Transparente Datenpannen

Als Reaktion auf die Häufung von Datenlecks fügte der Gesetzgeber im Jahr 2009 einen neuen Paragrafen in das Bundesdatenschutzgesetz ein. Dieser Regelung zufolge müssen so genannte "nichtöffentliche Stellen", worunter vor allem Unternehmen fallen, der zuständigen Datenschutzbehörde unverzüglich Meldung machen, wenn personenbezogene Daten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangen und dadurch "schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen" drohen.

Die Regelung soll vor allem der Transparenz in Datenschutzangelegenheiten dienen, weitere Schäden verhindern und Unternehmen motivieren, Kundendaten ausreichend zu sichern. Bislang fanden diese Meldungen weitgehend unter Ausschluss der Öffentlichkeit statt. c't hat nun bei allen Landesdatenschutzstellen Auskünfte eingeholt. Uns liegen Informationen über 225 dieser Datenpannen aus dem gesamten Bundesgebiet vor, die sich von März 2011 bis heute ereignet haben. Bei den Anfragen haben wir unterschiedliche Erfahrungen in Sachen Transparenz gemacht. Bisweilen beförderten die Meldungen auch recht ungewöhnliche Datenlecks zutage.

Zum Beispiel Baden-Württemberg: Die GE Healthcare GmbH mit Sitz in Freiburg meldete Ende März 2012 dem Landesbeauftragten für den Datenschutz in Stuttgart eine Datenpanne. Wie uns dessen Behörde mitteilte, wartet die Tochterfirma des US-Mischkonzerns General Electric über seinen Service "iLinq*" bildgebende Diagnostikprodukte wie Röntgengeräte oder Computertomografen in medizinischen Einrichtungen aus der Ferne. Bei Fernwartungen durch GE Healthcare seien "mehr personenbezogene Daten empfangen" worden, als "erforderlich waren", erläuterte der baden-württembergische Landesdatenschutzbeauftragte Jörg Klingbeil. Die Patientendaten seien zusammen mit "Produktleistungsdaten auf die Server des Unternehmens in den USA [...] übertragen worden". Dabei handelte es sich laut der GE Healthcare GmbH um Patientennamen, klinische Informationen, Angaben über Geschlecht, Größe, Gewicht, Geburtsdatum, ID-Nummern und auch um Bilder.

Man sei "davon überzeugt, dass es zu keinem Verlust, Hacking, Missbrauch oder Diebstahl dieser Daten kam", teilte Christoph Habereder, Communications Director Europe der GE Healthcare GmbH auf Anfrage mit. Und: "Wir empfangen seitdem keine solchen Daten mehr." Laut Datenschutzbehörde waren von den Datenpannen in Baden-Württemberg auch Gesundheitsdaten, die "in Verbindung mit Daten, die einem Berufsgeheimnis unterliegen" stehen, betroffen. Ob neben den Fernwartungskunden von GE Healthcare auch die betroffenen Patienten benachrichtigt wurden, konnten weder der baden-württembergische Datenschutzbeauftragte noch GE Healthcare beantworten.

In Berlin gaben 30 nichtöffentliche Stellen Informationen zu Datenpannen an den Beauftragten für Datenschutz und Informationsfreiheit weiter. Das "Labor Berlin Charité Vivantes GmbH" meldete im Juni 2012 etwa, dass bei einem Vergabeverfahren auf eine Anfrage eines der Bieter hin nicht hinreichend geschwärzte exemplarische Befundmuster von neun Personen verschickt wurden. Der Vorfall betraf, so die Datenschutzbehörde, Gesundheitsdaten von "ca. neun Personen". Auch die "Vivantes – Netzwerk für Gesundheit GmbH" musste eine Datenpanne melden; sie versendete personenbezogene Daten einer Person per Fax an einen falschen Empfänger.

Die Anfrage von c't in Berlin bringt außerdem Details zu einer Datenpanne ans Licht, die die Grüne Jugend zu beklagen hatte und mit der die Jugendorganisation bereits an die Öffentlichkeit ging. Wegen der Infizierung eines Administrator-Rechners mit einem Wurm sei E-Mail-Verkehr zwischen Mitgliedern der Jugendorganisation "an eine russische E-Mail-Adresse weitergeleitet" worden, erläuterte Anja-Maria Gardain, Sprecherin des Berliner Datenschutzbeauftragten. Gardain zufolge gab es außerdem einen "Hackerangriff auf das Netzwerk eines Delegiertenbüros" des Deutschen Industrie- und Handelskammertages (DIHK) "in der Ukraine". Die erbeuteten Daten seien anschließend veröffentlicht worden. Bei der Norisbank kamen im November bei der Archivierung und Vernichtung von Akten Daten von sechs Personen abhanden. Die Bank erklärte auf Nachfrage, man bitte um "Verständnis, wenn wir etwaige Meldungen nicht kommentieren".

Bei der Landesbank Berlin wurde eine Tasche mit Akten eines Kunden gestohlen. Bereits zwischen 2009 und 2011 musste die Landesbank melden, dass Kundenkreditanträge aus einem geparktem Auto gestohlen wurden. Auch bei der Landesbank Baden-Württemberg ereignete sich eine Datenpanne. Gemeldet wurde der Diebstahl eines Laptops, auf der sich eine Liste mit Daten von schwerbehinderten Mitarbeitern des Unternehmens befand. Der Laptop wurde aus dem Fahrzeug eines Mitarbeiters der Landesbank gestohlen. Dieser Vorfall sei zum Anlass genommen worden, "die Mitarbeiter an die bestehenden Regelungen zum Umgang mit betrieblichen Unterlagen zu erinnern", versicherte der baden-württembergische Datenschutzbeauftragte.

