BR24 Logo
BR24 Logo
Startseite

Millionen-Datenleck bei Gastronomie-Dienstleister | BR24

© Arne Meyer-Fünffinger/BR

Millionen-Datenleck bei Gastronomie-Dienstleister

84
Per Mail sharen
  • Artikel mit Audio-Inhalten

Millionen-Datenleck bei Gastronomie-Dienstleister

Abwicklung von Reservierungen, Daten zur Corona-Nachverfolgung – ein Restaurant-Dienstleister hat sensible persönliche Angaben im Internet nicht ausreichend geschützt. Betroffen davon sind nach Recherchen von BR und NDR auch Spitzenpolitiker.

84
Per Mail sharen

Auf das Datenleck stoßen Mitglieder des Chaos Computer Clubs (CCC) per Zufall vor wenigen Wochen bei dem Besuch einer Kneipe, in der die Gäste digital Bestellungen aufgeben können. Die Gruppe hat Laptops dabei und findet in kürzester Zeit eine Sicherheitslücke. "Nach einer Stunde konnten wir einfach an jedem andern Tisch Essen bestellen, und dann haben wir weitergesucht, was wir noch alles finden können", sagt Sophie Bertsch vom CCC. Sie gehört dem "Chaos Emergency Response Team" des Clubs an.

Und die stößt in der Folge auf weitere Daten: Nach eigenen Angaben finden sie zum Beispiel Covid-Kontaktlisten mit mehr als 87.000 Einträgen von Restaurantbesuchern in Deutschland und der Schweiz: Name, Anschrift, Handynummer, zum Teil mit Angabe von Begleitperson und der Nummer des Tisches, an dem die Betroffenen gesessen haben.

Schnell und einfach, aber wohl nicht sicher – digitale Corona-Listen

Im Zuge der Corona-Pandemie haben IT-Dienstleister unkomplizierte Lösungen entwickelt – zum Beispiel die Firma Gastronovi. Das System des Bremer Unternehmens funktioniert so: Mit Hilfe eines per Smartphone eingescannten QR-Codes lassen sich die notwendigen Angaben Online eintragen. Für den Fall, dass in dem Lokal ein Corona-Ausbruch festgestellt wird, können die Gesundheitsämter die Gäste schnell nachverfolgen.

Offensichtlich hat Gastronovi die so erhobenen Daten aber nicht ausreichend geschützt. "Es gab keine Sicherungsmaßnahmen im System selbst. Das bedeutet, wir konnten zum Beispiel sagen, wir sind der Systemadministrator, und das System hat uns das geglaubt", sagt Sophie Bertsch vom CCC.

Über vier Millionen Einträge einsehbar – auch aus Bayern

Mit der Konsequenz, dass der CCC nicht nur die Covid-Kontaktdatenbank einsehen konnte, sondern auch weitere Daten, die sogar bis ins Jahr 2011 zurückreichen: insgesamt über vier Millionen Adress- und Reservierungseinträge von Restaurants in ganz Deutschland. Auch Betriebe in Bayern sind betroffen, darunter Cafés und Restaurants in Augsburg, Schweinfurt, München und ein Hotel in der Nähe von Ingolstadt.

Reporterinnen und Reporter von BR Recherche/BR Data und NDR konnten die Erkenntnisse des CCC durch Stichproben verifizieren. Gastronovi hat auf Anfrage bestätigt, dass die Systeme anfällig gewesen sind. Es habe sich um "Sicherheitsschwachstellen" gehandelt, diese seien zwischenzeitlich geschlossen. Gastronovi erklärte, dass "kein unautorisierter Zugriff" auf die Daten stattgefunden habe.

Auch Spitzenpolitiker in den Datenbanken

Spitzenpolitiker sind ebenfalls in den Daten zu finden, zum Beispiel Bundesgesundheitsminister Jens Spahn und SPD-Generalsekretär Lars Klingbeil, deren Büros jeweils Reservierungsanfragen gestellt haben. Die Politiker wollten sich zu dem Vorfall nicht weiter äußern.

Den Bundestagsabgeordneten der Grünen aus München, Dieter Janecek, trifft das Thema gewissermaßen doppelt: Er ist Mitglied des Digital-Ausschusses und sein Name findet sich ebenfalls in den Daten. Janecek hält die Menge an offensichtlich nicht ausreichend gesicherten Daten für "erschreckend". Im Interview mit BR und NDR sagte er: "Wenn man über Monate nachvollziehen kann, wer mit wem wo im Restaurant gegessen hat, dann hat das Züge eines Überwachungsstaats." Zwar wolle jeder die "Bequemlichkeit der Digitalisierung", aber gleichzeitig müsse der Datenschutz gewährt bleiben.

Gastronovi betonte, die "Datenhoheit" liege "ausschließlich bei unseren Kunden". Die Restaurants seien auch dafür verantwortlich, alte Einträge zu löschen. Als "Auftragsdatenverarbeiter erheben, speichern oder verarbeiten wir keinerlei globale Gästeprofile", teilte ein Sprecher der Firma mit.

Bundesdatenschutzbeauftragter: Mit Daten Verhaltensmuster erkennbar

Für Ulrich Kelber, Bundesbeauftragter für Datenschutz, greift das zu kurz. "Wenn ein Dienstleister für die Gastronomie das Einlagern der Daten anbietet, dann sollte es vielleicht auch Teil der Dienstleistung sein, die Daten danach zu löschen", so Kelber im Interview. In der Corona-Verordnung sei das klar geregelt. "Es sind Daten in der Datenbank gewesen, die längst hätten gelöscht werden müssen", sagte Kelber. Er spricht von einem "großen Datenschutzproblem". Und solche Daten gehörten grundsätzlich nicht in falsche Hände, denn: "Das Offenbaren von solchen Aufenthaltsdaten von Bürgerinnen und Bürgern ist ein großes Problem, weil man damit Verhaltensmuster erkennen kann."

Die für das Unternehmen zuständige Datenschutzbehörde in Bremen teilte schriftlich mit, sie sei über den Vorfall informiert. Es gebe allerdings noch weiteren Klärungsbedarf. Gastronovi hat inzwischen die Kunden über den Vorfall informiert. Auf seiner Internetseite wirbt das Unternehmen weiter für seine Corona-Datenerfassung – sie sei datenschutzrechtlich 100 Prozent konform und sicher.

"Darüber spricht Bayern": Der neue BR24-Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!