Datenschutzverstoß in Berlin: Accenture sammelte Daten von Bürgern in offenem Ticketsystem
"Ich bin mir ziemlich sicher, dass das Ticketsystem von Accenture einige persönliche Daten preisgegeben hat, aber ich kann keine öffentliche Bekanntmachung finden." Mit diesen Worten kontaktierte eine anonyme Quelle Golem.de. Die Person schickte Beweise, die belegen, dass ein Ticketsystem offenstand.
Offensichtlich fehlte eine Authentifizierung und sämtliche Tickets mitsamt realen Urkunden des Berliner Personenstandsregisters waren für das gesamte Internet einsehbar. Das ergaben Recherchen von Golem.de.
Das Ticketsystem wurde von Accenture betrieben. Das Unternehmen ist einer der größten IT-Dienstleister für die öffentliche Verwaltung und hat seinen Sitz im hessischen Kronberg im Taunus. Gemeldet hat das Unternehmen Accenture den Vorfall der zuständigen Datenschutzbehörde in Hessen jedoch nicht.
Meldung erst nach Presseanfrage
Nach einer Bitte um Stellungnahme seitens Golem.de meldete Accenture das Datenleck doch bei der Berliner Senatsverwaltung, welche die Informationen an die Landesdatenschutzbehörde weitergab.
Die Senatsverwaltung für Inneres gab am 8. Juli 2022 den Verstoß in einer Presserklärung bekannt(öffnet im neuen Fenster) . Demnach soll die Lücke seit Mai 2022 bestanden haben und erst am 4. Juli 2022 geschlossen worden sein.
Landesamt wusste nichts von der Nutzung
Der Senat nannte Accenture nicht explizit. In der Presseerklärung hieß es nur: "Der Datenschutzverstoß ist auf das vom Unternehmen genutzte technische Supportsystem zurückzuführen." Weiter: "Das [Landesamt für Bürger- und Ordnungsangelegenheiten] LABO nutzt das Ticketsystem seit Anfang des Jahres 2020 nicht mehr und ist davon ausgegangen, dass dort keine personenbezogenen Daten mehr gespeichert sind." Dennoch konnten die Daten ausgelesen werden, wie unsere Recherchen beweisen.
Golem.de liegt eine gespiegelte Version des Ticketsystems vor. Wir fanden Geburts-, Sterbe- und Hochzeitsurkunden von realen Menschen. Anscheinend trugen Angestellte des Unternehmens oder der Verwaltung mitunter gar Ausweiskopien in dem Ticketsystem ein. Warum das Ticketsystem seit Mai 2022 offenstand und warum die Realdaten genutzt wurden, obwohl das LABO darüber nicht in Kenntnis stand, ist nicht bekannt.
Accenture beschwichtigt
Wir baten Accenture erstmalig am 4. Juli 2022 um Stellungsnahmen und erhielten Beschwichtigungen: Das Problem habe nur "in einer isolierten Testumgebung" bestanden und "nur Test- und Übungsdaten" enthalten. Am 6. Juli 2022 nannten wir beispielhaft personenbezogenen Daten aus dem Datensatz. Auf Nachfrage teilte das Unternehmen mit, dass das System "keine Live-Daten enthalten" sollte.
Die anonyme Quelle schickte uns einen Datensatz und eine öffentlich einsehbare Kopie des Ticketsystems. Die Domain, über die das offene Ticketsystem einsehbar war, ist laut Presseanfrage an Denic auf die ungarische Niederlassung von Accenture registriert. Die Denic verwaltet die Top-Level-Domain .de.
Vorfall wirft Fragen auf
Mit dem Ticketsystem wurden Fehler bei der Software für das Personenstandsregister getrackt. Mit diesem Register verwaltet die öffentliche Verwaltung, beispielsweise Standesämter, die Daten von Bürgern.
Wir sprachen mit Markus Drenger. Er ist Experte für E-Government und Open-Data-Aktivist. Drenger sagte Golem.de: "Allein schon der reine Zugriff auf diese Art von Information ist meldepflichtig. Das sind Daten, die bei einem Dienstleister so nicht landen dürfen. Zudem wirft der Vorfall Fragen auf, wie ein solch großes Unternehmen mit personenbezogenen Daten umgeht."
Die Berliner Datenschutzbeauftragte war am Freitagnachmittag nicht für eine Stellungnahme zu dem Datenschutzverstoß zu erreichen. Wir tragen eine Stellungnahme gegebenenfalls nach.
Nachtrag vom 14. Juli 2022, 16:28 Uhr
In einer vorherigen Version dieses Artikels schrieben wir, dass Accenture eine Frist mit Bitte um Stellungnahme zu gefundenen personenbezogenen Daten verstreichen lassen habe. Dies stimmte nicht. Wir haben die entsprechende Stelle korrigiert.