• Drucken
• Senden
• Feedback

27.08.2010

Berlin - "Ihre Kundendaten werden wir nicht an Dritte zu Werbezwecken weitergeben" - den Standardsatz bekommen Kunden zu sehen, die bei Schlecker online einkaufen wollen. Doch trotz der netten Worte waren die Daten von rund 150.000 Schlecker-Kunden keineswegs sicher, sie waren frei im Internet zugänglich.

Eine peinliche Panne, die Datenschützer und Politiker empört.

Vor allem Bundesjustizministerin Sabine Leutheusser-Schnarrenberger (FDP) kritisiert die Drogeriekette scharf. "Der laxe Umgang mit Beschäftigten- und Kundendaten" müsse nun endlich ein Ende haben, sagte sie SPIEGEL ONLINE. "Schlecker war schon in der Vergangenheit mehrfach wegen Datenschutzpannen in den Schlagzeilen, unter anderem wurden Mitarbeiter heimlich mit Kameras aufgenommen." Sie rate allen Kunden, "sehr sorgsam mit der Preisgabe persönlicher Daten umzugehen".

Wegen einer Sicherheitslücke konnten die Kundendatensätze bis Donnerstag im Internet abgerufen werden. Dazu gehörten der Vor- und Nachname, die Adresse, das Geschlecht, die E-Mail-Adresse und das Kundenprofil. Außerdem waren 7,1 Millionen E-Mail-Adressen von Newsletter-Kunden der Drogeriefirma abrufbar. Darüber hatte zuerst die "Bild"-Zeitung berichtet.

Der Zugang zu den Daten war von jedem gewöhnlichen PC möglich. Der für die Panne verantwortliche Online-Dienstleister der Drogeriekette hatte dem Bericht zufolge auch das Finanzministerium, den Versicherungskonzern Allianz, das Bundesverwaltungsgericht und den SPD-Parteivorstand als Kunden.

"Fünf Minuten, um an die Daten zu kommen"

Schlecker bestätigte SPIEGEL ONLINE die Angaben. Ein Sprecher sagte, die Sicherheitslücke sei umgehend geschlossen worden. Außerdem würden die betroffenen Kunden bald informiert. Hochsensible Informationen wie Kontonummern oder Passwörter seien durch die Panne jedoch nicht öffentlich geworden, hieß es bei Schlecker.

Mittlerweile erstattete das Unternehmen mit Sitz im baden-württembergischen Ehingen Anzeige gegen Unbekannt. Der illegale Zugriff auf die Daten sei offenbar durch einen "internen Angriff" möglich geworden, hieß es.

Der Mainzer Internet-Unternehmer Tobias Huch, der das Datenleck über "Bild.de" öffentlich machte, sagte hingegen, die Informationen seien für technisch Versierte offen erreichbar gewesen. "Wir haben nichts gehackt, wir haben nicht gegen das Gesetz verstoßen", sagte Huch der Nachrichtenagentur dpa. Er habe am Donnerstagmorgen etwa fünf Minuten gebraucht, um an die Daten zu kommen.

Daten vernichtet

Huch räumte aber ein, dass gewöhnliche Computernutzer kaum auf die Schwachstelle gestoßen wären. Er habe umgehend die Behörden informiert - das Unternehmen allerdings nicht. Am Freitag hätten Vertreter des rheinland-pfälzischen Datenschutzbeauftragten und des Innenministeriums von Baden-Württemberg die Daten auf den Computern von Huchs Firma ordnungsgemäß vernichtet, sagte er.

Die Drogeriekette betont, das Datenleck sei nicht direkt im Schlecker-Onlineshop aufgetreten, sondern bei einem externen Dienstleister. Nach ersten Erkenntnissen habe es vermutlich nur wenige unbefugte Zugriffe auf die von Schlecker gesammelten Informationen über ihre Online-Kunden gegeben, hieß es.

Der Datenschutz-Landesbeauftragte Edgar Wagner berichtete in Mainz, das Sicherheitsleck sei offenbar beim Mail-Versand bei dem von der Drogeriekette betrauten Dienstleister entstanden.

Der Datenschützer äußerte seine grundsätzlichen Sicherheitsbedenken im Umgang mit Kundendaten: "Die Unternehmen müssen sich bewusst werden, dass mit der Nutzung des Internets für Unternehmenszwecke Datenschutz-Risiken verbunden sind, die bereits bei bei der Planung von Geschäftsprozessen beachtet werden müssen", mahnte er. "Datenschutz im Unternehmen ist keine lästige Pflicht, sondern Voraussetzung für ein erfolgreiches Agieren im Netz."

Viele Firmen verlieren Daten

Für Schlecker ist die erneute Panne sehr unangenehm, da die Drogeriekette bereits in den vergangenen Jahren immer wieder für Negativschlagzeilen sorgte. So überwachte die Tochter Ihr Platz Mitarbeiter mit Kameras. Außerdem wurde bekannt, dass Schlecker zur Gewinnmaximierung billige Leiharbeitskräfte beschäftigte.

Das Problem des laxen Umgangs mit Daten geht allerdings weit über Schlecker hinaus. So zeigte vor kurzem eine Untersuchung der Unternehmensberatung Accenture, dass bei fast 70 Prozent der deutschen Unternehmen und Behörden in den vergangenen zwei Jahren Daten von Kunden und Mitarbeitern abhandengekommen sind. Fast ein Drittel hatte in dem Zeitraum sogar sechsmal oder häufiger Daten verloren.

Immer wieder waren Konzerne auch in Datenskandale verwickelt. So gerieten in den vergangenen Jahren neben dem Discounter Lidl und dem Autohersteller Daimler pikanterweise auch die staatsnahen Konzerne Bahn und Telekom in die Schlagzeilen. Bei den Skandalen ging es unter anderem um geheime Kameras an Kassen und in Umkleiden, ausgespähte Mails von Mitarbeitern, systematische Kontrolle privater Kontoinformationen, Bluttests bei Bewerbern und einiges mehr.

Deshalb hat das Bundeskabinett in dieser Woche ein neues Datenschutzgesetz für Arbeitnehmer verabschiedet. Ob dieses den Missbrauch jedoch wirksam bekämpft, ist zweifelhaft.