Ladecloud bzw. Ladenetz-Probleme: Ladevorgänge fremder Kunden werden abgerechnet

[flyer09]

Hallo zusammen,

seit einigen Tagen bin ich Besitzer einer Ladekarte einer Stadtwerke, die über die Ladecloud-Plattform des Ladenetz läuft. Gestern habe ich die Karte im Loginbereich in der Ladecloud inklusive Pin hinterlegt und aktiviert.

Heute Mittag habe ich die physische Karte aus Interesse mal nutzen wollen, aber da die Karte noch zu frisch war, musste ich eine andere Karte zum laden nutzen.

Vorhin habe ich dann sowohl in der Ladenetz-App wie auch im Loginbereich auf der Ladecloud-Website der Stadtwerke gesehen, dass viele hunderte Kilometer von mir entfernt bereits heute morgen unter meiner Karten- und Kundennummer ein Ladevorgang mit gut 40kWh durchgeführt wurde. Die Stadtwerke wie auch Smartlab als Entwickler/Herausgeber der Ladecloud wurden gerade von mir informiert.

Jetzt ist die spannende Frage: Wie kann sowas überhaupt passieren? Haben die Stadtwerke vielleicht 2 100% identische Ladekarten mit der selben Kartennummer, der selben Freischaltungspin und den selben Daten auf dem RFID-Chip verschickt? Gibt es einen Bug in der Ladenetz-App, wodurch Personen Zugriff auf fremde Accounts haben? Fishing im großen Stil in der Ladenetz-App? Oder ein Bug der Ladenetz-App, wodurch die Ladenetz-App nach Login mit den eigenen Logindaten in den Account eines anderen Kunden weiterleitet?

Die AC-Ladesäule, die heute morgen unter meiner Kartennummer verwendet wurde, ist übrigens über die Ladenetz-App freischaltbar. Habe bereits mal proaktiv/vorsorglich das Passwort geändert.

[GrillSgt]

Die Kartennummern können ziemlich einfach kopiert werden. Hier ist es vermutlich aber eher ein techn. Problem. Die PIN dient nur der App um die Karte in der App dir zuzuordnen und wahrscheinlich irgendwo im Backend freizuschalten damit sie an Ladestationen akzeptiert wird. Kann aber auch sein, dass du Ladevorgänge einfach einer anderen Karte siehst. Aber ganz genau muss dass der Anbieter aufarbeiten was hier geschehen ist. Es kann hier auch gut sein, dass du kein Einzelfall bist. Ist aber alles nur mutmaßen.
Grundsätzlich gab es solche von dir beschriebenen Probleme schon abseits von Ladeapps und Karten.

Ganz ab davon könnte diese Datenpanne, dass du siehst wann die andere Karte geladen hat, ein Datenschutzverstoß nach DSGVO sein. Natürlich nicht von dir, sondern der Stadtwerke. Dieser wäre dann meldepflichtig seitens des Verantwortlichen (Stadtwerke).

Hätte auch alles genauso gemacht wie du es getan hast. In jedem Fall würde ich die Karte keinesfalls einsetzen und warten bis die das abgestellt haben und auf einer neuen Karte bestehen. Die Zeit wird aber erst zeigen wie schnell oder langsam das passiert. Gern versandet sowas schon mal weil die Sachbearbeiter:innen oft in der IT nicht tief drin stecken und nicht die u. U. dringliche Notwendigkeit sehen, dies priorisiert weiterzugeben. Oder es wird überhaupt nicht bearbeitet. Es kann sein, dass du ein Einzelfall bist, vielleicht aber auch nicht - und dann ist das Problem plötzlich größer.

Ich würde hier, wenn keine Reaktion erfolgt, dann schriftlich eine kurze Frist setzen. Auch kann es helfen, die Aufsichtsbehörde für den Datenschutz deines Bundeslandes zu informieren (einfach googeln). Denn auch wenn der Verantwortliche das tun muss, ist es das Gute Recht eine Beschwerde einzureichen, kostet auch nichts und ist die Pflicht der Behörde zumindest mal zu prüfen.

[flyer09]

Das Problem konnte sich glücklicherweise mittlerweile lösen - der Herausgeber der Karte hatte nach eigenen Angaben "technische Fehler in der Produktion und Anlage der Ladekarten im System". Zusammen mit den verantwortlichen Personen der Ladecloud bzw. dem Betreiber Smartlab GmbH konnten Sie den Fehler lokalisieren und beheben. Im weiteren Verlauf wurde der (fremde) Ladevorgang für mich annulliert, d.h. es entstehen für mich keine Kosten.

Ein Datenleck/Abfluss von Daten können nach den Informationen, die ich erhalten habe, ausgeschlossen werden. Den Datenschutzbeauftragten von Smartlab hatte ich ebenfalls kontaktiert, hier gab es allerdings bisher keine Antwort per Mail. Naja, das muss ich dann mal glauben...

