Datenschutzvorfall bei der Agentur für Arbeit, fremde Daten durch Datenpanne im Portal einsehbar (18.5.2022)

Sicherheit (Pexels, allgemeine Nutzung)Es scheint erneut die Bundesagentur für Arbeit (BA) getroffen zu haben. Dort gab es eine "Datenpanne", die ich als gravierenden Datenschutzvorfall bezeichnen möchte, die von der BA aber als "technischer Fehler" kurz kommuniziert wurde. Wer sich am Portal der BA anmeldete, bekam am 18. Mai 2022 kurzzeitig Daten andere BA-Nutzer angezeigt. Grund war eine Software-Änderung, durch die Benutzerkonten falschen Datensätzen zugewiesen wurden. Auf den BA-Seiten gab es nur kurzzeitig, am 18. Mai eine Information über den Vorfall. Ergänzung: Stellungnahme der BA angefügt.


Anzeige

Ich wurde über einen Facebook-Kontakt mit dem Text "weißt Du etwas" auf den Sachverhalt hingewiesen, der aktuell wohl noch ziemlich unter dem Radar segelt.

Zugriff auf fremde Daten

Eine Kundin, die sich auf dem Online-Portal der Arbeitsagentur für eine Jobsuche registriert hatte, staunte am Mittwoch (18. Mai 2022) nicht schlecht. Nach einer Anmeldung per Gesichtserkennung fand sie in ihrem vermeintlichen Postfach plötzlich eine Nachricht, bei der es sich um einen Schriftwechsel zweier ihr unbekannter Männer (ein BA-Sachbearbeiter und ein Arbeitssuchender) handelte. Bei der Kontrolle musste die Kundin feststellen, dass sie plötzlich die Kontendaten einer vollständig falschen Person unter ihrem Benutzerkonto angezeigt bekam.

Die Frau informierte die Redaktion von Regensburg-Digital, die erstmals berichteten und die Dame mit "Wenn ich gewollt hätte, hätte ich mich sehr ausführlich über diesen Herrn informieren können" zitierte. Gleichzeitig schickte die Kundin eine Mail an die Arbeitsagentur, um über den Vorfall zu informieren. Die Betroffene dazu: Ich finde das im Hinblick auf den Datenschutz sehr bedenklich. Und ich frage mich jetzt natürlich, wer Zugriff auf meinen Account hatte.

Datenpanne oder technischer Fehler

Fälle, bei denen Online-Konten nach der Anmeldung plötzlich Daten falscher Personen anzeigten, habe ich hier im Blog ja mehrfach thematisiert (siehe Links am Artikelende). Es stecken Software-Fehler dahinter, bei denen die Indizierung einer Datenbank möglicherweise fehlerhaft ist. Das kann passieren, ist nicht schön, aber das lässt sich von der IT aufarbeiten. So ähnlich könnte es auch bei der BA gewesen sein – verwundert kann man aber über die Reaktion der BA-IT auf den Vorfall sein. Die Dame bekam kurze Zeit später eine knappe Antwort von einem IT-Fachbetreuer aus Sachsen, wie Regensburg-Digital schreibt:

Betreff: Datenpanne

Danke für ihre Rückmeldung. Wir werden der Sache nachgehen. Dies darf nicht passieren.

Klar und präzise, so sind die IT-ler eben. Die BA bequemte sich aber zum 19. Mai 2022 noch mit einer ausführlicheren Antwort der Stabsstelle Datenschutz der Arbeitsagentur, wie Regensburg-Digital schreibt. Mir liegt ein Auszug der Meldung, die Nutzern zum Sachverhalt in der BA-App angezeigt wurde, als Screenshot von meinem Facebook-Kontakt vor.

BA-Datenpanne zum 18. Mai 2022
BA-Datenpanne zum 18. Mai 2022, Screenshot

Dort gesteht die Bundesagentur ein, dass es am 18. Mai 2022 einen Datenschutzvorfall gab. Nach einer Softwareänderung sei es am Vormittag des 18.5.2022 im Online-Portal der BA kurzzeitig zu einem "technischen Fehler bei der Anmeldefunktion" gekommen. Was so technisch nett klingend daher kommt, hat es in sich, denn die BA bestätigt:

In Einzelfällen konnten Kundinnen und Kunden nach ihrer Anmeldung in ihrem Profil teilweise Daten von anderen Kundinnen und Kunden, die sich zuvor angemeldet hatten, sehen.

