Zurück zur Übersicht
10.10.2022

Datenschutzvorfall bei Dienstleister

Kundendaten aus den sogenannten Sperrlisten der Verkehrsverbünde waren im Internet abrufbar – Datenleck geschlossen, erforderliche technische organisatorische Maßnahmen ergriffen und betroffene Personen informiert.

Der Datenschutzbehörde wurde eine Verletzung des Schutzes personenbezogener Daten gemäß Art. 33 DSGVO von mehreren Verkehrsverbünden gemeldet. Auch andere Datenschutzaufsichtsbehörden wurden von bundesländerübergreifend tätigen Verkehrsverbünden informiert. Hintergrund der Meldungen war eine unbeabsichtigte Veröffentlichung von personenbezogenen Daten im Internet in Bezug auf sogenannte Sperrlisten. Bei diesen zum Mobile-Ticketing-System gehörigen Sperrlisten handelt es sich um die Fahrgastdaten im Zusammenhang mit der Sperrung von Nutzeraccounts. Die Sperrung eines Nutzeraccounts kann bspw. die Folge eines erfolglosen Mahnvorgangs bei der Nichtzahlung gekaufter Tickets sein. Die Sperrung des Nutzeraccounts verhindert den Erwerb von Tickets und die Neuanmeldung mit denselben Daten.

Die Kundendaten waren durch einen Konfigurationsfehler eines Dienstleisters (Auftragsverarbeiters) mehrere Jahre lang über das Internet unter einer nicht öffentlich bekannten Webadresse ohne Zugriffsschutz abrufbar. Die Webadresse war jedoch nicht mit gängigen Suchmaschinen auffindbar. Der Dienstleister hat den Fehler selbst entdeckt und die verantwortlichen Verkehrsverbünde entsprechend informiert. Als direkte Reaktion auf die Identifikation des Vorfalls wurde die Zugriffsmöglichkeit über das Internet deaktiviert und die unmittelbare Verletzung des Schutzes personenbezogener Daten damit abgestellt.

Ob das Datenleck tatsächlich durch unberechtigte Zugriffe ausgenutzt wurde, konnte nicht für die gesamte Zeit der Exposition geklärt werden, konnte aber auch nicht ausgeschlossen werden. Die vom Dienstleister vorgenommene Analyse der verfügbaren Logdaten hat jedoch keine Anzeichen für Zugriffe Dritter ergeben. Auch konnten keine sonstigen Indizien für eine missbräuchliche Verwendung der personenbezogenen Daten identifiziert werden. Als Reaktion auf die Meldung wurden weiterführende technische Prüfungen vorgenommen. Die hierbei gewonnenen Erkenntnisse wurden den Verantwortlichen zusammen mit den aufgetretenen Fragestellungen mitgeteilt, und sie wurden zu einer Stellungnahme aufgefordert.

In der Folge kam es zu einem umfangreichen Informationsaustausch zwischen den Verantwortlichen und dem Auftragsverarbeiter auf der einen und der Datenschutzaufsicht auf der anderen Seite. Hierbei wurden über die eigentliche Verletzung hinausgehende Fragestellungen hinsichtlich der zugrundeliegenden IT-Infrastruktur, der zugehörigen IT-Systeme und der mittels dieser umgesetzten IT-Dienste erörtert. Darüber hinaus wurden die zugehörigen Entwicklungs-, Betriebs- und Wartungsprozesse in die Betrachtungen mit einbezogen.

Im Laufe der Sachverhaltsklärung stellte sich heraus, dass ein Projekt zur umfassenden Überarbeitung und Verbesserung der Prozesse bereits vor der Identifikation der Verletzungen des Schutzes personenbezogener Daten initiiert worden war. Insofern war die Identifikation der Verletzungen des Schutzes personenbezogener Daten nicht Ursache, sondern Folge des angestoßenen Projektes. Eine Verbesserung des Verfahrens zur regelmäßigen Überprüfung, Bewertung und Evaluation der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung gemäß Art. 32 Abs. 1 lit. d DSGVO lag ebenfalls im Fokus des Projekts. Dieses Projekt war im Zeitraum meiner Prüfungen noch nicht abgeschlossen. Der geplante weitere Projektverlauf wurde in Form einer Roadmap dargestellt und im Rahmen eines Termins mit allen Beteiligten erläutert.

Neben der Behebung der Verletzungen des Schutzes personenbezogener Daten konnte die Datenschutzbehörde davon überzeugen, dass der von den Verkehrsverbünden und ihrem Auftragsverarbeiter eingeschlagene Weg weit über die konkrete Adressierung der Verletzungen des Schutzes personenbezogener Daten hinausgeht. Die eingeleiteten Maßnahmen erscheinen geeignet, um die Sicherheit der Verarbeitung im Sinne des Art. 32 DSGVO ganzheitlich und umfassend zu verbessern. Die Behörde beabsichtigt, sich zu gegebener Zeit von der erfolgreichen Umsetzung der weiteren geplanten Maßnahmen zu überzeugen. Insgesamt konnte festgestellt werden, dass die der Meldung gemäß Art. 33 DSGVO zugrundeliegenden Verletzungen des Schutzes behoben wurden und dass eine Wiederholung dieser Verletzungen nicht zu erwarten ist.

Die von den Verletzungen des Schutzes personenbezogener Daten betroffenen Personen wurden nach Durchführung der Risikobewertung und nach Inanspruchnahme meiner Beratung durch die Verkehrsverbünde gemäß Art. 34 DSGVO benachrichtigt, sofern sie identifiziert werden konnten. Zusätzlich veröffentlichten die Verkehrsverbünde eine entsprechende Pressemitteilung.

Quelle: HBDI

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

Dieser Absatz enthält Affiliatelinks/Werbelinks