Datenschutz-Akademie » Datenschutz-News » Diebe entwenden Kundendaten eines Handwerksbetriebes
Diebe entwenden Kundendaten eines Handwerksbetriebes
Am 30. Januar 2019 wurde in Halle (Saale) eine Goldschmiedin brutal überfallen. Neben den Schmuckstücken erbeuteten die Räuber auch Kontaktdaten zahlreicher Kunden des Handwerksbetriebes.
SZENARIO: DIEBE ENTWENDEN KUNDENDATEN BEI EINER GOLDSCHMIEDIN IN HALLE.
Eine Kundin berichtet:
»Gestern las ich zufällig einen Artikel in der Zeitung über einen überfallenen Juwelierladen in Halle Saale. Ich dachte: „Moment mal! Den Namen kennst du doch!“
Das war tatsächlich die Goldschmiedin, bei der ich gerade mehrere Stücke in die Aufarbeitung gegeben hatte. Ich zögerte nicht lange und rief sie an. Am Telefon erklärte mir die aufgeregte Inhaberin, dass bei dem Raubüberfall alle Schmuckstücke aus dem Tresor, inklusive der darauf geschriebenen Kundendaten entwendet wurden.
Ich war geschockt. Sie erklärte mir darüber hinaus, dass sie es zwar der Polizei und ihrer Versicherung gemeldet hätte, ich solle meine Versicherung aber vorsorglich auch informieren und den Schaden melden. Das tat ich.
Ich rief gleich meine Freundin an, die ebenfalls Schmuck in Auftrag gegeben hatte. Sie machte sich zwar Gedanken über den verloren gegangenen Wert des Schmucks, war aber viel besorgter über ihre Daten, die die nun im Besitz des Diebes waren. Name, Anschrift, Telefonnummer – all diese Informationen waren zusammen mit dem Schmuck verwahrt.
Außerdem wollten meine Freundin und ich morgen gemeinsam in den Urlaub fahren. Aber konnten wir überhaupt unsere Häuser unbeaufsichtigt lassen? Oder würden unsere Daten eventuell für den nächsten Streifzug des Diebes genutzt?
Unbehagen machte sich breit. Dazu erklärte mir meine Versicherung, dass sie nicht für den Schaden eintreten würde. Die Polizei sagte mir, man würde meine Sicherheit im Auge behalten. Aber was hieß das? Dass ein Beamter mein Haus bewachen würde? Wohl eher nicht. Ich fühlte mich allein gelassen.
Obwohl ich meine Daten nicht unbedacht online verwendet hatte, bekam ich nun die Auswirkungen von Datendiebstahl zu spüren. Ich musste die Erfahrung machen, dass Datensicherheit nicht nur Online-Shops oder Soziale Medien betrifft, sondern alle Aspekte des Alltags.
Denn Jede Person, der ich meine persönlichen Daten anvertraue, hat für diese Sorge zu tragen. Da stellt sich die Frage: Wie hätte der Datendiebstahl verhindert werden können? Wie schnell hätte man mich in Kenntnis gesetzt, wenn ich nicht selbst auf den Vorfall in der Presse gestoßen wäre?
Muss Datensicherheit nicht gesetzlich geregelt sein? Das sind alles Fragen, die mich in dieser Nacht beschäftigten. Schließlich entschieden wir uns zwar dafür den Urlaub anzutreten, das ungute Gefühl fuhr jedoch mit.«
Externer Datenschutzbeauftragter
Gern können Sie uns als externen Datenschutzbeauftragten (DSB) bestellen. Wir bieten auch einzelne Beratungsleistungen sowie Audits an und erstellen Ihnen gern ein unverbindliches Angebot. Mehr Informationen zu unseren externen Datenschutzbeauftragten finden Sie auf unserer Website.
Das sagt Robin Data dazu:
In diesem Fall scheint auf den ersten Blick für den Datenschutz genügend getan worden zu sein: Die Kundendaten wurden gemeinsam mit den Schmuckstücken in einem Tresor aufbewahrt.
Aber das echte Leben hat leider in Form eines gemeinen Raubüberfalls zugeschlagen. Der Täter hat offensichtlich die Goldschmiedin ausgespäht und genau in dem Moment zugeschlagen, als sie den Tresor öffnete.
Aber auch wenn der Tresor geschlossen gewesen wäre, hätte die Bedrohung mit einer Waffe sicher dafür gesorgt, dass der Tresor geöffnet worden wäre.
„Das ist höhere Gewalt!“ könnte man nun sagen. Aber: das Datenschutzrecht gibt einen einfachen Hinweis, wie man die in diesem Fall die zwar nicht rechtlich aber moralisch sensiblen Kundendaten hätte schützen können.
Empfehlung
Das anzuwendende Prinzip nennt sich „Pseudonymisierung“ und wird im Kontext der Sicherheit der Verarbeitung von personenbezogenen Daten nach Artikel 32 DSGVO vom Gesetzgeber gefordert, wann immer es verhältnismäßig umsetzbar ist.
Pseudonymisierung bedeutet, dass Merkmale die eine Person identifizieren auf einem Datenträger durch ein „Pseudonym“ (z. B. Code) ersetzt werden, die dann Identifikation der Person deutlich erschweren. Derjenige der die Zuordnung von Code und personenbezogenem Datum kennt, kann diese Operation rückgängig machen.
Die Anwendung dieses Prinzips wäre auch im Fall der Goldschmiedin sinnvoll gewesen!
Ein gutes Pseudonym für den Fall der Goldschmiedin wäre die Kundennummer gewesen. Legt diese im Tresor die Schmuckstücke nur mit einem Vermerk der Kundennummer ab, sind diese bei einem Raub zwar die Schmuckstücke verloren, aber die Kundenadressen sind weiterhin sicher.
Diese Kundendaten sind idealerweise in einem gut geschützten Kundenverwaltungsprogramm gespeichert und mit einem sicheren Passwort versehen. Der Dieb müsste dann in diesem Fall weiteren erheblichen Aufwand betrieben, um neben den Schmuckstücken auch an die Kundenkartei zu kommen.
Fazit
Manchmal helfen ganz einfach Methoden, Datenschutz praktisch und auch für Extremsituationen sicher umzusetzen.
- Internes Kontrollsystem - 10. September 2024
- TISAX-Anforderungen: Schritt für Schritt Zertifizierung vorbereiten - 8. Januar 2024
- Audit-Management: Audits effizienter umsetzen - 26. Oktober 2023