Datenschutz-Lecks sind für das Ansehen eines Unternehmens eine Katastrophe. Ist das Vertrauen in die Datensicherheit einmal verloren, lässt es sich nur schwer wieder herstellen. Viele Kund:innen gehen nämlich berechtigterweise davon aus, dass ihre persönlichen Daten auf den Servern sicher sind.
Besonders schlimm sind solche Leaks, wenn es sich um sensible Daten handelt. Dazu zählen E-Mails und Privatadressen, Aufenthaltsdaten, Ausweisdokumente und persönliche Fotos. Geraten solche Informationen in die Hände von Cyber-Kriminellen kann das verheerende Folgen für die Betroffenen haben.
Beim Fitness-Anbieter Urban Sports Club gab es nun den Super-GAU: Sensible Daten von Tausenden Kund:innen waren frei zugänglich im Internet abrufbar – und das seit mehreren Jahren.
Das geht aus einem Bericht von "Spiegel" hervor. Auch das Unternehmen Urban Sports Club selbst – das nach aktuellen Angaben mehr als 100.000 Mitglieder hat – hat in Mails an seine Kund:innen inzwischen einen "Datenschutzvorfall" bestätigt.
Am 26. März habe man Kenntnis davon erhalten, schreibt Urban Sports Club. "Über einen bestimmten Zeitraum waren sehr wahrscheinlich auch personenbezogene Daten betroffen", heißt es in der Mail. Zum Ausmaß des Lecks macht Urban Sports Club keine Angaben. "Spiegel" schreibt in seinem Bericht von Tausenden Mitgliedern, deren Daten ohne Passwortschutz für alle abrufbar waren, die den Speicherort kannten.
Ein Sprecher der Berliner Beauftragten für Datenschutz und Informationsfreiheit bestätigte gegenüber dem Magazin den Vorfall. "Demnach waren eine Kundendatenbank, Fotos von Ausweisdokumenten und Daten von Besuchen in den teilnehmenden Sporteinrichtungen öffentlich zugänglich", sagte der Behördensprecher.
In dem Bericht wird sich auf einen anonymen Hinweisgeber bezogen, der angibt, in einem frei zugänglichen Cloudspeicher Fotos von Personalausweisen, Reisepässen sowie mehrere Dateien mit rund 50.000 Kundendaten wie Namen, Adressen, Telefonnummern und E-Mails entdeckt zu haben.
Außerdem soll es rund 8000 Dateien gegeben haben, in denen Tausende "Check-in-Daten" der Mitglieder von Urban Sports Club verzeichnet waren. Diese Daten, aus denen hervorgeht, wann genau wer in welcher Sporteinrichtung war, sollen über mehrere Jahre öffentlich gewesen sein. Seit Juni 2022 wurden einige davon angeblich im Darknet angeboten.
Das 2012 in Berlin gegründete Start-up schreibt in der Mail an seine Mitglieder, dass man sofort reagiert habe. Die Lücke sei seit dem 27. März geschlossen und die zuständigen Behörden informiert.
Die Panne kann für Urban Sports Club Konsequenzen haben. Der Sprecher der Datenschutzbeauftragten erklärte, den Aufsichtsbehörden stünden bei Verstößen gegen die Datenschutzgrundverordnung verschiedene Mittel zur Verfügung. "Diese reichen von einer Verwarnung bei kleineren Verstößen bis hin zu Bußgeldern bei wiederholten oder schweren Verstößen."
Am schwersten dürfte für Urban Sports Club jedoch das verlorene Vertrauen der Kund:innen wiegen.