Verantwortung

Status-Report Datenschutz

  • Teilen
    2 Klicks für mehr Datenschutz: Erst wenn Sie hier klicken, wird der Button aktiv und Sie können Ihre Empfehlung senden. Schon beim Aktivieren werden Daten an Dritte übertragen.
  • Drucken
  • Text vorlesen

Nachfolgend informiert die Deutsche Telekom über datenschutzrelevante Vorgänge und darüber, mit welchen Maßnahmen sie diesen begegnete.

(Letzter Vorfall: Juni/Juli 2019, Stand: Oktober 2019)

  • Juni/Juli 2019 – Im Zuge einer Produkt-Kampagne zu "StreamOn" wurden durch die Telekom Deutschland GmbH Werbe-SMS auch an Kunden versandt, die keine entsprechende Werbeeinwilligung gegenüber der Telekom Deutschland GmbH abgegeben haben. Insgesamt waren rund 650.000 Kunden betroffen. Der fehlerhafte Versand ist auf einen technischen Fehler im Verarbeitungssystem zurückzuführen. Nach Erkennen des Fehlers wurden bereits während der Kampagne unverzüglich neue Prüfroutinen etabliert, die ein Wiederholen dieser Situation ausschließen. Bereits die zweite Versand-Welle konnte entsprechend berichtigt werden, so dass hier keine fehlerhafte Bewerbung mehr erfolgte. Zu dem Vorgang stehen wir mit der zuständigen Aufsichtsbehörde (BfDI) bereits in Kontakt.
  • Eine Kundin hat sich im Telekom Shop Schwentinental Daten ihres alten Endgeräts auf ein anderes Endgerät übertragen lassen. Dieser Datentransfer fand über einen USB-Stick statt, welcher der Kundin überlassen wurde. Die Kundin stellte fest, dass auf dem USB-Stick neben ihren eigenen Daten auch Daten weiterer Personen gespeichert waren. Laut Pressemeldung handelt es sich dabei unter anderem um private Fotos, Namen und Telefonnummern sieben weiterer Personen.

    Datenschutz hat bei uns oberste Priorität. Wir prüfen derzeit den Vorgang und stehen dazu mit der zuständigen Aufsichtsbehörde (BfDI) in Kontakt. Der vorgegebene Prozess sieht vor, dass vom Kunden gewünschte Datentransfers von einem Endgerät zum anderen über neue, unbenutzte USB-Sticks erfolgen, die der Kunde kauft. So ist ausgeschlossen, dass Daten Dritter auf dem Stick gespeichert sind. Warum im Telekom Shop Schwentinental von diesem Standardprozess abgewichen wurde, prüfen wir derzeit.

    Wenn Sie im Telekom Shop Schwentinental an folgenden Tagen ein Backup Ihres Endgeräts in Auftrag gegeben haben, könnten Sie vom dem Datenschutzvorfall betroffen sein: 10. Juni., 23. Juni, 1. August, 8. August, 24. August oder 10. September 2018. Bitte melden Sie sich dann unter datenschutz@telekom.de bei uns.
  • Infolge eines Anwendungsfehlers sind Zugangsdaten zu einem System bei T-Systems auf einer öffentlichen Entwicklerplattform erschienen. Damit hat ein Unbekannter Zugang zu einem so genannten Ticket-System erlangt und Email-Adressen und Telefonnummern von internen Entwicklern sowie von rund 40 Anwendern kopiert. Das Ticket-System dient den Entwicklern zum Bearbeiten von Fehlermeldungen (Tickets) im Rahmen eines Cloud-Dienstes von T-Systems. 

    Unsere Techniker haben die kompromittierte Schnittstelle unmittelbar nach ihrer Entdeckung geschlossen. Den laufenden Analysen zufolge wurden Service-Tickets kopiert, in denen in einigen Fällen auch die Email-Adressen und Telefonnummern von Nutzern erwähnt waren, die Fehler gemeldet hatten.
    Inzwischen konnte der unbekannte Angreifer ermittelt werden. Weitere Recherchen haben ergeben, dass die von dem Angreifer kopierten Daten nicht weitergegeben wurden. Alle kopierten Daten konnten inzwischen wirksam gelöscht werden. 
    Kundensysteme selbst waren nicht betroffen. 
    T-Systems hat die zuständigen Datenschutzbehörden eingeschaltet. Betroffene Anwender werden unverzüglich informiert.
  • Wegen eines Fehlers im Rechnungsprozess wurden Mitte Mai 2017 rund 4600 Kundenrechnungen falsch versendet. Die betroffenen Kunden werden informiert, der Fehler ist behoben.
  • Im Dezember 2016 migriert die T-Systems Tochter MMS rund 2.300 Kunden des Dienstes Cloud Manager auf die aktuellste Systemversion. In einem Fall kam es bei der Migration zu einem technischen Fehler: Ein Schritt hat bei der Migration des Kundenpostfaches unverhältnismäßig lange gedauert. Aufgrund eines parallelen temporären technischen Fehlers konnte der betroffene Kunde während des Migrationsprozesses auf sein Postfach zugreifen. Zu diesem Zeitpunkt waren die Zugriffsrechte des Postfachs noch nicht komplett eingespielt und der Nutzer erlangte erhöhte Leserechte. Damit hatte er auf die von anderen Kunden auf dem Server hinterlegten Kontaktdaten wie Telefonnummern und Email-Adressen und teilweise Anschriften Zugriff. Sensible Daten wie Bankdaten oder Passwörter sind in dieser Datenbank nicht abgelegt. Die Telekom hat unmittelbar nach Bekanntwerden des Falles technische Vorkehrungen getroffen, damit ein solcher Fehler in Zukunft nicht mehr möglich ist. Wir haben nach Kenntnisnahme des Falles die Aufsichtsbehörde und die Kunden informiert, deren Daten einsehbar waren. Den vom Fehler betroffenen Kunden haben wir gebeten, die unrechtmäßig erlangten Daten sicher zu löschen und uns das zu bestätigen.
    Weitere Recherchen haben ergeben, dass es bei der Umstellung vermutlich einen weiteren Fehler gegeben hat, der allerdings ein anderes Fehlerbild aufweist als der aktuelle. Wir können nicht ausschließen, dass bis zu 36 Kunden Einblick in fremde Kundendaten hatten. Auch dabei handelt es sich ausschließlich um Kontaktdaten wie Telefonnummern und Email-Adressen.
  • Ein Bundestagsabgeordneter hatte im Oktober 2016 seinen Anschluss gekündigt und bat darum, dass ihm die Bestätigung sowie seine letzte Rechnung an eine neue Adresse geschickt würden. Zuvor wurden seine Rechnungen an ein zentrales Logistikreferat des Bundestages geschickt. Dieses Referat ist auch für zahlreiche andere Abgeordnete als Rechnungsanschrift angegeben. Aufgrund eines Arbeitsfehlers wurde leider auch für andere Anschlussinhaber mit Rechnungsadresse Logistikreferat die neue Adresse des Bundestagsabgeordneten hinterlegt. Der Fehler ist inzwischen korrigiert, wir gehen bisher von 35 Fällen aus, in denen Rechnungen falsch adressiert wurden. Die Informationen darin umfassen Rechnungsbetrag, erbrachte Leistungen (etwa Festnetz- und Mobilfunkverbindungsminuten sowie evtl. gemietete Endgeräte) und Adresse, nicht jedoch einen Einzelverbindungsnachweis mit konkreten gewählten Rufnummern (die gehen – wenn überhaupt – an die Bundestagsabgeordneten direkt). Wir haben die Betroffenen informiert und bedauern das Versehen sehr.
  • Die Telekom bietet ihren Kunden an, der Anonymisierung und Übermittlung von drei Informationen (Altersgruppe, Geschlecht und Postleitzahl) an die Motionlogic GmbH zu widersprechen (Opt-out Service). Ende September 2016 ist durch eine Kundenmeldung aufgefallen, dass parallel zur gesicherten Seite für das Opt-out (zu erkennen über https) auch eine ungesicherte Seite aktiv war. Die Telekom hat die ungesicherte Seite umgehend vom Netz genommen. Über die Seite geben Kunden ihren Namen und ihre Mobilfunknummer an, um einen Code für die Unterbindung der Anonymisierung und Weitergabe zu erhalten.
  • Aufgrund eines technischen Fehlers kam es am 20. Mai 2016 zu einer Fehlfunktion beim Gruppen-Chat von RCS/Message+. Dabei wurden neue Teilnehmer ohne Einladung automatisch in bereits bestehende Chat-Gruppen integriert und konnten nicht wieder entfernt werden. Die Telekom hat nach Bekanntwerden des Fehlers die Gruppen-Chat Funktion von RCS/Message+ deaktiviert und arbeitet an der Behebung des Fehlers. Es erging eine Meldung an die Aufsichtsbehörden. Die Telekom arbeitet daran, die betroffenen Kunden zu identifizieren und sie zu informieren.
