Mal wieder rauscht ein größerer Datenskandal durch den Blätterwald. Banken lassen Zehntausende Kreditkarten ihrer Kunden einziehen und austauschen, weil die Kartendaten in die Hände von professionellen Gaunern gefallen waren. „Die Austauschaktion betrifft alle Banken in Deutschland gleichermaßen“, so ein Sprecher des Zentralen Kreditausschusses (ZKA), der Dachorganisation der Banken. Doch was ist tatsächlich geschehen?

Ein Großteil der betroffenen Kreditkarten wurde in den letzten Monaten in Spanien benutzt. Dort liefen die Kartentransaktionen über einen sog. „Prozessor“, d.h. einen externen Dienstleister zur Zahlungsabwicklung. Anscheinend gab es dort ein Datenleck, durch das Kartendaten abgezogen wurden. Unklar ist derzeit, um welches Unternehmen es sich handelt und wie die Kartendaten gestohlen wurden. Auf entsprechende Nachfragen der Presse reagieren die Banken nicht oder verweisen auf noch offene Verfahren.

Es können aber auch Kreditkarten betroffen sein, die in Deutschland benutzt wurden, wenn der Handelspartner seinen Zahlungsverkehr über spanischen Dienstleister abgewickelt hat. Insbesondere bei Großunternehmen gibt es den Trend, Dienstleistungen wie den Zahlungsverkehr zu zentralisieren, um bei Zahlungsabwicklern Volumennachlässe zu erhalten.

Obwohl es bereits in den letzten Monaten mehrmals Probleme und Rückrufaktionen mit Kartendaten gab (z.B. im Oktober als die KarstadtQuelle Bank 15.000 Karten austauschen lies), scheinen die Banken vom Ausmaß des Angriffs überrascht zu sein. Tatsächlich agieren Cyber-Kriminelle bereits seit Jahren immer professioneller und trickreicher. Sie machen sich die Hauptschwäche moderner Geschäftsprozesse zunutze: Die Komplexität, die durch das Zusammenwirken zahlreicher Dienstleister, Subunternehmer und Outsourcing-Partner entsteht. Da große Unternehmen seit Jahren danach streben, ihre Fertigungstiefe durch Auslagerungen und Fremdvergabe an Dritte zu verringern, sind komplexe Wertschöpfungsnetzwerke und Prozess entstanden, die – im Gegensatz zu komplexen Maschinen und Anlagen – oftmals kaum einer einheitlichen Qualitätssicherung unterliegen. Und oftmals auch kein einheitlich hohes Sicherheitsniveau über die ganze Prozesskette und alle beteiligten Firmen hinweg gewährleisten können.

Mit Hilfe der entwendeten Daten könnten die Datendiebe Karten fälschen und mit ihnen einkaufen oder die Datensätze weiterverkaufen. Die Kreditinstitute halten dagegen, indem sie Kartenkonten zum Teil verhaltensbasiert überwachen (ungewöhnliche Transaktionen an ungewöhnlichen Orten oder zu ungewöhnlichen Zeiten) und eine Karte auch schon mal vorbeugend sperren, bis der Kunde anruft.

Den Kartennutzern entsteht zwar meist kein konkreter Schaden, da sie jede über ihre Karte laufende Transaktion nachträglich rückgängig machen können. Der Reputationsschaden der Kreditinstitute durch Vertrauensverluste in das Zahlungssystem Kreditkarte sowie in die dahinterstehende Arbeitsteilung dürfte aber beträchtlich ausfallen.

Gleichzeitig zeigt dies, dass sich IT-Sicherheit zwar durch Auslagerung (z.B. als Managed Security Services über ein externes Security Operations Center) stärken lässt. Das dies aber kein Ersatz für eine interne Beherrschung aller Geschäftsprozesse einschließlich deren Absicherung und Qualitätssicherung ist. Zudem rückt so beim Thema Kreditkarten die konkrete Abwicklung der Kartenzahlungen ins Licht der Öffentlichkeit. Denn während die Banken Kreditkarten offensiv bewerben, haben sie große Teile der Zahlungsabwicklung an Dritte vergeben, ohne dass dies den Kunden wirklich klar ist. Die vertrauen so ihrer Bank, leiten ihre Daten aber bei jedem Bezahlen mit der Kreditkarte über ein ihnen unbekanntes anonymes Rechenzentrum irgendwo auf der Welt. Globalisierung eben.

Ich hätte es früher erwartet:

Quelle bzw. der Insolvenzverwalter möchte die Quelle-Kundendaten versilbern.

Wenn das legal ist brauchen wir andere Gesetze.

Jeder Quelle-Kunde hat seine persönlichen Daten zu einem bestimmten Zweck hergegeben, zunächst einmal zum Einkaufen bei Quelle. Warum soll jeder der 8 Millionen Quelle-Ex-Kunden einzeln einer Nutzung seiner persönlichen Daten widersprechen, der er von vornherein nie explizit zugestimmt hat?

Ich wollte eigentlich noch Einiges bei Quelle-Ausverkauf erwerben, das lasse ich letzt mal bleiben, weil dieses Gebaren stinkt. Mir jedenfalls.

Datendiebe können sehr kreativ sein, wenn es um das Abschöpfen von finanziell verwertbaren Datenbeständen geht. Oft wird es ihnen aber auch sehr einfach gemacht. So wurde erst kürzlich bekannt, dass die Bundesagentur für Arbeit Probleme mit ihrer Stellenbörse sowie mit dem Handling interner Datenbestände hat. In der Stellenbörse kann jeder als „Arbeitgeber“ auftreten, eine Überprüfung (Gewerbeschein, Handelsregister …) erfolgt nicht. Sozialdaten von Hartz-IV-Beziehern waren bis vor kurzem allen Beschäftigen der Arbeitsagentur zugänglich, nicht nur den dafür zuständigen Fallmanagern am Meldeort des „Kunden“.

Die Mängel im Sicherheitskonzept der Arbeitsagentur sowie in Teilen ihrer Software sind anscheinend so gravierend, dass sie sich kurzfristig nicht beheben lassen. Das muss sich wohl auch eine Berliner Personalvermittlungsfirma gedacht haben, als sie mehrere Tausend Stellenanzeigen in die Stellenbörse einkippte. So viele in so kurzer Zeit, dass es bei einer internen Prüfung den Betreibern bei der Arbeitsagentur auffiel und man der Sache nachging (was für die Wachsamkeit der Agentursystemadmins spricht). Tatsächlich existierte keine einzige Stelle wirklich. Die ausgeschriebenen Positionen für Facharztstellen über pädagogische Berufe bis hin zu Ingenieuren und Managerposten waren ein Phishing-Angriff auf die Vermittler der Arbeitsagentur sowie die Nutzer der Stellenbörse. Sie sollten ihre Bewerbungsunterlagen an die Berliner Firma schicken, so dass diese ihre Datenbestände damit aufstocken und möglichen Firmenkunden eine Datenbank mit Tausenden von Profilen anbieten kann.

Das ist für Personalvermittler an sich nichts Ungewöhnliches. Firmen wie Hays, Datos oder Progressive bieten interessierten Stellensuchenden die Möglichkeit an, ein Profil in einer Datenbank zu hinterlegen und regelmäßig gegen dort ausgeschriebene Stellen von Firmen gegenchecken zu lassen. Auf Projektvermittlungsbörsen wie Gulp oder Projektwerk können Freelancer Profile einstellen und Angebote von daran interessierten Firmen erhalten. Werben gehört zum Geschäft und wer als Stellensuchender einem Personalvermittler seine Daten gibt, um dessen Stellen mit in seine Stellensuche einzubeziehen, tut das i.d.R. bewusst. Das ist eine übliche Praxis an der es grundsätzlich nichts auszusetzen gibt.

Anders diejenigen Arbeitssuchenden, die sich auf eine konkrete Stelle bewerben, die jedoch gar nicht existiert. Sie würden in einem solchen Fall nur eine Textbaustein-Absage erhalten und das Angebot in der Datenbank des Personalvermittlers zu verbleiben, in der Hoffnung das nochmal eine ähnliche Stelle reinkommt. Seriöse Personalvermittlung sieht anders aus.

Und so sieht auch Anja Huth, Sprecherin der Bundesagentur darin einen eindeutigen Missbrauch des Systems und einen Verstoß gegen die Nutzungsbedingungen. Einen Missbrauch dieser Dimension hat man in der Jobbörse der Bundesagentur noch nie erlebt, so die Sprecherin. Mal sehen, ob das mehr als nur die Sperrung des Accounts zur Folge hat.

Inzwischen ist man damit beschäftigt, die zahlreichen fingierten Stellenangebote zu finden und zu löschen. Was aber noch einige Tage dauern kann, so Frau Huth. Schließlich werden täglich etwa 20.000 Stellenangebote neu erstellt oder abgeändert. Verantwortlich für diese Angebote war demnach die Firma Econsulting24, wo jedoch bislang weder die Arbeitsagentur noch die mittlerweile darauf aufmerksam gewordene Presse jemanden erreichen konnte.

Einen ähnlichen Fall hatte es bereits im Winter letzten Jahres gegeben. Ein privater Jobvermittler hatte immer wieder fingierte Stellen ins System gestellt. Wenn sich Bewerber bei dem Vermittler meldeten, erhielten sie stets die Auskunft, dass die Stelle bereits anderweitig besetzt war. Das Unternehmen bot den Bewerbern jedoch an, gegen Bezahlung Bewerbungen für sie zu verfassen.  Und obwohl die Arbeitsagentur den Account des Vermittlers löschte, meldete er sich stets einfach neu an und spammte fröhlich weiter. Das Problem der mangelhaften Kontrolle vermeintlicher „Arbeitgeber“ in der Jobbörse ist also bereits seit langem bekannt.

In den letzten zwei Wochen konnte man schon den Eindruck gewinnen, bzgl. des Datenschutzes hätte die Wirtschaft inzwischen jede Scham verloren. Ob Bewerber-Bluttests bei Daimler, Beiersdorf und Merck, Bruch des Bankgeheimnisses bei der Postbank, Datenklau bei SchülerVZ, neue Spitzeleien bei der Telekom oder Datenpannen bei Libri – praktisch jeden Tag gab es einen neuen Datenskandal. In einigen Fällen dürfte eine zu schwach aufgestellte IT-Sicherheit oder konzeptionelle Lücken in den Datenschutzbestrebungen der Firmen ursächlich gewesen sein. Oft jedoch auch eine gewisse „Herrenmenschenmentalität“ der jeweiligen Entscheider, die sich dachten „Datenschutz ist für andere – wir machen was wir wollen!“.

