Zum Inhalt springen

Datenbank

Kon­takt­auf­nah­me mit Daten aus öffent­li­chem Register

Die Deut­sche Gesell­schaft für Poli­tik­be­ra­tung (dege­pol) hat eine Ver­war­nung wegen Daten­schutz­ver­sto­ßes von der Ber­li­ner Beauf­trag­ten für Daten­schutz und Infor­ma­ti­ons­frei­heit erhal­ten. In die­sem Zuge erfolg­te die Klar­stel­lung, dass die Gewin­nung von Daten aus öffent­li­chen Regis­tern nicht zu jedem Zweck — wie etwa dem Ver­sand per­so­na­li­sier­ter Wer­bung — zuläs­sig ist. Dies hat Aus­wir­kun­gen sowohl auf die werb­li­che Kon­takt­auf­nah­me als sol­che als auch auf Umfra­gen, die mit Hil­fe sol­cher Infor­ma­tio­nen durch­ge­führt wer­den, im vor­lie­gen­den Fall gegen­über Lobbys.

Beschwer­de durch Betrof­fe­nen aus Lobbys 

Im vor­lie­gen­den Fall waren Ver­bän­de /​ deren Ver­tre­ter aus dem öffent­li­chen Regis­ter über Lob­bys des Bun­des­tags mit­tels Tabel­len­ex­port in Excel ange­schrie­ben und zu Umfra­gen ein­ge­la­den wor­den. Die zugrun­de lie­gen­de Beschwer­de wur­de durch einen Betrof­fe­nen Lob­by-Ange­hö­ri­gen eingegeben. 

Quel­len­an­ga­ben 

Die Daten aus dem Lob­by-Regis­ter sei­en von der dege­pol an den Dienst­leis­ter online​um​fra​gen​.com wei­ter­ge­ge­ben wor­den für den Ver­sand von Anschrei­ben mit per­so­na­li­sier­ter Anre­de und ohne Hin­weis auf Daten­quel­len. Unter ande­rem hier­in wur­de ein Daten­schutz­ver­stoß gese­hen. Eine Quel­len­an­ga­be habe mit dem ers­ten Anschrei­ben erfol­gen müs­sen und wur­de auch in der ver­link­ten Daten­schutz­er­klä­rung ver­misst — so die Datenschutzaufsicht. 

Namen von Lobbyisten

Die Ber­li­ner DSB zog ein berech­tig­tes Inter­es­se der Deut­schen Gesell­schaft für Poli­tik­be­ra­tung in Zwei­fel, nach dem die­se die Daten zur Anfer­ti­gung einer “aus­sa­ge­kräf­ti­gen Stu­die” zu Hono­rar­zah­lun­gen in der Lob­by­welt Deutsch­lands für erfor­der­lich hielt. Fer­ner wur­de moniert, dass in die­sem Zusam­men­hang Namen Ange­hö­ri­ger von Lob­bys ohne Not­wen­dig­keit ver­ar­bei­tet wor­den seien.

“Wei­te­re auf­sichts­recht­li­che Mit­tel”, auch für einen Wie­der­ho­lung­fall, schloss die Daten­schutz­be­hör­de nicht aus. Gene­rell gespro­chen kann es sich bei sol­chen etwa um Vor-Ort-Prü­fun­gen, die Anord­nung von Maß­nah­men oder die Ver­hän­gung von Buß­gel­dern han­deln, um eini­ge Befug­nis­se der unab­hän­gi­gen Daten­schutz­be­hör­den zu nennen.

Regis­ter des Bun­des­tags 

Der Bun­des­tag hat bis­her kein ver­bind­li­ches Ver­zeich­nis hier­zu her­aus­ge­ge­ben. Das Regis­ter des Bun­des­ta­ges über Lob­bys umfasst momen­tan über 2300 Ein­rich­tun­gen, “die eine Auf­nah­me von sich aus bean­tragt“ hät­ten, um ihre Tätig­kei­ten damit trans­pa­rent machen zu wollen. 

Sicher auch aus Daten­schutz­sicht eine begrü­ßens­wer­te Intention. 

Daten­pan­ne bei REWE — mut­maß­li­cher Hacker unter­ge­taucht (Update)

“Für die Unter­neh­men der REWE Group sind ver­läss­li­che Pro­dukt­qua­li­tät und Sicher­heit obers­tes Gebot. Dar­auf kön­nen sich unse­re Kun­den ver­las­sen” — damit wirbt REWE auf sei­nen Inter­net­sei­ten. Erst bei genau­em Wei­ter­le­sen erkennt man, damit sind nur Pro­duk­te des Unter­neh­mens gemeint, nicht die Datensicherheit.

Das erkann­ten ver­gan­ge­ne Woche nun auch Com­pu­ter­ha­cker und mach­ten sich erfolg­reich über die IT-Infra­struk­tur her. Ziel und Opfer der Daten­pan­ne waren zwei Daten­ban­ken mit Namen, Adres­sen und Pass­wör­tern von Kun­den, die an einer Fuß­ball­bil­der-Sam­mel­ak­ti­on und einer Inter­net­tausch­bör­se teil­ge­nom­men hatten.

Nach Anga­ben des Unter­neh­mens waren hier­bei kei­ne Bank- und Kre­dit­kar­ten­da­ten betrof­fen und die Sicher­heits­lü­cke seit Frei­tag abend geschlos­sen. Anga­ben über die Dau­er des Daten­lecks wur­den kei­ne gemacht. In den Pres­se­mel­dun­gen des Unter­neh­mens und er Unter­neh­mens­grup­pe fin­det sich nichts zu die­sem Vor­fall (zum Zeit­punkt des Ver­fas­sens die­ses Arti­kels), die Infor­ma­ti­on stammt von der Ber­li­ner Mor­gen­post.

Daten­schutz tut Not

Die nicht abrei­ßen­de Flut an Daten­pan­nen der letz­ten Wochen zeigt deut­lich auf, es steht nicht zum Bes­ten um das The­ma Daten­schutz in Unter­neh­men. Nicht aus­rei­chend geprüf­te Soft­ware­up­dates, mona­te­lang bekann­te sträf­lich ver­nach­läs­sig­te Sicher­heits­lü­cken oder auch unzu­rei­chen­de Pass­wort­si­cher­heit füh­ren die Hit­lis­ten der Grün­de für die­se Daten­pan­nen an. Fra­gen Sie doch mal Ihren Daten­schutz­be­auf­trag­ten, was er gegen sol­che Vor­komm­nis­se an pro­ba­ten Mit­teln bereit­hält. Sie wer­den stau­nen. Apro­pos: hat Ihr Unter­neh­men über­haupt einen Daten­schutz­be­auf­trag­ten? Viel­leicht droht hier schon das nächs­te Unge­mach in Form eines Buß­gelds auf­grund feh­len­der oder ver­spä­te­ter Bestellung.

Auf jeden Fall soll­ten alle Betrof­fe­ne prü­fen, ob das bei REWE genutz­te Pass­wort auch an ande­rer Stel­le zum Ein­satz kam. Wenn ja, dann ist schnel­ler Wech­sel angesagt.

Update 18.07.2011, 16:27 Uhr:

Mitt­ler­wei­le ist eine Pres­se­mel­dung der REWE Group erschienen.

Update 20.07.2011, 09:45 Uhr:

Der Spie­gel berich­tet, die Log­in­da­ten inkl. Pass­wör­ter sind mitt­ler­wei­le frei im Netz ver­füg­bar. Die Pass­wör­ter lagen in den Sys­te­men von REWE in unver­schlüs­sel­ter Form vor und laden nun zum Miß­brauch ein. Jetzt heisst es für Betrof­fe­ne schnell reagie­ren und die­ses Pass­wort über­all da zu ändern, wo es mög­li­cher­wei­se noch zum Ein­satz kam.

Update 06.08.2011, 09:10 Uhr

hei­se mel­det im Ticker, die Köl­ner Poli­zei habe den mut­maß­li­chen Täter ermit­telt. Es soll sich dabei um einen 23-jäh­ri­gen han­deln, der zur Zeit flüch­tig ist. Der Ver­däch­ti­ge hat sich in ein­schlä­gi­gen Hacker­fo­ren im Inter­net über sei­ne Vor­ge­hens­wei­se beim Ein­drin­gen in die REWE-Sys­te­me geäußert.

