3 Drei / Lidl connect meldet Datenschutzverletzung

Die noch recht junge Diskontermarke „Lidl Connect“, welche vom Netzbetreiber „3“ Drei Hutchison betrieben wird, informiert ihre Kunden derzeit über eine mögliche Datenschutzverletzung und hat eine verpflichtende Meldung an die Datenschutzbehörde gemacht. Genau genommen sind 2 Fehler passiert:

1. Lidl Connect Kunden wurden fälschlicherweise gemahnt

"3" Schreibe an LTEForum User "letsdoit"
Das „3“ Schreiben an Lidl Connect Kunde und  LTEForum User „letsdoit“

Lidl Connect Kunden müssen regelmäßig Guthaben über Ladebon, Kreditkarte oder Klarna aufladen, um ihre SIM-Karte nutzen zu können. Online Bestellungen auf www.lidl-connect.at können ebenso über Kreditkarte oder Klarna bezahlt werden. Auf diese Art und Weise kann es eigentlich nie zu Verbindlichkeiten des Kunden kommen.

Durch einen technischen Fehler haben die Systeme von „3“ Drei Hutchison Rechnungsbeträge von Lidl Connect Kunden als „offen“ identifiziert und automatisch Mahnungen erstellt. Diese Mahnungen wurden an die Kunden verschickt:

Bei dem Versand von Mahnungen handelt es sich um einen Fehler, der durch Ihre Bestellung bei Lidl Connect ausgelöst wurde. Da keine offene Forderung besteht, zahlen Sie den genannten Betrag bitte nicht ein. – Drei gegenüber Lidl Connect Kunden

2. Drei verschickt Mahnungen mit personenbezogene Daten an fremde Kunden

Zusätzlich dürfte es dabei auch noch zu Verwechselungen gekommen sein. Einige der fälschlicherweise ausgestellten Mahnungen wurden irrtümlicherweise an fremde Personen gesendet. Diese Mahnungen enthielten dabei personenbezogene Daten (Vorname, Nachname, Adresse, Kundennummer und Rechnungsbetrag) von anderen Lidl Connect Kunden.

Sollten Sie die von uns irrtümlich ausgestellte Mahnung nicht erhalten haben, so müssen wir Sie darüber informieren, dass das an Sie gerichtete Schreiben irrtümlich einer anderen Person zugestellt wurde, welche ebenfalls eine Bestellung bei Lidl Connect getätigt hat. Mit diesem Schreiben wurden persönliche Daten übermittelt (Vor- und Nachname, die bei der Bestellung angegebene Adresse, der Rechnungsbetrag, sowie die Lidl Connect-Kundennummer). – Drei gegenüber Lidl Connect Kunden

3. Vorfall wurde der Datenschutzbehörde gemeldet

Wie in solchen Fällen vorgeschrieben, hat der Mobilfunknetzbetreiber den Vorfall der österreichischen Datenschutzbehörde gemeldet:

Der Vorfall wurde von uns sofort bei der Datenschutzbehörde gemeldet. – Drei Austria

Drei entschuldigt sich bei allen betroffenen Kunden für die bereiteten Umstände.

4. Was können Kunden nun tun?

Betroffene Kunden wurden von Drei in einem gesonderten Schreiben informiert und können sich bei Fragen an info.connect@drei.com wenden. Weiters steht alle Kunden gemäß Datenschutz-Grundverordnung (DSGVO) die Möglichkeit offen, um Auskunft anzufragen. Dabei muss Drei über alle gespeicherten persönlichen Daten zur eigenen Person Auskunft geben.

Vielen Dank an den LTEForum User „letsdoit“ für den Hinweis!

AignerChris

Mobilfunk Teilnehmer
25 Mrz 2016
522
268
Ich denke es geht im Grunde darum, das scheinbar Mahnungen an falsche Personen/Adressen geschickt wurden.
 

letsdoit

Mobilfunk Teilnehmer
11 Dez 2018
216
160
@tarife.at

Hast du das Schreiben auch gelesen, das ich beigefügt habe?

Hier räumt Drei / Lidl-Connect ein, dass sie die Daten meines Schwiegervaters (inkl. Adresse, Kundennummer, offener Betrag (den es ja gar nicht gab) und was weiß ich noch alles) an wildfremde Personen versandt haben.

Finde ich jetzt schon etwas "bedenklich". Und auch die lapidare Aussage (so quasi "Sorry, wir haben es eh gemeldet") finde ich etwas schräg. Vor allem weil ich nicht weiß, was da noch mit gesandt wurde. Im Schreiben ist ja von "Mahnschreiben und eventuell sonst mit gesandten Schreiben" die Rede, die mit den Daten meines Schwiegervaters an eine wildfremde Person gesandt wurden.
 
