Offene Parkplatz-Backends machen Kennzeichen und Strafdaten in der Schweiz zum Datenschutzfall

von
Kurz erklärt: Wenn private Parkplatzkontrolle jahrelang Kennzeichen, Adressen und Verfahrensstände in offen erreichbaren Backends verarbeitet, ist das kein Randproblem der IT. Dann kippen Datensicherheit, Meldepflichten, Löschlogik und das Vertrauen in die gesamte Verarbeitung gleichzeitig.

Der erste belastbare Datenschutzfall dieses 27. Mai kommt aus der Schweiz. Watson berichtet heute über ein Datenleck bei den Parkplatzüberwachern Funkwache und Unisecur. Nach der Recherche des Mediums waren über frei erreichbare Internet-Adressen umfangreiche Datenbanken zugänglich, die beide Firmen zur Bearbeitung von Parkverstößen genutzt haben sollen. Der Fall ist für DSGVOScan klar berichtenswert, weil hier nicht nur Namen oder Kennzeichen betroffen waren, sondern laut watson auch Wohnadressen, Aufenthaltsorte, E-Mail-Adressen, Detailangaben zu Fahrzeugen sowie Angaben zum Status von Strafverfahren.

Der Datenschutzkern ist damit sofort greifbar. Es geht nicht um eine vage Cyberwarnung oder um eine theoretische Schwachstelle, sondern um produktiv genutzte Datensammlungen mit schützenswerten und teils besonders schützenswerten Informationen. Watson schreibt, dass Einträge aus allen 26 Schweizer Kantonen sichtbar gewesen seien und die Datenbanken teils bis weit zurückreichende Datensätze enthielten. Brisant wird das zusätzlich, weil der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte laut watson bestätigt hat, dass Angaben zu Strafverfolgung besonders schützenswerte Personendaten sein können. Ebenso wichtig ist ein zweiter Punkt aus derselben Recherche: Dem EDÖB lag demnach keine Meldung der betroffenen Firmen zum Datenleck vor.

Für Unternehmen ist das mehr als eine kuriose Schweizer Spezialgeschichte. Funkwache und Unisecur arbeiten in einem Bereich, in dem Datenverarbeitung schnell als bloße Betriebsnotwendigkeit behandelt wird: Kennzeichen erfassen, Halterdaten zuordnen, Verstöße dokumentieren, Fälle nachverfolgen. Genau dort zeigt sich aber, wie schnell operative Bequemlichkeit in ein Datenschutzproblem kippt, wenn ein Admin-Werkzeug offen im Netz steht und über Jahre keine harte Zugriffskontrolle erzwingt.

Der eigentliche Schaden beginnt lange vor dem Missbrauchsnachweis

Watson stützt den Fall nicht nur auf eine anonyme Quelle, sondern auch auf schriftliche Stellungnahmen der Beteiligten und auf eine Einordnung des EDÖB. Laut Bericht erklärte Unisecur-Geschäftsführerin Claudia Byell, dass im März 2026 ein neues Tool hochgeladen worden sei und dieses Lücken gehabt habe. Funkwache-Chef Meinhard Byell teilte dem Medium demnach schriftlich mit, das Sicherheitsleck sei längst geschlossen und ein Missbrauch oder Geschädigte seien nicht festgestellt worden. Genau diese Verteidigung ist datenschutzrechtlich jedoch nur begrenzt tragfähig.

Der EDÖB hat laut watson ausdrücklich darauf hingewiesen, dass für die Risikobewertung nicht entscheidend ist, ob die Lücke tatsächlich ausgenutzt wurde, sondern ob eine unbefugte Kenntnisnahme ausgeschlossen werden kann. Das ist die Lehre, die viele Organisationen noch immer unterschätzen. Datenschutzverletzungen beginnen nicht erst dann, wenn ein Angreifer nachweisbar Daten verkauft oder veröffentlicht. Schon die ungeschützte Erreichbarkeit eines produktiven Systems kann reichen, um Sicherheits- und Meldepflichten auszulösen, gerade wenn die Inhalte Rückschlüsse auf Verhalten, Aufenthaltsorte oder laufende Verfahren zulassen.

