Liebe*r Teilnehmer*in des STADTRADELN 2021,
hiermit möchten wir Sie über eine Datenschutzverletzung gemäß Art. 34 DSGVO informieren.
Gleich zu Beginn: Die potenzielle Datenlücke ist direkt nach Bekanntwerden geschlossen worden und es besteht kein Grund zur Annahme, dass Daten widerrechtlich weiterverbreitet wurden.
Was ist passiert?
Die Koordinator*innen von Kommunen und Bundesländern (in der Regel sind dies Mitarbeitende der Kommunalverwaltung) können im Login-Bereich die Vorjahresergebnisse ihrer Kommune oder ihres Bundeslandes herunterladen. Dafür müssen sie vorab eine 2-Faktor-Authentifizierung aktivieren, wie sie zum Beispiel auch beim Online-Banking üblich ist.
Durch eine fehlerhafte Rechteüberprüfung hatten Koordinator*innen beim STADTRADELN 2022 potenziell die Möglichkeit, auch auf die Vorjahresdaten von anderen Kommunen als ihrer eigenen zuzugreifen, wenn sie den Downloadlink des Datensatzes ihrer Kommune im Bereich der City-ID händisch veränderten. In diesem Fall hätte eigentlich eine Sperre den Download verhindern müssen, diese blieb aber aus.
Welche Daten sind betroffen?
Potenziell einsehbar waren alle Daten, die Koordinator*innen sonst für ihre eigene Kommune sehen können. Diese sind:
- Name
- Vorname
- Titel
- Benutzername
- Anrede
- Geburtsjahr
- Team
- Kommune
- Anzahl Personen (wenn mehrere Personen über einen Account eintragen)
- Team-Captain: Ja oder Nein
- STADTRADELN-Star: Ja oder Nein
- Im Stadt-/Gemeinderat bzw. Stadt-/Gemeindeverordnetenversammlung: Ja oder Nein
- Im Kreis-/Regionstag: Ja oder Nein
- Summe geradelte Kilometer 2021 in Woche 1
- Summe geradelte Kilometer 2021 in Woche 2
- Summe geradelte Kilometer 2021 in Woche 3
- Summe geradelte Kilometer 2021 gesamt
- CO2-Einsparung 2021 gesamt
Wurde die potenzielle Datenlücke ausgenutzt und Daten widerrechtlich weitergegeben?
Wir können im Nachhinein leider nicht nachvollziehen, ob noch weitere Zugriffe stattgefunden haben – außer durch den Koordinator, dem das Problem aufgefallen war.
Der Koordinator hatte das Problem direkt an das STADTRADELN-Team gemeldet. Die Lücke wurde noch am selben Tag geschlossen und die Downloadfunktion für die Vorjahresdaten deaktiviert.
Es ist nicht anzunehmen, dass Daten in rechtswidriger Form weiterverwendet bzw. überhaupt heruntergeladen wurden, da ausschließlich die kommunalen STADTRADELN-Koordinator*innen potenziell Zugriff gehabt hätten. Diese müssen jedes Jahr zu Beginn der Kampagne bestätigen, vertrauensvoll und entsprechend unserer Datenschutzinformationen, die sich streng an die EU-DSGVO halten, mit den Daten der Radelnden umzugehen und können auf diese Daten auch nur über die erwähnte 2-Faktor-Authentifizierung zugreifen.
Ein Zugriff durch Radelnde oder komplett außenstehende Personen war zu keiner Zeit möglich. Die diesjährigen Daten sind zudem nicht von der potenziellen Datenlücke betroffen gewesen.
Wir sind uns der Schutzbedürftigkeit der Daten unserer Teilnehmenden bewusst und legen großen Wert auf einen verantwortungsvollen Umgang mit diesen. Wir geben sie nicht für kommerzielle Zwecke wie Werbung oder ähnliches an Dritte weiter und löschen die Daten von Radelnden automatisch, wenn diese 2 Jahre hintereinander nicht am STADTRADELN teilgenommen und sich in dieser Zeit nicht eingeloggt haben. Dass es zu dem beschriebenen Fehler in der Rechteüberprüfung kam, bedauern wir außerordentlich.
Folgend verlinken wir hier noch einmal zu unseren Datenschutzinformation, in der unser Umgang mit den uns anvertrauten Daten aufgeführt ist: stadtradeln.de/datenschutz
Es tut uns sehr leid, zum Ende einer tollen STADTRADELN-Saison 2022 eine solche Nachricht übermitteln zu müssen und wir versichern noch einmal, dass die potenzielle Datenlücke geschlossen ist und wir nicht von einer widerrechtlichen Nutzung der Daten ausgehen.
Viele Grüße
Ihr STADTRADELN-Team
des Klima-Bündnis