Eine besonders dicke Datenschutzsau treibe jedoch ausgerechnet die Agentur für Arbeit derzeit durchs bundesrepublikanische Dorf. Die Arbeitsagentur betreibt mit ihrer Jobbörse eine der größten Datenbanken Deutschlands. In ihr sind etwa 3.800.000 Profile arbeitslos gemeldeter Stellensuchender gespeichert. Darin können potentielle Arbeitgeber anonymisierte Profile, geordnet nach Fertigkeiten und Berufsklassifikationen recherchieren und bei Interesse den zuständigen Bearbeiter der Arbeitsagentur kontakten, damit dieser zwischen Arbeitgeber und Bewerber den direkten Kontakt herstellt. Kürzlich stellte sich aber heraus, dass sich jedermann in den System als „Arbeitgeber“ umtun konnte – auch wenn er weder Unternehmer oder Personaler war und schon gar keine offene Stelle hatte.  Und das er dabei auch an nicht anonymisierte Daten herankam, um sie ggf. auch in größeren Mengen herunterzuladen und für eigene Zwecke weiter nutzen zu können.

Spiegel Online hierzu:

Bei der Jobbörse müssten Arbeitgeber lediglich den Firmennamen, die Branche sowie Anschrift und Ansprechpartner angeben. Die Identität prüfe die Bundesagentur nicht. Nach der Anmeldung bekomme der Arbeitgeber eine persönliche Identifikationsnummer zugeschickt, mit dieser könne bereits ein Teil der Bewerberdaten in nicht mehr anonymisierter Form eingesehen werden. Jeder könne so Bewerbungsunterlagen anfordern, mit Adresse, Telefonnummer, Geburtsdaten, Zeugnissen und Lebenslauf – egal, ob er einen Job zu vergeben habe oder nicht.

Wäre das schon happig, legte die Arbeitsagentur im Bereich Hartz-IV-Empfänger gleich noch nach. Denn das 4-PM (“Vier-Phasen-Modell”) , ein System, über das gut 100.000 Mitarbeiter unter anderem Einkommens- und Familiensituation, Schul- und Berufsausbildung, mögliche Erkrankungen und Vorstrafen, Suchtprobleme und Verschuldung von Hartz-IV-Empfängern abrufen können, erwies sich als regelrechte Datenschleuder. Darüber können auch Mitarbeiter, die nichts mit der Betreuung der Arbeitslosen zu tun haben, nach sensiblen personenbezogenen Sozialdaten forschen. Und das bundesweit, also auch außerhalb des eigenen Zuständigkeitsbereiches. Ein Umstand der den Personalräten der Arbeitsagentur schon seit längerem Probleme bereitet. Weshalb sie sich nach wohl fruchtlosen Versuchen, das intern zu regeln, an die Presse wandten und die Sache auffliegen ließen. Sie haben erhebliche Bedenken zum Sozialdatenschutz und sehen das Recht auf informationelle Selbstbestimmung der Bürger verletzt. Diese Bedenken der Personalräte in den Arbeitsagenturen teile ich. Zugleich zeugt das einmal mehr, wie wichtig Mitbestimmungsorgane für das Aufdecken und Angehen fauler Stellen in Wirtschaft und Verwaltung sind.

Zu welchen Formen des Missbrauchs solche Datenlecks führen können, zeigen Insider-Berichte aus der Arbeitsagentur: So wussten die Mitarbeiter der Argen schnell mehr über zwei bestimmte Kandidaten der Fernsehshow von Dieter Bohlen. Das Computersystem der Arbeitsagentur verzeichnete weit über 10.000 Zugriffe auf ihre Datensätze nach deren Auftritt, bei dem die Männer auch ihre zeitweilige Arbeitssuche erwähnten.

Es zeigt sich einmal mehr, dass viele Datenschutz- und Sicherheitsprobleme gar nicht auftreten würden, wenn man sich an banal wirkende Lehrbucherkenntnisse halten würde. Da große Datensammlungen, egal zu welchem Zweck angelegt, immer irgendwann außer Kontrolle geraten und Daten daraus „abfließen“ können, rät schon das Bundesdatenschutzgesetz zu Datensparsamkeit und Datenvermeidung. Daten die erst gar nicht anfallen oder erhoben werden, können auch nicht in falsche Hände geraten. Das ist das Hauptargument, das Datenschützer und Bürgerrechtsaktivisten gegen große zentrale Datensammlungen vorbringen.- Es wird nur leider viel zu selten berücksichtigt.

Zumal solche Datenschleudereien zumindest im öffentlichen Bereich folgenlos bleiben.

Bundesdatenschutzbeauftragter Peter Schaar hierzu in einem Interview mit Ole Reißmannauf Spiegel online:

Ich habe als Bundesbeauftragter für den Datenschutz die Möglichkeit, das zu kritisieren und gegebenenfalls zu beanstanden, mehr nicht. Auch bei der Jobbörse der Arbeitsagentur gibt es ja ein Problem mit dem Datenschutz. Ohne Prüfung der Identität und Seriosität kann sich praktisch jeder als Arbeitgeber registrieren lassen und Unterlagen von Bewerbern anfordern. Das wissen wir seit einem Jahr, unsere Kritik und unsere Hinweise haben nicht geholfen. Es fehlt einfach an der nötigen Sensibilität im Umgang mit persönlichen Daten und an entsprechend wirksamen Durchsetzungsmöglichkeiten für mich als Bundesbeauftragten für den Datenschutz.

…

Wäre die Bundesagentur für Arbeit eine Firma, könnten die zuständigen Datenschützer zumindest Bußgelder verhängen, gegebenenfalls sogar die Datenverarbeitung untersagen, und das Problem müsste öffentlich gemacht werden. Seit September ist das gesetzlich vorgeschrieben. Aber für Behörden gilt diese Verpflichtung nicht – und etwas untersagen oder Geldbußen verhängen, können wir auch nicht.

Narrenfreiheit und Straflosigkeit für Behörden also. Egal was datentechnisch verbockt wird. Da dürften jegliche Anreize fehlen, zumal Stellungnahmen des Bundesdatenschutzbeauftragten für die Behörden wohl nur Empfehlungscharakter zu haben scheinen.

Und das obwohl Privatfirmen für gleichartige Verstöße durchaus zu sechsstelligen Geldstrafen sowie der Abführung der daraus gezogen Gewinne verurteilt werden können.

Man wird die öffentlichen und privaten Datenschleudern wohl nur dadurch stilllegen können, indem hart und unnachsichtig durch Prozesse, Urteile und Skandalisierung Klarheit darüber geschaffen wird, das Verstöße gegen den Datenschutz ähnlich geahndet werden, wie jene gegen das Eigentumsrecht (Betrug, Diebstahl …) oder das Recht auf körperliche Unversehrtheit (tätliche Angriffe, sexuelle Belästigungen …).

Da liegt ein ordentliches Stück Arbeit vor uns. Wird es jedoch angegangen, kann das insbesondere für professionell in der IT-Sicherheit Tätige eine Sonderkonjunktur bedeuten.

Stiftung Warentest

Die Stiftung Warentest deckte nun das ganze Ausmaß des Datenmissbrauchs bei der Postbank auf.

Die Redaktion der Zeitschrift “Finanztest” zeigte heute auf, wie sehr die Postbank die eigenen Kunden durch Umgehung des Datenschutzes zu “gläsernen” Kunden machte.

Inzwischen hat die Postbank die Datenbanken für die freien Mitarbeiter gesperrt. “Finanztest” deckte zudem die Falschaussage der Postbank von gestern auf, dass die freien Finanzberater nur regional Zugang zu den Daten der Kunden gehabt hätten.

Zudem waren Kundendaten bei der Postbank, nach Recherchen von WELT ONLINE, anders als von dem Unternehmen behauptet weiter extern zugänglich gewesen. Auch Konten hochrangiger Politiker und Wirtschaftsgrößen ließen sich ausspähen: darunter Sparguthaben, Aktiengeschäfte und andere Transaktionen.

Die Datenschutzskandale in der deutschen Wirtschaft nehmen einfach kein Ende. Es scheint sich um ein  grundsätzliches Problem der Nichtakzeptanz des Rechts auf Datenschutz zu handeln, sobald diese Daten für andere wirtschaftlich verwertbar sein können.

Und wirtschaftlich verwertbar waren auch die Transaktionsdaten zahlreicher Postbank-Kunden. Denn die Postbank hatte, einem Bericht der Finanztest zufolge, mehreren Tausend freiberuflich tätigen Finanzberatern Zugriff auf die Kontendaten (Kontenstände, Buchungen etc.) ihrer Kunden über eine Datenbank mit Suchfunktion gewährt. Sie sollten damit u.a. Kunden, bei denen größere Geldbeträge eingegangen waren, anrufen und ihnen Finanzprodukte zur Geldanlage anbieten.

Sensible, dem Bankgeheimnis unterliegende Daten, von einer Bank  an externe Dritte herausgegeben zum Zwecke der Vermarktung von Finanzprodukten – da drehen sich jede halbwegs versiertem Datenschützer und IT-Sicherheitsbeauftragten die Zehennägel auf!

Hatten doch in der Vergangenheit solch laxe Praktiken regelmäßig dafür gesorgt, dass Daten aus Unternehmen „abflossen“ und im grauen Sumpf der Datendealer und Cyberkriminellen versickerten.

Der Finanztest liegen nach eigenen Angaben Kontodaten und Briefwechsel zahlreicher Personen aus dieser Datenbank vor. Darunter auch Prominente wie zum Beispiel Axel-Springer-Vorstand Mathias Döpfner, der frühere Präsident von Borussia Dortmund, Gerd Niebaum, oder der Vorstand der Stiftung Warentest, Werner Brinkmann. Sie alle haben der Weitergabe ihrer Daten laut Dateneintrag nicht zugestimmt.

Dagegen schützten sich die Chefs der Postbank-Gruppe gegen allzu große Neugier ihrer Verkäufertruppe, indem sie ihre eigenen Kontodaten von dieser Suchmöglichkeit ausschlossen, wie Recherchen von Finanztest ergaben.

