Bleibt zu hoffen, dass die öffentliche Diskussion zu diesem wichtigen Thema wieder Fahrt aufnimmt; von den Folgen der Gesetzesänderungen sind schließlich Millionen Arbeitnehmer (und ihre Arbeitgeber) betroffen.

Ganz nebenbei: Die bisherigen 30 Symposien waren mir nicht aufgefallen; ich weiß auch erst seit heute, wo Triberg liegt. Weder der Wikipedia-Eintrag noch die Homepage von Triberg weisen auf das Symposium hin.

Die Medien pickten sich Peter Schaars Äußerungen zum “Quick Freeze Plus” heraus. Ich fand im Heise-Artikel eine andere Aussage hochinteressant. Der baden-württembergische Justizminister Ulrich Goll meinte u.a.:

Goll schilderte seiner Beobachtung, wonach alle Datenschützer, die länger im Amt seien, einen “Prozess der Radikalisierung” durchlaufen würden angesichts der Erfahrung, wie lässig der Datenschutz in Deutschland mitunter gehandhabt werde. Sein “Aha-Erlebnis” habe er bei der Diskussion um den elektronischen Einkommensnachweis ELENA gehabt, bei dem Daten auf Vorrat für künftige Abfragen von Sozialbehörden gespeichert werden. “Ich habe gedacht, ich bin im falschen Film”, sagte Goll.

Genau das stelle ich sowohl bei mir als auch bei meinen datenschutzberatenden Kollegen fest: Bei manchen professionellen Datenschützern kommt es zur Abstumpfung (“Kohle machen. Wir können eh nichts ändern.”). Bei der Mehrzahl (nach meinen Erfahrungen) weiten sich die Pupillen von Jahr zu Jahr.  Datenschutz wird “mehr als ein Job”, wird zur Passion -bis hin zum missionarischen Auftrag, bis hin zu einer gewissen … Radikalität. Gelegentlich. In neun von zehn Fällen sind wir Datenschutzbeauftragte inzwischen geübte Kompromiss-Finder und Gratwanderer. Aber ab und zu zeigen wir wirklich unsere Zähne. Dafür liebe ich diesen Job

Der Bericht zum Symposium auf dem “Justizportal BW” zitiert die Rede von Minister Goll an vielen Stellen – die Aussage über “radikalisierte Datenschutzbeauftragte” fehlt dort leider. Schade.

Der Berufsverband der Datenschutzbeauftragten (BvD) e.V. erhofft sich deutliche Signale vom angekündigten Vier-Augen-Gespräch zwischen dem neuen Bundesinnenminister Thomas de Maiziére und dem Bundesdatenschutzbeauftragten Peter Schaar. Die Aussagen im Koalitionsvertrag und erste Äußerungen de Maiziéres zum Datenschutz klingen vielversprechend, müssen aber zügig in Recht und Praxis umgesetzt werden.

Der BvD-Vorstand teilt die Ansicht des Bundesdatenschutzbeauftragten, dass die Auslegungsspielräume des veralteten Datenschutzrechts und die ungenügenden Vorgaben an den Beruf des Datenschutzbeauftragten die ordnungsgemäße Überwachung von Datenverarbeitungsvorgängen vor praktische Schwierigkeiten stellt.

Der BvD schließt sich der Erwartungshaltung der Aufsichtsbehörden an die neue Bundesregierung an, dass vor allem für die Verarbeitung von Daten im Beschäftigungsverhältnis umgehend neue Vorgaben gemacht werden, um den Ausgleich zwischen Unternehmen und Beschäftigten rechtssicher herzustellen. „Bluttests, GPS-Ortung, RFID-Chips oder mobile Endgeräte sind ungeklärte Datenschutzthemen im Beschäftigtenverhältnis“, so Thomas Spaeing, Vorsitzender des Berufsverbandes.

Marco Biewald, stellvertretender Vorsitzender, betont: „Nach Datenschutzskandalen steigt die Sensibilität für den richtigen Umgang mit Daten in Unternehmen zunehmend, derzeit müssen betriebliche Datenschutzbeauftragte aber die Lücken des Gesetzes durch eigene Standpunkte füllen.“ Konkrete Fragen („Darf ich oder darf ich nicht“) müssen mangels konkreter gesetzlicher Vorgaben weiter mit Interessensabwägungen und Angemessenheitsprüfungen entschieden werden. „Die Bewertung führt bei jedem Unternehmen zu einem anderen Ergebnis.“, so Biewald dazu. „Hier erwarten unsere Mitglieder klare Regelungen.“

Ob Datenschutz im Unternehmen als Last empfunden wird oder vorteilhaft umgesetzt werden kann, hängt in hohem Maße von der Kompetenz des Datenschutzbeauftragten ab. Der BvD teilt die Ansicht Peter Schaars, der fehlende Definitionen zum Beruf des Datenschutzbeauftragten festgestellt und ein entsprechendes Berufsbild gefordert hatte, das gesetzlich verankert werden könnte.

