-2 - Benachrichtigung der Betroffenen ■  Ein Musteranschreiben wurde ihnen am 12.07.2022 übermiiieii. Wir meiden Voiizug, sobald die Schreiben versandt sind.                                      ; Mit freundlichen Grüßen

Nickel, Susanne Von: Gesendet:                              Freitag, 15. Juli 2022 13:17 An:                                    'Datenschutz Berlin' Cc: Betreff:                               AW; Meldung einer Datenpanne - Ihre Meldung vom 11. Juli 2022 Anlagen:                               20220715 Vermerk.docx; 22020714 Zeile 8. und 9 anonymisiert.docx Signiert von:                                        ;r@labo.berlin.de Sehr geehrter Her         i, 52 Schreiben sind heute in den Postausgang zur Information der Betroffenen gegangen. In 17 Fällen haben wir keine Schreiben versandt, die Erklärung sende ich Ihnen ebenfalls. In manchen Fällen waren Eltern und Kinder bzw. mehrere Kinder betroffen, hier musste nur ein Schreiben für mehrere Personen gefertigt werden.                       . Das Musterschreiben sende ich Ihnen in einer aktualisierten Fassung zu. Wir haben eine Risikobewertung eingefügt. Aus meiner Sicht sind Ihre Anforderungen im Nachgang der Meldung der Datenpanne zunächst umgesetzt. Ab Montag bin ich im Urlaub. Während meiner Abwesenheit steht Ihnen ab Dienstag die zuständige Abteilungsleiterin, Frau Susanne Nickel, als Ihre Ansprechpartnerin zur Verfügung. Sie finden Ihre Daten in cc. Mit freundlichen Grüßen K. Dreher                                                                                   ' Landesamt für Bürger- und Ordnungsangelegenheiten (LABO) LABO Direktorin (Dir) Friedrichstr. 219                                                            . 10969 Berlin Telefon: +49 30 90269 1201 Fax:+49 30 9028 3404 E-Mail: k.dreher@labo.berlin.de Hinweis: Die E-Mail-Adresse ist nicht für den Empfang elektronisch signierter Dokumente geeignet. ...... Ursprüngliche Nachricht.......                          , i

Von:            ”     , Gesendet: Mittwoch, 13. Juli 2022 12:58 An: 'Datenschutz Berlin' <mailbox@datenschutz-berlin.de> Betreff; Meldung einer Datenpanne - Ihre Meldung vom 11. Juli 2022 Sehr geehrter Herr         ,                                . anbei unsere Antworten auf Ihre Fragen/Anforderungen vom Montag. Mit freundlichen Grüßen K. Dreher Landesamt für Bürger- und Ordnungsangelegenheiten (LABO) LABO Direktorin (Dir)                                                              , Friedrichstr. 219                                                                               . 10969 Berlin Telefon:+49 30 90269 1201 Fax: +49 30 9028 3404 E-Mail: k.dreher@labo.berlin.de Hinweis: Die E-Mail-Adresse ist nicht für den Empfang elektronisch signierter Dokumente geeignet. ...... Ursprüngliche Nachricht-----                  ' ■ Von: 1        ,        i Gesendet: Dienstag, 12. Juli 2022 12:53 An: 'Datenschutz Berlin' <mailbox@datenschutz-berlin.de>                     ■ Betreff: AW: Meldung einer Datenpanne - Ihre Meldung vom 11. Juli 2022           ■ Sehr geehrter Herr Bluhm, wir werden uns umgehend zu Ihren Fragen äußern. Anbei übersende ich Ihnen schon mal das Schreiben für die Betroffenen. Die Schreiben werden unverzüglich zugestellt. Eine Vollzugsmeldung . erfolgt im Anschluss, Leider hat die endgültige Recherche der Firma Accenture ergeben, dass 76 Personen betroffen sind. Dies für Sie zur Kenntnis.                                                                   . Mit freundlichen Grüßen                                                        ■ K. Dreher                                            • 2

