{"id":265482,"date":"2022-05-19T23:39:03","date_gmt":"2022-05-19T21:39:03","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=265482"},"modified":"2022-05-20T13:11:53","modified_gmt":"2022-05-20T11:11:53","slug":"datenschutzvorfall-bei-der-agentur-fr-arbeit-fremde-daten-im-portal-einsehbar","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/05\/19\/datenschutzvorfall-bei-der-agentur-fr-arbeit-fremde-daten-im-portal-einsehbar\/","title":{"rendered":"Datenschutzvorfall bei der Agentur für Arbeit, fremde Daten durch Datenpanne im Portal einsehbar (18.5.2022)"},"content":{"rendered":"

\"SicherheitEs scheint erneut die Bundesagentur f\u00fcr Arbeit (BA) getroffen zu haben. Dort gab es eine \"Datenpanne\", die ich als gravierenden Datenschutzvorfall bezeichnen m\u00f6chte, die von der BA aber als \"technischer Fehler\" kurz kommuniziert wurde. Wer sich am Portal der BA anmeldete, bekam am 18. Mai 2022 kurzzeitig Daten andere BA-Nutzer angezeigt. Grund war eine Software-\u00c4nderung, durch die Benutzerkonten falschen Datens\u00e4tzen zugewiesen wurden. Auf den BA-Seiten gab es nur kurzzeitig, am 18. Mai eine Information \u00fcber den Vorfall. Erg\u00e4nzung:<\/strong> Stellungnahme der BA angef\u00fcgt.<\/p>\n

<\/p>\n

\"\"Ich wurde \u00fcber einen Facebook-Kontakt mit dem Text \"wei\u00dft Du etwas\" auf den Sachverhalt hingewiesen, der aktuell wohl noch ziemlich unter dem Radar segelt.<\/p>\n

Zugriff auf fremde Daten<\/h2>\n

Eine Kundin, die sich auf dem Online-Portal der Arbeitsagentur f\u00fcr eine Jobsuche registriert hatte, staunte am Mittwoch (18. Mai 2022) nicht schlecht. Nach einer Anmeldung per Gesichtserkennung fand sie in ihrem vermeintlichen Postfach pl\u00f6tzlich eine Nachricht, bei der es sich um einen Schriftwechsel zweier ihr unbekannter M\u00e4nner (ein BA-Sachbearbeiter und ein Arbeitssuchender) handelte. Bei der Kontrolle musste die Kundin feststellen, dass sie pl\u00f6tzlich die Kontendaten einer vollst\u00e4ndig falschen Person unter ihrem Benutzerkonto angezeigt bekam.<\/p>\n

Die Frau informierte die Redaktion von Regensburg-Digital<\/a>, die erstmals berichteten und die Dame mit \"Wenn ich gewollt h\u00e4tte, h\u00e4tte ich mich sehr ausf\u00fchrlich \u00fcber diesen Herrn informieren k\u00f6nnen\" zitierte. Gleichzeitig schickte die Kundin eine Mail an die Arbeitsagentur, um \u00fcber den Vorfall zu informieren. Die Betroffene dazu: Ich finde das im Hinblick auf den Datenschutz sehr bedenklich. Und ich frage mich jetzt nat\u00fcrlich, wer Zugriff auf meinen Account hatte.<\/em><\/p>\n

Datenpanne oder technischer Fehler<\/h2>\n

F\u00e4lle, bei denen Online-Konten nach der Anmeldung pl\u00f6tzlich Daten falscher Personen anzeigten, habe ich hier im Blog ja mehrfach thematisiert (siehe Links am Artikelende). Es stecken Software-Fehler dahinter, bei denen die Indizierung einer Datenbank m\u00f6glicherweise fehlerhaft ist. Das kann passieren, ist nicht sch\u00f6n, aber das l\u00e4sst sich von der IT aufarbeiten. So \u00e4hnlich k\u00f6nnte es auch bei der BA gewesen sein – verwundert kann man aber \u00fcber die Reaktion der BA-IT auf den Vorfall sein. Die Dame bekam kurze Zeit sp\u00e4ter eine knappe Antwort von einem IT-Fachbetreuer aus Sachsen, wie Regensburg-Digital schreibt:<\/p>\n

