Datenpanne bei Mastercard Priceless Specials Deutschland

Hier finden Sie die aktuellsten Meldungen zu der Datenpanne bei Mastercard Priceless Specials Deutschland
Update vom 30.08.2019

Nach dem aktuellen Kenntnisstand ist von dem Vorfall nur das Kundenbindungsprogramm Mastercard Priceless Specials Germany betroffen. Auswirkungen auf andere Programme, insb. auf das Zahlungsverkehrssystem von Mastercard, sind derzeit unwahrscheinlich, weil bei dem betroffenen IT-Provider nur das System Mastercard Priceless Specials Germany betrieben wird.

Update vom 23.08.2019

In einigen Presseveröffentlichungen wird berichtet, dass sowohl eine Liste mit Teilnehmern des Kundenbindungsprogramms „Mastercard Priceless Specials“, als auch eine Liste mit vollständigen Kreditkartennummern, im Internet veröffentlicht wurde. Auch zu dieser zweiten Liste liegt dem HBDI eine Mitteilung von Mastercard Europe SA vor.

Mastercard Europe SA hat außerdem unter https://www.mastercard.de/de-de/faq-pricelessspecials.html eine FAQ-Liste mit weiteren Details zu der Datenpanne veröffentlicht, sowie eine E-Mail-Kontakt-Adresse Germany@mastercard.com für betroffene Personen eingerichtet.

Pressemitteilung vom 22.08.2019

Dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) liegen derzeit zahlreiche Beschwerden vor, die eine Datenpanne der Mastercard Europe SA, Belgien, betreffen. Dieser Vorfall ist Gegenstand zahlreicher Presseberichterstattungen und betrifft die Veröffentlichung von personenbezogenen Daten aus einem Kundenbindungsprogramm (Mastercard Priceless).

Der Vorfall wurde dem HBDI von der Mastercard Europe SA gemäß Artikel 33 Datenschutz-Grundverordnung (DS-GVO) gemeldet. Die Details werden von Mastercard Europe SA noch untersucht. Dies betrifft sowohl den Umfang der Datenpanne, als auch deren Ursachen, Auswirkungen und mögliche Maßnahmen zu deren Behebung. Erfahrungsgemäß wird für derartige Untersuchungen etwas Zeit benötigt.

Mastercard Europe SA hat bereits Maßnahmen zur Behebung der Folgen eingeleitet und durchgeführt. An den Stellen, an denen die personenbezogenen Daten veröffentlicht sind, wurden diese bereits wieder gelöscht.

Der Vorfall betrifft mit Mastercard Europe SA ein Unternehmen, das in der gesamten Europäischen Union tätig ist. Die Hauptniederlassung von Mastercard Europe SA für die Europäische Union sitzt in Belgien. Der HBDI ist für das Repräsentationsbüro von Mastercard Europe SA in Frankfurt zuständig. In Fällen grenzüberschreitender Verarbeitung personenbezogener Daten sieht die DS-GVO vor, dass ein Vorgang bei einer europäischen Datenschutzaufsichtsbehörde federführend für ganz Europa bearbeitet und koordiniert werden kann.

Aufgrund der belgischen Hauptniederlassung spricht derzeit vieles dafür, dass die Datenschutzbehörde, Drukpersstraat 35, 1000 Brüssel, http://www.privacycommission.be/, für die Koordinierung des Vorgangs federführend zuständig ist. Die Einzelheiten befinden sich derzeit noch in Klärung.

Auf hier eingereichte Beschwerden kann der HBDI erst dann eine belastbare Antwort geben, wenn der Vorgang hinreichend aufgeklärt ist.