Datenschutzpanne bei Onlineumfrage in Bielefeld (Feb. 2022)

Sicherheit (Pexels, allgemeine Nutzung)Heute mal wieder ein kleiner Fingerzeig in Richtung: Wie riskant jegliche Online-Aktivität sein kann – oder gut gedacht ist nicht immer gut gemacht. Es geht dieses Mal um eine Onlineumfrage der Stadt Bielefeld zum Projekt „altstadt.raum". Anfang Februar 2022 hat es dabei eine Datenpanne gegeben, bei dem E-Mail- und IP-Adressen von Teilnehmern online einsehbar waren. Wie heißt es so schön "vermutlich war ein zu schneller Klick die Ursache".


Anzeige

Ein Blog-Leser hat mich auf das Thema hingewiesen (danke dafür) und meint: "In Bielefeld läuft derzeit ein ohnehin nicht unumstrittenes Projekt zur geänderten Verkehrsplanung der Altstadt. Für die Bevölkerung werden Informationen und Abstimmungen über die Seite altstadtraum.de bereitgestellt." Hätte ich normalerweise nicht thematisiert. Aber es ist mal wieder ein typischer Fall von "da kennt jemand, jemanden, der einen kennt, der mit einem Dritten bekannt ist, der so etwas schon mal gemacht hat, den frag ich mal und mache das auch".

Projekt altstadt.raum

Böse Zungen behaupten zwar, Bielefeld gibt es gar nicht. Aber immerhin hat die Kommune, die es so nicht gibt, eine Webseite für das Projekt altstadt.raum aufgesetzt. Es geht bei diesem Projekt darum, die Altstadt von Bielefeld lebenswerter zu gestalten.

Bielefeld Projekt altstadt.raum

Und dort haben die Projektverantwortlichen im Oktober 2021 eine Umfrage gestartet, an der sich Bürger beteiligen konnten. Und ganz lobenswert: Viele Daten sind im Open Data-Portal der Stadt Bielefeld einsehbar. Doof war allerdings, die Ergebnisse dieser Umfragen ebenfalls in dieses Open Data-Portal einzustellen – so etwas muss, sofern es überhaupt gemacht wird, im Hinblick auf Datenschutz sehr genau bedacht und kontrolliert werden. Das ist aber wohl nicht erfolgt bzw. ziemlich schief gelaufen.

Der Datenschutzvorfall

Bei der Bereitstellung der Daten dieser Onlineumfrage kam es am 1. Februar 2022 wohl zu einem Datenschutzvorfall, wie z.B. dieses Medium (Artikel gelöscht) berichtet. Die Daten der Umfrageteilnehmer wurden dort bis zum 2. Februar 2022 zur Einsichtnahme bereitgestellt. Problem war, dass das nicht anonymisiert erfolgte, sondern Email- und IP-Adressen von Nutzern, die sich im vergangenen Oktober an der Umfrage beteiligt hatten, öffentlich für einen Tag in den betreffenden Datensätzen einsehbar waren. Von 4.500 Personen waren die IP-Adressen zu sehen, bei etwa 2.400 davon zusätzlich auch noch die E-Mailadressen.

Als das Ganze auffiel, wurden die Daten sofort offline genommen und der städtische Datenschutzbeauftragte eingeschaltet. Mit der Landesbeauftragten für Datenschutz und Informationsfreiheit wurden die weiteren Schritte abgestimmt und alle Betroffenen, deren Mailadresse sichtbar war, über das Versehen informiert. Das Problem bei diesem Datenschutzvorfall: Die Mail-Adressen könnten für Phishing missbraucht werden. Bei den IP-Adressen ist es halt lediglich ein DSGVO-Verstoß. 

Der Vorfall zeigt, wie riskant die Bereitstellung von Daten sein kann. Dazu heißt es in obigem Medium: Die Stadt entschuldigt sich für die Panne, die vermutlich durch einen „zu schnellen Click" entstanden sei, und warnt die betroffenen Nutzer vor möglichen Spam- und Phishing-Versuchen. Bislang habe es aber noch keine Hinweise auf einen Missbrauch der Daten gegeben.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

11 Antworten zu Datenschutzpanne bei Onlineumfrage in Bielefeld (Feb. 2022)

  1. Wil Ballerstedt sagt:

    Dürfte alles nur halb so schlimm sein, wenn überhaupt. Na gut, einige werden aufschreien und was von Privatsphäre und Datenschutz blöken und sich via Facebook/WhatsApp ausgeifern.

    Der Datenschützer wird (zurecht) wegen des Missssstandes viel Staub aufwirbeln und im März erleben, dass die Windmühlen sich weiterdrehen.

    Letztlich entschuldigt das nicht diesen "übereilten" Klick aber der normale Bielefelder wird es bereits nächste Woche zu den Akten gelegt haben. GNTM läuft an, Olympiade rennt, es gibt genügend Soaps und Ukraine brennt viel mehr. Läuft.

    • mvo sagt:

      Man mag persönlich von Datenschutz halten, was man will, aber Menschen, die das für wichtig erachten und die Einhaltung dessen erwarten (nicht nur weil dies gesetzlich geregelt ist), als "geifernde" und "blöckende" Minderheit zu bezeichnen und den Rest der Menschen als brainwashed zu bezeichnen , zeugt nicht gerade vom Respekt anderer Meinungen und Ansichten.