Der Berufsverband hat längst vorgelegt: Sein im September verabschiedetes berufliches Leitbild definiert bundesweit erste Maßstäbe und wurde auch vom Bundesdatenschutzbeauftragten begrüßt. „Wir warnen deutlich davor, sich nach einem Schnellkurs bei ominösen Seminaranbietern zum Datenschutzbeauftragten bestellen zu lassen“, betont Thomas Spaeing, Vorsitzender des Berufsverbandes. „Es besteht Konsens zwischen Berufsverband, Aufsichtsbehörden und Politik, dass Datenschutzbeauftragte bestimmte Qualifikationen besitzen müssen. Welche das sind, legen diese Stellen fest, nicht ein beliebiger Seminaranbieter!“

Funkende SD-Karten

SD-Karten im Standardformat können ihre Bildchen per WLAN an Drucker und Computer funken oder gleich ins Netz stellen. Teilweise sogar mit Geotagging der Aufnahmeposition. In Deutschland erhältlich. Mehr dazu hier. Hat natürlich Potentail für die dezente Überwachung der lieben Kinder/Partner/Arbeitnehmer/Spionageopfer (Nichtzutreffendes streichen).  Bald werden PenTest-Firmen vielleicht keine USB-Sticks mehr auf Firmenparkplätzen und in Knatinen “verlieren”, sondern SD-Karten ,-)

Mini-Bluetooth-Headsets für Nachwuchs-Spione

So winzig, dass sie im Ohr versteckt werden können: Die neuen Mini-Bluetooth-Headsets finden ihren Markt nicht nur bei Schauspielern, Showstars und soufflierten Politikern, sondrn vor allem bei Ermittlern, Detektiven und Spionen. Vor dem Meeting der Geschäftsleitung heißt es zukünftig nicht nur: Handys aus, sondern auch “Ohren waschen”.

Googles Kostenlos-Smartphone

Google darf natürlich nicht fehlen und bringt Gerüchten zufolge Anfang 2010 ein eigenes Smartphone auf den Markt, bei dem “wohlmöglich alles aus einer Hand kommt: Gerät, Software, Telefondienstleistung, – alles made by Google.” Da müssen sich T-Mobile, Vodafone & Co. warm anziehen – und die Datenberge bei Google wachsen weiter.

Kabellos Daten speichern

Die erste externe Harddisk, die kein Kabel braucht: Via Wireless USB  werden die Daten bis zu 9m weit übertrage. Da kommen mir schon ein paar finstere Ideen…

Das Ohren-Zupf-Navi

… sieht derzeit noch viel zu groß und grotesk aus, um sich auch nur ansatzweise davor zu fürchten. Abwarten! Für Blinde und Sehschwache jetzt schon hilfreich.

500 Dollar für ein Genlabor zuhause

Mehr Finanzen braucht es im Ebay-Zeitalter nicht mmehr, um das eigene Erbgut im Heimlabor unter die Lupe zu nehmen.  Da könnte doch die Personalsachbearbeiterin die wichtigen Bewerberuntersuchungen gleich selber erledigen, oder?

GPS in jedes Auto

Das ist technisch kein Brüller mehr; das niederländische Vorhaben gehört als Nr. 1 meiner aktuellen Paranoia-Liste auf jeden Fall in diesen Beitrag.

Weil Unternehmen Bewerbungen oft anhand von Name, Geschlecht, Alter oder Adresse des Bewerbers ausscheiden lassen, sollen diese Kategorien in anonymen Lebensläufen ab sofort weggelassen werden. In Frankreich sollen jetzt solche CVs getestet werden, damit vielmehr anhand der Qualifikation als auf Basis banaler Gründe entschieden wird. Experten sind von dieser Aktion überzeugt. Denn aktuellen Erhebungen nach scheitern Bewerber auf eine freie Stelle oft schon bei der Vorauswahl.

Natürlich sind anonyme Lebensläufe nicht in jeder Branche einsetzbar und spätestens beim Vorstellungsgespräch können sich die Arbeitgeber dann das gewünschte Bild machen. Ich bin gespannt auf die praktischen Ergebnisse in Paris und den sechs Test-Départements.

Vielleicht auch ein Thema für die geplanten deutschen Regelungen zum Arbeitnehmerdatenschutz?

Heute entdeckt: Thorsten Brand zählt in seinem Artikel “Rechtsgrundlagen E-Mail-Archivierung” nicht nur – wie versprochen – die wesentlichen Vorschriften auf, sondern er beleuchtet dabei die speziellen Aspekte von E-Mails, begründet nachvollziehbar die Notwendigkeit der Archivierung, listet die Themenbereiche einer hilfreichen E-Mail-Policy auf und hat sogar noch Platz für Anregungen zu einer DMS-Verfahrensdokumentation.

