Benachrichtigung nach Art. 34 DSGVO

Sehr geehrte Mieterinnen und Mieter,

unser Messdienstleister, die ista Deutschland GmbH, Opfer eines externen Cyber-Angriffes geworden ist. Hier finden Sie die wichtigsten Informationen, die wir Ihnen aktuell dazu geben können:

1. Art der Verletzung des Schutzes personenbezogener Daten

Anfang August wurden die IT-Systeme der ista Gruppe Ziel eines Cyber-Angriffs. Dabei haben die Angreifer ein Datenpaket entwendet und es im so genannten Darknet zugänglich gemacht. Davon sind auch Ihre Daten betroffen. Wir setzen den Messdienstleister zum Zwecke der Betriebskostenabrechnung, einschließlich Bearbeitung von Widersprüchen und Defekten der Messgeräte, ein. Die Ablesung dient der Vertragserfüllung, denn der Vermieter ist nach dem Gesetz und auch im Rahmen des Mietvertrags regelmäßig dazu verpflichtet, verbrauchsabhängig abzurechnen und den MieterInnen eine monatliche Übersicht ihrer Verbrauchswerte zur Verfügung zu stellen. Rechtsgrundlage der damit verbundenen Datenverarbeitung ist Art. 6 Abs. 1 lit. b), c) DSGVO i.V.m. § 4, § 6 Abs. 1 Nr. 2, § 6a, § 6 b HeizkostenVO, § 555d Abs. 1 BGB.

2. Betroffene Daten

Folgende Daten sind betroffen:

  • Zählernummer, Verbrauchsdaten, Ablesedatum
  • Namensangaben, Anschrift, Mietvertragsnummer
  • Liegenschaftsfläche, beheizte Fläche

3. Folgen aus dieser Verletzung

Nach Einschätzung der Spezialisten der ista Gruppe ist die Aussagekraft der Daten begrenzt. Allerdings könnten Ihre Daten potentiell für weitere gezielte Angriffe (z.B. so genanntes Phishing oder Social Engineering) oder für betrügerische Post verwendet werden.

4. Folgende Gegenmaßnahmen wurden eingeleitet

Die ista Gruppe hat mitgeteilt, dass sie als Sofortmaßnahme alle tatsächlich und potentiell betroffenen IT-Systeme des Unternehmens kontrolliert vom Netz genommen hat, um größeren Schaden an ihrer IT-Infrastruktur zu verhindern. Ein Krisenstab – unterstützt durch spezialisierte IT-Forensiker – wurde mit der Untersuchung des Vorfalls beauftragt. Weiterhin hat die ista Gruppe Anzeige bei der Polizei erstattet und den Vorfall der zuständigen Aufsichtsbehörde gemeldet.

Wir selbst haben überprüft, dass keine aktiven Systemverbindungen vom Messdienstleister zu uns bestehen, sodass es als Folge des Cyber-Angriffs keinen Datenabfluss von unseren Systemen gibt. Des Weiteren haben wir eine Meldung bei der Berliner Beauftragten für Datenschutz und Informationsfreiheit nach Art. 33 DSGVO abgegeben.

5. Empfehlungen für Sie

Sie selbst müssen keine weiteren Maßnahmen ergreifen. Wir empfehlen Ihnen allerdings, vorsorglich wachsam zu sein, wenn Sie Post im Design der Gewobag oder der ista Gruppe erhalten. Achten Sie in nächster Zeit verstärkt auf ungewöhnliche Ereignisse, z. B. Kontaktaufnahme von Unbekannten mit Insider-Wissen oder Aufforderungen, (Zugangs-)Daten herauszugeben oder Bankverbindungsdaten zu ändern.

Bei Fragen und Rückmeldungen steht Ihnen unser Datenschutzmanagement zur Verfügung:
Fon: 0800 4708-800 (kostenfrei)
datenschutz@gewobag.de

Mit freundlichen Grüßen
Ihre Gewobag