Das Jahr 2013 geht zu Ende. Ein Jahr, in dem es für das The­ma Daten­schutz und die laut Bun­des­da­ten­schutz­ge­setz als “Betrof­fe­ne” bezeich­ne­ten Ver­brau­cher tur­bu­lent zuge­gan­gen ist.

PRISM, NSA und der damit ver­bun­de­ne Whist­leb­lower Edward Snow­den sorg­ten für eine teil­wei­se geän­der­te Sicht­wei­se auf den Umgang per­so­nen­be­zo­ge­ner Daten, nicht nur durch Geheim­diens­te. Bei vie­len Betrof­fe­nen mach­te sich eine gewis­se Resi­gna­ti­on breit, wie wir zum Bei­spiel auf Tagun­gen und Schu­lungs­ver­an­stal­tun­gen erfah­ren durf­ten. Doch zahl­rei­che Unter­neh­men stell­ten sich der Her­aus­for­de­rung mit uns gemein­sam, per­so­nen­be­zo­ge­ne Daten noch siche­rer zu machen oder zumin­dest unzu­läs­si­ge Zugriffs­mög­lich­kei­ten auf höchs­tem Niveau zu erschweren.

Die Abhör­af­fä­re um alle Bür­ger der Bun­des­re­pu­blik Deutsch­land wur­de sei­tens hoch­ran­gi­ger Inter­es­sens­ver­tre­ter der Poli­tik mit weni­gen Wor­ten als erle­digt ad acta gelegt. Erst als der unbe­rech­tig­te Zugriff auf das Mobil­te­le­fon der Kanz­le­rin bekannt wur­de (Mer­kel-Gate), sah man sich zur Kurs­kor­rek­tur gezwun­gen. Ob sich dar­aus Ände­run­gen im zukünf­ti­gen Umgang mit “Freun­den” und “Part­nern” erge­ben, nicht nur im Hin­blick auf Daten­aus­tausch (z.B. Swift), bleibt mit berech­tig­ter Skep­sis abzuwarten.

Der oft­mals unbe­que­me Bun­des­da­ten­schutz­be­auf­trag­te Peter Schaar muss­te nach zwei Tätig­keits­pe­ri­oden im Dezem­ber sein Amt abge­ben. Wur­de er ger­ne als zahn­lo­ser Papier­ti­ger ver­un­glimpft, war er doch min­des­tens genau­so oft der unbe­que­me Sta­chel im Fleisch der­je­ni­ger, die mein­ten, den Schutz per­so­nen­be­zo­ge­ner Daten — und damit den Schutz der Bür­ger — aus­höh­len zu wol­len. Jüngs­tes Bei­spiel: der geplan­te Zugriff auf die Maut-Daten zur Straf­ver­fol­gung durch den mitt­ler­wei­le nicht mehr amtie­ren­den Bun­des­in­nen­mi­nis­ter Friedrich.

Sei­ne Nach­fol­ge­rin, Frau Andrea Voß­hoff lösch­te publi­kums­wirk­sam ihre Pro­fi­le in sozia­len Netz­wer­ken. Böse Zun­gen behaup­ten, das sei auch die bis­her ein­zi­ge Akti­vi­tät gewe­sen, mit der die Juris­tin sich mit dem The­ma Daten­schutz aus­ein­an­der­ge­setzt habe. Auf­ge­fal­len war sie zuvor bis­her nur als glü­hen­de Ver­fech­te­rin der Vor­rats­da­ten­spei­che­rung sowie des Acta-Abkom­mens. Nach eige­ner Aus­sa­ge sieht sie sich jedoch durch ihre Par­la­ments­tä­tig­keit für die neue Auf­ga­be bes­tens gerüs­tet. Es blei­ben Zwei­fel, die es durch Ein­satz aus­zu­räu­men gilt.

