Datenleck bei Funkwache und Unisecur: Was Parkplatz-Überwachung über IT-Sicherheit lehrt

2026
24.06

Zwei Schweizer Firmen für private Parkplatz-Überwachung, Funkwache AG und Unisecur GmbH, haben umfangreiche Datenbanken mit personenbezogenen Informationen ungeschützt im Internet stehen lassen. Der Fall zeigt exemplarisch, wie gravierend die Folgen mangelnder IT-Sicherheits- und Datenschutzpraxis in scheinbar «banalen» Geschäftsbereichen sein können – und welche Lehren Betreiber vergleichbarer Systeme daraus ziehen sollten.

Hintergrund: Geschäftsmodell private Parkplatz-Überwachung

Private Parkplatz-Überwacher wie Funkwache und Unisecur arbeiten im Auftrag von Grundeigentümern, Verwaltungen oder Unternehmen. Sie kontrollieren, ob Fahrzeuge berechtigt auf Privatparkplätzen stehen, dokumentieren Verstösse und setzen Forderungen durch. In der Schweiz kommen dabei typischerweise drei Instrumente zum Einsatz: Umtriebsentschädigungen, Strafanzeigen sowie in Ausnahmefällen das Abschleppen von Fahrzeugen.

Damit dieses Geschäftsmodell funktioniert, sammeln die Firmen eine Vielzahl von Daten: Kennzeichen, Ort und Zeit von Parkverstössen, Fotos der Situation, Korrespondenz mit Haltern, Zahlungsinformationen und teilweise Angaben zu Strafverfahren. Diese Informationen sind rechtlich heikel, weil sie Rückschlüsse auf das Verhalten einzelner Personen zulassen und teilweise in den Bereich von Straf- und Betreibungsdaten fallen.

Das Datenleck: Admin-Tool offen im Netz

Im nun bekannt gewordenen Fall waren bei beiden Firmen Datenbank-Werkzeuge, die nur für Administratoren bestimmt sind, über normale Internet-Adressen ohne wirksame Zugangskontrolle erreichbar. Damit konnten Unbefugte auf umfangreiche Datensätze zugreifen, darunter sensible Informationen zu zehntausenden Autofahrerinnen und Autofahrern in der ganzen Schweiz.

Besonders brisant ist, dass offenbar nicht nur einfache Kontrolldaten, sondern auch Angaben zu Strafverfahren und weiteren Verfahrensschritten einsehbar waren. Ob und in welchem Umfang Dritte diese Daten tatsächlich abgerufen oder kopiert haben, ist unklar – für die Qualifikation als Datenleck spielt dies jedoch keine Rolle. Entscheidend ist, dass die Daten über einen gewissen Zeitraum ungeschützt im Internet verfügbar waren.

Datenschutzrechtliche Einordnung

Unter dem Schweizer Datenschutzrecht gelten Informationen über identifizierte oder identifizierbare Personen als Personendaten. Daten zu Strafverfahren oder behördlichen Sanktionen werden als besonders schützenswert eingestuft. Wer solche Daten bearbeitet, muss angemessene technische und organisatorische Massnahmen treffen, um sie vor unbefugtem Zugriff zu schützen.

Im vorliegenden Fall stellen sich insbesondere folgende Fragen:

Waren die getroffenen Sicherheitsmassnahmen dem Risiko angemessen (Stand der Technik, Zugriffskontrollen, Verschlüsselung)?
Wurden Datenschutz-Folgenabschätzungen durchgeführt, insbesondere im Zusammenhang mit Videoüberwachung und der Bearbeitung von Straf- und Verfahrensdaten?
Wie wurden betroffene Personen informiert, sofern eine Meldepflicht gegenüber dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) und den Betroffenen bestand?
Wie wird mit Halterdaten umgegangen, die von Behörden nur unter bestimmten Voraussetzungen herausgegeben werden und teilweise gesperrt sind?

Der EDÖB hat Abklärungen aufgenommen. Je nach Ergebnis können aufsichtsrechtliche Massnahmen, Empfehlungen oder im Extremfall auch Strafanzeigen folgen.

Typische technische Schwachstellen in solchen Umgebungen

Der Fall illustriert mehrere verbreitete Schwachstellen in webbasierten Verwaltungs- und Überwachungssystemen:

Fehlende oder unzureichende Authentifizierung: Admin-Tools, die direkt aus dem Internet erreichbar sind, ohne starke Zugangskontrollen (z.B. Multi-Faktor-Authentifizierung, IP-Restriktionen, VPN-Zwang).
Unsichere Standardkonfigurationen: Datenbank-Frontends oder Verwaltungsoberflächen, die mit Default-Einstellungen produktiv eingesetzt werden.
Mangelnde Segmentierung: Produktivdatenbanken, die aus dem öffentlichen Netz erreichbar sind, statt strikt von internen Verwaltungsnetzen getrennt zu werden.
Fehlende Überwachung und Logging: Unzureichende Protokollierung von Zugriffen, was die nachträgliche Analyse eines Vorfalls erschwert.
Unklare Verantwortlichkeiten: Unsaubere Trennung zwischen Auftraggebern (z.B. Immobilienverwaltungen) und Auftragsbearbeitern (Überwachungsfirmen) in Bezug auf Sicherheit und Datenschutz.

