Datenpanne bei Parkplatz-App bringt Easypark in Bedrängnis

Klamme Gemeinden greifen zum Parkplatz-Outsourcing, Autofahrer werden teils vollautomatisch mit Kameras erfasst oder stehen bisweilen verdutzt vor neuartigen Parkautomaten. So "easy" wie Easypark die Bewirtschaftung von Parkplätzen verspricht, so leicht ließen sich offenbar Daten aus dem System anzapfen. Nun könnten auf Europas führende Park-App Schadenersatzansprüche zurollen.

Digitalisierung schafft neue Geschäftsmodelle: Parkplatzbewirtschaftung, bei der Kameras ein- und ausfahrende Autos scannen und das System die Parkgebühren abrechnet. Das funktioniert bei Easypark automatisch, wenn der App-Nutzer sein Fahrzeug anmeldet und "CameraPark" aktiviert. Alternative: Die Parkdauer wird in der App eingestellt. Überschreitungen der Parkdauer erfasst die Kamera automatisch beim Ausfahren oder muss bei fehlender Videoüberwachung vom Personal vor Ort festgestellt werden. Der Prozess der Knöllchenzustellung ist ebenfalls automatisiert, samt Inkasso, falls der vertragsuntreue "Kunde" nicht zu zahlen gedenkt. Man kann die Digitalisierung der vollautomatischen Parkplatzbewirtschaftung als Fortschritt oder als unnötige Gefahr sehen.

Letzteres ist der Fall, wenn die privaten Anbieter ihre Systeme nicht ausreichend vor dem Zugriff von Hackern schützen. So geschehen vor wenigen Wochen bei Easypark - mit mehr als 10 Millionen Downloads allein bei Google im Playstore einer der großen privaten Parkplatzbewirtschafter, auf den viele Gemeinden und Städte in ganz Europa setzen. Mitte Dezember bemerkte das Unternehmen ein Datenleck und informierte seine Nutzer, dass Daten wie Namen, Telefonnummern, physische Adressen, E-Mail-Adressen und Teile der Kreditkartennummern entwenden worden seien.

Über Missbrauch ist noch nichts bekannt, Easypark versucht zu beruhigen: "Es ist jedoch nicht möglich, mit diesen unvollständigen Informationen Zahlungen vorzunehmen", so heißt es auf der Webseite. Das gelte auch in Kombination mit anderen entwendeten Informationen wie etwa Standortdaten, Fahrzeugregistrierungen oder Parkvorgänge (1). Doch allein die Tatsache, dass Hacker im Besitz valider Mobiltelefonnummern und zugehörigen E-Mailadressen sein könnten, weckt Besorgnis. Phishing ist schließlich eine Gefahr, ob per Mail oder Anruf auf dem Handy.

Die Kanzlei Dr. Stoll & Sauer, immer am Ball, wenn bei großen Anbietern Datenpannen passieren und Verbraucher potenziell Anspruch auf Schadensersatz haben, warnt: "Es ist wichtig, dass Betroffene sich generell der möglichen Konsequenzen eines Datenlecks und Datendiebstahls bewusst sind und entsprechende Schutzmaßnahmen ergreifen. Kombinierte Informationen aus anderen Datenlecks könnten Cyberkriminellen ermöglichen, zielgerichtete Phishing-Angriffe auf Verbraucher durchzuführen". Das Datenleck bei Easypark stelle dabei "ein Mosaikstein dar", so die Kanzlei.

Unter Berufung auf Art. 15 der Datenschutzgrundverordnung (DSGVO) könnten Kunden von Easypark nun Auskunft darüber verlangen, ob sie vom Angriff betroffen sind, klärt Dr. Stoll & Sauer auf. Schadensersatzansprüche seien möglich, sollte Easypark "unzureichende oder keine Auskunft erteilt oder andere Pflichtverletzungen vorliegen".

Man darf davon ausgehen, dass auch die Kanzlei Dr. Stoll & Sauer bei der Prüfung der Fälle auf Digitalisierung und Automatisierung setzt. Schließlich haben sich die Rechtsanwälte auf Datenpannen großen Ausmaßes spezialisiert und bieten Betroffenen von Datenpannen eines Anbieters eine kostenlose Erstberatung samt Online-Check.

(1) Update vom 11.1.2024: Easypark teilte mit, dass Standortdaten, Fahrzeugregistrierungen oder Parkvorgänge nicht entwendet worden seien. Wir bitten das Verstehen zu entschuldigen. Eine entsprechende Passage in der Pressemitteilung von Dr. Sauer & Partner könnte den Eindruck erwecken, dass mehr als nur die genannten Daten bei Easypark entwendet worden seien: "Bei den vom Datenleck betroffenen Kunden fand nach Easypark-Angaben ein Zugriff auf Namen, Telefonnummer, Anschrift und/oder E-Mail-Adresse statt. Auch auf einen Teil der Nummern von Kreditkarte/Debitkarte oder IBAN soll es zu einem Zugriff gekommen sein. "Es ist jedoch nicht möglich, mit diesen unvollständigen Informationen Zahlungen vorzunehmen", so Easypark auf der Webseite. Das gelte auch in Kombination mit den anderen entwendeten Daten."