Einsicht in die Bußgeldakte wird mittlerweile häufig in elektronischer Form gewährt. Dafür wird die Akte digital für die Auskunftssuchenden in einem Akteneinsichtsportal bereitgestellt. Mit bestimmten Zugangsdaten können die berechtigten Personen dann auf die Daten zugreifen.
In einem Fall wurde die Datenschutzaufsicht durch eine Beschwerde darauf aufmerksam gemacht, dass die Datensicherheit bei einem solchen Verfahren der digitalen Akteneinsicht nicht ausreichend gewährleistet war. Die Zugangsdaten für die im Akteneinsichtsportal eingestellte Bußgeldakte waren dem Beschwerdeführer von der Bußgeldbehörde des Kreises per unverschlüsselter E-Mail zugeschickt worden. Für den Zugriff auf die Akte musste der Nutzende im Portal seinen Vornamen, Nachnamen und seine E-Mail-Adresse angeben. Die Richtigkeit der Angaben wurde dabei nicht überprüft. In dem der Beschwerde zugrunde liegenden Fall hat der Beschwerdeführer Fantasienamen eingegeben.
Dieses Verfahren hat die Datenschutzbehörde als unzureichend bewertet. Es öffnet an mehreren Stellen Einfallstore für Zugriffe durch Unbefugte. Dies beginnt bei der Zusendung der Zugangsdaten in einer E-Mail. Wem die E-Mail-Adresse gehört und welche Personen Zugriff auf diese E-MailAdresse haben, dürfte der Behörde in der Regel nicht bekannt sein. Damit wäre es möglich, dass sich ein Dritter als Betroffener eines Ordnungswidrigkeitenverfahrens ausgibt, bei der Behörde Akteneinsicht beantragt und sich die Zugangsdaten an eine E-Mail-Adresse schicken lässt, auf die er Zugriff hat. Bei einem Versand per Post hat es die Behörde dagegen in der Hand, das Risiko einer Fehladressierung zu minimieren. Meist ist die Postanschrift ohnehin im Ordnungswidrigkeitenverfahren ermittelt worden. In Zweifelsfällen kann die Richtigkeit durch eine Auskunft aus dem Melderegister geklärt werden. Zudem kann das Schreiben direkt an den Antragsteller adressiert werden. Dadurch kann die Ordnungswidrigkeitenbehörde dem Risiko einer Öffnung durch haushaltsangehörige Personen entgegenwirken.
Eine weitere Sicherheitslücke bestand beim Download der Akte. Hier war es möglich, mit falschen Angaben die Daten abzurufen. Schließlich bestand ein Risiko auch auf dem Übertragungsweg der E-Mail, da die Übertragung nicht Ende-zu-Ende-verschlüsselt erfolgte.
Alle drei genannten Stellen müssen in einer Gesamtschau betrachtet werden. Wenn die Zugangsdaten an eine verifizierte Adresse verschickt werden, ist es nicht mehr zwingend erforderlich, dass vor dem eigentlichen Zugriff auf die Akte eine Identitätsprüfung erfolgt. Ist aber schon beim Versand der Zugangsdaten nicht gesichert, dass der Empfänger tatsächlich der Einsichtsberechtigte ist, wäre eine Identitätsprüfung beim Zugriff immerhin eine Möglichkeit, das Risiko zu verringern.
Es handelt sich dabei nicht nur um geringfügige Risiken. § 32 f Abs. 4 Satz 1 der Strafprozessordnung schreibt vor, dass bei der Einsicht in elektronische Akten durch technische und organisatorische Maßnahmen gewährleistet sein muss, dass Dritte im Rahmen der Akteneinsicht keine Kenntnis vom Akteninhalt nehmen können.
Nachdem der Kreis auf die Sicherheitsrisiken hingewiesen wurde, hat er das Verfahren der Akteneinsicht geändert. Die Zugangsdaten werden fortan nicht mehr per E-Mail versendet, sondern per Post.
Was ist zu tun? Personenbezogene Daten sind bei elektronischer Akteneinsicht in gleicher Weise zu schützen wie bei der Einsicht in eine Papierakte. Durch technische und organisatorische Maßnahmen muss sichergestellt werden, dass nur die berechtigten Personen Einsicht erhalten können.
Quelle: ULD
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks