Datenschutzalltag

Das Problem der Metadaten in Officedateien ist altbekannt, breit diskutiert und inzwischen leichter lösbar. Aber auch Fotos und andere Grafiken enthalten jede Menge verräterischer Informationen, deshalb habe ich mich über den Hinweis bei Twitter auf den Artikel von martinus virtualis gefreut. Zu finden hier.
Zum Appetitholen:

Während der Arbeit mit Photoshop /Aperture /Camera RAW /Lightroom werden in jedem Bild mehr oder weniger interessante Informationen gespeichert. Neben reinen Bildinformationen noch die üblichen EXIF, IPTC oder andere vom User gewünschte Metadaten. Es lassen sich unter Umständen aber noch weitere Daten finden: Erstellungs- oder Änderungsdatum und entsprechende Uhrzeiten, Dateipfade, aufgerufene Funktionen, aktivierte und deaktivierte Layer, benutzte Filter, verwendete Kamera, Objektive und dergleichen mehr – je nach Einstellung. Was für die eigene Arbeit noch hilfreich ist, gestattet aber auch anderen Personen Einblick in die eigene Arbeitsweise oder ermöglicht Rückschlüsse zur aufgewendeten Arbeitszeit oder verwendeten Technik.

Als in der heißen Startphase der Koalitionsverhandlungen erst einmal die Kanonen in Stellung gebracht wurden, habe ich am 6.10. in diesem Blog auf Gemeinsamkeiten der Wahlprogramme beim Datenschutz hingewiesen und dabei die Themen Rechtsvereinfachung, Datenschutzkontrolle und Datenschutzbewusstsein genannt. Ein Blick in den vorliegenden Koalitionsvertrag zeigt, dass ich mit allen drei Prognosen richtig lag

Rechtsvereinfachung: “Hierzu werden wir das Bundesdatenschutzgesetz unter Berücksichtigung der europäischen Rechtsentwicklung lesbarer und verständlicher machen sowie zukunftsfest und technikneutral ausgestalten.” In diesem Zusammenhang hat sich auch meine Vermutung bestätigt, dass es kein separates Arbeitnehmerdatenschutzgesetz geben wird: “Hierzu werden wir den Arbeitnehmerdatenschutz in einem eigenen Kapitel im Bundesdatenschutzgesetz ausgestalten.”
Die Aussagen versprechen nichts weniger als den großen Wurf: eine komplette Überarbeitung des Bundesdatenschutzgesetzes in Richtung eines Datenschutzgesetzbuches. Mutig, mutig – und überfällig. Hier sollte die Koalition nicht zu spät starten – der Weg wird lang genug. Nach der neuen Regierungs-Gemengelage dürfte ein Entwurf dazu eher aus dem Justizministerium als aus dem Innenministerium zu erwarten sein.
Schade, dass seit dem Gutachten von Roßnagel, Pfitzmann und Garstka (“Modernisierung des Datenschutzrechts”) schon wieder 8 Jahre vergangen sind.

Datenschutzkontrolle: Der Koalitionsvertrag verspricht: “Wir werden beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit die personelle und sächliche Ausstattung verbessern. Die Unabhängigkeit
der Datenschutzaufsicht steht für uns dabei im Mittelpunkt.” Die Bundesregierung kann selbst nur für den BfDI reden (und hoffentlich auch handeln) – dennoch ist das ein Signal auch an die Landesfürsten. Hier können schnell Ergebnisse erzielt werden.
Ein dicker Wermutstropfen ist der fehlende Bezug zur Stärkung der betrieblichen und behördlichen Datenschutzbeauftragten, wie auch Jens Ferner seufzend feststellt:

[...] anmerken möchte ich aber, dass es schade ist, dass man erneut die Gelegenheit verschlafen wird, die Position “Datenschutzbeauftragter” allgemeinverbindlich zu normieren bzw. ein Gütesiegel zu schaffen – evt. wird die genannte Stiftung diese Lücke mal ausfüllen, doch wird das sicherlich Zeit kosten.

Aussagen zum Datenschutzbewusstsein finden sich gleich an mehreren Stellen, so soll die “Stiftung Datenschutz” die “Bildung im Bereich des Datenschutzes” stärken und “den Selbstdatenschutz durch Aufklärung verbessern”. Damit dürfte auch klar sein, wer aus Sicht der Bundesregierung folgende Aufgabe übernimmt: “Wir wollen deshalb die Sensibilität und Selbstverantwortung der Bürgerinnen und Bürger für ihre eigenen Daten stärken.” Eine “Stiftung Datenschutz” macht Sinn, wenn sie nicht nur Stempelchen für Internetseiten verteilt, dazu in Kürze mehr auf diesem Blog.

Gleichlautend sind einige Aussagen im Abschnitt “Informations- und Mediengesellschaft” des Koalitionsvertrages: “Wir werden dabei insbesondere unser Augenmerk auf Aufklärung legen. Die Sensibilität für den Schutz der eigenen Daten muss gestärkt, der Selbstdatenschutz erleichtert werden, um Datenmissbrauch vorzubeugen. Wir werden deshalb prüfen, wie durch die Anpassung des Datenschutzrechts der Schutz personenbezogener Daten im Internet verbessert werden kann, erwarten dabei aber auch von jedem Einzelnen einen verantwortungsvollen Umgang mit seinen persönlichen Daten im Internet.” Dabei gefällt mir besonders die Aussage, dass der Selbstdatenschutz nicht nur “gestärkt”, sondern “erleichtert” werden soll. Das bedeutet in der Praxis zum Beispiel ein Umdenken bei Programm- und Leistungsanbietern in Richtung datenschutzfreundlicher Produkte und Dienstleistungen (Stichworte Datensparsamkeit, Pseudo- und Anonymisierung); aber auch allgemein mehr Transparenz, ohne die keine – ebenfalls verstärkt geforderten – informierten und freiwilligen Einwilligungen möglich sind.
Deutlich wird hierbei: Datenbesitzer und Datenverarbeiter, verantwortliche Stelle und Betroffener – beide Seiten müssen ihren Beitrag leisten.

Reflexartig wiederhole ich meine Ansicht, dass ein wesentlicher Beitrag für ein stärkeres Datenschutzbewusstsein von den betrieblichen und behördlichen Datenschutzbeauftragten vor Ort geleistet werden kann (sofern sie dazu in der Lage sind bzw. in die Lage versetzt werden).

Kleiner Exkurs: Zur Verantwortung der Anbieter findet sich an anderer Stelle eine interessante Bemerkung: “Wir werden die Haftung von System- und Diensteanbietern für die IT-Sicherheit ihrer Angebote anpassen, um einer unbilligen Abwälzung von Risiken auf die Endanwender vorzubeugen.” Gleiches sollte für die Verpflichtung zu datenschutzfreundlichen Angeboten gelten; ich erinnere hier an die jüngsten Aussagen der 78. Konferenz der Datenschutzbeauftragten zum Datenschutz bei Krankenhausinformationssystemen.

Fazit: Insgesamt finden sich einige Lichtblicke für den Datenschutzalltag. Halten wir als Datenschutzpraktiker und datenschutzsensibilisierte Netzgemeinde die Augen offen, aber nutzen wir auch die Ansatzpunkte für eine konstruktive Zusammenarbeit.

Eine Pressemitteilung des Berufsverbandes der Datenschutzbeauftragten Deutschlands (BvD) e.V.:

Nach Aussagen des Berliner Beauftragten für Datenschutz und Informationssicherheit will die Deutsche Bahn zukünftig eine Modellfunktion in Sachen Datenschutz übernehmen. Diese Entscheidung wird vom Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. ausdrücklich unterstützt.