Bedau­er­li­cher­wei­se führ­ten die­se Anlei­tun­gen zu wei­te­ren Angrif­fen, so die Köl­ner Kri­po. Wei­te­re Daten­ver­lus­te bis zu Abschal­tung der Sys­te­me sei­en durch­aus im Bereich des Möglichen.

Da die gehack­ten Kun­den­da­ten mitt­ler­wei­le im Inter­net ver­öf­fent­licht wur­den, kann der Appell an mög­li­che Betrof­fe­ne nur drin­gend wie­der­holt wer­den, mehr­fach ver­wen­de­te Pass­wör­ter schleu­nigst zu ändern, um Miß­brauch zu vermeiden.

Hilf­rei­che Datenschutz-Links

  • Wol­len Sie die Risi­ken aus dem Bun­des­da­ten­schutz­ge­setz für Ihr Unter­neh­men mini­mie­ren? Eine pas­sen­de Lösung fin­den Sie sicher in unse­rem Leis­tungs­an­ge­bot.
  • Unsi­cher, ob für Ihr Unter­neh­men die gesetz­li­che Bestell­pflicht für einen (exter­nen) Daten­schutz­be­auf­trag­ten vor­liegt? Die Ant­wort gibt unser Daten­schutz-Quick-Check, sie­he Leis­tun­gen.
  • Sie wol­len eine unab­hän­gi­ge Prü­fung, wie gut es um Daten­schutz und Daten­si­cher­heit in Ihrem Unter­neh­men bestellt ist? Kein Pro­blem mit unse­ren Leis­tun­gen.
  • Schu­lungs­be­darf für Ihre Mit­ar­bei­ter? Zusätz­li­che Trai­nings und Work­shops rund um Daten­schutz und Daten­si­cher­heit? Erfah­ren Sie mehr über unse­re Schu­lun­gen und Semi­na­re.
  • Anlei­tun­gen, Rat­ge­ber und Links, die das täg­li­che Arbei­ten erleich­tern und hel­fen kön­nen, Daten­pan­nen zu ver­mei­den, fin­den Sie in der Rubrik Anlei­tun­gen /​ Rat­ge­ber.

ELENA (elek­tro­ni­scher Ent­gelt­nach­weis) — Hin­ter­grün­de, Fak­ten, Sicher­heit, Kla­ge, Stand der Dinge

Viel und kon­tro­vers dis­ku­tiert — ELENA. Doch was steckt dahinter?

Seit Jah­res­be­ginn 2010 sind alle Arbeit­ge­ber in Deutsch­land ver­pflich­tet, Ent­gelt­da­ten Ihrer Arbeit­neh­mer an eine zen­tra­le Daten­bank der Deut­schen Ren­ten­ver­si­che­rung elek­tro­nisch zu über­mit­teln. Grund­la­ge sind Beschlüs­se vom 28.03.2009 (das sog. ELE­NA-Ver­fah­rens­ge­setz) im Rah­men der Hartz-Geset­ze zur Ent­bü­ro­kra­ti­sie­rung. Begrün­dung: hohe Ein­spar­po­ten­tia­le durch Ersatz der Papier­flut bei Ein­kom­mens­nach­wei­sen für den Erhalt von Sozi­al­leis­tun­gen wie Wohn­geld, Arbeits­lo­sen­geld, Kin­der­geld etc.

Über­mit­telt und gespei­chert wer­den neben den rei­nen Ent­gelt­da­ten (was der Name ELENA impli­ziert) zusätz­li­che Anga­ben wie

  • Besteue­rung
  • Sozi­al­ver­si­che­rungs­ver­hält­nis­se
  • Beginn und Ende des Beschäftigtenverhältnis
  • Abmah­nun­gen
  • Kün­di­gungs­grün­de.

Ursprüng­lich ange­dacht war eben­falls die Über­mitt­lung von Streik- und Aus­sper­rungs­zei­ten. Die­se wer­den nach Pro­tes­ten mitt­ler­wei­le nur noch als “sons­ti­ge Fehl­zei­ten” erfasst.

