Datenschutz bei der elektronischen Akteneinsicht: Sicherheitsrisiken und Optimierungspotenzial

Veröffentlicht am von

Die Digitalisierung macht auch vor behördlichen Verfahren nicht halt – so wird die Einsicht in Bußgeldakten zunehmend elektronisch gewährt. Betroffene können über ein Akteneinsichtsportal mit bestimmten Zugangsdaten auf ihre Akten zugreifen. Doch genau hier entstehen Sicherheitsrisiken, wie eine Beschwerde beim Unabhängigen Landeszentrum für Datenschutz (ULD) Schleswig-Holstein gezeigt hat.

Ein Kreis hatte Zugangsdaten für eine Bußgeldakte per unverschlüsselter E-Mail versendet, ohne eine verifizierte Identitätsprüfung durchzuführen. In der Praxis öffnete dieses Verfahren mehrere Sicherheitslücken, die eine unbefugte Einsicht in sensible Akten ermöglichten.

Welche Risiken bestehen bei der elektronischen Akteneinsicht? Und wie lassen sich diese minimieren, um Datenschutzverstöße zu vermeiden?

Hintergrund des Falls: Unzureichende Identitätsprüfung bei der Akteneinsicht

Im konkreten Fall hatte eine Bußgeldbehörde einer Person per unverschlüsselter E-Mail die Zugangsdaten zur digitalen Akteneinsicht übermittelt.

  • Der Nutzer konnte sich mit seinem Vor- und Nachnamen sowie einer E-Mail-Adresse ins System einloggen.

  • Es gab keine Überprüfung, ob die eingegebenen Daten korrekt oder die Person tatsächlich berechtigt war.

  • Der Beschwerdeführer konnte sich mit Fantasienamen anmelden und dennoch Zugriff auf die Akte erhalten.

➡ Das Verfahren öffnete Tür und Tor für Identitätsmissbrauch und unbefugte Zugriffe.

Identifizierte Sicherheitsrisiken in der elektronischen Akteneinsicht

Das ULD hat bei diesem Verfahren mehrere kritische Datenschutzmängel festgestellt:

1. Unsichere Übermittlung der Zugangsdaten

  • Die Zugangsdaten wurden per unverschlüsselter E-Mail versendet.
  • Die Bußgeldbehörde konnte nicht sicherstellen, dass die E-Mail-Adresse dem Berechtigten gehörte.
  • Es bestand das Risiko, dass Dritte Zugang zur Akte erhielten, falls eine E-Mail-Adresse falsch angegeben wurde oder kompromittiert war.

2. Fehlende Identitätsprüfung vor dem Zugriff

  • Es gab keine Verifikation der Nutzerangaben beim Einloggen in das Akteneinsichtsportal.
  • Personen konnten mit beliebigen Namen oder E-Mail-Adressen auf Akten zugreifen.
  • Ein Missbrauch durch Dritte war nicht auszuschließen.

3. Unsichere Übertragung der Dokumente

  • Die Akte konnte heruntergeladen werden, ohne dass die Identität des Nutzers geprüft wurde.
  • Ohne zusätzliche Schutzmaßnahmen bestand die Gefahr, dass Daten abgefangen oder an Unbefugte weitergeleitet wurden.

Gesetzliche Vorgaben zur sicheren Akteneinsicht

Laut § 32f Abs. 4 Strafprozessordnung (StPO) muss bei der elektronischen Akteneinsicht sichergestellt sein, dass Dritte keinen Zugriff auf den Akteninhalt erhalten.

Dies erfordert technische und organisatorische Maßnahmen, um Datenschutzverstöße zu vermeiden.

Elektronische Akteneinsicht muss den gleichen Schutz bieten wie die Einsicht in eine Papierakte.

Empfohlene Maßnahmen zur Verbesserung der Sicherheit

Das ULD hat dem betroffenen Kreis mehrere Verbesserungen empfohlen, um das Verfahren datenschutzkonform zu gestalten.

1. Sicherer Versand der Zugangsdaten

  • Keine Übermittlung von Zugangsdaten per unverschlüsselter E-Mail
  • Alternativen: Versand per Post oder über eine gesicherte Online-Plattform
  • Eine Bestätigung der Identität vor der Zustellung der Zugangsdaten

2. Identitätsprüfung vor der Akteneinsicht

  • Verifizierung der Identität durch zwei-Faktor-Authentifizierung (2FA)
  • Abgleich mit amtlichen Dokumenten oder Meldedaten

3. Gesicherte Übertragung und Download-Beschränkungen

  • Verschlüsselung der Aktenübertragung durch Ende-zu-Ende-Verschlüsselung
  • Optional: Einschränkung der Download-Möglichkeiten oder nur zeitlich begrenzter Zugriff

Folgen der Datenschutzverstöße und Reaktion der Behörde

Nachdem das ULD die Sicherheitsmängel aufgedeckt hatte, reagierte die Bußgeldbehörde und passte das Verfahren an:

  • Zugangsdaten werden nun per Post versendet.

  • Keine ungesicherten E-Mails mehr mit sensiblen Zugangsinformationen.

  • Verifizierung der Identität vor dem Aktenzugriff wurde verbessert.

Fazit: Sichere digitale Akteneinsicht ist unverzichtbar

Die Umstellung auf digitale Akteneinsicht bringt viele Vorteile mit sich, darf aber nicht auf Kosten der Datensicherheit erfolgen. Behörden müssen sicherstellen, dass Dritte keinen unbefugten Zugang zu sensiblen Akten erhalten.

Das ULD hat gezeigt, dass Zugangsdaten nicht ungesichert versendet und Identitäten geprüft werden müssen, bevor eine Akte online eingesehen werden kann.

Falls Behörden, Unternehmen oder Privatpersonen Unterstützung bei der rechtssicheren Umsetzung von digitalen Einsichtsverfahren benötigen, stehen wir gern beratend zur Seite.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert