Keine direkte Information der Betroffenen durch Buchbinder?

Nach einem Beitrag auf PC Welt vom 27.1.2020  unter der Überschrift: "Autovermietung Buchbinder: Leak-Opfer werden nicht direkt informiert" sollen nach Anfrage von PC Welt die Betroffenen nicht direkt von Buchbinder kontaktiert werden. Es wurde auf die offizielle Stellungnahme verwiesen.

Es erscheint nach aktuellem Kenntnisstand schwer vorstellbar, dass Buchbinder an dieser Auffassung festhält, als Art. 34 DSGVO eine Benachrichtigung gebietet. Nach Art 34 DSGVO muss, wenn "die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge" hat. Bereits vor dem Hintergrund, dass selbst nach der kurzen Stellungnahme von Buchbinder insbesondere "Mietwagenverträge, Namen, E-Mail-Adressen, Telefonnummern und Postanschriften" zugänglich gemacht worden sind, und sich hier die realistische Gefahr unter anderem von gezielten Phishing Attacken aufdrängt, besteht ein hohes Risiko für die persönlichen Rechte und Freiheiten. 

Das sieht auch Buchbinder so und verfasste in der Stellungnahme.einen Zusatz gemäß Artikel 34 DSGVO:

Gemäß der Datenschutzgrundverordnung müssen wir über diese Datenverletzung informieren. Dieser Verstoß betrifft die Identität unserer Kunden, die Kontaktdaten (einschließlich E-Mail- und physischer Adressen), Informationen über ihre Anmietung (einschließlich der Führerscheindaten) sowie die während der Anmietung entstandenen Schäden oder Unfälle. Dokumente im Zusammenhang mit Schäden und Unfällen
(einschließlich der beteiligten Personen) wurden ebenfalls der Datenbank beigefügt. Diese Dokumente konnten Bankinformationen der Anbieter wie z.B. die Kontonummer enthalten, insbesondere für Anbieter von Autowartung und -reparatur. Darüber hinaus wurden auch
Namen, Logins und Passwörter von Buchbinder-Mitarbeitern gespeichert. Diese Datenverletzung könnte möglicherweise Folgen für die betroffenen Personen haben: Sie könnten insbesondere unerwünschte oder Phishing-E-Mails erhalten, einige Informationen über sie könnten aufgedeckt und von böswilligen Personen zum Identitätsdiebstahl verwendet werden. Um die Folgen dieser Datenverletzung zu beheben und abzuschwächen, haben wir folgende Maßnahmen ergriffen: Wir haben die zuständige Datenschutzbehörde benachrichtigt, den Server neu konfiguriert, um jeglichen Zugriff auf die Datenbank zu verhindern, alle Systeme zur Verhinderung jeglicher Schwachstelle gescannt, die entsprechenden Sicherheitsmaßnahmen getroffen und Datensicherheitsexperten beauftragt, uns bei der Verhinderung weiterer Vorfälle zu unterstützen. Alle Buchbinder-Kunden, die Fragen oder Wünsche bezüglich ihrer persönlichen Daten haben, können uns eine E-Mail an datenschutz@buchbinder.de senden

Zunächst finde ich es sonderbar, dass in dem "Zusatz", deutlich detailreicher über möglicherweise vorgehaltene Daten berichtet wurde, als in der eigentlichen Stellungnahme. Man ist geneigt, die Stellungnahme nach der Entschuldigung und der gelobten Besserung als erledigt zu betrachten. Von Kontonummern und Passwörtern steht darin nichts. Das findet sich erst in dem kursiv abgesetzten Zusatz.  Dieser Zusatz ist auch keine Benachrichtigung im Sinne der DSGVO, als der Link selbst auf der Webseite schnell übersehen werden kann und nur die Betroffenen überhaupt erreichen kann, die gerade jetzt auf die Webseite des Unternehmens gehen. Der Link ist auf dem PC auch nur zu lesen, wenn man nach unten scrollt auch bei einem Besuch der Webseite über das Handy muss erst gescrollt werden. Bei News und Pressemitteilungen ist der Beitrag auch nicht hinterlegt (Stand 28. Januar 2020 13:36 Uhr). 

Eine der Ausschlussgründe nach § 34 Abs. 3 DSGVO welcher eine Benachrichtigung unterbleiben kann ist auch nicht gegeben, da die offengelegten Daten eben nicht verschlüsselt waren, das Risiko weiterhin besteht - auch wenn das Datenschutz-Leck jetzt geschlossen zu sein scheint und der Aufwand auch nicht  unverhältnismäßig ist, bzw. keine wirksame vergleichbare wirksame Information gegeben ist. Die Mitteilung auf der Webseite ist dafür wie oben dargestellt nicht ausreichend.

Das Verhalten von Buchbinder ist überraschend; bei einem derart eindeutigen Verstoß und der Vorgeschichte, wäre eigentlich zu erwarten, dass Buchbinder keine Kosten und Mühen scheut, um - auch wegen der drohenden Geldbuße - gut Wetter zu machen. Von der Strategie her, macht das  aktuelle Verhalten von Buchbinder für mich nur Sinn, wenn Buchbinder aktuell Kosten scheut, weil das Unternehmen ohnehin davon ausgeht ein sehr hohes Bußgeld zu zahlen und Beraterkosten und Kosten zur Beseitigung zu vermeiden sucht (dem schlechten Geld kein gutes hinterherwerfen). Ob das aber die richtige Strategie wäre, wage ich zu bezweifeln.