Frage 1:

Wie und wann wurde die/der interne Datenschutzbeauftragte in diesen Datenschutzvorfall integriert bzw. darüber informiert?

 

Frage 2:

Wurde eine sogenannte Risikoabwägung zur Beurteilung eines geringen oder hohen Risikos für die betroffenen Personen durchgeführt?

 

Frage 3:

Falls erforderlich, zu welchem Zeitpunkt wurde die zuständige Aufsichtsbehörde innerhalb der geforderten 72 Stunden über den Verstoß sachgerecht informiert? Liegt ggf. eine Antwort der Behörde vor?

 

Antwort zu 1, 2 und 3:

Unmittelbar nach Feststellung wurde ermittelt, wie viele Zugriffe es auf die entsprechende Sitzungsdienstseite der Homepage gab.

In der Zeit in der die Daten öffentlich waren (19.04. ca. 18.00 Uhr bis 20.04.21 ca. 6:51 Uhr) erfolgten exakt 2 Zugriffe auf das Sitzungsdienstprogramm.

Ein betroffener Mandatsträger hat die Verwaltung per Mail vom 19.04.2021 um 22:54 Uhr informiert, dass seine Daten einsehbar sind. Da es laut Protokoll der Homepage ebenfalls einen Zugriff auf die Homepage um 22:54 Uhr gab, ist davon auszugehen, dass es sich bei dem Zugriff auf den betroffenen Mandatsträger gehandelt hat.

 

Somit kann exakt nur maximal ein einziger fremder Zugriff auf die Daten erfolgt sein. Auf Grund der kurzen Zeitdauer der veröffentlichten Daten (ca. 13 Stunden, noch dazu über Nacht) und nur maximal eines einzigen externen fremden Zugriffs und der Tatsache, dass persönlichen Daten wie Namen, Anschrift und Geburtsjahr bereits mit der öffentlichen Bekanntmachung der Wahlvorschläge zur Kommunalwahl 2021 im Internet abrufbar sind, wurde der Vorfall als nicht meldepflichtiger minderschwer im Sinne des Art. 33 DSVGO eingestuft.

 

Frage 4:

Wann und wie wurden die betroffenen Personen über die Datenschutzverletzung informiert?

 

Antwort:

Ein Mandatsträger, der sich bereits an die Stadt gewandt hatte, wurde am 20. April 2021 über die Behebung informiert. Die beiden anderen Betroffenen wurden ebenfalls über den Fehler und die getroffenen Maßnahmen informiert.

 

Frage 5:

Wie viele Personen (Mandatsträger) haben der Veröffentlichung ihrer Daten widersprochen und bei wie vielen Betroffenen wurden die Daten dennoch veröffentlicht?

 

Antwort:

Von 70 Mandatsträgern haben bislang 34 Personen der Veröffentlichung Ihrer Daten vollständig widersprochen oder es liegen die Erklärungen noch nicht vor.

13 Personen haben ihre Daten eingeschränkt und 23 komplett freigegeben.

 

Nach der Feststellung des Fehlers wurden alle Mandatsträgerzustimmungen erneut geprüft. Dabei wurden festgestellt, dass alle Daten korrekt erfasst wurden.

 

 

Frage 6:

Welche Maßnahmen wurden oder werden ergriffen, die eine Behebung der Verletzung des Schutzes personenbezogener Daten und zur Abmilderung ihrer Folgen beinhaltet?

 

Frage 7:

Welche wahrscheinlichen Folgen hat die Stadtverwaltung Karben auf Grund der Verletzung des Schutzes personenbezogener Daten zu erwarten?

 

 

Antwort zu 6 und 7:

 

Die Daten wurden umgehend berichtigt und entsprechend gesperrt.

 

Nach dem Vier-Augen-Prinzip wird zukünftig vor der Veröffentlichung von persönlichen Daten, der zuständige Teamleiter die Gegenprüfung vornehmen.

 

 

Nach Beantwortung der Anfrage weist Stv. Dreßler darauf hin, dass die GRÜNEN von 6 IP-Adressen auf das Sitzungsdienstprogramm zugegriffen hätten. Bürgermeister Rahn sagt zu, die Diskrepanz zu den beiden auf der städt. Homepage registrierten zu prüfen.