Nach unseren gesicherten Informationen ist es am 21.07.2022 zu einem massiven Datenleck bei der MEX Veranstaltungs-GmbH gekommen, dem Veranstalter der MEX-Berlin Convention, über welche wir in den letzten Jahren immer mal wieder berichtet haben. Auch in diesem Jahr findet die MEX-Berlin zwischen dem 21.-23. Oktober in den Messehallen der Messe Berlin unter dem Funkturm statt. Aus diesem Anlass haben sich wie üblich eine Vielzahl an Artists, Fanständen, Showacts sowie Workshops und Händler angemeldet, um Teil der diesjährigen MEX zu werden.
Jedoch scheint das Thema „Sicherheit von Daten“ nicht sonderlich groß geschrieben zu werden. Durch einen freundlichen Hinweis aus einer vertraulichen Quelle wurde uns zugetragen, dass auf einer Unterseite der MEX-Berlin Webseite interne Informationen für die Öffentlichkeit zugänglich sind und diese auch nicht durch eine Form von Absicherung, wie zum Beispiel ein Passwort, geschützt werden. Nach kurzer Eigenrecherche mussten wir schockiert feststellen, dass sich auf der uns genannten Unterseite nicht nur alle Informationen der bis dato angemeldeten Personen und Stände befand, sondern dass uns auch die Option geboten wurde, jene Daten über einen Knopf mit dem Titel „XLSX Export“ als Exceltabelle zu downloaden.
Die Tabelle umfasst Namen, Adressen, Telefonnummern, E-Mail Adressen, Geburtsdaten sowie vereinzelt auch Kennzeichen und Steuernummern aller Personen, welche sich für die Artist Alley beworben haben. Durch das Anpassen des Downloadlinks und dem simplen Austausch vom Wort „Artistalley“ durch zum Beispiel „Workshops“ war es uns innerhalb weniger Sekunden möglich, auch die Datensätze der Fanstände, Showacts sowie Workshops und Händler herunterzuladen. Konkret betroffen sind 428 Leute – 290 Artists, 18 Workshops, 41 Händler sowie 8 Fanstände und 71 Showgruppen beziehungsweise dessen Mitglieder.
Rund drei Stunden nach unserem ersten Zugriff auf die oben genannten Tabellen wurde die Sicherheitslücke schließlich seitens der MEX-Berlin behoben. Die genaue Vorgehensweise war das Deaktivieren des zuständigen Plugins und das Löschen der Seiten, was aber anschließend dazu führte, dass seitdem unter anderem die News Seite nicht mehr funktioniert.
Wie lange das Datenleck bereits vorhanden war, ist uns unbekannt. Nach unserem Kenntnisstand war der Zugriff aber von ca. 20:30-23:00 Uhr möglich. Was wir jedoch sicher sagen können, ist die Tatsache, dass die betroffene Seite das letzte Mal am 2021-09-08T um 06:32:48Z bearbeitet wurde, dies geht aus der Sitemap der MEX-Berlin hervor. Die Sitemap ist eine Auflistung aller Seiten, welche zum Beispiel auf Google oder anderen Suchmaschinen zu finden sein sollen.
Nach den aktuellen Datenschutzrichtlinien (DSGVO) ist man in so einem Fall verpflichtet, es dem örtlichen zuständigen Amt für Datenschutz innerhalb von zweiundsiebzig Stunden zu melden. Im Falle der MEX-Berlin ist das die Berliner Beauftragten für Datenschutz und Informationsfreiheit. Um solch einen Vorfall so transparent und fair wie möglich zu gestalten, werden ab diesen Punkt normalerweise auch alle Betroffenen informiert.
Im Falle eines wissentlichen Datenschutzvorfalles, welcher dem Inhaber bekannt ist, aber nicht gemeldet wird, kann es zu hohen Geldbußen kommen. Die Datenschutz-Grundverordnung (DSGVO) sieht für Datenschutzverstöße Bußgelder von bis zu 20 Millionen Euro oder für Unternehmen bis zu vier Prozent des weltweiten Jahresumsatzes vor. (Je, nachdem welcher Betrag am Ende höher ist.) Richtend dem Ausmaß und Umfang des Datenschutzvorfalles.
Aus diesem Anlass sind wir am 26. Juli 2022 mit der Pressestelle der Berliner Beauftragten für Datenschutz und Informationsfreiheit in Kontakt getreten, um Auskunft über den Vorfall zu erhalten. Daraufhin wurde uns freundlicherweise mitgeteilt, dass bis dato keine Meldung seitens der MEX-Berlin eingegangen ist.
