Nach facebook, Werder Bremen und der Hamburger Sparkasse, hat es diesmal die Alte Leipziger erwischt. Auf einem Server des Versicherungskonzerns standen Versicherungsanträge von ca. 3600 Versicherten in einem Unterverzeichnis ungeschützt und für Jedermann zum Download bereit.
Die frei verfügbaren Anträge wurden über einen Tarifrechner aufgenommen und enthielten vertrauliche und personenbezogene Daten wie z.B. Name, Geburtsdatum, Familienstand, Nationalität, Bankverbindung und Beruf.
Zwar hat die Versicherung nach Kenntnis des Datenlecks, dieses binnen weniger Stunden am Nachmittag des 19.08.2010 beseitigt. Dies kann jedoch nicht darüber hinweg täuschen, dass das Leck laut Unternehmensangaben bereits seit Jahresbeginn bestand.
Ein Konzernsprecher teilte mit, dass man als Konsequenz ein anderes Vermittlerportal nutzen und nun die
„regelmäßige Überprüfung der Zugriffsmöglichkeiten auf (…) Vermittlerportale (…) aufgrund dieses Anlasses vorgezogen“ wird.
Bemerkenswert ist, dass es der Alten Leipziger wohl gelungen ist, eine breite Berichterstattung in der Öffentlichkeit zu unterbinden. Dies verwundert umso mehr, als ein Unternehmen gem. § 42a BDSG verpflichtet ist, das Vorliegen eines Datenlecks
„(…)unverzüglich der zuständigen Aufsichtsbehörde sowie den Betroffenen mitzuteilen.“
Bei einer Vielzahl von betroffenen Personen kann diese Information durch Anzeigen, die mindestens eine halbe Seite in mindestens zwei bundesweit erscheinenden Tageszeitungen umfassen zu erfolgen, was einen selbstfinanzierten Imageschaden bedeuten würde. Bei einem Verstoß gegen diese Informationspflicht drohen gem. § 43 Abs.2, 3 BDSG Bußgelder bis zu 300.000 Euro. Daher scheint es nicht verwunderlich, dass vom Datenleck betroffene Personen zeitnah über diesen Vorfall informiert werden sollen.
Dieser Fall zeigt erneut, dass Unternehmen die genutzten IT-Systeme und den vorhandenen Datenschutzstandard erst dann verstärkt fokussieren, wenn es eigentlich schon zu spät ist.