Falsche Kundendaten im Telekom-Shop ausgehändigt

Ein Telekomshop hat versehentlich einen USB-Stick mit privaten Daten fremder Kunden herausgegeben.
Foto/Logo: Telekom/teltarif.de, Montage: teltarif.de Ein Handy enthält heute viele persön­liche Daten. Wer sich ein neues Handy kauft, möchte die alten Daten retten und über­lässt das viel­leicht Leuten, von denen zu erwarten wäre, dass sie sich damit aus­kennen. Eine Frau aus Schwen­ti­nental (Kreis Plön, bei Kiel) ging dazu in einen Telekom-Shop und ließ sich in dem Shop eine Daten­kopie vom Gerä­te­spei­cher ihres Mobil­te­le­fons auf einen USB-Stick anfer­tigen. Soweit so gut.

Als sie jedoch den USB-Stick mit den Daten abholen wollte, passierte das Unglück: Sie erhielt den falschen Stick mit den falschen Daten: Darauf waren nicht ihre Fotos, Videos und viel­leicht noch Pass­wörter ihrer Online-Konten, sondern die von verschie­denen anderen Kunden, und einiges sei auch nicht ganz "jugend­frei" gewesen.

Daten von sieben fremden Kunden bekommen

Ein Telekomshop hat versehentlich einen USB-Stick mit privaten Daten fremder Kunden herausgegeben.
Foto/Logo: Telekom/teltarif.de, Montage: teltarif.de So eine Panne ist nicht nur unan­ge­nehm, sondern "in einigen Fällen ein Sicher­heits­ri­siko mit kaum abschätz­baren Folgen", kriti­siert der Jurist Boris Wita von der Verbrau­cher­zen­trale Schleswig-Holstein, der den Fall gegen­über der Deut­schen Pres­se­agentur heute öffent­lich machte. Unter den weiter­ge­ge­benen Daten seien auch Namen und Tele­fon­num­mern aus Anruf­pro­to­kollen gewesen. Die Frau hatte auf dem falschen Stick hunderte Urlaubs­bilder, private Nach­richten und Anruf­pro­to­kolle von fremden Menschen entdeckt. Laut Verbrau­cher­zen­trale enthielt der Stick mehrere Siche­rungs­ko­pien der Smart­phone-Gerä­te­spei­cher von sieben verschie­denen Kunden. Insge­samt seien mehrere hundert Menschen (die in den Tele­fonen der sieben Kunden im Adress­buch gespei­chert waren) betroffen.

Abmah­nung und Bußgeld

Die Verbrau­cher­zen­trale und das Unab­hän­gige Landes­zen­trum für Daten­schutz (ULD) prüfen nun eine Abmah­nung und ein Bußgeld. Dass Siche­rungs­ko­pien mehrerer Kunden weiter­ge­geben wurden, werfe die Frage nach dem tatsäch­li­chen Ausmaß der Daten­panne auf. "Mögli­cher­weise ist das bisher Bekannte nur die Spitze des Eisbergs und es sind noch mehr Menschen betroffen", sagte Wita.

Die Deut­sche Telekom steht wegen des Falls nach eigenen Angaben mit der zustän­digen Aufsichts­be­hörde, dem Bundes­be­auf­tragten für den Daten­schutz und die Infor­ma­ti­ons­frei­heit (BfDI), in Kontakt. "Daten­schutz hat bei uns oberste Prio­rität", erklärte ein Spre­cher der Deut­schen Presse-Agentur. Die Telekom prüfe den Vorgang derzeit.

Daten sollen auf neu gekauften USB-Stick über­tragen werden

Laut Telekom sieht der vorge­ge­bene Prozess vor, dass vom Kunden gewünschte Daten­trans­fers von einem Endgerät zum anderen über neue, unbe­nutzte USB-Sticks erfolgen, die der Kunde kauft. "So ist ausge­schlossen, dass Daten Dritter auf dem Stick gespei­chert sind. Warum im Telekom Shop Schwen­ti­nental von diesem Stan­dard­pro­zess abge­wi­chen wurde, prüfen wir derzeit."

