Datenschutz: Mjam und die Telefonkeiler - Essen mit Folgen

Daten öffentlich zugänglich

Im Dezember 2014 sah sich Mjam schließlich dazu veranlasst, auf den Vorwurf, dass es ein Datenleck im Unternehmen gegeben habe, zu reagieren. Am 16.12.2014 veröffentlichte Mjam in seinem Blog:

Kein Datenleck bei Mjam

„Wir wissen von einigen Kunden, deren ­Kundendaten in die Hände einer Firma für ­Telefonwerbung gelangt sind. Als wir davon erfahren haben, wurde sofort Sec Consult GmbH eingeschaltet, eine international renommierte Security-Firma. Die Analyse hat ergeben, dass es bei Mjam kein Datenleck gibt.“ Den Betroffenen versprach das Unternehmen, in alle Richtungen zu ermittelnMjam Blog - Klarstellung

Daten von Pizzaportal.at-Kunden-Adressen

Währenddessen forschten einige Betroffene auf eigene Faust im Internet – und machten dabei einen interessanten Fund. Auf der ­Seite Github.com, einem Hosting-Dienst für Software-Entwicklungsprojekte, war eine fünfstellige Zahl an Datensätzen von Mjam-Kunden öffentlich zugänglich. Mittlerweile wurden sie entfernt, jedoch dürften sie dort über ein Jahr gelegen sein. Doch es handelte sich bei diesen Daten nicht um jene, die von den Telefonbetrügern verwendet wurden, sondern um ältere E-Mail-Adressen, laut Mjam ohne Namensbezug, die von pizzaportal.at-Kunden stammten. Diese Webseite hat Mjam vor fünf Jahren übernommen.

Datenlecks nicht kommuniziert

Sowohl der Datenfund auf Github als auch der Umstand, dass neuere Kundendaten des Unternehmens in falsche Hände geraten sind, zeigt: So sicher, wie Mjam das in seinen AGB erklärt („ein hohes Datenschutzniveau ist uns ein Anliegen“), sind die Daten nicht – und dies lässt sich wohl auf andere Anbieter übertragen. Außerdem legt der Fall ein weiteres Manko offen – nämlich, dass potenziell gefährdete Kunden von Unternehmen, die von einem Datenleck betroffen sind, nicht zwingend informiert werden müssen.

IFNF fordert Informationspflicht

In dem Zusammenhang fordert der Verein ­Initiative für Netzfreiheit (IFNF), dass die Kundschaft unverzüglich über ein Leck in Kenntnis zu setzen ist, sobald ein Unter­nehmen davon erfährt. Wobei der IFNF zufolge in Österreich eine Rechtslücke besteht. Denn für Unternehmen gibt es keine all­gemeine Verpflichtung, Betroffene über ­Datendiebstahl zu informieren – außer wenn dem Unternehmen bekannt wird „dass Daten aus einer seiner Datenanwendungen systematisch und schwerwiegend unrechtmäßig verwendet wurden und den Betroffenen Schaden droht“ (§ 24 Abs. 2a Datenschutzgesetz).

­„Data Breach Notification Duty“

Das heißt: Die Voraussetzungen für die sogenannte ­„Data Breach Notification Duty“ sind so hoch angesetzt, dass diese in der Praxis kaum zur Anwendung kommt, schreibt die Initiative in einer Aus­sendung. Denn es sei schwierig, einen Nachweis zu erbringen, dass ein Unternehmen nicht nur von einer schwerwiegenden Datenverletzung wisse, sondern auch noch ein konkreter Schaden drohe. Wobei sich hierbei auch das Problem zeigt, dass es noch immer keine abstrakte Definition eines Schadens beim Missbrauch personenbezogener Daten gibt.

Datenmissbrauch selten konkret abschätzbar

Unterm Strich heißt das: Die Data Breach Notification Duty, die nur dann in Kraft tritt, wenn der Schaden halbwegs bezifferbar ist, ist eher zahnlos – eben darum, weil Schäden beim Datenmissbrauch kaum konkret abschätzbar sind. Wer kann schon eine Aus­sage darüber treffen, in wie viele Hände ­geleakte Daten letztlich gelangen?

Mjam vermittelt

Von Mjam selbst wollten wir wissen, ob die Keiler die Daten direkt von ihrem Unter­nehmen abgegriffen hatten und ob man mittlerweile erforscht hat, wer alte Kundendaten auf Github gestellt hat. „Zu den ­Themen haben wir schon ausführlich Stellung genommen, unter anderem im Blog auf der Homepage“, erklärte das Unternehmen knapp.

Wie Mjam den Betroffenen weiterhilft?

„Wir haben die Kommunikation zwischen Betroffenen und Behörden ­übernommen. Wir haben unseren Anwalt beauftragt, unsere User zu unterstützen, um auf unsere Kosten gegen die Anrufer vorzugehen“, heißt es aus der Zentrale. ­Außerdem werde jeder Fall an die Datenschutzbehörde weitergeleitet. Seit Ende Oktober beschäftige man IT-­Sicher­heits­experten, um ein Höchstmaß an Daten­sicherheit herzustellen. Um zu vermeiden, dass neue Nummern in falsche Hände geraten, habe man die ­Telefonnummern der Kunden in den E-Mail-Bestätigungen in der Datenbank anony­misiert.

Frage nach Datenleck bleibt unbeantwortet ...

