Datenschutz? Leider vergessen.
Letzte Woche bekam ich Post von der Polizei, genauer gesagt der Akademie der Polizei. Man wolle genauer wissen, welche Folgen die Corona Pandemie für die Menschen habe, und was die Auswirkungen auf die Polizeiarbeit sein könnten. Ich sei als eine von 5000 Bürgerinnen zufällig ausgewählt, an einer Befragung zu diesem Thema teilzunehmen. Ich rief die angegebene Webseite auf und fand schon auf der ersten Seite eine Reihe von durchaus persönlichen Fragen u.a. nach meinem Bildungsgrad, meinem Einkommen und Ängsten im Zusammenhang mit der Covid-19 Krise (Angst vor Krankheit? Angst vor Arbeitslosigkeit?).
SSL Verschlüsselung
Zu meiner Überraschung war die für die Umfrage aufgesetzte Webseite nicht verschlüsselt. Im ersten Moment dachte ich, ich hätte mich getäuscht, gehört es doch zum selbstverständlichen Standard jeder vergleichsweise harmlosen Unternehmenswebseite, sie mit https zu verschlüsseln. Aber so war es – alle Angaben im Zusammenhang mit der Umfrage der Akademie der Polizei sollten ohne Absicherung unverschlüsselt übertragen werden. Von der zugesagten Anonymität der Befragung konnte unter diesen Umständen keine Rede sein, von einem Verstoß gegen einfachste Vorkehrungen für IT-Sicherheit und Datenschutz einmal ganz abgesehen.
Verschlüsselung vergessen
Ich schrieb an die im Anschreiben angegebene E-Mail-Adresse und sagte, dass ich mich unter diesen Umständen leider nicht an der Umfrage beteiligen würde. Ich fragte, wie es sein könne, dass bei der Abfrage so vertraulicher Daten wie Einkommen und Zukunftsängsten keine Verschlüsselung auf der Webseite eingesetzt werde. Immerhin ist eine SSL Verschlüsselung weder schwierig noch teuer.
Die Antwort kam prompt. „Die Verschlüsselung hätte kein nennenswertes Problem dargestellt“, schrieb mir ein Mitarbeiter aus der Projektleitung. Die Verschlüsselung „wurde jedoch schlichtweg vergessen und kann bei laufenden Befragungen auch nicht mehr nachträglich eingerichtet werden. Wir werden das für zukünftige Projekte bedenken“.
Der Datenschutzbeauftragte der Polizei Hamburg, dem ich meine Mail weitergeleitet hatte, schrieb kurz danach in schönstem bürokratischen Deutsch er werde „auf das Nutzen aller feststellbaren Optimierungsmöglichkeiten hinwirken“. Meine Kontaktaufnahme mit ihm werde er „vertraulich behandeln“. (Da bin ich beruhigt).
Datenschutz? Beim nächsten Mal.
Liebe Polizei Hamburg, Sie haben den Datenschutz vergessen? Und nun wollen Sie eine Umfrage mit zahlreichen sehr persönlichen Angaben auf einer unverschlüsselten Webseite weiterlaufen lassen? Das können Sie nicht ernst meinen. Wenn eine Nachbesserung nicht möglich ist, muss die Befragung abgebrochen und neu aufsetzt werden. Ein Unternehmen, das so einen Unsinn machte, würde ziemlich sicher sofort ein Bußgeld erhalten.
Update 29. April 2020, Vormittags
Manchmal geht es dann doch ganz schnell: ein Mitarbeiter aus der Projektleitung schrieb mir, dass die Seite mit der Umfrage jetzt verschlüsselt läuft.