Datenschutzpanne: Gemeinde stellt ih­re Blitzerfotos ver­se­hent­lich ins Internet

Auf die­sen Fall wur­de ich durch ei­nen Kommentar im Lawblog auf­merk­sam. Dort wur­de am 12.06.2014 ein Link zu ei­nem FTP-Server ge­pos­tet. Der Name des Servers (laut SSL-Zertifikat) ent­sprach dem ei­ner hes­si­schen Gemeinde, die ei­ne PoliScan-Speed-Messanlage an ih­rem Ortseingang (Messung in bei­de Fahrtrichtungen) be­treibt. Allerdings war der Zugriff auf die­sen Server, auf dem sich zahl­rei­che PoliScan-Speed-Messdaten aus dem Zeitraum April bis Juni 2014 be­fan­den, we­der durch die Angabe ei­nes Benutzernamens oder Passworts ge­schützt und so­mit für je­der­mann, der die Adresse kann­te, frei zu­gäng­lich, so­dass auch die Messdaten her­un­ter­ge­la­den wer­den konn­ten. Kurze Zeit da­nach war der Server über das Internet nicht mehr er­reich­bar.

Dennoch konn­te dank ver­schie­de­ner Suchmaschinen, die den Server schnell “ent­deck­ten”, spä­ter nach­voll­zo­gen wer­den, was sich dar­auf be­fand. Ähnlich wie Google Cache, das den Inhalt von öf­fent­li­chen Internetseiten auf ei­ge­nen Servern (zwischen-)speichert und den Benutzern der Suchmaschine den Zugriff auf die “Spiegelung” er­laubt - ei­ne Zeit lang auch dann, wenn die Seite selbst nicht mehr exis­tiert - gibt es spe­zi­el­le FTP-Suchmaschinen (in die­sem Fall: Filemare.com), die die Verzeichnis- und Dateistruktur auf öf­fent­li­chen FTP-Servern aus­le­sen und spei­chern. Somit wa­ren die Verzeichnisse und Dateinamen, die sich auf dem Gemeindeserver be­fan­den, auch noch ei­ni­ge Wochen nach der Abschaltung er­sicht­lich. Ein Zugriff auf die Dateien selbst und ih­ren Inhalt er­mög­lich­te Filemare.com (an­ders als Google) al­ler­dings nicht.

Daraus er­gab sich, dass sich auf dem Server min­des­tens 2 GB Daten in über 400 Dateien be­fan­den; die meis­ten da­von wa­ren TUFF-Dateien (das Dateiformat von PoliScan-Speed-Messdaten), die auch die Messfotos ent­hal­ten. Außerdem ent­hielt der Server zahl­rei­che Messdatensätze im XML-Format, Inbetriebnahme- so­wie Messprotokolle, wel­che Google nach der Abschaltung des Servers teil­wei­se noch sicht­bar ma­chen konn­te. Weiterhin be­fand sich dort die Anordnung der Straßenverkehrsbehörde, die Beschilderung (50 km/h) in Richtung der Nachbargemeinde zu ver­set­zen, um “die Sicherheit im Bereich der dor­ti­gen Bushaltestelle” zu er­hö­hen so­wie “die Möglichkeit der Überwachung der an­ge­ord­ne­ten Geschwindigkeitsbeschränkung” (!) zu ver­bes­sern. Die Anleitung des laut Lawblog-Kommentar “ge­bräuch­li­chen FTP-Servers für Anfänger” wur­de eben­falls dort ab­ge­legt.

An be­sag­tem Ortseingang wur­de im ge­nann­ten Zeitraum auch das Fahrzeug ei­nes Betroffenen ge­mes­sen, des­sen Verteidiger sich zur Begutachtung der Messung an die GFU wand­te. Dass es sich um den glei­chen Standort han­del­te, fiel nach der Begutachtung dem GFU-Sachverständigen auf, so dass er den Verteidiger in­for­mie­ren konn­te, wel­cher nun Bedenken ge­gen die Verwertung der Datensätze vor­brach­te. Die zu­stän­di­ge Behörde nahm spä­ter zu dem Vorfall Stellung: Die Falldaten, die das Messgerät er­zeugt, wür­den über ei­ne si­che­re Verbindung (VPN) per Mobilfunk auf den Server der Gemeindeverwaltung über­tra­gen. Dort wür­den die Daten durch ei­ne Messbeamtin auf Integrität und Authentizität über­prüft, ar­chi­viert und dann zur Auswertung an ei­ne Privatfirma (an wen auch sonst?) ver­sandt.

Nach Auskunft der Ordnungsbehörde er­klär­te der Bürgermeister und zu­gleich EDV-Beauftragter der Gemeinde, dass auf­grund ei­nes Administratorfehlers die öf­fent­li­che Leseberechtigung für den Server ak­ti­viert war, nicht aber die Schreib- oder Änderungsberechtigung. Der Server sei je­doch am sel­ben Tag (12.06.2014) vom Netz ge­nom­men wor­den. Eine Manipulation der Messdaten sei au­ßer­dem auf­grund der di­gi­ta­len Signierung so­wie Verschlüsselung der Falldaten durch das PoliScan Speed-System un­mög­lich ge­we­sen.

Über Alexander Gratz

Dipl. jur. Universität des Saarlandes

2 Kommentare zu “Datenschutzpanne: Gemeinde stellt ih­re Blitzerfotos ver­se­hent­lich ins Internet

  1. Die neu­en Blitzer kann man gar nicht mehr er­ken­nen, von da­her ist es ei­ne gu­te Sache das die Bilder im Netzt hoch­ge­la­den wur­den, im Sinne von Autofahrer na­tür­lich.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*