Beiträge zu Datenleck bei ARD Plusminus und ORF2 Eco
|
28.01.22
|
In den beiden Wirtschaftsmagazinen gab es am 12.01.2022 (ARD, Plusminus) und 27.01.2022 (ORF 2, Eco) Beiträge, in denen über ein Datenleck im Juni 2021 berichtet wurde. In den Beiträgen, die in den Mediatheken der beiden Sender online verfügbar sind, wurde neben bekannten B2C-Plattformen wie Otto und Kaufland auch die B2B-Plattform ALZURA Tyre24 erwähnt.
Deshalb unsere Erklärung zu dem Datenleck:
Es gab bei ALZURA Tyre24 kein ‚Datenleck’. Vielmehr erfolgte ein Datenangriff (Hack) im Juni 2021 bei einem Dienstleister (Modern Solution), den Lieferanten/Anbieter für eine Anbindung an unsere B2B-Plattform für den KFZ-Aftermarket und andere Plattformen genutzt haben. Damit externe Anbieter die großen Plattformen wie ALZURA Tyre24 nutzen können, müssen sie ihr Warenwirtschaftssystem mit der Plattform über sogenannte Schnittstellen-Dienstleister verbinden. Über diese Schnittstellen werden die Bestelldaten der Händler für den Lieferanten verarbeitet. Die Entscheidung, welcher Dienstleister hier genutzt wird, obliegt ausschließlich den mit uns kooperierenden Lieferanten. Die Lieferanten/Anbieter haben auch die Verträge mit diesen Dienstleistern und sind für die Einhaltung des Datenschutzes verantwortlich.
Bestellungen landen meist per Api oder Export bei Services wie Modern Solution, wo die Bestellungen dann zentral abgerufen werden. Die Lieferanten/Anbieter haben Zugangsdaten zu den Plattformen wie ALZURA Tyre24 und geben diese an Dienstleister wie Modern Solutions weiter, nicht ALZURA Tyre24. Eine Plattform hat meist keine Kenntnis davon, welche Dienstleister die Lieferanten nutzen.
Nachdem wir von Mark Steier (Wortfilter) über das Datenleck Ende Juni 2021 informiert wurden, haben wir den Dienstleister kontaktiert. Unsere Recherche ergab, dass aktuell drei von 2.000 Lieferanten die Schnittstelle nutzen.
Deswegen ging sofort eine Meldung mit allen Informationen an die zuständige Aufsichtsbehörde raus. Wir standen mit dem Landesdatenschutzbeauftragten von Rheinland Pfalz in Kontakt - dabei sind wir auf alle Handlungsempfehlungen eingegangen. Dies geschah auf freiwilliger Basis, da das Datenleck nicht direkt bei ALZURA Tyre24 auftrat. Zudem haben wir auf freiwilliger Basis unsere gewerblichen Lieferanten/Anbieter und gewerblichen Händler per Startseiteninfo informiert. Diese Startseiteninfo wird jedem Händler/Lieferant groß angezeigt, der sich einloggt.
Im Gegensatz zu den in den Beiträgen genannten B2C-Plattformen ist ALZURA Tyre24 eine B2B-Plattform, bei der ausschließlich gewerbliche Händler bei gewerblichen Anbietern einkaufen können. Durch das Datenleck bei dem Dienstleister wurden B2B-Kontaktdaten und Unternehmensbankdaten veröffentlicht, die in der Regel auch über Impressum, Briefpapier usw. öffentlich frei verfügbar sind. Die in dem ARD PlusMinus-Beitrag angesprochene "private" Handynummer hat der gewerbliche Kunde uns als Unternehmens-Rufnummer angegeben und hat diese auch auf seiner Webseite als Unternehmens-Rufnummer hinterlegt.
Daten von Endverbrauchern wie bei den betroffenen B2C-Plattformen Otto, Check24 und Kaufland wurden nicht veröffentlicht.
Michael Saitow, CEO und Gründer von ALZURA Tyre24, hätte gerne persönlich Stellung in den Beiträgen genommen. Jedoch wurden getroffene Absprachen für Interviews von Seiten der Redaktion nicht eingehalten. Zum Beispiel gab es 24 Stunden vor Ausstrahlung eines Beitrags eine Interviewanfrage. Die Interviewanfrage konnte Michael Saitow nicht wahrnehmen, da die Interviewfragen vorab nicht zur Verfügung gestellt wurden und dadurch eine professionelle Vorbereitung nicht möglich war.