Pada musim panas tahun 2014, sejumlah besar data pengguna dicuri dari Kreditech – masalah ini harus ditangani oleh jaksa penuntut umum dan petugas perlindungan data. Investigasi mereka sekarang selesai.
Sudah lebih dari setahun sejak sejumlah besar data sensitif pengguna dicuri dari startup Hamburg Point, Kreditech. Gründerszene mampu mengungkap kejadian musim panas 2014 di bulan Maret. Beberapa saat kemudian diketahui bahwa perusahaan tersebut diduga telah diperas dengan data tersebut – sehingga mengajukan pengaduan terhadap orang tak dikenal.
Menurut informasi dari Gründerszene, penyelidikan terkait kini telah berakhir – dan tidak membuahkan hasil. Seperti yang dikonfirmasi oleh jaksa senior negara bagian Carsten Rinio kepada Gründerszene, persidangan dihentikan pada tanggal 3 September “karena pelaku tidak dapat diidentifikasi”.
Pada musim semi, di lingkungan perusahaan, ada dugaan mantan karyawan berada di balik pencurian data tersebut. Namun meski begitu, polisi mengungkapkan bahwa mereka belum menetapkan tersangka.
Namun, menurut kantor kejaksaan, penyelidikan tersebut bersifat “komprehensif” – dan “dilakukan sesuai dengan semua aspek hukum yang memungkinkan”. Oleh karena itu, otoritas menyinggung pertanyaan apakah pelaku tidak bersalah dalam pencurian data selain pemerasan yang diklaim Kreditech. Menurut KUHP, memata-matai data dapat mengakibatkan hukuman hingga tiga tahun penjara.
Juga bukan Kantor kejaksaan menargetkan perusahaan itu sendiri dan para manajer yang bertanggung jawab. Para penyelidik bisa saja menuduh mereka tidak cukup melindungi data pengguna dari akses yang tidak sah dan tidak atau hanya kurang memberi informasi kepada pihak yang terkena dampak tentang insiden tersebut. Penelitian yang dilakukan oleh Gründerszene menyarankan hal terakhir pada bulan Maret.
Mengenai tanggung jawab perusahaan, Kepala Jaksa Penuntut Umum Rinio merujuk pada otoritas lain: komisaris perlindungan data Hamburg. Karyawannya “memiliki akses ke file di sini,” kata Rinio. Ini tentang kemungkinan pelanggaran kewajiban informasi berdasarkan Pasal 42a Undang-Undang Perlindungan Data Federal – yang menyatakan bahwa perusahaan yang datanya secara tidak sah jatuh ke tangan pihak ketiga wajib “segera memberi tahu otoritas pengawas yang bertanggung jawab dan mereka yang terkena dampaknya.” ” .
Prosedur pelanggaran administratif telah dimulai dalam kasus ini (kegagalan melaporkan sesuai dengan Pasal 42a BDSG), namun berakhir dengan tidak memuaskan. Kreditech Holding SSL (Hamburg) tidak dapat ditetapkan sebagai badan yang bertanggung jawab sesuai dengan Undang-Undang Perlindungan Data Federal. Badan yang sebenarnya bertanggung jawab – yaitu di masing-masing negara – juga tidak dapat diidentifikasi.
Petugas perlindungan data telah mencari selama berbulan-bulan
Faktanya, otoritas perlindungan data di Hamburg telah melakukan audit terhadap perusahaan poin tersebut selama berbulan-bulan. Para pejabat mengatakan pada musim panas bahwa mereka sedang menyelidiki apakah Kreditech cukup mengamankan data pengguna dan apakah mereka cukup memberi informasi kepada mereka yang terkena dampak. Auditor petugas perlindungan data memeriksa sistem perusahaan di lokasi beberapa kali. Namun, pihak berwenang harus terlebih dahulu mengklarifikasi apakah mereka bertanggung jawab: Kreditech Holding di Hamburg tidak memiliki hubungan khusus dengan pengguna, namun terdapat anak perusahaan di masing-masing pasar luar negeri yang memberikan pinjaman di sana dan memeriksa kelayakan kredit. Kreditech belum aktif di Jerman sejak tahun 2012 – saat itu startup tersebut menarik diri dari pasar setelah regulator keuangan BaFin mengumumkan audit.
Otoritas perlindungan data di Hamburg kini telah membuat pernyataan resmi kepada Gründerszene: Karena kemungkinan pelanggaran terhadap tugasnya untuk memberikan informasi berdasarkan Undang-Undang Perlindungan Data, proses pelanggaran administratif telah dimulai, “tetapi dihentikan setelah sidang,” kata a juru bicara. Faktanya, Petugas Perlindungan Data Hamburg tidak menganggap dirinya bertanggung jawab. “Tidak dapat dipastikan bahwa Kreditech Holding SSL (Hamburg) adalah badan yang bertanggung jawab sesuai dengan Undang-Undang Perlindungan Data Federal,” lanjut juru bicara tersebut. “Badan penanggung jawab sebenarnya tidak dapat ditentukan karena tidak diketahui dan tidak dapat ditentukan di negara mana data tersebut “hilang”.
Namun, melihat pelaporan di Gründerszene saja sudah cukup: Seperti yang telah dilaporkan pada bulan Maret, data Kreditech pengguna dari Australia, Republik Ceko, Spanyol, Meksiko, Peru, Rusia dan Polandia hilang – hampir semua negara di mana Kreditech aktif pada tahun 2014 dengan anak perusahaannya.
Startup yang mencetak skor, yang baru-baru ini menjadi berita utama dengan kepergian CEO dan salah satu pendiri Sebastian Diemer, kini menempatkan masalah keamanan data sebagai prioritas yang lebih tinggi. Pakar keamanan TI Sven Weizenegger telah mengepalai departemen baru yang menangani strategi dan arsitektur keamanan selama sebulan. Weizenegger, yang juga bekerja sebagai mentor program akselerator di Deutscher Telekom dan Axel Springer, memulai karirnya di Telekom sebagai hacker internal.