Von der britischen Datenschutzbehörde veröffentlichte Dokumente zeigen, dass Mitarbeiter des Verteidigungsministeriums (MoD) vor dem afghanischen Datenleck vor der Weitergabe von Informationen gewarnt wurden, die versteckte Registerkarten enthielten.
Letzten Monat wurde bekannt, dass die persönlichen Daten von fast 19.000 Personen, die vor den Taliban geflohen waren und einen Antrag auf Umsiedlung nach Großbritannien gestellt hatten, kompromittiert wurden, als ein Beamter versehentlich eine Tabellenkalkulation per E-Mail verschickte, die eine versteckte Registerkarte mit sensiblen Informationen enthielt.
Die Dokumente des Information Commissioner’s Office (ICO) weisen auch auf interne Bedenken hinsichtlich des Fehlens einer Geldstrafe für das MoD als Reaktion auf die Verletzung hin.
Während das MoD beteuert, Maßnahmen zur Verbesserung der Datensicherheit ergriffen zu haben, erklärte ein Sprecher des ICO, dass die Regierung die Lehren aus dem Vorfall noch nicht vollständig gezogen habe.
Laut einem ICO-Memo zeigen die zum Zeitpunkt des Lecks geltenden Richtlinien, dass sich das „MoD der Risiken der Weitergabe von Daten bewusst war und ausdrücklich auf die Notwendigkeit verwies, versteckte Daten aus Datensätzen zu entfernen“.
Versteckte Registerkarten, eine gängige Funktion in Tabellenkalkulationsprogrammen, verbergen Informationen vor der unmittelbaren Ansicht, ermöglichen aber einen einfachen Zugriff, wenn die Dokumenteinstellungen geändert werden.
Die Regierung schätzt, dass das Leck von 2022, das ein Notfall-Umsiedlungsprogramm für Personen erforderte, die von der Verfolgung durch die Taliban bedroht sind, letztendlich etwa 850 Millionen Pfund kosten wird.
Das kompromittierte Dokument enthielt die Namen, Kontaktdaten und in einigen Fällen Familieninformationen von Tausenden, die glaubten, dass ihre Verbindung zu den britischen Streitkräften während des Afghanistan-Kriegs sie in Gefahr brachte.
Eine Super-Einstweilige Verfügung des High Court, die im September 2023 erlassen wurde, unterdrückte die Berichterstattung über den Vorfall fast zwei Jahre lang, bis die Anordnung letzten Monat aufgehoben wurde.
Kurz nachdem das MoD die Datenschutzverletzung im Jahr 2023 entdeckt hatte, benachrichtigte es das ICO. Die beiden Einrichtungen führten in den folgenden zwei Jahren mehrere vertrauliche Treffen durch, wobei neu veröffentlichte Dokumente Aufschluss über die Diskussionen geben.
Regierungsbeamte bezeichneten das Leck Berichten zufolge als potenziell „die teuerste jemals versendete E-Mail“. Interne E-Mails enthüllen auch Bedenken von ICO-Mitarbeitern bezüglich der Entscheidung, das MoD nicht unabhängig zu untersuchen oder eine Geldstrafe zu verhängen.
Datenpannen durch öffentliche Stellen müssen dem ICO per Gesetz gemeldet werden, das dann nach eigenem Ermessen die verantwortliche Organisation untersuchen und gegebenenfalls bestrafen kann.
ICO-Mitarbeiter berieten sich privat über das potenzielle „Reputationsrisiko“ für die Regulierungsbehörde, das sich aus ihrer Entscheidung ergibt, das MoD nicht zu sanktionieren, insbesondere angesichts einer Geldstrafe von 350.000 Pfund, die für eine wesentlich kleinere afghanische Datenpanne im Jahr 2023 verhängt wurde.
In einer E-Mail, die am Nachmittag vor der Veröffentlichung des Lecks kursierte, räumte ein ICO-Mitarbeiter ein, dass die Begründung für die Nicht-Bestrafung der Regierung eine „unvollkommene Antwort“ bleibe.
Das ICO veröffentlichte die Dokumente Anfang dieses Monats im Anschluss an einen Antrag auf Informationsfreiheit, der nicht von der BBC gestellt wurde.
Während schriftliche Notizen während der vertraulichen Treffen verboten waren, wurde ein ICO-Memo mit einer detaillierten Chronologie der Ereignisse erstellt, nachdem der Vorfall letzten Monat öffentlich geworden war.
Das Memo besagt, dass das MoD nach Entdeckung der Verletzung „intensive Maßnahmen ergriffen hat, um Daten aus allen identifizierten Quellen wiederherzustellen und zu löschen“ und „den Kontrollverlust zu begrenzen“.
