Datenschutzleck in Lübeck: Behördendaten bei Ebay

Ein Laptop mit vertraulichen Mails landete versehentlich in einer Online-Auktion. Er wurde zuvor von der Lübecker Ausländerbehörde genutzt.

Zwei Hände in handschuhen arbeiten mit einem Schraubendreher an einer geöffneten Festplatte

Festplatten mit sensiblen Daten vor dem Verkauf ausbauen: Das kannte man in Lübeck wohl nicht Foto: Matthias Balk/dpa

Digitalisierung ist in Lübeck Chefsache. Die Stadt, die sich gern als „Smart City“-Vorreiterin sieht, baute 2020 eine IT-Strategieabteilung auf und gab sich ein „Rahmenkonzept Digitale Strategie“. Darin heißt es, „der verantwortungsvolle Umgang mit Informationen“ sei „von besonderer Bedeutung für die Hansestadt, (…) insbesondere was personenbezogene Daten betrifft“. Vergangenen Freitag deckte das Computermagazin C’t einen Datenskandal auf, der zum Umgang der Stadt mit personenbezogenen Daten einige Fragen aufwirft.

Der Mitarbeiter eines privaten Unternehmens hatte dem Magazin eine Festplatte zugeschickt, die hoch brisantes Material enthält. Darauf war der E-Mail-Verkehr der Lübecker Ausländerbehörde zwischen Anfang 2016 und Mitte 2021 zu finden, mit 31 NutzerInnen­konten und insgesamt 33.400 vertraulichen und teils hoch brisanten Mails.

Auf der Festplatte fanden sich außerdem detaillierte Informationen zu 18 aktuellen und ehemaligen MitarbeiterInnen der Behörde und 48 komplette Akten zu Visa-Anträgen. Viele der Daten sollten nach der Datenschutzgrundverordnung strengstens geschützt werden, etwa zu Religion, sexueller Ausrichtung und ethnischer Herkunft sowie Verdienst- und Vermögensnachweise.

Der Informant hatte die Festplatte in einem Computer gefunden, den er für sein Unternehmen beim Online-Auktionshaus Ebay gekauft hatte. Es waren ausgemusterte Behörden-Rechner, die eigentlich ohne Festplatten angeboten wurden. „Bei einem Teststart“, schreibt C’t, „meldete sich Windows 7 mit einem Desktop-Hintergrund der Hansestadt Lübeck.“ Die Daten waren ohne detaillierte IT-Kenntnisse zugänglich.

Offenbar wusste die Stadt schon Anfang Januar davon

Der Computer gehört zu 2.600 Rechnern, die die Stadt Ende vergangenen Jahres erneuert hat. Die Landesdatenschutzbeauftragte Marit Hansen sagte gegenüber C’t, dass nach der Datenschutz- und Durchführungsverordnung des Landes „Datenträger mit sensiblen Daten vor der Verwertung ausgemusterter PCs aus dem Rechner entfernt und anschließend vernichtet werden müssen“. Das ist offenbar nicht geschehen.

Stattdessen wurden die alten Computer, offenbar mindestens zum Teil mit Festplatte, einem Dienstleister für den Verkauf übergeben. Die städtische IT-Abteilung sei mit etwa einem guten Dutzend MitarbeiterInnen zu klein, um das allein zu stemmen, sagt Oliver Prieur, der Fraktionsvorsitzende der Lübecker CDU, die in der Lübecker Bürgerschaft mit der SPD eine große Koalition bildet. Vor diesem Hintergrund ist allerdings erstaunlich, dass der beauftragte Dienstleister als Einzelunternehmer, also komplett ohne MitarbeiterInnen, bei 2.600 PCs für die Löschung der Daten verantwortlich war.

Aufgrund eines laufenden Verfahrens möchte er sich gegenüber der taz nicht zu dem Vorfall äußern. Bürgermeister Jan Lindenau (SPD) schiebt ihm die Verantwortung zu: Er sei laut Vertrag für die Entsorgung der Festplatten verantwortlich gewesen und hätte bestätigt, dass er „sämtliche auf der Hardware befindlichen Daten durch unwiederherstellbare Zerstörung der Datenträger“ vernichtet habe.

Offenbar wusste die Stadt schon Anfang Januar von dem Datenschutzleck und meldete es der Landes-Datenschutzbeauftragten, die bis für die taz bislang nicht erreichbar war. Die Öffentlichkeit erfuhr von der Panne erst durch die Berichterstattung von C’t. „Aus ermittlungstaktischen Gründen“, sagt die Stadt. Auch die Geschädigten wurden, entgegen den gesetzlichen Vorgaben, nicht informiert. Ob möglicherweise weitere PCs mit sensiblen Daten verkauft wurden, ist nicht bekannt.

„Aktuell keine Konsequenzen“

Für den Lübecker CDU-Fraktionschef Oliver Prieur wirft der Vorfall „eine Menge Fragen auf“. Es gehe nicht, dass der Bürgermeister sich als großen Datenschützer hinstelle – „und dann passiert so etwas“. Eine seiner Fragen ist, warum überhaupt so viele Mails lokal auf dem Rechner anstatt auf dem städtischen Server gespeichert waren. Laut C’t liegt das an der Software: Gearbeitet wurde mit dem unverschlüsselten Outlook-E-Mail-Client.

Trotzdem hat das Datenleck für die Stadt „aktuell keine Konsequenzen“, sagt Stadtsprecherin Nicole Dorel, „da die bisherigen Überprüfungen keine Fehler im gültigen Prozess erkennen lassen“. Dieser Prozess basiere vor allem auf einer Geschäftsanweisung für die Verwaltung und regelmäßigen, verpflichtenden Datenschutz-Fortbildungen.

„IT und Lübeck, das geht einfach nicht zusammen“, findet Bastian Langbehn, Vorsitzender der Partei Die PARTEI in Lübeck. „Die Festplatten müsste man nur auf einen Magneten legen, und die meisten Daten sind vernichtet.“ Doch die Computer seien weitergegeben worden, „als hätten sie sie nur herunter­gefahren“.

Bürgermeister Jan Lindenau möchte nun das Computermagazin dafür anzeigen, „dass es mit unzulässigen Mitteln Daten geknackt hat“. Langbehn schlägt ihm etwas anderes vor: „Er soll ihnen lieber Marzipan schicken als Dankeschön, dass sie das aufgedeckt haben – und überlegen, was das hätte anrichten können.“

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de