Schon am 17.11.2023 wurde öffentlich, dass die Toyota Bank ein „kleines Problem“ mit abgeflossenen Daten hat und erpresst wird. Dabei sollen Daten von knapp 300000 Personen geklaut worden sein.
Ich hab das mal getestet (Euphemismus für: ich bin sche*ss Kunde dieser Bank) und habe aktuell einen Brief von der Toyota Bank erhalten, in dem man mich über den Datenschutzvorfall informiert. Man geht davon aus, dass (Originalzitat aus dem Brief)
[…]
Name, Vorname, die Postleitzahl Ihres Wohnorts sowie unter Umständen weitere Vertragsinformationen wie etwa Vertragshöhe, eventueller Mahnstatus und Ihre IBAN (International Bank Account Number) betroffen
[…]
seien.
Lustigerweise (ein erneuter Euphemismus für: ich bin stinkesauer) hatte ich ein paar Monate vorher eine Auskunft nach DSGVO erbeten und eine Liste folgender Attribute erhalten, also Daten, die man über mich gespeichert hat und die gemäß Art. 20 DSGVO übertragbar sind:
[…]
Nachname
Vorname
Straße & Nr. /Postf.
LKZ/PLZ/Ort
Seit/Telefon
Geschl./ Geb. am /in
Familienst./ Kinder
Legitim. Durch /Passnr.
ausgestellt Ort /am
Berufsgr. /Wehrpfl.
Staatsangehörigkeit
Steuer-Identifikationsnummer
Tätigkeit
Arbeitgeber
LKZ/PLZ/Ort
Seit/bis/Telefon
vorh. Arbeitgeber
LKZ/PLZ/Ort
Beschäftigt von/bis
Wohnungsart
Einkommen
Verpflichtung
Vermögen
Belastung
E-Mail
Mobiltelefon
Bank
BIC
IBAN
Gültig ab
Kontoinhaber
- alle Buchungen
[…]
Die Daten der Liste waren alle vollständig vorhanden und ausgefüllt.
Man kann schon an der Länge der Liste erkennen, dass die Art.20-Daten erheblich umfangreicher sind als die beschönigenden Worte des aktuellen Schreibens der Toyota Bank. Außerdem hege ich den Verdacht, dass da noch weitere Daten gespeichert werden, die nicht „übertragbar“ sind, weil Toyota nicht will, dass Kunden das wissen. Ich denke da spontan an Ausweiskopien und dergleichen.
Ich frage mich auch, warum die Toyota Bank solch sensible Daten, die prädestiniert für Identitätsdiebstahl sind, wie z.B. die Ausweisnummer, überhaupt langfristig speichert. Sobald der Vertrag abgeschlossen ist, gehören solche Daten gelöscht.
Wer also auch Kunde bei der Toyota Bank ist: Mazel tov! Noch ein paar Daten mehr, mit dem Eure bereits vorhandenen Daten im Darknet angereichert werden können.
Ich überlege, Toyota auf Schmerzensgeld in Bezug auf die DSGVO zu verklagen bzw. mit Hilfe eines fiktiven Schadens von 5000,- direkt an ein Landgericht zu gehen. Eventuell ersuche ich meine Bank nach einer neuen IBAN und lasse mir einen neuen Personalausweis ausstellen und melde den alten als „verloren“. Mal sehen, was meine Rechtsschutz so sagt…