Dazu zwei Anmerkungen:

Wie bei jedem Modethema, gehen auch hier recht schnell die Relationen flöten. Einerseits reagieren die Verantwortlichen auf den Umfang selbst großer Schäden herablassend, andererseits wird inzwischen jeder umgefallene Reissack als schwere Datenpanne angepriesen.
Natürlich ist jeder Zwischenfall für den Betroffenen ärgerlich, manchmal tragisch. Ob er mediale Beachtung verdient, sollte am möglichen Schaden und an der Zahl der Betroffenen festgemacht werden.

Weit mehr beschäftigt mich der persönliche Umgang mit den Pannen und Skandalen. Aus meiner Sicht wird zu viel zugeschaut, lamentiert, weitergeleitet, retweetet, kommentiert, kopfgeschüttelt – und zu wenig konsequent reagiert.

Dabei bieten gerade die bekanntgewordenen Datenschutzversäumnisse gute Möglichkeiten für persönliche Konsequenzen. Beispiele gefällig?

Datenfreigiebigkeit bei Deutsche Bank, Postbank:  Die eigene Bank um Auskunft ersuchen, wer Zugriff auf die eigenen Daten hatte. Musterbrief hier.

Einbruch in Fanshop des 1.FC Köln, Sparkassen-Shop, libri.de: Selbst genutzte Webshops fragen, was sie für die Sicherheit Ihrer Daten tun. Muster dafür hier.

Falsch versendete Kontoauszüge, Aufsichtsratsgehälter (Deutsche Bank, Stadtwerke München GmbH) usw.: Im Büro oder im Verein über cc und bcc reden. Sekretärin ins Gewissen reden und/oder angemessen bezahlen

Schlamperei bei der Bundesagentur für Arbeit: Bundestagsabgeordneten vor Ort deswegen anrufen/anmailen/besuchen. Adressen hier.

Sicherheitsleck bei Bank oder Kreditkarteninstitut (KarstadtQuelle Bank): Informationspolitik beobachten, u.U. Bank wechseln.

Und für alle, die sich mit den verschiedenen Datenschutzbehörden nicht so auskennen: Hier gibt es Hilfe.

Es ist ein gutes und befriedigendes Gefühl,  sich von negativen Nachrichten zu eigenem Handeln führen zu lassen. Ich persönlich wechsle gerade den  Provider für mein Blog und ordne meine Online-Einkaufs-Beziehungen neu. Wenig Aufwand, aber ein Gewinn für mich und vielleicht auch für andere. Machen Sie mit!

Sehr geehrte Damen und Herren,

seit längerer Zeit bin ich zufriedener Kunde Ihres Online-Shops (Kundenummer xyz).

In den letzten Tagen haben mich einige Datenpannen (Libri.de, Sparkassen-Shop, Fanshop des 1. FC Köln – siehe http://projekt-datenschutz.de) aufgeschreckt, so dass ich mir Gedanken um die Sicherheit meiner Kundendaten in Ihrem Online-Shop mache. Die Ergebnisse der XAMIT-Studie “Datenschutzbarometer 2008 – Datenschutz im Internet”
(http://www.xamit-leistungen.de/downloads/XamitDatenschutzbarometer2008.pdf)
haben meine Beunruhigung verstärkt: Gerade einmal 19% der dort überprüften Webshops verwendeten aktuelle Softwareversionen.

Deshalb meine Fragen:

Welche Shop-Software setzen Sie ein? Verwenden Sie die aktuelle Version, um gegen bekannte Angriffe auf Ihre und meine Daten geschützt zu sein?

Falls Ihre Shop-Software auf PHP basiert: Welche PHP-Version verwenden Sie?

Neben der Verwendung aktueller Software: Welche weiteren Maßnahmen zum Schutz meiner Kundendaten haben Sie ergriffen?

Auf Ihre Antwort freut sich

Steffen Schröder
Berater für Datenschutz & Datensicherheit
usw.