  • Im April 2016 wurden Telekom-Kunden schriftlich über die Anhebung des Datenvolumens bei MagentaMobil Tarifen informiert. Aufgrund eines manuellen Bearbeitungsfehlers waren bei circa 50 Kunden das personalisierte Anschreiben und der personalisierte Briefumschlag falsch zusammengeführt worden. Dadurch gelangte die Informationen über Namen und Mobilfunknummer an den falschen Empfänger. Die Deutsche Telekom informierte die betroffenen Kunden sowie die Aufsichtsbehörden über den Bearbeitungsfehler.
  • Mit der Kundencenter-App verwalten Telekom-Kunden mobil ihre Mobilfunk- und Festnetzanschlüsse. Am 29. März 2016 sind mit dem Einspielen der neuesten App-Version für iOS-Geräte (Version 5.3.6) in den App-Store Fälle bekannt geworden, bei denen Nutzern falsche Daten angezeigt wurden. Nach bisherigem Kenntnisstand wurden lediglich die Daten einer einzigen Person angezeigt. Die Telekom hatte die App zunächst aus dem App Store herausgenommen und hat am 6. April die vorherige Version wieder eingespielt. Besitzer von Android-Geräten können die Kundencenter App wie bisher weiter nutzen.
  • Zwischen dem 24. März und dem 31. März 2016 kam es zu einer technischen Störung bei der Anmeldung für Dienste und Portale über den sogenannten Telekom-Login. Kunden, die sich mit einer externen E-Mail-Adresse (nicht t-online.de) angemeldet haben, hatten in dieser Zeit vereinzelt Zugriff auf die Daten anderer Kunden. Die Telekom hat die betroffenen Telekom-Logins vorsorglich vorübergehend gesperrt. Betroffene Kunden werden gebeten sich bis zum 30.6.2016 bei der unter der Nummer 0800 304006 zu melden. Nach diesem Datum werden die Accounts automatisiert bereinigt. Die Telekom hat die Aufsichtsbehörden informiert.
  • Bei einer Prüfung eines Callcenter-Partners ist im Dezember 2015 unter anderem aufgefallen, dass der Partner ein nicht-genehmigtes Subunternehmen beschäftigt und diesem Kundendaten zur Verfügung gestellt hat. Das ist ein massiver Verstoß gegen die Vereinbarung für die Auftragsdatenverarbeitung. Die Telekom hat den Vertrag mit dem Callcenter daher fristlos gekündigt.
  • Mit der Kundencenter-App verwalten Kunden mobil ihre Mobilfunk- und Festnetzanschlüsse. Es waren Einzelfälle bekannt geworden, bei denen Nutzern im Mobilfunkbereich der App falsche Daten angezeigt wurden. Die Telekom hat im Mai zunächst die App vorsorglich deaktiviert und anschließend den Bereich Festnetz darin wieder aktiviert. Der Bereich Mobilfunk der App blieb vorsorglich deaktiviert. Es waren keine weiteren Anwendungen der Telekom betroffen. Die Telekom hat ihren Kunden mit Android- und iOS-Geräten ein Update angeboten, nach dem die App wieder komplett zur Verfügung steht.
  • Im März 2015 startete die Schulung "Daten- und Informationsschutz" für alle Beschäftigten des Konzern Deutsche Telekom. Die Online-Schulung informiert darüber, was gesetzlich erlaubt ist und was unbedingt beachtet werden muss. Sie wird alle zwei Jahre aktualisiert und ist für alle Mitarbeiter in Deutschland verpflichtend. Ein Schwerpunkt sind die Binding Corporate Rules Privacy, die wichtigste interne Datenschutz-Richtlinie. Außerdem: nützliche Tipps zum richtigen Umgang mit sensiblen Informationen und Dokumenten. Die Schulung garantiert weltweit einheitliche Datenschutzstandards bei der Verarbeitung von Kunden- und Mitarbeiterdaten innerhalb des Telekom-Konzerns.
  • Aufgrund eines technischen Fehlers im Online-Kundencenter für Störungen kam es Anfang Juli 2014 zu einem unberechtigten Zugriff eines einzelnen Kunden auf die Daten eines weiteren Kunden. Ersterer hatte Zugriff auf Informationen wie Rufnummer und Störungsdetails. Andere sensible Daten wie etwaige Passwörter, Bank- und Zahlungsdaten waren nicht betroffen. Die Deutsche Telekom ergriff umgehend technische Maßnahmen, damit ein solcher oder ähnlicher Fehler künftig nicht mehr vorkommen kann.
  • Im Mai 2014 wurde in Folge eines Arbeitsfehlers eine E-Mail an eine falsche Kundenadresse geschickt. Im Anhang der E-Mail befanden sich Reports zu Mobilfunkverträgen eines anderen Kunden. Die Deutsche Telekom informierte die betroffenen Kunden über den Vorfall und passte die Prozesse zum Versand von Reports an.
  • Im Mobilfunkportal der Telekom ist durch Hinweis eines Mitarbeiters ein Fehler bei der Zuordnung von Verträgen zu Onlineaccounts (Anmeldekonten) aufgefallen. Durch diesen Fehler konnten Kunden in bestimmten Konstellationen möglicherweise Einblick in die Vertragsdaten eines anderen Kunden erhalten. Um Fälle unberechtigter Einsichtnahme mit Sicherheit auszuschließen, wurden am 25.4.2014 die betroffenen Teile des Onlinekundenportals Mobilfunk für mehrere Stunden vom Netz genommen und erst nach gesicherter Behebung wieder eingeschaltet.
  • Im Internetvertriebsportal für Geschäftskunden wurde durch einen Kundenhinweis ein technischer Fehler an einem Link entdeckt. Dieser Fehler konnte dazu führen, dass den Kunden bei Abschluss eines Neukundenvertrages die Vertragsunterlagen eines anderen Geschäftskunden angezeigt wurden. Betroffen waren dabei unter anderem die Kontoverbindungen der Firmen und persönliche Daten der Firmeninhaber wie Geburtsdatum und Ausweisnummer.

