„Transparent“ oder „illegal“?

Bei der SNCB ist ein Datenleck aufgetreten. 1,4 Millionen Namen von Kunden der Bahn waren am Samstag, stundenweise zugänglich, weil ein Informatiker das Leck offenlegte und die Liste auf seiner Internetseite publizierte. 3.700 Luxemburger befinden sich darunter. Könnte das auch bei der CFL passieren?

Der Fall zeigt nicht nur die unterschiedlichen Auffassungen zum Thema „Transparenz“, sondern auch, wie heikel der Umgang mit persönlichen Daten ist.

Prominente Namen

Unter den Namen aus Luxemburg sollen sich auch Mitglieder der großherzoglichen Familie wie Prinzessin Alexandra und Erbgroßherzogin Stéphanie befinden sowie der Sprecher der CFL. Das berichtete L’essentiel online am Donnerstag.

Romain Meyer bestätigte das auf Anfrage des Tageblatt, bleibt aber sichtlich gelassen. „Da habe ich schon geschmunzelt, als ich das erfahren habe“, sagte er.

Berufliche E-Mail-Adresse

Es habe sich um seine berufliche E-Mail-Adresse gehandelt, die dort einsehbar war, was sich einfach erklärt. „Ich habe ja mit den belgischen Kollegen beruflichen Kontakt, bekomme beispielsweise deren Presseerklärungen“, sagt er.

Die SNCB ist unter Druck, Untersuchungen bezüglich der Ursache seien im Gang, hieß es gestern von SNCB-Pressesprecherin Nathalie Pierard auf Anfrage des Tageblatt. Der belgische Datenschutz ist ebenfalls eingeschaltet und prüft rechtliche Schritte gegen den Veröffentlicher der Daten und die SNCB. Sollte sich ein Fehler des Unternehmens beweisen lassen, muss die Gesellschaft mit einer Strafe von bis zu 100.000 Euro rechnen. Das berichtet die belgische Tageszeitung Le Soir.

SNCB indes weist jeglichen Vorsatz von sich. „Nur weil sie die Tür des Wagens offenstehen lassen, darf noch lange niemand eine darin abgestellte Tasche an sich nehmen“, erklärte metaphorisch die Pressesprecherin.

Wie kam es dazu?

Am Samstag, 22. Dezember, war für kurze Zeit eine Liste mit Daten von Kunden der SNCB zugänglich. Es handelt sich dabei um solche, die mit dem TGV, dem „Le Thalys“ und dem „Eurostar“ reisen, wie Pressesprecherin Pierard bestätigte. 1,4 Millionen Namen befinden sich auf der Liste.

Dabei handelt es sich nicht um verschiedene Personen, sondern um solche, die zwei oder drei Mal bei SNCB Europe elektronisch um Reise-, Ticket- oder andere Informationen gebeten und sich auf einem Formular dafür eingeschrieben hatten. „Das haben wir bei der Durchsicht der Liste festgestellt“, bestätigte Pierard, „es handelt sich wohl um schätzungsweise 700.000 unterschiedliche Personen“.

Ein internetaffiner Nutzer hatte das per Zufall aufgedeckt und die Daten auf seiner Homepage zugänglich gemacht. „Um die Betroffenen zu informieren“, wie Le Soir weiter berichtet. Pierard bestätigte, dass die fragliche SNCB-Seite über die Google- und Bing-Suchmaschinenfunktionen zugänglich war.

Die Seite, auf der die Liste schließlich veröffentlicht wurde, sncb.fredericjacobs.com, ist mittlerweile geschlossen. Das geschehe, obwohl „ich nie von offizieller Seite kontaktiert wurde“, teilt der Inhaber der Seite darauf mit.

Kann das auch bei der CFL passieren?

Die belgische Datenschutzbehörde habe seine Initiative nicht unterstützt, schreibt er weiter – in Anspielung auf die rechtlichen Schritte, die ihm nun drohen. 50.000 Mal war die Seite in drei Tagen besucht worden, wie Le Soir weiter schreibt.

Manch einer sieht das anders. In einem offenen Brief an die SNCB erhebt der Blogger „Ploum“ schwere Vorwürfe gegen das Unternehmen und verurteilt dessen Vorgehen gegen die Publikation der Daten.

Leck bei der CFL nicht möglich

Derjenige, der die Daten und das Leck der Bahn öffentlich gemacht habe, verdiene vielmehr eine Medaille für Zivilcourage – im Sinne der Transparenz. Kann ein solches Leck auch in Luxemburg passieren? „Nein“, lautet die so knappe wie nachdrückliche Antwort des Pressesprechers. Drei Wege gebe es, an Kundeninformationen zu gelangen. Alle drei schließen laut CFL ein Leck aus.

Beim Ticketkauf am Schalter werden gar keine Informationen zwischen Kunde und CFL gewechselt. „Selbst bei einem Kauf mit Kreditkarte nicht“, sagt Meyer. Die Kartennummer gehe direkt an das „Centre de transferts électroniques“ (Cetrel). Über das CFL-eigene Callcenter kann man Tickets bestellen und zuschicken lassen.

Besser als Fort Knox

„Diese Adressen sind besser bewacht als Fort Knox“, zitiert Meyer die interne Haltung zu den 19.000 vorhandenen Kundenadressen. „Sie werden auch nicht bei Marketingaktionen verwendet.“

Selbst bei Ticketbestellungen für Auslandsverbindungen würden die Adressen nicht preisgegeben.

Der dritte Weg, in Luxemburg an Kundendaten zu kommen, ist über die Online-Bestellung von Tickets bei www.cfl.lu.

Dort müssen für Auslandsverbindungen seit dem 27. November 2012 Name, Vorname und E-Mail-Adresse eingegeben werden. Bei Verbindungen ins Ausland ab luxemburgische Grenze arbeitet die CFL nach eigenen Angaben mit dem Online-System der Auslandsverbindung. „Wir nehmen an, dass ein Großteil der luxemburgischen Kundendaten so in die Datenbank gelangt ist“, formuliert Meyer vorsichtig, „es ist die einzige Möglichkeit“. Die Daten gehen an die jeweilige Gesellschaft, die befördert, also SNCF oder SNCB. „Wir haben kein eigenes Online-System“, erklärt Meyer.

Für Zugfahrten innerhalb des Großherzogtums seien keine Reservierungen nötig. Außerdem sei das Land zu klein, um ein eigenes Online-System zu rechtfertigen.