Hier tippe ich ja mittlerweile auf Unerfahrenheit des Herausgebers der Ladekarte, da die Stadtwerke laut der Ladekartennummer wohl erst eine mittlere dreistellige Anzahl von Ladekarten herausgegeben haben. Dennoch frage ich mich natürlich, ob der Fehler schon länger bestand, denn wenn er bereits länger existierte, wurden wohl zwangsläufig auch (viele?) weitere Ladevorgänge falsch abgerechnet. Wobei natürlich auch klar ist, dass bei einer Ladekarte einer kleinen Stadtwerke wohl eher Kunden die Karte nutzen, die nicht so internetaffin sind und die meisten der Kunden wohl froh sein, dass sie überhaupt einigermassen problemlos mit der Karte laden können bzw. überhaupt den Ladevorgang gestartet bekommen

Und da dürften viele dieser Kunden auch ihre Abrechnungen nur sporadisch (oder gar nicht) überprüfen, wo es dann nicht unmittelbar auffällt, wenn statt 90€ z.B. 110 oder 115€ vom Konto abgebucht werden - besonders jene Kunden, die sich die Ladekarte im lokalen Büro der Stadtwerke geholt haben.

Wobei es mich ja jetzt schon interessieren würde, ob der Ladevorgang überhaupt noch nachträglich dem "richtigen" Kunden zugewiesen wurde oder ob die Stadtwerke nun auf ca. 20€ Kosten sitzen bleibt - vermutlich dürfte es schon einen gewissen Aufwand darstellen, den Ladevorgang in den Logs bzw. in den Datensätzen der Ladecloud zu suchen und zu schauen, welche Karte an der Säule tatsächlich genutzt wurde.

[MaXx.Grr]

Hmm, von welchem Stadtwerk ist denn Deine Ladekarte? Dann können andere Nutzer vom gleichen ihre Ladungen bzw. Zahlungen überprüfen... Klingt jedenfalls so, als ob sie versehentlich Dir die Ladekarten-Nummer eines bereits bestehenden, anderen Vertrages zugewiesen haben und die Ladekarte damit anfertigen haben lassen...

Grüazi, MaXx

[city_lion]

Als Informatiker ist das natürlich ein interessanter Vorfall. Gründe können manigfaltig sein, was ich nicht verstehe:

Heute Mittag habe ich die physische Karte aus Interesse mal nutzen wollen, aber da die Karte noch zu frisch war, musste ich eine andere Karte zum laden nutzen.

Weil sie trotz Aktivierung nicht funktionierte?

Der banalste Grund wäre, da wurde schlicht Aktivierungsbrief (codes) bzw. deine Karte im Versand vertauscht.
Den wahren Grund werden wir vrmtl. nie erfahren.

[city_lion]

Ganz ab davon könnte diese Datenpanne, dass du siehst wann die andere Karte geladen hat, ein Datenschutzverstoß nach DSGVO sein. Natürlich nicht von dir, sondern der Stadtwerke. Dieser wäre dann meldepflichtig seitens des Verantwortlichen (Stadtwerke).

Sehe ich anders. Es sind keine personenbezogenen Daten betroffen.

[GrillSgt]

Die Ladevorgänge die ich so kenne umfassen immer Standortdaten. Solche Informationen sind ein personembeziehbares Datum.

Wie dem aber auch sei, @flyer09 schön, dass es für dich eine Lösung gibt - wenngleich Fragen offen bleiben wie du ja selbst schreibst. Was das Auskunftsersuchen angeht: Die Stadtwerke müssen „unmittelbar“ antworten, es gilt aber eine Frist von vier Wochen um dein Auskunftsersuchen zu beantworten. Für gewöhnlich macht und kann das auch nicht der Datenschutzbeauftragte (DSB) sondern der jeweils Verantwortliche für die Daten, meist der Fachbereich / Abteilung. Der DSB kann nur beraten bzw. überwachen und ggfls. den Finger heben. Ob sich an seine Empfehlungen gehalten wird oder auch nicht obliegt nicht seiner Person.

[Smiljan]

Wenn dir der Datenschutz so wichtig ist, dann lädst du wohl nur an Säulen wo man Bar bezahlen kann ?

[SüdSchwabe]

@Smiljan Bitte nicht in Extreme verfallen. Das verhindert jedwede sinnvolle Diskussion.

SüdSchwabe.

[electic going]

Wenn jemand deine EC oder Kreditkarte klaut siehst du in der Abrechnung später auch, wo er war. Sollte er dann gegen Verletzung der DSGVO klagen weil du sein Bewegungsprofil hast? Ist halt so wenn jemand dein Zeugs nutzt, siehst du das.