Häufig gestellte Fragen zum Datenschutzvorfall

Wer ist betroffen?

Ein Teil unserer Nutzer ist derzeit von einem Datenleck in unseren Systemen betroffen. Konkret geschah ein unrechtmäßiger Zugriff auf Vor- und Nachnamen sowie E-Mail-Adressen. Von dem unerlaubten Zugriff auf die postalische Adresse und einzelne Bestell-IDs ist ferner ausschließlich ein Teil der Kunden betroffen, die kostenpflichtige Bestellungen getätigt haben. Dazu zählt zum Beispiel der Erwerb von Lebenlauf.de Premium. Jeder Lebenslauf.de-Kunde, auf dessen Daten unerlaubt zugegriffen wurde, ist bereits per E-Mail von uns darüber in Kenntnis gesetzt worden. Nutzer, die unseren Service erstmals nach dem 02.11.2020 in Anspruch genommen haben, sind nicht betroffen.

Welche Folgen hat das für mich?

Auf welche Daten genau ist unerlaubt zugegriffen worden?
Der unerlaubte Zugriff erfolgte ausschließlich auf Vor- und Nachnamen, IP-Adressen sowie E-Mail-Adressen. Sofern kostenpflichtige Bestellungen getätigt wurden, ist in vielen Fällen außerdem auf die postalische Adresse sowie einzelne Bestell-IDs zugegriffen worden. Wichtig: Von dem Vorfall nicht betroffen und weiterhin geschützt sind nur verschlüsselt vorliegende sensible Informationen wie Kontodaten, Passwörter und Lebensläufe sowie die darin enthaltenen Informationen.

Ist gezielt nach meinen Daten gesucht worden?
Nein. Der Angriff erfolgte nicht fokussiert und zielte auch nicht auf konkrete Personen ab.

Sollte ich jetzt zur Polizei gehen?
Nicht nötig. Wir haben bereits Strafanzeige erstattet, die zuständigen Behörden informiert und alle notwendigen weiteren Schritte eingeleitet.

Wurden meine Daten unsachgemäß genutzt?
Zum jetzigen Zeitpunkt gibt es keine Anhaltspunkte dafür, dass die Datenlücke tatsächlich zur unsachgemäßen Verwendung persönlicher Daten genutzt wurde.

Was kann ich selbst unternehmen?
Schütze deinen Rechner oder Smartphone, indem du stets die neuesten Updates installierst und deine Antiviren-Software aktualisierst. Deine persönlichen Kontodaten, Passwörter und Inhalte deiner Lebensläufe solltest du zudem nach wie vor unter Verschluss halten und niemandem verraten. Es ist denkbar, dass Dritte unter Zuhilfenahme deiner E-Mail-Adresse und deines Namens versuchen könnten, dich zu einer Herausgabe sensibler Daten (Passwörter, Kontodetails etc.) zu bewegen (sog. „Phishing“). Ignoriere solche Anfragen und wende dich ggf. an das BSI. Bitte beachte: Lebenslauf.de wird dich niemals per E-Mail oder Telefon nach deinem Passwort fragen.

Was kann schlimmstenfalls passieren?
Da sensible Daten wie Kontodetails und Passwörter von dem Vorfall nicht betroffen sind, können schwerwiegende Folgen zunächst ausgeschlossen werden. Allenfalls vor „Phishing-Attacken“ per E-Mail solltest du auf der Hut sein. Hast du einen Verdacht, dass jemand per E-Mail unter Vorspiegelung falscher Tatsachen versucht, deine Account-Daten zu stehlen, wende dich umgehend an das BSI. Lebenslauf.de wird dich niemals in einer E-Mail oder telefonisch nach deinen Kontodaten oder Passwörtern fragen. In einzelnen Fällen hat die Datenlücke die postalische Adresse unserer Nutzer preisgegeben. Es besteht theoretisch also außerdem die Gefahr eines Identitätsmissbrauchs.

Muss ich diesen Vorfall meiner Versicherung melden?
Wir wissen natürlich nicht, bei wem und mit welchen Leistungen du dich versichert hast. Insofern können wir in diesem Punkt keine Aussage dazu treffen, ob du auch deine Versicherung informieren solltest.

Haben Dritte Zugang zu meinen Lebenslauf.de-Account?
Sofern du ein sicheres Passwort verwendest, deinen Computer oder dein Smartphone hinreichend schützt und dein Passwort an niemanden weitergegeben hast: wahrscheinlich nicht. Passwörter sind von dem Datenleck nicht betroffen. Halte sie weiter unter Verschluss und gebe sie keinesfalls an Dritte weiter.

