In der Kreisverwaltung Pinneberg ist es zu einem Datenschutzvorfall gekommen. In der vergangenen Woche ist bekannt geworden, dass es möglich war, über die Suchfunktion der Kreis-Homepage bei bestimmten Suchbegriffen und gleichzeitiger Anwendung bestimmter Suchfilter eine Liste von Dateien als Suchergebnis zu bekommen. Diese Dateien enthielten personenbezogene Daten von Bürger*innen, die sich als positiv auf Corona Getestete auf der Homepage registriert hatten. Ebenfalls war es für einen kurzen Zeitraum möglich, Daten von Geflüchteten aus der Ukraine einzusehen, die sich über ein Kontaktformular registriert hatten. Die Analyse des Vorfalls hat ergeben, dass insgesamt auf 59 personenbezogene Datensätze von Corona-Positiven zugegriffen worden ist. Auf alle weiteren Datensätze – darunter auch die Daten der aus der Ukraine Geflüchteten – gab es keinen Zugriff von außen.

Unmittelbar nach Bekanntwerden des Datenschutzvorfalls hat die Kreisverwaltung dafür gesorgt, dass die entsprechenden Dateien von außen nicht mehr zugänglich sind. Außerdem erfolgte eine sofortige Meldung an das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein als Aufsichtsbehörde. Es ist zudem unter der Leitung des Datenschutzbeauftragten der Kreisverwaltung eine Task Force – unter anderem aus den Bereichen IT und Datenschutz – eingerichtet worden, um die Ursachen und Umstände des Vorfalls aufzuklären und Maßnahmen zu ergreifen, die einen solchen Vorfall für die Zukunft ausschließen.

Zu den Details nach aktuellem Kenntnisstand:

• Der Datenschutzvorfall betraf insgesamt 3.252 Datensätze. Nach Abzug von Dopplungen, unvollständigen oder nicht real existierenden Angaben sind schließlich 2.609 Personen mit einem persönlichen Schreiben darüber informiert worden, dass auf ihre Daten ein Zugriff möglich gewesen wäre, aber nicht erfolgt ist. 59 Personen sind darüber informiert worden, dass auf ihre Daten zugegriffen worden ist.
• Aktuell liegen keine Hinweise vor, dass in den 59 Zugriffs-Fällen der Zugang genutzt worden wäre, um Daten missbräuchlich zu verwenden.
• Zur Dauer des Datenschutzvorfalls: In der Zeit vom 9. März 2022 bis zum 14. September 2022 wäre es möglich gewesen, auf der Homepage des Kreises Pinneberg Dateien abzurufen, die persönliche Daten von Corona-Registrierten enthielten.

Am 9. März 2022 wäre es über einen Zeitraum von vier Stunden möglich gewesen, auf der Homepage des Kreises Pinneberg Dateien abzurufen, die persönliche Daten von Geflüchteten aus der Ukraine enthielten. Auf diese Daten ist nicht zugegriffen worden. Aufgrund des kurzen Zeitraums und weil ein Zugriff ausgeschlossen werden kann, sind die betreffenden Personen aus der Ukraine nicht persönlich informiert worden. Eine Mitteilung in ukrainischer Sprache befindet sich jedoch auf der Homepage des Kreises.

Die Ursache für den Datenschutzvorfall war eine fehlerhafte technische Einstellung, die in Zusammenarbeit mit dem zuständigen Dienstleister behoben worden ist. Für die Zukunft werden weitere Sicherheitsvorkehrungen getroffen, damit sich ein solcher Vorfall nicht wiederholen kann.

Medieninformation vom 20.09.2022