Das alles auf nur neun Seiten, management- und aministratorenverständlich geschrieben. Hilfreich, wenn man – wie viele Unternehmen – vor der Entscheidung für eine E-Mail-Archivierungslösung steht und sich wenigstens einen ungefähren Überblick über die Rahmenbedingungen verschaffen will, bevor man sich in die Hände eines Lösungsanbieters begibt.

Nebenbei: Das allein bücherfüllende Thema “Private E-Mailnutzung im Unternehmen” wird hier nur ganz am Rande erwähnt.

Eine hilfreiche Dokumentation von Seiten eines Lösungsanbieters kam mir in den letzten Wochen in die Finger: Für das “WhitePaper zur Erfüllung der Anforderungen der GDPdU mit der Software GFI MailArchiver 6” vergesse ich sogar meine Checklisten-Allergie, denn hier werden konkreten rechtlichen Anforderungen ebenso konkrete Konfigurationsmöglichkeiten gegenübergestellt. Nachahmenswert!

Du willst meine Seele speichern
um dich daran zu bereichern
Nichts an mir ist dir egal
du schlägst aus allem Kapital

Aber die Behauptung, das neue Google Dashboard habe nichts mit Datenschutz zu tun, halte ich für unbedacht, vielleicht sogar populistisch.

Ja, das Dashboard bündelt nur, was vorher bereits im Einzelnen zu sehen war:

Neue Informationen darüber, was über einen gespeichert wird, liefert Dashboard nicht. Alle Einstellungsmöglichkeiten gibt es längst bei den einzelnen Anwendungen wie Blogger, Google Alerts, Kalender, Mail oder Reader. Man kann sie nun lediglich auf einen Blick erkennen.

(Kai Biermann auf ZEIT online)

Ist das nun schon “Datenschutz” oder nicht? Ja, denn die Auskunft über gespeicherte Daten ist eine wesentliche Voraussetzung, damit ich mein Selbstbestimmungsrecht wahrnehmen kann. Ja, denn Google realisiert, wozu viele andere Datenverarbeiter nicht willens oder in der Lage sind.

Womit beginnt ein neuer Datenschutzbeauftragter seine Tätigkeit in einem Unternehmen oder einer Behörde? Vereinfacht gesagt: Er verschafft sich einen Überblick über die vorhandenen Datenverarbeitungen und verfolgt dabei wie ein digitaler Rutengänger die Datenströme im Haus und außerhalb. Als guter Datenschutzbeauftragter setzt er dabei gleich seine Prüferbrille auf: Rechtmäßigkeit? Erforderlichkeit? Zugriffsrechte? Die Liste ist lang.

Ein Ergebnis seiner Bemühungen ist das  Verfahrensverzeichnis nach § 4g Absatz 2  BDSG. Die Übersicht bündelt einige grundlegende Angaben über den Datenbestand des Unternehmens. Ein  Ziel des Gesetzgebers war es, betroffenen Mitarbeitern oder Kunden einen schnellen Überblick über potentielle Datenbestände zur eigenen Person zu verschaffen, sozusagen eine Vorstufe des konkreten Auskunftsanspruches. Deshalb soll dieses Verzeichnis “auf Antrag jedermann in geeigneter Weise verfügbar” gemacht werden.

Über Sinn und Unsinn von Verfahrensverzeichnissen kann man streiten. Praktisch ist das Modell aus meiner Sicht gescheitert, die meisten Verzeichnisse sind nur Makulatur.

Der Umweg zur Datenauskunft über zentrale Datenregister, Meldepflichten und öffentliche Verfahrensverzeichnisse stammt noch aus einer Zeit vor der allgemeinen Verbreitung des Internets. Heute kann und sollte ich meine Rechte als Betroffener direkt wahrnehmen; zwei Aspekte dabei:

Unternehmen müssen in der Lage sein, mir auf einfache Weise einen Überblick über meine gespeicherten Daten (incl. Herkunft und Weitergabe)  zu geben. Schnell, kostenlos. Der Zugriff darf nur authorisiert erfolgen.

Insbesondere will ich selbst bestimmen, über welche Kanäle ich beworben werde, ob meine Daten weitergegeben werden und an wen. Notwendig dazu ist ein Einwilligungsmanagement durch den Anbieter, damit ich nachvollziehen kann: Wann habe ich wie zugestimmt? Wie kann ich widerrufen?  Beispiel Quelle-Insolvenz: Es sollte mich zukünftig keinen Musterbrief, sondern nur drei Klicks kosten, um mich aus der Kundendatenbank zu verabschieden.

Vermutlich sind die im Google Dashboard dargestellten Daten nur die Spitze des Eisberges. Deshalb müssen neben die Auskunftsansprüche der Betroffenen auch regelmäßige Kontrollen der Aufsichtsbehörden treten, meinetwegen auch Zulassungsverfahren oder Zertifizierungen.