Dritte haben mich per Mail mit meinen Lebenslauf.de-Daten kontaktiert. Was nun?
Nicht antworten und keinesfalls vertrauliche Informationen weitergeben oder gar Zahlungen veranlassen. Auch Anhänge solltest du in keinem Fall öffnen. Die E-Mail solltest du allerdings aufbewahren, um sie im Zweifel an Ermittlungsbehörden weitergeben zu können. Hilfreich wäre in diesem Fall ferner, wenn du uns die E-Mail an die kontakt@lebenslauf.de weiterleitest und ggf. deine Bank informierst, damit sie im Falle von ungewöhnlichen Kontobewegungen sofort reagieren kann.

Inzwischen bin ich gar nicht mehr Kunde bei euch. Warum bin ich trotzdem betroffen?
Generell sind wir handels- und steuerrechtlich verpflichtet, die Daten unserer zahlenden Nutzer aufzubewahren. Ferner speichern wir weiterhin Daten von Nutzern, die ihren Account nicht gelöscht haben. Für unsere Kunden bietet dies den Vorteil, ihre Lebensläufe zu einem späteren Zeitpunkt erneut aufrufen und bearbeiten zu können. Da der unrechtmäßige Zugriff wahllos und nicht zielgerichtet erfolgte, sind von dem Datenleck daher unter Umständen auch Daten von Personen betroffen, die unsere Leistungen zum jetzigen Zeitpunkt nicht aktiv verwenden.

Wurde ich oder jemand aus meinem Umfeld angezeigt?
Nein. Wir haben Sie über einen Vorfall informiert, von dem leider eine Viezahl unserer Nutzer betroffen war. Die Ursache ist nicht in Ihrem persönlichen Umfeld zu suchen und es war auch kein gezielter Angriff auf Sie.

Ergänzende Informationen

Was ist geschehen?
Ein unbekannter Dritter hat sich unrechtmäßig Zugriff auf einen Teil der bei uns gespeicherten Daten verschafft. Konkret betroffen sind ausschließlich Vornamen, Nachnamen sowie E-Mail- und IP-Adressen von Nutzern sowie vereinzelt postalische Adressen und Bestell-IDs von Kunden, die bereits kostenpflichtig unsere Leistungen in Anspruch genommen haben. Auf sensible Daten wie Passwörter, Kontodaten sowie weitere personenbezogene Daten erfolgte ausdrücklich kein Zugriff. Diese werden bei uns grundsätzlich nur verschlüsselt abgelegt und sind auch weiterhin geschützt. Wir haben umgehend reagiert, Strafanzeige erstellt und arbeiten eng mit den zuständigen Behörden und Datenschutzämtern zusammen, um den Vorfall schnellstmöglich aufzuklären.

Wann habt ihr den Vorfall bemerkt?
Der Zeitpunkt der Kenntnisnahme des Vorfalls war der 02.11.2020.

In welchem Zeitraum ist auf die Daten zugegriffen worden?
Nach unserem Kenntnisstand ereignete sich der Zugriff zwischen dem 27.10.2020 und dem 02.11.2020.

Wie habt ihr den Zugriff bemerkt?
Über die Sicherheitslücke wurden wir von einem Dritten informiert.

Kann heute noch auf meine Daten zugegriffen werden?
Nein, wir haben die Sicherheitslücke geschlossen.

Welche Vorkehrungen hat Lebenslauf.de getroffen und welche Konsequenzen wurden gezogen?
Nach Bekanntwerden des Vorfalls haben wir das Sicherheitsleck umgehend geschlossen und weitere Maßnahmen getroffen, um zukünftige illegale Zugriffe auszuschließen. Zu diesem Zweck finden derzeit weitere umfangreiche Analysen statt. Ferner haben wir von dem Zugriff betroffene Nutzer umgehend per E-Mail informiert und die zuständigen Behörden in Kenntnis gesetzt. Ein Strafermittlungsverfahren gegen den Verursacher ist ebenfalls eingeleitet worden.

Wissen die zuständigen Behörden über den Vorfall Bescheid?
Ja. Die zuständige Datenschutzbehörde ist umgehend von uns informiert worden. Wir haben außerdem ein Ermittlungsverfahren in die Wege geleitet.

Welche Sicherheitsmaßnahmen hat Lebenslauf.de implementiert?
Unverzüglich nach Bekanntwerden der Datenlücke haben wir Maßnahmen ergriffen, die zukünftige unberechtigte Zugriffe zuverlässig unterbinden. Mit Technikern und IT-Fachleuten haben wir unermüdlich daran gearbeitet, die Sicherheit unserer Nutzer zu gewährleisten.

Besteht die Sicherheitslücke noch?
Nein. Wir konnten die Schwachstelle eindeutig identifizieren und das Leck schließen. Daten von Nutzern, die unseren Service zum ersten Mal ab dem 02.11.2020 in Anspruch genommen haben, sind vor fremden Zugriffen geschützt.