Ich habe tatsächlich geglaubt, ich würde meine persönlichen Daten im Netz einigermaßen gut schützen. Ich denke mir immer mal wieder neue Passwörter aus und nutze – wo es geht – eine Zwei-Faktor-Authentifizierung, bei der ich beim Einloggen neben dem Passwort zusätzlich eine TAN, also ein Einmalkennwort, eingeben muss. Ich speichere zwar Daten auf Rechnern in der Cloud, also auf entfernten Servern von Unternehmen, verschlüssele sie zumeist aber vorher mit der Software Boxcryptor. Nur: Das reicht offenbar alles nicht, wenn Unternehmen nicht sorgsam mit meinen Daten umgehen.

Das wird mir beim Treffen mit Matthias Nehls von der IT-Sicherheitsfirma Cyberscan in Flensburg klar. Er berichtet mir von einem Datenleck, das er mit seiner Software beim Mietwagenverleiher Buchbinder geortet hat. Er zeigt mir zwei Mails, in denen er das Unternehmen bereits im Dezember auf die "massive Datenlücke" hingewiesen hat; nach eigenen Worten hat er keine Antwort darauf erhalten, obwohl Millionen von teilweise sehr sensiblen Kundendaten von der Panne betroffen sind.

An einem Nachmittag im Januar sitzen wir um seinen Besprechungstisch herum, kauen Fischbrötchen und starren auf einen großen Flachbildschirm. Auf dem Monitor: meine Daten. Sie stammen aus der Datenbank der Mietwagenfirma Buchbinder, die frei zugänglich im Internet stand, bis DIE ZEIT und das Fachmagazin c’t das Unternehmen darauf aufmerksam machten. Da habe man, so Buchbinder in seiner kurzen Stellungnahme, "unverzüglich die Schließung der entsprechenden Ports durch unseren mit der Betreuung und Absicherung der Server beauftragten Vertragspartner veranlasst". Seitdem stehen die Daten nicht mehr im Netz. Aber wer sie bis dahin eingesehen hat, weiß man nicht. Das Unternehmen schweigt auch dazu, warum es auf die Hinweise von Nehls im Dezember nicht reagiert hat.

Wie sind meine Daten dort gelandet?

Dass ich überhaupt in der Datenbank von Buchbinder stehe, überrascht mich. Ich kann mich nicht erinnern, jemals bei Buchbinder ein Auto gemietet zu haben. Doch mein Name erscheint auf dem Bildschirm – außerdem unter anderem meine Privatadresse, meine Handynummer, mein Geburtsdatum und meine Führerscheinnummer. Mit etwas Sucherei wäre vielleicht auch der Scan meines Mietvertrags auffindbar; eine Vielzahl solcher Scans war auf dem Server einsehbar. Daten also, die Kunden in analoger Form bei Buchbinder hinterlassen haben und die das Unternehmen dann digitalisiert und abgespeichert hat.

Ich bin perplex – und frage mich: Wie sind die Daten dort eigentlich gelandet, wo ich doch meiner Erinnerung nach nie bei Buchbinder ein Auto gemietet habe? Auch wenn ich meinen Mailaccount nach Buchbinder durchsuche, findet sich nichts – keine Buchungsbestätigung, keine Rechnung. Die Suche nach der Antwort erklärt viel über das Geschäft der Mietwagenfirmen, die sich auf dem unübersichtlichen Markt tummeln – Buchbinder, eine Tochter von Europcar, ist nur einer von vielen Anbietern, aber nach eigenen Angaben der größte im Privatkundensegment. Wie bin ich an ihn geraten?

Die Informationen aus dem Leck helfen. Sie enthalten alle Angaben zu meiner Ausleihe. Am 12. September 2018 habe ich den Wagen – einen Ford Focus, Farbe: Iridium-Schwarz – in Solingen abgeholt, am 13. September in Hamburg wieder abgegeben. Ich erinnere mich gut an den Tag: Ich hatte einen Termin im Bergischen Land und bin dann noch nach Köln weitergefahren. Ich brauchte das Auto, weil ich noch am späten Abend zurück nach Hamburg musste, wo ich den Ford tags darauf wieder abgab.

Die Daten genügen, um mein Postfach genauer zu durchsuchen: Ich finde die passende Buchung, sie datiert auf den 6. September 2018. Allerdings habe ich sie beim Onlineportal billiger-mietwagen.de vorgenommen, einem Portal des Unternehmens SilverTours aus Freiburg, auf dem sich Mietwagenpreise vergleichen und Wagen verschiedener Anbieter buchen lassen. Der von mir gewählte Anbieter ist laut Buchungsbestätigung: CarDelMar, ein Unternehmen, das wiederum zur US-amerikanischen Expedia-Gruppe gehört – und das wie die Plattform billiger-mietwagen.de selbst keine Flotte hat, sondern Leihwagen vermittelt. Solche Broker buchen bei den Leihwagenfirmen große Kontingente und bekommen sie dafür oft billiger.