Landratsamt Coburg verliert wegen Inkompetenz mehr als 12.000 personenbezogene Dokumente und Passwörter
Es liest sich wie ein Krimi. Im Landratsamt Coburg hat man sich offensichtlich dazu entschieden der Datenschutzgrundverordnung zu trotzen. Das Ergebnis: Über 12.000 personenbezogene Daten der Kfz-Zulassungsstelle und des Jugendamts samt Passwörtern standen zum freien Verkauf im Netz1)https://www.br.de/nachrichten/bayern/datenpanne-im-landratsamt-personendaten-werden-verkauft,RlAS0Md.
Die Ereigniskette ist in diesem Fall schon beachtlich:
- Zunächst einmal muss man ganz neutral feststellen, dass derartige Daten niemals unverschlüsselt auf einem Notebook hätten gespeichert werden dürfen2)https://dsgvo-gesetz.de/themen/verschluesselung/. Da hat das Landratsamt schlicht und ergreifend an der falschen Stelle gespart.
- Das Landratsamt hat einen Datenschutzbeauftragten3)https://www.landkreis-coburg.de/2011-0-Datenschutz.html. Der hätte das im IT Sicherheitskonzept feststellen müssen, dass mobile Datenträger nicht verschlüsselt werden und er hätte mit Nachdruck für die korrekte Umsetzung der Vorgaben aus der DS-GVO sorgen müssen4)https://dsgvo-gesetz.de/art-39-dsgvo/. Also entweder hat auch der geschlampt oder aber das Landratsamt hat es ignoriert. Eine andere Begründung lässt sich da kaum ausmachen.
- Selbst wenn man sich dessen bewusst war, hätte man das Gerät nicht ohne Weiteres an einen Dienstleister aushändigen sollen. Auch nicht mit dem Auftrag, die Daten zu vernichten, denn es könnte ja auch auf dem Transportweg etwas damit passieren können5)https://www.datenschutz-grundverordnung.eu/grundverordnung/%C2%A764-bdsg-anforderungen-an-die-sicherheit-der-datenverarbeitung/.
- Als nächstes hat dann auch der vermeintliche IT Fachmann nicht korrekt gearbeitet. Pieter Pillman, Sprecher und Geschäftsleitender Beamte des Landratsamtes Coburg, behauptet, man habe ein Zertifikat vom Dienstleister erhalten, das die ordnungsgemäße Löschung der Festplatte bestätige. Wäre das aber so passiert wie offenbar bestätigt wurde, dann wären die Daten nicht frei zum Erwerb im Internet aufgetaucht6)https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/bausteine/CON/CON_6_L%C3%B6schen_und_Vernichten.html.
- Auch wurde der Datenträger nach der Löschung nicht vernichtet worden wie es üblich ist, sondern der Händler hat die Festplatte weiterverkauft.
- Der nächste Händler hat sodann die Festplatte – ebenfalls ohne diese zu prüfen und ggf. noch einmal selbst zu löschen – einfach auf ebay zum Verkauf eingestellt.
- Und dann noch der ehrliche Käufer, der die Festplatte nicht einfach selbst gelöscht hat um sie selbst einzusetzen, sondern vorher nachgesehen hat, was sich darauf noch so alles befindet. Immerhin, dieser Jemand hat dann zumindest angemessen reagiert und die Festplatte persönlich zur Computerzeitschrift c’t nach Hannover gebracht.
Wie kann so etwas passieren, fragt man sich. Ausgerechnet bei Behörden, die doch eigentlich mit gutem Vorbild voran gehen sollten?
Nun denn, es bestätigt nur wieder einmal mehr unsere ewige Leier, dass Datenschutz jeden zu interessieren hat.
Wir hören immer wieder von Kunden, dass Datenschutz für sie ein nachrangiges Thema sei. Mit dieser Einstellung, man kann es nicht deutlich genug und oft genug wiederholen, wird es immer wieder zu solch tragischen Datenpannen kommen.
Uns wundert das gar nicht. Die Wichtigkeit datenschutzrechtlicher Maßnahmen – die selbstverständlich Geld, Zeit und Energie kosten – ist nach wie vor nicht in den Köpfen aller Entscheider angekommen.
Quellenverzeichnis