[Update - Die Antworten]

• 05.11.2009 12.00 Uhr
  Die Anfragen gehen raus. Einige Eingangsbestätigungen flattern ein.
• 05.11.2009 16.08 Uhr tonermonster.de
  Der Geschäftsführer antwortet. Flott, aber eher allgemein a la “umfangreicher Schutz” und “größter Wert auf Sicherheit”. Shop ist Eigenentwicklung, kein PHP.
• 06.11.2009 09.58 Uhr buhl.de
  Der CTO antwortet. Detailliert, engagiert, realistisch: “Jedoch wird Ihnen und uns auch bewusst sein, dass es NIE eine 100%-ige Sicherheit geben kann. Wir versuchen jedoch möglichst dicht an diese Marke heran zu kommen.”. Shop ist Eigenentwicklung, kein PHP. Regelmäßige externe Überprüfung.
• 06.11.2009 14:39 Uhr staples.de
  Der Kundendienst antwortet. Ich solle mir zunächst die AGB und auf der Webseite die Punkte “Datenschutz und Datensicherheit” durchlesen, “Hierin finden Sie schon eingie Informationen zumThema Datensicherheit”. Shop benutzt kein PHP.
  Die Seiten habe ich mir angeschaut: Allgemeine Aussagen. Wenn es konkret wird, dann eher erschreckend: “Software-Firewall” oder “Das System befindet sich vorwiegend in den Vereinigten Staaten” . Wenigstens “Safe harbor”.
• 06.11.2009 16:21 Uhr office-discount.de
  Der Kundenservice antwortet. Geheimniskrämerei: “Bitte haben Sie Verständnis dafür, dass wir Ihnen zu Ihrer Anfrage keine detaillierten Angaben machen möchten.” Hinweis auf die Webseite, dort aber nichts zum Thema.
• 09.11.2009 11:43 Uhr webmiles.de (Ja, auch Datenschützer nutzen Bonusprogramme. Immer seltener)
  Das Service-Team antwortet. Geheimniskrämerei: “aktuellsten Versionen”, “regelmässige Sicherheitschecks”, “keine Sicherheitsprobleme”, “geeignete Betriebskonzepte”.”Welche Versionen und welche Software wir im einzelnen einsetzen, können wir Ihnen nicht mitteilen,da diese Auskünfte unserem Sicherheitskonzept widersprechen.” Da bin ich aber beruhigt   Nicht mal ein Verweis auf die etwas aussagefreudigere Webseite zum Thema.
• 11.11.2009 11:27 Uhr hrs.de
  Das IT Helpdesk antwortet. Ähnlich schwammig: Kein Shopsystem, sondern selbst entwickelte Software, basierend auf “gängigen Internettechniken”. Die “passende Serversoftware” sei auf dem “neuesten Stand”. Etwas konkreter, aber nicht überraschend: Daneben werden IDS, IPS & Firewalls in entsprechender Stückzahl eingesetzt. Die SSL-Verschlüsselung für den Übertragungsweg wird nur auf der Webseite erwähnt.

Xamit hat sich vor der Wahl einen guten Namen durch die Studie “Parteien und Datenschutz – Datenschutzpraxis deutscher Parteien und parteinaher Organisationen” (pdf) gemacht. Aufschlussreich ist auch das “Datenschutzbaromter 2008 – Datenschutz im Internet” (pdf), bereits Ende 2008 veröffentlicht und inzwischen aktualisiert. An den Zahlen wird sich wenig geändert haben.

Mehr als 26.000 deutsche Webpräsenzen wurden untersucht, darunter knapp 10.000 mit installiertem PHP. Davon hatten nur 29% die damals aktuelle Version installiert.

162 Webshops mit Standardshopsoftware konnten erkannt werden. Was schätzen Sie, wie viele dieser Shops a) eine aktuelle PHP-Version und b) die aktuelle Version ihrer Standard-Shopsoftware im Einsatz hatten?

Es waren ganze 19 (neunzehn) Prozent.

Klartext: 81% der entdeckten Online-Shops mit Standard-Shopsoftware auf PHP-Basis waren zum Zeitpunkt der Untersuchung anfällig für bereits bekannte Angriffe von außen. Die Kundendaten waren potentiell in Gefahr.