Anschließend haben wir die MEX-Berlin über das entsprechende Formular auf deren Webseite um eine Stellungnahme im Rahmen verschiedener Fragen gebeten. Bis zur Veröffentlichung dieses Beitrages haben wir jedoch in einem Zeitraum von 11 Tagen keine Rückmeldung der MEX Veranstaltungs-GmbH erhalten.
Am 09. August 2022 haben wir das zuständige Amt daraufhin erneut kontaktiert mit der Antwort, das bis um 14:30 Uhr weiterhin keine Meldung bezüglich der Datenpanne eingegangen ist.
Kommentar der Redaktion:
Aufgrund des fehlenden Engagements der MEX Veranstaltungs-GmbH kann es sein, dass die MEX-Berlin wenig Interesse daran besitzt, den Vorfall ordnungsgemäß aufzuarbeiten. Aus unserer Sicht sollte dies so sein wäre das absolut unangebracht. Wir haben uns im Rahmen unserer Recherchen mit vereinzelten betroffenen Personen, zu welchen wir bereits im Vorfeld Kontakt hatten, unterhalten, welche das intransparente Vorgehen der MEX-Berlin als eine Art Vertuschung wahrnehmen und dies aufs Schärfste verurteilen. Auch haben uns einige von ihnen mitgeteilt, dass sie es sich vorsehen, rechtliche Schritte gegen die MEX Veranstaltungs-GmbH einzuleiten.
Dem Kommentar der Redaktion kann ich nur zustimmen, so etwas sollte schnellstmöglich ordnungsgemäß aufgearbeitet werden.
Wozu schreib ich denn „niemals meinen Realnamen zusammen mit meinem Künstlernamen veröffentlichen“, wenn sie einfach ALLES öffentlich machen …
Ich bin begeistert … nicht.
Ich habe mich für einen der Bereiche angemeldet und habe in der Bestätigungsemail im Anhang nicht meine angegebenen Daten, sondern die Daten eines anderen Bewerbers vorgefunden. Auf eine Email hat die MEX nicht reagiert – Erst, als ich unter einem Post darauf hingewiesen hatte. Die Antwort war, dass das ein Bug ist, der wohl passieren könne, wenn sich zwei Leute „gleichzeitig“ bewerben.
Hallo, danke für deinen Kommentar.
Verifizierbare Informationen über einen solchen Bug liegen uns derzeit nicht vor.
Beste Grüße
Dein QtakuDE-Team
Als ob sie sich nicht darum kümmern würden. Die Leute dahinter wollen bestimmt nichts vertuschen, es dauert eben einfach nur. Normal bei einem Verein.
Hallo Kätzchen,
danke für deinen Kommentar, die MEX wird nicht unter einem Verein geführt, sondern unter der MEX Veranstaltungs-GmbH. Die MEX hatte über eine Woche Zeit, auf unsere Anfrage zu reagieren und noch länger das Datenleck selbstständig beim zuständigen Amt zu melden.
Beste Grüße
Dein QtakuDE-Team
Hallo qtaku,
nehmt mir das nicht übel, aber bevor ihr auf einen Kommentar antwortet, solltet ihr euch vielleicht nochmal erkundigen, wer hier was tut? Nach eurem Artikel, war das erste, was ich getan habe, bevor ich hier ein Kommentar verfasst habe, auf die Website gehen und schauen, ob das ganze immer noch von ehrenamtlichen Vereinen geleitet wird. Aktuell wird die MEX sogar nur noch von einem einzigen Verein durchgeführt. Meine Aussage war also richtig. 🙂
Link: https://mex-berlin.de/de_DE/ueber-uns/
Andere ehrenamtliche Vereine haben sich vorher auch mit Anwälten kurzgeschlossen und besprochen, wie man vorgeht, bevor man sich selbst angezeigt und später die betroffenen Personen davon in Kenntnis gesetzt hat. Teilweise hat das 3 Monate gedauert. Und wie gehabt: Nur weil ihr keine Antwort bekommen habt, müsst ihr den Artikel nicht so verfassen, als sei es der MEX egal und von diversen Vertuschungen sprechen.
Wenn sie bspw. mit einem Anwalt in Kontakt stehen, um dort durchzuplanen, wie weiter vorgegangen werden muss, können und *sollten* sie euch nicht antworten, um sich nicht in weitere Probleme zu buxieren.
Sicherlich ist es nicht schön, wenn sich etwas so lange hinzieht. Besonders für die betroffenen Personen, hinter den Daten. Aber mit eurem Artikel zerstört ihr von vornherein das Vertrauen in die MEX, damit sorgsam umzugehen und rückt sie gezielt in ein schlechtes Licht. Das ist nicht in Ordnung.
