c't: Hunderte Datenlecks von Unternehmen gemeldet

Seit einigen Jahren müssen Unternehmen ihre Datenpannen bei der jeweils zuständigen Datenschutzbehörde melden. c't liegen exklusiv Informationen über 225 dieser Datenpannen vor, die sich von März 2011 bis heute ereignet haben.

In Pocket speichern vorlesen Druckansicht 45 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Holger Bleich

Damit sich Behörden einen Überblick zu Datenpannen und Hackerangriffen in ihrem Zuständigkeitsbereich verschaffen können, gibt es seit 2009 für "nichtöffentliche Stellen" eine Meldepflicht. Doch was die Datenschutzstellen erfahren, bleibt der Öffentlichkeit meist vorenthalten. Im Auftrag von c't hat der freie Journalist Marvin Oppong alle zuständigen Behörden um Auskunft gebeten und teilweise recht detaillierte Informationen erhalten.

c't liegen Informationen über 225 dieser Datenpannen aus dem gesamten Bundesgebiet vor, die sich von März 2011 bis heute ereignet haben. Bei den Anfragen haben wir unterschiedliche Erfahrungen in Sachen Transparenz gemacht. Der Berliner Datenschutzbeauftragte gab sich offen, nannte die Namen der Unternehmen und schilderte die Datenpannen. Auch aus Baden-Württemberg, Brandenburg und Schleswig-Holstein kamen konkrete Informationen. Die Behörden aus Hessen, Saarland und Thüringen wollten keine genauen Angaben zu den betroffenen Unternehmen machen. Die Datenschutzbehörde in Bayern hat völlig gemauert. Sie verweigerte jegliche Auskunft zu dort gemeldeten Datenpannen.

Bisweilen beförderten die Meldungen recht ungewöhnliche Datenlecks zutage. So gelangten etwa in Baden-Württemberg bei der Fernwartung von bildgebenden Diagnosegeräten Patientendaten – auch Bilder – auf Server der Herstellerfirma in den USA. Der Landesbank Berlin wurden Kundenkreditanträge aus einem geparkten Auto gestohlen. Beim Einbruch in eine Hamburger Kindertagesstätte haben die Diebe ein Laptop mit persönlichen Daten von 82 Kindern und Eltern mitgehen lassen. Die Krankenkasse AOK produzierte bei der Vorbereitung eines Infobriefs an die Mitglieder "bei der Datenselektion für den Druckauftrag" einen Fehler und ordnete damit 289 Personen, die sich in Betreuung befanden, einem falschen Betreuer zu.

Details zu den Anfragen bei den Datenschutzbehörden und zu den gemeldeten Datenlecks bringt der Hintergrundbericht auf c't online:

(hob)