Es ist ein größeres Datenleck, das das Bremer Unternehmen Gastronovis Anfang August zu bearbeiten hatte. Mitgliedern des Chaos Computer Clubs (CCC) war es gelungen, in Datenbanken des Unternehmens einzudringen und dabei knapp 11.000 Datensätze herunterzuladen. Dabei handelt es sich um namentliche Reservierungen in Restaurants und anderen gastronomischen Betrieben sowie Gästelisten aus ganz Deutschland, die wegen der Corona-Schutzverordnungen angelegt wurden.
Gastronovis bietet Software für die Gastronomie, unter anderem Kassensysteme, Online-Reservierungssysteme und seit Kurzem eben auch eine Möglichkeit an, mit der Besucher ihre Daten papierlos per Handy hinterlassen können, statt einen Zettel auszufüllen. Dabei setzt Gastronovis komplett auf sogenannte Cloud-Lösungen. Das heißt, die Daten verbleiben nicht im jeweiligen Restaurant, sondern werden per Internet übermittelt und zentral gespeichert. Der Bremer Cloud-Service wirbt damit, monatlich über 96 Millionen Euro Umsatz von 7,7 Millionen Restaurantbesuchern sowie 600.000 Reservierungen über das System abzuwickeln.
Hacker konnten leicht ins System eindringen
In den zentralen Speicher dieses Systems konnten die Hacker des CCC jetzt eindringen und zwar nach eigenen Angaben „im Handumdrehen“, weil die Prüfung der Zugangsrechte fehlerhaft sei. Dadurch war theoretisch der Zugriff auf 4,8 Millionen Personendatensätze aus über 5,4 Millionen Reservierungen möglich. Auch 87.313 Corona-Kontakterhebungen von 180 Restaurants, die das System aktiv nutzten, lagen für die Hacker offen. Zum Beweis der Sicherheitslücke hat der CCC die genannten knapp 11.000 Datensätze heruntergeladen – darunter gut 1200 Covid-19-Gästeregistrierungen – und Gastronovis über seinen Erfolg informiert.
Inzwischen sind die Probleme nach Angaben des Unternehmens beseitigt. „Die Schließung der Sicherheitslücken wurde durch einen unabhängigen, externen Dienstleister bestätigt. In der darauffolgenden Forensik konnte bestätigt werden, dass die vom CCC gefundenen Sicherheitslücken ausschließlich vom CCC selbst, zu Forschungs- und journalistischen Zwecken genutzt wurden“, heißt es in einer Mitteilung von Gastronovis. Einen Missbrauch der Daten durch Dritte habe es demnach nicht gegeben. Konkret betroffen gewesen seien die Daten von 462 Kunden, die man darüber informiert habe. Parallel sei auch die zuständige Bremer Datenschutzbehörde in Kenntnis gesetzt worden.
Laut Imke Sommer, Datenschutzbeauftragte des Landes Bremen, ist diese Meldung nun Anlass für eine umfangreiche rechtliche und technische Prüfung des Vorfalls. Dabei stehee am Ende auch die Frage juristischer Konsequenzen im Raum, wie zum Beispiel Bußgelder. Zwei Faktoren spielen laut Sommer eine zentrale Rolle: Wie aufwendig war der unbefugte, externe Datenzugriff durch den CCC? Denn davon hängt die Bewertung ab, ob beispielsweise grobe Fahrlässigkeit des Systembetreibers anzunehmen ist. Ein zweiter wichtiger Aspekt ergibt sich aus dem Befund, dass teilweise bis zu zehn Jahre alte Reservierungsdaten gefunden wurden. Auch bei den Gästeregistrierungen aufgrund der Corona-Verordnung waren zahlreiche Löschfristen nicht beachtet worden. Gastronovis verweist bei dieser Frage auf seine Rolle als Auftragsdatenverarbeiter. Das bedeutet, die gespeicherten Daten werden vom Unternehmen nicht aktiv und eigenständig genutzt, sondern eben im Auftrag der Gastronomen verarbeitet. Die Verantwortung für den Datenschutz oder eine fristgerechte Löschung verbleibe dann bei den Restaurantbetreibern. „Hier wird es eine Rolle spielen, ob und wie verständlich das Unternehmen seine Zuständigkeit gegenüber den Kunden deutlich gemacht hat“, sagt Sommer.
Sollte es am Ende zu einem Bußgeld kommen, würde die Bremer Datenschutzbeauftragte damit juristisches Neuland betreten, denn Ausgangspunkt des Verfahrens ist die Information der Behörde durch das Unternehmen selbst. Im deutschen Steuerrecht und auch bei zahlreichen Disziplinarverfahren gilt dieser Umstand als strafbefreiend. Im Bereich des Strafrechts kann niemand gezwungen werden, Angaben zum eigenen Nachteil zu machen. Die Europäische Datenschutzgrundverordnung verpflichtet dagegen Unternehmen zur Selbstanzeige bei den Datenschutzbehörden, ohne dass dies vor Strafe schützt. Ob dieses europäische Recht in Deutschland unmittelbar gilt, wurde bislang aber noch nicht gerichtlich geprüft.