In einem privaten E-Mail-Austausch hinterfragte ein ICO-Mitarbeiter die Verzögerung bei der Entscheidung, ob eine Untersuchung eingeleitet werden soll, und deutete an, dass „wenn ich ein Journalist wäre, würde ich fragen, warum es zwei Jahre gedauert hat, um festzustellen, ob Maßnahmen ergriffen werden sollen oder nicht“.
Ein anderer Mitarbeiter räumte die „bedeutende Rolle“ des ICO ein, räumte aber ein, dass „die Realität ist, dass wir die Informationen nur in situ überprüfen und uns darauf verlassen konnten, dass das MoD unter unserer Anleitung Beweise sammelt“.
Die Dokumente zeigen, dass sich das ICO letztendlich gegen eine Sanktionierung des MoD entschied, um „zusätzliche Kosten für den Steuerzahler zu vermeiden“.
Letzte Woche berichtete BBC News über 49 separate Datenpannen innerhalb der letzten vier Jahre bei der Einheit, die für die Bearbeitung von Umsiedlungsanträgen von Afghanen zuständig ist, die in Großbritannien Zuflucht suchen.
Ein Sprecher des ICO erklärte, dass man sich „eindeutig darauf konzentriert hat, sicherzustellen, dass die Ursachen für die Verstöße identifiziert, behoben und Lehren daraus gezogen wurden“.
Der Sprecher fügte hinzu, dass die Regierung „noch nicht genug getan hat, um das erforderliche Tempo der Veränderungen zu erreichen“, und dass man „Versicherungen angefordert hat, dass die notwendigen Verbesserungen vorgenommen und die Standards erhöht werden“.
Ein Sprecher des MoD bekräftigte, dass die Regierung daran gearbeitet habe, „die Datensicherheit im gesamten Ministerium durch bessere Software, Schulungen und Datenexperten zu verbessern“.
Der Sprecher schloss: „Wir haben während einer internen Untersuchung Hand in Hand mit dem ICO zusammengearbeitet und alle Empfehlungen vollständig akzeptiert, um sicherzustellen, dass sich ein ähnlicher Vorfall nicht wiederholt.“
Diese Entwicklung fällt mit der Aufforderung des britischen Informationsbeauftragten an die Regierung zusammen, die Anstrengungen zur Verhinderung von Datenpannen wie dem afghanischen Leck zu verstärken.
Im Juli, nach der öffentlichen Bekanntgabe des afghanischen Verstoßes, richtete Kommissar John Edwards ein Schreiben an den Kanzler des Herzogtums Lancaster, Pat McFadden, in dem er erklärte, dass die Regierung „weiter und schneller gehen muss, um sicherzustellen, dass Whitehall und der breitere öffentliche Sektor ihre Praktiken in Ordnung bringen“.
Der Kommissar empfahl den Ministern, „dringend“ die Empfehlungen einer Informationssicherheitsüberprüfung vollständig umzusetzen, die als Reaktion auf eine Reihe von Datenpannen im öffentlichen Sektor durchgeführt wurde.
Die Überprüfung, die 2023 von der vorherigen Regierung in Auftrag gegeben wurde, wurde am Donnerstag nach dem Druck von Dame Chi Onwurah, Vorsitzende des Ausschusses für Wissenschaft, Innovation und Technologie, erstmals öffentlich veröffentlicht.
Dame Chi erklärte, dass die Regierung „noch Fragen zu beantworten hat“ in Bezug auf die Überprüfung und die Tatsache, dass nur 12 der 14 Empfehlungen umgesetzt wurden.
In einem Brief an Dame Chi bekräftigte McFadden, dass „gute Fortschritte“ bei der Verbesserung der Datenstandards erzielt wurden, „aber wir müssen uns vor Selbstzufriedenheit hüten“.
„Dies ist ein Bereich, auf den wir uns konsequent konzentrieren müssen, um sicherzustellen, dass sich die Standards weiter verbessern“, erklärte McFadden.
Melden Sie sich für unseren Politics Essential-Newsletter an, um über Westminster und darüber hinaus informiert zu bleiben.
Spielpläne, Ergebnisse und Scorecards der Twenty20-Tri-Serie, die von den Vereinigten Arabischen Emiraten ausgerichtet wird und an der auch Afghanistan und Pakistan teilnehmen.
Anwohner sagen, dass ein Strand mit historischem und lokalem Wert als Müllkippe genutzt wird.
Der Shropshire Council sagt, dass der Abriss und die Neuentwicklung auf der RAF Cosford innerhalb von fünf Jahren abgeschlossen sein müssen.
Mindestens 17 Kinder wurden getötet, nachdem der Bus auf dem Weg nach Kabul verunglückte und in Brand geriet.
Afganische Flüchtlinge in den USA sagen, sie befürchten, was passieren würde, wenn sie in ihr Land zurückkehren, das jetzt von den Taliban kontrolliert wird.