Die für die Postbank zuständige Datenschutzbehörde in Nordrhein-Westfalen hält es der Zeitschrift zufolge für unzulässig, dass freie Berater der Postbank die Girokonten der Kunden einsehen können. Behördensprecherin Bettina Gayk hirzu: „Das ist sicherlich hochproblematisch“. Hoffen wir mal, dass diese Einschätzung in der Folge auch zu rechtlichen Schritten führt. Das erst kürzlich reformierte Datenschutzgesetz sieht hierfür 5-6stellige Geldstrafen vor – für jeden einzelnen Fall. Sowie umfängliche Anzeigepflichten den Betroffenen gegenüber. Falls es in der Folge tatsächlich zu Verurteilungen und Strafen kommt.

Bis dahin schließe ich mich den Empfehlungen der Finanztest an Postbank-Kunden an. Sie rät ihnen folgendes als Ersthilfe:

Tipps für Postbank-Kunden

Forderung: Wenn Sie als Postbankkunde nicht wollen, dass ihre Kontodaten eingesehen werden, sollten Sie sich schriftlich an das Unternehmen wenden. Fordern Sie die Postbank auf, die Weitergabe ihrer Daten zu stoppen.

Widerruf: Sie können außerdem verlangen, dass Ihnen die Postbank Auskunft über gespeicherte und weitergegebene Daten gibt. Bereits erteilte Einwilligungserklärungen können Sie jederzeit widerrufen.

Inzwischen hat die Postbank auch eine eigene Stellungnahme veröffentlicht, in der sie „entschiedenes Vorgehen“ und „strafrechtliche Schritte“ ankündigt sowie „bis zur Klärung des Gesamtzusammenhanges im Dialog mit dem Datenschutz den Zugriff auf die Kontodaten durch die Finanzberater vorsorglich sperren“ lassen will und eine Revision ihrer bisherigen Praxis ankündigt.

Die Deutsche Telekom wird ihre Probleme mit abhanden gekommenen Kundendaten einfach nicht los. Und das obwohl der Konzern sich bereits seit längerem bemüht, sich bzgl. des Datenschutzes besser aufzustellen. Und dazu sogar einen Datenschutzbeirat eingerichtet hat. Nun plant Telekom-Vorstand Manfred Balz die Chefs aller großen Kommunikationsunternehmen zu einer Art Gipfelgespräch einzuladen, um dort zu diskutieren, wie man den Problemen mit gestohlenen und vagabundierenden Kundendaten Herr werden könne.

Soll da ein Telekom-internes Problem verallgemeinert werden? Oder geht es tatsächlich um unternehmensübergreifende Missstände, die auch nur in Zusammenarbeit aller betroffenen Unternehmen gelöst werden können.

Anfang der Woche war bekannt geworden, dass Hunderttausende Kundendaten der Telekom bei dubiosen Firmen bis in die Türkei in Umlauf waren. Denn die Telekom arbeitet bei Marketingkampagnen mit zahlreichen Agenturen,  Dienstleistern und Subunternehmern zusammen, die es wohl nicht immer so ganz genau mit den deutschen Datenschutzgesetzen sowie den Verträgen zur Auftragsdatenverarbeitung mit der Telekom nehmen.

Die Datenpannen sind deswegen teilweise hausgemacht. Die Zuarbeiter der Telekom erhalten für ihre Aufgaben Dateien und Listen mit Kundendaten, um z.B. per Callcenter  auslaufende Verträge verlängern oder neue Produktangebote verkaufen zu können.

Zwar dürfen externe Callcenter, die im Zuge der Auftragsdatenverarbeitung erhaltenen Kundendaten nicht kopieren oder anderweitig nutzen. Das scheint sie jedoch bislang nicht davon abzuhalten, es trotzdem zu tun. So wurde letzte Woche bekannt, dass die Staatsanwaltschaft Bonn nach einer Anzeige der Telekom vom Februar dieses Jahres gegen einen Ring von Datenhändlern und Callcenter-Betreibern ermitteln lässt. Diese sollen wegen der niedrigen technischen Hürden seitens der Telekom im großen Stil Kundendaten automatisiert aus der Telekom-Vertriebsdatenbank abgerufen haben.

Die Telekom als Datensaugstelle für Dealer und Cyberkriminelle?

Dem widerspricht der Konzern in einer Pressemitteilung energisch, räumt aber ein, das die Art der Provisionierung dieser zuarbeitenden Unternehmen eine Rolle bei den Datendiebereien spielen könnte.

Kontrollen haben gezeigt, dass Subpartner ohne Autorisierung Callcenter – teilweise außerhalb der EU – damit beauftragt hatten, Kunden zu akquirieren. Dabei wurde vorgetäuscht, die Aufträge seien durch den stationären Handel generiert worden, wofür höhere Provisionen gezahlt werden als für die telefonische Akquise.

Telekom-Vorstand Balz erläuterte dazu, dass sich im hart umkämpften TK-Geschäft „ein System mit kriminogenen Strukturen“ etabliert habe, das selbst ein Branchenriese wie die Telekom allein gar nicht knacken könne. Es sei ein „gefährliches Provisionskarussell“ entstanden, das zum Betrug geradezu einlade.

Und dessen Regeln üblicherweise von der Telekom und andere Großauftraggebern festgelegt werden. Der von Balz geplant Branchengipfel dürfte daher (auch) zur Planung einer großen Sparrunde dienen, um die Dienstleister stärker an die Leine zu nehmen.

Dieser Schuss könnte aber nach hinten losgehen. Denn zunehmendes Outsourcing sowie Vermachtungsprozesse in den Märkten (starke Konzernkunden, schwache weil austauschbare Dienstleister) fördern letztlich nur die von Balz beklagten kriminogenen Strukturen.

Am 01.09. dieses Jahres trat eine neue Fassung des Bundesdatenschutzgesetzes (BDSG) in Kraft. Die zahlreichen Datenschutzskandale in der Wirtschaft hatten eine lang andauernde und noch keineswegs abgeschlossene Diskussion über strengere Datenschutzstandards sowie das Schließen von Lücken in der Datenschutzgesetzgebung ausgelöst.

Allerdings sorgten Lobbydruck aus der Wirtschaft (speziell der kommerziellen Datenhändler) sowie ein genereller politischer Unwillen dafür, dass bei Fragen der Neuregelung der Datennutzung zum Zwecke der Werbung sowie der Markt- oder Meinungsforschung großzügige Übergangsfristen festgeschrieben werden. Manche im Gesetz enthaltene Veränderungen werden daher erst im Laufe der kommenden Jahre rechtswirksam.  Nicht zuletzt hatte ja auch das Finanzministerium Steuergelder zum Ankauf gestohlener Daten ausgegeben, um so geheime Auslandskonten deutscher Steuerzahler in Staaten mit starkem Bankgeheimnis aufspüren zu können.

Bereits zum 01.04. waren Veränderungen im Datenschutzgesetz in Kraft getreten, mit dem Ziel ausufernden Datenhandel und Scoring mit Hilfe intransparenter Geheimverfahren in den Griff zu bekommen. Gegenstand des nun zweiten Änderungspaketes im Datenschutz sind vor allem die Themen

•    Stärkung der Rechte des Datenschutzbeauftragten (§ 4f Abs. 3)
•    Ordnungsgemäße Auftragsdatenverarbeitung (§ 11 Abs. 2)
•    Umgang mit Adresshandel und Werbung (§ 28 Abs. 3, § 34 Abs. 1a)
•    Elementarer Arbeitnehmerdatenschutz (§ 32)
•    Mitteilungspflichten bei Datenschutzverstößen (§ 42a)
•    Erhöhung der Bußgelder (§ 43 Abs. 3)

Stärkung der Rechte des Datenschutzbeauftragten
Ein betrieblicher Datenschutzbeauftragter genießt jetzt ähnlich starken Kündigungsschutz wie ein Betriebsrat. Um sicherzustellen, dass seine Kenntnisse auf dem aktuellen Stand der Technik bleiben, muss er sich regelmäßig fortbilden. Sein Arbeitgeber muss ihm dazu die Teilnahme an Fortbildungen ermöglichen und die entstehenden Kosten übernehmen.

Auftragsdatenverarbeitung
Von Auftragsdatenverarbeitung spricht man, wenn jemand im Auftrag und nach Weisung eines anderen dessen Datenbestände erhebt, verarbeitet oder nutzt. Ein gutes Beispiel hierfür ist die betriebliche Lohnabrechnung, die von vielen kleineren und mittleren Unternehmen an Dienstleister abgegeben wird. Dabei verbleibt die Verantwortung für das korrekte Tun des Auftragnehmers beim Auftraggeber. Er muss durch entsprechende vertragliche Vereinbarungen und tatsächliche Prüfungen sicherstellen, dass der Auftragnehmer datenschutzrechtlich korrekt arbeitet.  Im Gegensatz zur bisherigen Rechtslage können Nachlässigkeiten hierbei nun mit Bußgeldern von bis zu 50.000 € pro Fall geahndet werden.

Adresshandel und Werbung
Bislang genossen Adresshändler das sogenannte „Listenprivileg“. Sie durften Verbraucherdaten in Tabellenform zu Werbezwecken und zu Zwecken der Markt- und Meinungsforschung an Dritte weitergeben, wenn darin nur bestimmte Kategorien von Daten enthalten waren. Das umstrittene Listenprivileg bleibt auch weiterhin erhalten. Allerdings müssen Unternehmen künftig den Empfänger eines Werbeschreibens darüber informieren, woher sie die über ihn vorhandenen Daten haben. Die Werbung zwischen Unternehmen (B2B) ist davon allerdings nicht betroffen.

Weitere Erleichterungen wurden für Werbemaßnahmen an Bestandskunden, für steuerbegünstigte Spendenwerbung und Werbung nach im Gesetz genauer definierten Transparenzgeboten normiert.

Zudem sind Adresshändler nun verpflichtet, die Herkunft der von ihnen verwendeten Daten sowie die Identität des Empfängers für zwei Jahre zu speichern. Denn bisher scheiterten datenschutzrechtliche Anfragen von Verbrauchern bei Adresshändlern häufig daran, dass diese über die Herkunft ihrer Daten keine Auskunft geben konnten (oder wollten). Dem soll so ein Ende gemacht werden.

