Letzte Woche wurde ein größeres Datenleck bekannt, und am Dienstagnachmittag wird vor dem Gericht Rotterdam ein Eilverfahren stattfinden. Welche Daten durchgesickert sind und wie es dazu kommen konnte, will das Marktforschungsunternehmen Blauw vom Softwareanbieter Nebu wissen. Bisher schweigt das Unternehmen.
Eine Reihe großer Unternehmen, darunter VodafoneZiggo, die NS und der Krankenversicherer CZ, haben Hunderttausende von Kunden vor einer möglichen Datenschutzverletzung gewarnt. Personenbezogene Daten, die für Umfragen zur Kundenzufriedenheit verwendet werden, können dadurch öffentlich geworden sein. Dies betrifft beispielsweise Vorname, Nachname und E-Mail-Adresse.
„Wir sind uns immer noch nicht sicher, ob personenbezogene Daten durchgesickert sind“, sagt Jos Vink, Direktor von Blauw, gegenüber NU.nl. „Wir haben Ende März einen Bericht über ein Datenleck von unserem Softwarelieferanten Nebu erhalten. Auf Fragen, welche Daten durchgesickert sind und wie es dazu kommen konnte, haben wir jedoch keine Antworten erhalten.“
Sensible Daten wie Kreditkartendaten, Login-Namen oder Passwörter sind sicherlich nicht durchgesickert. „Solche Daten verarbeiten wir nicht für unsere Ermittlungen“, erklärt Vink.
Im Eilverfahren verlangt Blauw vom Softwarelieferanten Offenlegung seiner Angelegenheiten. „Wir müssen wissen, welche Daten durchgesickert sind“, erklärt Vink. „Aber auch, wie das passieren konnte.“
Krijg een melding bij nieuwe berichten
Ob bei dem Cyberangriff Daten gestohlen wurden, ist unklar
Nebu habe lediglich angekündigt, dass ein Cyberangriff stattgefunden habe, sagt Vink. „Aber das sagt dir nichts. Die wichtigste Frage ist: Wurde etwas entfernt?“
Der Softwarelieferant Nebu liefert Software an Marktforscher in ganz Europa. Laut Vink ist Blauw nicht der einzige Marktforscher, der von der Datenschutzverletzung betroffen ist. „Für das Eilverfahren gegen Nebu arbeiten wir mit mehreren niederländischen Unternehmen zusammen.“
Mehr als zwanzig Unternehmen mit Hunderttausenden von Kunden haben bereits angegeben, dass sie von der Datenschutzverletzung betroffen sind. Darunter die NS, VodafoneZiggo, Friends of Amstel LIVE, die Pensionskasse PME und die Krankenkasse CZ. Aber auch die National Postcode Lottery, der Bahnmanager ProRail, die Netherlands Enterprise Agency und mehrere Wohnungsbaugesellschaften.
Alle diese Organisationen haben der niederländischen Datenschutzbehörde (AP) bereits einen vorläufigen Bericht über eine Datenschutzverletzung übermittelt. Aber solange nicht klar ist, ob – und wenn ja, welche – Daten durchgesickert sind, kann der Bericht nicht definitiv gemacht werden.
Der Marktforscher steckt in einem Dilemma
„Es kann sein, dass keine Daten von uns durchgesickert sind“, erklärt Vink. „Aber weil wir es nicht wissen, haben wir unsere Kunden vorsorglich informiert.“
Blauw-Kunden seien verunsichert, verärgert und würden zunehmend ungeduldig, sagt Vink. „Wir haben eine Verantwortung gegenüber unseren Kunden, aber wir sind in einem Dilemma, weil wir keine Informationen von Nebu bekommen.“
Die Hoffnung ist, dass der Softwarelieferant nach dem Gerichtsurteil nachgibt. Auch NU.nl kontaktierte Nebu, aber das Unternehmen war für eine Stellungnahme nicht erreichbar.