Wer sich nicht nur aufregen, sondern handeln will: Bei selbst regelmäßig genutzten Webshops nachschauen oder nachfragen, ob und wie die eigenen Daten geschützt sind. Höflich, formlos, bestimmt.[Update 05.11.2009 Habe ich heute bei 10 "meiner" Shops gemacht. Siehe nächster Artikel] Für ein umfassenderes Bild könnte sich auch das Verfahrensverzeichnis nach § 4e Bundesdatenschutzgesetz (BDSG) nützlich machen, aber die Wahrscheinlichkeit ist gering, in der Praxis auf ein gut erhaltenes und aussagefähiges Exemplar dieser seltenen Spezies zu stossen.

Kann man natürlich alles auch ohne Fragen herausbekommen, aber das sprengt den Rahmen des Artikels

Der wegen der SchülerVZ-Erpressung Tatverdächtige, ein 20 Jahre alter Mann aus Erlangen, hat in der Jugendstrafanstalt Plötzensee Selbstmord begangen. Das bestätigte ein Sprecher der Justizverwaltung gegenüber dpa. Eine traurige Geschichte.

Mein Beileid gilt den Angehörigen und Freunden.

Unsere Handlungen in der digitalen Welt haben immer Auswirkungen auf das Leben realer Menschen – zuallererst auf uns selbst. Was als “Abschlussprojekt als Fachinformatiker” begann und Anerkennung in der Szene bringen sollte,  endete 5 Monate später im RL dramatisch mit Erpressung, Inhaftierung und Selbstmord.

Auf Youtube sieht das Ganze wie ein cooles Spiel aus. Jetzt hat es matt56444 das Leben gekostet.

Kein Neustart nach “Game over”.  Das ist kein Hack der Welt wert.

Nicht jeder darf einen Bus mit Fahr­gäs­ten fah­ren, Spren­gun­gen durch­füh­ren oder an an­ste­cken­den Vi­ren­stäm­men for­schen. Aber jeder darf ein Sho­psys­tem für Tau­sen­de von Nut­zern schrei­ben und be­trei­ben.

Soll­te es nicht einen staat­lich ge­prüf­ten Da­ten­schutz­pro­gram­mie­rer geben, der die Ent­wick­lung einer ent­spre­chen­den Soft­ware über­wacht oder zu­min­dest bei der End­ab­nah­me der Soft­ware be­tei­ligt ist und mit sei­nem Namen für den Be­trieb bürgt?

Irgendwie in diese Richtung marschiert die neue Bundesregierung; hier im Blog zu Aussagen im Koalitionsvertrag:

Kleiner Exkurs: Zur Verantwortung der Anbieter findet sich an anderer Stelle eine interessante Bemerkung: „Wir werden die Haftung von System- und Diensteanbietern für die IT-Sicherheit ihrer Angebote anpassen, um einer unbilligen Abwälzung von Risiken auf die Endanwender vorzubeugen.“ Gleiches sollte für die Verpflichtung zu datenschutzfreundlichen Angeboten gelten; ich erinnere hier an die jüngsten Aussagen der 78. Konferenz der Datenschutzbeauftragten zum Datenschutz bei Krankenhausinformationssystemen.

Der leider weit verbreitete Miss-Stand auf der Anbieterseite trifft im Datenschutzalltag tragischerweise regelmäßig auf Kunden, die wie selbstverständlich davon ausgehen, dass die gekaufte (Unternehmens-)Software den gesetzlichen Bestimmungen entsprechen muss (von der Datensicherheit ganz zu schweigen):
“Wenn meine Personalverwaltungssoftware oder mein Krankenhausinformationssystem diese Datenabfrage vorsieht oder dieses Berechtigungskonzept standardmäßig einstellt, dann kann das doch nicht unrechtmäßig sein?”
Kann es doch – und ist es häufig.

