Aufgrund von Sicherheitslücken eines Softwareanbieters für Restaurants konnten Millionen personenbezogene Daten im Internet abgerufen werden. Unter anderem waren unter den Daten auch digitale Corona-Kontaktverfolgungsformulare.
Der Chaos Computer Club hat diese Lücken eines großen, deutschen Anbieters für Gastronomie Software entdeckt. Die Firma Gastronovi wickelt jeden Monat ca. 600.000 Tischreservierungen für Restaurants ab, bietet digitale Kontaktvefolgungsformulare und verarbeitet nach eigenen Angaben 96 Millionen Euro Restaurantumsatz. Die daraus gewonnenen, sensiblen Daten schaffen Einblicke in Aufenthaltsmuster der betroffenen Gäste.
Der CCC (Chaos Computer Club) fand über vier Millionen Adress- und Reservierungseinträge aus den letzten neun Jahren. Hierunter waren alleine 87.000 Einträge aus den Corona-Kontaktverfolgungsformularen.
Der CCC erklärt in seiner Zusammenfassung, dass ein administrativer Zugriff mit den einfachsten Mitteln möglich war. So bestand auch die Möglichkeit Nutzerdaten und Berechtigungen zu verändern.
Unter den Reservierungsanfragen sind auch etliche Einträge von Spitzenpolitikern gespeichert. So konnte zum Beispiel nachvollzogen werden, dass sich ein SPD-Abgeordneter am 15. Juli um 12:33 mit einer Parteigenossin in einem Café traf. Seine private Wohn- und E-Mailadresse konnten ebenfalls abgerufen werden. Auch Daten von Gesundheitsminister Spahn und SPD-Generalsekretär Lars Klingbein konnten eingesehen werden. Die Politiker wollten sich hierzu aber nicht weiter äußern.
Der Grünen-Bundestagsabgeordnete Dieter Janecek, ebenfalls in den Daten, sagte auf Anfrage von BR und NDR, man müsse Datenschutzverstöße hart ahnden. „Wenn man über Monate nachvollziehen kann, wer mit wem wo im Restaurant gegessen hat, dann hat das Züge eines Überwachungsstaats“, so Janecek. Zwar wolle jeder die „Bequemlichkeit der Digitalisierung“, aber gleichzeitig müsse der Datenschutz gewährt bleiben.
Gastronovi betonte, die Datenhoheit liege „ausschließlich bei unseren Kunden“. Die Restaurants seien auch dafür verantwortlich, alte Einträge zu löschen. Als „Auftragsdatenverarbeiter erheben, speichern oder verarbeiten wir keinerlei globale Gästeprofile“, teilte ein Sprecher der Firma mit.
Sophie Betsch vom CCC erklärt, dass Restaurantbesitzer besser auf Blatt und Papier setzten und die Unterlagen nach Aufbewahrungsfrist selbst vernichten sollten.
Datenschützer Kelber verlangt von den Dienstleistern, auch die Verantwortung für das Löschen der Daten zu übernehmen. Ulrich Kelber, Bundesbeauftragter für Datenschutz, reicht die Aussage von Gastronovi nicht. „Wenn ein Dienstleister für die Gastronomie das Einlagern der Daten anbietet, dann sollte es vielleicht auch Teil der Dienstleistung zu sein, die Daten danach zu löschen“, so Kelber. In der Corona-Verordnung sei das klar geregelt. „Es sind Daten in der Datenbank gewesen, die längst hätten gelöscht werden müssen“, sagte Kelber. Er spricht von einem großen Datenschutzproblem.
Seiner Erfahrung nach sei es grundsätzlich oft so, dass „Aufbewahrungsfristen viele überhaupt nicht interessieren“ und dass es in Unternehmen „weder Löschkonzepte gibt, noch dass sich um die Daten gekümmert wird“, so Kelber. Er hofft auf die Signalwirkung von hohen Bußgeldern: „Damit das Teil der Kalkulation aller Anbieter wird. Also nicht nur: Was kostet es mich, die Daten zu speichern, sondern auch was kostet es mich, wenn ich mich nicht um den Schutz dieser Daten kümmere?“