    Der Fehler trat nur unter bestimmten Bedingungen auf und kam nur bei Kunden zum Tragen, die ihre Auftragsbestätigung per Link abgerufen und nicht die parallel per Mail verschickte, korrekte Bestätigung genutzt haben. Daher ist nicht feststellbar, wie viele Kunden tatsächlich betroffen waren. Vorsorglich schreibt die Deutsche Telekom alle 2107 möglichen Betroffenen an. Darüber hinaus informierte die Telekom die Aufsichtsbehörden.
  • Falsche Zugangsdaten für ein Geschäftskunden-Administrationsportal: Die Telekom hat bei einer Systemumstellung rund 120 Geschäftskunden versehentlich einen falschen Aktivierungslink per E-Mail zugestellt. Die Plattform, über die die Anwender Internet-Domains verwalten, wurde daher vorsorglich kurzzeitig vom Netz genommen, bis der Fehler behoben war. Die Telekom informiert die betroffenen Kunden.

    28 Anwender des neuen Administrationsportals haben den falschen Aktivierungslink tatsächlich genutzt. In den anderen Fällen wurde dieser also nicht verwendet. Der Fehler wurde innerhalb von wenigen Stunden bemerkt, worauf die Telekom die Plattform vorübergehend gesperrt hat, um eine missbräuchliche Nutzung zu verhindern. Ein Schaden ist nicht entstanden. Der Datenfehler wurde identifiziert und umgehend behoben.

