D-Trust ist der von der Justizverwaltung beauftragten Anbieter für die Ausgabe von Signaturkarten. Die Betroffenen wurden informiert.

Am 16. Januar 2025 wurde bekannt, dass bei einem Datenschutzvorfall sensible Daten von Signaturkarteninhabern geleakt wurden. Zuvor hatten Kolleginnen und Kollegen für die Beantragung ihrer Signaturkarten höchstpersönliche Daten an D-Trust übermitteln müssen. Es bestand daher große Sorge, dass auch diese Daten abgesaugt worden sind und es stellte sich die Frage, warum unsere Daten an D-Trust übermittelt werden mussten.

Der Datenschutzvorfall ereignete sich, als ein „Sicherheitsforscher“ (so der Chaos Computer Club) Anfang Januar 2025 relativ einfach unbefugt Zugang zu den Systemen von D-Trust erlangen konnte. Dabei wurden personenbezogene Daten von Antragstellenden, wie Vor- und Nachnamen, E-Mail-Adressen, Geburtsdaten sowie teilweise Adressdaten und Nummern des jeweiligen Ausweisdokuments kompromittiert. Die genaue Anzahl der Betroffenen ist offiziell nicht bekannt. Es soll aber nur eines von mehreren D-Trust-Portalen betroffen sein, das vor allem für elektronische Heilberufeausweise und Praxisausweise genutzt wird.

Der Chaos Computer Club hat sich ebenfalls zu dem Vorfall geäußert und erläutert, dass D-„Trust“ hier offenkundig ein irreführender Name sei.

Der Datenschutzvorfall hat nach unserer Einschätzung deutlich gemacht, wie wichtig es für alle Nutzenden ist, die zu hinterlegenden Daten auf ein Minimum zu reduzieren. Es stellt sich deshalb die Frage, warum die dienstliche Antragstellung nicht zentral der Justizverwaltung übertragen wurde, die dann die Legitimation der/ des Antragstellenden versichert und außer den Vor- und Nachnamen keine weiteren Daten an D-Trust weiterleitet. Eine Prüfung des bisherigen Vorgehens, allen Nutzenden die Antragstellung selbst zu überlassen, ist dringend angezeigt!

Heiko Spleet