{"id":305326,"date":"2024-10-19T00:03:46","date_gmt":"2024-10-18T22:03:46","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=305326"},"modified":"2024-10-19T10:09:13","modified_gmt":"2024-10-19T08:09:13","slug":"tuev-rheinland-und-dekra-kfz-gutachten-im-internet-abrufbar","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/10\/19\/tuev-rheinland-und-dekra-kfz-gutachten-im-internet-abrufbar\/","title":{"rendered":"T\u00dcV Rheinland und Dekra: KFZ-Gutachten im Internet abrufbar"},"content":{"rendered":"

\"Sicherheit[English]Ich stelle mal wieder eine unsch\u00f6ne Datenpanne im Blog ein, die Leasing-Nehmer in Europa betrifft. Ein Leser hat mich in Kenntnis gesetzt, dass Minderwertgutachten von Pr\u00fcfern des T\u00dcV Rheinland und und der Dekra frei im Internet abrufbar sind. Man kann also sehr sch\u00f6n erkennen, wann welches Fahrzeug mit welchen M\u00e4ngeln beim Beenden des Leasingvertrags zur\u00fcckgegangen ist. Umfasst Fahrzeugdaten und auch pers\u00f6nliche Daten des Gutachters. Ich hatte den Sachverhalt im August den zust\u00e4ndigen Datenschutzbeh\u00f6rden gemeldet, passiert ist nichts [in Bezug auf Beseitigung des Datenlecks], so dass ich nun offenlege.<\/p>\n

<\/p>\n

Ein Leserhinweis macht neugierig<\/h2>\n

\"\"Manchmal schl\u00e4gt Kommissar Zufall zu und legt einen Datenschutzunfall offen. Ein Blog-Leser bekam eine E-Mail, die im Spamfilter landete und ihn wegen eines Buchstabendrehers irrt\u00fcmlich erreichte. Kann vorkommen. Und weil es um eine Bestellung ging, wollte der Leser sich \u00fcber diese Person informieren und dieser ggf. mit \"hallo, hab deine Bestellbest\u00e4tigung bekommen, korrigiere mal deine Daten\" benachrichtigen.<\/p>\n

Wie man das so macht, befragt man eine Suchmaschine seines Vertrauens nach den vorliegenden Daten. Der erste von Google ausgeworfene Treffer sah vielversprechend aus. Als er diesen Treffer aber anklickte, und das ge\u00f6ffnete Dokument ansah, kam er aber ans Stauen, wie er mir schrieb. Das Dokument sah so aus, als ob es nicht gerade f\u00fcr die\u00a0\u00d6ffentlichkeit bestimmt sei. Denn es handelte sich um ein Gutachten vom T\u00dcV Rheinland.<\/p>\n

Wenn T\u00dcV-Gutachten im Internet stehen<\/h2>\n

An dieser Stelle hat mich der Leser dann am 23. August 2024 kontaktiert und das Ganze\u00a0 an mich zur weiteren Veranlassung \u00fcbergeben. Ich habe kurz recherchiert – der T\u00dcV Rheinland stellt in seinem Service-Bereich unter tuv.com wohl Minderwert-Gutachten zu Fahrzeugen, die bei Ablauf eines Leasing-Vertrags den Restwert angeben bereit.<\/p>\n

\"T\u00dcV<\/p>\n

Obiger Screenshot zeigt, dass das betreffende Verzeichnis, in dem die Gutachten im PDF gespeichert sind, wohl ungesch\u00fctzt ist. Das hat zur Folge, dass Suchmaschinen wie Google den Ordner indexieren und dann die Dokumente in den Suchergebnissen auflisten.<\/p>\n

\"Minderwertgutachten<\/p>\n

Und diese Dokumente sind in meinen Augen nicht f\u00fcr die \u00d6ffentlichkeit bestimmt. Ich habe in obigem Beispielausriss mal die Firmenadresse des Leasing-Unternehmens verschleiert, dessen Leasing-Fahrzeug im Mai 2024 begutachtet und mit einem Minderwert von \u00fcber 2.200 Euro gesch\u00e4tzt wurde. Auf Seite 2 kann ich weitere Details wie das Fahrzeug-Kennzeichen und weitere Fahrzeugdaten einsehen. Bei einigen Gutachten sind sogar Fotos des KFZ-Scheins zu finden. Zudem sind mir Dokumente mit den pers\u00f6nlichen Daten des Gutachters untergekommen.<\/p>\n