Arbeitnehmerdatenschutz
Spitzelskandale wie z.B. die bei Lidl oder der Deutschen Bahn wurden von Verantwortlichen im Nachhinein mit dem Bedürfnis nach präventiven Maßnahmen gegen Wirtschaftskriminalität begründet. Auch wenn hier oftmals Zielsetzung und Vorgehensweise auch bei wohlwollender Betrachtung nicht zusammenpassen wollten. Jetzt dürfen Beschäftigtendaten nur noch bei konkretem und nachweisbarem Anfangsverdacht zur Aufdeckung von Straftaten verwendet werden. Es muss zudem eine Interessensabwägung zwischen den schutzwürdigen Interessen des Beschäftigten und denen des Arbeitgebers stattfinden und dokumentiert werden, die im Zweifel einer rechtlichen Überprüfung standhält.

Mitteilungspflichten
Kommt es in Unternehmen künftig zu einem datenschutzrechtlich relevanten Vorfall und wird dieser bemerkt, so müssen die davon Betroffenen sowie die Datenschutzaufsichtsbehörden informiert werden. Ein solcher Vorfall tritt stets dann ein, wenn es um folgende, besonders sensible Informationsarten geht:

1. Angaben über rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben,
2. personenbezogene Daten, die einem Berufsgeheimnis unterliegen,
3. personenbezogene Daten, die sich auf strafbare Handlungen, Ordnungswidrigkeiten oder den Verdacht auf solches beziehen,
4. personenbezogene Daten zu Bank- oder Kreditkartenkonten.

Inhaltlich muss diese Information bestimmten Mindestanforderungen genügen und unverzüglich herausgegeben werden. Lediglich laufende Ermittlungen der Polizei dürfen die Benachrichtigung Betroffener zeitlich verzögern. Würde die Benachrichtigung aller Betroffenen einen unverhältnismäßigen Aufwand nach sich ziehen, können statt persönlicher Kontaktierung auch eine (mindestens) halbseitige Anzeige in zwei bundesweit erscheinenden Tageszeitungen oder andere vergleichbare Maßnahmen eingesetzt werden.

Fallbeispiel :
Dem Bereichsleiter Vertrieb wird auf einer Dienstreise der Laptop mit darauf gespeicherten Kunden- und Abrechnungsdaten gestohlen (schwerwiegende Beeinträchtigung der Rechte der Betroffenen). Er muss den Vorfall der zuständigen Aufsichtsbehörde melden. Sobald eine Information an die Betroffenen im Falle einer Strafanzeige einen polizeilichen Ermittlungserfolg (Diebstahl) nicht mehr gefährdet, müssen diese ebenfalls über den unrechtmäßigen Datenabfluss informiert werden.

Erhöhung der Bußgelder
Der Bußgeldrahmen für Verstöße gegen den Datenschutz wurde für einfache Verstöße auf 50.000 € und für schwerwiegende Verstöße auf 300.000 € pro Fall aufgestockt. Wurden aus Datenmissbrauch Gewinn gezogen, kann dieser durch höhere Bußgeldansätze eingezogen werden, da künftig der Grundsatz gilt, dass die Geldbuße den wirtschaftlichen Vorteil aus den Datenschutzverstößen übersteigen soll.

Zusammenfassend lässt sich sagen, dass ein Teil der Forderungen, den Datenschutzexperten bereits seit Jahren erheben, nun nach offensichtlichem Handlungsbedarf tatsächlich umgesetzt wurde. Es bleibt abzuwarten, in wie weit die personell nur sehr sparsam ausgestatteten Datenschutzaufsichtsbehörden jedoch überhaupt in der Lage sein werden, das Gesetz angemessen umzusetzen.

Allerdings halte ich es nur für eine Frage der Zeit, bis z.B. Verbraucherschutzverbände und Gewerkschaften öffentliche Datenbanken einrichten, in denen meldepflichtige Datenschutzverstöße allgemein zugänglich gesammelt werden. Der damit verbundene Reputationsverlust dürfe speziell große Unternehmen und Markenfirmen erheblich mehr treffen, als das (gewinnmindernde und daher steuerlich absetzbare) Bußgeld.

Wie so etwas aussehen könnte, ist unter http://datalossdb.org/, einer von der Open Security Foundation betriebenen öffentlichen Datenbank für datenschutzrelevante Sicherheitsprobleme, zu sehen (auch als RSS-Feed sowie über Twitter abonnierbar).

Ja ja, ich habe schon eine ganze Weile nichts aktuelles zum Thema T-Mobile in diesem Blog geschrieben. Aber jetzt ist es mal wieder dringend an der Zeit, denn es geht auf in eine neue Runde:

Nach einem kleinen Hin-und-her zwischen meiner Anwätin und denen der T-Mobile Deutschland AG ist vor ein paar Tagen nun tatsächlich ein gerichtlicher Mahnbescheid vom Amtsgericht Euskirchen bei mir eingeflattert. Selbstverständlich lege ich dagenen Widerspruch ein!

Erst recht, da mir mittlerweile so viele Menschen auf meinen Blog hin gemailt haben! Alle diese Leute sind auf die gleiche Art und Weise in die Kostenfalle der T-Mobile getappt wie ich. Und deshalb darf es nicht so weiter gehen! Wir müssen uns gegen den pinken Monopolisten zur Wehr setzen!

Es kann nicht sein, dass so offensichtliches Unrecht nur aufgrund von bestehenden Machtverhältnissen einfach durchgeht und Menschen wie wir, die wir aufgrund von fehlenden Informationen, unterlassener Preiskennzeichnung oder gar fehlerhafter Beratung die leidtragenden sind und teilweise sogar unsere Existenzen bedroht sind!

Ich fordere hiermit Deutschlands Gerichte und unsere bestehende, sowie die nachfolgende Regierung auf, hier klare und unmissverständliche rechtliche Verhältnisse zu schaffen und UNS, DIE BÜRGER DIESES LANDES ZU SCHÜTZEN, SO WIE ES IHRE PFLICHT IST!

Vor wenigen Tagen trat ein  in wesentlichen Punkten verschärftes Datenschutzgesetz in Kraft. Ursache für die Novellierung des Gesetzes waren die zahlreichen Schlampereien und Datenschutzskandale in deutschen Unternehmen in den letzten zwei Jahren.

Dabei ging es meist um Dinge wie Ausspähung von Mitarbeitern, Kundendatenmissbrauch, Datendiebstahl oder illegale Krankenakten.

Ein weitaus weniger bekannter Aspekt ist der Datenschutz im Zusammenhang mit der Verwendung von Echtdaten in Testumgebungen. Oft werden der Einfachheit halber oder weil die Erzeugung von entsprechend strukturierten Testdaten aufwendig wäre, Echtdaten aus operativen Systemen unverändert zum Testen neuer Systeme in der Entwicklung oder Qualitätssicherung verwendet. Zu diesem Ergebnis kam auch eine vom Software-Anbieter Micro Focus beim Ponemon Institute in Auftrag gegebene Erhebung. Unternehmen verwenden für Softwaretests nach wie vor in großem Stil Originaldaten von Kunden, Mitarbeitern oder Kreditkarten und nehmen dabei den Missbrauch billigend in Kauf. Und etwa 80% der etwa 1.350 befragten Softwareentwickler und -tester wussten von (mindestens) einem Datenschutzproblem im vergangenen Jahr zu berichten.

„Die Verwendung von Originaldaten zu Testzwecken ist in den meisten Fällen üblich. Dieser Umstand lässt sich darauf zurückführen, dass der Aufwand für die Erstellung der Daten sowie die damit einhergehenden Kosten oftmals das Entwicklungsbudget sprengen“, erläutert Gerrit Wiegand, Softwareentwickler und Geschäftsführer der Offenbacher mainis IT-Service GmbH.

Zudem kann man im Grunde genommen nur mit Echtdaten (oder identischen Testdaten) wirklich testen, ob das System mit den im späteren Einsatz zu verarbeitenden Daten konkret das macht, was es soll. „Relativ trivial fängt dies bei der Namensgebung an. An kyrillische Buchstaben würden Europäer nie denken“, so Wiegand.

Daher ist es nicht allzu verwunderlich, dass in der Untersuchung auch nur 7% der Befragten der Ansicht waren, dass der Schutz der Informationen auch in Entwicklungs- und Testumgebungen ernst genommen wird. Man scheint sich jedoch langsam darüber klar zu werden, dass diese Daten besonders gefährdet sind. Beispielsweise durch ehemalige Mitarbeiter oder Zulieferer sowie externes Personal und zuarbeitende Dienstleister („verlängerte Werkbank“).

Dabei wäre es ohne größeren technischen Aufwand möglich, Echtdaten durch Anonymisierung, Pseudonymisierung, Maskierung sowie durch begleitende Maßnahmen des technischen und organisatorischen Datenschutzes so zu sichern, dass Datenlecks zuverlässig vermieden werden können.

Vor wenigen Tagen trat ein  in wesentlichen Punkten verschärftes Datenschutzgesetz in Kraft. Ursache für die Novellierung des Gesetzes waren die zahlreichen Schlampereien und Datenschutzskandale in deutschen Unternehmen in den letzten zwei Jahren.

Dabei ging es meist um Dinge wie Ausspähung von Mitarbeitern, Kundendatenmissbrauch, Datendiebstahl oder illegale Krankenakten.

Ein weitaus weniger bekannter Aspekt ist der Datenschutz im Zusammenhang mit der Verwendung von Echtdaten in Testumgebungen. Oft werden der Einfachheit halber oder weil die Erzeugung von entsprechend strukturierten Testdaten aufwendig wäre, Echtdaten aus operativen Systemen unverändert zum Testen neuer Systeme in der Entwicklung oder Qualitätssicherung verwendet. Zu diesem Ergebnis kam auch eine vom Software-Anbieter Micro Focus beim Ponemon Institute in Auftrag gegebene Erhebung. Unternehmen verwenden für Softwaretests nach wie vor in großem Stil Originaldaten von Kunden, Mitarbeitern oder Kreditkarten und nehmen dabei den Missbrauch billigend in Kauf. Und etwa 80% der etwa 1.350 befragten Softwareentwickler und -tester wussten von (mindestens) einem Datenschutzproblem im vergangenen Jahr zu berichten.

