In der Hansestadt Lübeck ist es vor wenigen Tagen zu einem großen Datenschutzskandal gekommen. Wie heise berichtet, hatte eine Person für sein Unternehmen mehrere gebrauchte PCs bei Ebay erworben – und darunter befand sich offenbar auch die Hardware einer Behörde. Zumindest in einem der ersteigerten Computer war noch die interne Festplatte eingebaut, die eigentlich nicht in der Auktion dabei hätte sein sollen und einer Lübecker Behörde zugeordnet werden konnte. So stammte dieser Rechner offenbar von der Ausländerbehörde in Lübeck und enthielt nebst installiertem Windows Betriebssystem auch noch 31 Benutzerkonten, in denen sich teils äußerst sensible Daten aus der Zeit zwischen 2016 und Sommer 2021 befanden und sich öffnen ließen.
Der Käufer erkannte diese Situation und wandte sich daraufhin direkt an den bekannten Verlag. Die Expertinnen und Experten vom heise Verlag durften sodann diesen Rechner zur Analyse der Daten nutzen und konnten zahlreiche brisante Dokumente einsehen, die personenbezogene Daten von Mitarbeitenden der Behörde, aber auch insbesondere von Beteiligten aus den Verfahren zum Visa-Antrag bzw. von Asylbewerberinnen sowie Asylbewerbern betrafen. Ferner konnten auch mehr als 33.400 E-Mails mit sensiblen Nachrichten aus der Behörde ohne größere Schwierigkeiten identifiziert und geöffnet werden, da sich diese in mehreren, von MS Outlook automatisch erstellten Speicherdateien (OST-Dateien) befanden.
Weil diese personenbezogenen Daten nicht entsprechend dem Stand der Technik gelöscht bzw. vernichtet worden waren, sondern über die Internetplattform von eBay durch einen Dritten einsehbar waren, liegt eine Datenschutzverletzung nach Art. 33 DSGVO vor. Diese Datenpanne hatte auch besonders schützenswerte Daten im Sinne von Art. 9 DSGVO zum Gegenstand, da sie unter anderem auch Angaben zur Religion oder Herkunft der betroffenen Personen betraf. Es liegt auf der Hand, welch sensible Informationen bei diesen Verfahren der Asylbehörde verarbeitet werden.
Datenschutzrechtliche Folgen
Der Vorfall dürfte demnach nicht nur eine Meldung der Datenschutzverletzung nach Art. 33 DSGVO gegenüber der zuständigen Aufsichtsbehörde im Datenschutz (hier: Das ULD in Kiel), sondern mutmaßlich auch der Benachrichtigung aller betroffenen Personen nach Art. 34 DSGVO erfordern. Inwiefern die Benachrichtigung der betroffenen Personen nun überhaupt noch möglich ist, lässt sich nicht beantworten. Schließlich dürften viele der Asylsuchenden und sonstige Angehörige nicht mehr in Deutschland verweilen und daher nur mit großem Aufwand überhaupt zu erreichen sein.
Mit einem Bußgeld wegen der Verstöße gegen die DSGVO muss die Behörde in Lübeck allerdings nicht rechnen, da hierzulande keine derartigen Sanktionen gegenüber öffentlichen Stellen verhängt werden können (Vgl. § 43 Abs. 3 BDSG bzw. § 19 Abs. 1 LDSG – Schleswig-Holstein). Unter Umständen wäre eine Freiheits- oder Geldstrafe gegen einzelne Beschäftige der Behörde denkbar (§ 19 Abs. 2 LDSG – Schleswig-Holstein), wenn diese gegen Entgelt oder mit Bereicherungs- oder Schädigungsabsicht gehandelt haben, wofür in diesem Fall aber absolut keine Indizien sprechen.
Zudem könnte noch die Strafbarkeit nach § 203 StGB im Raum stehen, wenn Unterlagen von Berufsgeheimnisträgern oder Amtsträgern/besonders Verpflichteten fremden Personen zugehen und somit diese geschützten Geheimnisse gegenüber einer unbefugten Person offenbart werden.
Empfehlung
Der peinliche Vorfall macht deutlich: Neben den allgemeinen Anforderungen an angemessene technisch-organisatorische Maßnahmen gem. Art. 32 DSGVO sind auch Konzepte zur Löschung bzw. ordnungsgemäßen Entsorgung von personenbezogenen Daten zwingend umzusetzen. Dies fängt bereits bei der Sperrung von inaktiven Benutzerkonten bzw. Löschung von veralteten Daten an. Derartige Dateien auf einer Festplatte sind ohnehin nach strengen Vorgaben aus der DIN 66399 zu entsorgen. Hierfür bietet sich die Zerstörung durch ein ausgewiesenes Fachpersonal oder durch die Beauftragung eines auf dieses Geschäftsfeld spezialisierten Aktenvernichters an. Letzter sollte ein Vernichtungsprotokoll erstellen.
