URBAN SPORTS CLUB: PANNE BEI LEGT DATEN VON TAUSENDEN MITGLIEDERN OFFEN

Ausweisfotos, Besuchszeiten in Sporteinrichtungen und andere Kundendaten von Urban Sports Club standen ungeschützt im Netz. Das Unternehmen will das bisher nicht bestätigen – die Berliner Datenschutzbehörde schon.

Daten von Tausenden Mitgliedern von Urban Sports Club standen ohne Passwortschutz im Netz und waren dort für jedermann abrufbar, der den Speicherort kannte. Entsprechende Informationen des SPIEGEL bestätigte ein Sprecher der Berliner Beauftragten für Datenschutz und Informationsfreiheit auf Anfrage.

»Demnach waren eine Kundendatenbank, Fotos von Ausweisdokumenten und Daten von Besuchen in den teilnehmenden Sporteinrichtungen öffentlich zugänglich«, teilte der Sprecher mit. Man habe das bestätigen können und eine Prüfung von Amts wegen eingeleitet. Urban Sports Club sei aufgefordert worden, Stellung zu dem Vorfall zu nehmen.

DER SPIEGEL fasst die wichtigsten News des Tages für Sie zusammen: Was heute wirklich wichtig war - und was es bedeutet. Ihr tägliches Newsletter-Update um 18 Uhr. Jetzt kostenfrei abonnieren.

Das Unternehmen selbst teilte mit, am 26. März erfahren zu haben, »dass bei uns ein Datenschutzvorfall vorliegt. Wir können nicht ausschließen, dass über spezifische URL-Links auch personenbezogene Daten abgerufen wurden. Zum aktuellen Zeitpunkt können wir noch keine weiteren Informationen zum genauen Umfang des Vorfalls geben.« Man habe aber sofort reagiert. Die Lücke sei seit dem 27. März geschlossen. Die zuständigen Behörden seien informiert. Dem Sprecher der Datenschutzbeauftragten zufolge hatte das Unternehmen allerdings bis Donnerstagmittag »noch keine Datenpanne gemeldet«.

Finanzierungsrunde brachte Urban Sports Club 95 Millionen Euro ein

Ein anonymer Hinweisgeber gab in einer E-Mail an den SPIEGEL an, Fotos von Personalausweisen, Reisepässen sowie mehrere Dateien mit rund 50.000 Kundendaten wie Namen, Adressen, Telefonnummern und E-Mails in einem frei zugänglichen Cloudspeicher entdeckt zu haben. In weiteren gut 8000 Dateien seien zudem jeweils Hunderte oder gar Tausende »Check-in-Daten« von Mitgliedern verzeichnet gewesen – also wer wann in welcher Sporteinrichtung war. Die Daten seien mehrere Jahre öffentlich gewesen. Zumindest einige davon seien zudem seit Juni 2022 in einem Darknetforum angeboten worden.

Die Panne kann für das Unternehmen Konsequenzen haben. Der Sprecher der Datenschutzbeauftragten erklärte: »Grundsätzlich stehen den Aufsichtsbehörden bei Verstößen gegen die Datenschutzgrundverordnung verschiedene Mittel zur Verfügung, diese reichen von einer Verwarnung bei kleineren Verstößen bis hin zu Bußgeldern bei wiederholten oder schweren Verstößen.«

Im Statement von Urban Sports Club vom Donnerstag heißt es: »Unsere Mitglieder und Partner wurden heute über den Vorfall informiert.« Man arbeite »mit großer Intensität an der Aufklärung«.

Urban Sports Club hat aktuellen Berichten zufolge mehr als 100.000 Mitglieder. Zu den Investoren des 2012 in Berlin gegründeten Start-ups zählen die Venture-Capital-Firma HV Capital sowie ProSiebenSat1. Im vergangenen Dezember schloss das Unternehmen eine neue Finanzierungsrunde über 95 Millionen Euro ab.

2024-03-28T15:19:40Z dg43tfdfdgfd