Adressdatensätze aus Baden lagen einsehbar auf Webserver
Aufgetaucht ist das Datenleck laut "c't" im Zusammenhang mit der BadenCard, die für den Besuch des Wertstoffhofs benötigt wird. Ab Anfang des Jahres sei eine Online-Lösung für die Verlängerung bzw. die Bezahlung für dieses Service angeboten worden. Im März wurde schließlich von einem IT-Experten über einen eigenen Pfad auf einem Webserver die ungeschützte Datei "meldeamt.dbf" entdeckt, wie "c't" berichtete. "Auf 33.483 Zeilen erstreckten sich Name, Vorname, Anschrift, Geschlecht, Geburtsdatum sowie die Information, ob es sich um einen Erst- oder Zweitwohnsitz handelt." Geortet worden seien zudem auch andere personenbezogene Daten.
Am 8. März sei der Datenschutzbeauftragte der Badener Stadtverwaltung mit den Erkenntnissen konfrontiert worden. Tags darauf sei das Leck provisorisch abgedichtet gewesen, wenig später sei der gesamte Server nicht mehr erreichbar gewesen, so das Magazin.
"Richtig ist, dass aufgrund eines Konfigurationsfehlers des Servers - allerdings nur bei entsprechender Kenntnis der exakten Web-Adresse - personenbezogene Daten einsehbar waren. Wir haben unverzüglich nachdem wir davon Kenntnis erlangt haben, den Online-Dienst deaktiviert und die vorhandenen Logfiles auf Zugriffe auf den Webserver analysiert", hielt die Stadtgemeinde in einer schriftlichen Stellungnahme fest.
In der Folge habe eine Überprüfung stattgefunden. "Der Online-Dienst wurde erst wieder in Betrieb genommen, als nach einer Konfigurationsänderung davon auszugehen war, dass kein externer Datenzugriff mehr möglich ist. Die Beseitigung des Problems wurde von dritter, unabhängiger Stelle bestätigt."
Der Vorfall sei der Datenschutzbehörde gemeldet worden, mit der die Gemeinde "aktuell in laufender Korrespondenz" stehe. Weitere Details wurden aufgrund des laufenden Verfahrens nicht genannt. Es sei jedenfalls nicht vorgesehen, weitere derartige Online-Dienste zu implementieren. "Sollte dies in Zukunft doch der Fall sein, so werden weitere, zusätzliche sicherheitstechnische Überprüfungen vorgenommen, um höchste Sicherheitsstandards zu gewährleisten", hieß es.
Die Datenschutzbehörde bestätigte, am 11. März gemäß Artikel 33 der Datenschutzgrundverordnung (DSGVO) informiert worden zu sein. Ein Verfahren laufe. Zu möglichen Konsequenzen für die Stadtgemeinde wurde hervorgehoben, dass "eine Verhängung von Verwaltungsstrafen gegen Behörden" durch Paragraf 30 Absatz 5 des Datenschutzgesetzes (DSG) "ausgeschlossen" sei.
Zusammenfassung
- Die Stadtgemeinde Baden räumte auf APA-Anfrage ein, dass personenbezogene Daten bei entsprechendem Fachwissen einsehbar gewesen seien.
- Betont wurde jedoch gleichzeitig, dass nach Kenntnis rasch gehandelt worden sei.
- Am 8. März sei der Datenschutzbeauftragte der Badener Stadtverwaltung mit den Erkenntnissen konfrontiert worden.
- Der Vorfall sei der Datenschutzbehörde gemeldet worden, mit der die Gemeinde "aktuell in laufender Korrespondenz" stehe.