Mehr als 33.000 Adressdatensätze aus Baden sind ungeschützt auf einem Webserver gelegen und abrufbar gewesen. Das berichtete das deutsche Computermagazin "c't" in der Ausgabe vom Freitag. Die Stadtgemeinde Baden räumte auf APA-Anfrage ein, dass personenbezogene Daten bei entsprechendem Fachwissen einsehbar gewesen seien. Betont wurde jedoch gleichzeitig, dass nach Kenntnis rasch gehandelt worden sei. Ein Verfahren der Datenschutzbehörde läuft.

Aufgetaucht ist das Datenleck laut "c't" im Zusammenhang mit der Baden-Card, die für den Besuch des Wertstoffhofs benötigt wird. Ab Anfang des Jahres sei eine Online-Lösung für die Verlängerung bzw. die Bezahlung für diesen Service angeboten worden. Im März wurde schließlich von einem IT-Experten über einen eigenen Pfad auf einem Webserver die ungeschützte Datei "meldeamt.dbf" entdeckt, wie "c't" berichtet.

Persönliche Daten

"Auf 33.483 Zeilen erstreckten sich Name, Vorname, Anschrift, Geschlecht, Geburtsdatum sowie die Information, ob es sich um einen Erst- oder Zweitwohnsitz handelt." Geortet worden seien zudem auch andere personenbezogene Daten. Am 8. März sei der Datenschutzbeauftragte der Badener Stadtverwaltung mit den Erkenntnissen konfrontiert worden. Tags darauf sei das Leck provisorisch abgedichtet gewesen, wenig später sei der gesamte Server nicht mehr erreichbar gewesen, so das Magazin.

"Richtig ist, dass aufgrund eines Konfigurationsfehlers des Servers – allerdings nur bei entsprechender Kenntnis der exakten Webadresse – personenbezogene Daten einsehbar waren. Wir haben unverzüglich nachdem wir davon Kenntnis erlangt haben den Onlinedienst deaktiviert und die vorhandenen Logfiles auf Zugriffe auf den Webserver analysiert", hielt die Stadtgemeinde in einer schriftlichen Stellungnahme fest.

In der Folge habe eine Überprüfung stattgefunden. "Der Onlinedienst wurde erst wieder in Betrieb genommen, als nach einer Konfigurationsänderung davon auszugehen war, dass kein externer Datenzugriff mehr möglich ist. Die Beseitigung des Problems wurde von dritter, unabhängiger Stelle bestätigt."

Meldung an Datenschutzbehörde

Der Vorfall sei der Datenschutzbehörde gemeldet worden, mit der die Gemeinde "aktuell in laufender Korrespondenz" stehe. Weitere Details wurden aufgrund des laufenden Verfahrens nicht genannt. Es sei jedenfalls nicht vorgesehen, weitere derartige Onlinedienste zu implementieren. "Sollte dies in Zukunft doch der Fall sein, so werden weitere, zusätzliche sicherheitstechnische Überprüfungen vorgenommen, um höchste Sicherheitsstandards zu gewährleisten", hieß es.

Die Datenschutzbehörde bestätigte, am 11. März gemäß Artikel 33 der Datenschutzgrundverordnung (DSGVO) informiert worden zu sein. Ein Verfahren laufe. Zu möglichen Konsequenzen für die Stadtgemeinde wurde hervorgehoben, dass "eine Verhängung von Verwaltungsstrafen gegen Behörden" durch Paragraf 30 Absatz 5 des Datenschutzgesetzes (DSG) "ausgeschlossen" sei. (APA, 8.4.2022)