Was beim Datenleck im Landratsamt Enzkreis passiert sein soll
Laut Pressemitteilung und Betroffenenschreiben des Landratsamts Enzkreis waren personenbezogene Daten aus Online-Führerscheinanträgen über eine nicht verlinkte Internetadresse aufrufbar. Über den Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI) wurde die Behörde am 8. Oktober 2025 auf den Vorfall hingewiesen; der betroffene Server wurde danach abgeschaltet und eine Ursachenanalyse eingeleitet.
Wichtige Fakten aus dem Betroffenenschreiben
- Zeitraum der potenziellen Zugänglichkeit: 22. Januar 2025 bis 8. Oktober 2025.
- Betroffen sind Daten aus Fahrerlaubnisanträgen, die vom 1. Januar 2024 bis 8. Oktober 2025 über den Online-Dienst übermittelt wurden.
- Betroffene Datenkategorien laut Behörde (Auszug):
- Vor- und Nachname, Geburtsname, Geschlecht
- Anschrift, E-Mail-Adresse, Telefonnummer
- Geburtsdatum, Geburtsort, Staatsangehörigkeit
- Angaben zu Fahrschule, Prüfdatum/-ort und Prüfungssprache
- Angaben zu vorhandenen Fahrerlaubnissen (Klassen, Erteilungsdatum, ausstellende Behörde), sofern übermittelt
- Kontextangaben, z. B. Informationen über gerichtliche Einziehungen eines Führerscheins oder eine Versicherung an Eides statt, sofern übermittelt
- Passbild und Unterschrift waren als Anlagen ebenfalls betroffen; eine nachträgliche Zuordnung von Passbild/Unterschrift zu Name/Anschrift in den Anträgen sei allerdings nicht möglich.
- Nicht betroffen laut Behörde: weitere Anlagen wie Gesundheitszeugnisse, Nachweise über lebensrettende Sofortmaßnahmen und Ausweiskopien sowie Kontodaten.
- Zugriffsweg: laut Landratsamt kein „Durchklicken“ über Navigationselemente, sondern nur durch gezielte Manipulation beziehungsweise Eingabe einer Internetadresse.
Das Landratsamt Enzkreis nennt insbesondere folgende Risiken und Hinweise:
- Möglichkeit des Identitätsdiebstahls, wenn unbefugte Dritte Einsicht genommen haben; erhöhtes Risiko, falls Daten weiterverbreitet wurden.
- Möglichkeit einer Rufschädigung, wenn im Antrag Angaben zu einer gerichtlichen Einziehung eines Führerscheins enthalten waren.
- Erhöhte Phishing-Gefahr: Betroffene sollen Post- und E-Mails besonders kritisch prüfen; die Behörde frage nach eigener Darstellung nie per E-Mail nach sensiblen Daten wie Zugangsdaten oder Kontonummern.
- Abschaltung des betroffenen Servers und Deaktivierung der Netzwerk-Konnektivität nach Kenntnis am 8. Oktober 2025.
- Einberufung eines IT-Notfall-Teams, Erstellung eines Serverklons und Ursachenanalyse.
- Einbindung externer Stellen (u. a. Cybersicherheitsagentur Baden-Württemberg, Zentrale Ansprechstelle Cybercrime) sowie Beratung durch den LfDI.
Das Schreiben des Landratsamts ist eine Betroffeneninformation nach Art. 34 DSGVO und deutet auf ein aus Sicht der Behörde potenziell hohes Risiko hin. Für Betroffene kommt daneben ein Anspruch auf immateriellen Schadensersatz nach Art. 82 DSGVO in Betracht.
Die europäische Rechtsprechung (EuGH) hat die Leitplanken für Art. 82 DSGVO konkretisiert:
- Ein DSGVO-Verstoß allein reicht nicht automatisch; zusätzlich muss ein Schaden vorliegen und kausal auf dem Verstoß beruhen.
- Die Befürchtung eines möglichen Missbrauchs personenbezogener Daten nach einem Datenschutzvorfall kann einen ersatzfähigen immateriellen Schaden darstellen – entscheidend sind die Umstände des Einzelfalls.
- Die deutsche höchstrichterliche Rechtsprechung greift diese Linie auf: Der Bundesgerichtshof hat im Facebook-Scraping-Komplex die Bedeutung des Kontrollverlusts über personenbezogene Daten für Art. 82 DSGVO herausgearbeitet und Maßstäbe für die Praxis geschärft.
- Bei der Bemessung kommt es nach der Rechtsprechung maßgeblich auf die konkrete Fallkonstellation an (Art und Umfang der Daten, Reichweite, Dauer, Folgen und Risiken).
Zugleich zeigen Entscheidungen deutscher Gerichte, dass Betroffene die konkrete Beeinträchtigung nachvollziehbar darlegen müssen; pauschale Sorgen ohne einzelfallbezogene Grundlage reichen regelmäßig nicht aus.
Dr. Stoll & Sauer hat in vergleichbaren Datenschutzkomplexen bereits Erfolge erzielt und führt Verfahren bundesweit:
- Landgericht München: Nach Angaben der Kanzlei wurden 3.000 Euro Schadensersatz für einen Betroffenen des Facebook-Datenlecks erstritten (Az. 47 O 461/24).
- Sammelklage Facebook-Datenleck: Der vzbv führt eine Verbandsklage gegen Meta; Betroffene können Ansprüche gebündelt verfolgen. Dr. Stoll & Sauer ist über die Litigation-Struktur an der Durchsetzung von Ansprüchen in diesem Komplex beteiligt.
- Eine kostenlose Ersteinschätzung bietet die Kanzlei im Datenleck-Online-Check.
Aus Sicht von Dr. Stoll & Sauer ist der Vorfall rechtlich ernst zu nehmen, weil nach der behördlichen Risikodarstellung insbesondere Identitätsmissbrauch und Phishing begünstigt werden können. Ob und in welcher Höhe ein immaterieller Schadensersatz nach Art. 82 DSGVO durchsetzbar ist, hängt vom Einzelfall ab – insbesondere davon,
- welche konkreten Daten im Online-Antrag enthalten waren (z. B. Kontaktdaten, Fahrerlaubnis-Historie, mögliche Einziehungsangaben),
- ob sich konkrete Missbrauchsrisiken oder belastende Folgen ergeben,
- wie die Zugänglichkeit technisch ausgestaltet war und welche Schutzmaßnahmen fehlten.