    Auslöser waren durch einen Systemfehler falsch zugeordnete E-Mails. Bereits vor der Systemumstellung hatte die Telekom die Portalnutzer gebeten, E-Mail-Adressen zu hinterlegen bzw. diese zu verifizieren um sicherzustellen, dass nur die berechtigten Anwender die Aktivierungsmail erhalten. Bei der dazu erforderlichen Übertragung der E-Mail-Adressen wurden durch einen Systemfehler beim Datenexport indes Daten vertauscht.

  • Bei der Vorbereitung der Migration eines IT-Systems stellte sich heraus: Statt ausschließlich anonymisierter Daten enthält es auch personenbezogene Informationen von Mitarbeitern. Das System wurde gestoppt, der Betriebsrat informiert. Die Mitarbeiter wurden am 26. August 2013 informiert.
  • Im Juni 2013 wurden in einem Telekom Partner Shop Kundenaufträge an Hardware Verpackungen im Ladengeschäft befestigt, um diese für die Kunden zu reservieren. Der Bearbeitungsfehler wurde umgehend behoben und die Partner erneut über den Datenschutz geschult.
  • Mitte November 2012 wurden in Folge eines Arbeitsfehlers mehrere Kunden-Original-Aufträge beziehungsweise Auftragsbestätigungen von einem stationären Vertriebspartners an einen einzelnen Kunden versandt.
  • Auf einer Internetseite wurde ein SQL-Create Skript veröffentlicht, in welchem interne Kontaktdaten (Name, Abteilung, Betrieb, Telefonnummer) von Telekom-Mitarbeitern veröffentlicht wurden. Nach Feststellung wurden die Daten umgehend gelöscht.
  • Anfang Mai 2012 hat die Telekom festgestellt, dass bei einer ihrer Online Bewerber Portale eine Sicherheitslücke vorgelegen hat. Einem unbekannten Angreifer ist es unter Ausnutzung dieser Sicherheitslücke gelungen, aus dem Internet Bewerberdokumente wie Lebensläufe, Zeugnisse und Anschreiben aus der entsprechenden Anwendung herunterzuladen.

    Die Sicherheitslücke konnte unmittelbar nach ihrem Bekanntwerden geschlossen werden, so dass die Gefahr des Abhandenkommens weiterer Informationen von Bewerbern ausgeschlossen werden kann. Außerdem werden derzeit sämtliche ähnliche Anwendungen geprüft. Der Landesdatenschutzbeauftragte in NRW wurde informiert und die Deutsche Telekom hat Strafanzeige erstattet. Zudem wurden die Betroffenen benachrichtigt.