Edward Snow­den beklagt in einer Weih­nachts­an­spra­che auf Channel4 das Feh­len eines Bewußt­seins für Pri­vat­sphä­re, gera­de bei jün­ge­ren Men­schen. Er stellt die — nicht unbe­rech­tig­te — The­se auf, nach­fol­gen­de Genera­tio­nen wür­den mit die­sem Begriff nichts mehr anfan­gen kön­nen. Ein düs­te­res Szenario.

Wir selbst haben bei unse­ren Bestands­kun­den, bei Neu­kun­den, zahl­rei­chen Anfra­gen zu Sach­the­men sowie bei per­sön­li­chen Gesprä­chen im Rah­men von Vor­trä­gen und Schu­lun­gen die Erfah­rung gemacht, Daten­schutz ist mehr in das Bewußt­sein der Men­schen gerückt. Für Unter­neh­men und Behör­den gilt es, die­sen Anspruch auf­zu­grei­fen und wei­ter umzu­set­zen. Daten­schutz wird immer mehr ein Qua­li­täts­merk­mal und auch Kun­den­bin­dungs­in­stru­ment. Die Ablö­sung von einer rei­nen recht­li­chen Vor­schrift setzt sich wei­ter fort. Doch auch Ver­brau­cher (die “Betrof­fe­nen”) wer­den sich mehr mit den Miß­brauchs­mög­lich­kei­ten der durch sie genutz­ten Tech­ni­ken (Smart­pho­nes, sozia­le Netz­wer­ke, intel­li­gen­te Strom­zäh­ler und vie­le mehr) aus­ein­an­der­set­zen müssen.

Link zum Video auf You­tube (ab hier dann nicht mehr unser Ding 🙂 )

In die­sem Sin­ne wün­schen wir allen Kun­den, Lesern und Inter­es­sier­ten einen guten Rutsch in das neue Jahr 2014

Spion im DunkelnWäh­rend sich die Web­sei­te des Pay TV Anbie­ters dazu (noch) aus­schweigt, mel­den  bekann­te Online Medi­en seit Mit­te der Woche ein Daten­leck bei SKY.

Stand 09.11.2013: auf der Start­sei­te von SKY ist nach wie vor kei­ne Mel­dung zu fin­den. Eben­so wenig unter Unter­neh­men, Pres­se oder Meldungen.

Aus­lö­ser war ein Gewinn­spiel-Anruf bei einem SKY Kun­den. Der Anru­fer wuß­te Name, Anschrift und Bank­ver­bin­dung des Ange­ru­fe­nen. Als Quel­le der Daten wur­de SKY Deutsch­land durch den Anru­fer benannt.

Auf Nach­fra­ge äußer­te sich SKY, “dass mög­li­cher­wei­se in ver­ein­zel­ten Fäl­len Sky-Kun­den­da­ten unbe­fug­ter­wei­se in die Hän­de Drit­ter gelangt sind.” Die betrof­fe­nen Kun­den sowie die zustän­di­ge Lan­des­da­ten­schutz­be­hör­de sei­en infor­miert. Über Ursa­che und Umfang schwieg man sich bis­her aus.

Der glück­li­che “Gewin­ner” wand­te sich per­sön­lich an SKY. “Er sei nicht der Ein­zi­ge”, so wur­de er beschie­den. Ob dies ein ange­mes­se­nes Kri­sen­ma­nage­ment darstellt?

 

Nach einer Mel­dung des Focus liest die NSA im Jahr durch­schnitt­lich 250 Mil­lio­nen elek­tro­ni­sche Adress­bü­cher von Nut­zern sozia­ler Netz­wer­ke wie Face­book und von Email-Diens­ten wie Gmail, Hot­mail und Yahoo aus. Das sind am Tag fast 700.000 gescann­te und in den Tie­fen der NSA IT gespei­cher­te Adress­bü­cher mit allen Anga­ben zu Name, Anschrift, Ruf­num­mer, Email-Adres­sen, Geburts­ta­gen und was der Nut­zer sonst noch an Infor­ma­tio­nen zu dem jewei­li­gen Kon­takt abge­spei­chert hat. Online abge­spei­cher­te Kon­takt­lis­ten wie Adreß­bü­cher sind ergie­bi­ge­re Daten­quel­len als Telefonaufzeichnungen.

