1. echo24
  2. Leben
  3. Verbraucher

Kunden-Informationen offen im Netz: So erklärt Kaufland den Daten-Skandal

Erstellt:

Von: Dominik Jahn

Kommentare

Onlineshopping bringt für Verbraucher Gefahren mit sich. Kaufland sorgte neben anderen Händlern wie Otto oder Mediamarkt im Jahr 2021 für einen Daten-Skandal. Auch fast ein Jahr danach sollen betroffene Kunden noch immer nicht informiert worden sein.

Im Sommer 2021 sorgte ein bestimmtes Thema für einen riesigen Aufreger. Mittendrin Kaufland. Bestellinformationen, Telefonnummern, Postadressen und auch Bankverbindungen von Kunden wurden im Internet offengelegt - von rund 700.000 Nutzern schätzungsweise mehr als eine Million Datensätze. Ein massives Datenleck. Ein Daten-Skandal.

Dass der Online-Marktplatz bei Kaufland nicht ganz ohne Probleme funktioniert, zeigt auch der Nazi-Buch-Skandal, wie echo24.de berichtet hat. Von dem Datenleck waren damals aber TV-Sender ARD auch die Plattformen Otto, Mediamarkt, Check24, Tyre24, idealo, Hood und Crowdfox betroffen. Und wie eine Recherche der Sendung „Plusminus“ im Januar 2022 ergeben hat, wurden betroffene Kunden noch immer nicht informiert. Aufgedeckt wurde der ganze Fall von einem Programmierer. Doch was hat sich jetzt getan? Haben Kaufland und Co. reagiert? Wer trägt die Verantwortung?

Kaufland als Online-Marktplatz-Anbieter vom Datenleck betroffen

Zum Datenleck kam es laut Bericht auf den großen Online-Plattformen wie Kaufland, Otto oder Mediamarkt. Hier betreiben die Unternehmen sogenannte Marktplätze. Auf diesen bieten externe Händler Produkte an. Damit dies möglich ist, müssen die Händler, wie im ARD-Bericht beschrieben, über sogenannte Schnittstellen-Dienstleister ihr Warenwirtschaftssystem mit dem Online-Marktplatz verbinden.

UnternehmenKaufland
HauptsitzNeckarsulm
Gründung1984 in Neckarsulm
Umsatz21 Milliarden Euro (2019)

Die Plattformen von Kaufland und Co. stellen dafür „Schnittstellen zur Verfügung. Daran können die Dienstleister andocken“. Dem Artikel zufolge gibt es etwa ein dutzend solcher Schnittstellen-Dienstleister in Deutschland - bei einem kam es zum Datenleck.

Datenleck: Kaufland sieht keine Schuld beim eigenen Unternehmen

Auf die „Plusminus“-Recherchen hatten die Verantwortlichen der betroffenen Unternehmen die Anschuldigungen klar von sich gewiesen. So gab es vom Lebensmittel-Riesen aus der Schwarz-Gruppe eine klare Ansage an die betroffenen Kunden. Kaufland erklärte gegenüber „Plusminus“: „Als Marktplatz sind wir Vermittler zwischen Kunden und Händlern. Die Händler sind direkte Vertragspartner der Kunden. Sie sind für den Schutz der Kundendaten verantwortlich.“

Zudem werde von den Plattformen darauf hingewiesen, dass sie datenschutzrechtlich für die Marktplätze nicht verantwortlich sind. Damals bezeichnete der Landesdatenschutzbeauftragte von Baden-Württemberg, Stefan Brink, den Vorgang gegenüber der ARD als „schwerwiegend und skandalös“. Doch was hat sich bis zum Oktober 2022 getan?