Während die Deutsche Bahn als Quittung für mangelhaften Kundendatenschutz 2007 den BigBrotherAward kassierte und der rechtwidrige Umgang mit Mitarbeiterdaten 2009 zu einem Bußgeld von 1,1 Mio Euro führte, hat der neue Unternehmensvorstand nun den Datenschutz zu einer seiner obersten Prioritäten erklärt und sich hohe Ziele gesetzt: Man will „nicht nur die vorgeschriebenen technischen und organisatorischen Vorkehrungen gegen datenschutzrechtliche Verstöße treffen, sondern darüber hinaus in Sachen Datenschutz eine Modellfunktion übernehmen.“

Der BvD begrüßt, dass in immer mehr Großunternehmen eine Neubewertung des Datenschutzes stattfindet: Lange Zeit als bürokratisches Hemmnis und Kostenfaktor abgetan, wird zunehmend seine tragende Rolle beim Aufbau und Erhalt einer Vertrauensbeziehung zu Kunden und Mitarbeitern wahrgenommen.

Ausdrücklich würdigt der BvD die angekündigte Stärkung des Konzerndatenschutzbeauftragten. Der betriebliche Datenschutzbeauftragte stellt die gesetzlich normierte, innerbetriebliche Kontrollinstanz dar. Eine enge Anbindung von qualifizierten und zuverlässigen betrieblichen Datenschutzbeauftragten an die Informationsflüsse des Unternehmens und seine Entscheidungsträger ist ein entscheidender Beitrag für eine rechtskonforme, effiziente Datenverarbeitung und hilft bei der Vermeidung imageschädigender Datenschutzpannen und –skandale.

Der BvD appelliert an große und kleine Unternehmen, aus den Ereignissen rund um die Deutsche Bahn zu lernen und auf die richtige Einbindung ihrer Datenschutzbeauftragten zu setzen. Eine bloße Bestellung reicht nicht aus. Mit dem im September verabschiedeten „Beruflichen Leitbild des Datenschutzbeauftragten“ gibt der BvD Unternehmen und Datenschutzbeauftragten gleichermaßen eine Orientierung.

Metronaut hatte es Mittwoch entdeckt, netzpolitik verbreitet: Die Kinokette UCI hat seltsame Passagen in ihrer Datenschutzerklärung.

7. Soweit die Übermittlung meiner Daten an Dritte nicht aufgrund eines Gesetzes, insbesondere nach dem BDSG, erlaubt ist, willige ich ein, dass die UCI-Gruppe und KRANKIKOM

• soweit dies erforderlich ist, meine personenbezogenen Daten an Strafverfolgungs- und Aufsichtsbehörden zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten übermittelt.

Klartext: UCI will Daten von Kinobesuchern z.B. an Strafverfolgungsbehörden weitergeben, auch wenn es dafür keine gesetzliche Grundlage gibt.  Vorauseilender Gehorsam im Anti-Terror-Kampf? Doppelter Unsinn:

• Erstens arbeiten Strafverfolgungs- und Aufsichtsbehörden nach dem Legalitätsprinzip – wollen wir doch mal stark annehmen…  D.h. keine Datenanforderung ohne Rechtsgrundlage.

• Zweitens zweifle ich stark an der Wirksamkeit der Einwilligung in dieser Form. Positiv: Bei der Registrierung für “Mein UCI” wird auf die “Datenschutzerklärung” und weitere “Allgemeine Hinweise zum Umgang mit meinen Daten” hingewiesen. Allerdings wird für mich dadurch nicht deutlich, dass es sich um eine Einwilligung handelt…

Im Klartext besteht die sogenannte Datenschutzerklärung nur aus – unwirksamen – Einwilligungen in jedes und alles – eine klare Mogelpackung. Leute, so was könnt Ihr nicht unter dem Namen “Datenschutzerklärung verkaufen”!

Wie kommt UCI auf diese Idee? Ich habe die Floskel mal gegoogelt und bin auf 131 weitere Webseiten gestoßen, die im Großen und Ganzen diese Erklärung verwenden. Darunter auch ebay – und das scheint mir die Mutter dieser Erklärungen zu sein. Ebay bezieht diese Einwilligung unter der richtigen Bezeichnung, optisch hervorgehoben und zum richtigen Zeitpunkt (bei der Anmeldung neuer Nutzer) mit einem Opt-In ein – während UCI und vermutlich die meisten anderen Webseiten das versäumen.

Wieder mal zeigt sich: Abschreiben lohnt sich nicht

P.S.: Auch wenn ebay handwerklich gut gearbeitet hat – das macht den Grundgedanken “Datenweitergabe am Gesetz vorbei” nicht besser.

Eben berichtet der Berliner Beauftragter für Datenschutz und Informationsfreiheit in einer Pressemitteilung, dass die Deutsche Bahn das Rekordbußgeld von 1.123.503,50 Euro zahlen wird. Zum Bußgeld siehe hier im Blog.

Interessant finde ich die Aussagen zur zukünftigen Vorbildrolle der Bahn:

Der neue Unternehmensvorstand hat demgegenüber den Datenschutz zu einer seiner obersten Prioritäten erklärt. Positiv hervorzuheben ist, dass jetzt der Datenschutz auf höchster Management-Ebene in einem eigenen Vorstandsressort „Compliance, Datenschutz und Recht“ angesiedelt ist. Das Unternehmen hat sich zum Ziel gesetzt, nicht nur die vorgeschriebenen technischen und organisatorischen Vorkehrungen gegen datenschutzrechtliche Verstöße zu treffen, sondern darüber hinaus in Sachen Datenschutz eine Modellfunktion zu übernehmen. Ein erster Schritt hierzu ist die eingeleitete Stärkung des Konzerndatenschutzbeauftragten. Der Berliner Beauftragte für Datenschutz und Informationsfreiheit, Dr. Alexander Dix, begrüßt diese Entwicklung ausdrücklich.

Datenschutzmodel(l) Deutsche Bahn – daran muss ich mich erst gewöhnen. Positiv anzumerken ist die Erwähnung der “eingeleiteten Stärkung des Konzerndatenschutzbeauftragten”.  Der betriebliche Datenschuztzbeauftragte ist nun einmal die gesetzlich verankerte Instanz – die man leider zu oft am ausgestreckten Arm zappeln lässt.

Die bußgeldbestraften kriminellen Abenteuer der Bahn betrafen vor allem Mitarbeiterdaten. Ich bin insbesondere gespannt, wie sich die neue Linie auf den Umgang mit Kundendaten auswirkt:

Schon vor den Skandalen im letzten Jahr hatte sich die DB nicht mit Ruhm bekleckert und im Jahr 2007 den BigBrotherAward erhalten. Die damalige Laudatio ist lesenswert – u.a. an der wiedergeschaffenen Möglichkeit zum anonymen Reisen müssen sich die angekündigten Bemühungen der Bahn in Zukunft messen lassen.

[Update 23.10.2009] In einer Presseerklärung der Bahn ist von der Vorbildfunktion nichts zu lesen. Allerdings will man bis Ende November mit dem Betriebsrat neue Leitlinien zum Arbeitnehmerdatenschutz vereinbaren.

Das verspricht ein Schnell-Check bei redmark, auf den ich durch twitter gestoßen bin:
Also fix runtergeladen (kostenlos – aber für den Account musste ich (m)eine Adresse herausrücken) und nachgeschaut. Donnerwetter, in 18 Fragen zum Datenschutzglück, kaum anderthalb A4-Seiten.

Kann man machen, wenn man sich auf solche Tipps beschränkt wi:

• “Prüfungskriterium: Die Programme zur Verarbeitung personenbezogener Daten enthalten die Funktionen, um die Einwilligung richtig zu verwalten. Reaktion bei nein: keine Verarbeitung, neue Software beschaffen.”
  OK, welches CRM kaufe ich denn heute ein? Oder

• “Prüfungskriterium: Werden die Daten (für die Erfüllung der Aufgaben) benötigt, ist die Speicherung auf die Inhalte begrenzt, die zur Erfüllung der Aufgaben notwendig sind (Datensparsamkeit). Reaktion bei Nein: Datenbestand und Abläufe prüfen” – und was mache ich am Nachmittag?

Richtig böse werde ich als Datenschutzbeauftragter bei den Fragen 14 und 16:

• Frage 14 “Prüfungskriterium: Das Unternehmen hat keinen betrieblichen Datenschutzbeauftragten (DSB). Reaktion bei Ja: weiter bei Frage 17″
  Eine Reaktion bei Nein ist auf der Liste nicht zu finden

Und der Hammer:

• Frage 16 “Prüfungskriterium: Der verschärfte Kündigungsschutz des betrieblichen DSB stellt ein Problem dar. Reaktion bei Ja: neuen DSB benennen.”

