Tulip, Gustavo Gusto & Co.: Datenleck bei brand on fire (betrifft Gewinnspiele und GZG)

Datenleck bei einer Agentur von Gewinnspielen und sogenannten Geld-Zurück-Aktionen (Cashback-Aktionen). Der Hamburger Veranstalter brand on fire hatte einen Backup-Server offen zugänglich im Internet stehen, so dass Dritte die Daten der Teilnehmer einsehen konnten. Aufgefallen ist dies, weil Teilnehmer Excel-Dateien mit den Daten offen auf einem Server fanden und das Ganze im My Deals-Forum diskutierten. Betroffen sind Aktionen von Tulip und Gustavo Gusto.

Ich bin bereits gestern über eine Meldung des Spiegels (leider hinter einer Paywall) auf die Information gestoßen, dass es bei Tulip und Gustavo Gusto einen Datenschutzvorfall gab. Eine kurze Recherche brachte mich dann zum Forenbeitrag Datenleck bei brand on fire (diverse GZG und Gewinnspiele betroffen) auf My Deals. Die Plattform vermittelt solche Aktivitäten, bei denen Verbraucher an Deals, Geld-Zurück-Aktionen oder Gewinnspielen teilnehmen können. Voraussetzung ist dabei eine Registrierung der Teilnehmer bei den Ausrichtern der Aktionen.

Diverse Betroffene

Teilnehmer von solchen Aktionen stießen im Internet auf Dateien (Excel-Tabellen), in denen die Daten von Teilnehmern vermerkt waren. Inzwischen ist die Lücke geschlossen. Betroffen sind laut dieser Quelle Teilnehmer, die an Gewinnspielen und Aktionen folgender Unternehmen teilgenommen haben:

• Tulip Bacon
• Lavazza
• Elisabethen Quelle

Verantwortlich für dieses Datenleck ist die brand on fire Digital Matthias Wirges & David Jagalski GbR, die die betreffenden Aktionen wohl als Dienstleister für die Unternehmen abwickeln und dann dort auch die Teilnehmer verwalten. Teilweise wohl per Excel-Tabelle, die dann offen auf einem Backup-Server zu finden war.

Es ist auch noch Chocomel genannt, wobei dort eine gefundene Tabelle leer war. Der Veranstalter schreibt, dass Chocomel nicht betroffen sei. Zudem gibt es noch ein weiteres Datenleck vom 5.7.2023 bei Gustavo Gusto (siehe diesen Forenpost).

Hier  gibt brand on fire an, dass diese Marke kein Kunde sei – es muss wohl eine andere Stelle sein, wo das Datenleck auftrat. Laut dieser Zusammenfassung waren in den Datensätzen persönliche Angaben wie

• Vorname, Nachname
• Geburtsdatum
• IBAN (bei Cashback-Aktionen)
• E-Mail-Adresse

sowie die IP-Adresse und mutmaßlich auch Fotos von Kassenbons zu finden.

Bestätigung durch Veranstalter

Der Veranstalter, die brand on fire Digital Matthias Wirges & David Jagalski GbR, hat den Datenschutzvorfall eingeräumt und gibt an, die Datenschutzverstöße bei den Behörden sachgemäß und innerhalb der Frist gemeldet zu haben. An Kernaussagen lässt sich folgendes aus diversen Posts herausziehen:

• Betroffen vom Datenschutzvorfall sind ausschließlich die Marken TULIP, Elisabethen Quelle und Lavazza bzw. die Teilnehmer an den betreffenden Aktionen.
• In den 60.000 gefundenen Datensätzen sollen sich die Daten von 41.791 betroffene Person befunden haben. Die Diskrepanz ergibt sich aus Mehrfachanmeldungen, wo nur eine Person dahinter steht.
• Bei Lavazza ist ausschließlich eine Liste mit E-Mail-Adressen betroffen, bei TULIP und Elisabethen Quelle sind die Teilnahmedaten der Personen im Datenleck enthalten.

Bei Gustavo Gustav heißt es, dass nur neun Datensätze vom Datenleck betroffen seien. Bei dem Datenleck vom 11. Juli 2023 schreibt die verantwortliche Firma, dass man nach jetzigem Kenntnisstand davon ausgehen kann, dass die Daten von 40.436 Personen zwar abrufbar gewesen wären. Die Daten seien aber nur von der Person, die den Fehler gemeldet habe, und von niemandem sonst geöffnet oder heruntergeladen wurden seien. Das sei aus den Log-Files nachvollziehbar und betraf die laufende TULIP Gratis Testen-Aktion, sowie komplett alle Daten von Lavazza und der Elisabethen Quelle.

