News Cyberangriff: EasyPark bestätigt unbefugten Zugriff auf Kundendaten

[andy_m4]

Sensible Daten waren bei dem Vorfall nicht betroffen.

Mit den Kategorien gut und schön, aber ich weiß nicht, ob man das so trennen kann.
Beispiel Adresse: Ansich kein sensibles Datum. Es sei denn, Du wohnst in einer Gegend, die wegen irgendwas in "Verruf" ist. Ist jetzt vielleicht kein gutes Beispiel, zeigt aber das in normalen Daten sensible indirekt drin stecken können. Insofern ist so ne pauschale Trennung schwierig.

Spielt ja letztlich auch keine Rolle. Personenbezogene Daten sollten generell nicht "wegkommen". Egal ob sensibel oder nicht.

Wie soll man es sonst digital lösen? Wie soll der Kontrolleur wissen ob du ein Parkschein hast oder nicht?

Naja. Man könnte auch ne Codenummer (ID) ausgeben die ausgedruckt wird und die man ins Auto legt (wie ein normalen Parkschein auch). Dann braucht kein Kfz-Kennzeichen gespeichert werden und der Kontrolleur kann trotzdem ein Abgleich machen. Im Grunde bräuchte man nicht mal Name, Adresse, Telefonnummer. Für EasyPark ist doch nur relevant, das die ihr Geld kriegen.
Insofern lässt sich das schon datensparsamer betreiben, wenn man denn wollte.

 

[Mark3Dfx]

Jo, und wenn du Glück hast parkst mal eben in Finnland, drei Stunden vor ner Schwimmhalle
während dein Auto hier in D in der Tiefgarage steht

Weil EasyPark gleiche Kennzeichenkombinationen aus unterschiedlichen Ländern nicht unterscheiden kann (will?),
aber trotzdem fleißig abbucht.
IT im Jahr 2023.

 

[j-d-s]

Ohne die "demokratiefeindliche" EU-Kommission wäre der Abfluss deiner Kundendaten bei EasyPark nicht einmal meldepflichtig.

Nun, es ist ja nicht so, dass wir nicht vorher bereits ein Bundesdatenschutzgesetz gehabt hätten und sogar einen Bundestag, der es ändern kann!

Angewiesen auf die EU sind wir in der Angelegenheit gewiss nicht.

 

[v3locite]

Artikel §42a BDSG hätte die hier betroffenen Daten als nicht sensible, personenbezogene Daten eingestuft, deren Entwendung nicht gemeldet werden muss. Mit GDPR/DSGVO ist die Informationspflicht wesentlich verschärft worden.

Von dem Sinn und Nutzen, den ein gesamteuropäisches Datenschutzrecht für den Binnenmarkt hat, fang ich gar nicht erst an. Es ist auf jeden Fall blanker Hohn, ausgerechnet aus diesem Beispiel eine "Demokratiefeindlichkeit" der EU-Kommission ableiten zu wollen. Aber wie heißt es so schön: Für einen Hammer sieht alles aus wie ein Nagel.

 

[ReactivateMe347]

Wie soll man es sonst digital lösen? Wie soll der Kontrolleur wissen ob du ein Parkschein hast oder nicht?

Schrieb ich doch. Parkbucht 93218 ist 16.13-18.13 bezahlt. Fertig.

 

[knoxxi]

Und dann hast Du dich umentschieden und ein anderer steht dort, der nicht dafür bezahlt hat. Zum Beispiel in den NL trägst du sehr häufig am Parkautomaten noch dein Kennzeichen ein.

Und Easypark hat sogar meine Adresse auf Grund der Vignette die in manchen Städten noch Pflicht sind.

 

[Sylar]

Seit wann gibt es eine Nummer bei öffentlichen kostenpflichte Parkplätzen? Das hab ich ja noch nie gesehen.
Außerdem interessiert es mich nicht, wo mein Auto steht. Jedes mal die Parkbucht # zu ändern...Nein Danke.

Ich weiß ja nicht wie es in deiner Stadt aussieht, aber ich stelle mich wohin und kaufe dann das Parkticket (online via kennzeichen und offline halt mit Parkscheine). Da gibt es keine beschrifteten Parkplätze.

 

[Gnarfoz]

Und dann hast Du dich umentschieden und ein anderer steht dort, der nicht dafür bezahlt hat. Zum Beispiel in den NL trägst du sehr häufig am Parkautomaten noch dein Kennzeichen ein.

Wofür ist das relevant, wer dafür bezahlt hat?

 

[knoxxi]

Wenn du für andere mitbezahlen möchtest, steht dir das herzlich gerne frei.

 

[Gnarfoz]

Du zahlst doch frühestens, wenn du bereits da stehst. Und wenn du früher wegfährst, beendest du den Parkvorgang vorzeitig. Ich kann mir das Szenario irgendwie nicht vorstellen.

 

[knoxxi]

Ich kann mir das Szenario irgendwie nicht vorstellen.

Er will es im Voraus bezahlen, mit einer Möglichkeit des Abbruchs sehe ich so nicht. 🤷🏼‍♂️

 

[Gnarfoz]

Hmm, ich lese nirgendwo, dass er etwas im voraus buchen möchte. 🤷
Wäre ja eh auch ein merkwürdiges Konzept bei öffentlichen Parkplätzen. Dann bucht irgendein Twitch-Troll einfach mal eine halbe Stadt für eine Woche... Parkplatz-DoS... 😅

 

[CountSero]

Ich nutze keinen dieser Dienste da ich kein Auto habe aber es ist schon ein Witz zu behaupten das dies keine sensiblen Daten sein sollen. Auch die Definition der EU finde ich fragwürdig.

