„Stellen Sie eine datenschutzkonforme Vernichtung von Unterlagen und Speichermedien sicher“ – so lautet eine Empfehlung in quasi jeder Datenschutz-Schulung.

Dass diese Schutzvorkehrungen nicht immer durchgängig eingehalten werden, veranschaulichten diverse Nachrichten zu gebraucht gekauften Computern aus Behörden oder verloren gegangenen Laptops, auf denen sich personenbezogene und teils sehr sensible Daten befunden haben und dadurch eine Datenschutzverletzung begründeten.

In einem aktuellen Fall konnten offenbar IT-Expert*innen vom Chaos Computer Club (CCC) sechs gebrauchte militärische Geräte bei eBay für wenige hundert Euro ersteigern, die demnach vom US-Militär im Einsatz, insbesondere in der jahrelangen Mission in Afghanistan, zur Personenfeststellung genutzt worden sind. Mittels dieser kleinen Computer wurden unter anderem biometrische Daten von Personen, wie Abbildungen der Iris oder der Fingerabdrücke, erfasst und gespeichert. Auch Fotos und persönliche Umstände (Hintergrunddaten zur Person wie das Geburtsdatum, die Größe oder das Gewicht) wurden gespeichert. Diese Daten stammten von Soldat*innen, Helfer*innen, aber auch von weiteren Personen vor Ort, die dort lebten oder als verdächtig eingestuft worden sind.

Auf einem Gerät befanden sich biometrische Daten von über 2.600 Personen aus Afghanistan und dem Irak aus dem Jahre 2012. Der CCC-Sprecher Matthias Marx stellte hierzu in einem Vortrag vor, dass bereits bei diesem Ankauf der Geräte insgesamt 2.300 Gesichter, 2.946 Iris-Scans und 24.078 Fingerabdrücke festgestellt worden sind.

Daneben sollen aber auch Informationen zu (damaligen) militärischen Einrichtungen und schutzwürdige Daten auf den Geräten auslesbar gewesen sein.

Der Hersteller der Geräte soll sich bislang nicht zu diesem Vorgang geäußert haben.

Unzureichender Schutz

Durch die Erfassung und Verarbeitung derartiger biometrischer Daten entstand eine riesige Datenbank mit einzigartigen Informationen, mittels welcher die betroffenen Personen auch noch Jahre später wiedererkannt und den Datensätzen zugeordnet werden können. Denn anders als einen Namen, einen Account oder eine E-Mail-Adresse lassen sich biometrische Angaben eines Menschen kaum ändern und ermöglichen daher unter Umständen auf Lebzeiten die Identifikation.

Ungeachtet der Frage, ob eine solche Datenbank in datenschutzrechtlicher Hinsicht überhaupt zulässig ist, sind hohe Schutzvorkehrungen zu treffen, um solche Daten vor Zugriffen unbefugter Personen zu schützen. Denn diese Daten können zweckentfremdet werden oder sogar das Leben von den betroffenen Personen gefährden: Wenn diese Geräte vor Ort, beispielsweise in Afghanistan verloren gingen und den Taliban oder anderen Gruppierungen in die Hände geraten, können Helfer*innen oder lokale Ortskräfte als solche identifiziert werden, wodurch ihr Leben in Gefahr wäre.

Im konkreten, von den Expert*innen des CCC vorgestellten Fall waren die Datensätze auf den ersteigerten Geräten nur unzureichend geschützt. Teilweise ließen sich die Anwendungen auf den Geräten durch Eingabe des Standardpassworts vom Hersteller starten und die Daten waren nicht verschlüsselt. Bereits dies stellt einen unzureichenden Schutz dar und wäre im Anwendungsbereich der DSGVO nach Art. 28 DSGVO ungenügend.

Datenschutzverletzung

Nach der DSGVO wäre bei Ankauf dieser Geräte und auf Grund des unzureichenden Schutzes der sich darauf befindlichen personenbezogenen Daten eine Datenschutzverletzung im Sinne von Art. 33 DSGVO anzunehmen, die wohl auch zu einer Benachrichtigung der betroffenen Personen gem. Art. 34 DSGVO führen müsste. Unklar ist indes, ob sich auch Personen der Bundeswehr unter den Datensätzen befinden und daher womöglich zu benachrichtigen wären.

Für Verantwortliche unter der DSGVO wäre zumindest bei einem vergleichbaren Vorfall ein Bußgeld auf Grund verschiedener Verstöße gegen die datenschutzrechtlichen Vorgaben naheliegend. Wenn es aber um Leben und Tod von Hilfskräften vor Ort geht, dürften etwaige Geldstrafen in den Hintergrund rücken.