Betreff: Datenpanne<\/p>\n

Danke f\u00fcr ihre R\u00fcckmeldung. Wir werden der Sache nachgehen. Dies darf nicht passieren.<\/p><\/blockquote>\n

Klar und pr\u00e4zise, so sind die IT-ler eben. Die BA bequemte sich aber zum 19. Mai 2022 noch mit einer ausf\u00fchrlicheren Antwort der Stabsstelle Datenschutz der Arbeitsagentur, wie Regensburg-Digital schreibt. Mir liegt ein Auszug der Meldung, die Nutzern zum Sachverhalt in der BA-App angezeigt wurde, als Screenshot von meinem Facebook-Kontakt vor.<\/p>\n

\"BA-Datenpanne
\nBA-Datenpanne zum 18. Mai 2022, Screenshot<\/p>\n

Dort gesteht die Bundesagentur ein, dass es am 18. Mai 2022 einen Datenschutzvorfall gab. Nach einer Software\u00e4nderung sei es am Vormittag des 18.5.2022 im Online-Portal der BA kurzzeitig zu einem \"technischen Fehler bei der Anmeldefunktion\" gekommen. Was so technisch nett klingend daher kommt, hat es in sich, denn die BA best\u00e4tigt:<\/p>\n

In Einzelf\u00e4llen konnten Kundinnen und Kunden nach ihrer Anmeldung in ihrem Profil teilweise Daten von anderen Kundinnen und Kunden, die sich zuvor angemeldet hatten, sehen.<\/p><\/blockquote>\n

Der Fehler wurde behoben und die BA entschuldigt sich f\u00fcr diesen wirklich \"kurzfristigen Vorgang\". Und nachdem in der Information einwandfrei gegendert wurde, gibt es noch ein gener\u00f6ses Angebot: Wer betroffen ist, darf mit dem Kundenreaktionsmanagement der zust\u00e4ndigen Agentur f\u00fcr Arbeit Kontakt aufnehmen. Regensburg-Digital zitiert aus einer E-Mail der BA zum Vorfall, die am 19.5.2022 kurz nach 11:00 Uhr verschickt wurde, dass man von der BA zum 19. Mai, eine entsprechende Information f\u00fcr die Kundinnen und Kunden auf der Startseite der Arbeitsagentur ver\u00f6ffentlicht habe<\/em>.<\/p>\n

Krude Logik, Null Information<\/h2>\n

Das Ganze ist in meinen Augen ein DSGVO-relevanter Vorfall, der gemeldet werden muss. Ob das erfolgt ist, kann ich mangels Information nicht beantworten. Zudem m\u00fcssen Betroffene informiert werden. Und hier wird die Sache skurril: Mir ist es am heutigen 19.5.2022 gegen 23.00 Uhr, beim Schreiben des Beitrags, nicht gelungen, eine betreffende Meldung auf den Seiten der Bundesagentur f\u00fcr Arbeit zu finden. Auch Regensburg-Digital blieb in dieser Angelegenheit erfolglos, denn im Bericht schreibt die Redaktion, dass sie am 19.5. bereits um 12:00 Uhr (also ca. 1 Stunde nach der abgeschickten BA-Mail, und einen Tag nach dem Vorfall) keine Spur dieser Benachrichtigung mehr vorfand.<\/p>\n

In der Logik der BA-Informatik passt das (zumindest meine Interpretation): Der technische Fehler war wohl nur kurzzeitig vorhanden, wurde behoben und damit sind nun Besucher des Portals nicht mehr betroffen. Also konnte man die Information wieder von der Webseite entfernen – nur nicht die Pferde scheu machen. Im Web habe ich, au\u00dfer dem oben verlinkten Artikel und meinem Beitrag hier, nichts finden k\u00f6nnen.<\/p>\n