In Hamburg ereigneten sich 15 Datenpannen, davon fünf bei Banken. In einem Betrieb wurde zum wiederholten Mal beim betriebsärztlichen Dienst eingebrochen und dabei drei Laptops mit Gesundheitsdaten von 959 Mitarbeitern erbeutet. Beim Angriff auf die Datenbank eines Spiele-Portals haben Hacker Kontodaten von rund 80.000 Kunden illegal kopiert. Bei einem Einbruch in eine KiTa wurde ein Laptop mit persönlichen Daten von 82 Kindern und Eltern gestohlen.

In Brandenburg gab es fünf Datenpannen, betroffen waren zwei Krankenkassen, eine Bank und ein Callcenter. Bei der AOK Nordost, die mit 1,8 Millionen Versicherten die elftgrößte Krankenversicherung in Deutschland ist, kam es bei der Vorbereitung eines Infobriefs an die Mitglieder "bei der Datenselektion für den Druckauftrag zu einem Fehler". 289 Personen, die sich in Betreuung befanden, seien deshalb einem falschen Betreuer zugeordnet worden: "Dabei konnte der falsch adressierte Betreuer Kenntnis über folgende personenbezogene Grunddaten der Versicherten erhalten: Name, Anschrift sowie die Pflegestufe", teilte Gabriele Rähse, Sprecherin der AOK Nordost, mit. In Brandenburg wurde außerdem ein Hackerangriff auf einen Onlineshop gemeldet. Es sei "nicht feststellbar" von wie vielen Personen hier Daten "Dritten unrechtmäßig zur Kenntnis gelangt" sind, so Sven Müller von der brandenburgischen Datenschutzbehörde.

Dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein wurden vier Datenpannen gemeldet. Der Förde-Sparkasse Kiel kamen demnach Kontoverbindungsdaten von rund 120 Kunden abhanden, weil ein USB-Stick in falsche Hände gelangt war. Die Förde-Sparkasse hatte schon vor einiger Zeit eine Datenpanne zu beklagen. Damals wurde von Unbekannten eine Diskette mit Angaben zu Überweisungen aus einem Briefkasten der Sparkasse gestohlen. Der Verbleib der Diskette blieb ungeklärt.

In Baden-Württemberg wurden seit März 2011 insgesamt 46 Datenpannen gemeldet. Auch Bank- und Kreditkartenkontodaten gelangten in falsche Hände. Bei der Mannheimer Versicherung kann es zu einem Verlust von Bankkontodaten "durch einen technischen Fehler in der elektronischen Poststraße", so Roland Koch, Prokurist der Versicherung. Es drohte der "Missbrauch der Kontodaten durch Dritte".

In Hessen wurden 38 Datenpannen gemeldet. Welche Unternehmen im Einzelnen betroffen waren könne man "aus rechtlichen Gründen nicht mitteilen", erklärte Ulrike Müller, Sprecherin des Hessischen Datenschutzbeauftragten. Müller zufolge gab es in Hessen unrechtmäßige Übermittlungen von Daten in Form des Fehlversands von E-Mails und von Post, die "nicht fachgerechte Entsorgung von Unterlagen" und mindestens einen Hackerangriff. "Es drohten unrechtmäßige Abbuchungen von Konten" und die "Offenbarung von Daten über den Gesundheitszustand".

Auch die Behörden im Saarland und in Thüringen gaben sich recht zugeknöpft. Sie gaben zwar kurze Beschreibungen der gemeldeten Vorfälle weiter, nicht aber die Namen der Unternehmen. Im Saarland wurden zwei Datenpannen gemeldet. Beide betrafen einen im April erfolgten Datenangriff "auf einen in Nordrhein-Westfalen ansässigen Reisebuchungsdienstleister", so Monika Grethel vom Unabhängigen Datenschutzzentrum Saarland. "Betroffen waren Kreditkartendaten von jeweils zwei Kunden der beiden meldenden Online-Reisebüros".

In Thüringen gab es 14 Meldungen. Es "drohte die Kenntnis von Bankdaten oder besonderer personenbezogener Daten durch unbefugte Dritte", teilte ein Sprecher des Thüringer Datenschutzbeauftragten mit. In Sachsen wurden sieben Meldungen eingereicht, "drei weitere befinden sich derzeit noch in der Prüfung", so die sächsischen Datenschutzbehörde. Vier der sieben Fälle bezogen sich auf Hackerangriffe auf ein und denselben Auftragsdatenverarbeiter der Reisebranche, die insgesamt 3303 Personen betrafen und von vier verschiedenen Stellen (zwei Reisebüros und zwei Online-Reisevermittler) gemeldet wurden. In Mecklenburg-Vorpommern wurden laut Datenschutzbehörde keine Datenpannen gemeldet. Die Datenschutzbehörde in Sachsen-Anhalt teilte mit, seit Oktober 2011 habe es keine Meldungen gegeben.

Die Datenschutzbehörde in Bayern hat völlig gemauert. Sie verweigerte jegliche Auskunft zu dort gemeldeten Datenpannen. Dafür machte sie sich aber die Mühe, die Anfrage von c't ungefragt an die Datenschutzstellen der anderen 15 Bundesländer zu schicken – offenbar wollte man die Kollegen warnen. Wie aus einer Unterrichtung des Bundestages durch die Bundesregierung von Januar hervorgeht, wurden in Bayern zum 31. Dezember 2012 tatsächlich 49 Datenpannen gemeldet. Davon hat die Behörde 22 als tatsächlich meldepflichtig im Sinne von Paragraf 42a Bundesdatenschutzgesetz eingestuft. (Mitarbeit: David Fischer) / (hob)