Datenschutzverstoß in Dresden: Daten von Wahlberechtigten entwendet

In Dresden kam es jüngst zu einem gravierenden Datenschutzverstoß, der bundesweit für Aufsehen sorgt. Ein Systemadministrator des Eigenbetriebs für IT-Dienstleistungen in der Landeshauptstadt Dresden steht im Verdacht, eine Wahlbenachrichtigungsdatei mit personenbezogenen Daten von etwa 430.000 Bürgerinnen und Bürgern unbefugt kopiert zu haben. Die Ermittlungen laufen und werfen Licht auf mögliche Schwachstellen in der datenschutzrechtlichen Verwaltung.

Sachverhalt

Der betroffene Systemadministrator war für die datentechnische Unterstützung des Bürgeramts, insbesondere im Rahmen von Wahlbenachrichtigungen, zuständig. Zwischen Mai und Oktober 2024 soll er private Speichermedien an dienstliche Rechner angeschlossen und dabei insgesamt rund 270.000 Dateien auf externe Datenträger übertragen haben, wie etwa bei Heise nachzulesen ist. Zu den kopierten Dateien zählt eine vollständige Wahlbenachrichtigungsdatei, die sensible – darunter Namen, Anschriften und Geburtsdaten – von 430.000 wahlberechtigten Bürgern enthält.

Die Speicherung dieser Daten auf privaten Geräten ist laut Dienstordnung streng verboten, und regelmäßige Kontrollen stellen normalerweise die Einhaltung dieser Regel sicher. Der Datenschutzverstoß wurde bei einer routinemäßigen Überprüfung der Zugriffsprotokolle entdeckt und führte zur sofortigen Sperrung der Zugriffsrechte des Beschuldigten. Anschließend wurde der Sicherheitsvorfall bei den zuständigen Behörden, darunter dem sächsischen Datenschutzbeauftragten und dem Sicherheitsnotfallteam SAX.CERT, angezeigt.

Ermittlungsmaßnahmen und Konsequenzen

Nach der Feststellung des Verstoßes reagierte die Stadt Dresden mit drastischen Maßnahmen. Der Dienststellenleiter ließ umgehend die Dienstgeräte des Beschuldigten sicherstellen und ein Hausverbot verhängen. Nachdem sich der Beschuldigte bis zu einer gesetzten Frist nicht zu den Vorwürfen äußerte, wurde am 25. Oktober 2024 erstattet und ein erwirkt. In der Wohnung des Beschuldigten wurden laut Pressemitteilung alle Speichermedien sichergestellt. Bislang gibt es wohl keine Hinweise darauf, dass die Daten weitergegeben oder verkauft wurden.

Datenschutzverstoß in Dresden: Daten von Wahlberechtigten entwendet - Rechtsanwalt Ferner

Aus Sicht der Strafverteidigung ist hier die Problematik der Öffentlichkeit zu sehen: Die Behörde muss reagieren, sie hat die Pflicht öffentlich zu machen, worum es geht; der Beschuldigte hat allerdings ein Recht, nicht vorverurteilt zu werden. Es ist ein Balanceakt, die Berichterstattung so auszugestalten, dass beide konträren rechtlichen Sphären nicht kollidieren.

Datenschutzrechtliche Bewertung

Dieser Fall verdeutlicht die Brisanz von Datenschutzverstößen im öffentlichen Bereich. Das unbefugte Kopieren und Speichern sensibler Daten auf privaten Datenträgern stellt einen schwerwiegenden Verstoß gegen das Sächsische Datenschutzdurchführungsgesetz dar. Besonders heikel ist, dass es sich um Wahlberechtigungsdaten handelt, die für mögliche Manipulationen im Rahmen von Wahlen missbraucht werden könnten. In der Vergangenheit wurden Datendiebstähle häufig mit strafrechtlichen Sanktionen geahndet, insbesondere, wenn sie in den Bereich politischer Sensibilität fallen.

Strafrechtlich ist es sehr undankbar: Im FOkus steht natürlich das (straf)recht. Allerdings verlangt §42 im Regelfall eine Schädigungsabsicht bzw. die Absicht sich zu bereichern. Man wird daher, wie so oft, schnell bei einer Strafbarkeit wegen des Ausspähens von Daten gelangen – wobei der BGH inzwischen klargestellt hat, dass das Überschreiten einer Verfügungsbefugnis durch einen Admin ausreichend ist (§202a StGB). Allerdings, je nach Motiven und Hintergrund der Geschehnisse, bietet sich immer noch erhebliches Verteidigungspotenzial. Die Öffentlichkeit sollte sich insoweit mit Vorverurteilungen zurückhalten, da die Umstände für die Bewertung ausschlaggebend – und unbekannt sind.

Maßnahmen zur Verbesserung der IT-Sicherheit

Die Stadt Dresden kündigte als Reaktion auf den Vorfall umfassende Verbesserungen der Sicherheitsvorkehrungen an. Neben einer Verschärfung des Zugangsschutzes wird auch die Nutzung externer Datenträger künftig restriktiver gehandhabt. Diese Maßnahmen sollen derartige Verstöße in Zukunft verhindern und die Informationssicherheit in der Verwaltung nachhaltig stärken.

Der Fall verdeutlicht die potenziellen Gefahren, die mit der Verwaltung personenbezogener Daten im öffentlichen Dienst einhergehen.

Ausblick

Der Fall Dresden zeigt die potenziellen Gefahren, die mit der Verwaltung personenbezogener Daten im öffentlichen Dienst einhergehen. In Zeiten zunehmender Digitalisierung und steigender Datenschutzanforderungen ist es unerlässlich, dass öffentliche Einrichtungen technische und organisatorische Maßnahmen ergreifen, um sensible Daten vor Missbrauch zu schützen. Die laufenden Ermittlungen werden zeigen, ob die bestehenden Datenschutzmechanismen ausreichend sind oder ob weitergehende Reformen nötig werden.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht) (Alle anzeigen)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften. Dabei bin ich fortgebildet in Krisenkommunikation und Compliance.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.