Datenschutz-Skandal: Parkfirmen stellen 25 Jahre Fahrtdaten ungeschützt ins Netz

Ein schwerwiegender Datenschutzvorfall bei privaten Parkraumüberwachungsfirmen in der Schweiz hat die sensiblen Daten von Zehntausenden Autofahrern ungeschützt ins Internet gestellt.

Ermittlungen im April 2026 deckten auf: Die Datenbanken der Zürcher Firma Funkwache und der in Kollbrunn ansässigen Unisecur waren ohne grundlegende Passwortschutzmaßnahmen zugänglich. Es handelte sich nicht um einen gezielten Hackerangriff, sondern um ein fundamentales technisches Versäumnis. Betroffen sind Aufzeichnungen, die bis ins Jahr 2001 zurückreichen. Der Vorfall unterstreicht einen wachsenden Trend systemischer Sicherheitslücken bei privaten Überwachungs- und Verwaltungsdienstleistern in ganz Europa.

Der Schweizer Parkdaten-Leak zeigt eindrucksvoll, wie gefährlich lückenhafte Sicherheitskonzepte bei der systematischen Datenverarbeitung für Unternehmen werden können. Mit diesem kostenlosen E-Book inklusive Muster-Vorlagen erstellen Sie eine rechtssichere Datenschutz-Folgenabschätzung und vermeiden Bußgelder von bis zu 2 % des Jahresumsatzes. Muster-DSFA und Checklisten jetzt kostenlos herunterladen

Systematische Nachlässigkeit bei privaten Parkraumfirmen

Die Offenlegung der Fahrerdaten geht auf die Nutzung der veralteten Software Wakanda zurück. Die Unternehmen betrieben die Systeme offenbar ohne die erforderlichen Authentifizierungsmaßnahmen. Die ungeschützten Datenbanken erlaubten jedem mit einem Webbrowser den Zugriff auf detaillierte Informationen zu Parkverstößen und Fahrzeugbewegungen. Sicherheitsexperten betonten: Die Schwachstelle war die direkte Folge unterlassener Branchenstandards für Altsysteme.

Die Führung von Unisecur versuchte zunächst, die Schwere des Vorfalls herunterzuspielen. Unabhängige Sicherheitsanalysten widersprachen jedoch und verwiesen auf die Tiefe und Vielfalt der offengelegten Informationen. Die Datensätze beschränkten sich nicht auf einfache Strafzettel. Sie umfassten umfassende Protokolle, mit denen sich Gewohnheiten und Aufenthaltsorte von Personen über längere Zeiträume nachverfolgen ließen. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat ein formelles Verfahren eingeleitet.

Ein landesweiter Daten-Leak über zwei Jahrzehnte

Die geografische und zeitliche Reichweite des Lecks ist enorm. Betroffen sind Autofahrer in allen 26 Schweizer Kantonen. Der Schwerpunkt der Datenbanken lag zwar in der Region Zürich, die Aufzeichnungen umfassen aber mehr als 20 Jahre Überwachungstätigkeit. Zu den kompromittierten Informationen gehören Namen, Wohnadressen, Telefonnummern und die genauen Standorte, an denen Fahrzeuge beobachtet wurden. Auch der Status von Gerichtsverfahren und Vorstrafen im Zusammenhang mit Parkstreitigkeiten waren einsehbar.

Besonders brisant aus Sicht von Datenschützern: Die Daten von Fahrzeughaltern mit Sperrvermerk waren ebenfalls betroffen. In der Schweiz lassen viele Bürger ihre Fahrzeugdaten aus Sicherheits- oder Privatsphäregründen für öffentliche Abfragen sperren. Der Leak umging diesen gesetzlichen Schutz und machte den erhöhten Privatsphäre-Status dieser Personen wirkungslos. Die Datenhaltung seit 2001 deutet zudem darauf hin, dass die Unternehmen keine angemessenen Löschfristen umgesetzt haben.

Lieferketten-Risiken und internationale Vorfälle

Der Schweizer Vorfall reiht sich ein in eine Serie wachsender Cyber-Bedrohungen gegen Verwaltungs- und Lieferkettenpartner. Mitte April 2026 wurde der deutsche Abrechnungsdienstleister Unimed Opfer eines Cyberangriffs. Dabei wurden Daten mehrerer Universitätskliniken kompromittiert – rund 30.000 Datensätze der Uniklinik Köln und über 72.000 Datensätze von Kliniken in Baden-Württemberg, darunter Freiburg, Heidelberg, Ulm und Tübingen. Die internen Krankenhaussysteme blieben sicher, die externe Abwicklung von Finanz- und Gesundheitsdaten erwies sich als kritischer Schwachpunkt.