Landesamt für Bürger- und Ordnungsangelegenheiten (LABO) LABO Direktorin (Dir) Friedrichstr. 219 10969 Berlin Telefon:+49 30 90269 1201 Fax: +49 30 9028 3404 E-Mail: k.dreher@labo.berlin.de Flinweis: Die E-Mail-Adresse ist nicht für den Empfang elektronisch signierter Dokumente geeignet. Ursprüngliche Nachricht Von: Datenschutz Berlin <mailbox@datenschutz-berlin.de> Gesendet: Montag, 11. Juli 2022 14:44 An:              (eil <K.Dreher@labo.berlin.de> Betreff: Meldung einer Datenpanne - Ihre Meldung vom 11. Juli 2022 Sehr geehrte Frau Dreher, zu dem von Ihnen gemeldeten Datenleck (unser GZ. 541.552) haben wir noch folgende Nachfragen bzw. Anmerkungen:                         .1 2 3 4 1.   Bitte gliedern Sie die betroffenen Datenarten im Detail auf. Einem Artikel auf Golem.de konnte entnommen werden, dass die offenbarten Datenarten umfangreicher als von Ihnen gemeldet waren. 2.   Warum waren die Altdaten noch bei dem Auftragnehmer gespeichert? 3.   War die Verarbeitung dieser personenbezogenen Daten zum Zeitpunkt ' des Vorfalls notwendig und der Dritte befugt dazu? 4.   Eine Benachrichtigung der Betroffenen ist notwendig. Sie wurde in der.Presseerklärung der Senatsverwaltung für Inneres, Digitalisierung und Sport vom 08.0Z.2022 angekündigt. Bitte führen Sie die Benachrichtigungen umgehend durch und senden Sie uns eine Vollzugsmeldung mit einem anonymisierten Beispiel einer Benachrichtigung.                                                       , Die Mindestanforderungen an eine Benachrichtigung aufgrund einer Datenpanne entnehmen Sie bitte Artikel 34 Abs. 2 DSGVO (in Verbindung mit Artikel 33 Absatz 3 Buchstaben b, c und d DSGVO). Hinweise: •   Die Annahme von geringen Risiken ist immer explizit nachzuweisen. 3

. Vermutungen sind nicht ausreichend. •   Bitte nehmen Sie bei der Kommunikation mit uns immer auf unser Geschäftszeichen (s.o.) Bezug. Um den Vorgang abschließen zu können, benötigen wir zu unseren Fragen möglichst genaue Angaben und die Vollzugsmeldung der Benachrichtigung mit einem anonymisierten Beispiel dafür. Für Ihre Antwort haben wir uns eine Frist von 14 Tagen notiert. Mit freundlichen Grüßen Berliner Beauftragte für Datenschutz und Informationsfreiheit Abteilung III (Informatik) Tel.:+49 30 13889-405 Fax: +49 30 215 50 50 Friedrichstraße 219 10969 Berlin Besuchereingang: Puttkamer Straße 16-18 Wir verarbeiten personenbezogene Daten zur Erfüllung unserer Aufgaben als Datenschutzaufsichtsbehörde auf Grundlage von § 40 Abs. 3 Bundesdatenschutzgesetz und § 13 Abs. 6 Berliner Datenschutzgesetz. Einzelheiten hierzu können Sie unserer Datenschutzerklärung entnehmen, die Sie unter der Adressehttps;//datenschutz-berlin.de/datenschutzerklaerung.html abrufen können. We process personal data in order to fulfil our duties and responsibilities as a data protection supervisory authority. This is done on the basis of § 40 para. 3 Bundesdatenschutzgesetz as well as § 13 para. 6 Berliner Datenschutzgesetz. Further Information can be obtained in our privacy declaration, which is accessible via https://www,datenschutz-berlin.de/datenschutzerklaerung.html 4

Landesamt für Bürger- und Ordnungsangelegenheiten - II AbtL 2 Telefon:+49 30 90269 2253 Telefax:+49 30 90269 2097 E-Mail: S.Nickel@lQbo.berlin.de . 15.07.2022 LABO DSB; z.K., bitte zurück an II AbtL 2 Vermerk: Sicherheitslücke im Ticketsystem von Accenture / hier: Informationsschreiben an die Betroffenen Die Auswertung ergab, dass in 76 Fällen personenbezogene Daten.betroffen waren. Grundsätzlich sollten alle von der Sicherheitslücke betroffene Personen informiert werden. Dies wurde auch umgesetzt, in den Fällen, in denen heute noch Minderjährige betroffen waren, wurden deren gesetzliche Vertreter informiert. Wohnen die gesetzlichen Vertreter unter unterschiedlichen Anschriften, wurde nur der gesetzliche Vertreter unter derselben Wohnanschrift des Minderjährigen informiert. In 17 Fällen erfolgten keine Anschreiben. In diesen Fällen waren die Betroffene entweder nicht eindeutig im Melderegister ermittelt werden, weil kein Datensatz vorhanden war oder weil im Melderegister mehrere Personen mit den Daten verzeichnet waren, oder die Person ist bereits verstorben. In dieser Konstellation kann von einem geringen Risiko ausgegangen werden, dass die Daten für missbräuchliche Zwecke eingesetzt werden könnten. Nickel