Zusätzlich macht der Fall die technische Altlast sichtbar, die in vielen gewachsenen Umgebungen verdrängt wird. Watson berichtet, beide Firmen hätten ein auf der Entwicklungsplattform Wakanda basierendes Werkzeug genutzt, dessen Support seit Jahren eingestellt sei. Selbst wenn nicht jeder alte Stack automatisch rechtswidrig ist, steigt mit solchen Alt-Systemen das Risiko, dass Berechtigungen, Logging, Updates und harte Segmentierung nicht mehr zum Sensibilitätsniveau der verarbeiteten Daten passen. Wer ein veraltetes Admin-Interface mit realen Personendaten verbindet, baut sich im Zweifel eine offene Flanke mitten im operativen Kernprozess.

Private Hilfssysteme werden schnell zum Volltreffer für Aufsicht und Haftung

Bemerkenswert ist auch, wie alltäglich der betroffene Verarbeitungskontext wirkt. Es geht nicht um eine weltbekannte Plattform, sondern um Hilfssysteme privater Parkplatzüberwachung. Genau deshalb ist der Fall so nützlich. Viele Unternehmen und Dienstleister betreiben ähnliche Nebensysteme: Fallbearbeitungen, Prüfoberflächen, historische Datenbanken, Exporttabellen oder interne Webtools, die offiziell nie als Hochrisiko-Anwendung wahrgenommen werden. Im Alltag sind sie praktisch. In der Datenschutzprüfung werden sie plötzlich zum Hauptproblem, weil dort produktive Personendaten, lange Speicherfristen und schwache Zugriffsschutzlogik aufeinandertreffen.

Watson beschreibt Tabellen mit Adresszuordnungen, Bußdaten und Verfahrensständen in einem Ausmaß von weit über hunderttausend Einträgen. Wenn solche Bestände offen erreichbar sind, stellen sich sofort unangenehme Folgefragen: Wurden die Daten überhaupt so lange benötigt? Wer durfte auf sie zugreifen? Gab es Protokolle über Zugriffe? Wurde das Risiko rechtzeitig erkannt? Wurde die Aufsicht informiert? Und konnte das Unternehmen belegen, dass gesperrte oder besonders sensible Daten im System besonders geschützt waren? Wenn auf diese Fragen nur improvisierte Antworten kommen, wird aus einer IT-Panne sehr schnell ein Governance-Fall.

Für deutsche und europäische Unternehmen ist die praktische Lehre deshalb klar:

  • Produktive Neben- und Admin-Systeme müssen wie Primärsysteme inventarisiert, abgesichert und regelmäßig geprüft werden.
  • Veraltete Plattformen ohne belastbaren Support oder klare Härtung gehören nicht an Prozesse mit sensiblen Personendaten.
  • Offene Erreichbarkeit ohne robuste Authentifizierung ist bereits selbst ein Datenschutzvorfall und nicht erst dann ein Problem, wenn Missbrauch bewiesen ist.
  • Meldewege zur Aufsicht und belastbare Zugriffsprotokolle müssen auch für operative Hilfssysteme vorbereitet sein.

Der Nachrichtenwert dieses 27. Mai liegt damit nicht nur in der Größe des Lecks, sondern in seiner Struktur. Der Fall zeigt, wie rasch ein scheinbar technisches Backoffice-Werkzeug zur Datenschutzfrage mit Aufsichts-, Nachweis- und Vertrauensdimension wird. Wer Kennzeichen, Halterdaten und verfahrensnahe Informationen verarbeitet, kann sich nicht auf die Hoffnung verlassen, dass ein altes System schon niemand finden werde.

Bildquelle: Pexels

Quellen: watson, „Funkwache und Unisecur: Datenleck bei Schweizer Parkplatz-Überwachern“; EDÖB; Funkwache AG, Kontakte; Unisecur.

Eintrag teilen
E-Mail Xing LinkedIn

Abmahnschutz automatisiert

Ist Ihre Website
DSGVO-sicher?

Jetzt registrieren

Weitere News rund um DSGVO und Datenschutz

Alle Blog-Einträge ansehen