Wer sich in Konstanz für gemeinschaftliches Bauen interessiert, kann sich hierüber per städtischem Newsletter informieren. Seit vergangenem Freitag kann jeder Empfänger dieses Newsletters auch wissen, wer noch Interesse an diesem Thema hat.

Denn beim Versand durch das Amt für Stadtplanung und Umwelt (ASU) kam es zu einer Datenpanne.

Mehr als 350 Personen oder Institutionen wurden in die Empfängerzeile (An) kopiert. Betroffen sind dadurch nicht nur ohnehin öffentliche E-Mail-Adressen städtischer Mitarbeiter, Gemeinderatsfraktionen oder Stadträte. Auch jeder andere, der sich für den Newsletter eingetragen hat, sieht durch die Panne seine privaten Kontaktdaten veröffentlicht.

Hierüber informiert wurden die Empfänger laut Walter Rügert, Sprecher der Stadt Konstanz, am Montag. Verbunden mit dem Hinweis, die E-Mail umgehend zu löschen und nicht weiterzuleiten. Auch dem SÜDKURIER liegt eine solche Hinweis-E-Mail vor, die jedoch am Dienstag um 8.21 Uhr versandt wurde.

Warum ist die Panne passiert?

Über die Gründe für den Fehler sagt Rügert: "Es gibt für den relativ kleinen Empfängerkreis des Baugemeinschaften-Newsletters keine eigene Software." Die Adressen würden stattdessen aus einer Excel-Tabelle in das Absenderfeld kopiert. "Dabei kam es diesmal versehentlich zum Eintrag ins falsche Adressfeld", so Rügert.

Anschließend sei versucht worden, die E-Mail technisch zurückzurufen. Dass dies nur teilweise gelang, stellte sich laut Walter Rügert erst später heraus. Seither sei eine Rückmeldung aus dem Verteilerkreis eingegangen, mit dem Hinweis auf die Datenschutz-Grundverordnung (DSGVO) und der Bitte, künftig wieder das Feld zum Versand als Blindkopie (Bcc) zu nutzen.

Wie könnten die betroffenen Empfänger nun reagieren?

Ist ein Empfänger der Auffassung, ihm sei wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden, so bestünde laut Paragraf 82 die Möglichkeit einer Schadenersatzklage. Über einen eventuellen Anspruch müsste dann ein Gericht entscheiden.

Gibt es Konsequenzen für den städtischen Mitarbeiter?

Dem zuständigen Mitarbeiter der Stadt drohen wegen des Datenlecks keine juristischen Konsequenzen. Auf die Stadtverwaltung könnte als Verantwortliche für den Datenschutz indessen eine Rüge durch den Landesbeauftragten für den Datenschutz und Informationsfreiheit (LfDI) zukommen.

Was sagt der Datenschutzbeauftragte zu dem Fall aus Konstanz?

"Über die Angelegenheit wurde ich bereits durch das Amt für Stadtplanung und Umwelt der Stadt Konstanz unterrichtet", erklärt der Leiter der Behörde, Stefan Brink, auf Anfrage. Gemäß DSGVO ist eine solche Meldung Pflicht. Die Stadt Konstanz habe laut Walter Rügert zeitgleich mit dem Hinweis an die Empfänger entsprechend reagiert.

Was ist die Aufgabe des Datenschutzbeauftragten?

Der LfDI geht unter anderem Beschwerden von Bürgern hinsichtlich Datenschutzrechten nach und kontrolliert deren Einhaltung im öffentlichen und nichtöffentlichen Bereich. Zum Vorfall in Konstanz seien laut Stefan Brink bislang keine Beschwerden eingegangen. Gegenüber dem SÜDKURIER erklärt er die Problematik: Werden E-Mail-Adressen von Privatpersonen in größeren Verteilern statt in das Bcc-Feld in das An-Feld eingetragen, so finde "eine offene Übermittlung personenbezogener Daten statt".

Droht in solchen Fällen nicht hohes Bußgeld?

Mitarbeitern von Firmen droht in diesen Fällen tatsächlich ein Bußgeld. So hatte das Bayerische Landesamt für Datenschutzaufsicht bereits 2013 gegen eine Firmenmitarbeiterin ein Bußgeld verhängt, weil sie mit einem offenen E-Mail-Verteiler personenbezogene E-Mail-Adressen einem großen Empfängerkreis übermittelt hatte. Ein solches Bußgeld kann laut Bundesdatenschutzgesetz bis zu 50.000 Euro betragen.

Öffentliche Stellen, somit auch die Stadt Konstanz, sind laut Stefan Brink von Bußgeldverfahren allerdings ausgenommen.

Welche Konsequenzen hat der Fall dann überhaupt für die Stadt?

Als erster Schritt könnte die Stadt laut des Landesdatenschutzbeauftragten dazu aufgefordert werden, ihre Beschäftigten durch interne Schulungen für das Thema Datenschutz zu sensibilisieren.

Auch eine Verwarnung im Rahmen der DSGVO sei denkbar. Schließlich könnte das LfDI als Aufsichtsbehörde gegenüber der Stadt auch anordnen, "ein solches Vorgehen künftig zu unterlassen", so Stefan Brink. Im Fall der Stadt Konstanz würde dann der Bürgermeister zu einer Stellungnahme aufgefordert.