Ebay: Rechner mit sensiblen Daten des Ausländeramtes verkauft

Ein Unternehmen hatte 13 Rechner auf Ebay gekauft. Als ein Mitarbeiter des Unternehmens einen der Rechner startete, wurde er mit dem Bildschirmhintergrund der Stadt Lübeck und privaten und sensiblen Daten aus dem Ausländeramt der Stadt begrüßt - darunter über 33.000 E-Mails.

Eigentlich sollten die 13 Rechner gar keine Festplatte enthalten, in einem war dennoch eine verbaut. Bei einem Teststart meldete sich Windows 7 mit besagtem Desktop-Hintergrund. Der Mitarbeiter entschied sich, die Festplatte dem Magazin Ct zur Analyse weiterzugeben.

Diese ergab, dass der Rechner zwischen dem 20. Januar 2016 und dem 29. Juni 2021 genutzt wurde. Zwischenzeitlich wurden immer wieder neue Nutzerkonten angelegt, die alten aber nicht gelöscht, sodass sich im Laufe der fünfeinhalb Jahre 31 Konten inklusive der genutzten Daten ansammelten.

Ohne große Mühe habe man 18 unterschiedliche Mitarbeiter mit Namen und Funktion identifizieren können, heißt es in dem Magazin. Diese reichten beispielsweise von einer Referendarin, die nur wenige Monate im Ausländeramt gearbeitet habe, über eine Angestellte, die für den Telefonservice zuständig gewesen sei, bis hin zu einem Sachbearbeiter "Aufenthaltsbeendigung".

48 komplette Akten, 33.000 E-Mails

Die Angestellten hätten teilweise komplette Akten auf den Rechner heruntergeladen. Insgesamt konnten die Ct 48 komplette Akten unter anderem zu Visa-Anträgen entdecken, die im Oktober 2020 auf dem Rechner abgelegt wurden. Jede Akte enthält persönliche und intime Details der Antragstellenden sowie der am Visa-Antrag Beteiligten.

Auch der E-Mail-Verkehr der Angestellten wurde auf der Festplatte gespeichert: Insgesamt 33.400 E-Mails mit hochbrisanten Inhalten. Zu eigentlich allem, was es an Vorgängen in einem Ausländeramt gibt, seien E-Mails gefunden worden, heißt es in dem Bericht. Darunter waren beispielsweise Daten zu Asyl- und Ausweisungsverfahren, aber auch Einbürgerungen, Namensänderungen und Meldeakten sowie nach der Datenschutzgrundverordnung (DSGVO) besonders sensible und schützenswerte Daten wie Religion, sexuelle Ausrichtung oder die ethnische Herkunft.

Keine Verschlüsselung, keine Prüfung

Trotz der sensiblen Daten wurde keine Festplattenverschlüsselung eingesetzt. Somit waren diese für jede Person, die die Platte physisch in die Hände bekommt, problemlos auslesbar. Doch neben dem unzureichenden Schutz wurde auch beim Verkauf geschlampt: Das Land schreibe vor, dass ausgemusterte Festplatten vernichtet werden müssten, erklärte Marit Hansen, Datenschutzbeauftragte für Schleswig-Holstein, dem Magazin. Im Falle der Stadt Lübeck werden diese wohl von Mitarbeitern ausgebaut und die Rechner mit einem gelben Punkt versehen und zum Verkauf freigegeben.

Ein entsprechender Aufkleber fand sich zwar auf dem Rechner, die Festplatte war dennoch vorhanden. Der Händler weist derweil die Schuld von sich, er sei laut der Verwertungsvereinbarung mit der Stadt nicht verpflichtet, jeden PC nochmals aufzuschrauben und zu überprüfen. Die Stadt Lübeck wollte sich mit Verweis auf ein laufendes Ermittlungsverfahren nicht zu dem Fall äußern.