33.000 persönliche Daten von Schuldnern des Inkassodienstes Eos Schweiz (einem Ableger der deutschen Eos Inkasso) wurden gestohlen. Darunter sollen sich neben Ausweiskopien auch ganze Krankenakten und Briefe befinden.

Dies berichtete die Süddeutsche Zeitung am 27.12.2017. Sie hat die Daten bereits am 18.12.2017 von einem Informanten erhalten.

Dem Blatt liegen über 33'000 Datensätze von Schuldnern des Inkassounternehmens Eos der Otto-Gruppe vor. Die ältesten Dokumente reichen bis in das Jahr 2002 zurück. Neben den Namen und der Höhe der Forderungen sind auch die Adressen der vornehmlich Schweizerischen Schuldner verzeichnet.

Hacker haben offenbar über einen längeren Zeitraum hinweg auf die Server der Schweizer Tochter der Eos-Gruppe zugreifen können. Die Gruppe zählt zu den größten Schuldeneintreibern in Europa. Laut einem Bericht der Süddeutschen Zeitung sollen aber nicht nur notwendige Informationen, sondern auch andere sensible Daten wie Krankenakten oder Kreditkartenabrechnungen abgeflossen sein.

Wenn die Schuld beglichen ist, müssten private Informationen eigentlich gelöscht werden, trotzdem reichen die Daten bis ins Jahr 2002 zurück.

Besonders bedenklich ist offenbar ein Ordner mit dem Namen Upload. Darin sollen sich nach Darstellung der Süddeutschen Zeitung "ganze Krankenakten" befinden, wenn Krankenhäuser ausstehende Beträge von Patienten einforderten. In den Akten seien unter anderem Informationen über Vorerkrankungen der Patienten zu finden. Eos soll weiterhin Scans von Ausweisen und detaillierte Kreditkartenabrechnungen aufbewahrt haben. Auch Briefe, Scans von Reisepässen oder die Abrechnungen von Kreditkarten befinden sich im Besitz des Inkassounternehmens.

Diese Datensätze lassen detaillierte Rückschlüsse auf das Leben eines Schuldners zu.

Damit das Unternehmen die geschuldeten Beiträge eintreiben kann, ist einee solche Detailkenntnis aber eigentlich nicht erforderlich. Für das Eintreiben von Schulden, sind Name, Anschrift und der Rechnungsbetrag ausreichend. Wer einem Inkassounternehmen Informationen übermittelt, die darüber hinaus gehen, macht sich strafbar. Wer als Arzt Patientendaten weiterleitet, verstößt gegen die ärztliche Schweigepflicht. Sobald der Schuldner die ausstehenden Beträge beglichen hat, sind die Daten auch sofort zu löschen.

Der Schweizer Datenschutzbeauftragte Adrian Lobsiger nannte das Verhalten von Eos daher auch "unverhältnismäßig und somit nicht zulässig".

Es stellt sich die Frage; welche Daten besitzen die grossen Schweizer Inkasso Unternehmen Intrum Justitia, Creditreform und so weiter und wie seriös gehen deren Kunden mit den Daten um?