Dennoch sollte seine Übersichtlichkeit als Vorbild für andere Großdatenverarbeiter dienen.  Beispiel SAP: Versuchen Sie mal, Ihre Betroffenenrechte gegenüber einem SAP-ERP-System durchzusetzen, egal ob als Unternehmensmitarbeiter oder Kunde. Die Seiten 60-65 im “Leitfaden Datenschutz SAP ERP 6.0 ” der DSAG beschreiben nüchtern, was alles NICHT möglich ist; z.B:

“Es gibt im SAP-Standard keinen Report, der sozusagen auf Knopfdruck alle zu einer Person gespeicherten Daten für die Auskunftserteilung oder zur Benachrichtigung eines Betroffenen anzeigt oder ausdruckt.”

“Es gibt keine Standardfunktion, die den Zugriff auf historische Daten mit personenbezogenen Angaben, die nur noch aus Gründen der Aufbewahrungspflichten gespeichert werden, beschränkt – auch wenn alle buchhalterischen Abschlusstätigkeiten erledigt sind.”

“Explizite Funktionen zur Sperrung von Daten einzelner Personen sind im SAP ERP-System z. Z t. nicht vorhanden.”

In vielen komplexen Unternehmen und Anwendungen sieht es nicht besser aus. Personendatenbestände lagern verstreut in den verschiedensten Datenbanken. Das erschwert Auskünfte , Werbewidersprüche, Löschungen, aber auch durchgehende Zugriffsberechtigungskonzepte (und erleichtert gleichzeitg unkontrollierten Datenabfluss).

Meine Daten im Überblick: Was im kleinen Online-Shop noch funktionieren kann (aber nicht muss), wird in Sozialen Netzwerken schon schwierig, bei ERP- oder Krankenhausinformationssystemen zur Sisyphosarbeit und beim Cloud Computing fast unmöglich.
Google Dashboard schlägt sich in diesem Vergleich wacker, sollte aber nicht die letzte Werbebotschaft in puncto Transparenz und Datenschutz bleiben.

Xamit hat sich vor der Wahl einen guten Namen durch die Studie “Parteien und Datenschutz – Datenschutzpraxis deutscher Parteien und parteinaher Organisationen” (pdf) gemacht. Aufschlussreich ist auch das “Datenschutzbaromter 2008 – Datenschutz im Internet” (pdf), bereits Ende 2008 veröffentlicht und inzwischen aktualisiert. An den Zahlen wird sich wenig geändert haben.

Mehr als 26.000 deutsche Webpräsenzen wurden untersucht, darunter knapp 10.000 mit installiertem PHP. Davon hatten nur 29% die damals aktuelle Version installiert.

162 Webshops mit Standardshopsoftware konnten erkannt werden. Was schätzen Sie, wie viele dieser Shops a) eine aktuelle PHP-Version und b) die aktuelle Version ihrer Standard-Shopsoftware im Einsatz hatten?

Es waren ganze 19 (neunzehn) Prozent.

Klartext: 81% der entdeckten Online-Shops mit Standard-Shopsoftware auf PHP-Basis waren zum Zeitpunkt der Untersuchung anfällig für bereits bekannte Angriffe von außen. Die Kundendaten waren potentiell in Gefahr.

Wer sich nicht nur aufregen, sondern handeln will: Bei selbst regelmäßig genutzten Webshops nachschauen oder nachfragen, ob und wie die eigenen Daten geschützt sind. Höflich, formlos, bestimmt.[Update 05.11.2009 Habe ich heute bei 10 "meiner" Shops gemacht. Siehe nächster Artikel] Für ein umfassenderes Bild könnte sich auch das Verfahrensverzeichnis nach § 4e Bundesdatenschutzgesetz (BDSG) nützlich machen, aber die Wahrscheinlichkeit ist gering, in der Praxis auf ein gut erhaltenes und aussagefähiges Exemplar dieser seltenen Spezies zu stossen.

Kann man natürlich alles auch ohne Fragen herausbekommen, aber das sprengt den Rahmen des Artikels

Heute schlugen bei mir zwei Meldungen so zeitnah beeinander auf, dass ich automatisch auf dumme Gedanken  – äh – ein neues Geschäftsmodell kommen musste:

1. Die Bundesnetzagentur plant laut Wikileaks einen gemeinsamen Bestandsdatenpool aller TK-Anbieter. Das soll diskutiert werden, …

… um entsprechende Abfragen gemaess Paragraph 112 TKG zu vereinfachen. In einem solchen Datenpool waeren also die Daten aller Telefon-, Handy-, DSL- und E-Mail-Kunden in Deutschland versammelt. Vor dem Hintergrund des Datenschutzes erscheint eine solche Datensammlung aeusserst bedenklich.

Sozusagen eine Bundestelekommunikationskundendatenbank (Dank an @olba]

2. Nicht nur Daimler, sondern auch der “NDR lässt bluten” (netzpolitik.org) :

Datenschützer und Arbeitsrechtler kritisieren die Maßnahme bereits. Es handele sich um einen Verstoß gegen das Datenschutzrecht. Dort sei geregelt, dass Arbeitgeber nur die “erforderlichen” Daten erheben dürften. Auf die Frage, welche “erforderlichen” Informationen aus den Bluttests gewonnen werden können, heißt es beim NDR, die Blutwerte lieferten Anhaltspunkte, ob der jeweilige Beschäftigte “die vorgesehene Wochenarbeitszeit wird bewältigen können”.