Der Fehler wurde behoben und die BA entschuldigt sich für diesen wirklich "kurzfristigen Vorgang". Und nachdem in der Information einwandfrei gegendert wurde, gibt es noch ein generöses Angebot: Wer betroffen ist, darf mit dem Kundenreaktionsmanagement der zuständigen Agentur für Arbeit Kontakt aufnehmen. Regensburg-Digital zitiert aus einer E-Mail der BA zum Vorfall, die am 19.5.2022 kurz nach 11:00 Uhr verschickt wurde, dass man von der BA zum 19. Mai, eine entsprechende Information für die Kundinnen und Kunden auf der Startseite der Arbeitsagentur veröffentlicht habe.


Anzeige

Krude Logik, Null Information

Das Ganze ist in meinen Augen ein DSGVO-relevanter Vorfall, der gemeldet werden muss. Ob das erfolgt ist, kann ich mangels Information nicht beantworten. Zudem müssen Betroffene informiert werden. Und hier wird die Sache skurril: Mir ist es am heutigen 19.5.2022 gegen 23.00 Uhr, beim Schreiben des Beitrags, nicht gelungen, eine betreffende Meldung auf den Seiten der Bundesagentur für Arbeit zu finden. Auch Regensburg-Digital blieb in dieser Angelegenheit erfolglos, denn im Bericht schreibt die Redaktion, dass sie am 19.5. bereits um 12:00 Uhr (also ca. 1 Stunde nach der abgeschickten BA-Mail, und einen Tag nach dem Vorfall) keine Spur dieser Benachrichtigung mehr vorfand.

In der Logik der BA-Informatik passt das (zumindest meine Interpretation): Der technische Fehler war wohl nur kurzzeitig vorhanden, wurde behoben und damit sind nun Besucher des Portals nicht mehr betroffen. Also konnte man die Information wieder von der Webseite entfernen – nur nicht die Pferde scheu machen. Im Web habe ich, außer dem oben verlinkten Artikel und meinem Beitrag hier, nichts finden können.

Im Sinne der Information Betroffener und der Öffentlichkeit ist das aber "unterste Schublade" und so nicht in Ordnung. Wenn ich nicht gänzlich falsch liege, sind Betroffenen gemäß DSGVO konkret zu informieren. Denn das Ganze wirft natürlich die Frage auf, wie viele Nutzer von diesem Datenschutzvorfall, auf Grund eines technischen Fehlers, betroffen waren? Und wie sollen Betroffene über diesen Datenschutzvorfall in Kenntnis gesetzt werden, wenn die Information wieder auf der Portal-Seite der BA verschwunden ist.

Ergänzung 2: Wenn mir als möglicher BA-Nutzer das Problem beim Login am 18.5. aufgefallen ist und ich das auch korrekt interpretieren kann, könnte ich mich als betroffen ansehen.

Was ist aber, wenn ich als BA-Kunde nicht am 18. Mai 2022 am Portal angemeldet war – und den Hinweis nicht gesehen habe – aber Dritte über den technischen Fehler auf meine Daten zugreifen konnten? Dann bin ich Betroffen, ohne dass ich die Information erhalten habe. Das zeigt bereits das Problem der aktuellen Handhabung dieses Vorfalls.

Theoretisch weiß man in der BA-IT das Zeitintervall, in dem der Fehler auftrat, sowie die technische Ursache. Es müsste sich an Hand der Logins auch ermitteln lassen, wie viele Nutzer in dieser Zeit auf das Portal und die Datenbank zugegriffen haben. Man könnte also abschätzen, wie viele Leute potentiell betroffen sind.

An dieser Stelle wird es nach meinem Bauchgefühl aber schwierig, falls die IT der BA Zugriffe nicht über Log-Files  – auf Grund des technischen Fehlers – korrekt auf die zugegriffenen Datensätze zuordnen kann. Dann wären im Prizip alle angemeldeten Benutzer des Portals über den potentiellen Datenschutzvorfall zu informieren. Hier wird es aber spekulativ – warten wir ab, ob die BA-Presseabteilung da noch mehr Details im Nachgang verrät.

Dass die bisherige Maßnahme, einen kurzen Hinweis auf der Webseite zu veröffentlichen, diesen aber nach wenigen Stunden (siehe auch nachfolgenden Kommentar) zu entfernen, nicht ausreichend sind, ist für mich irgendwie klar. Ich werde die Presseabteilung der BA mal um eine Stellungnahme mit detaillierteren Erklärungen anfragen. Klar ist aber, dass die BA als Behörde bei DSGVO-Verstößen nicht sanktioniert werden kann. Wer aber im Web nach "Datenpanne Agentur für Arbeit" suchen lässt, stößt auf andere Treffer: Vom Brief an die falschen Adressaten (Feb. 2022), über Datenabflüsse durch Datenbroker über die Jobbörse (siehe Datenhändler missbrauchen Jobbörse der BA aus 2019 oder diesen Bericht aus 2020) oder die CC-Falle bei Mails (2011) stößt man auf weitere solcher Vorfälle.

Ergänzung: Ich habe von der BA-Presseabteilung eine Stellungnahme zum gegenständlichen Vorfall und Beantwortung folgender Fragen erbeten:

  • Wann ist genau der Vorfall aufgetreten und wie lange hielt die "technische Störung" bis zur Beseitigung an?
  • Was war der konkrete technische Hintergrund der "Störung", die zur Zuordnung falscher Datensätze zu Kundenkonten führte?
  • Welche Webseiten und Portale waren genau betroffen.
  • Wie viele Kunden und Kundinnen waren betroffen?
  • Wie wird sichergestellt, dass Betroffene über den DSGVO-Vorfall informiert werden?
  • Welchen Grund gab es, die Meldung über den Vorfall nach wenigen Stunden von der Portalseite zu entfernen – oder gab es – trotz Ankündigung – überhaupt keine Meldung?
  • Sind die zuständigen Datenaufsichtsbehörden und der Bundesdatenschutzbeauftragte informiert worden und wann?
  • Wie wird sichergestellt, dass persönliche Daten von Betroffenen nicht missbräuchlich verwendet werden?
  • Wie wird sichergestellt, dass solche Vorfälle nicht erneut auftreten?

Mal schauen, ob ich Antwort bekomme und ob es demnächst weitere Informationen aus der Leserschaft gibt. Ich habe den Bundesdatenschutzbeauftragten über Twitter / Mastodon ebenfalls über den Sachverhalt informiert. Wenn sich neue Erkenntnisse ergeben, werde ich hier berichten.

Die Stellungnahme der BA

Die Referentin für Medien, PR und Social Media der Bundesagentur für Arbeit, Frau Eikemeier hat sich auf Grund meiner Anfrage mit den obigen Fragen gemeldet und folgendes geantwortet.

Frage: Wann ist genau der Vorfall aufgetreten und wie lange hielt die "technische Störung" bis zur Beseitigung an?

Frage: Was war der konkrete technische Hintergrund der "Störung", die zur Zuordnung falscher Datensätze zu Kundenkonten führte?

Antwort: Das Online-Portal der BA steht 7*24 Std. den Kundinnen und Kunden zur Verfügung. Online-Systeme müssen regelmäßig mit Betriebssystem – und IT-Sicherheitsänderungen (Patches)  versorgt werden. Beim Update am Dienstag wurde ein Aktualisierungs- und Bereinigungsprozess für einen von mehreren temporären Systemspeichern (Systemcontainer) nicht richtig gestartet. Am Morgen des 18. Mai 2022 kam es in der Folge zwischen 8 Uhr und 9:35 Uhr zu einem technischen Fehler bei der Anmeldefunktion des Online-Portals der Bundesagentur für Arbeit. In einzelnen Fällen wurden die Anmeldedaten von Kundinnen und Kunden nach der Anmeldung nicht vollständig gelöscht beziehungsweise nicht überschrieben. Damit konnten Teile des Datensatzes von vorher angemeldeten Kundinnen und Kunden eingesehen werden. Nach Bekanntwerden des Fehlers wurde um 9:35 Uhr die Online-Anmeldefunktion deaktiviert. Der Fehler wurde umgehend behoben. Um 10:05 Uhr stand die Online-Anmeldefunktion wieder fehlerfrei zur Verfügung.

Somit bestand dieser Fehler für ca. 90min.

Frage: Welche Webseiten und Portale waren genau betroffen.

Antwort: Es waren die Webseiten und Dienste betroffen, die eine Benutzerauthentifizierung erforderten.

Frage: Wie viele Kunden und Kundinnen waren betroffen?

Antwort: Der Fehler wurde nach kurzer Zeit behoben.

Wie viele Personen in diesem Zeitfenster betroffen waren, lässt sich im Nachhinein zwar nicht mehr feststellen. Das Problem trat aber ausschließlich in diesem Zeitfenster und ineiner bestimmten Konstellation auf, nämlich  wenn beide Anwender zufällig auf dem gleichen temporären Systemspeicher zugebucht waren.

Frage: Wie wird sichergestellt, dass Betroffene über den DSGVO-Vorfall informiert werden?

Antwort: Wer genau davon betroffen war, kann leider nicht mehr ermittelt werden. Auf der Homepage arbeitsagentur.de wurde aber ab Mittag eine Störmeldung veröffentlicht. Bürgerinnen und Bürger können sich anhand eines Kontaktformulars an das Kundenreaktionsmanagement ihrer Agentur für Arbeit wenden. Einen Hinweis über den Vorfall finden Sie auf unserer Homepage, s. folgende Frage.

Frage: Welchen Grund gab es, die Meldung über den Vorfall nach wenigen Stunden von der Portalseite zu entfernen – oder gab es – trotz Ankündigung – überhaupt keine Meldung?

Antwort: Es gab eine Meldung, inzwischen haben wir diese auf unserer Homepage auf die Einstiegsseite für Privatpersonen eingefügt und dort mit mehr Informationen hinterlegt. Siehe

https://www.arbeitsagentur.de/privatpersonen  unter „Aktuelle Informationen" (weiter unten) und

https://www.arbeitsagentur.de/news/it-vorfall

Frage: Sind die zuständigen Datenaufsichtsbehörden und der Bundesdatenschutzbeauftragte informiert worden und wann?

Antwort: Ja, sie sind am gleichen Tag informiert worden.

Anmerkung: Das ist auch im verlinkten Bericht über den Datenschutzvorfall auf der BA-Webseite so ausgeführt.

Frage: Wie wird sichergestellt, dass persönliche Daten von Betroffenen nicht missbräuchlich verwendet werden?

Antwort: Die BA hat in Bezug auf eine evtl. missbräuchliche Nutzung verstärkte Prüfungsmechanismen angesetzt.

Frage: Wie wird sichergestellt, dass solche Vorfälle nicht erneut auftreten.

Antwort: Für diesen bedauerlichen Vorfall wurden Maßnahmen durchgeführt, die eine Wiederholung verhindern sollen. Sie betreffen vor allem die sog. Delivery-Pipline mit der u.a. Betriebssystem- und IT-Sicherheitspatches ausgerollt werden. Wir haben inzwischen Testläufe durchgeführt, die zeigen, dass unsere Maßnahmen greifen.

Ähnliche Artikel:
Datenleck bei Lufthansa Miles&More-Konten?
Zahlungsdienstleister Klarna: Fremde Konten einsehbar
Horror: Wenn der eCommerce-Shop die Kundendaten verwürfelt …
Datenleck bei Microsoft: 250 Mio. Call-Center-Datensätze in Cloud öffentlich zugänglich
Die Bundesagentur für Arbeit, der Edge-Browser und der Datenschutz


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit Datenschutz, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

14 Antworten zu Datenschutzvorfall bei der Agentur für Arbeit, fremde Daten durch Datenpanne im Portal einsehbar (18.5.2022)

  1. Ralf S. sagt:

    Als aktuell am Angebot der Agentur für Arbeit Interessierter, kann ich bestätigen, dass diese Meldung (identischer Text des obigen Screenshots) am 18.05.22 abends wirklich prominent an oberster Stelle auf der Webseite der Arbeitsagentur angezeigt wurde – allerdings am 19.05.22 dann auch schon wieder verschwunden war …

  2. Sebastian sagt:

    Ich glaube nicht das dass Arbeitsamt eine Anmeldung per Gesichtserkennung vornimmt wie hier Gü hier behauptet. Die Nummer stinkt zum Hinmmel.

    • Bernd B. sagt:

      Auch nicht in der App (Biometriefunktion des Gerätes)?
      Ich kenne die BA-App nicht, aber habe hier diverse Apps, die sich statt mit Passworteingabe per Biometrie öffnen lassen.

    • Günter Born sagt:

      Nimm ein geeignetes Smartphone mit der BA-App, dann wirst Du eine Gesichtserkennung (z.B. unter Android) einrichten können.

      Abseits deiner Nummer, die zum Himmel stinkt (ist immer interessant, wie Leute über Nebenkriegsschauplätze versuchen, einen Hebel anzusetzen): Es gibt drei Quellen, die den technischen Vorfall bestätigen – eine ist Regensburg Digital, eine ist der Screenshot oben im Blog (wohl aus einer App, zugegangen von meiner FB-Quelle) und der Kommentar von Ralf S. Ob die Fußnote Login per Gesichtserkennung passiert ist oder nicht, ist im Gesamtkontext nicht relevant, das ist höchstens eine Fußnote.

      Die Presseabteilung der BA hat eine Anfrage und kann sich äußern – notfalls mit "alles erstunken und erlogen, da ist nichts dran". Dann werde ich das hier als Info nachtragen. Und damit bin ich hier aus dieser Diskussion raus.

  3. Wil Ballerstedt sagt:

    Die Anzahl der Vorfälle bestärkt in mir den alten Eindruck: Rechtelos! Das begann mit der Agenda 2010, die aus Opfern eines immer … werdenden Arbeitsmarktes Täter ihrer Arbeitslosigkeit macht. Das noch mit dem Hintergedanken des Schmarotzerseins, weil diese Menschen für's Nichtstun Geld bekommen.

  4. Martin U. sagt:

    Hier wird wieder ein Fass wegen Einzelfällen!!! aufgemacht. Habt ihr sonst nichts um euch aufzuregen? Ich würde jedem empfehlen auf eine einsame Insel auszuwandern. Dort gibt es solche "Probleme" nicht.

    • Niels sagt:

      1000 Bäume geben halt auch einen Wald…

      • Martin U. sagt:

        1000 Bäume von Billionen Bäumen sind nicht mal ein Vogelschiss. Wer sich darüber aufregt ist wohl Berufsaufreger und kommt aus dem Aufregen nicht mehr raus. Andere genießen solange das Leben als es sich zu vermiesen.

        • Günter Born sagt:

          Magst Du natürlich gerne so sehen – aber versuche nicht diese Sichtweise auf andere zu mappen. Mit deinem Erstkommentar hast Du ja deine Meinung kund getan, ist ok. Der Zweitkommentar ist schlicht Kinderkram (oder trollen, werde ich künftig unterbinden), wenig stichhaltig und bringt keinen weiter. Im Übrigen gibt es gesetzliche Vorgaben, die BA hat reagiert und der BfDI wartet mit Spannung auf die in der DSGVO vorgeschriebene Meldung.

          Es wäre ganz interessant zu wissen, wie dein "Leben außerhalb des Berufsaufregertums genießen" sich wohl gestaltet, wenn ein solcher "Einzelfall" bei deiner Bank oder beim Einwohnermeldeamt passiert und jemand mit den Daten deine Identität abfischt oder sonst irgendwie Schindluder treibt.

          Und ich denke bei deinen Ausführungen mit Vergnügen an den Hack des Rosebutt-Boards, wo dann die "Vogelschisse" an die Öffentlichkeit gelangten. Einfach für alle "mir doch egal"-Protagonisten zum Nachdenken – denn beim besagten Board war plötzlich "alles fürn Arsch", kann man das so sagen? ;-).

