Ein Mitarbeiter des Lieferdienstes "Gorillas" fährt auf einem Fahrrad Ware aus. | imago images/Arnulf Hettrich
Exklusiv

Datenleck bei Lieferdienst Kundendaten von "Gorillas" im Netz

Stand: 07.05.2021 06:08 Uhr

Das Berliner StartUp "Gorillas" verspricht, Lebensmittel innerhalb weniger Minuten an die Haustür zu liefern. Nun waren Nutzerdaten wenig geschützt im Internet abrufbar. Das zeigen Recherchen von NDR und rbb. Bußgelder könnten dem Unternehmen wohl erspart bleiben.

Von Eva Köhler, NDR, Haluka Maier-Borst, rbb

Im März 2020 wurde es gegründet, ist also etwas mehr als ein Jahr alt, das Geschäftsmodell läuft, Investoren bewerteten es schon jetzt mit einer Milliarde Dollar: Das Berliner Start-Up "Gorillas" verspricht, per Fahrradkurier Lebensmittel wenige Minuten nach Bestellung vor die Haustür zu liefern.

Doch offenbar hat "Gorillas" ein massives Datenschutzproblem. Mehr als eine Millionen Bestelldaten von mehr als 200.000 Kundinnen und Kunden des Lieferdienstes waren offenbar im Netz abrufbar. Die Mitglieder des IT-Kollektivs "Zerforschung", einer Gruppe von Programmierern und Informatikern, entdeckten die Sicherheitslücken im System des Start-Ups und informierten das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie NDR und rbb

Die Daten aller, die jemals bei "Gorillas" bestellt haben, seien abrufbar gewesen, erklärt Maxi von "Zerforschung", der dort nur mit Vornamen auftritt und die Datenlücke mitentdeckt hat: "Das heißt Name, Telefonnummer, E-Mail-Adresse und physikalische Adresse. Wo die Bestellung hingehen soll, welche Produkte man bestellt hat." Das können im Fall von "Gorillas" nicht nur Nudeln, Käse und Chips sein, sondern auch Corona-Schnelltests, Schwangerschaftstests und Kondome.  

Rückschlüsse auf das Privatleben möglich

Solch sensible Daten dürften nicht in falsche Hände geraten, warnt EU-Politiker Patrick Breyer von der Piraten-Partei: "Was wir kaufen, wofür wir unser Geld ausgeben - das sind sehr sensible Informationen, die Rückschlüsse auf unser Privatleben zulassen, bis hin zu Lebenskrisen oder Schwangerschaften."

Auf Anfrage von NDR und rbb bestätigte "Gorillas" die Sicherheitslücken. Diese seien mittlerweile geschlossen, betroffene Kunden per Mail informiert worden. Auch habe das Unternehmen bereits die zuständigen Behörden informiert. "Gorillas" teilte zudem mit: "Im Anschluss daran sind weitere Maßnahmen ergriffen sowie Sicherheitstests durchgeführt worden." Kundendaten seien zu keiner Zeit veröffentlicht worden.

Rasant wachsender Geschäftszweig

"Gorillas" ist Teil eines schnell wachsenden Milliarden-Markts. Laut dem Bundesverband E-Commerce und Versandhandel ist der Bereich Lebensmittel 2020 mit Abstand am stärksten gewachsen. So schnell wie kein anderes Unternehmen in Deutschland ist "Gorillas" von Investoren mit mehr als einer Milliarde Dollar bewertet worden. Doch "Gorillas" bekommt Konkurrenz: Das Berliner Start-Up "Flink" zum Beispiel oder das Hamburger Unternehmen "Bringoo" locken mit ähnlichen Versprechen wie "Gorillas". 

Sie haben noch etwas gemeinsam: Sie alle hatten Probleme mit Datenlecks und Sicherheitslücken. Im März berichtete der rbb, dass mehr als 3700 Nutzerdaten von "Flink" im Netz abrufbar waren. Auch beim Hamburger Anbieter "Bringoo" entdeckten die Mitglieder des IT-Kollektivs "Zerforschung" jetzt Sicherheitslücken. Hier war es offenbar möglich, auf Daten von 3000 Kunden und Kundinnen zuzugreifen.

"Bringoo" bestätigte die Zahl der Betroffenen und die Sicherheitslücken auf Anfrage. Diese seien nun geschlossen. "Selbst, wenn laut unserer Kenntnis kein Missbrauch der Daten stattgefunden hat, haben wir gemäß der Datenschutzgrundverordnung die zuständige Datenschutzbehörde nach dem Eingang des Hinweises über diesen Vorfall benachrichtigt. Außerdem haben wir unsere KundInnen über diesen Vorfall informiert und eine E-Mail an alle unsere registrierten NutzerInnen versendet." "Bringoo" erklärt weiter: "Wir bedauern sehr, dass es solch einen Vorfall gegeben hat, und bitten unsere KundInnen aufrichtig um Entschuldigung."

 Fehlende Sanktionen

"Meldungen wie diese, Berichte über Datenpannen, lesen wir ständig", sagt EU-Politiker Breyer. "Was mir fehlt, das sind wirksame Sanktionen, die dafür sorgen, dass ausreichend in IT-Sicherheit investiert wird. Da sind die Geldbußen zu selten und zu niedrig."

Diesen Vorwurf bestätigen die aktuellen Zahlen zu Bußgeldbescheiden bei Datenpannen, die die Landesdatenschützer in Deutschland NDR und rbb auf Anfrage mitteilten. Demnach verhängten Landesdatenschützer im Jahr 2020 insgesamt 302 Bußgelder in einer Gesamthöhe von mehr als 48,1 Millionen Euro. Doch 46,9 Millionen Euro davon verteilen sich auf nur drei Fälle. Für die übrigen 299 Fälle wurden demnach insgesamt, laut den vorliegenden Daten, nur etwas mehr als 1,2 Millionen Euro Bußgelder verhängt. 

 Strafe nur bei Verstoß gegen Meldepflichten

Dabei ermöglicht die europäische Datenschutzgrundverordnung (DSGVO) auch hohe Bußgelder, wenn personenbezogene Daten in Gefahr sind. Denn das Regelwerk sieht vor, dass Apps und Dienste personenbezogene Daten grundsätzlich nach aktuellem Stand der Technik schützen müssen. Sollte das nicht der Fall sein, können Bußgelder bis maximal 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes verhängt werden.

Doch Bußgelder bei Datenpannen zu verhängen sei "problematisch", erklärt der Hamburger Landesdatenschutzbeauftragte Johannes Caspar. Dieses Mittel dürfe nur eingesetzt werden, wenn betroffene Unternehmen gegen die Meldepflicht verstoßen. Sobald ein Unternehmen von einer möglichen Datenpanne erfährt, muss es das innerhalb von 72 Stunden den zuständigen Behörden melden. Macht es das, dürfen für die Datenpanne keine Bußgelder verhängt werden. "Erfährt die Behörde jedoch durch eine Beschwerde Betroffener oder aus anderen Quellen von dem Fall, dürfen diese anderen Quellen genutzt werden", sagt Datenschützer Caspar.

Ob "Gorillas" oder auch "Bringoo", die die Sicherheitslücken beide bereits bei den zuständigen Behörden gemeldet haben, um eine Strafe herumkommen, bleibt abzuwarten.

Über dieses Thema berichtete Inforadio am 07. Mai 2021 um 06:43 Uhr.