Zürcher Sportamt geht nach Datenleck schlampig vor

Über Wochen sind persönliche Daten von mehreren zehntausend Zürchern offen für Dritte im Internet einsehbar gewesen. Betroffen waren die mehr als 45'000 Menschen, die in der Stadt ein Sportabonnement für die Bäder und Kunsteisbahnen besitzen.

Durch ein Datenleck konnte theoretisch jeder, der ein solches Abo besass, Namen, Adresse und Telefonnummer der anderen Abonnenten einsehen.

Auf die Sicherheitslücke aufmerksam geworden war laut «Tagesanzeiger» ein Softwareentwickler.

Als er im Juni sein Abo erneuern wollte, war ihm das Problem aufgefallen. Er meldete es beim zuständigen Sportamt der Stadt Zürich. Doch eine Reaktion blieb zunächst aus.

Tatsächlich waren die Daten auch einen Monat später noch immer frei abrufbar. Erst Mitte Juli wurde das Datenleck geschlossen. Nicht nur für den Softwareentwickler, der sich selbst als gutwilliger Hacker bezeichnet, dauerte das viel zu lang.

Auch die Datenschutzbeauftragte der Stadt Zürich wurde auf den Plan gerufen. Über die Schwachstelle informiert wurde sie nämlich nicht.

«Das Sportamt hat damit seine Meldepflicht verletzt», sagte die stellvertretende Datenschutzbeauftragte Patrizia Schwarz dem «Tagesanzeiger». Erst durch den Hacker habe sie von dem Problem erfahren.

Für Tobias Bernhard, der im Sportamt die Abteilung Badeanlagen leitet, bestand keine grosse Gefahr. Die Daten seien nicht sensibel gewesen. Datenschützerin Schwarz sieht das naturgemäss anders. «Alleine wegen der Datenmenge» hätte ihr Behörde zwingend informiert werden müssen.