Der T\u00dcV Rheinland speichert oder speicherte alle seine Gutachten mit personenbezogenen Daten unverschl\u00fcsselt auf einem Server. Da der Ordner frei zug\u00e4nglich im Internet war, k\u00f6nnen Suchmaschinen wie Google die Dokumente indexieren.<\/p>\n

\"Schutz<\/p>\n

Anmerkung:<\/strong> Ich habe interessehalber mal beim T\u00dcV Rheinland nachgeschaut. Die bieten als Dienstleistung \"Schutz der IT-Infrastruktur an\". Ist zwar unfaire Dialektik, aber offenbar gilt der Schuster im eigenen Hause wenig, sonst w\u00e4re das vielleicht bei einem Audit aufgefallen.<\/p>\n

Halt, es gibt noch mehr<\/h2>\n

Nach obiger Entdeckung kam dann noch eine Nachtrags-Mail des Blog-Lesers, der noch ein wenig per Suchmaschine gest\u00f6bert hatte. Unter der Rubrik \"Ich habe noch ein wenig weiter geschaut …\" hatte der Leser Google einen weiteren Suchauftrag \u00fcbergeben.<\/p>\n

\"KFZ-Gutachten<\/p>\n

Und sowohl Google als auch Bing wussten eine Menge \u00fcber KFZ-Gutachten und Zustandsberichte zu erz\u00e4hlen, die von T\u00dcV Rheinland und Dekra erstellt und \u00fcber carsonnet.com ins Internet gestellt wurden. Carsonnet ist ein in Polen ans\u00e4ssiges Unternehmen, welches Fahrzeuge an- und verkauft.\u00a0Das Unternehmen hat auch eine deutsche Dependance, ganz passend in Gro\u00dfenkneten (liegt bei Oldenburg).<\/p>\n

Die \u00c4lteren unter den Blog-Lesern und -Leserinnen werden vielleicht aufhorchen – sofern denen \"Da, da, da\", \u00a0\"Anna – Lassmichrein Lassmichraus\" oder \"Bum Bum\" von Trio<\/a> (neue deutsche Welle) ein Begriff ist. Mir schoss sofort \"Stefan Remmler residiert in Gro\u00dfenkneten\" durch den Kopf. Stefan ist ein irre sympathischer Typ, und ich habe mir mal ein Interview von ihm \u00fcber die Band angesehen. Kralle Krawinkel und Peter Behrens sind ja verstorben. Aber hey, Born, wir sind nicht bei der \"Musik zum Sonntag\" im 50Plus-Blog, sondern im IT-Blog unterwegs. Und NDW ist l\u00e4ngst vorbei – war im vorigen Jahrtausend … heute sind wird modern.<\/p><\/blockquote>\n

Wer lieber ein Gutachten der Dekra statt des T\u00dcV Rheinland m\u00f6chte, oder sich daf\u00fcr interessiert, was diesbez\u00fcglich in Italien oder anderen L\u00e4ndern so abgeht, kann bedient werden – carsonnet.com macht's m\u00f6glich. Nachfolgender Screenshot zeigt ein Dekra-Minderwertgutachten f\u00fcr einen Leasing-Geber.<\/p>\n

\"Dekra<\/p>\n

Gleiches Schema wie beim T\u00dcV Rheinland. Gibt's sogar international – ich habe Gutachten aus Italien (Rom), aus den Niederlanden etc. gesehen. Schon lustig, ein Minderwertgutachten in niederl\u00e4ndisch, in skandinavischen Sprachen oder auf italienisch zu lesen. Ein Hyundai Kona aus 2019 zum Preis von 48.247 Euro war beim Tachostand 130.000 km in 2024 gerade noch 12.088,00 Euro wert. Der Preisverfall bei E-Autos ist enorm.<\/p>\n

Wie schaukeln wir das Ganze? Frag den LfDI<\/h2>\n

Da hatte ich mir mal wieder was aufgehalst – wie verklickerst Du einem polnischen Autodealer, der seine deutsche Dependance in Gro\u00dfenkneten ansiedelt und vielleicht gute Anw\u00e4lte hat, dass er ein Datenschutzproblem hat? Oder sprichst Du den T\u00dcV Rheinland auf diese Sache an – es waren ja zwei Datenlecks.<\/p>\n

