 |
# taz.de -- Datenschutzleck in Lübeck: Behördendaten bei Ebay |
|
|
|
> Ein Laptop mit vertraulichen Mails landete versehentlich in einer |
|
> Online-Auktion. Er wurde zuvor von der Lübecker Ausländerbehörde genutzt. |
|
|
 |
Bild: Festplatten mit sensiblen Daten vor dem Verkauf ausbauen: Das kannte man … |
|
|
|
Digitalisierung ist in Lübeck Chefsache. Die Stadt, die sich gern als |
|
„Smart City“-Vorreiterin sieht, baute 2020 eine IT-Strategieabteilung auf |
|
und gab sich ein „Rahmenkonzept Digitale Strategie“. Darin heißt es, „der |
|
verantwortungsvolle Umgang mit Informationen“ sei „von besonderer Bedeutung |
|
für die Hansestadt, (…) insbesondere was personenbezogene Daten betrifft“. |
|
Vergangenen Freitag deckte [1][das Computermagazin C’t] einen Datenskandal |
|
auf, der zum Umgang der Stadt mit personenbezogenen Daten einige Fragen |
|
aufwirft. |
|
|
|
Der Mitarbeiter eines privaten Unternehmens hatte dem Magazin eine |
|
Festplatte zugeschickt, die hoch brisantes Material enthält. Darauf war der |
|
E-Mail-Verkehr der Lübecker Ausländerbehörde zwischen Anfang 2016 und Mitte |
|
2021 zu finden, mit 31 NutzerInnenkonten und insgesamt 33.400 |
|
vertraulichen und teils hoch brisanten Mails. |
|
|
|
Auf der Festplatte fanden sich außerdem detaillierte Informationen zu 18 |
|
aktuellen und ehemaligen MitarbeiterInnen der Behörde und 48 komplette |
|
Akten zu Visa-Anträgen. Viele der Daten sollten nach der |
|
Datenschutzgrundverordnung strengstens geschützt werden, etwa zu Religion, |
|
sexueller Ausrichtung und ethnischer Herkunft sowie Verdienst- und |
|
Vermögensnachweise. |
|
|
|
Der Informant hatte die Festplatte in einem Computer gefunden, den er für |
|
sein Unternehmen beim Online-Auktionshaus Ebay gekauft hatte. Es waren |
|
ausgemusterte Behörden-Rechner, die eigentlich ohne Festplatten angeboten |
|
wurden. „Bei einem Teststart“, schreibt C’t, „meldete sich Windows 7 mit |
|
einem Desktop-Hintergrund der Hansestadt Lübeck.“ Die Daten waren ohne |
|
detaillierte IT-Kenntnisse zugänglich. |
|
|
|
## Offenbar wusste die Stadt schon Anfang Januar davon |
|
|
|
Der Computer gehört zu 2.600 Rechnern, die die Stadt Ende vergangenen |
|
Jahres erneuert hat. Die Landesdatenschutzbeauftragte Marit Hansen sagte |
|
gegenüber C’t, dass nach der Datenschutz- und Durchführungsverordnung des |
|
Landes „Datenträger mit sensiblen Daten vor der Verwertung ausgemusterter |
|
PCs aus dem Rechner entfernt und anschließend vernichtet werden müssen“. |
|
Das ist offenbar nicht geschehen. |
|
|
|
Stattdessen wurden die alten Computer, offenbar mindestens zum Teil mit |
|
Festplatte, einem Dienstleister für den Verkauf übergeben. Die städtische |
|
IT-Abteilung sei mit etwa einem guten Dutzend MitarbeiterInnen zu klein, um |
|
das allein zu stemmen, sagt Oliver Prieur, der Fraktionsvorsitzende der |
|
Lübecker CDU, die in der Lübecker Bürgerschaft mit der SPD eine große |
|
Koalition bildet. Vor diesem Hintergrund ist allerdings erstaunlich, dass |
|
der beauftragte Dienstleister als Einzelunternehmer, also komplett ohne |
|
MitarbeiterInnen, bei 2.600 PCs für die Löschung der Daten verantwortlich |
|
war. |
|
|
|
Aufgrund eines laufenden Verfahrens möchte er sich gegenüber der taz nicht |
|
zu dem Vorfall äußern. Bürgermeister Jan Lindenau (SPD) schiebt ihm die |
|
Verantwortung zu: Er sei laut Vertrag für die Entsorgung der Festplatten |
|
verantwortlich gewesen und hätte bestätigt, dass er „sämtliche auf der |
