{"id":283808,"date":"2023-07-14T18:07:48","date_gmt":"2023-07-14T16:07:48","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=283808"},"modified":"2023-07-15T19:12:56","modified_gmt":"2023-07-15T17:12:56","slug":"tulip-gustavo-gusto-co-datenleck-bei-brand-on-fire-betrifft-gewinnspiele-und-gzg","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/07\/14\/tulip-gustavo-gusto-co-datenleck-bei-brand-on-fire-betrifft-gewinnspiele-und-gzg\/","title":{"rendered":"Tulip, Gustavo Gusto &amp; Co.: Datenleck bei brand on fire (betrifft Gewinnspiele und GZG)"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" \/>Datenleck bei einer Agentur von Gewinnspielen und sogenannten Geld-Zur\u00fcck-Aktionen (Cashback-Aktionen). Der Hamburger Veranstalter <em>brand on fire<\/em> hatte einen Backup-Server offen zug\u00e4nglich im Internet stehen, so dass Dritte die Daten der Teilnehmer einsehen konnten. Aufgefallen ist dies, weil Teilnehmer Excel-Dateien mit den Daten offen auf einem Server fanden und das Ganze im My Deals-Forum diskutierten. Betroffen sind Aktionen von Tulip und Gustavo Gusto.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg08.met.vgwort.de\/na\/99ac8f8d547243329a89301ce7bdae79\" alt=\"\" width=\"1\" height=\"1\" \/>Ich bin bereits gestern \u00fcber eine Meldung des Spiegels (leider hinter einer Paywall) auf die Information gesto\u00dfen, dass es bei Tulip und Gustavo Gusto einen Datenschutzvorfall gab. Eine kurze Recherche brachte mich dann zum Forenbeitrag <a href=\"https:\/\/www.mydealz.de\/diskussion\/datenleck-bei-brand-on-fire-diverse-gzg-und-gewinnspiele-betrofffen-2199588#comments\" target=\"_blank\" rel=\"noopener\">Datenleck bei brand on fire (diverse GZG und Gewinnspiele betroffen)<\/a> auf My Deals. Die Plattform vermittelt solche Aktivit\u00e4ten, bei denen Verbraucher an Deals, Geld-Zur\u00fcck-Aktionen oder Gewinnspielen teilnehmen k\u00f6nnen. Voraussetzung ist dabei eine Registrierung der Teilnehmer bei den Ausrichtern der Aktionen.<\/p>\n<h2>Diverse Betroffene<\/h2>\n<p>Teilnehmer von solchen Aktionen stie\u00dfen im Internet auf Dateien (Excel-Tabellen), in denen die Daten von Teilnehmern vermerkt waren. Inzwischen ist die L\u00fccke geschlossen. Betroffen sind laut <a href=\"https:\/\/www.mydealz.de\/diskussion\/gzg-aktionen-fragen-und-probleme-1142868#comments\" target=\"_blank\" rel=\"noopener\">dieser Quelle<\/a> Teilnehmer, die an Gewinnspielen und Aktionen folgender Unternehmen teilgenommen haben:<\/p>\n<ul>\n<li>Tulip Bacon<\/li>\n<li>Lavazza<\/li>\n<li>Elisabethen Quelle<\/li>\n<\/ul>\n<p>Verantwortlich f\u00fcr dieses Datenleck ist die brand on fire Digital Matthias Wirges &amp; David Jagalski GbR, die die betreffenden Aktionen wohl als Dienstleister f\u00fcr die Unternehmen abwickeln und dann dort auch die Teilnehmer verwalten. Teilweise wohl per Excel-Tabelle, die dann offen auf einem Backup-Server zu finden war.<\/p>\n<p>Es ist auch noch Chocomel genannt, wobei dort eine gefundene Tabelle leer war. Der Veranstalter schreibt, dass Chocomel nicht betroffen sei. Zudem gibt es noch ein weiteres Datenleck vom 5.7.2023 bei Gustavo Gusto (siehe <a href=\"https:\/\/www.mydealz.de\/deals\/gustavo-gusto-cashback-2179166#comments\" target=\"_blank\" rel=\"noopener\">diesen Forenpost<\/a>).