Am 28. Juni hat es den Bundesligisten Werder Bremen erwischt: Etwa zwei Stunden lang konnten Daten von knapp 35.000 Mitgliedern eingesehen werden. Darunter nicht nur Daten wie Name und Adresse, sondern auch Geburts- und Kontodaten.
Laut Weser-kurier.de
„war am Montag im Newsletter ein Link auf eine Fotodatei eingebunden, die das (noch größtenteils verdeckte) neue Werder-Trikot zeigte. Über den Link konnte man aber nicht nur die Fotodatei öffnen, sondern aufgrund einer fehlenden Sicherung auch auf den Server des Dienstleisters von Werder Bremen gelangen.“
Doch ganz so harmlos wie der Verein den Vorfall darstellen möchte, ist er tatsächlich nicht: Immerhin gab es 14 Kontakte auf den Server, die Werder allerdings als eher zufällig abtat. Doch die Kenntnis von fremden Kontoverbindungen ermöglicht den Zugriff auf das jeweilige Konto – etwa per Lastschrift. Die betroffenen Mitglieder sind also gut damit beraten, ihre Kontostände regelmäßig zu überprüfen.
Erst fünf Tage nach dem Vorfall habe der Verein beschlossen, die Mitglieder über den Vorfall zu unterrichten. Und dass, obwohl es mittlerweile nach § 42 a BDSG eine besondere Informationspflicht gibt, wonach sowohl die Aufsichtsbehörde als auch der Betroffene über einen derartigen Vorfall zu unterrichten ist. Dem Gesetzeswortlaut nach
„tritt an Stelle der Benachrichtigung der Betroffenen, soweit diese einen unverhältnismäßigen Aufwand erfordern würde, insbesondere aufgrund der Vielzahl der betroffenen Fälle, die Information der Öffentlichkeit durch Anzeigen, die mindestens eine halbe Seite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch eine andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleich geeignete Maßnahme.“
Eine solche Anzeige konnte man bisher nicht finden, obwohl dies bei der Vielzahl der Betroffenen wohl nötig gewesen wäre. Aber immerhin prüft jetzt die Landesdatenschutzbeauftragte Bremen den Vorfall. Ob das den letztlich zu spät informierten Betroffenen noch hilft, erscheint fraglich.