Kaufland, Otto und Co.: Datenschutz-Experten äußern sich auf echo24.de-Nachfrage

Beim Bundesverband der Verbraucherzentrale hat man sich in den vergangenen Monaten zumindest nicht mit den Problemen der Kunden beschäftigt. Auf Nachfrage von echo24.de, ob bekannt sei, inwieweit Kaufland, Otto und Co. inzwischen die Betroffenen informiert hätten, heißt es nur: „Dank für Ihre Anfrage. Leider liegen uns dazu keine Erkenntnisse vor.“

Beim Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg verweist man auf die Kollegen in Nordrhein-Westfalen (NRW). Hier werde die Bearbeitung demnach „zentral“ vorgenommen. Auf echo24.de-Nachfrage heißt es dort: „Durch mangelhafte Sicherheitsarchitektur konnten Kunden von Modern Solutions an Zugangsdaten der zentralen Datenbank gelangen. Mit den Zugangsdaten konnten alle Bestelldaten und zum Teil auch Bezahldaten von Endkunden der Online-Händler eingesehen werden.“

Ob Kaufland, Otto und Co. hätten entsprechend reagieren müssen, dazu lautet die Antwort der Experten: „Die Ursache für die Datenschutzproblematik liegt nach unserer Einschätzung bei Modern Solutions, da es sich um einen Mangel einer technischen und organisatorischen Maßnahme nach Art. 32 Datenschutz-Grundverordnung (DS-GVO) handelt, die im Verantwortungsbereich von Modern Solutions als Auftragsverarbeiter lag.“

Kaufland reagiert mit Stellungnahme zum Datenleck

Und auch Kaufland hat auf eine Anfrage unserer Redaktion reagiert. Der Lebensmittel-Riese hat dabei umfangreich Stellung genommen zu dem Daten-Skandal. In der uns vorliegenden Mitteilung heißt es: „Die Sicherheit und der Schutz von Kundendaten haben für uns oberste Priorität. Wir tun alles dafür, um die Sicherheit dieser Daten zu gewährleisten.“ Bei dem Fall handele es sich laut Kaufland „um einen Ethikhack“, wodurch es zu laut Unternehmen aber „zu keinem Datenmissbrauch“ kam.

Umgehend nach Bekanntwerden des Vorfalls hatte ein externer Datenschutzbeauftragter von Kaufland „diesen überprüft“: Ein Sprecher des Unternehmens erklärt: „Seitens Kaufland.de bestand damals keine Meldepflicht gegenüber Kunden oder Behörden. Die Händler hatten wir unmittelbar über den Vorfall informiert, da sie in diesem Zusammenhang als Nutzer der Schnittstelle und Vertragspartner des Schnittstellenanbieters verantwortliche Stelle waren.“

Außerdem betont Kaufland in seiner Stellungnahme zum Datenleck erneut, dass „man als Marktplatzbetreiber Vermittler zwischen Kunden und Händlern sei“. Die Händler sind demnach die direkten Vertragspartner der Kunden. Sie sind für den Schutz der Kundendaten verantwortlich und haben sich zur DSGVO-konformen Datenverarbeitung verpflichtet. Sollten Händler demzufolge Kundendaten nicht entsprechend nutzen, würde Kaufland entsprechende Konsequenzen ziehen und diese Händler sperren. Bis zur Klärung des Sachverhaltes war das betroffene System laut Kaufland zudem nicht weiter genutzt worden.

Kaufland nicht verantwortlich: Datenschutzbeauftragter klärt auf

Auch beim Landesbeauftragten für Datenschutz und Informationsfreiheit NRW sieht man die Ursache für die Datenschutzproblematik bei Modern Solutions. Dazu heißt es: „Als Auftragsverarbeiter ist Modern Solutions seinen Pflichten nach Art. 33 Abs. 2 DS-GVO nachgekommen und hat die Online-Händler, die sein Angebot genutzt haben, über die Datenpanne informiert. Die betroffene Datenbank wurde offline genommen und die Sicherheitsarchitektur überarbeitet“.

Damit ist der Sachverhalt aus Sicht der Behörde „aufgeklärt“: „Maßnahmen gegenüber verantwortlichen Online-Händlern in unserer Aufsichtszuständigkeit sind abgeschlossen. Soweit andere Aufsichtsbehörden zuständig sind, haben wir diese informiert.“ Auf Nachfrage bestätigten die Experten zudem: „Kaufland hat nach unserer Kenntnis im Rahmen der Plattform nicht den Schnittstellen-Dienstleister angeboten. Sollte Modern Solutions Auftragsverarbeiter für Kaufland gewesen sein, wäre auch Kaufland datenschutztechnisch verantwortlich. Das ist nach unserer Kenntnis aber nicht der Fall.“

Auch interessant

Kommentare