Vermutlich nutzen auch weitere Unternehmen diese Informationsquelle.  Mal legal, oft illegal.

Wer bei Bluttests “nur an die üblichen Krankheiten” denkt und sich deshalb noch nicht genug gruselt, lese über den parawissenschaftlichen Aspekt zum Thema “Japanische Blutgruppendeutung” bei Wikipedia:

Die fehlende wissenschaftliche Untermauerung war kein Hindernis für eine Entwicklung eines blühenden Marktes von Partnervermittlungen, die nach Blutgruppe vermitteln, und Personalberatern, die Unternehmern in der Aufgabe beistehen, die richtige Mischung von Blutgruppen in ihrem Personal zu finden.

Was folgt daraus, wenn wir 1 und 2 zusammenzählen? Der Bedarf an Blutproben ist riesig (Wachstumsmarkt!), die Blutmenge bei Stellenbewerbern begrenzt. Von Kosten, infizierten Kanülen und blauen Flecken wollen wir gar nicht erst reden.

Der Ausweg ist eine zentrale Blutprobenbank! Eine Bundesblutprobenbank!!

Ich muss nur einmal meine Blutprobe abgeben – und jeder potentielle Arbeitgeber kann sich die gewünschte Auskunft einholen.  Die Abwicklung der Anfragen könnte unkompliziert und unbürokratisch über die Arbeitsagentur erfolgen. Dort kann sich jeder als interessierter Arbeitgeber registrieren, und dann…

Ohne diese Datenschutzbedenkenträger und Oberverdachtschöpfer könnte alles so einfach sein.

Wenn nicht durch geeignete technische Maßnahmen sicher ausgeschlossen werden kann, dass jemals eine Windows-Passwort- Hash-Tabelle – die SAM-Datei – in die Hände eines Unberechtigten fällt, dann müssen Passwörter mindestens 10 Zeichen lang sein – selbst bei monatlichen Passwortwechseln und komplexen Passwörtern.
Werden nur Buchstaben oder Buchstaben mit (mindestens) einem Sonderzeichen oder einer Ziffer verwendet, wie in zahlreichen Passwort-Policies gefordert, ist eine Mindestlänge von 11 Zeichen erforderlich. Gute Passwörter dieser Länge erfordern jedoch ausgefeilte Merkregeln.

Erfreulicherweise ist der Artikel als PDF neben anderen Schätzchen auf der Publikationsseite von secorvo abrufbar. Zum Thema dort  auch “Fox, Dirk; Schaefer, Frank: Passwörter – fünf Mythen und fünf Versäumnisse, Datenschutz und Datensicherheit (DuD), 7/2009, S. 425-429.” – mindestens ebenso lesenswert, u.a. zum “Mythos Passwortkomplexität”:

Komplexitätsregeln führen in der Praxis häufig dazu, dass sich der zu berücksichtigende Suchraum für einen Angreifer verkleinert. Zudem ist eine größere Passwortmindestlänge deutlich wirkungsvoller als die Erzwingung eines (vermeintlich) komplexeren Passworts.

Sag ich doch: Auf die Länge kommt es an.

Ist es auch nicht. Netzpolitik schreibt selbst etwas zum Thema “Wie geht man mit Sicherheitslücken um?”. Als Datenschützer ergänze ich flink die zuständigen Datenschutzaufsichtsbehörden und gebe noch ein paar Hinweise.

Wer diesen Artikel liest, kennt Blogs. Wichtige Datenschutzblogs finden sich in meiner Blogroll. Für die einfache Publizierung einer Datenpanne empfehle ich zusätzlich den Eintrag beim “Projekt Datenschutz“.

Wird bei Datenpannen oder Beschwerden gern übersehen: Für Klärungen und Fragen kann man sich direkt an den entsprechenden betrieblichen Datenschutzbeauftragten der betroffenen Unternehmen wenden: Sie müssen von außen problemlos erreichbar sein (telefonisch verbinden lassen) und sind nach dem Bundesdatenschutzgesetz zur Verschwiegenheit über die Identität des Betroffenen verpflichtet. Aus dem BDSG §4f:

4) Der Beauftragte für den Datenschutz ist zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit er nicht davon durch den Betroffenen befreit wird.
[...]
(5) [...] Betroffene können sich jederzeit an den Beauftragten für den Datenschutz wenden.

Aber jetzt zu den Aufsichtsbehörden – Kontaktinformationen jeweils verlinkt:

Zuerst sollte man wissen, daß in einigen Bundesländern die Datenschutzaufsicht für den “öffentlichen Bereich” (vereinfacht: Behörden) und für den “nicht-öffentlichen Bereich”(Unternehmen, Vereine, Verbände, Parteien) getrennt sind.

