Symbolbild

© Getty Images/Geber86/iStockphoto

Netzpolitik
12/20/2019

SSD mit Bürgerdaten bei eBay verkauft

Ein eBay-Nutzer hat eine angeblich "neuwertige" SSD gekauft und darauf Daten einer Zulassungsstelle entdeckt.

Beim Kauf einer SSD über eBay kam der Käufer Daniel R. in den Besitz zehntausender Bürgerdaten. Bei seiner Online-Suche nach einem passenden Datenspeicher stieß er auf das Angebot von Peperit, eine Firma aus der deutschen Großstadt Reutlingen. Diese bot insgesamt 19 SSDs von Silicon Power mit 256 Gigabyte Kapazität an - je Stück um knapp 30 Euro.

Laut dem Anbieter sollen sie neuwertig und von Kunden im Rahmen des Widerrufsrechts retourniert worden sein. Außerdem seien sie geprüft und getestet. Am 31. Oktober bestellte Daniel R. eine solche SSD und bemerkte bei der Lieferung starke Gebrauchsspuren sowie Beschädigungen. An seinen PC angeschlossen zeigte der Betriebsstundenzähler des Devices an, dass sie bereits über 2.500 Stunden „gebraucht“ und mehr als 560 Mal ein- und ausgeschaltet wurde. Auch wurden in der bisherigen Lebensdauer der SSD 4.200 Gigabyte Daten darauf geschrieben.

Außerdem befand sich auf der SSD eine eigene Partition mit einer kompletten Windows-10-Installation. Bei dem Fund handelte es sich um Behördedaten. Daniel R. kontaktierte umgehend die c’t-Redaktion von Heise, die über diesen Vorfall berichtet hat.

Lokale Daten nicht gelöscht

Laut den Journalisten handelt es sich um Daten aus dem Zweckverband Zulassungsstelle Coburg. Dazu gehörten gescannte Formulare von An-, Ab- und Ummeldungen von Fahrzeugen. Insgesamt 12.750 derartiger Dokumente, gespickt mit persönlichen Daten, wurden von den Redakteuren auf der SSD gefunden. Sie berichten zudem, dass die Zulassungsstelle Coburg mit Outlook 2016 arbeite. Dabei würden lokale Kopien der E-Mail-Postfächer in OST-Dateien angelegt. Diese seien mit zahlreichen Freeware-Programmen auslesbar.

So fanden die Redakteure tausende empfangene, versandte sowie scheinbar gelöschte E-Mails der Behördenmitarbeiter. Darunter waren auch Nachrichten, in denen Bürgerinformationen, wie Vollmachten, Versicherungsdaten, Handelsregisterauszüge oder Zulassungen angehängt waren.

Händler streitet ab

Nun wird der Frage nachgegangen, wie die SSD in den Handel gelangt ist. Laut Datenschutzrecht muss ein Datenträger mit derartigen Daten fachgerecht vernichtet oder gelöscht werden. Über diese Löschung muss die Behörde informiert werden.

Auf Anfrage von Heise hat der Peperit-Geschäftsführer Mathias Zweigle abgestritten, die SSD jemals in Besitz gehabt zu haben. Er habe eine SSD mit dieser Seriennummer nie besessen. Daniel R. hingegen versichert, sie von der Firma gekauft zu haben.

Ermittlungen laufen

Heise informierte das Landratsamt Coburg, den Datenschutzbeauftragen des Amtes und den bayrischen Datenschutzbeauftragten über die gefundenen Informationen. Der Datenschutzbeauftragte Thomas Petri leitete eine Untersuchung ein, die Kriminalpolizei Coburg wurde eingeschaltet.