Seit einiger Zeit beschäftige ich mich mit dem Mastercard-GAU. Der Kreditkarten-Riese hat 90.000 Kundendaten verloren – inklusive Kreditkartennummern & Co:
Nach Informationen von Finanz-Szene.de hat der Kreditkartenanbieter bereits seit zwei Monaten massive Probleme mit den Gutscheinen des Programms, die einen Wert von bis zu 500 Euro hatten. (…) Unseren Recherchen zufolge klagten Teilnehmer des Programms bereits vor Wochen, ihre Gutscheine – etwa vom Reisekonzern TUI – seien von unbekannten Dritten benutzt worden, teilweise angebrochen oder schlicht ungültig. Zudem tauchten Gutscheine-Großhändler auf Auktionsplattformen und anderen Internetquellen auf, ohne preiszugeben, woher ihre Gutscheine genau stammten. (…) Ein Zusammenhang zwischen den massiven Gutscheinproblemen und dem seit Montag im Internet kursierenden Datensatz von über 90.000 Teilnehmern des Bonusprogramms „Priceless Specials“ im Internet ist zwar nicht erwiesen – liegt aber nahe. Denn: der letzte Eintrag der nun kursierenden Liste (…) datiert auf den 23. Juni. Unmittelbar darauf eskalierte das Gutscheinproblem und häuften sich die öffentlichen Mutmaßungen über ein mögliches Datenleck.
(Mehr dazu hier).
Es ist nicht allzu schön, seine privaten Wohn- und Zahlungsdaten Daten schön sauber sortiert in einer Excel-Liste zugespielt zu bekommen. Wie sich Mastercard hier gerade verhält ist äußerst… „interessant“. Bisher dachte immer, ich könnte selbst mal ein Opfer eines DSGVO-Abmahnanwalts werden und habe mich auf die neuen Regeln so gut wie es geht vorbereitet.
Hätte nicht gedacht, dass ich jetzt eher auf der anderen Seite stehe und meine DSGVO-Rechte gegenüber einen Weltkonzern durchboxen muss. Richtig erschreckend finde ich dabei, dass ich mich in einem Forum mit anderen schon letzten Monat ausführlich über einen möglichen Daten-Breach unterhalten habe, nachdem bei Priceless extrem merkwürdige Sachen mit TUI-Gutscheinen passiert sind. Wir konnten damals nicht glauben, dass ein Unternehmen wie Mastercard, trotz mehrfacher Hinweise, sich einfach stumm stellt.
Erst Wochen später hat man dann reagiert. Zu dem Zeitpunkt hatte ich die besagte Datenbank mit meinen Daten (und denen von rund 90.000 anderen Mastercard-Nutzern) schon längst selbst gesehen. Dabei ist der Kartenmißbrauch gar nicht das Hauptproblem. Viel entscheidender bleibt denke ich der Warenkreditbetrug – dafür ist die Liste gold wert. Sogar korrekte Geburtsdaten zum Bonitätsabgleich sind drin. Jetzt darf ich womöglich über Jahre meine Schufa prüfen, ob jemand in meinem Namen Waren bestellt und dann nicht bezahlt.
Ich bin ja der Meinung, das ist ein DSGVO-Bruch. Denn normalerweise müssen Datendiebstähle unmittelbar angezeigt werden. Ob das zeitnah genug erfolgte, ist für mich nun fraglich. Allerdings hat die zuständige Datenschutzbeauftragten-Behörde in Hessen bereits eine Meldung herausgegeben, nach derer Mastercard im Rahmen der DSGVO wohl alles richtig gemacht hat. Mastercard sichert sich jetzt erst mal ab und wird vermutlich erst mal überhaupt keine Schuld bei sich sehen – und auch kein Bußgeld zahlen. Ob sie damit am Ende durchkommen, wird sich zeigen.
Unterdessen bietet Mastercard allen Geschädigten einen Dienst bei Experian. Die überwachen einen bezüglich Identitätsdiebstahl. Dabei ist man scheinbar in bester Gesellschaft:
Am 15. September 2015 wurden die Server von Experian gehackt. Bis zu 15 Millionen Menschen sind betroffen die entsprechende Dienste des Unternehmens in Anspruch genommen haben. Betroffen waren überwiegend Kunden der amerikanischen Mobilfunkfirma T-Mobile.[5]
(Wikipedia)