Wer von dort eine schnelle Antwort will, sollte telefonisch Kontakt aufnehmen. Hängt einfach mit der chronischen Unterbesetzung der meisten Aufsichtsbehörden zusammen

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ist zuständig für “öffentliche Stellen des Bundes” sowie für die “nicht-öffentlichen” Unternehmen im Bereich Telekommunikation und Postdienst.  Dazu kommen die Unternehmen, die unter das Sicherheitsüberprüfungsgesetz fallen.

Die Landesdatenschutzbeauftragten der Bundesländer sind zuständige Ansprechpartner, wenn es um den Datenschutz im Bereich der Verwaltungen der Länder und der Gemeinden geht.

Die Aufsichtsbehörden für den so genannten “nicht-öffentlichen Bereich” in den einzelnen Bundesländern sind zuständig, wenn es um Datenschutzbelange im privaten Wirtschaftsbereich geht. Ausnahme: Telekommunikations- und Postdienstunternehmen -die beim BfDI – siehe oben.

Es gibt noch ein paar weitere Sonderfälle: Im Bereich des öffentlich-rechtlichen Rundfunks können Anfragen und Beschwerden an den Rundfunkdatenschutzbeauftragten der jeweiligen Senderanstalt gerichtet werden. Ausnahmen: In den Ländern Berlin, Brandenburg, Bremen und Hessen sind für den Datenschutz im Verwaltungsbereich die jeweiligen Landesdatenschutzbeauftragten zuständig.

Zu guter Letzt haben die Kirchen eigene Datenschutzgesetze und enstsprechende Aufsichtsgremien.

Bei Problemen mit ausländischen Unternehmen sind die deutschen Aufsichtsbehörden je nach Einzelfall vielleicht nicht zuständig, helfen aber weiter.

Wem das alles zu kompliziert wird, der schreibt mir einfach eine Mail oder einen Kommentar zu diesem Artikel

Marketing entdeckt Datenschutz

Vor einer Woche überraschten mich die Ergebnisse einer lesenswerten Studie von Client Vela und TU München. Siehe dazu hier im Blog:

Auf die Frage „Wie beeinflussen die folgenden Faktoren Ihre Absicht, bei einem Unternehmen erneut zu kaufen und/oder dieses weiterzuempfehlen?“ erhielt der Punkt „Datenschutz“ insgesamt die drittbeste Bewertung, wurde aber von 43%  als „sehr starker“ Faktor genannt – Spitzenwert!

Datenschutz rangierte damit hinter dem Preis und der Mitarbeiterkompetenz, aber vor Serviceleistungen, den Kernleistungen des Produktes und sieben weiteren Faktoren.

Langfristige Kundenbindung funktioniert nicht ohne den respektvollen Umgang mit der Person des Vertragspartners. Im Ladengeschäft wird die Person des Kunden auch, im Online-Geschäft nur durch ihre Daten verkörpert. Diese Botschaft ist in der Bevölkerung offensichtlich schneller angekommen als in vielen Handelsunternehmen. Kluge Unternehmer haben die Chance, dass steigende Interesse am Datenschutz zu nutzen und dabei schneller als die Konkurrenz zu sein.

Marketing als größte Gefahr für den Datenschutz

Auf der anderen Seite der Medaille verblüffte mich IT-Guru Bruce Schneier  in einem Interview für eine Kolumne auf cnet.com. Auf die Frage, woher die größte Gefahr für unsere Privatsphäre droht, antwortete er nicht etwa mit “Sicherheitsbehörden” oder “Unterwelt”, sondern:

Marketing. The legal collection, storage, resale, and reuse of personal information. Information brokers are doing more to hurt consumer privacy than anything criminals or the government can do. And, even worse, the government can buy information from them, and criminals can break into their databases.

Marketingleute horten die Informationen, die dann von Regierungen gekauft oder von Kriminellen gestohlen werden können. Passenderweise verlor kurz danach der Britische Guardian durch einen Einbruch etwa eine halbe Million Datensätze von Online-Bewerbern inklusive Lebenslauf.

“Ich brauche Dich, aber ich kann gefährlich für Dich werden!”, das klingt nach einer Schnulze mit Krimi-Potential. Hat die Beziehung eine Zukunft?

Wie können Marketing und Datenschutz miteinander leben?

Es gab in den vergangenen Tagen noch mehr Neuigkeiten u nd bekanntlich sind ja aller guten Dinge drei. Aber wer hätte das gedacht: Ausgerechnet im aktuellen Koalitionsvertrag finden sich Ansatzpunkte für ein Happy End zwischen Marketing und Datenschutz. Das Zauberwort heißt “Datensparsamkeit” und wird für eGovernment-Projekte ebenso beschworen wie für den privaten Bereich. Daneben halte ich die Transparenz durch klare, faire Einwilligungen für den richtigen Weg und bin damit auf einer Spur mit der Bundesregierung:

Die Einwilligung ist eine wesentliche Säule des informationellen Selbstbestimmungsrechts. Ziel der Reform muss daher auch sein, verbesserte Rahmenbedingungen für informierte und freie Einwilligungen zu schaffen. Dazu sollen Informationspflichten erweitert und der Freiwilligkeit der Einwilligung größere Bedeutung beigemessen werden.