Da wird der alte Datenschutzbeauftragte mal eben weggecheckt. Hätte er sich doch nur ruhig verhalten…

Das Schlimme: Die Checkliste wird sicher tausendfach runtergeladen (kostenlos!) und hier und da zum Einsatz kommen. Grund genug, sich wieder einmal über die zunehmende Checklistengläubigkeit aufzuregen, auch unter Datenschutzverantwortlichen und Datenschutzumsetzern.

Verwende keine Checkliste, die Du nicht selbst erstellt oder geprüft hast.

Heute tickerte und twitterte eine ZDNet-Meldung (Tom Espiner, Stefan Beiersmann) um die Welt:   “Microsoft kritisiert Datenschutz in Chrome 3.0″

Amy Barzdukas, General Manager für Internet Explorer und Consumer-Security bei Microsoft, hat auf der RSA-Konferenz in London den Datenschutz von Chrome 3.0 kritisiert. Der Browser sende mit jedem Buchstaben, der in das Suchfeld eingegeben werde, ein Datenpaket an Google.

In einer Rede demonstrierte Barzdukas unter Verwendung des HTTP-Debugging-Proxys “Fiddler“, dass der Internet Explorer 8 bei der Verwendung von Bing keine Daten zurück an Microsoft sendet, während ein Nutzer Daten in das Suchfeld eingibt. Im direkten Vergleich zeigte sie, wie Chrome zusammen mit der Google-Suche nach jeder Eingabe eines Zeichens ein Datenpaket an den Suchanbieter verschickt, auch wenn noch keine Suchanfrage ausgelöst wurde. “Browser-Hersteller müssen beim Datenschutz sorgfältiger sein”, sagte Barzdukas.

Microsoft kritisiert Google – und mit Recht.

Vor nicht allzulanger Zeit waren die Rollen genau umgekehrt verteilt: Microsoft als böser Monopolist, dessen Produkte artig (und heimlich) nach Hause telefonierten; Google dagegen der werbefreie Strahlemann und Heilsbringer der Suchmaschinenwelt.

Ohne Anspruch auf Vollständigkeit ein paar Meilensteine für den Imagewechsel von Microsoft – aus meiner ganz persönlichen Datenschutzberater-Sicht:

• Microsoft war das erste Unternehmen, das 2002 den BigBrotherAward persönlich entgegennahm – vertreten durch den Datenschutzbeauftragten Sascha Hanke. Den Mumm hatte seitdem nur noch Telekom-DSB Claus Ulmer im vergangenen Jahr.
• Spätestens seit diesem Zeitpunkt bemühte sich Microsoft um gute Kontakte in die Datenschutzszene, beispielsweise durch Unterstützung und Mitwirkung bei Kongressen und Tagungen wie der DuD.
• Microsoft gibt Studien zum Thema in Auftrag, Beispiel “Bewusstseinswandel im Internet” vom Januar 2009
• 2005 forderte Microsoft ein nationales Datenschutzgesetz für die USA (Was ist eigentlich daraus geworden?)
• In Deutschland unterzieht sich Microsoft seit 2006 für verschiedene Produkte den Prüfungen zum Schleswig-Holsteinischen Datenschutz-Gütesiegel (ULD).
• Microsoft verwendet den Begriff “Datenschutz” in seinen Produkten und Erklärungen überwiegend in korrekter Weise – das ist leider nicht selbstverständlich.

Das ist nicht nur Marketing- und PR-Gebrumm, sondern schlägt sich zunehmend auch in den Produkten wieder. Ich weiß: Natürlich gibt es immer noch gute Gründe gegen Microsoft-Produkte; natürlich gibt es immer wieder neue Lücken und neue Begehrlichkeiten. Aber Microsoft nimmt den Datenschutz seiner Kunden zunehmend wahr und ernst – und fährt gut damit.  Nachmachen, bitte!

Interview mit dem Ober-Piraten Jens Seipenbusch in der gut gestalteten Datenschutz-Rubrik der ZEIT.

