Ganze neun Monate lang war ein Dokument des „Institut luxembourgeois de régulation“ (ILR) mit persönlichen Daten von insgesamt 9.795 Personen, die zu Hause eigenen Strom produzieren, öffentlich per Internet zugänglich. Das geht am Dienstag aus den Antworten der delegierten Ministerin für Medien, Elisabeth Margue (CSV), auf parlamentarische Fragen von Diane Adehm (CSV) und Marc Goergen (Piraten) hervor.
Die betroffene Datei beinhaltet laut Margue private Stromproduktionsanlagen, die bis zum 31. Oktober 2023 bei einem Betreiber angeschlossen wurden. Anschlüsse, die nach diesem Datum stattfanden, seien nicht betroffen. Eine Privatperson habe die Daten zufällig gesehen und das ILR über den Presseinformationsdienst („Service information presse“) informiert.
Dass der Fehler neun Monate lang niemandem auffiel, hat laut Margue einen Grund: „Es handelt sich um eine Testplattform, die nur ganz selten genutzt wird.“ Nach dem Vorfall seien die Prozeduren für den Zugriff zur Plattform angepasst worden und „entsprechen jetzt dem hohen Standard, der bei Open-Data-Plattformen appliziert wird.“
Geleakte Daten „nicht kritisch“
Die Verantwortung für die auf der Testplattform veröffentlichten Daten liegt zwar beim ILR, doch diese gelten laut Margue nicht als kritisch. Sollten Kunden also aufgrund der online zugänglichen Daten geschädigt worden sein, müsse zuerst geklärt werden, ob tatsächlich ein kausaler Zusammenhang zwischen dem Datenleck und dem Schaden besteht.
Damit sich ein solcher Fehler in Zukunft nicht wiederholt, gebe es nun eine Prozedur nach dem Vier-Augen-Prinzip, um sicherzustellen, dass die korrekten Daten hochgeladen werden. Ein neu ernannter „Open Data Officer“ werde sich um den Upload kümmern. Alle nicht notwendigen Zugänge zur Open-Data-Plattform seien indes widerrufen worden. Zudem würden interne Fortbildungen künftig angepasst.
Sie müssen angemeldet sein um kommentieren zu können