CCC: Gesammelte Ausweisdaten von Übernachtungsdienstleister Numa gefunden

„Einfach und digital“ sollen Übernachtungen mit dem Angebot des Berliner Start-ups Numa sein – also ohne Rezeption und vergleichbare Interaktionen, bei denen Reisende auf eine Anwesenheit anderer Menschen angewiesen sind. Doch etwas zu einfach geraten war wohl auch das Verständnis von Datensicherheit und Datenschutz bei Numa, wie zuerst Zeit Online berichtete.

Ein Mitglied des Chaos Computer Clubs (CCC), das den Anbieter nutzte, stellte erst fest, dass nicht nur die Rechnungsnummern buchhalterisch korrekt fortlaufend waren, wie der CCC auch in einer eigenen Mitteilung erörtert. Sondern auch die IDs der digitalen Dokumente – und konnte so durch simplen ID-Austausch in der Webadresse theoretisch alle Rechnungen des Anbieters einsehen, inklusive aller abrechnungsrelevanten Daten der Kunden.

CCC findet Datenleck

Numa verlangte von den Nutzern zudem im Prozess des digitalen Check-ins das Hochladen einer amtlich bestätigten Identität, also etwa eines Personalausweises oder Reisepasses. Doch nach dem digitalen Check-in auf der Anbieterwebsite fand der CCCler laut Darstellung des Clubs auch noch ein JSON-Objekt „mit Name, E-Mail-Adresse, Telefonnummer und Ausweisdaten. Wir konnten weder nachvollziehen – noch verstehen – welchem Zweck dieses JSON-Objekt dienen sollte.“ Auch hier war laut Darstellung des Chaos Computer Clubs der Zugriff auf die Identitätsdaten Dritter möglich.

Der CCC informierte daraufhin den Betreiber sowie die zuständige Berliner Datenschutzaufsichtsbehörde. Laut Zeit Online informierte auch der Betreiber die Berliner Datenschutzbeauftragte von der Datenlücke. Laut Berliner Landesdatenschutzbeauftragter erfolgte die Meldung durch den CCC am 5. Juni und durch das Unternehmen am 6. Juni. Unklar ist, ob alle Betroffenen durch Numa bereits informiert wurden – Zeit Online berichtet, dass der Schritt bereits erfolgt sei, laut Berliner Datenschutzaufsicht soll dies im Laufe dieser Woche passieren.

Ausweisdatenspeicherung im Hotel seit Jahresanfang teilabgeschafft

Zwar scheint die Reaktion des Unternehmens schnell erfolgt zu sein. CCC-Sprecher Matthias Marx sieht aber ein grundsätzlicheres Problem: „Das beste Datenleck ist eins, das nicht entstehen kann, weil die Daten nie erhoben wurden. Die Ausweisdaten hätten schlicht nie verarbeitet werden dürfen.“

Seit Anfang des Jahres erfolgt eine Speicherung von Ausweisdaten bei deutschen Hotelgästen im Inland ohne eigene gesetzliche Grundlage und kann damit ein Verstoß gegen die Datenschutzgrundverordnung (DSGVO) sein. Nachdem die Regelungen für deutsche Staatsbürger aus dem Bundesmeldegesetz zu Jahresbeginn gestrichen wurden, fordert der Chaos Computer Club nun auch für Nichtdeutsche die Aufhebung der Regelung zu Identitätsnachweis und Aufbewahrung im Beherbergungsgewerbe.

(dmk)