In Dänemark sind die persönlichen Identifikationsnummern (CPR-Nummern) von 1,26 Millionen Bürgern automatisch an Google und Adobe übertragen worden. Den Medienberichten zufolge lag dies an einem Fehler in der Software des Bürgerservices "TastSelv Borger": Jedes Mal, wenn ein Nutzer seine Daten in dem System änderte, wurde die CPR-Nummer in die URL übertragen. Diese wiederum haben die integrierten Analysedienste von Google und Adobe ausgelesen. Die Nummern sind bereits seit 2015 übertragen worden. Dänemark prüft, ob gegen den Dienstleister hinter der Software, DXC Technology, ein Verfahren eingeleitet werden kann.

Die zuständige dänische Behörde Udviklings- og Forenklingsstyrels sagt in einer Mitteilung, es gäbe kein Risiko, dass die Nummern missbraucht worden seien. Alle weiteren Daten seien verschlüsselt gesendet worden, es wurden keine personenbezogenen Informationen wie Gehaltsabrechnungen oder andere Steuerangelegenheiten verknüpft. Der Fehler sei behoben worden. Trotzdem prüfen die Staatsanwaltschaft und die Handelskammer eine Klage. DXC muss zudem der Datenschutzbehörde einen Bericht zukommen lassen.

Sicherheitslücke fällt nicht auf

Hinzukommt, dass gegebenenfalls auch weitere Nutzer eines öffentlichen Computers die Nummer haben einsehen können, wenn sie den Browser-Verlauf angeschaut haben. Warum eine solche Sicherheitslücke dabei nicht vorher aufgefallen ist, bleibt unklar. In Dänemark ist die CPR-Nummer für zahlreiche Dienstleistungen nötig – etwa beim Finanzamt, um Verträge abzuschließen und Konten zu eröffnen.

DXC ist ein US-amerikanisches Unternehmen, das aus einer Fusion von Hewlett Packard Enterprise und Computer Sciences Corporation entstanden ist. Der IT- und Beratungskonzern ist auf Ende-zu-Ende-Verschlüsselungen spezialisiert.

Dänemark ist derzeit dabei, auch einen anderen Skandal aufzuräumen. Im Juli war bekannt geworden, dass es massive Probleme mit der Vorratsdatenspeicherung gab. Es ist möglich, dass wegen Fehlern in den Systemen Verdächtige fälschlicherweise verurteilt wurden. Obwohl der Europäische Gerichtshof eine anlasslose Vorratsdatenspeicherung widerholt für unvereinbar mit den Grundrechten erklärte, setzte das Land darauf. Durch die aufgefallenen Probleme dürfen Strafverfolger die Vorratsdaten vorerst nicht mehr nutzen. (emw)