Zuletzt bearbeitet:

tarife.at

Mobilfunk Teilnehmer
11 Jul 2014
340
553
Oh! Ja, gelesen, den Part habe ich aber nur überflogen - weil zu schnell als "Da wusste wer nicht, dass Lidl nur ein Branded Reseller ist" abgestempelt, sorry @letsdoit !
 

xandi37einhalb

Mobilfunk Teilnehmer
2 Okt 2014
50
17
Vielleicht sollte man hier die erste Emotion mal ein wenig rausnehmen. Wo gehobelt wird, fallen Späne, Fehler passieren überall, auch wenn sie nicht passieren sollten.
Wenn man auf dem Land aufgewachsen ist, kennt man sogar noch Sachen, wie zum Beispiel vom sonntäglichen Frühschoppen, wo sich der Raiffeisenbetreuer quer durchs ganze Gasthaus beim Vater erkundigt, wann denn der Sohn sein Minus auf dem Konto auszugleichen gedenke.
Und ja, solche Sachen müssen dann der Datenschutzbehörde binnen 72 Stunden nach Bekanntwerden gemeldet werden, deshalb haben sie das auch dazugeschrieben.
 

query3

Mobilfunk Teilnehmer
23 Nov 2019
10
3
Würde auf Schadensersatz klagen, da deine Daten gefundenes Fressen für Kriminelle sind.
 

charmin.armin

Mobilfunk Teilnehmer
30 Mrz 2019
312
136
@tarife.at

Hast du das Schreiben auch gelesen, das ich beigefügt habe?

Hier räumt Drei / Lidl-Connect ein, dass sie die Daten meines Schwiegervaters (inkl. Adresse, Kundennummer, offener Betrag (den es ja gar nicht gab) und was weiß ich noch alles) an wildfremde Personen versandt haben.

Finde ich jetzt schon etwas "bedenklich". Und auch die lapidare Aussage (so quasi "Sorry, wir habens eh gemeldet") finde ich etwas schräg. Vor allem weil ich nicht weiß, was da noch mitgesandt wurde. Im Schreiben ist ja von "Manschreiben und eventuell sonst mitgesandten Schreiben" die Rede, die mit den Daten meines Schwiegervaters an eine wildfremde Person gesandt wurden.
Lidl ist für kleine Preise und nicht für Datenschutz bekannt ;) Derartige Fauxpas kommen öfters vor: erst letzte Woche eMail einer richtigen großen Druckgesellschaft erhalten in der sie Kompromittierung ihrer Kundendatenbank eingestehen (unabhängig davon habe ich denen erklären müssen, dass der Zugriff auf Lieferadressen inklusive Ausweisdaten anderer Empfänger derselben Tour, Optimierungspotential aufweist)
Per Post soll bei der Sozialversicherungsanstalt auch schon mal der ein oder andere Brief (mit Beitragszahlungen) an falsche Adressaten zugestellt worden sein was ich persönlich kritischer ansehe (als Kundennummer) aber natürlich nicht weniger tragisch macht ... Mir fehlt eine diesbezügliche Meldestelle (DSB beschäftigt nur Juristen)
 

derFlo

Mobilfunk Teilnehmer
22 Mrz 2014
3.821
1.667
Also ich finde das eine bodenlose Frechheit und einen echten "Skandal" wie lapidar hier eine heftige Verletzung des Datenschutzes eingeräumt wurde. Was sagt ihr dazu?
Du weißt schon, dass Drei sogar verpflichtet ist, dir ein solches Schreiben zukommen zu lassen, oder (siehe Art. 33f DSGVO) und das auch innerhalb von 72 Stunden an die Datenschutzbehörde zu melden hat, was ja offenbar geschehen ist.
Sowas kommt übrigens laufend vor (leider), weil Fehler immer vorkommen können.

Ich denke es geht im Grunde darum, das scheinbar Mahnungen an falsche Personen/Adressen geschickt wurden.
Aber offenbar nicht alle Mahnungen - anscheinend haben ein paar Leute Mahnungen bekommen, bei ein paar Leuten dürfte die Mahnung an falsche Empfänger rausgegangen sein.

Hier räumt Drei / Lidl-Connect ein, dass sie die Daten meines Schwiegervaters (inkl. Adresse, Kundennummer, offener Betrag (den es ja gar nicht gab) und was weiß ich noch alles) an wildfremde Personen versandt haben.

Finde ich jetzt schon etwas "bedenklich". Und auch die lapidare Aussage (so quasi "Sorry, wir haben es eh gemeldet") finde ich etwas schräg. Vor allem weil ich nicht weiß, was da noch mit gesandt wurde. Im Schreiben ist ja von "Mahnschreiben und eventuell sonst mit gesandten Schreiben" die Rede, die mit den Daten meines Schwiegervaters an eine wildfremde Person gesandt wurden.
Es steht doch eh genau drinnen, was an falsche Empfänger ausgegangen ist (Vor- und Nachname, Adresse, Rechnungsbetrag, Kundennummer). Und wie bereits erwähnt: Drei muss dich benachrichtigen.

Würde auf Schadensersatz klagen, da deine Daten gefundenes Fressen für Kriminelle sind.
Jetzt bin ich allerdings gespannt, wie du von einem reinen Datenleak (das nichtmal öffentlich war, sondern "nur" an andere Lidl-Connect-Kunden gegangen ist) zu einer Schadenersatzforderung kommt (für die ja Voraussetzung ist, dass bereits ein Schaden eingetreten ist und du zweifelsfrei beweisen kannst, dass dieses Datenleak der Grund für den Eintritt des Schadens ist).
Da bin ich gespannt ;)

Mir fehlt eine diesbezügliche Meldestelle (DSB beschäftigt nur Juristen)
Die DSB ist die Meldestelle und stellt Formulare dafür zur Verfügung. Da gibts übrigens nicht nur Juristen, da muss schon der technische Hintergrund auch nachvollzogen werden (wenn auch durch externe Gutachter).
 
  • Gefällt mir
Reaktionen: McMephistoXXL