Daten-GAU durch Monsum

rumpelnase · 15. November 2018 um 10:53

Da die Seite von Monsum irgendwie nicht erreichbar ist und Fairmondo ja involviert ist, schreibe ich mal hier…

Habe gestern 4 Mails von Monsum erhalten:

Sehr geehrter Fairmondo-Kunde,

aufgrund eines Fehlers in unseren Prozessen wurden fälschlicherweise Rechnungen erzeugt, welche wir im Nachhinein storniert haben.

Diese sind über die folgenden Links herunterladbar:

…5 links…

Wir bedauern die Unannehmlichkeiten sehr.

Mit freundlichen Grüßen
Das Monsum-Team

Diese Mail ist noch an 949(!) weitere Empfänger adressiert, deren Adressen auch alle für mich einsehbar sind (und meine wahrscheinlich umgekehrt auch! Sorry, aber das ist absolut inakzeptabel!!!

Habe auch keine Kontaktmöglichkeit von Monsum gefunden… Weiß jemand mehr?

Edit: Sehe gerade, dass es bei den letzten Kommentaren hier: Rechnung über Quartalsgebühr Januar 2018 erhalten genau darum geht…

danielbweber · 15. November 2018 um 10:59

Fastbill-Kontakt support@fastbill.com bzw. kontakt@monsum.com

rumpelnase · 15. November 2018 um 11:07

@danielbweber: Danke!

Mit den eigenen Daten scheint Monsum es mit Datenschutz ja ziemlich genau zu nehmen! Die Registrierungsdaten der Domain:

Domain Name: MONSUM.COM
…
Registrar Abuse Contact Phone: +49.68949396850
Registry Registrant ID: REDACTED FOR PRIVACY
Registrant Name: REDACTED FOR PRIVACY
Registrant Organization: REDACTED FOR PRIVACY
…
Billing Fax: REDACTED FOR PRIVACY
Billing Fax Ext: REDACTED FOR PRIVACY

jo01 · 15. November 2018 um 11:17

Evtl auch hilfreich:

https://www.fastbill.com/datenschutz

FastBill GmbH
Wildunger Str. 6
60487 Frankfurt am Main

–> dann ist wohl Hessen als Aufsichtsbehörde zustänidg:

https://datenschutz.hessen.de/impressum

danielbweber · 15. November 2018 um 11:19

Naja, das kann auch mit der DSGVO zusammenhängen, denn seit der Einführung, kann man kaum noch Whois-Datenm von Domains herausbekommen.

Aber im Impressum finden sich infos: https://www.monsum.com/impressum und ein “unpassendes Statement”:

FastBill.com setzt auf höchste Standards zum Schutz Ihrer Daten:
Datenschutz, 256-Bit-Verschlüsselung, Managed Hosting by ADACOR, Firewall, Backup, Wachschutz

rumpelnase · 15. November 2018 um 11:20

Heißt das Fastbill=Monsum?

…und die Monsum-Seite bleibt bei mir irgendwie schwarz, obwohl ich Javascript erlaubt habe…

danielbweber · 15. November 2018 um 11:21

Ja Monsum ist von Fastbill!

rumpelnase · 15. November 2018 um 11:41

Das kam gerade von Monsum auf meine E-Mail:

Sehr geehrter Kunde,

mit Bedauern mussten wir feststellen, dass es beim Versand der Storno-Rechnungen zu einer technischen Panne kam die zu dem von Ihnen beschriebenen Auswirkungen führte. Wir haben den E-Mail Versand umgehend nach Feststellung der Panne gestoppt und alle Links zu den Storno-Rechnungen invalidiert um den Zugriff Unbefugter auf die Storno-Rechnungen zu unterbinden.

Des weiteren wurde die Datenschutzbehörde über den Vorfall informiert und wir befinden uns natürlich auch in Abstimmungen mit Fairmondo.

Die Storno-Rechnungen werden wir Ihnen nach der finalen Klärung dieses Vorfalls innerhalb einer E-Mail in den nächsten Tagen zukommen lassen.

Wir können uns für die vorangegangenen Vorfälle nur in aller Form bei Ihnen und Fairmondo entschuldigen.

Mit freundlichen Grüßen
Das Monsum-Team

jo01 · 15. November 2018 um 12:00

Ja, hab ich auch eben bekommen! (Immerhin schnelle Antwort).

Eifel-Meikel · 15. November 2018 um 12:03

Hab gerade bei mir mal nachgeguckt: 266 (!) Emails.

