Sehr geehrter Herr
MonsieurPoot,
Die folgenden Ausführungen sind mit
Der Hessische Beauftragte für
Datenschutz und Informationsfreiheit
Postfach 3163
65021 Wiesbaden
poststelle@datenschutz.hessen.de
als im vorliegenden Fall federführende Datenschutzaufsichtsbehörde abgestimmt. Sollten Sie Rückfragen haben, empfehle ich Ihnen, sich unmittelbar an den HBDI zu wenden.
Sie haben sich über einen Datenschutzverstoß durch Mastercard Europe SA (Mastercard) beschwert. Der mögliche Datenschutzverstoß ist Gegenstand zahlreicher Pressveröffentlichungen und betrifft die Veröffentlichung von personenbezogenen Daten aus einem Kundenbindungsprogram (Mastercard Priceless Specials).
Verantwortliche Stellen wie Mastercard sind zur Meldung von Datenschutzverletzungen an die zuständige Aufsichtsbehörde gemäß Artikel 33 Datenschutzgrundverordnung (DS-GVO) verpflichtet, sobald sie diese feststellen. In der Meldung ist eine Beschreibung des Vorgangs vorzunehmen, die wahrscheinlichen Folgen sind darzustellen und es sind Maßnahmen zur Behebung oder Abmilderung der Folgen zu beschreiben. Dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) liegt eine solche Meldung für diese Datenpanne vor. Gegenstand der Meldung ist sowohl eine Liste mit personen¬bezogenen Daten von Teilnehmern an Mastercard Priceless Specials, als auch eine Liste mit vollständigen Kreditkartennummern.
Nach dem Inhalt der Meldung wurde Mastercard auf die mögliche Datenschutzverletzung aufmerksam gemacht. Die im Internet verfügbaren Daten wurden daraufhin gelöscht. Die Daten können vor der Löschung bereits von Dritten kopiert worden sein. Die vorge-nommenen Löschungen können daher nicht sicherstellen, dass die veröffentlichten Daten nicht mehr genutzt oder weiterverbreitet werden. Mastercard überwacht daher das Internet auf weitere Veröffentlichungen der Daten und wird deren Löschung veranlassen.
Die betroffenen Personen wurden laut Mastercard bereits über den Vorfall informiert. Mastercard hat außerdem unter
https://www.mastercard.de/de-de/faq-pricelessspecials.html eine FAQ-Liste mit weiteren Details zu der Datenpanne veröffentlicht, mit deren Hilfe sich betroffene Personen über die von Mastercard empfohlenen Maßnahmen und den aktuellen Stand der Untersuchungen informieren können. Betroffene Personen können sich unter Emailadresse
Germany@mastercard.com auch direkt an Mastercard wenden, um weitere Informationen zu erhalten. Die Durchführung weiterer Maßnahmen durch Mastercard wird untersucht.
Mastercard versichert, dass die Datenpanne auf das Programm Priceless Specials Deutschland beschränkt und das Zahlungsverkehrsnetz von Mastercard nicht betroffen ist. Aufgrund des aktuell bekannten Sachverhalts ist dies auch glaubwürdig. Nach dem aktuellen Stand ist mit dem Betrieb von Mastercard Priceless Specials Germany ein Dienstleister beauftragt. Weitere Programme von Mastercard werden dort nicht gehostet oder betrieben. Der Dienstleister ist insbesondere nicht in den Betriebs des Zahlungssystems von Mastercard eingebunden. Es gibt auch keine Hinweise auf die Veröffentlichung des Ablaufdatums von Kreditkarten und des Sicherheitscodes auf deren Rückseite.
Die Details des Vorfalls werden von Mastercard noch untersucht. Dies betrifft sowohl den Umfang der Datenpanne, als auch deren Ursachen, Auswirkungen und mögliche weitere Maßnahmen zu deren Behebung. Die Datenschutzaufsichtsbehörden werden über das Ergebnis der Untersuchungen informiert und an der Erarbeitung von möglichen Maßnahmen beteiligt. Erfahrungsgemäß wird für derartige Untersuchungen allerdings etwas Zeit benötigt.
Sollte Ihnen durch den Vorgang ein Schaden entstanden sein, besteht grundsätzlich gegenüber Mastercard oder gegenüber einem von Mastercard mit der Datenverarbeitung beauftragten Unternehmen gemäß Artikel 82 DS-GVO ein Schadensersatzanspruch. Ein Schaden kann z.B. durch den vorsorglichen Umtausch der Kreditkarte oder damit im Zusammenhang stehender Aufwände entstehen. Schadensersatzansprüche könne von Ihnen direkt gegenüber Mastercard beziffert und geltend gemacht werden. Die Datenschutzaufsichtsbehörden können dabei allerdings nicht unterstützen.
Die mögliche Datenschutzverletzung betrifft mit Mastercard ein Unternehmen, das in der gesamten Europäischen Union tätig ist. Die Hauptniederlassung von Mastercard für die Europäische Union sitzt in Belgien. Der HBDI ist für das Repräsentationsbüro von Mastercard Europe SA in Frankfurt zuständig und wird die Tätigkeit der Aufsichtsbehörden in Deutschland koordinieren. Für die belgische Hauptniederlassung von Mastercard ist die Datenschutzbehörde, Drukpersstraat 35, 1000 Brüssel,
https://www.privacycommission.be/, zuständig. Die europäischen Datenschutzaufsichtsbehörden werden zur Aufklärung des Vorgangs und zur Festlegung der erforderlichen Maßnahmen eng zusammenarbeiten. Der HBDI wird auf seiner Webseite unter der Adresse
https://datenschutz.hessen.de/datenpanne-bei-mastercard-priceless-specials-deutschland über den weiteren Vorgang der Angelegenheit berichten. Sie können sich dort jeweils aktuell informieren.
Für Ihren Hinweis auf die mögliche Datenschutzverletzung bedanke ich mich.
Mit freundlichen Grüßen
Im Auftrag
gez.
ein Mitarbeiter
______________________________________________________________________
Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Referat Technik
Kavalleriestr. 2-4,
40213 Düsseldorf
Tel.: 0211-38424 – (37)
Fax: 0211-38424-10
E-Mail: (
Referat-T@ldi.nrw.de)
Internet:
www.ldi.nrw.de
da wird eine Kanzlei in den Himmel gelobt, da sie mal mit Fluggastrechte durchsetzen in den Medien war..dennoch lässt sich die Historie dieser Kanzlei nicht länger als ein Jahr zurückverfolgen, von daher..die kochen alle nur mit Wasser 
