Panne im Landratsamt: Welche Daten vom Leck betroffen sind und was Betroffene tun können
15.08.2023
© Pascal Tonnemacher
Wer beispielsweise einen Termin bei der Führerscheinstelle machen will, muss persönliche Daten angeben. Bei einer Datenpanne wurden solche öffentlich einsehbar.
Ein externer Dienstleister hat kurzzeitig persönliche Daten aus der Online-Terminbuchung beim Landratsamt veröffentlicht. Ursächlich sei „menschliches Versagen“. Wie die Panne aufgearbeitet wird, was nach außen gelangt ist und wie viele Betroffene sich schon gemeldet haben.
Es war „menschliches Versagen“ beim externen Dienstleister, das zu der am Freitag publik gemachten Datenpanne im Landratsamt führte (wir berichteten). Beim Aufspielen eines Updates seien Sicherheitseinstellungen zunächst nicht übernommen worden. Das teilt Behördensprecherin Marisa Hahn auf Anfrage des ZAK mit.
Für kurze Zeit seien deshalb öffentlich im Internet personenbezogene Daten wie Namen und E-Mail-Adressen einsehbar gewesen. Der Fehler fiel nach einem Hinweis von außen nach kurzer Zeit auf und sei umgehend vom Dienstleister behoben worden.
Konkret geht es um die Online-Terminvereinbarung bei der Ausländerbehörde und der Führerschein- und Zulassungsstelle. Diese sogenannten nicht-hoheitlichen Tätigkeiten lässt die Behörde über einen externen Dienstleister, der für die Panne verantwortlich sei, erledigen.
Bislang kein Datenmissbrauch bekannt
Seit Bekanntgabe der Panne am vergangenen Freitag hätten sich wenige betroffene Menschen an das Landratsamt und den Datenschutzbeauftragten gewandt. Einige davon hätten sich für den Hinweis bedankt.
„Ob die für kurze Zeit öffentlich einsehbaren Daten in die Hände von Betrügern gefallen sind, wissen wir nicht“, sagt Behördensprecherin Marisa Hahn. „Nach unserer Kenntnis gab es bisher keinen Missbrauch dieser Daten.“
DSGVO: Beweislast liegt bei Betroffenen
Dass tatsächlich ein Schaden eingetreten ist, so die Auffassung des Landratsamts, sei Bedingung dafür, dass Betroffene möglicherweise Anspruch auf Schadensersatz (Art. 82 DSGVO) haben. Beweisen müssen das die Betroffenen aber selbst.
Zudem muss ein Verschulden, also Fahrlässigkeit oder Vorsatz, des Verantwortlichen oder des Auftragsverarbeiters, also dem externen Dienstleister, vorliegen, sagt das Landratsamt. Das bedeutet in der Folge, dass Betroffene auch gegen den Dienstleister vorgehen müssten.
Aufgearbeitet werde die Datenpanne nun im Austausch mit dem Landesdatenschutzbeauftragten und dem externen Dienstleister. Alle Betroffenen, von denen E-Mail-Adressen vorlagen, seien zudem per E-Mail über den Vorfall informiert worden.
Landratsamt kann nicht alle Aufgaben selbst erledigen
Dass Aufgaben wie die Online-Terminvergabe an externe Dienstleister vergeben werden, ist nicht unüblich. „Eine solche Vergabe erfolgt entlang von betriebswirtschaftlichen Kriterien“, sagt Marisa Hahn.
Das Landratsamt könne aufgrund der personellen Kapazitäten nicht alles selbst erledigen. Der externe Dienstleister sei vertraglich auf die Einhaltung der laufenden Datensicherheits- und Datenschutzvorschriften und der DSGVO verpflichtet.