          • Martin U. sagt:

            Und der Kommentar auf den ich reagiert habe ist stichhaltig und bringt alle weiter? Kinderkram ist sich über Kleinigkeiten künstlich aufzuregen. Würde ich das tun, wäre mein Leben ganz schön traurig. So als Berufsaufreger.

            Wenn so ein Einzelfall bei meiner Bank passiert dann ist es genau das: ein Einzelfall. Dann könnte ich den Weltuntergang herbeirufen oder fordern gefälligst zu Schiefertafeln zurückzukehren. Tu ich aber nicht.

    • Mika sagt:

      Dann geh schon mal voran, denn sich über noch weniger aufzuregen zeugt von keinem guten Beispiel.

      Obwohl… wenn ich es mir so recht überlege: bleib lieber hier, sonst müsste ich mich auf der Insel auf einmal noch mit Dir Einzelfall rumärgern.

      Hätte Dir ja gerne noch 'nen Fisch zukommen lassen, aber die Kommentare hier akzeptieren leider kein ASCII .

    • Ralf S. sagt:

      … Sprach (evtl.) ein Mitarbeiter der Bundesagentur für Arbeit … ;-)

      Und falls nicht, ist dieser Kommentar trotzdem ziemlich daneben und disqualifiziert sich durch den Inhalt selbst. Und wie die Mitarbeiter des Arbeitsamtes (wie es früher mal hieß und auch besser gepasst hat – bevor man meinte nur mit einem neuen Namen wird automatisch alles besser … Allerdings: Die Leichen auf dem Friedhof betten sich auch nicht selbst um …) mit ihren "Kunden" (übrigens auch so eine verlogene Bezeichnung) umgehen, habe ich selbst vor einiger Zeit erfahren dürfen. Schon klar, dass die solch einen Gegenwind in ihrer "staatlichen Ruhe" mal gar nicht gebrauchen können! Diese Bundesagentur für Arbeit ist ein in sich geschlossenes Ökosystem, das mal überhaupt keine Störung von außen gebrauchen kann, da sonst ihre "Kartenhaus-Architektur" schneller einstürzen könnte, wie ihnen lieb ist … Meine Erfahrung, nicht mehr und nicht weniger!

      • Günter Born sagt:

        Da stehen wir (oder zumindest ich) doch drüber. Am Ende des Tages hat der Beitrag bei Regensburg Digital und hier bewirkt, dass das Fall nicht in "der Versenkung verschwindet" – und eine Information auf den Seiten der BA gibt es jetzt auch.n

        Den Rest mag jeder Leser für sich selbst bewerten.

        • Ralf S. sagt:

          Sehr gut, dass die Datenschutz-Information nun wieder dauerhaft auf der Webseite der Arbeitsagentur steht! Wenn auch nur sehr weit links unten. Dorthin scrollt ein bereits registrierter Nutzer leider i. d. R. nicht, da sich der Anmelde-Button eben rechts oben befindet … Und es sind ja ausschließlich registrierte Nutzer betroffen (gewesen). Bei "meinem" Online-Kapitalanlage-Broker gab es vor einigen Monaten auch einen Datenschutzvorfall und die umgehende Meldung, dass es eben genau diesen gegeben hat, stand danach für volle 8 Wochen (in Fettdruck, umrandet und rot unterlegt) an erster Stelle auf deren Homepage! Konnte man anklicken und hat dann an die 20 Unterlinks angezeigt bekommen, mit denen man sich über den gesamten Vorfall, bis ins kleinste Detail, informieren konnte. Überdies wurde man als Kunde 2 x persönlich per Mail/Online-Postfach über den Stand der Dinge informiert – auch wenn man direkt (als Einzelkunde) gar nicht betroffen war. So sieht für mich offen-transparentes Verhalten aus! Der Staat lässt sich halt einfach nicht gerne in die Karten schauen – selbst dann nicht, wenn nachgewiesener Mist gebaut wurde. Erwartet aber von uns Bürgern im Gegenzug, dass wir uns immer brav ehrlich, regel- und rechtskonform verhalten … Und versteht dann widerrum den Frust mancher Bürger "über das alles" nicht. Man kann es auch eine sich verselbstständigende Abwärtsspirale nennen … :-)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.