In der Hansestadt Lübeck ist es vor wenigen Tagen zu einem großen Datenschutzskandal gekommen. Wie heise berichtet, hatte eine Person für sein Unternehmen mehrere gebrauchte PCs bei Ebay erworben – und darunter befand sich offenbar auch die Hardware einer Behörde. Zumindest in einem der ersteigerten Computer war noch die interne Festplatte eingebaut, die eigentlich nicht in der Auktion dabei hätte sein sollen und einer Lübecker Behörde zugeordnet werden konnte. So stammte dieser Rechner offenbar von der Ausländerbehörde in Lübeck und enthielt nebst installiertem Windows Betriebssystem auch noch 31 Benutzerkonten, in denen sich teils äußerst sensible Daten aus der Zeit zwischen 2016 und Sommer 2021 befanden und sich öffnen ließen.

Der Käufer erkannte diese Situation und wandte sich daraufhin direkt an den bekannten Verlag. Die Expertinnen und Experten vom heise Verlag durften sodann diesen Rechner zur Analyse der Daten nutzen und konnten zahlreiche brisante Dokumente einsehen, die personenbezogene Daten von Mitarbeitenden der Behörde, aber auch insbesondere von Beteiligten aus den Verfahren zum Visa-Antrag bzw. von Asylbewerberinnen sowie Asylbewerbern betrafen. Ferner konnten auch mehr als 33.400 E-Mails mit sensiblen Nachrichten aus der Behörde ohne größere Schwierigkeiten identifiziert und geöffnet werden, da sich diese in mehreren, von MS Outlook automatisch erstellten Speicherdateien (OST-Dateien) befanden.

Weil diese personenbezogenen Daten nicht entsprechend dem Stand der Technik gelöscht bzw. vernichtet worden waren, sondern über die Internetplattform von eBay durch einen Dritten einsehbar waren, liegt eine Datenschutzverletzung nach Art. 33 DSGVO vor. Diese Datenpanne hatte auch besonders schützenswerte Daten im Sinne von Art. 9 DSGVO zum Gegenstand, da sie unter anderem auch Angaben zur Religion oder Herkunft der betroffenen Personen betraf. Es liegt auf der Hand, welch sensible Informationen bei diesen Verfahren der Asylbehörde verarbeitet werden.

Datenschutzrechtliche Folgen

Der Vorfall dürfte demnach nicht nur eine Meldung der Datenschutzverletzung nach Art. 33 DSGVO gegenüber der zuständigen Aufsichtsbehörde im Datenschutz (hier: Das ULD in Kiel), sondern mutmaßlich auch der Benachrichtigung aller betroffenen Personen nach Art. 34 DSGVO erfordern. Inwiefern die Benachrichtigung der betroffenen Personen nun überhaupt noch möglich ist, lässt sich nicht beantworten. Schließlich dürften viele der Asylsuchenden und sonstige Angehörige nicht mehr in Deutschland verweilen und daher nur mit großem Aufwand überhaupt zu erreichen sein.

Mit einem Bußgeld wegen der Verstöße gegen die DSGVO muss die Behörde in Lübeck allerdings nicht rechnen, da hierzulande keine derartigen Sanktionen gegenüber öffentlichen Stellen verhängt werden können (Vgl. § 43 Abs. 3 BDSG bzw. § 19 Abs. 1 LDSG – Schleswig-Holstein). Unter Umständen wäre eine Freiheits- oder Geldstrafe gegen einzelne Beschäftige der Behörde denkbar (§ 19 Abs. 2 LDSG – Schleswig-Holstein), wenn diese gegen Entgelt oder mit Bereicherungs- oder Schädigungsabsicht gehandelt haben, wofür in diesem Fall aber absolut keine Indizien sprechen.

Zudem könnte noch die Strafbarkeit nach § 203 StGB im Raum stehen, wenn Unterlagen von Berufsgeheimnisträgern oder Amtsträgern/besonders Verpflichteten fremden Personen zugehen und somit diese geschützten Geheimnisse gegenüber einer unbefugten Person offenbart werden.

Empfehlung

Der peinliche Vorfall macht deutlich: Neben den allgemeinen Anforderungen an angemessene technisch-organisatorische Maßnahmen gem. Art. 32 DSGVO sind auch Konzepte zur Löschung bzw. ordnungsgemäßen Entsorgung von personenbezogenen Daten zwingend umzusetzen. Dies fängt bereits bei der Sperrung von inaktiven Benutzerkonten bzw. Löschung von veralteten Daten an. Derartige Dateien auf einer Festplatte sind ohnehin nach strengen Vorgaben aus der DIN 66399 zu entsorgen. Hierfür bietet sich die Zerstörung durch ein ausgewiesenes Fachpersonal oder durch die Beauftragung eines auf dieses Geschäftsfeld spezialisierten Aktenvernichters an. Letzter sollte ein Vernichtungsprotokoll erstellen.

Zu derartigen Vorfällen kam es in der Vergangenheit bereits öfters, weswegen die IT-Abteilungen von Behörden eigentlich hinreichend sensibilisiert sein sollten.