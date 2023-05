Deutschlandticket startet beim NVV mit Datenpanne

Von: Matthias Lohr, Florian Hagemann

Große Nachfrage und eine Datenschutzpanne: Vor einer Woche warben NVV-Geschäftsführer Steffen Müller (links) und KVG-Vorstand Olaf Hornfeck an einer Straßenbahn für das Deutschlandticket. © Andreas Fischer

Zum Start des Deutschlandtickets gab es beim Nordhessischen Verkehrsverbund eine Datenpanne. 400 Empfänger konnten die Adressen anderer Kunden einsehen. Der Datenschutzbeauftragte warnt.

Kassel – Zum Start des Deutschlandtickets kam es beim Nordhessischen Verkehrsverbund (NVV) zu einer ungewöhnlichen Datenschutzpanne. Bereits angemeldete Kunden erhielten am Samstag per E-Mail Informationen zum 49-Euro-Ticket, das seit Montag bundesweit im Nahverkehr gültig ist. Bei 400 Empfängern waren dabei alle anderen Adressaten sichtbar – ein eklatanter Verstoß gegen Datenschutzrichtlinien.

Mehrere NVV-Kunden hatten sich über das Wochenende bei der HNA gemeldet, um auf den Fall aufmerksam zu machen. Eine Frau aus Fuldatal war auf die Panne aufmerksam geworden, als sie Mails von vier unbekannten NVV-Kunden in ihrem Postfach entdeckte. Die hatten sich beim Unternehmen über die Panne beschwert und ihre Mail an alle Adressen versendet, die im Feld „Kopie“ aufgeführt waren. Eine Frau aus Kassel sagte, sie sei stinksauer. Ihre Mail enthielt Dutzende Mailadressen anderer NVV-Kunden: „Ich dachte, ich spinne.“



Der NVV meldete den Vorfall laut einer Sprecherin an die hessische Datenschutzaufsichtsbehörde, wie es gesetzlich gefordert ist. Es handele sich um „menschliches Versagen in zwei Einzelfällen, da hier manuell die Mail-Adressen statt in bcc in cc kopiert wurden“. Mit anderen Worten: Ein Mitarbeiter hatte die Adressen in ein falsches Feld eingefügt. Insgesamt seien am Samstag 2000 E-Mails verschickt worden – jeweils in Tranchen mit 200 Adressaten. Offen sei der Verteilerkreis nur in zwei Tranchen gewesen. Betroffen waren demnach 400 Kunden.



Alle Mitarbeiter würden nun „ein weiteres Mal dafür sensibilisiert“, beim Versenden von E-Mails mit Verteilern besonders vorsichtig zu sein. Kunden, die sich wegen der Panne gemeldet hatten, würden einen Geschenkgutschein erhalten. Eine Entschädigungspflicht werde juristisch noch geprüft. Zumindest eine Kundin erklärte gegenüber der HNA, juristisch gegen den NVV vorgehen zu wollen.



Auch abseits der Datenpanne geschah die Einführung des Deutschlandtickets nicht reibungslos. Wegen der großen Nachfrage war die Internetseite des NVV zwischenzeitlich nicht erreichbar. Eine Bestellung war zeitweise nicht möglich. Im Lauf des Tages sollte die Seite wieder erreichbar sein. Es gebe ein großes Interesse an dem neuen Angebot, sagte die Sprecherin. Mittlerweile seien 18 000 Tickets verkauft worden.

Laut Alexander Roßnagel passiert solch eine Datenschutzpanne nicht nur beim NVV. Der Rechtswissenschaftler und ehemalige Vizepräsident der Universität Kassel ist seit Dezember 2020 hessischer Datenschutzbeauftragter. Der NVV hatte den Vorfall an seine Behörde gemeldet, wie es Vorschrift ist.

Laut Roßnagel ist der „versehentlich erfolgte Versand an mehrere E-Mail-Adressen über das offen lesbare Feld ,CC:’ leider keine Seltenheit“, wie er auf Anfrage mitteilt. Das Risiko, das bei der NVV-Panne besteht, werde derzeit von seiner Behörde geprüft.

Die Folgen können in jedem Fall gravierend sein, wie Roßnagel sagt. Die E-Mail-Adressen der Empfänger würden „einer kaum einschätzbaren Gefährdung durch Schadprogramme ausgesetzt“. Habe einer der 400 Empfänger kein aktuelles Antivirenprogramm, „kann ein Schadprogramm auf seinem PC die mit der Massen-E-Mail übermittelten Daten zur eigenen Weiterverbreitung oder zur Fälschung der Absenderangaben entsprechender Trojaner-E-Mails nutzen“. Hinzu komme die Gefahr, dass andere E-Mail-Empfänger die erhaltenen Adressen für unverlangte Spam-Mails nutzen können. Letztlich könnte die hohe Zahl der eingehenden E-Mails sogar zur Funktionsunfähigkeit eines E-Mail-Accounts führen.

Die Panne könnte für den NVV auch juristische Folgen haben. Zumindest eine Kundin sagte der HNA, sie überlege, juristisch gegen das Unternehmen vorzugehen. Ein Anspruch auf Schadensersatz kann sich durch die Datenschutz-Grundverordnung ergeben. (Matthias Lohr, Florian Hagemann)