URI: 
       # taz.de -- Datenschutzleck in Lübeck: Behördendaten bei Ebay
       
       > Ein Laptop mit vertraulichen Mails landete versehentlich in einer
       > Online-Auktion. Er wurde zuvor von der Lübecker Ausländerbehörde genutzt.
       
   IMG Bild: Festplatten mit sensiblen Daten vor dem Verkauf ausbauen: Das kannte man in Lübeck wohl nicht
       
       Digitalisierung ist in Lübeck Chefsache. Die Stadt, die sich gern als
       „Smart City“-Vorreiterin sieht, baute 2020 eine IT-Strategieabteilung auf
       und gab sich ein „Rahmenkonzept Digitale Strategie“. Darin heißt es, „der
       verantwortungsvolle Umgang mit Informationen“ sei „von besonderer Bedeutung
       für die Hansestadt, (…) insbesondere was personenbezogene Daten betrifft“.
       Vergangenen Freitag deckte [1][das Computermagazin C’t] einen Datenskandal
       auf, der zum Umgang der Stadt mit personenbezogenen Daten einige Fragen
       aufwirft.
       
       Der Mitarbeiter eines privaten Unternehmens hatte dem Magazin eine
       Festplatte zugeschickt, die hoch brisantes Material enthält. Darauf war der
       E-Mail-Verkehr der Lübecker Ausländerbehörde zwischen Anfang 2016 und Mitte
       2021 zu finden, mit 31 NutzerInnenkonten und insgesamt 33.400
       vertraulichen und teils hoch brisanten Mails.
       
       Auf der Festplatte fanden sich außerdem detaillierte Informationen zu 18
       aktuellen und ehemaligen MitarbeiterInnen der Behörde und 48 komplette
       Akten zu Visa-Anträgen. Viele der Daten sollten nach der
       Datenschutzgrundverordnung strengstens geschützt werden, etwa zu Religion,
       sexueller Ausrichtung und ethnischer Herkunft sowie Verdienst- und
       Vermögensnachweise.
       
       Der Informant hatte die Festplatte in einem Computer gefunden, den er für
       sein Unternehmen beim Online-Auktionshaus Ebay gekauft hatte. Es waren
       ausgemusterte Behörden-Rechner, die eigentlich ohne Festplatten angeboten
       wurden. „Bei einem Teststart“, schreibt C’t, „meldete sich Windows 7 mit
       einem Desktop-Hintergrund der Hansestadt Lübeck.“ Die Daten waren ohne
       detaillierte IT-Kenntnisse zugänglich.
       
       ## Offenbar wusste die Stadt schon Anfang Januar davon
       
       Der Computer gehört zu 2.600 Rechnern, die die Stadt Ende vergangenen
       Jahres erneuert hat. Die Landesdatenschutzbeauftragte Marit Hansen sagte
       gegenüber C’t, dass nach der Datenschutz- und Durchführungsverordnung des
       Landes „Datenträger mit sensiblen Daten vor der Verwertung ausgemusterter
       PCs aus dem Rechner entfernt und anschließend vernichtet werden müssen“.
       Das ist offenbar nicht geschehen.
       
       Stattdessen wurden die alten Computer, offenbar mindestens zum Teil mit
       Festplatte, einem Dienstleister für den Verkauf übergeben. Die städtische
       IT-Abteilung sei mit etwa einem guten Dutzend MitarbeiterInnen zu klein, um
       das allein zu stemmen, sagt Oliver Prieur, der Fraktionsvorsitzende der
       Lübecker CDU, die in der Lübecker Bürgerschaft mit der SPD eine große
       Koalition bildet. Vor diesem Hintergrund ist allerdings erstaunlich, dass
       der beauftragte Dienstleister als Einzelunternehmer, also komplett ohne
       MitarbeiterInnen, bei 2.600 PCs für die Löschung der Daten verantwortlich
       war.
       
       Aufgrund eines laufenden Verfahrens möchte er sich gegenüber der taz nicht
       zu dem Vorfall äußern. Bürgermeister Jan Lindenau (SPD) schiebt ihm die
       Verantwortung zu: Er sei laut Vertrag für die Entsorgung der Festplatten
       verantwortlich gewesen und hätte bestätigt, dass er „sämtliche auf der
       Hardware befindlichen Daten durch unwiederherstellbare Zerstörung der
       Datenträger“ vernichtet habe.
       
