Nachdem heute früh durch Wortfilter ein massives Datenleck beim JTL Service Partner Modern Solution GmbH & Co. KG aufgedeckt worden ist, hat sich der Dienstleister kurz nach 17:00 Uhr mit einer >Anzeige einer Datenschutzverletzung< zu den Vorgängen geäußert. Diese Anzeige ist jedoch falsch, unvollständig und irreführend. Betroffene Händler werden nicht ausreichend und falsch über das Ausmaß der Datenschutzverletzung informiert.
Auf die Frage >Welche Daten sind betroffen?< antwortet der JTL Partner irreführend “Betroffene Daten Ihrer Kunden sind Versandinformationen wie Name, Vorname und
Anschrift.” Diese Aussage ist falsch!
Tatsächlich ist bei einigen Modern Solution Kunden ein Vollzugriff auf das System und die Kundendaten möglich. Das demonstriert der von Wortfilter im ersten Beitrag anonymisiert gezeigte Screenshot.
Erklärung
Im Modern Solution Ticketsystem sind die >Hosting Zugangsdaten< im Klartext Händlern übermittelt worden. Mit diesen Zugangsdaten lässt sich ein Händlersystem vollständig übernehmen, manipulieren oder auslesen. Dementsprechend lassen sich die vollständigen Endverbraucherdaten wie Bestellhistorie, Zahlweise, Kontakt- und Versand- bzw. Anschriftdaten oder Kundenrabatte einsehen. Also alle Endkunden spezifischen Daten die im System erfasst worden sind.
Einordnung
Trotz Dokumentation des Datenlecks im ersten Beitrag werden betroffene Händlerkreise nicht vollständig darüber informiert welche ihrer eigenen Kundendaten betroffen sind und welche möglichen Risiken ( z.B. Systemübernahme, Installation schädlicher Skripte durch Wettbewerber) sie ausgesetzt sind. Durchdurch sind betroffene Händler nicht in der Lage eigene Handlungsfolgen abzuschätzen oder zu bewerten.
Zwar gibt Modern Solution den Hinweis, dass die RDP Kennwörter von den Händlern zu ändern sind, aber das Unternehmen versäumt hier ihre Kunden über Art und Umfang einer möglichen Datenschutzverletzung hinzuweisen. Im Gegenteil, Händler werden in Sicherheit gewogen.
Fazit
Der JTL Service Partner reagierte mit starker Verzögerung auf das Datenleck. Händler die nicht den Wortfilter-Beitrag lesen konnten – dieser wurde in der JTL Gruppe gelöscht – waren den Tag über uninformiert. Sie sind dem Risiko ausgesetzt, dass sich nicht abgewickelte Verkäufe negativ auf ihre Performance und Reputation auswirken.
Sowohl vom Dienstleister Modern Solution als auch von JTL ist das Verhalten schlecht und Händler schädlich.
Download der >Anzeige einer Datenschutzverletzung< hier!
Anwaltsempfehlung
Dr. Thomas Engels, der auch JTL selbst vertritt hat in der Multichannel-Rockstar Facebookgruppe folgende Empfehlung für Händler gepostet:
Ihr habt vergessen die oberste Zeile zu schwärzen, dass habt ihr im Originalartikel noch gemacht. Ich kann die SteuerID und IBAN der Firma lesen.. Das solltet ihr vielleicht doch noch ändern.
Modern Solution Erfahrungen…..
Ich hab zwar keine Ahnung aber ist es nicht auch ein Datenschutzverstoß hier einen Screenshot zu posten in dem min. ein Kundendatensatz öffentlich sichtbar ist??
Firma Levando GmbH, inkl. Name, Vorname, Anschrift, Terlefonnummer, Email, Bankverbindung etc. pp.
..Presseprivileg 😉