[English]Ich stelle mal wieder eine unschöne Datenpanne im Blog ein, die Leasing-Nehmer in Europa betrifft. Ein Leser hat mich in Kenntnis gesetzt, dass Minderwertgutachten von Prüfern des TÜV Rheinland und und der Dekra frei im Internet abrufbar sind. Man kann also sehr schön erkennen, wann welches Fahrzeug mit welchen Mängeln beim Beenden des Leasingvertrags zurückgegangen ist. Umfasst Fahrzeugdaten und auch persönliche Daten des Gutachters. Ich hatte den Sachverhalt im August den zuständigen Datenschutzbehörden gemeldet, passiert ist nichts [in Bezug auf Beseitigung des Datenlecks], so dass ich nun offenlege.
Anzeige
Ein Leserhinweis macht neugierig
Manchmal schlägt Kommissar Zufall zu und legt einen Datenschutzunfall offen. Ein Blog-Leser bekam eine E-Mail, die im Spamfilter landete und ihn wegen eines Buchstabendrehers irrtümlich erreichte. Kann vorkommen. Und weil es um eine Bestellung ging, wollte der Leser sich über diese Person informieren und dieser ggf. mit "hallo, hab deine Bestellbestätigung bekommen, korrigiere mal deine Daten" benachrichtigen.
Wie man das so macht, befragt man eine Suchmaschine seines Vertrauens nach den vorliegenden Daten. Der erste von Google ausgeworfene Treffer sah vielversprechend aus. Als er diesen Treffer aber anklickte, und das geöffnete Dokument ansah, kam er aber ans Stauen, wie er mir schrieb. Das Dokument sah so aus, als ob es nicht gerade für die Öffentlichkeit bestimmt sei. Denn es handelte sich um ein Gutachten vom TÜV Rheinland.
Wenn TÜV-Gutachten im Internet stehen
An dieser Stelle hat mich der Leser dann am 23. August 2024 kontaktiert und das Ganze an mich zur weiteren Veranlassung übergeben. Ich habe kurz recherchiert – der TÜV Rheinland stellt in seinem Service-Bereich unter tuv.com wohl Minderwert-Gutachten zu Fahrzeugen, die bei Ablauf eines Leasing-Vertrags den Restwert angeben bereit.
Anzeige
Obiger Screenshot zeigt, dass das betreffende Verzeichnis, in dem die Gutachten im PDF gespeichert sind, wohl ungeschützt ist. Das hat zur Folge, dass Suchmaschinen wie Google den Ordner indexieren und dann die Dokumente in den Suchergebnissen auflisten.
Und diese Dokumente sind in meinen Augen nicht für die Öffentlichkeit bestimmt. Ich habe in obigem Beispielausriss mal die Firmenadresse des Leasing-Unternehmens verschleiert, dessen Leasing-Fahrzeug im Mai 2024 begutachtet und mit einem Minderwert von über 2.200 Euro geschätzt wurde. Auf Seite 2 kann ich weitere Details wie das Fahrzeug-Kennzeichen und weitere Fahrzeugdaten einsehen. Bei einigen Gutachten sind sogar Fotos des KFZ-Scheins zu finden. Zudem sind mir Dokumente mit den persönlichen Daten des Gutachters untergekommen.
Der TÜV Rheinland speichert oder speicherte alle seine Gutachten mit personenbezogenen Daten unverschlüsselt auf einem Server. Da der Ordner frei zugänglich im Internet war, können Suchmaschinen wie Google die Dokumente indexieren.
Anmerkung: Ich habe interessehalber mal beim TÜV Rheinland nachgeschaut. Die bieten als Dienstleistung "Schutz der IT-Infrastruktur an". Ist zwar unfaire Dialektik, aber offenbar gilt der Schuster im eigenen Hause wenig, sonst wäre das vielleicht bei einem Audit aufgefallen.
Halt, es gibt noch mehr
Nach obiger Entdeckung kam dann noch eine Nachtrags-Mail des Blog-Lesers, der noch ein wenig per Suchmaschine gestöbert hatte. Unter der Rubrik "Ich habe noch ein wenig weiter geschaut …" hatte der Leser Google einen weiteren Suchauftrag übergeben.