Hallo Kätzchen, danke für deinen Kommentar.
Seit dem 20.11.2018 wird die MEX-Berlin von der MEX Veranstaltungs-GmbH geführt. Welche vom MMC-Berlin e. V. und dem AniMaCo e.V. gegründet wurde.
Die MEX Veranstaltungs-GmbH wird seit Anfang 2022 jedoch nur noch vom AniMaCo e.V. getragen, welcher kein gemeinnütziger Verein ist.
Für weitere Informationen können seit 01.08.2022 alle Informationen zu Firmen auf der Seite https://www.handelsregister.de kostenlos eingesehen werden.
Die Finanzinformationen (Gewinn & Bilanzsumme) der MEX Veranstaltungs-GmbH findest du beispielsweise unter:
https://www.northdata.de/MEX+Veranstaltungs-GmbH,+Berlin/Amtsgericht+Charlottenburg+%28Berlin%29+HRB+201444+B
Die Absprache mit einem Anwalt, um mit der Situation ordnungsgemäß um zu gehen, ist natürlich immer der erste Schritt.
Jedoch ist es klar geregelt, wie im Falle einer Datenpanne vorzugehen ist:
„Werden persönliche Daten verletzt, muss der Verantwortliche unverzüglich und möglichst innerhalb 72 Stunden die zuständigen Aufsichtsbehörden informieren, Art. 33 Abs. 1 i. V. m. Art. 55 DSGVO. Dies gilt dann, wenn die Verletzung voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, muss die Verzögerung begründet werden“ (Quelle: lhr-law.de)
Die MEX Veranstaltungs-GmbH wurde von uns am 29.07.2022 darauf hingewiesen und hat die Datenpanne nicht innerhalb der 72 Stunden gemeldet.
Da wir keine Rückmeldung bezüglich des Vorfalles seitens der MEX Veranstaltungs-GmbH erhalten haben und auch beim zuständigen Amt bis zur Veröffentlichung keine Meldung eingegangen ist, haben wir uns dazu entschlossen, den Beitrag zu veröffentlichen, um betroffene über den Vorfall zu Informieren.
Es tut uns sehr leid, dass du unseren Beitrag so wahrnimmst.
Unser Ziel war es nicht, das Vertrauen in die MEX zu zerstören.
Aus unserer Sicht haben wir möglichst neutral und sachlich über das Thema berichtet, wie es von Pressekodex, nach welchem wir Arbeiten vorgeschrieben wird.
Beste Grüße
Dein QtakuDE-Team
Okay, kein ehrenamtlicher Verein, aber ein Verein, der aus lauter freiwilligen besteht.
Ändert halt nichts daran, dass es bei Vereinen dauert.
Ihr wisst im übrigen nicht, wo etwas gemeldet wurde. Vielleicht ist es längst gemeldet, aber unter einem Klarnamen, statt direkt der MEX Name, oder oder oder. Ihr spekuliert wild. Selbst nachdem längst in den Kommentaren steht, dass die Leute informiert sind. Nicht Mal ein Edit ist euch das wert. Stattdessen wettert ihr weiter, keine Antwort zu kriegen. Warum sollte man euch antworten, nachdem ihr so einen Beitrag verfasst habt? Gerade das „Kommentar der Redaktion“, wo ihr nichts wisst, ist eine rein negative Unterstellung und ihr könnt mir nicht erklären, dass ihr nicht genau wisst, dass so ein Beitrag ganz gezielt das Vertrauen in die MEX zerstören wird.
Wenn das nach dem Presse-Kodex sein soll, dann muss das wohl der Kodex des Springer Verlags sein. ????
Das könnt ihr wirklich besser. ????????
Wie gehabt: Es ist richtig zu informieren. Das macht ihr schon gut. Aber die Art und Weise WIE ist nicht okay.
Hallo Kätzchen, danke für deinen Kommentar.
Es stimmt zwar, dass die MEX durch unentgeltliche Helfer unterstützt wird, jedoch steht hinter der Veranstaltung, wie bereits im Vorfeld erwähnt, eine Firma.
Wie im Artikel erwähnt, haben wir im Laufe der Recherche regelmäßig bei der zuständigen Datenschutzbehörde angefragt, ob der Vorfall gemeldet wurde.
Bis eine Stunde vor Veröffentlichung des Artikels ist bei der zuständigen Datenschutzbehörde keine Meldung seitens der MEX Veranstaltungs-GmbH eingegangen.