  • Aufgrund eines technischen Fehlers im online Kundencenter für den Festnetzbereich ist es Anfang Februar 2012 zu einem unberechtigten Zugriff eines einzelnen Kunden auf die Daten eines weiteren Kunden gekommen. Der Kunde hatte Zugriff auf Informationen wie Adresse und Kontaktdaten und die jüngste Telefonrechnung inklusive Einzelverbindungsnachweis. Andere sensible Daten wie etwaige Passwörter, Bank- und Zahlungsdaten waren nicht betroffen. Die Deutsche Telekom hat umgehend technische Maßnahmen ergriffen, damit in Zukunft ein solcher oder ähnlicher Fehler nicht mehr vorkommen kann. Der Kunde, der den unberechtigten Zugriff hatte, wurde schriftlich dazu aufgefordert, die ihm nicht zustehenden Informationen zu löschen und dies der Deutschen Telekom schriftlich zu bestätigen.
  • Bei ImmobilienScout24 hat es einen unbefugten Zugriff von extern auf Server des Unternehmens gegeben. Davon betroffen sind Adress- und Kontaktdaten, Kundennummern und Namen sowohl von gewerblichen als auch privaten Anbietern. Es handelt sich dabei um Daten, die in der Regel auf der Website von ImmobilienScout24 standardmäßig angezeigt werden, da sie die nötigen Kontaktinformationen der Anbieter im Zuge des Inserierens von Immobilien enthalten. Darüber hinaus sind auch Daten aus Kontaktformularen betroffen. Hierbei handelt es sich beispielsweise um Kataloganforderungen oder Infoanfragen.

    Es wurden keine Passwörter, Bank- oder Finanzdaten entwendet. ImmobilienScout24, ein Tochterunternehmen der Deutschen Telekom, hat den entsprechenden Zugangsweg umgehend gesperrt und die Sicherheit der angegriffenen Server wiederhergestellt.Anbieter und Nutzer wurden informiert. Das Unternehmen hat Strafanzeige gegen Unbekannt bei der Staatsanwaltschaft Berlin gestellt.
  • In technischen Tests hat sich ergeben, dass der WLAN-Router Speedport W723V, den die Deutsche Telekom aktuell vertreibt, nicht ausreichend sicher vorkonfiguriert ist. Mit einigem technischen Aufwand ist es möglich, den so genannten WPA-Schlüssel herauszufinden und sich damit unberechtigten Zugang zu einem WLAN Netzwerk zu verschaffen. Die Deutsche Telekom hat nach Bekanntwerden der Testergebnisse und eigenen Tests Kundenhinweise auf ihren Webseiten telekom.com und telekom.de veröffentlicht, in denen sie rät, die ab Werk vorkonfiguruierten WLAN Passwörter sämtlicher Router zu ändern. Gleichzeitig erstellt sie Kundeninformationen, die sämtlichen neu ausgelieferten Routern der betroffenen Serie beigelegt werden sollen. Mit dem Hersteller des Routers wurde umgehend Kontakt aufgenommen und ein Prozess eingeleitet, der künftig wieder eine sichere Vorkonfiguration der Geräte ab Werk gewährleistet.
  • Vom 14. April 2011 bis 10. Mai 2011 wurden in Folge eines Arbeitsfehlers sechs Emails mit Unterlagen von drei Kunden, die Zahlungsansprüche gegen die Telekom Deutschland GmbH gerichtlich geltend machen, an eine falsche Email-Adresse geschickt. Im Anhang der Emails befanden sich Kopien der strittigen Rechnungen, Mobilfunkverträge und Kontoauszüge. Die Rechnungen enthielten Anschrift, Kundennummer und Bankdaten. Nach Bekanntwerden des Fehlers hat das Unternehmen den irrtümlichen Empfänger unverzüglich gebeten, die nicht für ihn bestimmten Emails zu löschen. Die Deutsche Telekom informiert die betroffenen Kunden über den Vorfall und kontaktiert sie bezüglich der möglichen Vergabe einer neuen Kundennummer.
  • Mitte August 2010 ist ein Datenstick mit Finanzinformationen über britische Tochtergesellschaften der Deutschen Telekom beim Transport nach Deutschland verloren gegangen. Die Daten auf dem Stick sind verschlüsselt. Betroffen sind keine Kundendaten.
FAQ

Diese Website verwendet Cookies, um Ihnen den bestmöglichen Service zu gewährleisten. Durch die Nutzung der Website {js_accept}akzeptieren{js_accept} Sie die Verwendung von Cookies. Weitere Informationen finden Sie hier.