Viseca verschickt Datenauskunft an falsche Person

Es sind gleich mehrere Zufälle, die sich in der Geschichte von Thomas Brühwiler, Martin Steiger und einer Schweizer Kreditkartenherausgeberin aneinanderreihen. An Anfang stand ein Auskunftsbegehren, wie die beiden im Podcast von Rechtsanwalt Martin Steiger berichten. Er habe wissen wollen, welche Daten bei verschiedenen Unternehmen über ihn gespeichert seien und sich deshalb auch an seine Kreditkartenherausgeberin gewandt, erzählt Brühwiler, aktuell Kommunikationschef des Webhosters Cyon und in den sozialen Medien als "BloggingTom" bekannt.

Als Antwort erhielt Brühwiler jedoch nicht seine eigenen Daten. Viseca, das angefragte Unternehmen, stellte ihm stattdessen jene von Martin Steiger zu. Steiger, der auf digitales Recht und Datenschutz spezialisiert ist, hatte ebenfalls ein Datenauskunftsgesuch an das Unternehmen gesendet. Steiger ist per Zufall mit Brühwiler bekannt. Brühwiler habe ihn denn auch über den Vorfall informiert, schreibt er im Blog und spricht von "Glück im Unglück".

Ein weiterer glücklicher Zufall: Die betroffene Kreditkarte sei seit 2016 nicht mehr in Gebrauch gewesen. "In der Folge umfasste die Auskunft an Thomas Brühwiler im Wesentlichen Stammdaten, unter anderem das Geburtsdatum und private Adressen." Informationen zu Transaktionen waren dagegen nicht enthalten. "Ich weiss also nach wie vor nicht, wie viel du verdienst", kommentiert Brühwiler lachend im Podcast.

Tom Brühwiler, Head of Communication bei Cyon (Source: Philippe Wiget)

Manuelles Versehen

Sowohl Steiger als auch Brühwiler wandten sich nach dem Vorfall an die Kreditkartenherausgeberin. Diese reagierte "etwas mehr als einem Monat später", wie Steiger ausführt. In den Briefen entschuldigt sich das Unternehmen "für diesen Bearbeitungsfehler", der "nicht unseren Qualitätsansprüchen" entspreche und eigentlich nicht passieren dürfe.

Zum Fehler sei es durch ein "manuelles Versehen, aber in jedem Fall unbeabsichtigt" gekommen, heisst es in den Briefen, die Steiger in seinem Blog veröffentlicht, und auf die Viseca auf Anfrage verweist. Man habe die Mitarbeitenden nochmals darauf hingewiesen, mit Personendaten sehr sorgfältig umzugehen und Qualitätskontrollen durchzuführen, schreibt das Unternehmen.

Auf die Anfrage, wie häufig es bei Viseca zu ähnlichen Vorfällen komme, teilt das Unternehmen mit, beim vorliegenden Bearbeitungsfehler handle es sich um einen Einzelfall.

Martin Steiger, Rechtsanwalt, Steiger Legal (Source: (c) hpb)

Keine rechtlichen Schritte

Im Brief an Brühwiler bittet die Firma darum, die versehentlich versendeten Daten nicht weiter zu verwenden, sie entweder per Post zurückzuschicken oder sie zu vernichten und dies per E-Mail zu bestätigen.

"Wer einer unberechtigten Person Auskunft erteilt, riskiert insbesondere Sanktionen oder mindestens Straf- und Verwaltungsverfahren – gegen das betreffende Unternehmen oder gegen die direkt verantwortlichen Personen", analysiert Steiger. Da er die betroffene Kreditkarte von einer Bank bezogen hatte, könne auch das Bankkundengeheimnis eine Rolle spielen. Im Blogbeitrag gibt sich der Anwalt jedoch versöhnlich: "Im Sinn einer wünschenswerten Fehlerkultur verzichte ich auf rechtliche Schritte", schreibt er.

Am 1. September 2023 tritt in der Schweiz ein neues Datenschutzgesetz in Kraft. Der Bundesrat hatte den Termin mehrfach verschoben, wie Sie hier lesen können. Was sich im neuen Datenschutzgesetz alles ändert, erfahren Sie hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.