Original-Daten nach Kopie löschen

Eigent­lich müssen diese Daten nach der Über­gabe des neuen Handys an den Kunden auf den Compu­tern im Shop gleich komplett gelöscht und maximal zuvor separat auf einem extra USB-Stick pro Kunde gespei­chert und nur an diesen ausge­hän­digt werden. USB-Sticks kosten heute nicht mehr die Welt. Viel­leicht haben bisher manche Händler die Kunden-Daten danach ganz bewusst aufge­hoben, weil "schus­se­lige" Kunden ihr Handy verse­hent­lich gelöscht haben und dann nach­fragen, ob der Laden helfen kann. Solange der Shop diese Daten gut und sicher aufbe­wahrt hat, mag das früher viel­leicht einmal "Dienst am Kunden" gewesen sein. Im Zeichen von gestei­gertem Daten­schutz­be­wusst­sein geht das wohl heute nicht mehr und das muss dem Kunden dann auch klar gesagt werden.

Egal von welcher Marke der Shop ist, ob er marken­un­ab­hängig, als Einper­so­nen­un­ter­nehmen oder im Rahmen einer Laden­kette arbeitet: Die Abläufe sind in allen Shops ähnlich. Dass Tele­fon­kunden sich ihre Daten vom einem Telefon auf das nächste retten lassen wollen, kommt in jedem guten Laden vor, das ist Service am Kunden. Nicht jeder Kunde ist so fit, das selbst durch­zu­führen. Dass diese Daten auf einen "gebrauchten" USB-Stick gezogen werden, kommt auch vor. Dass Daten verschie­dener Kunden auf dem glei­chen USB-Stick landen, sollte nicht sein, findet aber in der Praxis viel­leicht öfters statt, als es sein sollte.

Unser Tipp: Eigene Daten selbst verwalten

Im übrigen: Ein gut infor­mierter Handy­nutzer sollte heute in der Lage sein, eigene Daten selbst zu verwalten. Nur dann besteht eine gewisse Gewähr, dass nichts in falsche Hände gelingt, ein Schutz ist es aller­dings nicht. Wer seine ganzen Pass­wörter auf dem Handy spei­chern möchte, sollte dafür einen Pass­wort­ma­nager verwenden. Dann hätte die verschlüs­selte Pass­wort­datei ruhig in falsche Handy gelangen können, wäre aber von Dritten nicht auslesbar gewesen, sofern nicht der Master-Key (Haupt­schlüssel) dieser Datei im Klar­text auch auf dem Handy gespei­chert ist.

Wer ein Handy unter Android oder iOS verwendet und seinem System auch beim nächsten Handy "treu" bleibt, hat gute Chancen, dass das Backup aus der Google (Android) bzw. iOS/iCloud (Apple) alle Daten auto­ma­tisch dem nächsten Handy über­gibt. Regel­mä­ßige eigene Backups (auf den heimi­schen PC) sind auch eine Lösung.

Vor der Handy­wei­ter­gabe Daten löschen!

Und wer sein Handy verschrotten (recy­clen) oder schlicht verkaufen will, sollte vorher unbe­dingt alle Daten löschen oder löschen lassen. Eine Möglich­keit wäre "Wipe Data / Factory Reset" im Android-Boot­menü (Menü vom Handytyp abhängig, Google hilft). Bei einem iPhone müssen zunächst die Apple-Watch (falls vorhanden) und das iTunes/iCloud Konto vom Handy endgültig entkop­pelt werden. Wer absolut auf Nummer sicher gehen will, richtet nach dem Lösch­vor­gang einen neuen Fanta­sie­nutzer ein, damit die alten Daten wirk­lich über­schrieben werden und prüft, dass an keiner Stelle mehr alte Nutzer­konten zu finden sind oder alte Pass­worte abge­fragt werden. Auch in dem Such­tool von Android (Google Konto) oder iOS (Find my Phone) muss das Telefon abge­meldet werden. Zu guter Letzt: SIM-Karte entfernen (heraus­nehmen oder eSIM löschen).