Auf den Webseiten der zur BCS Broadcast Sachsen GmbH & Co gehörenden Radiosender Radio Chemnitz, Radio Zwickau und Hitradio-RTL ließen sich die Daten von Teilnehmern diverser Gewinnspiele auslesen. Zu den Daten gehörten neben Name, Adresse, E-Mail-Adresse, Telefonnummer auch die IP-Adresse, von der aus sich die Teilnehmer für das Gewinnspiel eingetragen hatten. Gerade das Speichern von IP-Adressen auf Servern ist rechtlich in der Grauzone, weshalb viele Serverbetreiber die Adresse nur wenige Tage speichern.
In den Datenschutzbestimmungen von Hitradio-RTL wird zwar darauf hingewiesen, dass "Browserversion, verwendetes Betriebssystem, Referrer URL (zuvor besuchte Seite), Hostname des zugreifenden Rechners (IP- Adresse) und die Uhrzeit der Serveranfrage" gespeichert werden. Allerdings steht dort auch: "Die Daten werden mit dem Ende des jeweiligen Nutzungsvorgangs gelöscht." Im vorliegenden Falle waren die Datensätze aber teilweise 2 Jahre alt – der Nutzungsvorgang, also das Gewinnspiel, sollte also eigentlich abgeschlossen sein.
Daneben wiesen die Datensätze noch Kommentare auf, in denen die Teilnehmer formulieren sollten, warum sie sich an den diversen Gewinnspielen, etwa einem Abendessen mit Uwe Ochsenkecht oder einer neuen Küche beteiligen.
Auf den Hinweis von heise Security hat BCS den unbefugten Zugriff mittlerweile gesperrt. Ursache des Problems waren nach Angaben des Server-Betreuers zwei Serverwechsel, in dessen Folge die Pfade zu den htaccess-Dateien, mit denen sich Seiten mit einen Zugriffsschutz per Passwort versehen lassen, falsch waren. (dab)
Quelle: Heise.de