Und sowohl Google als auch Bing wussten eine Menge über KFZ-Gutachten und Zustandsberichte zu erzählen, die von TÜV Rheinland und Dekra erstellt und über carsonnet.com ins Internet gestellt wurden. Carsonnet ist ein in Polen ansässiges Unternehmen, welches Fahrzeuge an- und verkauft. Das Unternehmen hat auch eine deutsche Dependance, ganz passend in Großenkneten (liegt bei Oldenburg).
Die Älteren unter den Blog-Lesern und -Leserinnen werden vielleicht aufhorchen – sofern denen "Da, da, da", "Anna – Lassmichrein Lassmichraus" oder "Bum Bum" von Trio (neue deutsche Welle) ein Begriff ist. Mir schoss sofort "Stefan Remmler residiert in Großenkneten" durch den Kopf. Stefan ist ein irre sympathischer Typ, und ich habe mir mal ein Interview von ihm über die Band angesehen. Kralle Krawinkel und Peter Behrens sind ja verstorben. Aber hey, Born, wir sind nicht bei der "Musik zum Sonntag" im 50Plus-Blog, sondern im IT-Blog unterwegs. Und NDW ist längst vorbei – war im vorigen Jahrtausend … heute sind wird modern.
Wer lieber ein Gutachten der Dekra statt des TÜV Rheinland möchte, oder sich dafür interessiert, was diesbezüglich in Italien oder anderen Ländern so abgeht, kann bedient werden – carsonnet.com macht's möglich. Nachfolgender Screenshot zeigt ein Dekra-Minderwertgutachten für einen Leasing-Geber.
Gleiches Schema wie beim TÜV Rheinland. Gibt's sogar international – ich habe Gutachten aus Italien (Rom), aus den Niederlanden etc. gesehen. Schon lustig, ein Minderwertgutachten in niederländisch, in skandinavischen Sprachen oder auf italienisch zu lesen. Ein Hyundai Kona aus 2019 zum Preis von 48.247 Euro war beim Tachostand 130.000 km in 2024 gerade noch 12.088,00 Euro wert. Der Preisverfall bei E-Autos ist enorm.
Wie schaukeln wir das Ganze? Frag den LfDI
Da hatte ich mir mal wieder was aufgehalst – wie verklickerst Du einem polnischen Autodealer, der seine deutsche Dependance in Großenkneten ansiedelt und vielleicht gute Anwälte hat, dass er ein Datenschutzproblem hat? Oder sprichst Du den TÜV Rheinland auf diese Sache an – es waren ja zwei Datenlecks.
Ich habe in beiden Fällen die Sache anders eingetütet. Sowohl der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) in Niedersachsen (der polnische Auto-Dealer hat da seine deutsche Zweigstelle), als auch dem LfDI Nordrhein-Westfalen (der TÜV Rheinland residiert in Köln) hat von mir über deren Presseabteilungen eine nette Mail bekommen.
Ich habe beiden Stellen den Sachverhalt geschildert und ausgeführt, dass die von mir stichprobenartig angesehenen Dokumente personenbezogenen Daten (des Gutachters und ggf. der Kunden sowie Fahrzeugzulassungen) beinhalten, was sicher nicht im Sinne des Anbieters sein kann und einen Datenschutzverstoß darstellt. Ich bat die betreffenden Stellen, die datenschutzrechtliche Abklärung zu übernehmen.
Gleichzeitig hatte ich eine Deadline von einem Monat gesetzt, zu der ich eine Rückmeldung haben wollte. Ich habe kommuniziert, dass ich nach Klärung plane, über den Sachverhalt in meinem IT-Blog zu berichten.
Von der Datenschutzbehörde in Niedersachsen kam eine Rückfrage, ob ich eine Kontaktadresse habe – die ich liefern konnte. Nachdem der Termin zur Wiedervorlage ereignislos abgelaufen war, fragte ich über die Presseabteilungen beider LfDIs nach dem Stand nach. Lediglich vom LfDI Niedersachsen gab es die Rückmeldung, dass der Vorgang noch in der Prüfung sei, aber nichts dagegen spreche, das öffentlich zu machen.
