Datenskandal bei US-Großfirmen

usa 03
News

Wie die süddeutsche am Montag letzter Woche berichtete, ist es in den USA zu einem erheblichen Datenschutzskandal gekommen – ein unbekannter Hacker hat Informationen von Kunden von Banken, Bildungseinrichtungen und Drogerieketten in den USA entwendet.

Hacker klaut Kundendaten

Anscheinend ist es einem unbekannten Hacker gelungen, in das Datensystem des Online-Händlers Epsilon – einem Dienstleister vieler amerikanischer Großunternehmen – einzudringen, um dort Kundendaten mehrerer dieser Unternehmen zu kopieren.

Bislang ist bekannt, dass unter anderem die Finanzunternehmen JPMorgan und Citigroup, die Drogeriekette Walgreen, das Teleshopping-Unternehmen HSN, der Einzelhändler Best Buy und der Videoaufnahmedienst Tivo betroffen sind. Unter Umständen kommen noch andere Unternehmen hinzu.

Der Hacker habe sich Zugriff auf E-Mail-Adressen und Hausanschriften verschafft, jedoch nicht auf finanzielle Informationen, so die betroffenen Unternehmen.

Datenraub beim Subunternehmer

Epsilon ist ein internationaler Anbieter für E-Mail-Kommunikationslösungen und Technologien zur Marketing-Automatisierung mit 400 Mitarbeitern und verschickt jährlich mehr als 40 Milliarden Werbeangebote per E-Mail. Dabei greift das Unternehmen auf die Daten von Kunden zurück, die sich auf den Internetseiten der genannten Firmen angemeldet oder beim Einkaufen ihre Adresse hinterlassen haben.

Kunden droht Phishing und Spam

Epsilon erklärte laut süddeutsche, dass Ermittlungen im Fall des Datenklaus aufgenommen worden seien.

Die gestohlenen E-Mail-Adressen und Namen könnten nun für den Versand von Spam oder für Phishing-Attacken genutzt werden. Kunden sind von den Unternehmen wohl bereits auf den Vorfall hingewiesen worden.

Schlechte PR für betroffene Unternehmen

Bei Epsilon, dem Subunternehmer der betroffenen Unternehmen, legt dies Probleme im Bereich der IT-Sicherheit offen. Allerdings ist diese Tatsache für den Verbraucher eher von untergeordneter Bedeutung: Für ihn hat nicht Epsilon die Daten verloren, sondern das Unternehmen, bei dem sie diese Daten hinterlassen haben. Und große Unternehmen dürften sich über solch negative PR nicht gerade freuen – wir erinnern uns an Datenschutzskandale in Deutschland, bei denen es auch Datenpannen gab, z.B. bei Schlecker. Dort waren die Datensätze von Kunden im Internet einsehbar gewesen. Dass solche Vorfälle für ein Unternehmen mit Imageverlust verbunden sind, liegt auf der Hand.

Fazit: Vertrauen ist gut, Kontrolle ist besser

Der Datenschutzskandal in den USA zeigt einmal mehr, dass ein Unternehmen selbst für das verantwortlich ist, was mit den Daten seiner Kunden passiert- selbst, wenn das eigentliche Datenleck bei einem Subunternehmer entsteht.

Und nicht nur in den Augen des Kunden bleibt die Verantwortung beim Auftraggeber. Auch das deutsche Datenschutzrecht sagt nichts anderes: wenn Subunternehmer beauftragt werden und nach deutschem Datenschutzrecht eine Auftragsdatenverarbeitung iSd § 11 BDSG vorliegt, bleibt das Unternehmen als Auftraggeber die verantwortliche Stelle. Damit muss der Auftraggeber sich von der Einhaltung der technischen und organisatorischen Maßnahmen beim Subunternehmer überzeugen. Zudem gibt der Gesetzgeber in § 11 BDSG vor, dass ein Vertrag über die Auftragsdatenverarbeitung einzelne Punkte enthalten muss.

Somit gilt: Vertrauen ist gut, Kontrolle ist besser – gerade wenn es um sensible Kundendaten geht…

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Aufbau, Optimierung und Überprüfung der IT-Sicherheit nach anerkannten Standards
  • Vorbereitung auf eine Zertifizierung nach ISO 27001 oder IT-Grundschutz
  • Stellung von externen IT-Sicherheitsbeauftragten

Informieren Sie sich hier über unser Leistungsspektrum: IT-Sicherheit

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.