Düsseldorf Der US-Elektroautobauer Tesla hat die Generalstaatsanwaltschaft im US-Bundesstaat Maine über einen großflächigen Datenabfluss informiert. Insgesamt gehe es um 75.735 Personen, heißt es in einer Mitteilung des Unternehmens auf der Website der Behörde. Tesla hat am Freitag zudem damit begonnen, die Betroffenen persönlich zu unterrichten.
„Wir schreiben Ihnen, um Sie über einen Vorfall zu informieren, der Ihre Daten betrifft“, steht in dem Brief von Teslas Datenschutzbeauftragten. Das Unternehmen wolle sicherstellen, dass die Betroffenen über den Vorfall und die von Tesla „ergriffenen Maßnahmen“ informiert sind. Gleichzeitig stellt der Elektroautobauer klar: Tesla habe „keine Beweise für einen Missbrauch der Daten in einer Weise gefunden, die Ihnen schaden könnte.“
Hintergrund ist die Berichterstattung über die Tesla-Files. Insider hatten dem Handelsblatt mehr als 100 Gigabyte Daten aus dem Innersten des Unternehmens zugespielt. In den mehr als 23.000 Dateien finden sich viele personenbezogene Informationen wie Gehälter, private Adressen, Pass- und Sozialversicherungsnummern.
Nach Darstellung der Informanten waren die Daten kaum geschützt und leicht abrufbar. Deshalb sind mit dem Fall auch europäische Datenschutzbehörden befasst. Tesla beschuldigt in dem nun veröffentlichten Schreiben zwei Ex-Mitarbeiter, gegen interne „Sicherheits- und Datenschutzrichtlinien“ verstoßen und die Daten weitergegeben zu haben.
Das Unternehmen hat seine Investoren erst Ende Juli vor den Folgen gewarnt. Tesla nannte das Datenleck im Quartalsbericht an die US-Börsenaufsicht SEC in einer Reihe mit Ermittlungen des US-Justizministeriums. Eine „ungünstige Entwicklung“ könne zu einer „wesentlichen negativen Auswirkung“ führen – und zwar in Bezug auf Teslas „Geschäftstätigkeit, unsere Betriebsergebnisse, unsere Aussichten, unseren Cashflow, unsere Finanzlage oder unsere Marke“.
Sorge vor Identitätsdiebstahl beschäftigt Mitarbeiter
Auch Mitarbeiter sollten gewarnt sein. Tesla kündigte in seinem Schreiben an die Betroffenen an, dass das Unternehmen sie mit „einer kostenlosen Mitgliedschaft bei Experian’s IdentityWorks“ unterstützen werde. Diese biete ihnen „Kreditüberwachungs-, Identitätserkennungs- und -auflösungsdienste“.
Hintergrund ist das vor allem in den USA bekannte Problem des Identitätsdiebstahls. Zu den Daten, die nach Angaben der Insider kaum geschützt waren, zählen Sozialversicherungsnummern, auch die von Unternehmenschef Elon Musk. Für Cyber-Hacker sind sie die idealen Werkzeuge, um großen Schaden anzurichten.
Opfer brauchen oft Monate, um ihre gestohlene Identität zurückzugewinnen. Wenn Fremde in ihrem Namen Bestellungen getätigt und Kredite abgeschlossen haben, ist der Schaden oft jedoch nicht wiedergutzumachen. Das in den USA wichtige Credit-Rating etwa bleibt womöglich verschandelt – dabei ist es ausschlaggebend für die Einschätzung des Kunden, etwa durch Banken vor einem Hauskauf.
Wer nun glaube, „Opfer eines Identitätsdiebstahls geworden“ zu sein, solle das unverzüglich den Behörden melden, schreibt Teslas Datenschutzbeauftragter in seinem Brief an die Betroffenen. Er legt ihnen zudem nahe, auch die von der US-Handelskommission „bereitgestellten Ressourcen zur Vermeidung von Identitätsdiebstahl“ zu prüfen.
Seit wann wusste Tesla Bescheid?
Dass Tesla angibt, dass der Konzern das Datenleck erst im Mai entdeckt hat, überrascht. Das Handelsblatt hatte im Februar damit begonnen, Kunden und Mitarbeiter zu kontaktieren. Mindestens einer will sich daraufhin an das Unternehmen gewendet haben. In einem Beitrag in dem Sozialen Netzwerk Linkedin ärgerte sich der Ex-Teamleiter aus der Fabrik im brandenburgischen Grünheide darüber, dass er anschließend „kein Wort mehr von Tesla“ gehört habe.
Am 10. Mai konfrontierte auch das Handelsblatt Tesla. Das Unternehmen ging nicht auf die Fragen ein. Ein Konzernanwalt forderte die Redaktion in einem Brief stattdessen dazu auf, die Daten zurückzuschicken und dann zu löschen. Erst drei Tage später informierte Tesla nach deren Angaben die europäischen Datenschützer.
Die Chefin der Behörde in Brandenburg, Dagmar Hartge, leitete den Fall an die niederländischen Datenschützer in Den Haag weiter, weil Teslas Europazentrale in Amsterdam liegt. Hartge zeigte sich verblüfft von der Größe des Datenlecks bei dem US-Unternehmen: „Ich kann mich in meiner Zeit nicht an eine solche Dimension erinnern.“
Für die Behörden ist die genaue zeitliche Abfolge der Kenntnis über den Datenabfluss relevant. Die Datenschutz-Grundverordnung (DSGVO) schreibt vor, dass ein Unternehmen die Aufsichtsbehörde „unverzüglich und möglichst binnen 72 Stunden“ informieren muss, nachdem ihm die Verletzung des Schutzes personenbezogener Daten bekannt wurde.
Klagen gegen zwei Ex-Mitarbeiter
Die DSGVO kann in Fällen von unzureichendem Datenschutz und verspäteter Meldung von Verstößen Verwarnungen aussprechen oder Bußgelder verhängen. Letztere können bis zu vier Prozent des Konzernumsatzes betragen. Bei Teslas Jahresumsatz von knapp 81,5 Milliarden Dollar wären das bis zu 3,26 Milliarden Dollar.
Ende Mai informierte Tesla auch seine Beschäftigten darüber, dass ein ehemaliger Mitarbeiter“ seinen Zugang missbraucht habe, um Informationen „unangemessen aus dem Netzwerk“ zu kopieren und an „eine externe EU-Medienorganisation“ weiterzugeben. Tesla untersuche derzeit, „ob andere Personen beteiligt gewesen sein könnten“.
Lesen Sie zu den Tesla-Files auch:
Inzwischen geht das Unternehmen offenbar davon aus, dass zwei Mitarbeiter Informationen weitergegeben haben. Klagen hätten zur Beschlagnahmung elektronischer Geräte geführt, von denen angenommen wurde, dass sie die Daten enthielten, teilte Tesla in seinem Schreiben mit. Das Unternehmen habe zudem Verfügungen erwirkt, die den zwei Personen „die weitere Nutzung, den Zugang oder die Verbreitung der Daten“ untersagen.
Warum Tesla bis jetzt wartete, um auch amerikanische Behörden zu alarmieren, ist unklar. Ebenso, ob Tesla Behörden in weiteren US-Bundesstaaten informiert hat. Das Unternehmen ließ eine Anfrage des Handelsblatts von Sonntag zunächst unbeantwortet.
Mehr: Ex-Mitarbeiter will Tesla früh vor Datenleck gewarnt haben.