Aktuell ist der Stand, dass die Minderwertgutachten der betreffenden Stellen weiterhin im Internet frei abrufbar sind. Vom LfDI Nordrhein-Westfalen habe ich keinerlei Antworten in meinem Postfach gefunden – warum auch immer. Daher habe ich zum 19.10.2024 den Datenschutzbeauftragten des TÜV Rheinland über diesen Artikel mit der Offenlegung des Datenlecks informiert – mal schauen, was passiert.
Da bei Cars on Net Gutachten aus diversen EU-Ländern offen von Suchmaschinen indexiert worden sind, das Ganze also EU-länderübergreifend spielt, gehe ich davon aus, dass dieses Datenleck auf absehbare Zeit nicht geschlossen wird. Aktuell habe ich auch keine Vorstellung, wie man da wirklich Druck machen kann – von den LfDIs kommt aktuell wenig.
Ähnliche Artikel:
Datenlücke: YunExpress- und DHL-Tracking legen Empfängerdaten offen – Teil I
Datenlücke: YunExpress- und DHL-Tracking legen Empfängerdaten offen – Teil II
Bei brillen.de standen 3,5 Millionen Kundendaten offen im Internet
Datenleck beim GLS-Pakettracking (April 2024) gefixt
Datenleck beim Bauhaus-Shop legte Bestellungen von Plus Card-Inhabern offen
Autsch: Datenleck bei Dr. Ansay, Cannabis-Rezepte in DuckDuckGo sichtbar
Cannabis-Rezepte Datenleck: CEO Dr. Jur Ansay sucht die Schuld bei anderen
Datenleck bei FlightAware legt Nutzerdaten offen (Juli 2024)
ServiceNow fixt stillschweigend Bug aus 2015 der Datenlecks ermöglichte
Anzeige
Zitat
„ Ich hatte den Sachverhalt im August den zuständigen Datenschutzbehörden gemeldet, passiert ist nichts"
Zitat Ende
Wozu gibt es dann diese Behörden? Lächerlich was hier im Land mittlerweile passiert.
Solange kein monetär nachweisbarer Schaden entsteht, müssen, können und werden LfD nichts machen, außer vielleicht mal "böse böse" sagen. Da kann der S*lmecke noch so viele Werbevideos für seine Kanzlei drehen (und indirekt selbst Daten sammeln).
Ich habe auch schon mehrere Fälle bei unterschiedlichen LfD eingereicht, weil personenbezogene Daten von mir weitergereicht wurden. Die betreffenden Unternehmen wurden informiert und der Fall wurde geschossen. Ohne Konsequenzen für irgendwen.
Das klingt gar nicht gut und entwertet die DSGVO doch irgendwie als zahnlosen Tiger. Für einen Betroffenen dürfte es extrem schwer sein einen direkten Schaden selber nachzuweisen. Und selbst wenn man Opfer von Phishing mit seinen Daten wird, wie weißt man nach, dass genau dieses Leck dies ermöglicht hat? Auch mit anderen Daten dürfte es ähnliche Probleme geben.
Wird man bei irgendwelchen Prozessen wie Kreditanfrage oder Bewerbungsgespräch auf Grund von Erkrankungen schlechter behandelt, wie will man beweisen, dass ein Personaler Daten aus einem theoretischen Leak mit Gesundheitsdaten verwendet und einbezogen hat? Gründe werden in der Regel eh nicht mehr genannt, um nicht angreifbar zu werden. Die Verwendung solcher Quellen wird niemand freiwillig einräumen. Da kommt dann nur ein "Leider konnten wir sie nicht berücksichtigen"
Um die Stoßrichtung für diesen Blog-Beitrag klarer werden zu lassen: Wenn die Unternehmen, wo die Dokumente offen im Internet stehen, diesen Zugriff absichern und dafür sorgen, dass die bisherigen Funde aus dem Index von Google und Bing entfernt werden, wäre ja viel gewonnen. Ist aber (noch) nicht passiert – so habe ich die vage Hoffnung, dass durch die "Öffentlichkeit hier" ein Verantwortlicher bei denen aufwacht.