Natürlich besteht die Gefahr der Gewöhnung: Allzuleicht unterschreiben wir im Angesicht des greifbaren Sonderangebotes alles Mögliche, auch weitreichende Einwilligungen (Glauben Sie nicht? Dann werfen Sie mal einen genauen Blick auf die Einwilligung bei der ebay-Anmeldung, die Sie vermutlich so wie ich nur flüchtig überflogen haben). Dennoch gibt es aus meiner Sicht keine Alternative zu einer Einwilligungskultur. Wenn beide Seiten, Kunden und Unternehmer, dazulernen und darauf eingehen, kann ein fairer Interessensaugleich gelingen.

Nicht jeder darf einen Bus mit Fahr­gäs­ten fah­ren, Spren­gun­gen durch­füh­ren oder an an­ste­cken­den Vi­ren­stäm­men for­schen. Aber jeder darf ein Sho­psys­tem für Tau­sen­de von Nut­zern schrei­ben und be­trei­ben.

Soll­te es nicht einen staat­lich ge­prüf­ten Da­ten­schutz­pro­gram­mie­rer geben, der die Ent­wick­lung einer ent­spre­chen­den Soft­ware über­wacht oder zu­min­dest bei der End­ab­nah­me der Soft­ware be­tei­ligt ist und mit sei­nem Namen für den Be­trieb bürgt?

Irgendwie in diese Richtung marschiert die neue Bundesregierung; hier im Blog zu Aussagen im Koalitionsvertrag:

Kleiner Exkurs: Zur Verantwortung der Anbieter findet sich an anderer Stelle eine interessante Bemerkung: „Wir werden die Haftung von System- und Diensteanbietern für die IT-Sicherheit ihrer Angebote anpassen, um einer unbilligen Abwälzung von Risiken auf die Endanwender vorzubeugen.“ Gleiches sollte für die Verpflichtung zu datenschutzfreundlichen Angeboten gelten; ich erinnere hier an die jüngsten Aussagen der 78. Konferenz der Datenschutzbeauftragten zum Datenschutz bei Krankenhausinformationssystemen.

Der leider weit verbreitete Miss-Stand auf der Anbieterseite trifft im Datenschutzalltag tragischerweise regelmäßig auf Kunden, die wie selbstverständlich davon ausgehen, dass die gekaufte (Unternehmens-)Software den gesetzlichen Bestimmungen entsprechen muss (von der Datensicherheit ganz zu schweigen):
“Wenn meine Personalverwaltungssoftware oder mein Krankenhausinformationssystem diese Datenabfrage vorsieht oder dieses Berechtigungskonzept standardmäßig einstellt, dann kann das doch nicht unrechtmäßig sein?”
Kann es doch – und ist es häufig.

Datenschutz-Gütesiegel für Produkte (beispielsweise Shopsysteme) sind noch nicht weit verbreitet, aber mindestens so wichtig wie Gütesiegel für Webseiten.

Viel Arbeit für die “Stiftung Datenschutz”!

Was haben alle diese Dinge gemeinsam?

Sie werden in der sehenswerten Fotoserie zum Artikel “Wie retten wir die Privatsphäre?” von Lew McCreary” als “Hüter des Datenschutzes” in den letzten 12.000 Jahren dargestellt.

Gefällt mir – trotz amerikanischer Brille – sehr gut und verdeutlicht einmal mehr, daß “Datenschutz” keine Erfindung unserer Zeit ist.

Anschauen (Hier) – Lesen – Nachdenken – und beim letzten Foto  an die notwendige Weiterentwicklung der Datenschutzgesetzgebung in Deutschland erinnert werden.

Apropos Feier und Berliner Datenschutzbeauftragte (Glückwunsch an Alexander Dix und seine Mitstreiter): Nein, das Millionen-Bahn-Bußgeld wurde nicht verjubelt. Bin gespannt, bei wem die bedeutende Summe landet!?

Spiros Simitis jedenfalls wurde seinem Ruf gerecht, ebenso wie die anderen Redner. Einen guten Überblick über die Seelenlage der Datenschutz-Vordenker der ersten Generation gibt der Bericht bei heise.

Oft zitierter Höhepunkte auch aus meiner Sicht ist der Simitis-Ausspruch:

“Demokratie zeichnet sich durch Informationsverzicht aus”.

Das  hört man aus seinem Mund nicht zum ersten mal, aber in der allgegenwärtigen, schwarz-gelb verursachten Erwartungshaltung hört man vielleicht neu hin und bewertet die Chancen einer Umsetzung.

Mir kam dazu ein Gedanke aus dem Datenschutzalltag. Naheliegend ist es, den Ruf nach Informationsverzicht allein an die Exekutive zu adressieren. Aber ich predige (BDSG nennt es weniger poetisch “hinwirken auf ” und “bekanntmachen mit”) in meinen Schulungen immer wieder: “Lassen Sie sich nicht in Versuchung führen!”