Die Frage nach dem Datenleck bleibt damit zwar bis auf Weiteres unbeantwortet, doch immerhin können sich die Kunden wieder ­mit dem weitaus angenehmeren Problem beschäftigen, was sie sich zu ­essen bestellen sollen. Völlig beruhigt sein kann freilich ­niemand. Während die großen Mitspieler am Markt wie Facebook & Co im Mittelpunkt des öffentlichen Interesses stehen, lauern anderswo Fallen, mit denen niemand rechnet – nur weil er Appetit auf eine Pizza hatte.

Das Essenslieferungsportal Mjam wurde im Jahr 2008 im Wiener Hacker-Labor Metalab von Angelo Laub gegründet. Zwei Jahre später übernahm Laub die Seiten asiazustellung.at und pizzaportal.at, 2011 ging er eine Partnerschaft mit willessen.at ein. Daraufhin wurde Mjam vom Konkurrenten Online-Pizza geschluckt, der wiederum vom deutschen Mitbewerber ­lieferheld.de gefressen wurde – der vom globalen Essensnetzwerk Delivery Hero übernommen worden ist. 2015 kaufte das Beteiligungsunternehmen Rocket Internet 39 Prozent der Anteile an dem Konzern. Das Unternehmen der Samwer-Brüder Marc Oliver und Alexander ist mit Jamba, einem Angebot an Klingeltönen und Mobiltelefonanwendungen, reich geworden. Dabei stand es immer wieder wegen des Verkaufs von Abos an Minderjährige in der Kritik.

• Telefonnummer: Die eigene Telefonnummer im Internet nur dann preisgeben, wenn es notwendig ist, und im Zweifelsfall auf die jeweilige Anwendung verzichten.
• Apps: Nur Apps herunterladen, die man tatsächlich braucht und bei der Einwilligung zur Installation darauf achten, worauf die Anwendung Zugriff haben möchte.
• Passwort: Ändern Sie ein vom Anbieter zugeteiltes Passwort nach dem ersten Einloggen individuell und wechseln Sie auch sonst in regelmäßigen Abständen Ihre Passwörter.

• Anonyme Anrufe bzw. bestimmte Rufnummern auf dem Handy sperren.
• Keine persönlichen Daten preisgeben.
• Anfrage ablehnen und auflegen.
• Wenn sie nicht lockerlassen: nachfragen, welche Firma dahintersteckt, sich den Namen des ­Unternehmens und des Anrufers geben lassen und ihnen erklären, dass man der Sache ­rechtlich nachgehen werde.
• Anrufe beim Netzbetreiber melden.
• Anzeige bei der Fernmeldebehörde erstatten Fernmeldebehörde - bmvit

Ein Licht aufgegangen

Ich kann Ihnen nicht sagen, wie mir die Kinnlade heruntergefallen ist, als ich eben den Artikel über die Scammer und mjam.at gelesen habe. Ich habe dort selbst einmal bestellt. Seitdem bekomme ich regelmäßig Anrufe von Anonym oder Call Centern; wenn die Nummer von mir blockiert wurde, kam eine neue Nummer. Leider werden auch SMS verschickt, in denen eine Person aufgefordert wird, einem Inkassobüro Geld zu geben. Name wie in Ihrem Artikel falsch, nicht einmal im Bekanntenkreis gibt es jemanden mit diesem Namen. Kurz darauf kommen neue Anrufe.

Ich wusste erst nicht, von wo aus dieser Schund kommt, aber beim Lesen des Artikels ging auch mir ein Licht auf. Diese Anrufe & SMS kommen erst, als ich bei mjam. at bestellt habe. Bestellt habe ich im Winter, das letzte gefälschte SMS kam am 26.3.

Ich danke Ihnen vielmals für diesen Artikel! Der Schaden ist zwar schon angerichtet, aber er bleibt definitiv einmalig.

Name der Redaktion bekannt
(aus KONSUMENT 6/2015)

• Werbeblocker - Unbehelligt surfen (8/2019)

• Datenhandel: Milliardengeschäft - Postprivates Zeitalter? (6/2018)

• Datenschutz: Adresshandel - Für eine Handvoll Cent (1/2016)

• Datenschutz: Virenscanner - Wölfe im Schafspelz (11/2015)

• Datenschutz: Spotify - Abgehört (9/2015)

• Datenschutz: Booking.com - Datendeals unter der Decke (9/2015)

• Datenschutz: Runtastic - Der große Daten-Run (8/2015)

• Datenschutz: Freemail-Dienste - Mehr Komfort, mehr Werbung (7/2015)

• Datenschutz: PayPal - Mit Sicherheit indiskret (6/2015)

• Datenschutz: Zalando - Kein Grund zum Schreien (5/2015)

• Datenterroristen - Viele Gute und ein paar Böse (4/2015)

• Datenschutz: WhatsApp - Chat mit Risiko (3/2015)

• Datenschutz: Amazon - Der unheimliche Riese (2/2015)

• Datenschutz: Facebook - Surfverhalten genau erforscht (1/2015)

• Datenschutz: Google - Einer liest mit (12/2014)

• Hauszusteller: Lebensmittel und Gemüsekiste - Überraschungspakete (6/2014)

• Essen auf Rädern in Wien - Die Fett- und Salzlieferanten (10/2005)

• Mjam Blog - Klarstellung

• Fernmeldebehörde - bmvit

• Frank geht ran

• Gegenskript