Zu derartigen Vorfällen kam es in der Vergangenheit bereits öfters, weswegen die IT-Abteilungen von Behörden eigentlich hinreichend sensibilisiert sein sollten.
Johannes
3. Februar 2022 @ 16:59
Ich finde es ja interessant, dass in der Überschrift bei solchen Vorkommnissen noch immer von einer „Panne“ gesprochen wird. Dabei steht doch direkt im ersten Absatz schon ein *viel* treffenderes Wort: „Datenschutzskandal“
Wenn man es kurz will kann man auch nur „Datenskandal“ schreiben.
Aber eine „Panne“ ist normalerweise nur eine unerhebliche Störung im Betriebsablauf. Das ist hier ja wohl kaum der Fall. Würde man woanders ja auch sehr befremdlich finden, oder?: „Auf der A1 zwischen Dortmund und Hamm hat sich eine Panne mit einem BMW ereignet. Dabei gingen leider mehrere Gliedmaßen verloren.“
Wenn Daten weg sind, sind sie halt zum möglichen Missbrauch weg. Das ist nicht reparierbar oder behebbar. Und ganz sicher keine „Panne“. Ich würde mich jedenfalls sehr freuen, wenn Ihr das konsequent nicht mehr euphemiseren würdet.
Conrad Conrad
4. Februar 2022 @ 8:24
Sehr geehrter Leser,
haben Sie vielen Dank für Ihren Kommentar. Der Begriff der „Datenpanne“ ist juristisch nicht korrekt und steht auch nicht in der DSGVO oder im BDSG, hat sich aber im allgemeinen Sprachgebrauch (zu Recht oder Unrecht) etabliert und wird daher in den Massenmedien (leider) immer wieder aufgegriffen. Bei Überschriften in solchen Medien, die auch Nicht-Expert:innen ansprechen sollen, bietet sich daher diese, juristisch nicht exakte Formulierung an, insbesondere um gleich auf einem Blick den Vorfall zu erklären. Ob das Wort „Datenschutzskandal“ nun juristisch zutreffender ist, lässt sich sicherlich diskutieren. Juristisch korrekt(er) wäre der Begriff „Datenschutzverletzung“, der aber leider nicht auf dem ersten Blick den Sachverhalt darstellt und ggfs. für Nicht-Expert:innen etwas sperrig wirkt.
Wir nehmen aber Ihren Hinweis gern auf.
Johannes
4. Februar 2022 @ 17:36
Danke für das Feedback.
Ich meine aber GERADE mit Blick auf die Nicht-Expert:innen wäre es sehr wichtig, den verharmlosenden Begriff der Panne zu meiden. Eine Panne suggeriert immer, dass es im Kern eigentlich nicht sooooo schlimm ist. „Ist ja nur eine Panne.“
Treffender wäre schon „Unfall“. Wobei im vorliegenden Fall ja schon an krimiell grenzende Unfähigkeit hinzu kommt. Da ist „Skandal“ durchaus passend, finde ich.
Juristen können einen solchen Vorfall doch – unabhängig von der Popularsprache – ohnehin in der Regel sehr gut einsortieren, oder?
Marcus Helmsorig
3. Februar 2022 @ 11:42
Das schlägt dem Fass die (Fest-) Platte aus. Da muss aber jemand dringend geschult werden.
Lara Croft
3. Februar 2022 @ 11:25
Bitte kein Behörden-Bashing.
Bußgelder würde der Steuerzahler und in der Sozialversicherung der Beitragsszahler bezahlen. Das wollen wir in D nicht. Unsere Behörden nehmen das Rechtsstaatsprinzip und Beanstandungen der Aufsicht ernst.
Bei einer Behörde dieser Größe und Bedeutung ist davon auszugehen, dass nicht nur ein disziplinarrechtliches Verfahren läuft, sondern auch eine Ursachenrecherche und eine Prüfung der Workflows.
Anonymous
8. Februar 2022 @ 11:00
Scherkeks
Der Bürgermeister erwägt Heise zu klagen. Da soll vetuscht werden und sonst gar nichts.
Lara Mauss
2. Februar 2022 @ 14:36
kein Bußgeld , keine Sorgfalt, so ist das eben! Wie wäre es mal mit disziplinarrechtlichen Folgen?