Die Praxis ist nicht vollkommen. Fast überall kann man mit etwas Mühe (oder ganz ohne Mühe) mehr über andere Personen erfahren als erforderlich. Im privaten Bereich menschlich (Warum sonst zum Friseur gehen?) – im beruflichen Umfeld schnell rechtswidrig:

• Krankenschwestern nutzen ruhige Minuten im Nachtdienst, um die Grenzen ihres Krankenhaushausinformationssystems auszuloten.
• Administratoren inspizieren gelegentlich Randgebiete und Grauzonen ihres digitales Reiches.
• Kita-Betreuerinnen fragen- natürlich nur aus pädagogischen Gründen – intensiver nach, worüber Mutti und Vati zuhause denn so reden.
• Behörden holen bei Dateninteresse gern mal mit der großen Kelle aus und verwirren den Bürger häufig mit Phantasie-Paragrafen.
• Programmierer bauen ein paar Abfragefelder mehr ein – und Anwender nutzen sie gedankenlos.

Dagegen kann man technisch und organisatorisch einiges unternehmen, aber keinen 100%-Datenschutz erreichen. Es geht nicht ohne Verständnis, Mitwirkung und Informationsverzicht der Beteiligten.

Natürlich stinkt der Fisch zuerst am Kopf – Informationsverzicht muss bei Ministerien und Staatsorganen anfangen. Aber er darf dort nicht enden.

“Was ich nicht weiß, macht mich nicht heiß”, sagt schon eine alte Redewendung. Oder wie meint der Fuchs zum Kleinen Prinzen: „Du bist zeitlebens für das verantwortlich, was du dir vertraut gemacht hast.“ Das kann in diesem Zusammenhang fast bedrohlich klingen, aber es ist auf jeden Fall die Wahrheit.

Ursache: Mangelnde Resonanz.

Eingeladen waren insbesondere Datenschutzbeauftragte und Verantwortliche aus dem Bereich der Telekommunikation…
Am Ort, Preis und am Programm kann es kaum gelegen haben.  Ich will den Ausfall nicht überbewerten, aber er wirft zumindest kein gutes Licht auf den Veränderungswillen der TK-Branche.

Stell Dir vor, es ist Datenschutz – und keiner geht hin.

Since initiating the project last December, the Intrusion Detection researchers have scanned 130 million IP addresses and found nearly 300,000 devices whose administrative interfaces were remotely accessible from anywhere on the internet. The 21,000 devices with default passwords are the most vulnerable, but the rest are theoretically vulnerable to brute-force password-cracking attacks, Stolfo said. Extrapolating from the numbers they’ve gathered, the researchers estimate that 6 million vulnerable devices are likely connected to the internet.

Liebe Neu-Breitbandnutzer, das Suchen von Standardpasswortlisten im Internet gehört zum kleinen 1×1 der Scriptkiddies – und bei einer Erfolgschance von 9% braucht man nicht lange zu scannen, um ein Opfer zu finden.

Dank an watchyourweb für die Info zum Artikel von Martin Unger. Dort auch ein paar erste Tipps zur Absicherung des eigenen Routers.

Die Anschriften fehlen (noch) im Blog:

Deutsche Postbank AG
Friedrich-Ebert-Allee 114 – 126
53113 Bonn

Deutsche Postbank AG
Zentraler Datenschutzbeauftragter
Postfach 40 00
53105 Bonn

Der Preis ist der wichtigste Faktor für einen erneuten Kauf bzw. eine Weiterempfehlung. Auch die Mitarbeiter eines Unternehmens und der Datenschutz haben einen großen Einfluss auf die Kaufentscheidung. Das hat eine Online-Befragung von Client Vela und TU München ergeben. 89 Prozent der Kunden lassen sich demnach vom Preis stark oder sehr stark beeinflussen. Die Freundlichkeit und Kompetenz der Mitarbeiter ist für 81 Prozent wichtig. Gut drei Viertel achten stark oder sehr stark auf den Datenschutz. Die angebotenen Serviceleistungen rangieren dahinter, allerdings noch vor den Kernleistungen des Produkts selbst. Erhoben wurden die Meinungen von rund 300 Kunden. Weitere Ergebnisse finden Sie hier. (ms)

Kurze Ergänzung: Auf die Frage “Wie beeinflussen die folgenden Faktoren Ihre Absicht, bei einem Unternehmen erneut zu kaufen und/oder dieses weiterzuempfehlen?” erhielt der Punkt “Datenschutz” insgesamt die drittbeste Bewertung, wurde aber von 43%  als “sehr starker” Faktor genannt – Spitzenwert!

Eigentlich mag ich das Wort “Kundenbindung” überhaupt nicht – aber hier zeigt sich: Kundenbindung ohne Datenschutz funktioniert langfristig nicht.