„Die Verwendung von Originaldaten zu Testzwecken ist in den meisten Fällen üblich. Dieser Umstand lässt sich darauf zurückführen, dass der Aufwand für die Erstellung der Daten sowie die damit einhergehenden Kosten oftmals das Entwicklungsbudget sprengen“, erläutert Gerrit Wiegand, Softwareentwickler und Geschäftsführer der Offenbacher mainis IT-Service GmbH.

Zudem kann man im Grunde genommen nur mit Echtdaten (oder identischen Testdaten) wirklich testen, ob das System mit den im späteren Einsatz zu verarbeitenden Daten konkret das macht, was es soll. „Relativ trivial fängt dies bei der Namensgebung an. An kyrillische Buchstaben würden Europäer nie denken“, so Wiegand.

Daher ist es nicht allzu verwunderlich, dass in der Untersuchung auch nur 7% der Befragten der Ansicht waren, dass der Schutz der Informationen auch in Entwicklungs- und Testumgebungen ernst genommen wird. Man scheint sich jedoch langsam darüber klar zu werden, dass diese Daten besonders gefährdet sind. Beispielsweise durch ehemalige Mitarbeiter oder Zulieferer sowie externes Personal und zuarbeitende Dienstleister („verlängerte Werkbank“).

Dabei wäre es ohne größeren technischen Aufwand möglich, Echtdaten durch Anonymisierung, Pseudonymisierung, Maskierung sowie durch begleitende Maßnahmen des technischen und organisatorischen Datenschutzes so zu sichern, dass Datenlecks zuverlässig vermieden werden können.

Im Adressmanager können Sie Adressaten anlegen, bearbeiten und verwalten.

Anlegen von neuen Adressen

Es gibt zwei Möglichkeiten für Sie, Ihre Adressen in das Flymint- System einzufügen:

1. Sie legen einzelne Adressen neu an – „neu anlegen“

2. Sie importieren Ihre bestehende Adressliste  – „Adressimport“

Registerkarte: „neu anlegen“

• Hier können Sie einen Ihrer Kunden manuell anlegen.
• Sie können Ihren Kunden sofort einer Kampagne zuordnen.
• Sie können Ihren Kunden sofort einem Ihrer Mitarbeiter zuordnen.

Sind alle Daten Ihres Kunden eingepflegt, speichern Sie Ihre Eingaben mit einem Klick auf „speichern“.

Registerkarte: „Adressimport“

Anstatt jeden Kunden einzeln anzulegen, können Sie ganze Adresslisten importieren.

Vor dem Import: Liste der Adressaten erstellen

Hinweis: Der Import ist pro Liste auf 1.000 Zeilen beschränkt.

Folgende Regeln müssen Sie vor dem Import der Adressdaten beachten:

1. Adressliste im CSV-Format speichern

Adressliste im CSV-Format speichern

2. Bezeichnung der Spalten in erster Zeile angegeben

Folgende Spalten-Beschriftungen sind möglich:

• gender: 0 = nicht gesetzt; 1 = weiblich; 2 = männlich
• title*: für die Anrede (z.B.: Frau, Herr, Prof.Dr., …)
• firstname*: für den Vornamen
• lastname*: für den Nachnamen
• birthday: Geburtsdatum im Format dd.mm.yyyy (z.B.: 20.03.1967)‏
• company: für den Firmennamen
• company_url: für die Firmen-Website
• street*: für die Straße des Adressaten
  
• zip*: für die Postleitzahl des Adressaten
  
• city*: für die Stadt des Adressaten
  
• country: für das Land des Adressaten
• email: für eine E-Mailadresse
• phone1: Telefonnummer (auch Textelemente erlaubt; z.B.: “Tel: 0177″)
• phone2: Telefonnummer (auch Textelemente erlaubt; z.B.: “mobil: 0177″)
• phone3: Telefonnummer (auch Textelemente erlaubt; z.B.: “privat: 0177″)
• phone4: Telefonnummer (auch Textelemente erlaubt; z.B.: “fax: 0177″)
• comments: für Kommentare zum Adressaten (z.B.: “Geschäftsführer”)
• externid: Externe Id des Addressaten (z.B.: im CRM-System)‏

Die mit einem Stern gekennzeichneten Felder sind Pflichtfelder! Sind diese Felder nicht ausgefüllt, kann der entsprechende Datensatz nicht importiert werden.

Pflichtfelder Adressliste

3. Die Felder müssen durch ein Semikolon separiert werden.

Import: Hochladen der CSV-Datei

Nun erfolgt der Import der Adressliste, die Sie im CSV-Format gespeichert haben:

1. Wählen Sie über „Browse“ die relevante Datei aus.

2. Klicken Sie auf „upload“ um diese Datei hoch zu laden.

Die Datei ist nun hochgeladen.

Import: Prüfung der hochgeladenen Adressliste

Um die Datensätze im System richtig darstellen zu können, müssen Sie die Kodierung richtig einstellen. Sie haben die Möglichkeit, verschiedenen Kodierungen zu testen, bis Ihre Daten richtig dargestellt werden. D.h., dass Umlaute und Sonderzeichen richtig dargestellt werden.

Sie haben folgende Auswahlmöglichkeiten:

• Kodierung: UTF8, ISO, WINDOWS, MAC
  
• Feldtrenner: Semikolon, Komma
  
• Texttrenner: LEER, “, ‘

Der Button „preview“ überprüft, ob die eingestellte Kodierung bezüglich Ihrer Daten durchgeführt werden kann und somit alle Umlaute und Sonderzeichen richtig umgesetzt werden. Ist dies der Fall, erhalten Sie eine Erfolgsmeldung. Sollten Sie diese Meldung nicht erhalten oder sollten bei der Prüfung weiterhin Fehler auftreten, stellen Sie eine andere Kodierung ein und versuchen Sie es erneut.

Nun werden Ihre ersten zehn Adressen dargestellt. Um alle Datensätze zu überprüfen, klicken Sie bitte auf „prüfen“.

Import: Zuweisen der Adressaten und Import-Start

Nach der Aktion „prüfen“ können Sie Ihre Daten importieren.

Sollten einzelne Adressen in der Datei fehlerbehaftet sein, können Sie sich diese über „abrufen“ darstellen lassen. Diese Adressen werden nicht importiert!

Sie können die Datensätze sofort einer Kampagne, einem Mitarbeiter oder einer Adressliste zuordnen. Geben Sie der Adressliste eine Bezeichnung. Diese Bezeichnung ist später im Adressmanager auswählbar, d.h. Sie können jederzeit die der Adressliste zugeordneten Adressaten problemlos filtern.

Mit einem Klick auf „import“ starten Sie den Import Ihrer Datensätze. Nun sind Ihre Adressen eingepflegt und können über den Adressmanager durch Sie verwaltet und bearbeitet werden.

ADRESSEN SUCHEN UND/ODER SORTIEREN

Der Filter im Adressmanager

Hier können Sie mit verschiedenen Kriterien einzelne Kunden oder Gruppen von Kunden mit gemeinsamen Eigenschaften suchen und/oder sortieren.

Klicken Sie nach Eingabe der Filterkriterien bitte auf den Button „suchen“ und es werden Ihnen die entsprechenden Kunden aufgelistet.

Das Suchergebnis

Hier werden Ihnen die gesuchten Kunden aufgelistet. Neben deren Namen werden die Sortierkriterien und der Status des Kunden in der Kampagne angezeigt.

Status des Adressaten

Folgender Status der Adressaten ist möglich:

1. (Symbol: Zahnrad) – Adressat ist einer laufenden Kampagne zugeordnet.

2. (Symbol: Brief) – Brief ist versendet (bis der Adressat die Kampagne online besucht hat, können seine Daten nicht mehr bearbeitet werden)‏

3. (Symbol: Stern) – Adressat hat Ihre Kampagne besucht.

Individuelle Kampagnen-Vorschau zu jedem Adressaten

Unter Test können Sie sich durch Klicken auf das Flash- oder HTML- Symbol Ihre personalisierte Kampagne als Flash- oder HTML-Version ansehen.

Aktionen im Adressmanager

Die Kategorie Aktionen zeigt Ihnen, was bezüglich des betrachteten Adressaten weiterhin zu tun ist (z.B. Brief muss noch versendet werden.). Weiterhin können Sie die Adressdaten anzeigen lassen oder bearbeiten.

Bearbeitung von Adressaten und ganzen Adressatenlisten

Sie können Ihre Adressaten einzeln oder in Gruppen bearbeiten.

Wählen Sie aus folgeneden Möglichkeiten der Bearbeitung aus:

• Exportieren: Laden Sie sich Adressdaten auf Ihren lokalen Rechner
• Kampagne zuweisen: Weisen Sie Adressaten einer Kampagne zu
• Mitarbeiter zuweisen: Weisen Sie Adressaten einem Ihrer Mitarbeiter zu
• Briefe verschickt: Stellen Sie den Status der Adressaten auf “Brief versendet”
• PDF-Inlay generieren: Generieren Sie eine druckbare PDF-Datei mit PURL
• Löschen: Löschen Sie Adressaten

Wählen Sie eine der aufgezeigten Bearbeitungsmöglichkeiten (rechts) und klicken zum Ausführen Ihrer Auswahl auf den Button ALL.

Die Häufung von Datenschutzschlampereien in zahlreichen deutschen Firmen haben in diesem Jahr zu einer Verschärfung des Datenschutzgesetzes geführt. Zwar nicht in dem Maße wie es Datenschutzexperten forderten, um illegalem Datenhandel, betrügerischen Praktiken oder Krankendatensammelei in Firmen entgegentreten zu können. Aber doch deutlich genug, um die allgemeine Schlamperwirtschaft im Umgang mit personenbezogenen Daten zu einem ernstzunehmenden juristischen Haftungsrisiko für Unternehmen zu machen.

Insbesondere für zahlreiche Formen des Internet-Marketings (database marketing, permission marketing, afiliate marketing, user targeting, profiling, e-mail  & newsletter marketing usw.) bedeutet das größere Veränderungen der Abläufe und in der Software, um hier wieder compliant zu werden. Oft rächen sich jetzt konzeptionelle Nachlässigkeiten der letzten Jahre.

