Marvin Oppong berichtet über mehrere bislang nicht öffentlich bekannte Datenpannen bei verschiedenen Medienunternehmen.

Datenschutz ist nicht erst seit der NSA-Spähaffäre ein wichtiges Thema für Journalistinnen und Journalisten. Und zwar in doppelter Hinsicht: Journalisten müssen ihre eigenen Daten vor fremden Zugriff schützen, sei es durch Verschlüsselung oder anonymes Surfen. Gleichzeitig speichern sie fremde Daten, etwa von Informanten, die es ebenfalls zu schützen gilt. Medienunternehmen speichern zudem eine Vielzahl von personenbezogenen Daten in Form von Kundendaten von Abonnenten oder Anzeigenkunden. Auch hier kann es zu Datenpannen kommen, die, wenn sie sich ereignen, immer auch mit den Journalisten der entsprechenden Medienhäuser in Verbindung gebracht werden können.

Als Reaktion auf verschiedene Datenskandale wurde im Jahr 2009 ein neuer Paragraf in das Bundesdatenschutzgesetz eingefügt. Danach müssen sogenannte nichtöffentliche Stellen, worunter auch Unternehmen und Verlage fallen, unverzüglich der zuständigen Datenschutzbehörde Meldung machen, wenn personenbezogene Daten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangen und dadurch „schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen" drohen. Die Regelung soll vor allem der Transparenz dienen, weitere Schäden verhindern und die Unternehmen motivieren, Kundendaten ausreichend zu sichern.

Wie der Landesbeauftragte für den Datenschutz Baden-Württemberg dem torial Blog mitteilte, meldeten das „Südkurier Medienhaus, Konstanz" und die „Hüthig Jehle Rehm Verlagsgruppe, Heidelberg" Datenpannen bei der Datenschutzbehörde.

Wie ein Sprecher der Behörde erklärte, waren bei der Hüthig Jehle Rehm Verlagsgruppe aufgrund „einer fehlerhaft gespeicherten Protokolldatei ... Bank- und Kreditkartenkontodaten von Kunden im Internet zugänglich". Die Lücke sei im März 2011 bemerkt worden. Von der Verlagsgruppe selbst war keine Stellungnahme zu erhalten. Das Verlagsprogramm von Hüthig Jehle Rehm, einem der größten Fachverlage in Deutschland, hat drei Schwerpunkte, darunter auch „Sicherheit und Logistik". Medien zu den Themen „Datenschutz, Grafik, IT und Medizin" rundeten das Verlagsprogramm ab, so der Verlag.

Wie der baden-württembergische Datenschutzbeauftragte weiter mitteilte, fand beim Südkurier Medienhaus „am 8. Januar 2012 ein Angriff auf einen Server statt, der bei einem externen Dienstleister des Südkuriers gehostet wurde. Durch Einschleusen einer Schadsoftware wurde der Zugang zu Datenbanken des Südkuriers ermöglicht." Ob bei dem Angriff Kundendaten ausgespäht wurden, lasse sich nicht nachvollziehen. Weder das Südkurier Medienhaus noch die Chefredaktion des „Südkurier" nahm auf Anfrage Stellung zu der gemeldeten Datenpanne. Zu dem Medienhaus gehört neben dem „Südkurier" auch die News-Webseite ka-news.de, der „Südwest-Anzeiger" und „Radio Seefunk".

Die Datenschutzbehörde wollte auch auf mehrfache Nachfrage hin keine näheren Angaben zu beiden Datenpannen machen, etwa zu der Frage, wieviele Kundendaten von der Datenpanne bei der Hüthig Jehle Rehm Verlagsgruppe betroffen waren und wie lange es dauerte, bis hier das Datenleck geschlossen wurde oder wie der Name des „externen Dienstleisters" im Fall Südkurier Medienhaus lautet. Die Dienststelle habe „offenkundig wesentlich mehr und detailliertere" Auskünfte über gemeldete Datenpannen erteilt, „als dies bei den meisten anderen Aufsichtsbehörden der Fall war, so Jörg Klingbeil, vom Landesbeauftragten für den Datenschutz Baden-Württemberg. Die „'Anzeigebereitschaft' der verantwortlichen Stellen in Bezug auf Datenpannen" könne „leiden". Paradoxerweise beruft sich die Datenschutzbehörde, wenn es nun darum geht, dass die betroffenen Kunden aus der Presse Details über das Schicksal ihrer Daten erfahren, bei ihrer ablehnenden Haltung ausgerechnet auch auf die „Interessen ... insbesondere der Betroffenen".

In Berlin meldete der Verlag der Bild-Zeitung, der vor zwei Jahren Opfer eines Hackerangriffs wurde, im August 2011 eine Datenpanne. Wie die Berliner Datenschutzbehörde mitteilte, waren durch eine Attacke auf einen Internetserver von Axel Springer 919 Personen betroffen. Medienberichte zufolge soll etwa zur selben Zeit eine Datenbank von Welt Online gehackt worden sein, wodurch sensible Kundendaten in falsche Hände gelangt seien, berichtete etwa „Der Westen". Springer bestritt dies in einer Stellungnahme. Eine anonyme Person hatte unter dem Pseudonym „Headpuster" auf Twitter in einem Tweet angegeben, eine Datenbank mit Kreditkartendaten und über 30.000 kopierten Nutzer abgesaugt zu haben. Springer räumte in einer Stellungnahme ein, dass es womöglich einen Angriff auf den Server eines „ehemaligen Kooperationspartner" von Welt Online gegeben hatte. Diesem Partner hätten jedoch weder Kundendaten vorgelegen, noch hätte eine technische Systemverbindung zum Medienunternehmen bestanden. Springer habe den Vorfall der entsprechenden Aufsichtsbehörde zur Kenntnis gegeben und diese fristgemäß informiert, teilte ein Sprecher auf Anfrage mit. Zu weiteren Hintergründen sowie zur Frage, ob es sich bei dem Verlust von Daten von 919 Personen und den angeblich 30.000 Nutzerdaten einen Zusammenhang gibt, wollte sich Springer nicht äußern.

Auch in Niedersachsen mussten zwei Verlage Datenpannen melden. Wie Michael Knaps, Leiter Presse- und Öffentlichkeitsarbeit des Landesbeauftragten für den Datenschutz Niedersachsen mitteilte, kam es bei einem Verlag zum „Verlust (Diebstahl, Abhandenkommen) von Hardware (USB Stick, Notebook etc.)". Bei einem „offensichtlich zielgerichteten Einbruch wurden Datensicherungsplatten entwendet. Betroffen waren Kundendaten (Angaben zu Namen, Adressen sowie Kontodaten) von 21.000 Abonnenten, 7000 davon mit Kontodaten". Bei einem zweiten Verlag erfolgte ein „unberechtigter Zugriff auf Webserver" bzw. ein „Erschleichen von Daten". „Die Internetpräsenz des Verlages wurde gezielt angegriffen. Betroffen waren Kundendaten (Angaben zu Namen, Adressen sowie Kontodaten)". Die Anzahl der Betroffenen sei „nicht bekannt", so Knaps. Der niedersächsische Datenschutzbeauftragte wollte weder die Namen der betroffenen Verlage noch weitere Details zu den Datenpannen mitteilen.

Mitarbeit: David Fischer