Erst am 25. Mai 2026 wurden weitere massive Datenlecks bekannt. In Litauen wurden über 600.000 Einträge aus nationalen Grundbuch- und Firmenregistern gestohlen. Die Behörden vermuten die Beteiligung ausländischer Geheimdienste. Parallel dazu beobachten Sicherheitsfirmen einen angeblichen „Mega-Leak" bei OnlyFans, bei dem Hacker einen Datensatz von 340 Millionen Datensätzen zum Verkauf anbieten sollen – diese Zahlen sind jedoch unbestätigt.

Da die Risiken durch externe Dienstleister und unzureichende Verträge massiv zunehmen, stehen Geschäftsführer heute mehr denn je in der Haftungspflicht. Dieser Gratis-Ratgeber bietet Ihnen fertige Vertragsvorlagen und Checklisten, um die Anforderungen an die Auftragsverarbeitung ohne teuren Anwalt rechtssicher umzusetzen. Kostenloses E-Book zur Auftragsverarbeitung sichern

Auch die Einwanderungsplattform DocketWise war betroffen. Der im Oktober 2025 entdeckte und im April 2026 aktualisierte Vorfall betraf über 143.000 Personen, deren Sozialversicherungsnummern, Passdaten und medizinische Informationen in Partner-Repositorien gespeichert waren. Diese wiederkehrenden Sicherheitslücken bei Drittanbietern zeigen: Selbst Organisationen mit starken internen Abwehrmechanismen bleiben verwundbar.

Strengere Regulierung zeichnet sich ab

Die Untersuchung des EDÖB gegen Funkwache und Unisecur dürfte Präzedenzfallcharakter haben. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und andere europäische Aufsichtsbehörden beobachten die Entwicklung genau. Die Ära, in der Verwaltungsdaten mit geringeren Sicherheitsprioritäten behandelt wurden, neigt sich dem Ende zu.

Das BSI veröffentlichte am 7. April 2026 aktualisierte C5:2026-Kriterien für Cloud-Computing. Ab Juni 2027 gelten 168 verpflichtende Anforderungen für Anbieter. Die neuen Standards umfassen fortschrittliche Bereiche wie Post-Quanten-Kryptografie und vertrauliches Computing – ein deutliches Signal für einen rigoroseren Ansatz bei digitaler Souveränität und Infrastrukturschutz.

Die Belastung durch Compliance-Auflagen wie die DSGVO ist für die Privatwirtschaft enorm. Aktuelle Bitkom-Studien zeigen: 97 Prozent der Unternehmen empfinden den Aufwand zur Erfüllung der DSGVO-Standards als hoch, 44 Prozent sogar als sehr hoch. Zudem befürchten 69 Prozent der befragten Unternehmen, dass die aktuellen Datenschutzregeln das Training Künstlicher Intelligenz erschweren.

Ausblick: Sicherheitsinfrastruktur im Wandel

Der Trend-Micro-Cyber-Risk-Report vom 25. Mai 2026 weist dem globalen Risikoindex einen Wert von 43,4 zu – eine „mittlere" Bewertung, mit Hochrisikobereichen in Sektoren wie Luftfahrt und Verteidigung. Für kleine und mittlere Unternehmen sowie spezialisierte Dienstleister wie die Schweizer Parkraumfirmen empfiehlt der Bericht eine Abkehr von traditionellen Sicherheitsmodellen hin zu Zero-Trust-Architekturen und der verpflichtenden Einführung der Multi-Faktor-Authentifizierung (MFA).

Im Zentrum der laufenden Ermittlungen zum Schweizer Parkdaten-Leak dürfte die Durchsetzung strenger Datenminimierungsprinzipien stehen. Dass Aufzeichnungen aus den frühen 2000er Jahren noch zugänglich waren, macht deutlich: Die bloße Existenz von Daten ist eine Haftung. Für Autofahrer in der gesamten Schweiz ist der Vorfall eine ernüchternde Erinnerung: Persönliche Daten, die privaten Unternehmen anvertraut werden, können jahrzehntelang verwundbar bleiben – wenn sie nicht durch robuste Sicherheitsvorgaben und regelmäßige externe Audits geschützt sind.

de | wirtschaft | 69423659 |