicheren Kundennummern und Zählernummern ohne erhebliche Probleme herausfinden lassen.
Neben einer unzureichenden Absicherung der Kundenkonten bemängelt Wiegenstein zusätzlich die Absicherung beim Transport der Daten.
Im Ergebnis fordert er für die Zukunft zusätzliche Sicherheitsmaßnahmen, um einen ausreichenden Schutz zu gewährleisten. Andernfalls seien für die Zukunft erhebliche Probleme bei der Einhaltung der DSGVO absehbar.
13. Juni 2017
In den letzten Wochen wurde bekannt, dass sowohl die Supermarktkette Real als auch die Deutschen Post die Aufzeichnungen der Kameras in ihren Ladenlokalen bzw. Filialen nicht mehr nur dazu genutzt werden, um Straftaten wie Ladendiebstahl aufzuklären oder zu vermeiden, sondern vermehrt auch, um Gesichtsanalysen durchzuführen und diese letztlich für personalisierte Werbung einzusetzen, wir berichteten. Die Kameras erfassen dabei Blickkontakte mit dem Bildschirm sowie Geschlecht und ungefähres Alter des Kunden, so dass Rückschlüsse auf das Kundenverhalten gezogen werden können.
Die Aktivisten vom Verein Digitalcourage halten dieses Vorgehen für datenschutzrechtlich unzulässig und haben daher Strafanzeige gegen die beiden Unternehmen gestellt. Ihre Argumentation gründet sich vor allem auf § 6b Bundesdatenschutzgesetz (BDSG): Die von den beiden Unternehmen durchgeführte Videoüberwachung diene nicht mehr dem eigentlichen Zweck sondern werde zu Werbezwecken zweckentfremdet. Außerdem werde mit dem Text “Dieser Markt wird videoüberwacht” nicht ausreichend auf die Ausmaße der Beobachtung durch die Kameras hingewiesen.
Auch wenn die Erfolgsaussichten dieses Strafverfahrens eher gering scheinen, so wird mit dieser Aktion doch deutlich, wie befremdlich für Einige das ist, was andere als personalisierte Werbung für eine großartige Errungenschaft halten.