Datenschutzvorfall
Frühjahr 2024
Informationen und Einordnung
Was ist passiert?
Im Frühjahr 2024 stellten wir fest, dass Informationen über einzelne Support- und Retourenvorgänge eines kleinen Teils unserer Kundschaft in den Index der Suchmaschine Bing von Microsoft gelangt waren. Betroffen waren Gastbestellungen sowie individuelle Support- und Retourenlinks. Nach der Feststellung konnten wir schnell reagieren, die technische Ursache beheben und den Vorfall dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) melden. Es handelte sich nicht um einen Zugriff auf Kundenkonten oder auf unsere Kundendatenbank.
Welche Kundinnen und Kunden waren betroffen?
Betroffen waren Kundinnen und Kunden, die einen Browser von Microsoft verwendeten, insbesondere den Browser Edge, und nach Gastbestellungen einen Support- oder Retourenvorgang eröffneten. Bei einigen dieser Kundinnen und Kunden gelangten die individuellen Links und damit Informationen über die Support- und Retourenvorgänge über den Browser in den Index der Suchmaschine Bing von Microsoft. Das geschah mutmasslich durch die Verwendung einer zusätzlich installierten Browser-Toolbar durch die betroffenen Kundinnen und Kunden.
Welche Informationen konnten betroffen sein?
Je nach individuellem Support- oder Retourenvorgang konnten unterschiedliche Kategorien von Informationen im Index der Suchmaschine Bing sichtbar sein, beispielsweise:
- Namen und Kontaktdaten,
- Inhalte der Support-Kommunikation,
- Fotos zu Reklamationen oder Rücksendungen, und
- weitere Angaben im Zusammenhang mit dem Support- oder Retourenvorgang.
Nicht alle Kategorien von Informationen waren bei allen betroffenen Fällen vorhanden.
Welche Massnahmen wurden umgesetzt?
Nach Bekanntwerden des Vorfalls liessen wir unverzüglich die Informationen aus dem Index der Suchmaschine Bing löschen. Gleichzeitig reagierten wir umgehend mit geeigneten Massnahmen.
Dazu gehörten unter anderem:
- Zusätzliche technische Schutz- und Sicherheitsmassnahmen für Gastbestellungen sowie Support- und Retourenvorgänge wie weiterentwickelte Zugriffskontrollen,
- strengere interne Sicherheitsprozesse,
- regelmässige Überprüfungen sicherheitsrelevanter Systeme und Prozesse.
Häufige Fragen (FAQ)
Waren alle Kundinnen und Kunden betroffen?
Nein. Betroffen war nur ein kleiner Teil einzelner Gastbestellungen sowie einzelner Support- und Retourenvorgänge von Kundinnen und Kunden mit einem Browser von Microsoft.
Konkrete Folgen für Kundinnen und Kunden, beispielsweise durch den Missbrauch der Informationen aus diesem Vorfall, sind uns nicht bekannt.
Handelte es sich um einen Zugriff auf Kundenkonten?
Nein. Es handelte sich nicht um einen Zugriff auf Kundenkonten oder auf unsere Kundendatenbank.
Wie kann ich meine Daten zusätzlich schützen?
Wir empfehlen generell die Nutzung eines Kundenkontos mit Login anstelle von Gastbestellungen. Ein Kundenkonto bietet zusätzliche Sicherheits- und Kontrollmechanismen und reduziert bestimmte Risiken, die bei rein linkbasierten Gastprozessen entstehen können.
Welche weiteren Vorsichtsmassnahmen empfehlen wir?
Unabhängig vom konkreten Vorfall empfehlen wir generell:
- Bei unerwarteten Nachrichten oder Kontaktaufnahmen vorsichtig zu sein,
- keine sensiblen Informationen über unbekannte Formulare, Links oder Nachrichten weiterzugeben,
- Konto- oder Zahlungsbewegungen bei Unsicherheiten zu überprüfen, und
- ein Kundenkonto mit Login anstelle von Gastbestellungen zu nutzen.
Sollten Ihnen ungewöhnliche Aktivitäten auffallen oder sollten Sie Fragen haben, steht Ihnen unser Kundendienst gerne zur Verfügung.
Warum wurden betroffene Personen damals nicht direkt informiert?
Die Support- und Retourenvorgänge liessen sich nicht einzelnen betroffenen Kundinnen und Kunden zuordnen. Wir konnten deshalb die betroffenen Personen nicht direkt informieren.
Wen kann ich bei Fragen kontaktieren?
Bei Fragen steht Ihnen unser Kundendienst gerne zur Verfügung.