Landesamt für Bürger- und Ordnungsangelegenheiten Landesamt für Bürger- und Ordnungsangelegenheiten,                                                          Geschäflszeichen (bitte angeben) Friedrichstr. 219,10969 Berlin II AbtL 2 /GZ Frau Nickel Tel +49 30 90269 2253 Fax +49 30 90269 2097 S.Nickel@labo.berlin.de elektronische Zugangseröffnung gemäß § 3a Absatz 1 VwVfG Friedrichstr. 219            . 10969 Berlin 14.07.2022               ■ Benachrichtigung gemäß Art. 34 DS-GVO über die Verletzung des Schutzes personenbezogener Daten Sehr geehrte Frau , in den Jahren 2016 bis 2018 wurden durch Sie oder Angehörige Ihrer Familie Urkunden bei dem zuständigen Standesamt bestellt. Diese konnten aufgrund technischer Probleme nicht erstellt werden, weshalb der Hersteller der genutzten Software eingebunden werden musste. Zur Analyse mussten die Daten übermittelt werden.                                                              ■ Am 05.07.2022 meldete der Hersteller eine Datenpanne in dessen Ticketsystem, in deren Verlauf Ihre damals dorthin übermittelten Daten sowie Daten Ihres Kindes in dem Zeitraum von Anfang Mai bis zum 04.07.2022 öffentlich einsehbar waren. Bei den einsehbaren Daten handelt es sich um: Ihren Namen Ihren Vornamen Name Ihres Kindes Vorname Ihres Kindes Geburtsdatum Ihres Kindes Geburtsort Ihres.Kindes Verkehrsverbindungen                              Öffnungs- /Sprechzeiten         Zahlungen bitte unter Angabe des Geschäftszeichens bargeldlos an die landeshauptkasse Berlin Kreditinstitut                 IBAN                                 BIG U-Bahn Kochslr                                    Montag 8-15 Uhr                 Poslbank Berlin                DE37 100100100001021102              PBNKDEFF100 Bus 29                                            Dienstag, Donnerstag 11 -18 Uhr Barrierefreier Eingang:                           Mittwoch, Freitag 8-13 Uhr Puhkamerslr. 16-18

Die Einsehbarkeif ist durch die IT-Nachrichtenorganisation „Golem" bekannt geworden, ob und wie andere Organisation /Personen die Sicherheitslücke genutzt haben, ist nicht erkennbar. Das Ticketsystem wurde nach Bekanntwerden der Datenschutzlücke am 04.07.2022 abgeschaltet, das heißt, ein Zugriff durch Dritte auf das System ist seitdem ausgeschlossen. Betroffen war ausschließlich die vom Hersteller genutzte Software, die von diesem betrieben und verantwortet wird. Es waren keine Kopien von Originalurkunden einsehbar. Zu keinem Zeitpunkt bestand ein unautorisierter Zugriff auf die IT-Systeme des Landes Berlin. Es ist möglich unter Nutzung der oben genannten Daten weitere Informationen, zum Beispiel im Wege einer kostenpflichtigen einfachen Auskunft aus dem Melderegister, zu erhalten. Diese darf von jeder Privatperson, oder--institution bei der Meldebehörde beantragt werden und betrifft insbesondere die derzeitige Anschrift. Da die missbräuchliche Verwendung der Daten nicht mit Sicherheit ausgeschlossen werden kann, empfehle ich Ihnen, sich über präventive Maßnahmen sowie Handlungsempfehlungen zum Thema Identitätsmissbrauch, z.B. der Polizei oder der Verbraucherschutzzentralen, weiter zu informieren.                        . Meine     Behörde   hat  diese   Datenpanne     bereits  bei  der   Berliner    Beauftragten   für Informationssicherheit und Datenschutz als zuständige Datenschutzaufsichtsbehörde zur Anzeige gebracht. Ich bedauere diesen Vorfall und bitte hierfür um Entschuldigung. Der behördliche Datenschutzbeauftragte des LABO (Herr Daum -1266 oder datenschutz@labo.berlin.de) und ich stehen Ihnen selbstverständlich für Fragen zur Verfügung.                                ' Mit freundlichen Grüßen Im Auftrag ' Nickel Seite 2 von 2