Baden bei Wien: 33.000 Meldedatensätze von Bürgern im Netz

Mehr als 33.000 Adressdatensätze aus Baden bei Wien sind ungeschützt auf einem Webserver gelegen und so für Expert*innen abrufbar gewesen. Das berichtete das deutsche Computermagazin c't in der Ausgabe vom Freitag.

Die Stadtgemeinde Baden räumte auf APA-Anfrage ein, dass personenbezogene Daten bei entsprechendem Fachwissen einsehbar gewesen seien. Betont wurde jedoch gleichzeitig, dass nach Kenntnis rasch gehandelt worden sei. Ein Verfahren der Datenschutzbehörde läuft.

Aufgetaucht ist das Datenleck laut c't im Zusammenhang mit der BadenCard, die für den Besuch des Wertstoffhofs benötigt wird. Ab Anfang des Jahres sei eine Online-Lösung für die Verlängerung bzw. die Bezahlung für dieses Service angeboten worden.

Im März wurde das Leck entdeckt

Im März wurde schließlich von einem IT-Experten über einen eigenen Pfad auf einem Webserver die ungeschützte Datei "meldeamt.dbf" entdeckt, wie es in dem Bericht heißt. "Auf 33.483 Zeilen erstreckten sich Name, Vorname, Anschrift, Geschlecht, Geburtsdatum sowie die Information, ob es sich um einen Erst- oder Zweitwohnsitz handelt." Geortet worden seien zudem auch andere personenbezogene Daten.

Am 8. März sei der Datenschutzbeauftragte der Badener Stadtverwaltung mit den Erkenntnissen konfrontiert worden. Tags darauf sei das Leck provisorisch abgedichtet gewesen, wenig später sei der gesamte Server nicht mehr erreichbar gewesen, so das Magazin.

"Richtig ist, dass aufgrund eines Konfigurationsfehlers des Servers - allerdings nur bei entsprechender Kenntnis der exakten Web-Adresse - personenbezogene Daten einsehbar waren. Wir haben unverzüglich nachdem wir davon Kenntnis erlangt haben, den Online-Dienst deaktiviert und die vorhandenen Logfiles auf Zugriffe auf den Webserver analysiert", hielt die Stadtgemeinde in einer schriftlichen Stellungnahme fest.

Problem wurde bereits behoben

In der Folge habe eine Überprüfung stattgefunden. "Der Online-Dienst wurde erst wieder in Betrieb genommen, als nach einer Konfigurationsänderung davon auszugehen war, dass kein externer Datenzugriff mehr möglich ist. Die Beseitigung des Problems wurde von dritter, unabhängiger Stelle bestätigt."

Der Vorfall sei der Datenschutzbehörde gemeldet worden, mit der die Gemeinde "aktuell in laufender Korrespondenz" stehe. Weitere Details wurden aufgrund des laufenden Verfahrens nicht genannt. Es sei jedenfalls nicht vorgesehen, weitere derartige Online-Dienste zu implementieren. "Sollte dies in Zukunft doch der Fall sein, so werden weitere, zusätzliche sicherheitstechnische Überprüfungen vorgenommen, um höchste Sicherheitsstandards zu gewährleisten", hieß es.

Die Datenschutzbehörde bestätigte, am 11. März gemäß Artikel 33 der Datenschutzgrundverordnung (DSGVO) informiert worden zu sein. Ein Verfahren laufe. Zu möglichen Konsequenzen für die Stadtgemeinde wurde hervorgehoben, dass "eine Verhängung von Verwaltungsstrafen gegen Behörden" durch Paragraf 30 Absatz 5 des Datenschutzgesetzes (DSG) "ausgeschlossen" sei.