|
Hardware befindlichen Daten durch unwiederherstellbare Zerstörung der |
|
Datenträger“ vernichtet habe. |
|
|
|
Offenbar wusste die Stadt schon Anfang Januar von dem Datenschutzleck und |
|
meldete es der Landes-Datenschutzbeauftragten, die bis für die taz bislang |
|
nicht erreichbar war. Die Öffentlichkeit erfuhr von der Panne erst durch |
|
die Berichterstattung von C’t. „Aus ermittlungstaktischen Gründen“, sagt |
|
die Stadt. Auch die Geschädigten wurden, entgegen den gesetzlichen |
|
Vorgaben, nicht informiert. Ob möglicherweise weitere PCs mit sensiblen |
|
Daten verkauft wurden, ist nicht bekannt. |
|
|
|
## „Aktuell keine Konsequenzen“ |
|
|
|
Für den Lübecker CDU-Fraktionschef Oliver Prieur wirft der Vorfall „eine |
|
Menge Fragen auf“. Es gehe nicht, dass der Bürgermeister sich als großen |
|
Datenschützer hinstelle – „und dann passiert so etwas“. Eine seiner Frag… |
|
ist, warum überhaupt so viele Mails lokal auf dem Rechner anstatt auf dem |
|
städtischen Server gespeichert waren. Laut C’t liegt das an der Software: |
|
Gearbeitet wurde mit dem unverschlüsselten Outlook-E-Mail-Client. |
|
|
|
Trotzdem hat das Datenleck für die Stadt „aktuell keine Konsequenzen“, sagt |
|
Stadtsprecherin Nicole Dorel, „da die bisherigen Überprüfungen keine Fehler |
|
im gültigen Prozess erkennen lassen“. Dieser Prozess basiere vor allem auf |
|
einer Geschäftsanweisung für die Verwaltung und regelmäßigen, |
|
verpflichtenden Datenschutz-Fortbildungen. |
|
|
|
„IT und Lübeck, das geht einfach nicht zusammen“, findet Bastian Langbehn, |
|
Vorsitzender der Partei Die PARTEI in Lübeck. „Die Festplatten müsste man |
|
nur auf einen Magneten legen, und die meisten Daten sind vernichtet.“ Doch |
|
die Computer seien weitergegeben worden, „als hätten sie sie nur |
|
heruntergefahren“. |
|
|
|
Bürgermeister Jan Lindenau möchte nun das Computermagazin dafür anzeigen, |
|
„dass es mit unzulässigen Mitteln Daten geknackt hat“. Langbehn schlägt i… |
|
etwas anderes vor: „Er soll ihnen lieber Marzipan schicken als Dankeschön, |
|
dass sie das aufgedeckt haben – und überlegen, was das hätte anrichten |
|
können.“ |
|
|
|
2 Feb 2022 |
|
|
|
## LINKS |
|
|
 |
[1] https://www.heise.de/news/33-000-hochsensible-Mails-aus-dem-Auslaenderamt-L… |
|
|
|
## AUTOREN |
|
|
|
Friederike Grabitz |
|
|
|
## TAGS |
|
|
|
Schwerpunkt Urheberrecht |
|
Datenschutz |
|
Datenleck |
|
Lübeck |
|
IG |
|
Datenschutz |
|
CCC-Kongress |
|
Schwerpunkt Überwachung |
|
Datenleck |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
taz-Recherche zu Leak sensibler Daten: Nazi-Anwalt ohne Datenschutz |
|
|
|
Der Anwalt Matthias Brauer hat Dokumente seiner Mandanten offen im Netz |
|
gespeichert. Er vertritt Darknet-Shopper, AfD-Politiker und |
|
Burschenschafter. |
|
|
|
Kongress des Chaos Computer Clubs: Der CCC im Hier und Jetzt |
|
|
|
Der rC3 tut der Zivilgesellschaft gut, auch weil er online stattfindet. |
|
Zentral diskutiert wird die Frage der Freiheit. |
|
|
|
Datenleck bei Lern-App Scoolio: Lernen mit Lücken |
|
|
|
Wegen der Sicherheitslücke einer Lern-App waren Informationen von 400.000 |
|
Schüler:innen frei zugänglich. So etwas passiert nicht zum ersten Mal. |
|
|
|
Beeinflusster Weltklimarat: Datenlecks belegen Lobbyversuche |
|
|
|
Dokumente sollen Industrienationen bei dem Versuch zeigen, den Weltklimarat |
|
zu beeinflussen. Doch es ist nicht so eindeutig, wie die BBC das darstellt. |
