Kundendaten zugänglich: Datenpanne bei Schlecker

Berlin - Nach einer Datenpanne bei Schlecker hat das Drogerieunternehmen Anzeige gegen unbekannt erstattet. 150 000 Datensätze von Schlecker-Online-Kunden, die zu Werbezwecken gespeichert waren, seien für kurze Zeit online zugänglich gewesen, teilte das Unternehmen am Freitag im baden-württembergischen Ehingen mit.

„Unter den zugänglichen Daten waren keine hochsensiblen Kundendaten wie Passwörter, Kontonummern, Zahlungsdaten oder Bestellinformationen“, sagte ein Sprecher von Schlecker. Die Datensätze enthielten aber Mailadresse, Geschlecht, Namen und in einigen Fällen auch Postadressen. Das Leck sei nicht im Schlecker-Onlineshop selbst, sondern bei einem externen Dienstleister entstanden, sagte der Sprecher. Schlecker betonte zudem, dass die Daten nicht für jeden öffentlich einsehbar gewesen seien: „Um da ranzukommen, ist schon viel technisches Fachwissen nötig“, erklärte der Unternehmenssprecher. Es habe nur einige wenige unbefugte Zugriffe auf die Daten gegeben.

Nach Angaben des betroffenen OnlineDienstleisters Artegic aus Bonn, bei dem sich die Datenpanne ereignete, soll der illegale Zugriff auf die Daten durch einen „internen Angriff“ möglich geworden sein. „Es hat keine Sicherheitslücke gegeben, sondern jemand mit Zugang zum Server muss gezielt ein Programm installiert haben, das den Zugriff möglich gemacht hat“, erklärte Artegic, das für Schlecker den Newsletter versendet und zu dessen Kunden auch der SPD-Parteivorstand und einige Bundesministerien gehören. Schlecker und Artegic erklärten am Freitag, das Datenleck sei „umgehend“ geschlossen worden. Die betroffenen Kunden würden „schnellstmöglich umfassend“ informiert.

Datenschützer Tobias Huch, der das Leck entdeckte und öffentlich machte, sieht den Fall anders: „Durch die Daten war auch einsehbar, welche Newsletter der Kunde abonniert, ob er sich für Erotik oder Kinderpflegemittel interessiert“, sagte der Internetunternehmer aus Mainz dem Tagesspiegel. Es habe neben den 150 000 Datensätzen auch noch eine weitere Datei mit 7,1 Millionen E-Mailadressen von Newsletter-Kunden gegeben und eine Datei mit rund einer Million E-Mailadressen von Kunden, die keine Werbung erhalten wollten. Schlecker wollte diese Vorwürfe nicht bestätigen. „Dass der Angriff intern gewesen sein soll, halte ich für Unsinn“, erklärte Huch. Dennoch räumte er ein, dass gewöhnliche Computernutzer wohl eher nicht auf diese Sicherheitslücke gestoßen wären.

Mittlerweile haben sich auch die zuständigen Aufsichtsbehörden in den Fall eingeschaltet. „Es wird geprüft, ob in diesem Fall ein Bußgeld- oder Strafverfahren einzuleiten ist“, sagte Helmut Eiermann, Sprecher des Datenschutzbeauftragten von Rheinland-Pfalz. Die Daten seien sichergestellt worden. Doch Eiermann warnt: „Die Möglichkeit des Zugriffs auf Daten hat möglicherweise auch für andere Kunden des Dienstleisters bestanden.“ Artegic dementierte das: „Von diesem Vorfall war nur Schlecker betroffen. Andere Kundensysteme von uns oder deren Daten waren zu keinem Zeitpunkt im Zugriff oder gefährdet“, versicherte das Unternehmen. Jahel Mielke