Für die Sicher­heit der Daten von ELENA soll ein pseud­ony­mi­sier­tes Abla­ge­ver­fah­ren sor­gen, heisst die Anga­ben wer­den nicht unter dem Real­na­men des Arbeit­neh­mers abge­spei­chert. Mit­tels einer Signa­tur­kar­te gibt ab 2012 ein Beschäf­tig­ter der anfra­gen­den Stel­le sei­ne gespei­cher­ten Daten in ELENA frei. Die anfra­gen­de Behör­de muss sich eben­falls legi­ti­mie­ren und für den Zugriff berech­tigt sein.

Kri­ti­siert wer­den sei­tens der Daten­schüt­zer, aber auch von ande­rer Seite:

  • die Anla­ge einer hoch­sen­si­blen zen­tra­len Daten­bank mit Daten über ca. 40 Mil­lio­nen Arbeitnehmer
  • die Mög­lich­keit, sich mit­tels der Daten ein umfang­rei­ches Bild über die wirt­schaft­li­che Situa­ti­on des Betrof­fe­nen ver­schaf­fen zu können
  • die lan­ge Spei­cher­dau­er von 5 Jahren
  • die Ver­schlüs­se­lung der Daten erst nach Ein­gang bei ELENA

Am 31.03.2010 wur­de gegen ELENA beim Bun­des­ver­fas­sungs­ge­richt in Karls­ru­he Ver­fas­sungs­be­schwer­de durch den Foe­BuD e.V., wei­te­ren Daten­schutz­or­ga­ni­sa­tio­nen und den pro­zess­be­voll­mäch­tig­ten Anwäl­ten Mein­hard Sta­ros­tik und Domi­nik Boe­cker ein­ge­reicht. Begrün­dung: das Recht auf infor­ma­tio­nel­le Selbst­be­stim­mung des Ein­zel­nen wer­de durch Art und Umfang ver­letzt. Die not­wen­di­gen 21.000 Unter­zeich­ner für eine sol­che Beschwer­de wur­den zuvor mit ent­spre­chen­dem media­len Auf­wand gesammelt.

Update 04.07.2010:

Focus online berich­tet in sei­ner heu­ti­gen Online-Aus­ga­be, daß Wirt­schafts­mi­nis­ter Brü­der­le geneigt ist, die umstrit­te­ne und umfäng­li­che Arbeit­neh­mer­da­ten­spei­che­rung ELENA auf unbe­stimm­te Zeit aus­zu­set­zen — aus Kos­ten­grün­den. Die Belas­tun­gen für die öffent­li­chen Haus­hal­te dürf­ten nicht explo­die­ren. Eine wirk­li­che Ent­las­tung für den Mit­tel­stand sieht er eben­falls noch nicht als erwie­sen an.

Update 21.07.2010:

Es ist anschei­nend bei der Nei­gung geblie­ben, ELENA zu stop­pen. Nach ers­ten hit­zi­gen Dis­kus­sio­nen und zahl­rei­chen Medi­en­be­rich­ten ist das The­ma in der Ver­sen­kung ver­schwun­den. Kei­ner der Betei­lig­ten ver­liert mehr ein Wort über den mög­li­chen Stopp oder das vor­zei­ti­ge Aus von ELENA. Ich hal­te Sie informiert.

Update 22.09.2010:

Laut einer Mel­dung der c’t lehnt das Bun­des­ver­fas­sungs­ge­richt den Eil­an­trag gegen ELENA ab. Es ver­weist auf das Haupt­sa­che­ver­fah­ren, das in 2011 fol­gen wird.

Update 21.11.2010:

Wenn nun auch ande­re Grün­de aus­schlag­ge­bend waren, als die ursprüng­li­chen Befür­wor­ter eines ELE­NA-Stopps ins Feld führ­ten, so ist es nun doch amt­lich. DIE ZEIT online berich­tet, der Start der Daten­über­mitt­lung mit ELENA ist auf den 01.Januar 2014 ver­scho­ben — aus Kos­ten­grün­den. Inwie­weit die schon in 2010 gestar­te­te Daten­über­tra­gung  — als ers­te Stu­fe von ELENA — an die zen­tra­le Spei­cher­stel­le bei der Deut­schen Ren­ten­ver­si­che­rung von die­sem Stopp eben­falls betrof­fen ist, steht noch nicht fest.

Die mobile Version verlassen