Datenschutz-Gütesiegel für Produkte (beispielsweise Shopsysteme) sind noch nicht weit verbreitet, aber mindestens so wichtig wie Gütesiegel für Webseiten.

Viel Arbeit für die “Stiftung Datenschutz”!

Ursache: Mangelnde Resonanz.

Eingeladen waren insbesondere Datenschutzbeauftragte und Verantwortliche aus dem Bereich der Telekommunikation…
Am Ort, Preis und am Programm kann es kaum gelegen haben.  Ich will den Ausfall nicht überbewerten, aber er wirft zumindest kein gutes Licht auf den Veränderungswillen der TK-Branche.

Stell Dir vor, es ist Datenschutz – und keiner geht hin.

Die Anschriften fehlen (noch) im Blog:

Deutsche Postbank AG
Friedrich-Ebert-Allee 114 – 126
53113 Bonn

Deutsche Postbank AG
Zentraler Datenschutzbeauftragter
Postfach 40 00
53105 Bonn

7. Soweit die Übermittlung meiner Daten an Dritte nicht aufgrund eines Gesetzes, insbesondere nach dem BDSG, erlaubt ist, willige ich ein, dass die UCI-Gruppe und KRANKIKOM

• soweit dies erforderlich ist, meine personenbezogenen Daten an Strafverfolgungs- und Aufsichtsbehörden zur Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten übermittelt.

Klartext: UCI will Daten von Kinobesuchern z.B. an Strafverfolgungsbehörden weitergeben, auch wenn es dafür keine gesetzliche Grundlage gibt.  Vorauseilender Gehorsam im Anti-Terror-Kampf? Doppelter Unsinn:

• Erstens arbeiten Strafverfolgungs- und Aufsichtsbehörden nach dem Legalitätsprinzip – wollen wir doch mal stark annehmen…  D.h. keine Datenanforderung ohne Rechtsgrundlage.

• Zweitens zweifle ich stark an der Wirksamkeit der Einwilligung in dieser Form. Positiv: Bei der Registrierung für “Mein UCI” wird auf die “Datenschutzerklärung” und weitere “Allgemeine Hinweise zum Umgang mit meinen Daten” hingewiesen. Allerdings wird für mich dadurch nicht deutlich, dass es sich um eine Einwilligung handelt…

Im Klartext besteht die sogenannte Datenschutzerklärung nur aus – unwirksamen – Einwilligungen in jedes und alles – eine klare Mogelpackung. Leute, so was könnt Ihr nicht unter dem Namen “Datenschutzerklärung verkaufen”!

Wie kommt UCI auf diese Idee? Ich habe die Floskel mal gegoogelt und bin auf 131 weitere Webseiten gestoßen, die im Großen und Ganzen diese Erklärung verwenden. Darunter auch ebay – und das scheint mir die Mutter dieser Erklärungen zu sein. Ebay bezieht diese Einwilligung unter der richtigen Bezeichnung, optisch hervorgehoben und zum richtigen Zeitpunkt (bei der Anmeldung neuer Nutzer) mit einem Opt-In ein – während UCI und vermutlich die meisten anderen Webseiten das versäumen.

Wieder mal zeigt sich: Abschreiben lohnt sich nicht

P.S.: Auch wenn ebay handwerklich gut gearbeitet hat – das macht den Grundgedanken “Datenweitergabe am Gesetz vorbei” nicht besser.

Interessant finde ich die Aussagen zur zukünftigen Vorbildrolle der Bahn:

Der neue Unternehmensvorstand hat demgegenüber den Datenschutz zu einer seiner obersten Prioritäten erklärt. Positiv hervorzuheben ist, dass jetzt der Datenschutz auf höchster Management-Ebene in einem eigenen Vorstandsressort „Compliance, Datenschutz und Recht“ angesiedelt ist. Das Unternehmen hat sich zum Ziel gesetzt, nicht nur die vorgeschriebenen technischen und organisatorischen Vorkehrungen gegen datenschutzrechtliche Verstöße zu treffen, sondern darüber hinaus in Sachen Datenschutz eine Modellfunktion zu übernehmen. Ein erster Schritt hierzu ist die eingeleitete Stärkung des Konzerndatenschutzbeauftragten. Der Berliner Beauftragte für Datenschutz und Informationsfreiheit, Dr. Alexander Dix, begrüßt diese Entwicklung ausdrücklich.

