Gratis
5. Juli 2018 - Datenschutz-Vorfälle und Meldepflichten

Schwere Datenpannen bei Adidas, Panini und Ticketmaster

In der vergangenen Woche mussten gleich drei bekannte Unternehmen schwere Datenschutz-Pannen einräumen. Eine davon ist besonders heikel, da hier in erster Linie Kinder betroffen sein können.

Datenpanne bei Adidas und anderen großen Unternehmen Mehrere Unternehmen mussten vermelden, dass ihnen Kundendaten abhanden gekommen sind (Bild: iStock.com / xxmmxx)

Allen drei Datenschutz-Pannen gemeinsam ist, dass die betroffenen Unternehmen nicht ausschließen können, dass Unbefugte Kundendaten, darunter sensible Zahlungs-Informationen, in die Hände bekommen haben.

Die Vorkommnisse unterstreichen einmal mehr, dass bei der kritischen Prüfung der technisch-organisatorischen Maßnahmen besonders auf externe Systeme und deren Verbindung mit unternehmenskritischen Anwendungen geachtet werden muss.

Passwörter, Log-in-Daten und Zahlungs-Informationen kopiert

Der britische Online-Anbieter von Konzert- und Veranstaltungskarten Ticketmaster, der auch in Deutschland aktiv ist, musste seinen Kunden mitteilen, dass es durch einen Befall mit Malware in einem Drittsystem zum Abfluss von sensiblen Informationen gekommen ist.

Betroffen sind demnach möglicherweise Adressen, E-Mail-Adressen, Log-in-Daten, Namen, Telefonnummern und Zahlungsdetails. Ob darunter auch Passwörter waren, ist unsicher. Nach Angabe des Unternehmens sollen davon lediglich Kunden aus Großbritannien betroffen sein.

Der Händler hat die Kunden aufgefordert, ihre Passwörter zu ändern. Außerdem empfiehlt das Unternehmen, die Bewegungen von Bank- und Kredikarten-Konten zu überprüfen.

Einen ähnlichen Vorfall musste Adidas in den USA eingestehen. Nach der Firmenmitteilung hätten unbekannte Dritte gegenüber dem Unternehmen behauptet, sich im Besitz von Kundendaten zu befinden.

Bei den kopierten Daten soll es sich ob Log-in-Informationen und Passwörter von Kunden handeln, die über die Website von Adidas Produkte gekauft haben. Nach Einschätzung des Sportartikel-Uunternehmens handelt es sich nicht um Zahlungs-Informationen.

Panini ist in Deutschland für seine Sammelbilder bekannt. Das italienische Unternehmen ist nach einem Bericht des Spiegel ebenfalls massiv von einer Datenpanne betroffen.

Die Firma bietet ihren Kunden mit der Site „Mypanini“ an, eigene Fotos hochzuladen und sich personalisierte Klebebildchen zuschicken zu lassen. Eingeloggte Anwender hätten aber auch die hochgeladenen Bilder sowie personenbezogene Daten anderer Kunden einsehen können.

Auf vielen der Sticker seien der volle Name, das Geburtsdatum und der Wohnort der Kunden verzeichnet. Sehr häufig seien darunter Kinder und Jugendliche gewesen, auch aus Deutschland. Gerade dieser Vorfall ist ein schwerer Verstoß nach der DSGVO.

Auftragsverarbeitung und Online-Systeme im Fokus

Die drei Vorfälle weisen Administratoren und Datenschutzbeauftragte deutlich darauf hin, dass bei den technisch-organisatorischen Maßnahmen besonders die externe Komponenten eines Netzwerks wichtig sind.

Gerade Webserver haben sich in der Vergangenheit immer wieder als Ausgangspunkt für Attacken von Cyberkriminellen erwiesen. Im Zuge von verteilten Systemen und Cloud Computing kann der Befall mit Malware bei einem Dienstleister jederzeit auch Unternehmen in Deutschland betreffen.

Deswegen sollten Verantwortliche auch die Vereinbarung zur Auftragsverarbeitung nicht auf die leichte Schulter nehmen.

Stephan Lamprecht