Wieder Datenleck bei Lieferdienst

0
818
Die Firma Gorillas spreche "primitive Bedürfnisse der Kundinnen und Kunden" an, so Gründer Kağan Sümer. Ob daher der Firmenname rührt, kann nicht beantwortet werden. (Foto: BS/veverkolog, pixabay.com)

Nach dem Hamburger Lieferdienst Bringoo und dem Anbieter Flink aus Berlin, ist nun auch beim Berliner Start-Up Gorillas eine Sicherheitslücke bekannt geworden. Mitglieder des IT-Kollektivs “Zerforschung” entdeckten die Sicherheitslücken im System des Start-Ups und informierten das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Mehr als eine Millionen Bestelldaten von über 200.000 Kundinnen und Kunden des Lieferdienstes seien abrufbar gewesen, also die Daten aller, die jemals beim Unternehmen Produkte bestellt haben. “Maxi” von Zerforschung erklärte, dass persönliche Informationen wie Name, Telefonnummer, E-Mail-Adresse und sogar Lieferadresse zugänglich waren. Auch die bestellten Artikel konnten abgerufen werden. Da Gorillas nicht nur Lebensmittel, sondern auch Corona-Schnelltests, Schwangerschaftstests und Kondome anbietet, könnten Dritte Rückschlüsse nicht nur auf das Kaufverhalten, sondern auch auf die soziale Situationen ziehen. Vor genau diesem Problem warnt EU-Politiker Patrick Breyer (Piraten): “Was wir kaufen, wofür wir unser Geld ausgeben – das sind sehr sensible Informationen, die Rückschlüsse auf unser Privatleben zulassen, bis hin zu Lebenskrisen und Schwangerschaften.” Auch die fehlenden Sanktionen bei Meldepflichten kritisiert Breyer: “Meldungen wie diese, Berichte über Datenpannen, lesen wir ständig. Was mir fehlt, das sind wirksame Sanktionen, die dafür sorgen, dass ausreichend in IT-Sicherheit investiert wird. Da sind die Geldbußen zu selten und zu niedrig.”

Die europäische Datenschutzgrundverordnung (DSGVO) ermöglicht prinzipiell hohe Bußgelder, wenn personenbezogene Daten in Gefahr sind. Allerdings gestaltet sich die Umsetzung der Sanktionen “problematisch”, erklärt der Hamburger Landesdatenschutzbeauftragte Johannes Caspar. Sicherheitslücken müssen innerhalb von 72 Stunden den zuständigen Behörden gemeldet werden, nur wenn diese Frist verstreicht, können Bußgelder ausgesprochen werden. “Erfährt die Behörde jedoch durch eine Beschwerde Betroffener oder aus anderen Quellen von dem Fall, dürfen diese anderen Quellen genutzt werden” so der Landesdatenschützer. Gorillas teilte allerdings mit, dass zu keiner Zeit Kundendaten veröffentlich wurden und wandte sich bei Mail an die betroffenen Kunden. Ob Gorillas sich rechtzeitig an die zuständige Behörde gewandt hat, ist zum jetzigen Zeitpunkt nicht bekannt.

Kommentieren Sie den Artikel

Please enter your comment!
Please enter your name here