Ich habe in beiden F\u00e4llen die Sache anders einget\u00fctet. Sowohl der Landesbeauftragte f\u00fcr Datenschutz und Informationsfreiheit (LfDI) in Niedersachsen (der polnische Auto-Dealer hat da seine deutsche Zweigstelle), als auch dem LfDI Nordrhein-Westfalen (der T\u00dcV Rheinland residiert in K\u00f6ln) hat von mir \u00fcber deren Presseabteilungen eine nette Mail bekommen.<\/p>\n

Ich habe beiden Stellen den Sachverhalt geschildert und ausgef\u00fchrt, dass die von mir stichprobenartig angesehenen Dokumente personenbezogenen Daten (des Gutachters und ggf. der Kunden sowie Fahrzeugzulassungen) beinhalten, was sicher nicht im Sinne des Anbieters sein kann und einen Datenschutzversto\u00df darstellt. Ich bat die betreffenden Stellen, die datenschutzrechtliche Abkl\u00e4rung zu \u00fcbernehmen.<\/p>\n

Gleichzeitig hatte ich eine Deadline von einem Monat gesetzt, zu der ich eine R\u00fcckmeldung haben wollte. Ich habe kommuniziert, dass ich nach Kl\u00e4rung plane, \u00fcber den Sachverhalt in meinem IT-Blog zu berichten.<\/p>\n

Von der Datenschutzbeh\u00f6rde in Niedersachsen kam eine R\u00fcckfrage, ob ich eine Kontaktadresse habe – die ich liefern konnte. Nachdem der Termin zur Wiedervorlage ereignislos abgelaufen war, fragte ich \u00fcber die Presseabteilungen beider LfDIs nach dem Stand nach. Lediglich vom LfDI Niedersachsen gab es die R\u00fcckmeldung, dass der Vorgang noch in der Pr\u00fcfung sei, aber nichts dagegen spreche, das \u00f6ffentlich zu machen.<\/p>\n

Aktuell ist der Stand, dass die Minderwertgutachten der betreffenden Stellen weiterhin im Internet frei abrufbar sind. Vom LfDI Nordrhein-Westfalen habe ich keinerlei Antworten in meinem Postfach gefunden – warum auch immer. Daher habe ich zum 19.10.2024 den Datenschutzbeauftragten des T\u00dcV Rheinland \u00fcber diesen Artikel mit der Offenlegung des Datenlecks informiert – mal schauen, was passiert.<\/p>\n

Da bei Cars on Net Gutachten aus diversen EU-L\u00e4ndern offen von Suchmaschinen indexiert worden sind, das Ganze also EU-l\u00e4nder\u00fcbergreifend spielt, gehe ich davon aus, dass dieses Datenleck auf absehbare Zeit nicht geschlossen wird. Aktuell habe ich auch keine Vorstellung, wie man da wirklich Druck machen kann – von den LfDIs kommt aktuell wenig.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nDatenl\u00fccke: YunExpress- und DHL-Tracking legen Empf\u00e4ngerdaten offen \u2013 Teil I<\/a>
\nDatenl\u00fccke: YunExpress- und DHL-Tracking legen Empf\u00e4ngerdaten offen \u2013 Teil II<\/a>
\nBei brillen.de standen 3,5 Millionen Kundendaten offen im Internet<\/a>
\nDatenleck beim GLS-Pakettracking (April 2024) gefixt<\/a>
\nDatenleck beim Bauhaus-Shop legte Bestellungen von Plus Card-Inhabern offen<\/a>
\nAutsch: Datenleck bei Dr. Ansay, Cannabis-Rezepte in DuckDuckGo sichtbar<\/a>
\nCannabis-Rezepte Datenleck: CEO Dr. Jur Ansay sucht die Schuld bei anderen<\/a>
\nDatenleck bei FlightAware legt Nutzerdaten offen (Juli 2024)<\/a>
\nServiceNow fixt stillschweigend Bug aus 2015 der Datenlecks erm\u00f6glichte<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Ich stelle mal wieder eine unsch\u00f6ne Datenpanne im Blog ein, die Leasing-Nehmer in Europa betrifft. Ein Leser hat mich in Kenntnis gesetzt, dass Minderwertgutachten von Pr\u00fcfern des T\u00dcV Rheinland und und der Dekra frei im Internet abrufbar sind. Man kann … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[5535,451,4328],"class_list":["post-305326","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-datenleck","tag-datenschutz","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/305326","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=305326"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/305326\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=305326"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=305326"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=305326"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}