Im Sinne der Information Betroffener und der \u00d6ffentlichkeit ist das aber \"unterste Schublade\" und so nicht in Ordnung. Wenn ich nicht g\u00e4nzlich falsch liege, sind Betroffenen gem\u00e4\u00df DSGVO konkret zu informieren. Denn das Ganze wirft nat\u00fcrlich die Frage auf, wie viele Nutzer von diesem Datenschutzvorfall, auf Grund eines technischen Fehlers, betroffen waren? Und wie sollen Betroffene \u00fcber diesen Datenschutzvorfall in Kenntnis gesetzt werden, wenn die Information wieder auf der Portal-Seite der BA verschwunden ist.<\/p>\n

Erg\u00e4nzung 2:<\/strong> Wenn mir als m\u00f6glicher BA-Nutzer das Problem beim Login am 18.5. aufgefallen ist und ich das auch korrekt interpretieren kann, k\u00f6nnte ich mich als betroffen ansehen.<\/p>\n

Was ist aber, wenn ich als BA-Kunde nicht am 18. Mai 2022 am Portal angemeldet war – und den Hinweis nicht gesehen habe – aber Dritte \u00fcber den technischen Fehler auf meine Daten zugreifen konnten? Dann bin ich Betroffen, ohne dass ich die Information erhalten habe. Das zeigt bereits das Problem der aktuellen Handhabung dieses Vorfalls.<\/p>\n

Theoretisch wei\u00df man in der BA-IT das Zeitintervall, in dem der Fehler auftrat, sowie die technische Ursache. Es m\u00fcsste sich an Hand der Logins auch ermitteln lassen, wie viele Nutzer in dieser Zeit auf das Portal und die Datenbank zugegriffen haben. Man k\u00f6nnte also absch\u00e4tzen, wie viele Leute potentiell betroffen sind.<\/p>\n

An dieser Stelle wird es nach meinem Bauchgef\u00fchl aber schwierig, falls die IT der BA Zugriffe nicht \u00fcber Log-Files\u00a0 – auf Grund des technischen Fehlers – korrekt auf die zugegriffenen Datens\u00e4tze zuordnen kann. Dann w\u00e4ren im Prizip alle angemeldeten Benutzer des Portals \u00fcber den potentiellen Datenschutzvorfall zu informieren. Hier wird es aber spekulativ – warten wir ab, ob die BA-Presseabteilung da noch mehr Details im Nachgang verr\u00e4t.<\/p><\/blockquote>\n

Dass die bisherige Ma\u00dfnahme, einen kurzen Hinweis auf der Webseite zu ver\u00f6ffentlichen, diesen aber nach wenigen Stunden (siehe auch nachfolgenden Kommentar) zu entfernen, nicht ausreichend sind, ist f\u00fcr mich irgendwie klar. Ich werde die Presseabteilung der BA mal um eine Stellungnahme mit detaillierteren Erkl\u00e4rungen anfragen. Klar ist aber, dass die BA als Beh\u00f6rde bei DSGVO-Verst\u00f6\u00dfen nicht sanktioniert werden kann. Wer aber im Web nach \"Datenpanne Agentur f\u00fcr Arbeit\" suchen l\u00e4sst, st\u00f6\u00dft auf andere Treffer: Vom Brief an die falschen Adressaten<\/a> (Feb. 2022), \u00fcber Datenabfl\u00fcsse durch Datenbroker \u00fcber die Jobb\u00f6rse (siehe Datenh\u00e4ndler missbrauchen Jobb\u00f6rse der BA<\/a> aus 2019 oder diesen Bericht<\/a> aus 2020) oder die CC-Falle bei Mails<\/a> (2011) st\u00f6\u00dft man auf weitere solcher Vorf\u00e4lle.<\/p>\n

Erg\u00e4nzung:<\/strong> Ich habe von der BA-Presseabteilung eine Stellungnahme zum gegenst\u00e4ndlichen Vorfall und Beantwortung folgender Fragen erbeten:<\/p>\n