Datenschutzpanne bei Breitbandanbieter

20.04.2006
Über die Homepage von "DSL on Air" des Betreibers Deutsche Breitbanddienste (DBD) waren Personendaten für jedermann einzusehen.

Als einen "unglücklichen Vorfall" bezeichnet eine Sprecherin der DBD die Datenschutzpanne, die nur durch einen Zufall ans Licht kam: Über die Web-Seiten des DBD-Angebots DSL on Air ließen sich umfangreiche Informationen über Personen abrufen, die die Freischaltung der DSL-Alternative in beantragt hatten.

Ohne Spezialkenntnisse und nur mit Hilfe eines Browsers war es bis vor wenigen Tagen möglich, via Internet etliche Datensätze mit detaillierten Angaben wie Name, Vorname, Anschrift, E-Mail-Adresse, Geburtsdatum, Telefonnummer, Auftragsart, Vertragslaufzeit, Kennwort und Bankverbindung einzusehen. Wie ein Zeuge gegenüber der COMPUTERWOCHE berichtet, handelte es sich um "über 5000 Datensätze", die frei zugänglich waren. Daneben ließen sich Angaben zu Vertriebspartnern sowie interessierten Kooperationspartnern von DSL on Air abfragen und sogar bearbeiten. Das geht auch aus Screenshots hervor, die der COMPUTERWOCHE vorliegen (siehe Seite 2).

DSL on Air bietet Interessenten via WLAN und Wimax einen schnellen Web-Zugang an und versteht sich als Alternative zu kabelgebundenen DSL-Diensten. Das Unternehmen ist vor allem dort erfolgreich, wo breitbandige DSL-Anschlüsse nicht verfügbar sind.

Zu der Panne kam es nach Angaben des Unternehmens im Zuge der Umstellung des Auftrags-Managements und der Einführung einer Datenbankarchitektur "mit Verschlüsselung und erhöhten Sicherheitsmerkmalen". Dabei habe man es aber "leider versäumt, die Vorgängerversion der temporären Interessenten-Datenbank zu entfernen". So sei es möglich gewesen, dass Vertriebspartner Auftragsdaten noch in das alte System geschrieben hätten.

Diese Schluderei steht in krassem Widerspruch zur Datenschutzerklärung des Unternehmens, wo Kunden lesen können: "Zum Qualitätsgedanken von DBD Deutsche Breitband Dienste GmbH gehört es, verantwortungsbewusst mit Ihren Daten umzugehen." Dort verspricht der Breitbandanbieter auch, "Daten vertraulich sowie entsprechend den Bestimmungen des Datenschutzrechts" zu behandeln. Doch dessen Bestimmungen wurden hier sträflich missachtet. Im Datenschutzgesetz heißt es etwa, dass ein Unternehmen, das personenbezogene Daten "unter Einsatz von Datenverarbeitungsanlagen" erhebt, verarbeitet oder nutzt, diese entsprechend schützen muss. Das kann zum Beispiel geschehen, indem die Informationen verschlüsselt werden. Das war bei DSL on Air nicht der Fall. Hartmut Pohl, Professor am Institut für Informationssicherheit (Isit) der Fachhochschule Bonn-Rhein-Sieg, sieht daher in dem Vorfall einen "klaren Verstoß gegen das Datenschutzgesetz".