Zitate:

• Der Staat, Unternehmen und jeder Einzelne werden sich daran gewöhnen müssen, mit Daten anders umzugehen, als zu der Zeit, in der man alles in einem Leitz-Ordner abgeheftet hat.
• Bei Google tauchen manchmal Informationen wieder auf, die man schon lange vernichtet zu haben glaubt – weil sie an mehreren Orten zugleich gespeichert wurden.
• Frage: Was sagen Sie als Techniker – wäre, was der Telekom passiert ist, überhaupt zu verhindern? Seipenbusch: Natürlich kann man das. Es kostet nur etwas Geld. Man könnte mit einer Handvoll Leuten ein System erzeugen, in dem die Daten sicher verschlüsselt sind. [Anmerkung Datenschutzalltag: Weit aus dem Fenster gelehnt] Hinzu kommt, dass Sicherheit meist am Ende einer Entwicklung drangeklatscht wird. [Anmerkung Datenschutzalltag: Volle Zustimmung!]
• ..in gewisser Hinsicht ist tatsächlich Medienkompetenz das größte Problem bei dieser Sache. Die Menschen müssen auch die technische Kompetenz haben, um zumindest ansatzweise zu überblicken, wozu was sie da zustimmen.
• Frage: …Nennen Sie doch einmal zwei bis drei Punkte, die der Gesetzgeber künftig sicherstellen müsste. Seipenbusch: Das Wichtigste ist, dass es keine Weitergabe an Dritte ohne das Einverständnis oder die Information des Kunden gibt. [Anmerkung Datenschutzalltag: Ich erinnere an das Geschacher um das Listenprivileg. Am Ende weichgespült] Zweitens muss viel zahlen, wer dagegen verstößt. Es muss Handlungsdruck auf Unternehmen entstehen, zunächst ein wirtschaftlicher Druck und im Fall der Fahrlässigkeit im großen Stil auch ein strafrechtlicher. [Anmerkung Datenschutzalltag: Volle Zustimmung!] Drittens möchte ich mehr als Stichproben bei den Unternehmen. Ich möchte gerne, dass jemand von der Datenschutzbehörde jeden Tag bei der Telekom steht und in die Datenbanken schaut, um beispielsweise zu prüfen, ob der Text aller SMS gesetzeswidrig gespeichert wird oder nicht. Wenn das keiner macht, dann wird es immer wieder Probleme und Skandale geben.

Genau das “mehr Kontrollen durch Aufsichtsbehörden” will offensichtlich trotz anderslautender Versprechungen niemand; kaum eine Aufsichtsbehörde wurde in den vergangenen Monaten personell deutlich verstärkt.

Mindestens so wichtig: Betriebliche und behördliche Datenschutzbeauftragte in die Lage zu versetzen, dass sie u.a. diese Kontrollfunktion wahrnehmen können. Also Ausbildung, Ausstattung usw.

Nachdem der BigBrotherAward 2009 in der Kategorie Wirtschaft an deutsche Firmen vergeben wurde , die Überwachungstechnik für Internet und Telefon anbieten (dazu kurz hier in diesem Blog), bringt telepolis das Thema für mich erneut auf den Schirm und berichtet über ICM, eine Ermittlungssoftware von SAP, mit der “Informationsquellen aller Art” für “Ermittlungsbehörden aller Art” nutzbar gemacht werden können. SAP: “Wir haben bereits ausländische Nachrichtendienste als Kunden”.

Aus dem Interview mit  Stephan Heinrich, Politikwissenschaftler und Autor von “Innere Sicherheit und neue Informations- und Kommunikationstechnologien”  ein paar Zitate (Quelle):