Wir Spekulieren nicht die betroffene Seite sowie die verschiedenen Tabellen waren in keiner Weise Passwortgeschütz
Der Kommentar der Redaktion bezieht sich ausschließlich auf das Vorgehen im Nachhinein, nicht jedoch auf den Vorfall an sich.
Eine Meldung an die Betroffenen fand nach unseren Informationen zwar teilweise statt, jedoch wurden bis jetzt noch nicht alle Betroffenen informiert.
Beste Grüße
Dein QtakuDE-Team
Wieso wird immer wieder so ein Unsinn erzählt? Gern nochmal für dich:
Die MEX ist KEIN (!) Verein. Die MEX ist eine GmbH, sie hat 2 Geschäftsführer, ist im Handelsregister eingetragen und hat das Ziel, was alle GmbHs haben: Geld verdienen und wirtschaftlich agieren. Sie schreiben seit 2019 Gewinn und haben ein Aktiva von 143.000 (siehe https://www.northdata.de/MEX+Veranstaltungs-GmbH,+Berlin/Amtsgericht+Charlottenburg+%28Berlin%29+HRB+201444+B)
Sie haben, mit großer Sicherheit, Rechtsberatung und sind KEIN Verein.
Und sie haben, anders als du hier behauptest, es sich noch immer nicht via Pressemitteilung gemeldet. Obwohl sie gesetzlich dazu verpflichtet ist Datenschutz-Probleme zeitnah ab dem Wissen darüber zu melden.
Dies alles ist der Grund wieso sich datenschutzrechtliche Konsequenzen gegen die MEX anbahnen werden.
Uff. Dass das nicht mal gemeldet wurde ist nicht nur „unangebracht“, das ist ein weiterer klarer Verstoß, der teuer werden wird. Ich war mehrere Jahre als Datenschutzbeauftragter beschäftigt, wenn ich sowas bei einem meiner Kunden gesehen hätte, dann wär das zweite (nach dem Fix des Problems), was wir tun würden, sowohl die Behörden, als auch die Betroffenen zu informieren. Dass das hier über Wochen nicht passiert ist, kann ein sehr sehr böses Nachspiel für die GmbH haben, da die Datenschutzbehörde durchaus mal richtig teure Bußgelder verhängen kann, besonders wenn vom Verursacher keine Anstalten gemacht werden, das Problem zu melden und die Betroffenen zu informieren (was beides gesetzlich vorgeschrieben ist). Die angegeben 20 Mio werden das zwar nicht, aber allein dadurch, dass die GmbH das ganze quasi vertuschen will, wirds auch keinen „Rabatt“ für gute Zusammenarbeit geben. Ein sechsstelliges Bußgeld wär da nicht unwahrscheinlich.
Bye bye, MEX…
Nach einem kurzen Anruf konnte man die Behauptung dieses Artikels prüfen. !Das kann jeder!. Die richtige Datenschutzbehörde hat sehr wohl Kenntnis des Vorfalls. Was soll das @Qtaku Redaktion. Falschmeldungen?
Hallo ErschrockeErschrockener User, danke für deinen Kommentar.
Nach der Veröffentlichung unseres Artikels haben wir diesen auch der zuständigen Datenschutzbehörde auf Wunsch zukommen lassen, mit welcher wir, wie im Artikel beschrieben bereits im Rahmen der Recherchen in Kontakt standen diese wollten im Anschluss den Vorfall prüfen.
Beste Grüße
Dein QtakuDE-Team
Die Orga der Mex sind unglaublich nette Menschen, sie müssen aber sofort Stellung nehmen. Das ist nichts was man einfach so ignorieren kann, viele Künstler werden sich hier nicht mehr sicher fühlen
Ja, das sehe auch so und wurdere mich, dass so keinerlei Reaktion kommt.
Ich meine, durch „Nichtstun“ macht man das Problem nicht besser, gerade jetzt sollte man offen und transparent mit dem Thema umgehen.
Ich habe auch bereits von Künstlern gehört, die das nicht gut finden, und oben wurde ja auch genau das schon geschrieben.
Ich finde es nach wie vor ätzend, auch wenn jetzt eine Info-E-Mail der MEX kam, dass sich trotzdem nicht entschuldigt oder darüber informiert wird DAS ÜBERHAUPT die Daten an 3te geraten sind. Selbst wenn es Passwortgeschützt war und anderweitig bzw. durch weitergabe der Anmeldedaten in Umlauf gekommen ist…Egal wie das Leck entstanden ist fehlt die direkte Information an die betroffenen – ich finde das sehr schwach. Aber einen Überforderten Eindruck macht die MEX/MMC/Animaco seit Jahren.
Hallo ¯\_(ツ)_/¯, danke für deinen Kommentar.