Grund zum Mitleid?

Laut der “Washing­ton Post” sei die Samm­lung an Kon­tak­ten so umfang­reich, dass ab und zu sogar eine Über­las­tung der Spei­cher­ka­pa­zi­tä­ten gedroht habe. Spam-Emails sei­en dabei ein gro­ßes Pro­blem, da die­se zusätz­lich die Spei­cher mit wert­lo­sen Infor­ma­tio­nen verstopfen.

Tri­cky

Da die NSA zu einer sol­chen Daten­samm­lung weder vom ame­ri­ka­ni­schen Kon­greß noch durch das bereits aus den Ent­hül­lun­gen von Edward Snow­den mehr­fach zitier­te Geheim­ge­richt ermäch­tigt ist, greift man zu einem Trick. Nach Aus­sa­ge eines Geheim­dienst­mit­ar­bei­ters wer­den die Daten ein­fach von NSA Stand­or­ten außer­halb der USA abgegriffen.

Kuri­os

Die Samm­lung ist auf Ver­ein­ba­run­gen mit aus­län­di­schen Tele­fon­ge­sell­schaf­ten oder befreun­de­ten Geheim­diens­ten angewiesen.

Mög­li­che Folgen

Was aus pau­scha­len Über­wa­chun­gen und Daten­samm­lun­gen sowie deren Aus­wer­tung resul­tie­ren kann, durf­te ein Mit­ar­bei­ter der Hum­boldt-Uni­ver­si­tät in Ber­lin am eige­nen Leib erfah­ren. Gegen ihn lief ein Ermitt­lungs­ver­fah­ren wegen Ver­dachts der Mit­glied­schaft in einer ter­ro­ris­ti­schen Ver­ei­ni­gung, weil er zwei Such­be­grif­fe in einer Web­re­cher­che für sei­ne wis­sen­schaft­li­che Arbeit ver­wen­de­te, die einen Ter­ror­ver­dacht “begrün­de­ten”. In einer Nacht- und Nebel­ak­ti­on wur­de der Mit­ar­bei­ter samt sei­ner Fami­lie durch bewaff­ne­te Ter­ror­be­kämp­fer aus dem Schlaf geris­sen und ver­haf­tet. Erst nach Jah­ren wur­de das Ver­fah­ren gegen ihn ein­ge­stellt. Lesen Sie mehr auf Wiki­pe­dia.

Wei­te­re Informationen

Ver­geb­li­che Mühe

Seit Jah­ren bemüht sich die Deut­sche Tele­kom um Ver­bes­se­run­gen im Umgang mit per­so­nen­be­zo­ge­nen Daten, nicht nur auf­grund zahl­rei­cher Skan­da­le. Wie zahl­rei­che Medi­en wie n‑tv nun berich­ten, hat es beim Beschäf­ti­gen­da­ten­schutz nicht ganz gereicht.

120.000 Mit­ar­bei­ter betroffen

Eine inter­ne Daten­bank mit Anga­ben zu fast allen Mit­ar­bei­tern des Unter­neh­mens samt Name, Anschrift und Gehalt stand einem grö­ße­ren Mit­ar­bei­ter­kreis zur Ein­sicht zur Ver­fü­gung, als eigent­lich zuläs­sig gewe­sen wäre. Die ursprüng­lich vor­ge­se­he­ne Anony­mi­sie­rung war nicht erfolgt.

Seit 2002 soll die Daten­bank in die­ser Form ver­füg­bar gewe­sen sein. Mitt­ler­wei­le wur­de sie vom Netz genom­men. Ein exter­ner Wirt­schafts­prü­fer soll die Ursa­chen und Fol­gen nun ermit­teln. Der Betriebs­rat läßt die Unter­su­chung durch einen eige­nen Anwalt begleiten.