Interessante Beobachtung von mir: Ich habe auch mal die Quatsch-Kiste Perplexity.ai befragt (Wired bezeichnet die als Bullshit machine – die wussten von nichts – dabei wird der Anbieter von heise immer in den Himmel gelobt – ich habe den Anbieter auf dem Kieker, seit er bei einem Test behauptete, ich sei "gestorben" … wobei mir dieses Gerücht über meinen Tod stark übertrieben schien").
Ähnlich bei Verstössen gegen DSGVO bei diversen Politiker Homepages, weder der Politiker noch danach die zuständige Datenschutzbehörde zeigen trotz detaillierter Beschreibung irgendeine Reaktion, es passiert gar nichts.
Ich habe den Zusatz [in Bezug auf Beseitigung des Datenlecks] im Anreißertext angefügt, um klarzustellen, wie es gemeint ist. Die LfDIs der beiden Bundesländer kümmern sich hoffentlich (bei Niedersachsen habe ich die Bestätigung, dass es Prüfverfahren läuft). Aber die Firmen sind wohl unbeeindruckt …
Neben ALD oder Carsonnet fanden wir bisher nur Gutachten größerer Flotten-Leasinggeber wie zB Funde von "Arval.de", "BNP Paribas". Gibt es auch Gutachten, die mit (!) Personenbezug auf Endkunden ausgestellt sind?
Nach kurzer Recherche – welche Applikationen sind das wohl? Es Können zB die Server für TÜV-APPs wie TOM TÜV Süd Agentennetzwerk , TÜV Süd Verify oder Kundeninterfaces sein.
Einige Links haben trotz Existenz keine Abrufbarkeit mehr (a'la TTL, Verfallsdatum?). Ein Struktur aus Ordner des Leasinggebers mit langem Hex-Dir auf dem Webserver gilt bisher für alle Funde hier. Da kann man als TÜV ordnungsgemäße Authentifizierung und einen versteckt-kryptischen Pfad schon mal verwechseln [eeek]…
Die Hex-Pfadangabe ist jedenfalls kein mir bekannter Filehash auf die Datei. Server/Domains poste ich hier bewusst nicht.
@GB"Kennzeichen", "Fotos des KFZ-Scheins", "Daten des Gutachters", @Stefan "Wozu?" :
Verantwortliche DSB's haben auch die Fragen "Zuständigkeit" und "Einordnung" zu klären: Dazu müssten DSBs manuell recherchieren, die Ressourcen in Niedersachsen können das mE nicht. Ebenso sehe ich primär technische Finanz-Daten (bisher) mit eher wenig Personenbezug. Fahrzeugschein mit Leasingfirma als Fahrzeughalter wäre mögliches Beispiel (ich sah bisher jedoch keine Fotos). Ein Gutachter hat nach imho abwägender Einschätzung nicht immer selben Schutzanspruch wie eine Privatperson. Als Geschäftsgeheimnis (Gesetz hier) sollte es eher die betroffene Compliance und Wirtschaftsprüfer bis zur Finance zu Handlung fordern: Jedes Audit ob IDW, BSI oder ISO 2700x ; Zugriffsschutz für Geschäftsbriefe oder Finanzunterlagen ; Im Audit einer AG (BAFIN, BASEL I-IV, SOX, …) ergibt dieser Sachverhalt je nach Risiko ein "Finding". TÜV-Nord, -Rheinland und -Süd firmieren als AG, Arval gehört mW zur Bank BNP Paribas.
Ebenso wäre ein Fund von PDF-Daten privater Kunden und privater Adressen eine Hebel. Dies macht eine Durchsetzung per DSB mE viel leichter.
Passt wie Arsch auf Eimer: https://www.tuv.com/germany/de/lp/industrie-service/cybersecurity/main-navigation/portfolio/ >:)
Die hätten jemanden fragen sollen, der sich damit auskennt. Z.B. den TÜV Rheinland. Oops.