Datenpanne bei Mastercard und Mastercard Priceless

Fotolia_164057041_S.jpg

Bild Veranstaltungen

Dem Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) liegen derzeit zahlreiche Beschwerden vor, die eine Datenpanne der Mastercard Europe SA, Belgien, betreffen. Dieser Vorfall ist Gegenstand zahlreicher Presseberichterstattungen und betrifft die Veröffentlichung von personenbezogenen Daten aus einem Kundenbindungsprogramm (Mastercard Priceless).

Der Vorfall wurde dem HBDI von der Mastercard Europe SA gemäß Artikel 33 Datenschutz-Grundverordnung (DS-GVO) gemeldet. Die Details werden von Mastercard Europe SA noch untersucht. Dies betrifft sowohl den Umfang der Datenpanne, als auch deren Ursachen, Auswirkungen und mögliche Maßnahmen zu deren Behebung. Erfahrungsgemäß wird für derartige Untersuchungen etwas Zeit benötigt.

Mastercard Europe SA hat bereits Maßnahmen zur Behebung der Folgen eingeleitet und durchgeführt. An den Stellen, an denen die personenbezogenen Daten veröffentlicht sind, wurden diese bereits wieder gelöscht.

Der Vorfall betrifft mit Mastercard Europe SA ein Unternehmen, das in der gesamten Europäischen Union tätig ist. Die Hauptniederlassung von Mastercard Europe SA für die Europäische Union sitzt in Belgien. Der HBDI ist für das Repräsentationsbüro von Mastercard Europe SA in Frankfurt zuständig. In Fällen grenzüberschreitender Verarbeitung personenbezogener Daten sieht die DS-GVO vor, dass ein Vorgang bei einer europäischen Datenschutzaufsichtsbehörde federführend für ganz Europa bearbeitet und koordiniert werden kann.

Aufgrund der belgischen Hauptniederlassung spricht derzeit vieles dafür, dass die Datenschutzbehörde, Drukpersstraat 35, 1000 Brüssel, http://www.privacycommission.be/, für die Koordinierung des Vorgangs federführend zuständig ist. Die Einzelheiten befinden sich derzeit noch in Klärung.

Auf hier eingereichte Beschwerden kann der HBDI erst dann eine belastbare Antwort geben, wenn der Vorgang hinreichend aufgeklärt ist.

Update vom 23.08.2019:

In einigen Presseveröffentlichungen wird berichtet, dass sowohl eine Liste mit Teilnehmern des Kundenbindungsprogramms „Mastercard Priceless Specials“, als auch eine Liste mit vollständigen Kreditkartennummern, im Internet veröffentlicht wurde. Auch zu dieser zweiten Liste liegt dem HBDI eine Mitteilung von Mastercard Europe SA vor.

Mastercard Europe SA hat außerdem unter https://www.mastercard.de/de-de/faq-pricelessspecials.html eine FAQ-Liste mit weiteren Details zu der Datenpanne veröffentlicht, sowie eine E-Mail-Kontakt-Adresse Germany@mastercard.com für betroffene Personen eingerichtet.

Update vom 16.09.2019:

Bonitätsprüfung

Mastercard bietet für ein Jahr den Zugang zu einem Service zur Überwachung der Bonität an. Ob dieser Service sinnvoll ist, kann derzeit nicht in ausreichendem Umfang überprüft werden. Die Bonität wird in Deutschland vor allem durch Auskünfte der Wirtschaftsauskunfteien wie z.B. der SCHUFA bestimmt. Zur Überprüfung der eigenen Bonität können dort Selbstauskünfte eingeholt werden. Selbstauskünfte werden in der Regel zeitnah erteilt. Einen Überblick über die großen Wirtschaftsauskunfteien erhalten Sie beim Verband der Wirtschaftsauskunfteien unter http://www.handelsauskunfteien.de.

Erhalt von Spammails

Die Nutzung der veröffentlichten Liste zur Akquisition von Kunden oder Mandanten ist nach Auffassung des HBDI in der Regel eine unzulässige Datenverarbeitung. Dies gilt auch dann, wenn es sich bei dem Versender um ein vermeintlich seriöses Unternehmen handelt.

Kontakt für Pressevertreter
Pressesprecher: Frau Ulrike Müller
Presse- und Öffentlichkeitsarbeit:
Telefon: +49 611 1408 142
Fax: +40 611 1408 900

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Postfach 3163
65021 Wiesbaden