Ein Schlüsselelement bilden dabei die Einwilligungen zur Datenverarbeitung i.S.d. § 4 BDSG. Die sollten Unternehmen nicht nur einholen sondern auch bei entsprechenden Prüfungen nachweisen können. Oft beginnen da schon die Probleme, weil nicht mehr klar ist, welchen firmeninternen Datenschutzbestimmungen in welcher Version der Kunde mal zugestimmt hat, da nicht ausreichend dokumentiert wurde.

Typisch war in der Vergangenheit auch oft, dass den betroffenen Unternehmen nicht klar war, dass die rechtmäßige Nutzung von personenbezogenen Daten regelmäßig eine schriftliche Einwilligung der Betroffenen erforderlich machte. Ohne eine solche Einwilligung ist und bleibt die Verwendung personenbezogener Daten aber grundsätzlich verboten (sog. Verbot mit Erlaubnisvorbehalt).

Neben dem Datenschutzrecht kommen aber auch auch wettbewerbsrechtliche Regeln zum Tragen: „Bei Bestandskunden (B2C und B2B) ist ausnahmsweise eine Bewerbung eigener Angebote auch ohne Einwilligung erlaubt, sofern die Daten im Zusammenhang mit Begründung oder Durchführung der Kundenbeziehung erlangt wurden und der Kunde der Zusendung von E-Mails nicht widerspricht“, so Burkhard Danckert, Rechtsanwalt der Kanzlei LDM Lehner, Dänekamp & Mayer in einem Interview mit der Internet-Marketing-Firma Artegic AG in derem Newsletter.

Und weiter: „Das neue Datenschutzrecht enthält ein so genanntes Listenprivileg, nach welchem Werbung sowohl im Hinblick auf die berufliche Tätigkeit des Betroffenen als auch für eigene Angebote der verantwortlichen Stelle erlaubt ist. Letzteres aber nur dann, wenn die Daten beispielsweise aus allgemein zugänglichen Adress-, Rufnummern-, Branchen- oder vergleichbaren Verzeichnissen erhoben wurden. Unbedingt zu beachten ist, dass im Bereich B2B (ohne Einbeziehung der Bestandskunden) Werbung im Hinblick auf die berufliche Tätigkeit nach dem Datenschutzgesetz zwar erlaubt, genau dieselbe E-Mail-Werbung in der Regel nach den wettbewerbsrechtlichen Vorschriften aber unzulässig ist. Nach dem Gesetz gegen den unlauteren Wettbewerb (UWG) ist wie schon bei Bestandskunden die E-Mail-Werbung ohne Einwilligung nur in Ausnahmefällen zulässig. Und bei Nicht-Bestandskunden ist die E-Mail-Werbung ohne explizite Einwilligung generell unzulässig.“

Ein zentrales Thema für das richtige Einholen von Einwilligungen sind juristisch korrekte Angaben zum Datenschutz. Doch hier werden häufig nur Vorlagen von Dritten übernommen ohne eine Prüfung für die inhaltliche Eignung im eigenen Geschäftskontext.

Anwalt Danckert hierzu: „Ich schätze, dass über 90 % der Datenschutzbelehrungen fehlerhaft sind“, so Anwalt Danckert  und erläutert rechtlich umfassend was in einer solchen Datenschutzbelehrung mindestens stehen muss: „Die verpflichtenden Angaben ergeben sich aus § 13 Telemediengesetz (TMG). Danach hat der Unternehmer in der Datenschutzbelehrung über Art, Umfang und Zweck der Erhebung sowie über die Verwendung personenbezogener Daten und die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten. Welche Angaben konkret zu machen sind, hängt immer auch vom konkreten Angebot des Unternehmens ab. Als Leitgedanke gilt, dass der Nutzer mit der Belehrung unmissverständlich in Kenntnis gesetzt wird, was mit seinen Daten passiert. Bei Newslettern ist der Kunde somit z.B. auch über die Häufigkeit der Versendung des Newsletter aufzuklären. Weiter ist der Nutzer unbedingt auf die Widerrufsmöglichkeit hinzuweisen, sofern er eine Einwilligung zur Datenverwendung gegeben hat. Dieser Hinweis muss selbstverständlich auch beim E-Mail-Abonnement gegeben werden. Es muss in diesem Zusammenhang dann auch dargestellt werden, wie das Widerrufsrecht ausgeübt werden kann.“

Es gibt also viel zu tun beim Datenschutz der Online-Marketeers. Daher haben deren Berufsverbände bereits erstes Material zur weiteren Information herausgegeben, mit dessen Lektüre man beginnen sollte.

Richtlinie Online-Marketing des Verbandes der deutschen Internetwirtschaft e.V. (eco)

Überblick über die Datenschutznovellen 20009 vom deutschen Dialogmarketing Verband e.V.

Und es zeigt sich einmal mehr, dass im Geschäftsleben das konsequente Durchsetzen der eigenen Interessen gegenüber anderen Gruppen in der Gesellschaft letztlich zu enormen Widerständen und in deren Folge zu weiterer Komplexität durch die dann notwendig gewordene härtere Regulierung führt. Die jetzt jammernden Firmen müssen einem daher nicht wirklich leid tun.

Über Drucker fand schon so manches Datengeheimnis seinen Weg an die Öffentlichkeit. Meist dadurch dass es jemand ausdruckte und den Druckauftrag nicht abholte. So dass er entweder weggeworfen wurde oder in die falschen Hände geriet. Oder weil Ausgedrucktes sich langfristig in den Plattenspeichern des Gerätes hielt und bei der Rückgabe von Leasinggeräten oder im Rahmen von Reparaturen aus dem Unternehmen herausleakte.

Über einen weiteren Weg, Druckern ihre Geheimnisse zu entreißen, berichtet die Fachzeitschrift „Computer und Arbeit“ in ihrer aktuellen Ausgabe 7/209.

Nadeldrucker erzeugen bei der Ausgabe eines Zeichens charakteristische unterscheidbare Geräusche. Zeichnet man sie auf, so lassen sich die ausgegebenen Zeichen mit hoher Wahrscheinlichkeit daraus korrekt wiedergewinnen, ohne dass man Zugriff auf den Drucker oder seine Datenspeicher haben muss.

Zwar sind Nadeldrucker nicht mehr allzu weit verbreitet. Sie werden aber nach wie vor überall dort eingesetzt, wo es darauf ankommt, Durchschläge drucken zu können. Beispielsweise in Arztpraxen oder Banken. Laser- oder Tintenstrahldrucker sind dazu technisch bedingt nicht in der Lage.

Einer Forschungsgruppe an der Universität des Saarlandes gelang es kürzlich mit Hilfe einer Kombination aus automatischer Spracherkennung und maschinellem Lernen über die Druckgeräusche etwa 70% der auf einem Nadeldrucker ausgedruckten Texte zu rekonstruieren.

Dazu hatten die Informatiker zunächst ein Wörterbuch gedruckt und die dabei entstehenden Druckgeräusche aufgezeichnet. Später ordneten sie datentechnisch jedem Wort die entsprechende Geräuschsequenz zu und konnten so ein Programm entwickeln, dass einerseits Störgeräusche wegfiltern und aus den verbleibenden Audiodaten anhand dieser Datenbank die gedruckten Zeichen mit hoher Treffsicherheit wiedergewann.

Etwa 70 % der Wörter der für die Tests verwendeten Patientenakten, Kontoauszüge und Geheimnummern von Konten konnten sie aus den Druckgeräuschen herausfiltern.

In vorangegangenen Studien hatten andere Forscher bereits nachgewiesen, dass man Daten aus den Abstrahlungen des Kabels eines LCD-Bildschirms ablesen kann und dass es möglich ist, Wörter über die Tastaturgeräusche beim Tippen herauszufiltern (Seitenkanal-Attacken).

Interview Michael Backes, Professor für Kryptografie und Informationssicherheit, auf Manager-Magazin.de

Die Auslagerung von Teilbereichen eines Unternehmens, der Einsatz von Leiharbeitskräften oder auch die Zusammenarbeit mit externen Beratern auf Dienst- und Werkvertragsbasis zählen mittlerweile zu den etablierten Instrumenten im Geschäftsleben, um flexibel zusätzliche Personalkapazität zukaufen zu können, ohne selbst verbindliche Verpflichtungen eingehen zu müssen.

So flexible die Beschäftigten in den Randbelegschaften des Unternehmens zirkulieren und fluktuieren, so flexibel können allerdings auch sensible interne Daten durch die Unternehmensgrenze hindurchdiffundieren.

Diese Erfahrung musste kürzlich auch die Sparkasse Köln/Bonn machen. Sie hatte sensible Vertriebsdaten an einen externen Berater weitergegeben, mit dem sie schon länger zusammenarbeitete. An sich nichts Ungewöhnliches –sowas geschieht täglich in Deutschland. Wenn man gemeinsam unternehmensübergreifend an Projekten arbeitet, geht das oft nicht anders. Daher werden für solche Fälle Vertraulichkeitsvereinbarungen, Datenschutzregeln etc. Gegenstand der Verträge aller Beteiligten und es wird sich auf gemeinsame Möglichkeiten zum sicheren Austausch von Informationen geeinigt. Und nach Abschluss der Projekte bzw. Beendigung der Zusammenarbeit werden alle projektbezogenen Informationen, Dokumente und Berechtigungen an den Auftraggeber zurückgegeben oder – ebenfalls zu vereinbaren – sicher vernichtet.

Genau da wurde aber anscheinend seitens der Sparkasse etwas geschludert. Und als es zwischen der Bank und einem ihrer externen Berater zu Streitigkeiten bzgl. finanzieller Fragen kam, behielt der wohl 25 Festplatten mit vertraulichen Mitarbeiter- und Kundendaten ein. Und erklärte dem Fernsehsender WDR gegenüber, die Daten ohne Abgabe einer sonst üblichen Vertraulichkeitserklärung und ohne Anonymisierung erhalten zu haben. Die Staatsanwaltschaft Köln schaltete sich daraufhin ein, um die Vorwürfe zu prüfen. Und auch die Landesdatenschutzbeauftragte von Nordrhein-Westfalen eröffnete ein datenschutzrechtliches Ermittlungsverfahren.

