Datenleck der Stadt Köln: Persönliche Daten von 45.000 Temposündern öffentlich im Netz

Table of Contents

Ein Datenleck bei der Stadt Köln hat dazu geführt, dass persönliche Daten von Rasern, darunter Namen und Kennzeichen, mehr als ein Jahr lang öffentlich auf ihrer Open Data Plattform einsehbar waren. Dieser Vorfall wirft ernsthafte Fragen zum Datenschutz und zur Einhaltung der Datenschutz-Grundverordnung (DSGVO) auf.

Die Plattform offenedaten-koeln.de ist seit 2012 in Betrieb und ermöglicht es Firmen und Bürgern Datensätze aus dem Stadtbetrieb herunterzuladen oder für Entwickler diese sogar als API zu nutzen. Die Plattform basiert auf der Open-Source Lösung DKAN. Open Data Plattformen dienen der öffentlichen Verwaltung dazu Transparenz zu schaffen, indem Sie interessierten Bürgern Einblicke in die Verwaltungsprozesse geben. In diesem Fall aber wohl etwas zu tiefe Einblicke.

Welche Daten wurden veröffentlicht?

Im Zentrum der Veröffentlichung stehen persönliche Daten in Form von einer Excel Liste von rund 45.000 Temposündern aus dem Juni 2020, die

  • Zeitpunkt
  • Kennzeichen
  • Zulassungs-Berzirk
  • gemessene Geschwindigkeitsüberschreitung

beinhaltet.

Unsere Risikobewertung

GERING: rein aus Geschwindigkeitsüberschreitung und Kennzeichen ist nur mit hohem Aufwand zu ermitteln, ob jemand betroffen ist. Eine direkte Zuordnung zum Fahrzeughalter ist nur möglich, falls das Kennzeichen aus dem Bekanntenkreis stammt und selbst dann muss erst ein Abgleich mit einer langen Liste geführt werden, um herauszufinden wer betroffen ist. Die Eintrittswahrscheinlichkeit eines Reputationsschadens bewerten wir daher als unwahrscheinlich. Der zu erwartende Schaden für die Betroffenen scheint auch nicht zu hoch, denn erst ab hohen Geschwindigkeitsüberschreitungen droht der Entzug des Führerscheins, was einen moderaten Reputationsschaden darstellen könnte.

Was wurde versäumt?

Offensichtlich wurde hier Artikel 32 der DSGVO missachtet. Denn auf Grundlage von Art. 32 DSGVO (Sicherheit der Verarbeitung) sind geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Zudem können die Anforderungen bzw. Vorgaben für einen ordnungsgemäßen und sicheren Umgang mit den Daten aus Artikel 5 Abs. 1 Lit. f DSGVO (Grundsätze für die Verarbeitung personenbezogener Daten), aus den Erwägungsgründen 39 und 78 Verordnung (EU) 2016/679 S. 12 sowie der Anlage zu § 9 BDSG 2003. (vgl. Kühling/Buchner/Herbst, 3. Aufl. 2020, DS-GVO Art. 5 Rn. 76) zu berücksichtigen. In Erwägungsgrund 83 DSGVO Satz 3 heisst es explizit: “bei der Bewertung der Datensicherheitsrisiken sollten die mit der Verarbeitung personenbezogener Daten verbundenen Risiken berücksichtigt werden, wie etwa – ob unbeabsichtigt oder unrechtmäßig – Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von oder unbefugter Zugang zu personenbezogenen Daten, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden, insbesondere wenn dies zu einem physischen, materiellen oder immateriellen Schaden führen könnte.

Da uns das Verzeichnis der Verarbeitungstätigkeiten im Zusammenhang mit der offenedaten-koeln.de Plattform unbekannt ist, können wir nicht genau sagen, welche technischen und organisatorischen Maßnahmen (TOM) von der Stadt Köln unternommen wurden, um o.g. Datenleck zu verhindern, Fakt ist aber, dass diese scheinbar nicht ausreichten. Es kam weder zu einer Pseudonymisierung, noch zu einer Anonymisierung der Daten, welche beide bereits ausreichende und einfach zu implementierende Maßnahmen darstellen würden, um das Datenleck zu verhindern. Ferner sind Zweifel angebracht, ob die Redaktion des Portals ausreichend im Datenschutz geschult worden war und ob ausreichend Prozesse zur Qualitätskontrolle der zu veröffentlichenden Inhalte vorhanden waren. Gegeben der geringen Anzahl der auf der Plattform über die Jahre veröffentlichten Datensätze, wäre ein 4 Augen Kontrollprozess bei Veröffentlichungen wahrscheinlich ausreichend gewesen, um etwaige Datenschutzverstöße wie diesen zu erkennen. Interessant wäre auch zu wissen, ob die Verantwortlichen der Stadt Köln eine Datenschutz-Folgeabschätzung der Risiken im Rahmen der Veröffentlichungstätigkeit durchgeführt haben und wenn ja, welche Bewertung Sie auf das Risiko gegeben haben.

Können Betroffene auf Schadensersatz hoffen?

Als öffentliche Verwaltung ist die Stadt Köln generell von Bußgeldern aus Datenschutzverstößen befreit (§ 43 Abs. 3 BDSG). Eine Argumentation nach DSGVO Artikel 82 Abs.1 in Verbindung mit §253 BGB auf Schadenersatz gegen den Verantwortlichen schließt das aber nicht aus. Es scheint dennoch schwierig zu beweisen, auf welcher Basis ein Schaden entstanden sein soll und wie die Höhe des Schadens festgestellt werden soll.

Hinweis: dieser Artikel stellt keine Rechtsberatung dar, sondern spiegelt nur die persönliche Meinung des Authoren wieder.

Related Posts

Mögliches Datenleck bei Vodafone

Auf welchen Grundlagen könnten Bußgelder begründet werden Laut einem Bericht der Online Plattform Correctiv kam es bei Vodafone zu einem Datenleck bei dem wörtlich sensible Daten wie Passwörter und Kundennummern, aber auch Kopien von Personalausweisen oder Kreditkarten jeweils mit Vorder- und Rückseite, Vertragsdetails, Kontonummern und Bankverbindungen, die individuelle Handy-Kennung (IMEI-Daten), Adressen, Geburtstage, Telefonnummern für Vodafone Beschäftigte von rund 400 Vertragspartner Agenturen und Fachhändler einsehbar waren. Laut Bericht der Plattform war dieses Datenleck bis in das Frühjahr 2023 offen.

Read More

Der Motel-One Hack - Grundlage für Schadensersatz

Laut eines Berichts des Online Magazins Heise sind fast 6 TerraByte an Personenbezogenen Reisedaten aus dem Bestand von MotelOne im DarkNet aufgetaucht. Die Hacker Gruppe BlackCat forderte erst ein Lösegeld und als dieses nicht kam veröffentlichten Sie die Daten.

Read More