Kim · 15. November 2018 um 13:01

Liebe Händler,

ich entschuldige mich für den ganzen Stress und den äußerst fahrlässigen Umgang mit euren
Daten seitens der Firma Monsum/Fastbill. Als Konsequenz bleibt uns derzeit nur das aufkündigen
der Geschäftsbeziehungen zu denen. Das was sie geschrieben hatten, stimmt leider nicht,
sie haben nichtmal versucht mit uns Kontakt aufzunehmen, geschweige denn irgendwas abgestimmt.
Wir sind über jede Hilfe insbesodere rechtlichem Rat in diesem Fall sehr dankbar.

elm · 15. November 2018 um 15:42

Es sieht zumindest so aus das Ihr der Vertragspartner von den Händlern seit und somit kann nicht gesagt werden die Firma Monsum/Fastbill ist der schuldige!
Wenn es zu Klagen kommt, könnt Ihr diese nicht einfach weiterleiten sondern müsst anschließend eine Klage von euch aus an Monsum/Fastbill stellen.
Ich hoffe nicht das es dazu kommt und ich denke auch das eure Händler euch weiterhin unterstützen.
Ebenso finde ich keine Information in eurer Datenschutzerklärung das Ihr mit Fastbill zusammenarbeitet oder erhalten die Händler eine andere Datenschutzerklärung?

Gruss
elm

Eifel-Meikel · 15. November 2018 um 16:13

Ich würde als betroffener Vertragspartner von Fastbill, bei der Datenschutzbehörde nachfragen, ob der Vorfall auch wirklich dort gemeldet wurde.

anow · 15. November 2018 um 17:20

technische Panne ist sehr beschönigend ausgedrückt. Das ist menschliches Versagen und fahrlässige Schlampigkeit, die vermeidbar gewesen wäre - und keine technische Panne.

Edit: Übrigens bestärkt mich das in der Auffassung solche Buchhaltungsdienste und Apps nicht zu nutzen. Ebenso wie diese Seiten, auf denen man seine Steuerdaten hochladen kann und die dann automatisiert die Steuererklärung erstellen. Unnötig und riskant.

mephist0pheles · 22. November 2018 um 03:42

Ich habe durch den Vorfall Zugriff auf 950 größtenteils private Emailadressen von Fairmondo Mitgliedern erhalten. Ich bin sehr enttäuscht, vor allem weil ich Anteilseigner an Fairmondo bin, und hoffe dass Monsum und nicht Fairmondo dies zu verantworten hat. Ich habe eine Beschwerde bei dem Hessischen Datenschutzbeauftragten eingereicht, mit der Bitte mir mitzuteilen was diese unternehmen wird um dem Vorfall nachzugehen.

elm · 22. November 2018 um 08:16

OHA - hoffentlich schadet die Beschwerde fairmondo nicht…

saschm · 22. November 2018 um 11:13

Ich denke, fairmondo hat sich selbst schon (mehr als) genug selbst geschadet…

alexhell1 · 22. November 2018 um 14:10

kommt darauf an, wie genau die Behörde hinschaut. ich kann mir nicht vorstellen, dass eine Compliance für Datenschutz erstellt, implementiert und hinreichend überwacht wurde.

Auch wenn der Fehler primär bzw. vorwerfbar bei fastbill liegt, könnten andere Versäumnisse entdeckt werden.

elm · 22. November 2018 um 14:37

Nun ja - wenn der Verkäufer der Übermittlung seiner Daten an FastBill zugestimmt hat, dann hat fairmondo keine Probleme.
Anders sieht es jedoch aus wenn die Daten ohne eures wissens weitergegeben werden…

Das mit der Beschwerde war keine sooooo gute Idee

So oder so - fairmondo ist bei diesem Problem der Vermittler…

Kim · 22. November 2018 um 17:32

Kurzer Zwischenstand:

Alleiniger Verursacher ist der Rechnungsdienstleister Fastbill/Monsum,
dass haben wir schon schriftlich.

Verantwortlicher für die Daten sind aber trotzdem wir, deswegen haben wir
sofort bei der zuständigen Berliner Datenschutzbehörde eine Anzeige wegen
Verstoss gemacht und alles genau beschrieben.

Den entstandenen Schaden kann Fairmondo theoretisch gegen Fastbill geltend
machen allerdings schließt Fastbill das in ihren AGB aus. Vermutllich ist das nicht
rechtens aber ohne professsionelle rechtliche Beratung kommen wir hier nicht
weiter.

Nach Absprache miit der Datenschutzbehörde werden wir uns schnellstmöglich
mit den Betroffenen in Verbindung setzen. Wir warten jetzt darauf, dass sie
mit uns Kontakt aufnehmen.

Fastbill hat inzwischen reagiert und sich mit uns telefonisch in Verbindung gesetzt.
Bis jetzt aber ohne weitere Maßnahmen.