<\/p>\n<p>Hier\u00a0 gibt brand on fire an, dass diese Marke kein Kunde sei &#8211; es muss wohl eine andere Stelle sein, wo das Datenleck auftrat. Laut <a href=\"https:\/\/www.antispam-ev.de\/forum\/showthread.php?42817-Die-Gefahr-von-Cashback-Aktionen&amp;p=462537\" target=\"_blank\" rel=\"noopener\">dieser Zusammenfassung<\/a> waren in den Datens\u00e4tzen pers\u00f6nliche Angaben wie<\/p>\n<ul>\n<li>Vorname, Nachname<\/li>\n<li>Geburtsdatum<\/li>\n<li>IBAN (bei Cashback-Aktionen)<\/li>\n<li>E-Mail-Adresse<\/li>\n<\/ul>\n<p>sowie die IP-Adresse und mutma\u00dflich auch Fotos von Kassenbons zu finden.<\/p>\n<h2>Best\u00e4tigung durch Veranstalter<\/h2>\n<p>Der Veranstalter, die brand on fire Digital Matthias Wirges &amp; David Jagalski GbR, hat den Datenschutzvorfall einger\u00e4umt und gibt an, die Datenschutzverst\u00f6\u00dfe bei den Beh\u00f6rden sachgem\u00e4\u00df und innerhalb der Frist gemeldet zu haben. An Kernaussagen l\u00e4sst sich folgendes aus diversen Posts herausziehen:<\/p>\n<ul>\n<li>Betroffen vom Datenschutzvorfall sind ausschlie\u00dflich die Marken TULIP, Elisabethen Quelle und Lavazza bzw. die Teilnehmer an den betreffenden Aktionen.<\/li>\n<li>In den 60.000 gefundenen Datens\u00e4tzen sollen sich die Daten von 41.791 betroffene Person befunden haben. Die Diskrepanz ergibt sich aus Mehrfachanmeldungen, wo nur eine Person dahinter steht.<\/li>\n<li>Bei Lavazza ist ausschlie\u00dflich eine Liste mit E-Mail-Adressen betroffen, bei TULIP und Elisabethen Quelle sind die Teilnahmedaten der Personen im Datenleck enthalten.<\/li>\n<\/ul>\n<p>Bei Gustavo Gustav hei\u00dft es, dass nur neun Datens\u00e4tze vom Datenleck betroffen seien. Bei dem Datenleck vom 11. Juli 2023 schreibt die verantwortliche Firma, dass man nach jetzigem Kenntnisstand davon ausgehen kann, dass die Daten von 40.436 Personen zwar abrufbar gewesen w\u00e4ren. Die Daten seien aber nur von der Person, die den Fehler gemeldet habe, und von niemandem sonst ge\u00f6ffnet oder heruntergeladen wurden seien. Das sei aus den Log-Files nachvollziehbar und betraf die laufende TULIP Gratis Testen-Aktion, sowie komplett alle Daten von Lavazza und der Elisabethen Quelle.<\/p>\n<p>Von den Daten von 1.355 Personen aus der TULIP Gratis Testen-Aktion seien max. vier unberechtigten Zugriffen ausgesetzt gewesen, wobei es sich hierbei nach jetzigem Kenntnisstand ausschlie\u00dflich um Zugriffe rund um die Aufdeckung des Fehlers handelt. Laut der Stellungnahme des Unternehmens g\u00e4be es bisher keine Anzeichen daf\u00fcr, dass Daten unberechtigt Heruntergeladen oder an Dritte Weitergegeben wurden. Nach aktuellem Wissensstand h\u00e4tten nur Personen die Daten ge\u00f6ffnet, die dies zum Zwecke der Aufdeckung \/ Meldung des jeweiligen Fehlers getan haben. In <a href=\"https:\/\/www.mydealz.de\/comments\/permalink\/42462049\" target=\"_blank\" rel=\"noopener\">diesem Forenpost<\/a> findet sich aber der Post eines Nutzers, der die Angaben bezweifelt und folgendes ausf\u00fchrt:<\/p>\n<blockquote><p>@David daf\u00fcr bin ich in der Lage, die Aussagen zu kommentieren:<\/p>\n<blockquote><p>&gt;&gt; Betroffen sind ausschlie\u00dflich die Marken TULIP, Elisabethen Quelle und Lavazza<\/p><\/blockquote>\n<p>Falsch. Tats\u00e4chlich mit pers\u00f6nlichen Daten gef\u00fcllte Tabellen habe ich gefunden von:<br \/>\n&#8211; Elisabethen Quelle (Gewinnspiel) 04.05.2022 &#8211; 30.06.2022.<br \/>\n&#8211; Lavazza (Gewinnspiel) 06.01.2023 &#8211; 05.07.2023.<br \/>\n&#8211; Tulip (Cashback) 28.03.2023 &#8211; 05.07.2023.<br \/>\n&#8211; Gustavo Gusto (Gewinnspiel \"Gewinnair\") 15.05.2023 &#8211; 06.07.2023.<br \/>\n&#8211; Leibniz (Gewinnspiel) 10.01.2022 &#8211; 31.03.2022.<br \/>\n&#8211; Leibniz (Gewinnspiel \"Back To School\") 01.07.2023 &#8211; 06.07.2023.