Quelle: DSGVO-portal.de
Am 10. Februar 2025 wurde ein Cyberangriff auf die IT-Systeme des "Verbandes der Diözesen Deutschland" festgestellt.
Dass diese Meldung auch auf der Seite der "Unabhängigen Kommission für Anerkennungsleistungen" (UKA) veröffentlicht wurde, warf Fragen auf.
Jetzt bestätigt der Verband: An die IT-Systeme des Verbandes sind nicht nur die "Deutsche Bischofskonferenz" (DBK), sondern auch die Unabhängige Kommission für Anerkennungsleistungen" (UKA) angeschlossen.
Hierbei geht es also auch um höchst vertrauliche und sensible Daten von Betroffenen, die sich an die Unabhängigen Kommission für Anerkennung (UKA) wandten.
Am 05.03.2025 stelle ich daher sowohl an die DBK als auch an die UKA folgende Anfrage:
"Sehr geehrte Damen, sehr geehrte Herren,
am 10. Februar 2024 kam es zu einem Cyberangriff auf die DBK.
Als Betroffene sexuellen Missbrauchs durch Angehörige der katholischen Kirche im Bistum Trier bitte ich um Auskunft, ob derzeit ausgeschlossen werden kann, dass hochsensible Daten aus meiner Biografie, Tatgeschehen und Täternamen in das "Darknet" geraten sein könnten.
1. Können Sie garantieren, dass meine Daten, die zwischen mir und dem Bistum Trier ausgetauscht wurden, nicht von dem Cyberangriff betroffen sein können?
2. Können Sie garantieren, dass meine Daten, die zwischen mir und der UKA ausgetauscht wurden, nicht von dem Cyberangriff betroffen sein können?
3. Können Sie garantieren, dass meine Daten, die zwischen mir und der DBK betroffen sind, nicht von dem Cyberangriff betroffen sein können?
4. Können Sie garantieren, dass generell hochsensible persönliche Daten über Opfer und Täter durch den Cyberangriff nicht betroffen sind?
Als mögliche Betroffene des Cyberangriffes auf die DBK bitte ich um Auskunft.
Mit freundlichen Grüßen,
Claudia Adams"
_____________________________________
Heute, am 18.03.2025 erhielt ich folgende Antwort von dem "Verband Deutscher Diözesen":
Darin heißt es:
"Sehr geehrte Frau Adams,
am 5. März wandten Sie sich mit gleichlautenden Schreiben an das Sekretariat der Deutschen Bischofskonferenz und an die Geschäftsstelle der Unabhängigen Kommission für Anerkennungsleistungen (UKA). Da der Verband der Diözesen Deutschlands als Rechtsträger der Deutschen Bischofskonferenz auch datenschutzrechtlicher Verantwortlicher i.S.d. § 4 Nr. 9 des Gesetzes über den Kirchlichen Datenschutz (KDG) für die UKA ist, beantworte ich zuständigkeitshalber hiermit beide Ihrer Anfragen.
Am 10. Februar 2025 wurde ein Cyberangriff auf die IT-Systeme der Deutschen Bischofskonferenz bzw. des Verbandes der Diözesen Deutschlands festgestellt. Dabei wurden die IT-Systeme beeinträchtigt, was zu vorübergehenden Einschränkungen in der Erreichbarkeit und Arbeitsfähigkeit geführt hat. Derzeit ermitteln externe Spezialisten für IT-Forensik, wie es den Angreifern offenkundig gelungen ist, die mehrstufigen IT- Sicherheitssysteme zu unterwandern. Die Untersuchungen dauern weiter fort.
Bislang sind weder im Darknet noch auf sonstigen Medienkanälen vertrauliche personenbezogene Daten der Deutschen Bischofskonferenz bzw. der UKA aufgetaucht.
Sollten wir feststellen, dass personenbezogene Daten durch den IT-Sicherheitsvorfall betroffen sind, werden wir Betroffene entsprechend den Vorgaben des Datenschutzes unaufgefordert informieren. Zwar handelt es sich bei der UKA um eine unabhängige Kommission, jedoch verfügt sie nicht über eine eigene Rechtsträgerschaft. Organisatorisch ist sie an ihren Rechtsträger, den Verband der Diözesen Deutschlands ( ebenfalls Rechtsträger der Deutschen Bischofskonferenz), angebunden. Die seitens der UKA und ihrer Geschäftsstelle verarbeiteten Daten sind insofern dem Verband der Diözesen Deutschlands zugeordnet und befinden sich auf dessen IT-Systemen. Sie sind allerdings nur für die Mitarbeitenden der Geschäftsstelle der UKA zugänglich.
Sobald uns neue Erkenntnisse vorliegen, informieren wir zudem auf unserer Homepage unter www.dbk.de.
Mit freundlichen Grüßen ..."
Kurzum: Meine detaillierten Fragen konnte oder wollte man nicht beantworten.
Über was wir reden? - Über hochsensible Daten, wie zum Beispiel Krankendaten, Diagnosen, Befunde, Arztberichte, Lebensläufe, Biografien, familiäre Beziehungen, sensible und vertrauenswürdige persönliche und private Daten und Angaben, Namen von Betroffenen aber auch Täternamen. Daten zur Sexualität oder sexuellen Orientierungen, Urteile, Prozessakten, Kontodaten etc.
