Ein Datenleck bei der Stadt Köln hat dazu geführt, dass persönliche Daten von Rasern, darunter Namen und Kennzeichen, mehr als ein Jahr lang öffentlich auf ihrer Open Data Plattform einsehbar waren. Dieser Vorfall wirft ernsthafte Fragen zum Datenschutz und zur Einhaltung der Datenschutz-Grundverordnung (DSGVO) auf.
Die Plattform offenedaten-koeln.de ist seit 2012 in Betrieb und ermöglicht es Firmen und Bürgern Datensätze aus dem Stadtbetrieb herunterzuladen oder für Entwickler diese sogar als API zu nutzen. Die Plattform basiert auf der Open-Source Lösung DKAN. Open Data Plattformen dienen der öffentlichen Verwaltung dazu Transparenz zu schaffen, indem Sie interessierten Bürgern Einblicke in die Verwaltungsprozesse geben. In diesem Fall aber wohl etwas zu tiefe Einblicke.
Welche Daten wurden veröffentlicht?
Im Zentrum der Veröffentlichung stehen persönliche Daten in Form von einer Excel Liste von rund 45.000 Temposündern aus dem Juni 2020, die
- Zeitpunkt
- Kennzeichen
- Zulassungs-Berzirk
- gemessene Geschwindigkeitsüberschreitung
beinhaltet.
Unsere Risikobewertung
GERING: rein aus Geschwindigkeitsüberschreitung und Kennzeichen ist nur mit hohem Aufwand zu ermitteln, ob jemand betroffen ist. Eine direkte Zuordnung zum Fahrzeughalter ist nur möglich, falls das Kennzeichen aus dem Bekanntenkreis stammt und selbst dann muss erst ein Abgleich mit einer langen Liste geführt werden, um herauszufinden wer betroffen ist. Die Eintrittswahrscheinlichkeit eines Reputationsschadens bewerten wir daher als unwahrscheinlich. Der zu erwartende Schaden für die Betroffenen scheint auch nicht zu hoch, denn erst ab hohen Geschwindigkeitsüberschreitungen droht der Entzug des Führerscheins, was einen moderaten Reputationsschaden darstellen könnte.
Was wurde versäumt?
Offensichtlich wurde hier Artikel 32 der DSGVO missachtet. Denn auf Grundlage von Art. 32 DSGVO (Sicherheit der Verarbeitung) sind geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Zudem können die Anforderungen bzw. Vorgaben für einen ordnungsgemäßen und sicheren Umgang mit den Daten aus Artikel 5 Abs. 1 Lit. f DSGVO (Grundsätze für die Verarbeitung personenbezogener Daten), aus den Erwägungsgründen 39 und 78 Verordnung (EU) 2016/679 S. 12 sowie der Anlage zu § 9 BDSG 2003. (vgl. Kühling/Buchner/Herbst, 3. Aufl. 2020, DS-GVO Art. 5 Rn. 76) zu berücksichtigen. In Erwägungsgrund 83 DSGVO Satz 3 heisst es explizit: „bei der Bewertung der Datensicherheitsrisiken sollten die mit der Verarbeitung personenbezogener Daten verbundenen Risiken berücksichtigt werden, wie etwa – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von oder unbefugter Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden, insbesondere wenn dies zu einem physischen, materiellen oder immateriellen Schaden führen könnte.„
Da uns das Verzeichnis der Verarbeitungstätigkeiten im Zusammenhang mit der offenedaten-koeln.de Plattform unbekannt ist, können wir nicht genau sagen, welche technischen und organisatorischen Maßnahmen (TOM) von der Stadt Köln unternommen wurden, um o.g. Datenleck zu verhindern, Fakt ist aber, dass diese scheinbar nicht ausreichten. Es kam weder zu einer Pseudonymisierung, noch zu einer Anonymisierung der Daten, welche beide bereits ausreichende und einfach zu implementierende Maßnahmen darstellen würden, um das Datenleck zu verhindern. Ferner sind Zweifel angebracht, ob die Redaktion des Portals ausreichend im Datenschutz geschult worden war und ob ausreichend Prozesse zur Qualitätskontrolle der zu veröffentlichenden Inhalte vorhanden waren. Gegeben der geringen Anzahl der auf der Plattform über die Jahre veröffentlichten Datensätze, wäre ein 4 Augen Kontrollprozess bei Veröffentlichungen wahrscheinlich ausreichend gewesen, um etwaige Datenschutzverstöße wie diesen zu erkennen. Interessant wäre auch zu wissen, ob die Verantwortlichen der Stadt Köln eine Datenschutz-Folgeabschätzung der Risiken im Rahmen der Veröffentlichungstätigkeit durchgeführt haben und wenn ja, welche Bewertung Sie auf das Risiko gegeben haben.
Können Betroffene auf Schadensersatz hoffen?
Als öffentliche Verwaltung ist die Stadt Köln generell von Bußgeldern aus Datenschutzverstößen befreit (§ 43 Abs. 3 BDSG). Eine Argumentation nach DSGVO Artikel 82 Abs.1 in Verbindung mit §253 BGB auf Schadenersatz gegen den Verantwortlichen schließt das aber nicht aus. Es scheint dennoch schwierig zu beweisen, auf welcher Basis ein Schaden entstanden sein soll und wie die Höhe des Schadens festgestellt werden soll.
Hinweis: dieser Artikel stellt keine Rechtsberatung dar, sondern spiegelt nur die persönliche Meinung des Authoren wieder.