• “Je mehr Heu du hast, desto schwerer ist es, die Nadel zu finden!” James Carafano
• Stephan Heinrich: “ Einerseits bekommen wir immer Daten, andererseits bekommen wir auch immer bessere Werkzeuge, um mit der Datenflut umzugehen. Dieses Wettrennen ist meines Erachtens derzeit noch unentschieden.“
• Stephan Heinrich: “Die bisherigen Erfahrungen zeigen, dass die gezielte Auswertung des Datenbergs die große Herausforderung ist, nicht die Schaffung des Datenbergs. Natürlich kann man jede Information speichern, weil sie irgendwann später einmal wichtig sein könnte. Aber das nutzt wenig, weil man mit noch so großen Datenmengen das Kriminalitätsverhalten – zumindest derzeit – nicht vorhersehen kann. “
• Frage: “… Kommt es zu einer permanenten digitalen Schleierfahndung, bei der alle Bürger untersucht werden, ob sie sich nun verdächtig gemacht haben oder nicht?“  Stephan Heinrich: “Das glaube ich nicht, schon weil die Polizei personell dazu gar nicht in der Lage ist. Ihre Ressourcen sind beschränkt, und die Beamten fragen sich natürlich, ob sich der technische Aufwand bei dem jeweiligen Tatbestand lohnt. Theoretisch könnte die Polizei natürlich sagen: “Wir lassen das System jeden Morgen einmal durchlaufen und schauen, was es uns Interessantes ausspuckt!” Aber praktisch käme sie gar nicht damit hinterher, all diese neuen Ansätze zu prüfen.”

Neidvoll dürfte manches werbetreibende Unternehmen auf diese Datenbankfülle blicken. Da bin ich doch ganz froh, das uns (Unternehmen, Vereine, Parteien) das Bundesdatenschutzgesetzes auf die Grundsätze von Datensparsamkeit, Erforderlichkeit und Zweckbindung festnagelt. Im Zeitalter der allgegenwärtigen Informationsverarbeitung (Ich kann mir den Begriff  “Ubiquitous Computing” einfach nicht merken) fragt sich, wie lange das noch durchhaltbar ist, siehe u.a. TAUCIS-Studie oder FES-Gutachten.  Aber das ist eine andere Geschichte.

Das macht pro Mitarbeiter und Überprüfung etwa 2 Euro. Immerhin.

[Update 23.10.2009] Die Bahn hat das Bußgeld akzeptiert: Link zur Pressemitteilung

Michael Bauchmüller berichtet in der Sueddeutschen:

Der Datenskandal bei der Deutschen Bahn hat für das Unternehmen ein teures Nachspiel. Nach Informationen der Süddeutschen Zeitung ging am Montag ein Bußgeldbescheid des Berliner Datenschutzbeauftragten Alexander Dix bei der Bahn ein. Darin fordert die Behörde eine Geldbuße von rund 1,1 Millionen Euro. Diese beziehe sich allein auf die schon früh bekannt gewordenen Verstöße gegen Datenschutzgesetze, hieß es bei der Behörde.

Wie zu Anfang des Jahres bekannt geworden war, hatte die Bahn seit 1998 insgesamt dreimal ihre Mitarbeiter sogenannten Massen-Screenings unterzogen. Diese sollten Fälle aufdecken, in denen Mitarbeiter sich über Scheinfirmen selbst lukrative Aufträge zuschanzen.

Reaktion Nummer 1: Werden jetzte die Tickets schon wieder teurer?

Reaktion Nummer 2: Spätestens seit dem Fall Lidl wissen wir, das auch Millionen-Bußgelder nicht automatisch zur Läuterung der Abgestraften führen.  Immerhin gibt es jetzt eine Hausmarke a la “Bußgeld je illegal überprüftem Mitarbeiter”:  Wenn wir grob von 3x 173.000 Mitarbeitern ausgehen, dann landen wir bei etwa 2 Euro pro Nase und Überprüfung. Ein gutes Argument,  warum eine Unternehmensleitung VOR einer geplanten Mitarbeiterüberprüfung ihren betrieblichen Datenschutzbeauftragten einbeziehen sollte. Datenschutz steht der Korruptionsbekämpfung nicht grundsätzlich im Weg: Es geht um das “Wie”.

Aber: Wie viel Datenschutzbeauftragte sind fachkundig genug, ihre Chefs entsprechend zu beraten? Der neue §32 im BDSG hilft hier wenigstens ansatzweise weiter; im Netz dürften diverse Stellungnahmen und Checklisten zu finden sein. Hat jemand was konkretes zur Hand?