       Offenbar wusste die Stadt schon Anfang Januar von dem Datenschutzleck und
       meldete es der Landes-Datenschutzbeauftragten, die bis für die taz bislang
       nicht erreichbar war. Die Öffentlichkeit erfuhr von der Panne erst durch
       die Berichterstattung von C’t. „Aus ermittlungstaktischen Gründen“, sagt
       die Stadt. Auch die Geschädigten wurden, entgegen den gesetzlichen
       Vorgaben, nicht informiert. Ob möglicherweise weitere PCs mit sensiblen
       Daten verkauft wurden, ist nicht bekannt.
       
       ## „Aktuell keine Konsequenzen“
       
       Für den Lübecker CDU-Fraktionschef Oliver Prieur wirft der Vorfall „eine
       Menge Fragen auf“. Es gehe nicht, dass der Bürgermeister sich als großen
       Datenschützer hinstelle – „und dann passiert so etwas“. Eine seiner Fragen
       ist, warum überhaupt so viele Mails lokal auf dem Rechner anstatt auf dem
       städtischen Server gespeichert waren. Laut C’t liegt das an der Software:
       Gearbeitet wurde mit dem unverschlüsselten Outlook-E-Mail-Client.
       
       Trotzdem hat das Datenleck für die Stadt „aktuell keine Konsequenzen“, sagt
       Stadtsprecherin Nicole Dorel, „da die bisherigen Überprüfungen keine Fehler
       im gültigen Prozess erkennen lassen“. Dieser Prozess basiere vor allem auf
       einer Geschäftsanweisung für die Verwaltung und regelmäßigen,
       verpflichtenden Datenschutz-Fortbildungen.
       
       „IT und Lübeck, das geht einfach nicht zusammen“, findet Bastian Langbehn,
       Vorsitzender der Partei Die PARTEI in Lübeck. „Die Festplatten müsste man
       nur auf einen Magneten legen, und die meisten Daten sind vernichtet.“ Doch
       die Computer seien weitergegeben worden, „als hätten sie sie nur
       heruntergefahren“.
       
       Bürgermeister Jan Lindenau möchte nun das Computermagazin dafür anzeigen,
       „dass es mit unzulässigen Mitteln Daten geknackt hat“. Langbehn schlägt ihm
       etwas anderes vor: „Er soll ihnen lieber Marzipan schicken als Dankeschön,
       dass sie das aufgedeckt haben – und überlegen, was das hätte anrichten
       können.“
       
       2 Feb 2022
       
       ## LINKS
       
   DIR [1] https://www.heise.de/news/33-000-hochsensible-Mails-aus-dem-Auslaenderamt-Luebeck-bei-eBay-verkauft-6335260.html
       
       ## AUTOREN
       
   DIR Friederike Grabitz
       
       ## TAGS
       
   DIR Schwerpunkt Urheberrecht
   DIR Datenschutz
   DIR Datenleck
   DIR Lübeck
   DIR IG
   DIR Datenschutz
   DIR CCC-Kongress
   DIR Schwerpunkt Überwachung
   DIR Datenleck
       
       ## ARTIKEL ZUM THEMA
       
   DIR taz-Recherche zu Leak sensibler Daten: Nazi-Anwalt ohne Datenschutz
       
       Der Anwalt Matthias Brauer hat Dokumente seiner Mandanten offen im Netz
       gespeichert. Er vertritt Darknet-Shopper, AfD-Politiker und
       Burschenschafter.
       
   DIR Kongress des Chaos Computer Clubs: Der CCC im Hier und Jetzt
       
       Der rC3 tut der Zivilgesellschaft gut, auch weil er online stattfindet.
       Zentral diskutiert wird die Frage der Freiheit.
       
   DIR Datenleck bei Lern-App Scoolio: Lernen mit Lücken
       
       Wegen der Sicherheitslücke einer Lern-App waren Informationen von 400.000
       Schüler:innen frei zugänglich. So etwas passiert nicht zum ersten Mal.
       
   DIR Beeinflusster Weltklimarat: Datenlecks belegen Lobbyversuche
       
       Dokumente sollen Industrienationen bei dem Versuch zeigen, den Weltklimarat
       zu beeinflussen. Doch es ist nicht so eindeutig, wie die BBC das darstellt.