Wir haben bis zum jetzigen Zeitpunkt keine Stellungnahme seitens der MEX Veranstaltungs-GmbH zum Vorfall erhalten.
Seit Anfang 2022 ist der MMC-Berlin e.V. nicht mehr Teil der MEX Veranstaltungs-GmbH.
Beste Grüße
Dein QtakuDE-Team
Dann kann man sich ja denken woher die Daten kommen, wenn es Passwortgeschützt war und die MMC da sehr still raus ist. Die MEX hat dies ja kaum selber verursacht.
Hallo Nexo, danke für deinen Kommentar.
Wie im Artikel geschildert, war der Bereich in keiner weise passwortgeschützt.
Beste Grüße
Dein QtakuDE-Team
First of all: Die Betroffenen sind informiert (und ja hallo, ich gehöre dazu). Ich gehe davon aus, dass die Mex auch bald ein offizielles Statement dazu abgibt.
Euer Artikel ist ganz schön diffamierend und hetzerisch.
Es gibt ne Mailadresse und ne Telefonnummer – und ihr nutzt das Kontaktformular, um eine Stellungnahme zu bekommen? Kann man charmanter lösen.
An alle, die das hier lesen: ich kann euch nur ans Herz legen, auf ein Statement der Mex zu warten. As said, die Betroffenen sind informiert und kennen die Sachlage (die von der hier geschilderten abweicht)
Hallo Dubsi, danke für deinen Kommentar.
Es tut uns sehr leid, dass du unseren Beitrag als hetzerisch und diffamierend wahrnimmst.
Wir werden daran arbeiten, in Zukunft bei ähnlichen Themen noch mehr darauf zu achten, unsere Beiträge noch sachlich zu formulieren.
Die MEX Veranstaltungs-GmbH bietet auf ihrer Internetplattform einen Bereich für Presse Anfragen, welcher zu einem Kontaktformular führt, welches wir für unsere Anfrage genutzt haben.
Wir konnten leider keine Telefonnummer auf der Internetplattform der MEX Veranstaltungs-GmbH finden, sowohl im Kontaktbereich als auch im Impressum, an die wir uns mit unseren Fragen direkt hätten wenden können.
Nach unserem Kenntnisstand wurde zwar schon ein Großteil, jedoch nicht alle betroffenen Personen informiert.
Aufgrund des Beitrags stehen wir mit verschiedenen betroffenen Personen in Kontakt und einige Warten bis jetzt auf eine Stellungnahme seitens der MEX Veranstaltungs-GmbH.
Sei es per Mail oder durch ein Statement auf einem der Social Media Auftritte der MEX Veranstaltungs-GmbH.
Auch wir haben bis zum jetzigen Zeitpunkt keine Stellungnahme seitens der MEX Veranstaltungs-GmbH zum Vorfall erhalten.
Aber wir geben dir recht, zum jetzigen Zeitpunkt sollten erst mal alle abwarten, wie die MEX Veranstaltungs-GmbH sich zu diesem Vorfall öffentlich äußert.
Beste Grüße
Dein QtakuDE-Team
Hallo,
also das mit der Benachrichtigung kann ich NICHT bestätigen.
Ich kenne mind. zwei Personen, die NICHT informiert wurden von der MEX bis heute.
Es sieht so aus, als wisse man bei der MEX selber nicht, WELCHE Daten offen lagen, denn ich bin schon der Meinung, dass man alle Betroffenen hätte informieren müssen.
Ein offizielles Statement gibt es augenscheinlich bis heute nicht.
Finde es schon schade das so eine schöne Veranstaltung aufgrund von schlechten Recherchen/Behauptungen so in den Dreck gezogen wird alle die dort helfen machen das unentgeltlich da finde ich es schon sehr anmaßend von einem Datenschutzskandal zu sprechen wenn du Verstehst was ich meine die kümmern sich ja darum
Hallo Mounir, danke für deinen Kommentar.
Auf welcher Grundlage unterstellst du uns, das wir schlecht Recherchieren oder schlechte Behauptungen aufstellen?
Es stimmt zwar, dass die MEX durch unentgeltliche Helfer unterstützt wird, jedoch steht hinter der Veranstaltung eine Firma, die MEX Veranstaltungs-GmbH.
Die Finanzinformationen (Gewinn & Bilanzsumme) der MEX Veranstaltungs-GmbH findest du beispielsweise unter:
https://www.northdata.de/MEX+Veranstaltungs-GmbH,+Berlin/Amtsgericht+Charlottenburg+%28Berlin%29+HRB+201444+B
Beste Grüße
Dein QtakuDE-Team