hacked.works

Ich habe gerade auf der deutschsprachigen Webseite eines Unternehmens mit Sitz in Spanien einen eklatanten Datenschutz-Verstoß entdeckt: hunderte (wohl eher tausende) Buchungs- und Rechnungsdokumente frei zugänglich mit persönlichen Daten!

Wie ist denn jetzt das richtige Vorgehen? An wen und wie melden? @bfdi

Nov 15, 2022 at 7:52amWeb
Show threadhacked.worksNov 15, 2022
Die betroffene Firma hat bereits reagiert und den Zugriff (mehr oder weniger) gesperrt. Soweit, so gut. Allerdings ist die Frage, wer hat die Daten vorher schon abgegriffen? Und wie bekommt man sie aus den Suchmaschinen-Caches?
Show threadBfDINov 15, 2022
@hacked_works Sie können sich immer an die Datenschutzaufsichtsbehörde im Bundesland Ihres Wohnortes wenden. Die Kolleginnen und Kollegen leiten das dann an die zuständige Aufsicht (vermutlich dann Spanien) weiter. Adressen finden Sie auf unserer Homepage unter: https://www.bfdi.bund.de/DE/Service/Anschriften/Laender/Laender-node.html / ÖA
BfDI - Landesbehörden

Show threadhacked.worksNov 15, 2022
@bfdi Danke. Dann werde ich das tun. In BW habe ich als in meiner Rolle allerdings nur die Möglichkeit, eine Email zu senden und kein Webformular... Zum Glück habe PGP konfiguriert, sonst gingen die Details zum Problem unverschlüsselt über die Leitung. Hmm
Show threadDenianNov 15, 2022
@hacked_works @bfdi Aus Höflichkeit erstmal an die Firma selbst. Wenn die Seite ein Impressum hat findest du da idealerweise einen sinnvollen Ansprechpartner, sonst einfach die erste öffentliche E-Mail-Adresse, die du finden kannst.
Show threadhacked.worksNov 15, 2022

@Denian Danke. Ja, das habe ich getan, damit die die Lücke schnellstmöglich schließen können. Ging allerdings nur per Webformular, weil keine andere Möglichkeit angeboten wurde.

Mir geht es nun auch darum, dass die Betroffenen informiert werden und nicht heimlich, still und leise die Dokumente gelöscht werden.

Show threadDenianNov 15, 2022
@hacked_works Dafür kannst du meiner Meinung nach nur entweder darauf vertrauen, dass die Firma korrekt handelt, oder direkt die Spanischen Datenschutzbehörde informieren, damit die sich darum kümmert.
Show threadRoryTobeyNov 15, 2022
@hacked_works Geht es darum das dem Unternehmen mitzuteilen oder der Öffentlichkeit?
Show threadhacked.worksNov 15, 2022
@RoryTobey Mir geht es darum
1. die Kunden, deren Daten einsehbar sind, möglichst gut vor einem Missbrauch zu schützen.
2. die Firma, die hier ihre Arbeit nicht richtig gemacht, in die Pflicht zu nehmen.
Show threadRoryTobeyNov 16, 2022
@hacked_works Zu 1. siehe Antwort BfDI, zu zweitens könnte heise online eine Möglichkeit sein.