Und als die Bank eine den Vorfall relativierende Pressemitteilung herausgab, wurde diese vom Spiegel-Autor Felix Knoke prompt „aufgespießt“:

Ein klares Dementi sieht anders aus. Fasst man die Pressemitteilung in drei Sätzen zusammen, steht da: Es wurden Daten weitergebeben. Es sollten nur anonymisierte Daten weitergegeben werden. Wir wissen noch nicht zu 100 Prozent, was in welcher Form weitergegeben wurde.

Inzwischen wird dem Berater die Sache wohl zu heikel. Er habe im Laufe seiner Tätigkeit Vertriebsdaten von der Sparkasse erhalten, darunter aber nur vereinzelt Kundendaten, die er auf Papier bekommen und inzwischen vernichtet habe, erklärte er der dpa.

Er war demnach mehrere Jahre als freier Mitarbeiter bei der Sparkasse tätig und hat dort unter anderem Schulungsvideos und Lehrbücher erstellt. In dem Zusammenhang hat der Berater nach eigenen Angaben „alle möglichen Daten“ auf Papier oder als E-Mail von verschiedenen Sparkassen-Mitarbeitern bekommen.  Doch während die Sparkasse die Ansicht vertritt, dem Mann bereits 2005 schriftlich zur Verschwiegenheit verpflichtet zu haben, kann oder will dieser sich nicht daran erinnern: „Ich habe in meinen Unterlagen keinen Vertrag gefunden“ Es habe seiner Ansicht nach nur mündliche Absprachen gegeben.

Daher versucht die Sparkasse ihre Daten auf dem Rechtsweg von ihrem früheren Mitarbeiter zurückzuerlangen.

Zusammenfassend lässt sich feststellen, dass die unternehmensübergreifende Zusammenarbeit mit Externen immer ein zusätzliches Risiko darstellt und daher besonderer vertraglicher, organisatorischer und technischer Maßnahmen bedarf, um diese Risiken beherrschbar zu machen.

Dazu gehören die bereits erwähnten Vertraulichkeitsvereinbarungen ebenso wie der nachvollziehbare Umgang mit Informationen und Datenträgern sowie Vorgehensweise in Konfliktfällen.

Dabei sollte stets bedacht werden: Ein Unternehmen das externe Kräfte flexibel einsetzen will, demonstriert (auch) dass es auf dauerhafte Bindungen nicht allzu viel Wert legt. Ein solches Unternehmen sollte daher auch keine nennenswerte Loyalität dieser Mitarbeiter erwarten. Sondern vertraglich vereinbaren und dokumentieren, was für die korrekte Erledigung des jeweiligen Jobs oder Projektes nötig ist. Und sich über die „Restrisiken“ bei deren Eintritt nicht beschweren.

Und Kunden werden sich zunehmend fragen, wie weit sie einer Firma vertrauen können, wenn sie kaum etwas über deren Führung, Strategie und internen Abläufe hinsichtlich Personal und Organisation wissen.

WDR.de: Kundendaten der Sparkasse Köln/Bonn wurden ausgelagert. Ermittlungen gegen Ex-Sparkassen-Berater

Spiegel.de: Ärger mit Ex-Mitarbeiter. Honorarstreit könnte Sparkassen-Datenproblem ausgelöst haben

Vorgestern nahm ich dank einer Einladung der Gesellschaft für Informatik (GI e.V.) an der Fachtagung „Unified Communications – Neue Kommunikations-Infrastrukturen – schnell, effizient und zukunftssicher“ in München teil. Dort hatte ich Gelegenheit, mich auf den aktuellen Stand der Technik beim Thema Unified Communications (UC) in Unternehmen zu bringen.

Inhaltlich geht es um die Vereinheitlichung der (elektronischen) Kommunikation in Organisationen über die Integration von Kommunikationsmedien in einer einheitlichen Anwendungsumgebung. Dinge wie E-Mail, Sprachtelefonie, CTI, Fax, Instant Messaging, Verarbeitung von Webformularen etc. sollen über ein Netz laufen (Netzkonvergenz), von den Nutzern über einen einheitlichen Client bearbeitet werden können (Unified Inbox) und die Einbindung möglichst aller verwendeter Medien und Endgeräte ermöglichen.

Das wirft gerade in den Bereichen Informationssicherheit, Datenschutz und Compliance zahlreiche neue Probleme und Fragestellungen auf, was auf die Notwendigkeit entsprechender Lösungen hindeutet.

Das beginnt mit speziellen Security-Problemen von VoIP und mobilen Endgeräten oder das IP-Netz als „Single point of failure“ der Unternehmenskommunikation. Es geht weiter mit dem – besonders für Betriebsräte heiklen – Thema „Präsenzmanagement“ im Unternehmen. Und findet mit Fragestellungen rund um den sicheren Dokumentenaustausch beim e-Conferencing oder der ortsunabhängigen Informationssicherheit in unternehmens- und auch grenzüberschreitenden Kooperationen noch längst kein Ende. Auch ist es bislang noch keineswegs selbstverständlich, dass z.B. netzkonvergente Sprachtelefoniedaten wie VoIP grundsätzlich verschlüsselt werden.

Beispiel „Präsenzmanagement“: Bisher ist es in Unternehmen praktisch unmöglich, Aussagen über die Verfügbarkeit einzelner Arbeitnehmer zu treffen. Es sei denn, man arbeitet unmittelbar mit ihnen zusammen und bekommt daher mit, wo sie sind und was sie gerade tun. Über Verfügbarkeitsanzeigen wird jedoch die Anwesenheit / Erreichbarkeit jedes Beschäftigten für Dritte möglich. Diese Verfügbarkeitsdaten können auch aufgezeichnet werden. Der Sinn des Präsenzmanagements besteht darin, es jedem Nutzer zu ermöglichen, sofort zu überblicken, wen er mit welchen Medium gerade erreichen kann und wen nicht. So unterbleiben die meisten Versuche, nichterreichbare Leute zu kontakten, was eine gewisse Produktivitätssteigerung verspricht.

Was mancher aus seinem privaten IT-Gebrauch her kennt (Instant Messaging Client, Buddy Awareness Funktionen in Social Networks etc.), zieht so auch in die Arbeitswelt ein.

In UC-Systemen hat z.B. jeder Sachberbeiter in der Kundenberatung Zugriff auf potentiell alle Beschäftigten der Firma über ihren Präsenzstatus im UC-System und kann sie anhand von Skills als Suchbegriff in einer Suchmaske auswählen und direkt vom PC aus kontakten – jeder wird erreichbar und wer selten oder nie kontaktet wird, klassifiziert sich als potentiell überflüssig!

Eine Auswertung der Präsenzlogs der letzten drei Monate kann da schon ausreichen, um „überflüssigen Speck“ in der Organisation zielsicher zu orten. Und aus den Kontaktstatistiken lassen sich durch entsprechende Visualisierungstools gute Übersichten über informelle Gruppen, Kompetenzcluster und andere, nicht im Organigramm enthaltene, personelle Zusammenhänge in der Belegschaft gewinnen.

Das Prinzip funktioniert auch in die andere Richtung. Kunden können bereits beim Eingehen ihres Kontaktes (egal auf welchem Weg) im Contact-Center des Unternehmens identifiziert und auch klassifiziert werden. Das ermöglicht es sofort vorzusortieren, welche Art und Güte von Service man dem Kunden angedeihen lassen will und diese Information auch an alle nachgelagerten mit ihm befassten Beschäftigten weiterzureichen.

Unified Communications erfordert demnach auch ein hohes Maß an Integration in bestehende Systeme und Datenbestände, um seine Potentiale zur Produktivitätssteigerung voll nutzen zu können. Auch sind fast immer Veränderungen der bisherigen Arbeitsabläufe, Datenbestände und IT-Systeme erforderlich. Zudem geht es um die sinnvolle Nutzung der durch UC neu entstehenden Möglichkeiten wie der zunehmenden Ortsunabhängigkeit von IT-gestützen Service-Tätigkeiten.

Kommunikative Konvergenz kann IT-Sicherheit vereinfachen, da viele „Parallelwelten“ wegfallen. Es kann sie aber auch erschweren, wenn Systeme mit hoher Komplexität neu eingeführt werden.

Gerade für Betriebsräte und Datenschutzbeauftragte wird daher die konkrete Umsetzung eines UC-Projektes schnell zur Herausforderung, die sorgfältige Beratung und Schulung sowie entsprechenden zeitlichen Vorlauf zur Technologieevaluation erforderlich machen dürfte.

UC kann als Rationalisierungsinstrument zur Arbeitsverdichtung, Steigerung der Mitarbeiterproduktivität, verstärkter Fremdsteuerung von Beschäftigten (durch andere Arbeitnehmer sowie Kunden und Ad-hoc-Aufgaben die „mal eben schnell“ und „zwischendurch“ erledigt werden sollen) beitragen. Es fördert bei falscher Verwendung den Risikofaktor der indirekten Steuerung, d.h. die Etablierung eines Systems der Mitarbeiterführung, bei dem die Arbeitsbelastung rapide ansteigt, ohne dass jemand konkret Mehrarbeit angeordnet hätte oder für unzureichende Personalressourcen bzw. überzogene Ziele und Mengen verantwortlich wäre.

UC kann ganz oder teilweise als Managed Service, Software as a Service (SaaS), Cloud Computing oder ähnlichen Angeboten von Dienstleistern bezogen werden. Dabei sind mehrere Betreibermodelle möglich, durch die sich Spezialprobleme der unternehmensübergreifenden IT-Nutzung wie die Auftragsdatenverarbeitung ergeben können. Es geht um die übliche Vorteile und Nachteile der Fremdvergabe von Leistungsumfängen sowie einer konzeptionell anspruchsvollen Planung und Umsetzung. Auch wird meist die Steuerung der Dienstleister über einen Service-Manager nötig sein.

Noch weitgehend unklar ist auch der Themenkomplex Langzeitarchivierung aufzeichnungspflichtiger Inhalte (E-Mails, Calls, Spezialanforderungen hoch regulierter Branchen) im Zusammenhang mit UC-Systemen und -Projekten.

