Die Daten von 45'000 Zürcherinnen und Zürchern waren im Internet zugänglich. Namen, Mailadressen, Wohnadressen, Telefonnummer und Bild, alles ersichtlich. Das war eine herzliche Einladung an Kriminelle, um Identitäten zu stehlen, Handynummern im Darknet zu verkaufen oder per SMS gefährliche Links zu versenden.
Nur gut, hatte der User, der im Sportabo- und Onlineshop der Stadt Zürich auf das Datenleck stiess, nichts dergleichen im Sinn. Sondern er meldete sich am 13. Juni 2023 per Kontaktformular beim Schul- und Sportdepartement des früheren TV-Moderators Filippo Leutenegger (70, FDP). Er machte auf das Leck auf der Webseite aufmerksam, auf der Jung und Alt ihr Abo für die Schwimmbäder kaufen und verwalten können.
«Schöner Badisommer»
Neun Tage später bedankte sich die Stadt für den Hinweis und wünschte dem User «einen schönen Badisommer» – weiter geschah nichts. Es verging ein Monat, ohne dass das Leck gestopft wurde. Daraufhin meldete sich der User bei der Datenschutzstelle der Stadt Zürich. Diese machte dem Sportamt umgehend Beine. Das Leck wurde versiegelt.
Wie aus der Kommunikation mit der Stadtzürcher Datenschutzstelle hervorgeht, war es möglich, einfach mit der Chipkartennummer an all die Daten zu gelangen. Dass man dazu eingeloggt sein musste, wie das Sportamt gegenüber Blick behauptet, bestreitet der User. «Offenbar sind die IT-Kenntnisse beim Sportamt eingeschränkt. Wer weiss, was im Hintergrund technisch abläuft, konnte bis vor kurzem ohne Login auf all die Daten zugreifen», betont der User.
«Unverzüglich» dauert einen Monat
Beim Sportamt spielt man das Datenleck herunter. Man habe «unverzüglich eine Lösung erarbeitet». Tobias Bernhard, Abteilungsleiter Badeanlagen, räumt aber ein, dass das Leck erst nach einem Monat gestopft wurde. Auf Nachfrage heisst es, man habe die Lösung zum Stopfen des Datenlecks zwischen dem 10. und dem 14. Juli fertiggestellt. Am 18. Juli sei ihre Aufschaltung geplant gewesen. Nach Intervention der Datenschutzstelle wurde sie jedoch schon am 14. Juli aufgeschaltet. Warum es so lange ging, bis die Lösung da war, konnte man in Zürich bis Redaktionsschluss nicht klären.
Bernhard ist es aber wichtig zu betonen: «Ohne kriminelle Absichten ist die Wahrscheinlichkeit, eine fremde, aber gültige Nummer einzugeben, sehr gering.» Nur: Das Problem ist nicht Tante Anni, die sich mal vertippt und dann halt das Föteli von Herrn Müller aus Wollishofen ZH sieht. Sondern die Bürger müssen sicher sein können, dass ihre Stadt sorgfältig mit Daten umgeht und diese genau vor kriminellen Absichten schützt.
Politisches Nachspiel
Den Datenschutz auf die Fahne geschrieben hat sich die junge GLP. Konfrontiert mit dem Fall sagt Tobias Vögeli (27), Präsident der Jungpartei: «Für mich ist einiges noch nicht geklärt. Warum zum Beispiel hat Zürich das Leck nicht aktiv kommuniziert, um potenziell Betroffene vor Smishing, also vor Phishing-SMS, zu schützen? Unerklärlich ist es mir auch, dass das Leck nicht unverzüglich geschlossen wurde. Die Affäre muss ein politisches Nachspiel haben. Die GLP-Familie wird sich im Gemeinderat dafür einsetzen, dass der Datenschutz auch in Zürich ernst genommen wird.»