      • Wil Ballerstedt sagt:

        Du zitierst mich ohne kompletten Kontext. Es ging mir um die Menschen, die zuerst was von Datenschutz erzählen aber selbst diese Diskussionen auf Facebook oder WhatsApp austragen.

    • Anonymous sagt:

      Sehe ich auch so. Hier wird viel Wind um nichts gemacht. Man kann es auch übertreiben.

  2. Peter sagt:

    Die ISP ändern zwar täglich die IP-Adresse, aber in meinem Fall immer nur 1 von 500 (das letzte Byte ist zufällig, das vorletzte Byte hat nur 2 Variante). Damit erfolgt eine GeoLokalisierung auf ca 100 Meter.

    Anonym ist anders!

    • Hobbyadmin sagt:

      > Die ISP ändern zwar täglich die IP-Adresse.

      Äh, nein. Evtl. macht Dein ISP sowas, aber allgemeingültig ist diese Aussage nicht. Viele behalten über Wochen die gleiche IP, wenn DSL-Router nicht manuell getrennt bzw. manuell neu gestartet werden.

  3. Andy sagt:

    Ich hatte heute gerade ein Gespräch dazu, wie schnell das geht mit einem Datenschutzverstoß.
    Und das "schnell" ist da meist genau der Punkt.
    Alles muss schnell gehen, gerade bei der Datenverarbeitung. Zack, zack. Und schon ist es passiert.
    Wobei das dann meist heißt, dass man schneller gearbeitet hat, als man es durchdenken konnte. Oder dass man prinzipiell nicht mehr über auch nur irgendwas nachdenkt.
    Ein Zustand, den ich bei überforderten und/oder stark unter Druck stehenden Mitarbeitern immer wieder sehe. Dann ist Denken nicht mehr möglich. Und auf Erklärungen folgen nur tote Augen.
    Regeln und Anweisungen helfen da auch nicht.
    Dieser Zustand ist im öffentlichen Dienst leider sehr, sehr häufig anzutreffen.
    Der Druck auf die einen Sachbearbeiter kann da wirklich enorm sein, während andere Tageszeitung lesen.

  4. Manfred sagt:

    Sind wir mal ehrlich. Hier wird wieder aus einer Mücke ein Elefant gemacht. Wer kann mit den Daten etwas anfangen? Am Ende ist alles halb so wild. Man kann Datenschutz auch zur Paranoia machen.

    • Günter Born sagt:

      Glücklicherweise interessiert deine persönliche Befindlichkeit herzlich wenig. Und bei Sätzen der Art "seien wir mal ehrlich ..:", sträuben sich mir die Nackenhaare. Mit wir fühle ich mich nicht angesprochen.

      Es gibt seit Mai 2018 eine DSGVO, die ist verbindlich, und es wurde definiert, dass sowohl E-Mail-Adresse als auch IP-Adresse persönliche Daten sind. Diese sind zu schützen und haben bei so etwas nichts, aber auch gar nichts zu suchen. Jeder kleine Website-Betreiber, jeder Sportverein etc. macht Klimmzüge, um das einzuhalten. Und dann kommst Du mit einer Relativierung. Wie ist es denn, wenn die persönlichen Daten eines COVID-19-Tests plötzlich im Internet einsehbar sind? Nicht so schlimm und "Mücke zum Elefanten gemacht"?

      Und damit sind wir beim Punkt: Das Thema gehört angesprochen und an die Öffentlichkeit – egal, ob jemand da Mücken oder Elefanten bewegt oder nicht. Es ist genau diese Haltung "Datenschutz auch zur Paranoia", die aus Dumpfbackigkeit von interessierter Seite immer mal wieder hochgeholt wird. So ganz spontan fällt mir Brandenburgs Justizministerin Susanne Hoffmann (CDU) ein:

      Brandenburgs Justizministerin Susanne Hoffmann (CDU) befürwortet es, Kontaktdaten der Luca-App ausnahmsweise auch für die Verfolgung von schweren Straftaten zu nutzen. Im Rechtsausschuss des Landtags sagte sie am Donnerstag, sie sei sich mit dem Generalstaatsanwalt des Landes einig, dass das nicht infrage kommt, wenn es sich um weniger schwere Taten handle.

      Wie wusste Honnecker: Dümmer geht's (n)immer.

      • Manfred sagt:

        Hier kann ich nur empfehlen den Internetstecker zu ziehen. Dann klappt's auch mit dem Datenschutz. Vielleicht. Wenn nicht woanders Daten anfallen.
        Am Ende bewegt man sich mit solchen überhasteten Aktionen zurück ins letzte Jahrhundert. Wundert mich nicht dass wir in Deutschland nichts auf die Reihe bekommen und andere Länder uns schon lange rechts überholt haben. Hauptsache dem Michel sein Datenschutz ist sicher. Zumindest in seinem Kopf.

    • Luzifer sagt:

      naja das ist nun mal gesetzlich geregelt und auch vollkommen zu recht.
      Wenn dich deine Daten und Privatsphäre nicht jucken ist das dein Ding, andere jucken diese aber. Wenn mit deiner email und IP Schindluder getrieben wird ( Phishing oder unter deiner eMail Addy zum Beispiel ein Politiker bedroht wird und du dann morgens früh von nem SEK aus dem Bett geholt wirst) denkst du vielleicht auch anders.

      Aber , sind wir mal ehrlich ;-P die Masse hat eben einen sehr kleinen aber hohen Tellerrand.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.