Ausführliche Kundeninformation:
Datenschutzinformation gemäß Art. 34 DSGVO (Stand: März 2024)

Liebe Nutzerinnen und Nutzer von Verivox,

wir möchten Sie im Folgenden über einen Datenvorfall im Zusammenhang mit der Datenübertragungssoftware MOVEit ("MOVEit") informieren, der unter anderem auch personenbezogene Daten von Kundinnen und Kunden von Verivox ("Kunden") betraf ("Vorfall").

Was ist passiert?

Uns ist der Schutz von personenbezogenen Daten unserer Kunden sehr wichtig. Daher haben wir umfassende technische und organisatorische Maßnahmen umgesetzt, um ein möglichst hohes Maß an Datensicherheit bei der Verarbeitung personenbezogener Daten zu gewährleisten. Trotz dieser umfassenden Maßnahmen lässt sich das Risiko möglicher Datenvorfälle nicht immer vollständig ausschließen. Der Betreiber der Plattform von MOVEit hat uns im Mai 2023 über einen entsprechenden Vorfall auf seiner Plattform informiert.

Bei MOVEit handelt es sich um eine verschlüsselte Datei-Übertragungssoftware, die tausende Unternehmen und Organisationen weltweit zur möglichst sicheren Übertragung von Daten genutzt haben – so auch Verivox. Der Betreiber von MOVEit teilte uns mit, dass es Hackern gelungen sei, über eine Schwachstelle bei MOVEit die Verschlüsselung der Daten zu umgehen, die auf der Plattform in verschlüsselter Form gespeichert waren. Diese Schwachstelle hat es den Hackern nach Angaben des Betreibers von MOVEit ermöglicht, unter anderem auch von Verivox verarbeitete Kunden-Daten widerrechtlich abzurufen. Daneben waren tausende andere Unternehmen sowie Behörden von dem Vorfall betroffen.

Welche Maßnahmen hat Verivox getroffen?

Wir haben nach Kenntniserlangung unverzüglich Maßnahmen ergriffen, um den Vorfall aufzuklären und mögliche Folgen oder Risiken für betroffene Kunden zu verringern. Als Teil dieser Sofort-Maßnahmen haben wir unter anderem die Nutzung von MOVEit umgehend eingestellt. Zudem haben wir den Server, auf dem MOVEit lief, komplett neu aufgesetzt. Es ist daher ausgeschlossen, dass sich der Vorfall in dieser oder ähnlicher Form wiederholen könnte. Vorsorglich haben wir unsere hohen Sicherheitsstandards weiter verstärkt, beispielsweise durch den Ausbau unserer Firewall.

Da uns ein hohes Maß an Transparenz sehr wichtig ist, haben wir unmittelbar nach Bekanntwerden des Vorfalls eine öffentliche Mitteilung über den Vorfall auf unserer Startseite veröffentlicht. Weiterhin haben wir die zuständigen Behörden sowie die Presse über den Vorfall informiert. Wir haben uns in Bezug auf den Vorfall insbesondere mit der für uns zuständigen Datenschutzaufsichtsbehörde abgestimmt.

Nach Abschluss unserer internen Aufklärungsmaßnahmen haben wir weiterhin die als betroffen identifizierten Kunden individuell über den Vorfall informiert.

Welche Daten sind betroffen?

Auf der Basis der uns vorliegenden Prüfergebnisse waren vor allem folgende personenbezogene Daten von Kunden von dem Vorfall betroffen: Name, Anschrift, Geburtsdatum, E-Mail-Adresse, Telefonnummer und Vertragsdaten. In bestimmten Fällen waren auch Bankverbindungsdaten betroffen (Kreditinstitut, IBAN).

Wir haben die betroffenen Kunden jeweils individuell über die bei ihnen betroffenen Daten informiert.

Welche Folgen hat der Vorfall?

Uns liegen bis jetzt keine Anhaltspunkte dafür vor, dass die von dem Vorfall betroffenen Daten missbräuchlich verwendet worden sein könnten. Uns sind auch keine sonstigen Nachteile oder Risiken für die vom Vorfall betroffenen Kunden bekannt. Entsprechende Risiken (wie z.B. ein Identitätsdiebstahl) lassen sich aber zum jetzigen Zeitpunkt nicht vollständig ausschließen.

Sie haben weitere Fragen?

Wir sind für Sie da. Sollten Sie weitere Fragen haben, können Sie sich jederzeit mit einer E-Mail an [email protected] wenden.