Nach Unter­neh­mens­an­ga­ben hat man von einem Miß­brauch der Daten bis­her kei­ne Kenntnis.

 

 

War­um in die Fer­ne schwei­fen, wo die Daten­pan­ne liegt so nah …

Wer braucht schon einen NSA Abhör­skan­dal aus den USA, wenn vor der eige­nen Haus­tür laut Thi­lo Wei­chert, Lei­ter des Unab­hän­gi­gen Lan­des­zen­trums für Daten­schutz Schles­wig-Hol­stein (ULD), “einer der größ­ten Daten­skan­da­le der Nach­kriegs­zeit” stattfindet.

Was ist passiert?

Das betrof­fe­ne Apo­the­ken­re­chen­zen­trum ver­kauf sei­ne Daten u.a. an das US Unter­neh­men IMS Health.Dieser Kon­zern ver­folgt nach Anga­ben von Spie­gel Online die Krank­hei­ten welt­weit von mehr als 300 Mil­lio­nen Pati­en­ten und von cir­ca 42 Mil­lio­nen gesetz­lich Kran­ken­ver­si­cher­ten aus Deutsch­land. Ein­ge der soge­nann­ten “Pati­en­ten­kar­rie­ren” sind bis 1992 zurück verfolgbar.

Ist das über­haupt zulässig?

Gene­rell ist die Wei­ter­ga­be von Rezept­da­ten in aus­rei­chend ver­schlüs­sel­ter Form (also ohne Rück­führ­bar­keit auf den betrof­fe­nen Pati­en­ten) zuläs­sig. Für ankau­fen­de Phar­ma­un­ter­neh­men sind die­se Infor­ma­tio­nen auch in anony­mi­sier­ter Form noch aus­sa­ge­kräf­tig genug.

Die Beto­nung liegt auf “aus­rei­chend verschlüsselt”

Im kon­kre­ten Fall ist die­ser Schlüs­sel ledig­lich 64-stel­lig und läßt sich, wie Spie­gel Online berich­tet, nach vor­lie­gen­den Doku­men­ten rela­tiv ein­fach auf die ursprüng­li­che Ver­si­cher­ten­num­mer zurück­rech­nen. Zusätz­lich wer­den noch Alter und Geschlecht über­tra­gen. Die unzu­rei­chen­de Ver­schlüs­se­lung birgt das Risi­ko einer Zurück­ver­fol­gung bis hin zu der Infor­ma­ti­on, wel­che Arzt­pra­xis wel­chem Pati­en­ten wel­ches Medi­ka­ment ver­ord­net hat. Das Ver­triebs­con­trol­ling von Phar­ma­un­ter­neh­men wür­de dies freu­en. Lie­ße sich doch so sehr kon­kret nach­voll­zie­hen, ob die ste­ti­gen Außen­dienst­be­su­che den behan­deln­den Arzt auch zum häu­fi­ge­ren Ver­schrei­ben der ange­prie­se­nen, eige­nen Pro­duk­te verleiten.

Thi­lo Wei­chert hofft nun, daß die Apo­the­ken Ihren Dienst­leis­ter auch ohne Gerichts­ver­fah­ren zur aus­rei­chen­den Ver­trau­lich­keit motivieren.

Wie geben Sie im Unter­neh­men eigent­lich Ihre Daten wei­ter? Ihr Daten­schutz­be­auf­trag­ter prüft die recht­li­che Zuläs­sig­keit und emp­fiehlt die pas­sen­de Lösung. Sie haben noch kei­nen Daten­schutz­be­auf­trag­ten? Dann spre­chen Sie uns an. Mög­li­cher­wei­se unter­lie­gen Sie sogar der gesetz­li­chen Bestellpflicht.