„Datenpanne“ bei der Arbeitsagentur: Wer hatte Zugriff auf die sensiblen Daten?
Die Arbeitsagentur spricht von einem „technischen Fehler“, in dessen Folge „Kundinnen und Kunden“ der Behörde Zugriff auf die Accounts und sensiblen Daten von anderen „Kunden“ hatten. Betroffen war offenbar das gesamte Bundesgebiet, doch die Betroffenen werden nur sehr spärlich informiert.
Die Digitalisierung schreitet voran in Deutschland. Auch bei der Arbeitsagentur können sich Jobsuchende online registrieren, über ihren Account nach Stellen suchen, Arbeitslosengeld beantragen oder sich direkt mit ihren Sachbearbeitern austauschen. Und selbstverständlich soll das Ganze sicher funktionieren – per passwortgeschütztem Login oder Gesichtserkennung. Doch mit dieser Sicherheit scheint es nicht allzu weit her zu sein. Diese Erfahrung hat gerade die Regensburgerin Daniela Meier (Name geändert) gemacht.
Login per Gesichtserkennung – auf einem völlig anderen Account
Am gestrigen Mittwoch hat sie sich vom Handy auf ihren Account per Gesichtserkennung bei der Arbeitsagentur angemeldet, um ihr Postfach zu checken. Und siehe da: Dort wartete tatsächlich eine Nachricht auf sie.
Erst nach ein paar Zeilen merkte Meier, dass es sich um einen Schriftwechsel zwischen zwei ihr unbekannten Herren handelte. Einer davon: ein Sachbearbeiter des Arbeitsamts, der andere: ein Arbeitssuchender, den Meier nicht kannte, aber hätte kennenlernen können. Denn sie war in dessen Account eingeloggt und hatte damit Zugriff auf seine kompletten Daten. „Wenn ich gewollt hätte, hätte ich mich sehr ausführlich über diesen Herrn informieren können.“
Betreff: „Datenpanne“
Doch stattdessen informierte Meier nun die Arbeitsagentur per Mail über diesen Vorgang. „Ich finde das im Hinblick auf den Datenschutz sehr bedenklich. Und ich frage mich jetzt natürlich, wer Zugriff auf meinen Account hatte.“
Wenig später nach Meiers Mail kommt dann eine knappe Antwort – von einem IT-Fachbetreuer aus Sachsen. Betreff: „Datenpanne“. In dem Einzeiler heißt es: „Danke für ihre Rückmeldung. Wir werden der Sache nachgehen. Dies darf nicht passieren.“
Stabsstelle Datenschutz spricht von „Einzelfällen“
Heute Vormittag, um kurz vor elf, kam dann eine etwas ausführlichere Mail von der Stabsstelle Datenschutz der Arbeitsagentur. Demnach sei es am 18. Mai, zwischen 8 und 9.30 Uhr, „nach einer Softwareänderung“ im Online-Portal der BA (Bundesagentur für Arbeit, Anm. d. Red.) zu einem technischen Fehler bei der Anmeldefunktion“ gekommen. „In Einzelfällen konnten Kundinnen und Kunden daher nach ihrer Anmeldung in ihrem Profil teilweise Daten von anderen Kundinnen und Kunden, die sich zuvor angemeldet hatten, sehen“, heißt es weiter.
Der Fehler sei aber „sofort nach Bekanntwerden“ behoben worden. Man habe heute, 19. Mai, eine entsprechende Information für die Kundinnen und Kunden auf der Startseite der Arbeitsagentur veröffentlicht, heißt es in der Mail, die kurz vor elf verschickt wurde.
„Hinweis“ an Betroffene verschwindet nach ein paar Stunden
Blick auf die Seite der Arbeitsagentur um kurz vor 12 Uhr. Weder auf der Startseite noch nach intensiver Suche in den Unterseiten lässt sich die versprochene Information finden. Lediglich eine Suche über den Cache zeigt, dass tatsächlich für ein paar wenige Stunden ein „Hinweis“ veröffentlicht wurde, in dem das Problem geschildert wird. „Sollten Sie persönlich davon betroffen sein, nehmen Sie bitte Kontakt zum Kundenreaktionsmanagement Ihrer zuständigen Agentur für Arbeit auf“, heißt es dort abschließend.
Doch wie soll jemand, selbst wenn er diesen kurz veröffentlichten Hinweis zufällig entdeckt hat, wissen, ober persönlich davon betroffen war, spricht: ob jemand Einblick in seine privaten Daten hatte? Denn auch aus der Mail an Daniela Meier geht nicht hervor, ob jemand auf ihren Account Zugriff hatte oder nicht.
Wie viele Betroffene gibt es?
Auch abseits davon wäre es von Interesse, zu erfahren, wie viele Betroffene der „Datenpanne“, die offenbar das gesamte Bundesgebiet betroffen hat, es insgesamt gibt.
Für die Kundinnen und Kunden der Arbeitsagentur bleibt, sofern sie angesichts der nicht oder allenfalls kurzzeitig öffentlich gemachten Information, überhaupt von der „Datenpanne“ wissen, lediglich die Hoffnung, dass niemand ihre sensiblen Daten gelesen hat. Denn von der Behörde, die bei ihren Kunden umgekehrt kaum einen Fehler duldet, erfahren sie über das Ausmaß von deren Fehler bislang nämlich nichts.
Wir haben die Arbeitsagentur um Stellungnahme gebeten und werden weiter darüber berichten.
MV
| #
Ist hier nicht zwingend von der BA eine Meldung an den zuständigen Datenschutzbeauftragten zu machen, also wohl an Herrn Kelber? So kenne ich das zumindest, und Herrn Kelber dürfte der Fall sicher brennend interessieren…
joey
| #
das darf zwar nicht sein, allerdings halte ich den Schaden für begrenzt. Die Daten von Herrn Dings aus Dingsda würde Daniela Meier nur i einem sehr seltenen Zufall nützen.
Daniela
| #
Bedenklich finde ich, dass den Kunden dies nicht explizit mitgeteilt wurde. Aber es hat den Anschein, die BA weiß selbst nicht, wen es betraf. Jedenfalls ist dieser Fehler im Datenschutz, schon gravierend, oder möchte irgendwer irgendwen mitteilen, Lebenslauf, Kundengespräch, Mitteilung der BA, eventuell noch die Höhe der Bezüge usw. ? Ich denke nicht, dass sich irgendwer gerne in seine privaten Umstände sehen lässt.
Hubsi
| #
“Login per Gesichtserkennung” :D
Günter Born
| #
Mir wurde von einem Leser bestätigt, dass die BA-Info über den “technischen Fehler” am 18. Mai 2022 auf der Portalseite angezeigt wurde, dieser aber am 19. Mai 2022 bereits verschwunden war. Siehe Kommentar in folgendem Beitrag:
https://www.borncity.com/blog/2022/05/19/datenschutzvorfall-bei-der-agentur-fr-arbeit-fremde-daten-im-portal-einsehbar/
Ich habe mal eine Anfrage an die BA Presseabteilung bzgl. Details gestellt und auch den BfDI, Prof. Ulrich Kelber, (sowie diverse Kollegen in Redaktionen bei heise und Golem) in Kenntnis gesetzt.
„Datenpanne“: Arbeitsagentur weiß nicht, wer betroffen ist » Regensburg Digital
| #
[…] aufgetreten ist. Das räumt eine Sprecherin der Behörde auf Nachfrage unserer Redaktion ein. Wie berichtet, fanden Arbeitssuchende, die sich dort anmeldeten, sich plötzlich in einem fremden Account wieder […]