Mag sein das wenn man nur Vorname und Name hat damit nicht viel Anfangen kann weil da wird es schon ein paar mehr Treffer geben aber sobald man verschiedene Daten dann in Zusammenhang bringt wie Vollständiger Name mit Adresse und Telefonnummer bildet man doch einen Eindeutigen Datensatz der eine Person zu 100% Identifiziert.

Für Scammer sind solche Daten doch gefundenes Fressen, sollen die Chefs des Unternehmen mal Ihren Persönliche Daten zur Verfügung stellen dann sieht man schnell wie "Sensibel" diese dann sind.

 

[kicos018]

Ich nutze keinen dieser Dienste da ich kein Auto habe aber es ist schon ein Witz zu behaupten das dies keine sensiblen Daten sein sollen. Auch die Definition der EU finde ich fragwürdig.

Du und viele andere hier macht halt den Fehler, euch an einem einzigen Wort aufzuhängen. "Sensibel" bedeutet in dem Kontext eben nicht, ob die Person identifizierbar ist oder nicht.

"Sensibel" wird genutzt um klar abzutrennen welche Daten aufgrund von Diskriminierung oder eindeutiger Identifizierung (durch bspw. biometrische Daten) entweder gar nicht erst abgerufen werden dürfen, oder eben unter besonderem Datenschutz stehen. Daten zu Ethnie, politische Einstellung, sexuelle Orientierung oder Religionszugehörigkeit sind eben deutlich persönlicher (sensibler) und damit schützenswerter als Name und Adresse.

 

[lhinny]

Scheinbar wird man jetzt auch über SMS informiert.

 

[andy_m4]

Finde ich auch irgendwie witzig. Weil für die Erbringung der Dienstleistung ist die Erhebung der Telefonnummer ja eigentlich nicht notwendig. Wird aber trotzdem erhoben, um Kunden zu informieren, wenn deren Daten "weggeklaut" wurden. :-)

 

[CountSero]

Du und viele andere hier macht halt den Fehler, euch an einem einzigen Wort aufzuhängen. "Sensibel" bedeutet in dem Kontext eben nicht, ob die Person identifizierbar ist oder nicht.

"Sensibel" wird genutzt um klar abzutrennen welche Daten aufgrund von Diskriminierung oder eindeutiger Identifizierung (durch bspw. biometrische Daten) entweder gar nicht erst abgerufen werden dürfen, oder eben unter besonderem Datenschutz stehen. Daten zu Ethnie, politische Einstellung, sexuelle Orientierung oder Religionszugehörigkeit sind eben deutlich persönlicher (sensibler) und damit schützenswerter als Name und Adresse.

Ich und die vielen Anderen verstehen sicherlich schon was mit damit gemeint ist.

Es ist der Betreiber der versucht mit dem hinweise das „keine Sensiblen Daten“ abgeflossen sind, mit verweis auf die EU Seite, den Vorgang einfach herunter zu spielen.

Mir ist bewusst das rein Rechtlich hier verschiedene Definitionen was Sensible Daten sind oder nicht aber was meinst du denn was der betroffene Kunde denkt `?´ „Och, ist ja nix sensibles dabei….“

Wenn der Vollständige Namen mit Adresse mit Telefonnummer und zugehöriger e-Mail in Kombination unkontrolliert abfließt ist das für die Betroffene Person schon sehr bescheiden.


Wie ich bereits vorher schrieb ist das ein Perfekter Datensatz der für einiges Verwendet werden kann und gezielte Werbung ist gerade noch das Harmloseste das mir hier einfallen würde.


Du würdest doch auch nicht einfach hier deinen echten Namen inklusive Adresse, Telefonnummer und e-Mail Adresse zu Posten, weil du weisst das irgendein ein Seppel damit Schindluder treiben würde. Auch wenn es keine „Sensiblen“ Daten sind….

Sich hinter einer rechtlichen Definition zu verstecken ist einfach ein feiger Zug des Unternehmens und trägt absolut nix zur Aufklärung des Falls bei. Aber anscheinend wollen Sie bereits jetzt Ihre Verantwortung damit herunter Spielen.

 

[kicos018]

Wenn der Vollständige Namen mit Adresse mit Telefonnummer und zugehöriger e-Mail in Kombination unkontrolliert abfließt ist das für die Betroffene Person schon sehr bescheiden.

Natürlich ist das kacke, das bestreitet aber auch niemand? Ich sehe es aber bei weitem nicht als "perfekten Datensatz" an, weil außer spam oder phishing kaum was damit gemacht werden kann.
Damit will ich nicht den Vorfall runterreden, sondern nur das Außmaß an Empörung und Weltuntergang, welches hier dargestellt wird.

Sich hinter einer rechtlichen Definition zu verstecken ist einfach ein feiger Zug des Unternehmens und trägt absolut nix zur Aufklärung des Falls bei.

Wo verstecken sie sich denn? Sie machen doch das, was gesetzl. vorgeschrieben ist: Bei der Aufsichtsbehörde melden und die Betroffenen informieren.
Du kannst gerne Namen und Adressen für dich als sensible Daten einstufen, darfst dann aber nicht empört sein wenn sich Unternehmen and die gesetzl. Definitionen halten und nicht an deine.