Heise.de: Schöne, neue Arbeitswelt: vernetzt, unsolidarisch und kosteneffizient

Labournet.de: Rubrik Arbeitsorganisation

Gääääähnnnnn!!! Das gehört doch zur Zeit zum guten Ton der Deutschen Telekom  ihren Kunden und dessen Daten  wie Müll zu behandeln. Der Datenschutzbericht der Telekom hat ein Haltbarkeitsdatum von fast 2 Tagen und ist eine wahr gewordene Lüge. Datenschutz und  Telekom schließen sich gegenseitig aus. Gut das ich kein Kunde bei denen bin und auch in Zukunft niemals sein werde!!!

Heute in Futurezone: Kundendaten im Altpapiercontainer

Passantinnen haben in einem Altpapiercontainer in Aachen Unterlagen mit Kundendaten unter anderem der Deutschen Telekom (DT) gefunden. Die zwei Jahre alten Unterlagen stammten aus einem mittlerweile geschlossenen Callcenter, das für Telekommunikationsfirmen arbeitete, teilte die Polizei am Mittwoch in Aachen mit.

Lidl, Telekom, Deutsche Bahn – die Kette namhafter deutscher Unternehmen, die wegen Problemen im Zusammenhang mit Datenschutzverstößen in der Presse landen, wird zusehends länger. Die dann oft recht hilflosen Äußerungen der Verantwortlichen vor laufenden Kameras verschlimmern das Ganze dann meist noch. Wie erst kürzlich Hartmut Mehdorn, Vorstandvorsitzender der Deutschern Bahn AG schmerzlich erfahren musste, als er sich auf Druck der Gewerkschaften für die Ausspähung hunderttausender Mitarbeiter öffentlich entschuldigen musste.

Kein Zweifel – Datenschutzthemen werden von der breiten Öffentlichkeit inzwischen ähnlich sensibel bewertet wie Gammelfleischskandale oder giftiges Spielzeug. Der damit verbundene Imageverlust kann für Firmen drastische bis ruinöse Folgen haben. Zwar weiß kaum jemand, was die nur 46 Paragraphen des Bundesdatenschutzgesetzes (BDSG) nun konkret beinhalten. Aber für Qualitätsfragen sind auch diejenigen Verbraucher sensibel, die keine Experten für Lebensmittelrecht oder Produkthaftung sind.

Gerade für Selbständige und Unternehmer lohnt es sich daher, sich über Fragen des Datenschutzes Gedanken zu machen. Auch ohne das Gesetz und die dazugehörigen Kommentierungen der Rechtsprechung im Einzelnen gelesen und verstanden zu haben, kann das Datenschutzniveau eines Unternehmens aus Kundensicht bereits durch die Anwendung einiger weniger Grundprinzipen deutlich verbessert werden.

Datensparsamkeit
Das Grundprinzip der Datensparsamkeit bedeutet, dass nur so viele Daten erhoben und verarbeitet werden, wie für den damit verfolgten Zweck unbedingt nötig sind. Und nicht mehr. Für das Verschicken eines Newsletters ist eine gültige Mailadresse nötig, kein komplettes Interessenprofil und keine Telefonnummer. Für die Zustellung einer Ware werden ein Namen und eine Postanschrift sowie die Zahlungsdaten benötigt, kein Lebenslauf, keine Kenntnis der zuvor besuchten Webseiten des Käufers und keine Konsumprofile. Schon mit der damit gerne verbundenen automatisierten Schufa-Abfrage bewegt man sich in genau genommen in einer rechtlichen Grauzone, die sich hauptsächlich aus althergebrachter Gewohnheit aber durch sonst nichts rechtfertigt.

Datenvermeidung
Für viele geschäftliche Vorgänge sind gar keine personenbezogenen Daten erforderlich. In jedem Supermarkt, an jeder Tankstelle und jedem Kiosk werden Waren völlig ohne Daten anonym verkauft. Niemand käme auf die Idee, sich irgendwo zu registrieren und einzuloggen, um beim Discounter seinen Einkauf zu bezahlen. Diese Praxis ist überhaupt erst durch den e-Commerce aufgekommen, wäre aber auch dort längst nicht in dem Maße erforderlich wie heute üblich.

In vielen Geschäftsprozessen werden mehr Daten erhoben und verarbeitet, als für Ablauf und Zielsetzung des Vorgangs nötig sind. Ziel ist dabei oft ein Sekundärnutzen durch Aneignung dieser Daten, um daraus Informationen über die Kunden gewinnen zu können. Das dies ohne ausdrückliche Zustimmung der Kunden zu dieser, über die reine Geschäftsabwicklung hinausreichende, Nutzung gar nicht zulässig und damit illegal ist, entgeht vielen Datensammlern.

Fremde Daten wie fremdes Eigentum respektieren
Das Verarbeiten personenbezogener Daten anderer Menschen ist datenschutzrechtlich betrachtet erst mal verboten, es sei denn es wurde durch ein Gesetz, eine vertragliche Grundlage oder eine Einwilligung der Betroffenen im Einzelfall und bezogen auf einen ganz bestimmten Zweck erlaubt. Man spricht auch von einem Verbot mit Erlaubnisvorbehalt. Damit soll sichergestellt werden, dass jeder selbst Eigentümer seiner persönlichen Daten bleibt, dass dieses Dateneigentum respektiert wird und der Dateneigentümer mit seinen Daten machen kann was er selbst will (das Recht auf informationelle Selbstbestimmung).

Ist man sich daher nicht wirklich sicher, ob man die personenbezogenen Daten Dritter verwenden darf, sollte man im Zweifel eher darauf verzichten. Oder sich eben die Einwilligung dieser Personen besorgen. Alle Datenschutzskandale der jüngeren Vergangenheit hatten ihren Ursprung darin, dass man personenbezogene Daten Dritter nutzte, ohne diese vorher um Erlaubnis zu bitten oder sie auch nur darüber zu informieren (so dass sie der Verwendung ihrer Daten nicht widersprechen konnten).

Für viele Dinge im e-Business ist die Nutzung personenbezogener Daten von Kunden allerdings wirklich nötig. E-Shop-Systeme, e-Learning-Plattformen, Forensysteme oder Web 2.0-Anwendungen sind da nur einige Beispiele. Gerade bei kommerziellen Projekten kann es da sinnvoll sein, den Respekt vor anderer Leute Daten sowie die Berücksichtigung datenschutzrechtlicher Vorgaben durch ein Prüfsiegel nachzuweisen.

So hat z.B. die Initiative D21, ein gemeinnütziger Verein zur Förderung der Verbreitung und Nutzung des Internets in Deutschland, einen Katalog von Qualitätskriterien für kommerzielle Internet-Angebote (PDF, 155 kb) zusammengestellt, der auch datenschutzrechtliche Auflagen umfasst. Auf der Website www.internet-guetesiegel.de werden zudem fünf Prüfsiegel von unterschiedliche Prüfgesellschaften vorgestellt, mit denen man das Qualitätsniveau des Datenschutzes für Kunden deutlich sichtbar auf der Webseite nachweisen kann.

Ja, es geht weiter. Nachdem StudiVZ das Problem mit neuen AGBs hatte und nun Facebook kurz bevor steht diese zu ändern (wurde berichtet) gibt es jetzt Neuigkeiten im Fall von Facebook.

Wie DE:BUG berichtet (LINK) bringt es auch nichts mehr seinen Account zu löschen, denn Facebook behält sich vor auch die Daten von gelöschten Nutzern weiterhin zu verwerten. Wir können weiterhin gespannt sein, wie es bei dieser Plattform weitergeht.

UPDATE: Facebook hat die geänderte AGB zurückgezogen und wird in den kommenden Wochen eine Neue veröffentlichen.

Bei der Telekom beginnt man Konsequenzen aus den Datenschutzskandalen des letzten Jahres zu ziehen. Der im Oktober 2008 durch den Vorstandsvorsitzenden René Obermann angekündigte Datenschutzbeirat wurde gegründet. Künftig soll er vierteljährlich tagen und Vorstand sowie Aufsichtsrat der Telekom in datenschutzrelevanten Themen beraten. Dazu zählen u.a. der Umgang mit Kunden- und Mitarbeiterdaten, Datenschutzaudits, die IT-Sicherheit sowie die Auswirkungen neuer gesetzlicher Regelungen im Datenschutzbereich.

Das klingt zunächst mal nicht allzu verbindlich.  Und tatsächlich besteht bei Beiräten, die es ja in vielen Firmen gibt, stets das Risiko, dass sie zu Herrenclubs und Labergremien für Frühstücksdirektoren verkommen.

Zu den vierteljährlichen Sitzungen des Datenschutzbeirates werden allerdings  Vertreter der Aufsichtsbehörden Bundesnetzagentur und des Bundesdatenschutzbeauftragten sowie des Bundesamtes für Sicherheit in der Informationstechnik (BSI) mit eingeladen. Sie sollen wohl externes Know-how zu Technik und Recht mit einbringen und relevante politische Entwicklungen verdeutlichen.

Der Datenschutzbeirat soll künftig über datenschutzrelevante Vorgänge in der Telekom informiert werden und zudem von sich aus Themen aufgreifen. Die Deutsche Telekom wird im Beirat unter anderem durch Dr. Manfred Balz, Vorstand Datenschutz Recht und Compliance, repräsentiert. Dem „obersten Aufseher für Recht und Ordnung“ also, denn solche Compliance-Vorstände gibt es mittlerweile in fast jedem DAX-Konzern, nachdem die Haftungsregeln für Manager bereits vor Jahren deutlich verschärft wurden.

Zu den Mitgliedern des Beirats gehören zahlreiche Politiker und Juristen, darunter Wolfgang Bosbach, MdB, Rechtsanwalt und stellvertretender Vorsitzender der CDU/CSU-Bundestagsfraktion, Dr. Michael Bürsch, MdB, seit November Koordinator für Datenschutzfragen in der SPD-Bundestagsfraktion sowie Peter Franck vom Chaos Computer Club (CCC) und Prof. Dr. Hansjörg Geiger, Honorarprofessor für Verfassungsrecht an der Johann-Wolfgang-Goethe-Universität in Frankfurt.

Das sogar der stark bürgerrechtsorientierte CCC einen Vertreter in diesen Beirat entsendet,  macht deutlich, dass es der Telekom offenbar Ernst zu sein scheint, nötige strukturelle Veränderungen vorzunehmen, um so verloren gegangenes Vertrauen wieder zurückzugewinnen.

Telekom.de: Pressemitteilung Datenschutzbeirat konstituiert