Von den Daten von 1.355 Personen aus der TULIP Gratis Testen-Aktion seien max. vier unberechtigten Zugriffen ausgesetzt gewesen, wobei es sich hierbei nach jetzigem Kenntnisstand ausschließlich um Zugriffe rund um die Aufdeckung des Fehlers handelt. Laut der Stellungnahme des Unternehmens gäbe es bisher keine Anzeichen dafür, dass Daten unberechtigt Heruntergeladen oder an Dritte Weitergegeben wurden. Nach aktuellem Wissensstand hätten nur Personen die Daten geöffnet, die dies zum Zwecke der Aufdeckung / Meldung des jeweiligen Fehlers getan haben. In diesem Forenpost findet sich aber der Post eines Nutzers, der die Angaben bezweifelt und folgendes ausführt:

@David dafür bin ich in der Lage, die Aussagen zu kommentieren:

>> Betroffen sind ausschließlich die Marken TULIP, Elisabethen Quelle und Lavazza

Falsch. Tatsächlich mit persönlichen Daten gefüllte Tabellen habe ich gefunden von:
– Elisabethen Quelle (Gewinnspiel) 04.05.2022 – 30.06.2022.
– Lavazza (Gewinnspiel) 06.01.2023 – 05.07.2023.
– Tulip (Cashback) 28.03.2023 – 05.07.2023.
– Gustavo Gusto (Gewinnspiel "Gewinnair") 15.05.2023 – 06.07.2023.
– Leibniz (Gewinnspiel) 10.01.2022 – 31.03.2022.
– Leibniz (Gewinnspiel "Back To School") 01.07.2023 – 06.07.2023.
– Pilot (Gewinnspiel "Back To School") 02.06.2023 – 05.07.2023.
– Rügenwalder (Gewinnspiel) 01.10.2022 – 06.12.2022.

Auch bezüglich der Mutmaßung zur Zahl der betroffenen Personen äußert sich diese Person. Er geht von wesentlich mehr als den oben grob zugestandenen "paar" Betroffenen aus, da die log-Dateien falsch oder unvollständig seien.

Das dicke Ende?

Inzwischen hat Kleinfee einen Fall Tulip (Danish Crown Foods Germany GmbH) aufgemacht, wo sich Betroffene registrieren können. Die Seite versucht einen Schadensersatz aus dem Fall herauszuschlagen und verspricht im Erfolgsfall diesen Schadensersatz, gegen einen Eigenanteil von 25 %, an den Betroffenen auszuzahlen. Ist für Betroffene zwar alles kostenlos, aber dafür müssen sie sich halt registrieren.

Am Ende des Tages bleibt für den Veranstalter nur abzuwarten, was die Datenschutzaufsichtsbehörden aus dem Fall machen und wie die Verhandlungen bzw. die eventuelle Klage von Kleinfee ausgeht. In dieser Sache bin ich aktuell aber unsicher, ob da signifikante Schadensersatzansprüche geltend gemacht werden können.

• Einmal steht ja die Aussage der Verantwortlichen im Raum, dass nur wenige Personendatensätze überhaupt eingesehen werden konnten und kein Missbrauch feststellbar sei.
• Zum anderen erinnere ich an das Urteil des Europäischen Gerichtshofs (EuGH) vom Mai 2023 (siehe EuGH-Urteil vom 4. Mai 2023 zu Datenschutzverstößen: Schadensersatz möglich). Die Richter negierten für Schadensersatzsprüche eine Erheblichkeitsschwelle. Allerdings muss der Person ein konkreter Schaden durch den Datenschutzverstoß entstanden sein.

Die Kombination der beiden obigen Sachverhalte legt nahe, dass dieser Datenschutzverstoß nicht so wirklich breiter hochkocht – Überraschungen aber nicht ausgeschlossen. Für den klugen Mitleser ergibt sich aber der Schluss, sich erst gar nicht an solchen Deals und Aktionen zu beteiligen. Dann können auch keine Daten abfließen.