Datenschutzleck in Lübeck: Behördendaten bei Ebay
Ein Laptop mit vertraulichen Mails landete versehentlich in einer Online-Auktion. Er wurde zuvor von der Lübecker Ausländerbehörde genutzt.
Digitalisierung ist in Lübeck Chefsache. Die Stadt, die sich gern als „Smart City“-Vorreiterin sieht, baute 2020 eine IT-Strategieabteilung auf und gab sich ein „Rahmenkonzept Digitale Strategie“. Darin heißt es, „der verantwortungsvolle Umgang mit Informationen“ sei „von besonderer Bedeutung für die Hansestadt, (…) insbesondere was personenbezogene Daten betrifft“. Vergangenen Freitag deckte das Computermagazin C’t einen Datenskandal auf, der zum Umgang der Stadt mit personenbezogenen Daten einige Fragen aufwirft.
Der Mitarbeiter eines privaten Unternehmens hatte dem Magazin eine Festplatte zugeschickt, die hoch brisantes Material enthält. Darauf war der E-Mail-Verkehr der Lübecker Ausländerbehörde zwischen Anfang 2016 und Mitte 2021 zu finden, mit 31 NutzerInnenkonten und insgesamt 33.400 vertraulichen und teils hoch brisanten Mails.
Auf der Festplatte fanden sich außerdem detaillierte Informationen zu 18 aktuellen und ehemaligen MitarbeiterInnen der Behörde und 48 komplette Akten zu Visa-Anträgen. Viele der Daten sollten nach der Datenschutzgrundverordnung strengstens geschützt werden, etwa zu Religion, sexueller Ausrichtung und ethnischer Herkunft sowie Verdienst- und Vermögensnachweise.
Der Informant hatte die Festplatte in einem Computer gefunden, den er für sein Unternehmen beim Online-Auktionshaus Ebay gekauft hatte. Es waren ausgemusterte Behörden-Rechner, die eigentlich ohne Festplatten angeboten wurden. „Bei einem Teststart“, schreibt C’t, „meldete sich Windows 7 mit einem Desktop-Hintergrund der Hansestadt Lübeck.“ Die Daten waren ohne detaillierte IT-Kenntnisse zugänglich.
Offenbar wusste die Stadt schon Anfang Januar davon
Der Computer gehört zu 2.600 Rechnern, die die Stadt Ende vergangenen Jahres erneuert hat. Die Landesdatenschutzbeauftragte Marit Hansen sagte gegenüber C’t, dass nach der Datenschutz- und Durchführungsverordnung des Landes „Datenträger mit sensiblen Daten vor der Verwertung ausgemusterter PCs aus dem Rechner entfernt und anschließend vernichtet werden müssen“. Das ist offenbar nicht geschehen.
Stattdessen wurden die alten Computer, offenbar mindestens zum Teil mit Festplatte, einem Dienstleister für den Verkauf übergeben. Die städtische IT-Abteilung sei mit etwa einem guten Dutzend MitarbeiterInnen zu klein, um das allein zu stemmen, sagt Oliver Prieur, der Fraktionsvorsitzende der Lübecker CDU, die in der Lübecker Bürgerschaft mit der SPD eine große Koalition bildet. Vor diesem Hintergrund ist allerdings erstaunlich, dass der beauftragte Dienstleister als Einzelunternehmer, also komplett ohne MitarbeiterInnen, bei 2.600 PCs für die Löschung der Daten verantwortlich war.
Aufgrund eines laufenden Verfahrens möchte er sich gegenüber der taz nicht zu dem Vorfall äußern. Bürgermeister Jan Lindenau (SPD) schiebt ihm die Verantwortung zu: Er sei laut Vertrag für die Entsorgung der Festplatten verantwortlich gewesen und hätte bestätigt, dass er „sämtliche auf der Hardware befindlichen Daten durch unwiederherstellbare Zerstörung der Datenträger“ vernichtet habe.
Offenbar wusste die Stadt schon Anfang Januar von dem Datenschutzleck und meldete es der Landes-Datenschutzbeauftragten, die bis für die taz bislang nicht erreichbar war. Die Öffentlichkeit erfuhr von der Panne erst durch die Berichterstattung von C’t. „Aus ermittlungstaktischen Gründen“, sagt die Stadt. Auch die Geschädigten wurden, entgegen den gesetzlichen Vorgaben, nicht informiert. Ob möglicherweise weitere PCs mit sensiblen Daten verkauft wurden, ist nicht bekannt.
„Aktuell keine Konsequenzen“
Für den Lübecker CDU-Fraktionschef Oliver Prieur wirft der Vorfall „eine Menge Fragen auf“. Es gehe nicht, dass der Bürgermeister sich als großen Datenschützer hinstelle – „und dann passiert so etwas“. Eine seiner Fragen ist, warum überhaupt so viele Mails lokal auf dem Rechner anstatt auf dem städtischen Server gespeichert waren. Laut C’t liegt das an der Software: Gearbeitet wurde mit dem unverschlüsselten Outlook-E-Mail-Client.
Trotzdem hat das Datenleck für die Stadt „aktuell keine Konsequenzen“, sagt Stadtsprecherin Nicole Dorel, „da die bisherigen Überprüfungen keine Fehler im gültigen Prozess erkennen lassen“. Dieser Prozess basiere vor allem auf einer Geschäftsanweisung für die Verwaltung und regelmäßigen, verpflichtenden Datenschutz-Fortbildungen.
„IT und Lübeck, das geht einfach nicht zusammen“, findet Bastian Langbehn, Vorsitzender der Partei Die PARTEI in Lübeck. „Die Festplatten müsste man nur auf einen Magneten legen, und die meisten Daten sind vernichtet.“ Doch die Computer seien weitergegeben worden, „als hätten sie sie nur heruntergefahren“.
Bürgermeister Jan Lindenau möchte nun das Computermagazin dafür anzeigen, „dass es mit unzulässigen Mitteln Daten geknackt hat“. Langbehn schlägt ihm etwas anderes vor: „Er soll ihnen lieber Marzipan schicken als Dankeschön, dass sie das aufgedeckt haben – und überlegen, was das hätte anrichten können.“
taz lesen kann jede:r
Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen
meistkommentiert
Autobranche in der Krise
Kaum einer will die E-Autos
Ungelöstes Problem der Erneuerbaren
Ein November voller Dunkelflauten
Abschiebung von Pflegekräften
Grenzenlose Dummheit
Trumps Personalentscheidungen
Kabinett ohne Erwachsene
Bürgergeld-Empfänger:innen erzählen
„Die Selbstzweifel sind gewachsen“
113 Erstunterzeichnende
Abgeordnete reichen AfD-Verbotsantrag im Bundestag ein