Wer hat Bock auf vertrauliche Daten?

Eine einfache Google-Abfrage liefert jede Menge pdf-Dateien, die „nur zur internen Verwendung“ gedacht sind

Vertrauliche Daten
„Verschlusssache“, „vertraulich“ oder „nur zur internen Verwendung“ – man sollte meinen, Dokumente mit solchen oder ähnlichen Kennzeichnungen seien tatsächlich ausreichend gesichert, besonders in sensiblen Branchen wie Banken- und Versicherungswesen. Eine simple Google-Suche nach pdf-Dateien und der jeweiligen Sicherheitsfloskel beweist jedoch, dass das Gegenteil der Fall ist und tausende nicht für die Öffentlichkeit bestimmte Interna am Ende gar nicht so intern sind. Wir haben uns ein paar der skurrilen Sicherheits-Fails angeschaut und nachgehakt, ob das Herunterladen solcher Dateien rechtliche Konsequenzen zur Folge haben könnte.

Um herauszufinden, welche Seitenbetreiber es nicht ganz so genau mit der Sicherheit ihrer internen Dokumente nehmen, reicht in Googles Suchmaschine ein simpler Befehl plus die jeweils gewünschte Phrase: filetyp:pdf „Phrase xy“. In der Trefferliste lassen sich dann ganz einfach pdf-Dateien finden, die über die normale Navigation der Websites sonst nicht erreichbar wären.

Nur zur internen Verwendung

Der Klassiker unter den Sicherheits-Phrasen liefert gleich ein paar Ergebnisse mit Kopfschüttel-Garantie. So finden sich unter den ersten zehn Treffern mit der Raiffeisenbank aus Österreich und der Targobank gleich zwei Kreditinstitute. Weitere Highlights: ein Antrag der SPD-Fraktion auf der Homepage der Bundestagsabgeordneten Doris Barnett, eine Auflistung der Haushaltsmittel der Stadt Neukirchen-Vluyn in Nordrhein-Westfalen (inklusive Überschreitungen) und ironischerweise ein Skript vom Bachelorstudiengang Fernsehproduktion an der FAM Leipzig mit dem Titel „Grundsätzliches zur Bewertung von Suchergebnissen, Qualitätsmaßstäbe und Rankingmechanismen.“

Google-Suche: filetype:pdf "nur zur internen verwendung"

Google-Suche: filetype:pdf „nur zur internen verwendung“

Streng vertraulich, Verschlusssache und Highly Confidential

„Streng vertraulich“ klingt noch mal ein Stück weit deutlicher und sensibler als „nur zur internen Verwendung“. Das heißt aber natürlich nicht, dass sich zu dieser Phrase nicht auch mehrere Tausend Suchergebnisse finden lassen (45.500, um genau zu sein). Zahlreiche spannende Treffer gibt es ebenfalls bei „Verschlusssache – Nur für den Dienstbegrauch“, „Verschlusssache – Vertraulich“ und „Streng vertraulich“.

Und auch auf Englisch wird man schnell fündig. Besonders aufregend kann es da werden, wenn man bei der Suche nach „Highly Confidential“ die Top-Level-Domain .gov als Kriterium hinzufügt, die ausschließlich Regierungsbehörden der USA vorbehalten ist. Heißt im Klartext: Die Suche beschränkt sich auf interne pdf-Dateien der amerikanischen Regierung, beim Kriterium „site: cia.gov“ wird dann beispielweise nur auf der Website vom Geheimdienst CIA gesucht.

Rechtliches Risiko beim Download oder Pech für den Website-Betreiber?

Auch wenn viele Dateien durch diese gezielte Suche quasi öffentlich einsehbar sind, wurden sie vom Ersteller vermutlich nicht ohne Grund als vertraulich gekennzeichnet. Es stellt sich also die Frage, ob ein Download oder sogar eine erneute Veröffentlichung rechtliche Konsequenzen haben könnten. Rechtsanwalt Niklas Plutte hält das einfache Herunterladen für unproblematisch. Hier sei es die Pflicht des Website-Betreibers, seine Daten entsprechend zu schützen. Anders könne es allerdings bei der Weiterverbreitung und Wiederveröffentlichung

Niklas Plutte

Rechtsanwalt Niklas Plutte

aussehen. Die Inhalte würden zwar nicht rechtswidrig beschafft, da sie ungeschützt öffentlich zugänglich sind. Aufgrund des fehlenden Schutzes schieden auch strafrechtliche Folgen wie das Ausspähen und Abfangen von Daten aus (§202 a StGB). „Vorsichtig sollte man aber mit der Veröffentlichung von sensiblen persönlichen Daten aus den Dokumenten sein, zum Beispiel im Rahmen eines Artikels über das Dokument.“

Im Zweifel empfiehlt Plutte, Punkte wie komplette Namen, Adressen etc. nur geschwärzt oder gekürzt wiederzugeben, um die Persönlichkeitsrechte der Betroffenen nicht zu verletzen. „Auch von einem Hochladen der Datei auf den eigenen Webspace rate ich ab, derartige Zweitveröffentlichungen wurden in der Vergangenheit schon wegen Verletzung von Urheberrechten verfolgt, auch von staatlicher Seite. Auf die Aussagen und den Inhalt der Dokumente kann man sich aber immer beziehen und ihn in eigenen Worten wiedergeben – erst recht, wenn ein begründetes öffentliches Interesse an den Informationen besteht“, so Plutte weiter. In diesem Rahmen dürften sogar Teile der Dokumente eins zu eins wiedergegeben werden, wenn man sich mit der jeweiligen Passage selbst geistig auseinandersetzt. Hier greife das urheberrechtliche Zitatrecht.

Vielen Dank an Felix Beilharz für den tollen Hinweis.

Jetzt diese Artikel lesen