Risiken für Betroffene

Für betroffene Fahrzeughalterinnen und -halter können solche Lecks weitreichende Folgen haben. Neben der blossen Verletzung der Privatsphäre drohen:

Identitätsmissbrauch: Kombinationen aus Namen, Adressen, Kennzeichen und Verfahrensinformationen können für Social Engineering oder betrügerische Forderungen genutzt werden.
Profilbildung: Mehrere Vorfälle an bestimmten Orten oder zu bestimmten Zeiten erlauben Rückschlüsse auf Gewohnheiten und Bewegungsmuster.
Reputationsschäden: Informationen über Strafverfahren oder Betreibungen können, falls sie in falsche Hände geraten, gezielt gegen Personen eingesetzt werden.

Besonders sensibel sind Fälle, in denen Halterdaten bei den Behörden explizit gesperrt wurden, etwa aus Gründen des Persönlichkeitsschutzes oder wegen Bedrohungslagen. Wenn solche Datensätze in privaten Systemen weniger gut geschützt sind als bei den Behörden, entsteht eine gefährliche Sicherheitslücke.

Best Practices für Betreiber von Überwachungs- und Verwaltungssystemen

Unternehmen, die vergleichbare Daten verarbeiten – etwa Parkraumbewirtschafter, Sicherheitsdienste, Immobilienverwaltungen oder Betreiber von Videoüberwachung – sollten aus diesem Fall konkrete Konsequenzen ziehen. Zentrale Massnahmen sind:

Systemarchitektur überdenken: Admin-Tools und Datenbank-Frontends grundsätzlich nicht direkt aus dem Internet erreichbar machen. Zugriff nur über VPN, Jump-Hosts oder stark gehärtete Admin-Netze.
Starke Authentifizierung: Multi-Faktor-Authentifizierung für alle administrativen Zugänge, strikte Passwort-Richtlinien und regelmässige Überprüfung von Benutzerkonten.
Minimalprinzip: Nur diejenigen Mitarbeitenden erhalten Zugriff auf sensible Daten, die ihn für ihre Arbeit zwingend benötigen (Least Privilege).
Verschlüsselung: Transportverschlüsselung (TLS) ist Pflicht, zusätzlich sollte geprüft werden, ob besonders heikle Daten auch im Ruhezustand verschlüsselt werden.
Regelmässige Security-Tests: Penetrationstests, Schwachstellenscans und Code-Reviews, idealerweise durch unabhängige Dritte.
Logging und Monitoring: Lückenlose Protokollierung sicherheitsrelevanter Ereignisse, automatisierte Alarme bei Auffälligkeiten und definierte Incident-Response-Prozesse.
Datenschutz by Design & by Default: Datenschutzanforderungen von Beginn weg in die Systemkonzeption integrieren, Datenminimierung praktizieren und Aufbewahrungsfristen konsequent umsetzen.

Rolle von Auftraggebern und Behörden

Auch Auftraggeber wie Immobilienverwaltungen, Einkaufszentren oder Unternehmen tragen Verantwortung. Wer einen Dienstleister mit der Bearbeitung von Personendaten beauftragt, muss sicherstellen, dass dieser ausreichende Sicherheits- und Datenschutzstandards einhält. Dies umfasst vertragliche Regelungen, technische und organisatorische Mindestanforderungen sowie regelmässige Kontrollen.

Behörden wiederum sollten bei der Herausgabe von Halterdaten und anderen sensiblen Informationen an private Akteure prüfen, ob diese über ein angemessenes Sicherheitsniveau verfügen. Der Fall zeigt, dass die Kette nur so stark ist wie ihr schwächstes Glied: Hohe Sicherheitsstandards bei staatlichen Stellen nützen wenig, wenn die Daten anschliessend in unzureichend geschützten privaten Systemen landen.

Fazit: Parkplatzkontrolle ist Datenschutz – ob man will oder nicht

Der Vorfall bei Funkwache und Unisecur macht deutlich, dass selbst scheinbar unspektakuläre Dienstleistungen wie die Überwachung von Privatparkplätzen tief in die Privatsphäre eingreifen können. Wer Kennzeichen, Bewegungsdaten, Fotos und Verfahrensinformationen sammelt, betreibt faktisch ein Überwachungssystem – mit allen rechtlichen und technischen Konsequenzen.

Für Betreiber solcher Systeme führt kein Weg an professioneller IT-Sicherheit, klaren Datenschutzprozessen und transparenter Kommunikation vorbei. Und für Betroffene lohnt es sich, sensibel zu bleiben: Wo immer personenbezogene Daten erhoben werden, sollte die Frage nach dem Schutz dieser Daten mitgedacht werden – auch auf dem Parkplatz vor der Haustür.

Quelle: https://www.watson.ch/schweiz/digital/634713619-funkwache-und-unisecur-datenleck-bei-schweizer-parkplatz-ueberwachern

IP Address	216.73.216.239
Platform
Cookie Enabled
Browser Name
Browser Version
Browser Language
Java Enabled
Screen Width
Screen Height

||||The.Fischerman.CH

Bit's and Byte's from the world of computer science