<br \/>\n&#8211; Pilot (Gewinnspiel \"Back To School\") 02.06.2023 &#8211; 05.07.2023.<br \/>\n&#8211; R\u00fcgenwalder (Gewinnspiel) 01.10.2022 &#8211; 06.12.2022.<\/p><\/blockquote>\n<p>Auch bez\u00fcglich der Mutma\u00dfung zur Zahl der betroffenen Personen \u00e4u\u00dfert sich diese Person. Er geht von wesentlich mehr als den oben grob zugestandenen \"paar\" Betroffenen aus, da die log-Dateien falsch oder unvollst\u00e4ndig seien.<\/p>\n<h2>Das dicke Ende?<\/h2>\n<p>Inzwischen hat <a href=\"https:\/\/www.kleinfee.com\/tulip-datenleck\/\" target=\"_blank\" rel=\"nofollow noopener\">Kleinfee<\/a> einen Fall Tulip (Danish Crown Foods Germany GmbH) aufgemacht, wo sich Betroffene registrieren k\u00f6nnen. Die Seite versucht einen Schadensersatz aus dem Fall herauszuschlagen und verspricht im Erfolgsfall diesen Schadensersatz, gegen einen Eigenanteil von 25 %, an den Betroffenen auszuzahlen. Ist f\u00fcr Betroffene zwar alles kostenlos, aber daf\u00fcr m\u00fcssen sie sich halt registrieren.<\/p>\n<p>Am Ende des Tages bleibt f\u00fcr den Veranstalter nur abzuwarten, was die Datenschutzaufsichtsbeh\u00f6rden aus dem Fall machen und wie die Verhandlungen bzw. die eventuelle Klage von Kleinfee ausgeht. In dieser Sache bin ich aktuell aber unsicher, ob da signifikante Schadensersatzanspr\u00fcche geltend gemacht werden k\u00f6nnen.<\/p>\n<ul>\n<li>Einmal steht ja die Aussage der Verantwortlichen im Raum, dass nur wenige Personendatens\u00e4tze \u00fcberhaupt eingesehen werden konnten und kein Missbrauch feststellbar sei.<\/li>\n<li>Zum anderen erinnere ich an das Urteil des Europ\u00e4ischen Gerichtshofs (EuGH) vom Mai 2023 (siehe <a href=\"https:\/\/borncity.com\/blog\/2023\/05\/06\/eugh-urteil-vom-4-mai-2023-zu-datenschutzversten-schadensersatz-mglich\/\">EuGH-Urteil vom 4. Mai 2023 zu Datenschutzverst\u00f6\u00dfen: Schadensersatz m\u00f6glich<\/a>). Die Richter negierten f\u00fcr Schadensersatzspr\u00fcche eine Erheblichkeitsschwelle. Allerdings muss der Person ein konkreter Schaden durch den Datenschutzversto\u00df entstanden sein.<\/li>\n<\/ul>\n<p>Die Kombination der beiden obigen Sachverhalte legt nahe, dass dieser Datenschutzversto\u00df nicht so wirklich breiter hochkocht &#8211; \u00dcberraschungen aber nicht ausgeschlossen. F\u00fcr den klugen Mitleser ergibt sich aber der Schluss, sich erst gar nicht an solchen Deals und Aktionen zu beteiligen. Dann k\u00f6nnen auch keine Daten abflie\u00dfen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Datenleck bei einer Agentur von Gewinnspielen und sogenannten Geld-Zur\u00fcck-Aktionen (Cashback-Aktionen). Der Hamburger Veranstalter brand on fire hatte einen Backup-Server offen zug\u00e4nglich im Internet stehen, so dass Dritte die Daten der Teilnehmer einsehen konnten. Aufgefallen ist dies, weil Teilnehmer Excel-Dateien mit &hellip; <a href=\"https:\/\/borncity.com\/blog\/2023\/07\/14\/tulip-gustavo-gusto-co-datenleck-bei-brand-on-fire-betrifft-gewinnspiele-und-gzg\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[5535,4328],"class_list":["post-283808","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-datenleck","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/283808","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=283808"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/283808\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=283808"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=283808"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=283808"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}