Datenschutzmodel(l) Deutsche Bahn – daran muss ich mich erst gewöhnen. Positiv anzumerken ist die Erwähnung der “eingeleiteten Stärkung des Konzerndatenschutzbeauftragten”.  Der betriebliche Datenschuztzbeauftragte ist nun einmal die gesetzlich verankerte Instanz – die man leider zu oft am ausgestreckten Arm zappeln lässt.

Die bußgeldbestraften kriminellen Abenteuer der Bahn betrafen vor allem Mitarbeiterdaten. Ich bin insbesondere gespannt, wie sich die neue Linie auf den Umgang mit Kundendaten auswirkt:

Schon vor den Skandalen im letzten Jahr hatte sich die DB nicht mit Ruhm bekleckert und im Jahr 2007 den BigBrotherAward erhalten. Die damalige Laudatio ist lesenswert – u.a. an der wiedergeschaffenen Möglichkeit zum anonymen Reisen müssen sich die angekündigten Bemühungen der Bahn in Zukunft messen lassen.

[Update 23.10.2009] In einer Presseerklärung der Bahn ist von der Vorbildfunktion nichts zu lesen. Allerdings will man bis Ende November mit dem Betriebsrat neue Leitlinien zum Arbeitnehmerdatenschutz vereinbaren.

Zitate:

• Der Staat, Unternehmen und jeder Einzelne werden sich daran gewöhnen müssen, mit Daten anders umzugehen, als zu der Zeit, in der man alles in einem Leitz-Ordner abgeheftet hat.
• Bei Google tauchen manchmal Informationen wieder auf, die man schon lange vernichtet zu haben glaubt – weil sie an mehreren Orten zugleich gespeichert wurden.
• Frage: Was sagen Sie als Techniker – wäre, was der Telekom passiert ist, überhaupt zu verhindern? Seipenbusch: Natürlich kann man das. Es kostet nur etwas Geld. Man könnte mit einer Handvoll Leuten ein System erzeugen, in dem die Daten sicher verschlüsselt sind. [Anmerkung Datenschutzalltag: Weit aus dem Fenster gelehnt] Hinzu kommt, dass Sicherheit meist am Ende einer Entwicklung drangeklatscht wird. [Anmerkung Datenschutzalltag: Volle Zustimmung!]
• ..in gewisser Hinsicht ist tatsächlich Medienkompetenz das größte Problem bei dieser Sache. Die Menschen müssen auch die technische Kompetenz haben, um zumindest ansatzweise zu überblicken, wozu was sie da zustimmen.
• Frage: …Nennen Sie doch einmal zwei bis drei Punkte, die der Gesetzgeber künftig sicherstellen müsste. Seipenbusch: Das Wichtigste ist, dass es keine Weitergabe an Dritte ohne das Einverständnis oder die Information des Kunden gibt. [Anmerkung Datenschutzalltag: Ich erinnere an das Geschacher um das Listenprivileg. Am Ende weichgespült] Zweitens muss viel zahlen, wer dagegen verstößt. Es muss Handlungsdruck auf Unternehmen entstehen, zunächst ein wirtschaftlicher Druck und im Fall der Fahrlässigkeit im großen Stil auch ein strafrechtlicher. [Anmerkung Datenschutzalltag: Volle Zustimmung!] Drittens möchte ich mehr als Stichproben bei den Unternehmen. Ich möchte gerne, dass jemand von der Datenschutzbehörde jeden Tag bei der Telekom steht und in die Datenbanken schaut, um beispielsweise zu prüfen, ob der Text aller SMS gesetzeswidrig gespeichert wird oder nicht. Wenn das keiner macht, dann wird es immer wieder Probleme und Skandale geben.

Genau das “mehr Kontrollen durch Aufsichtsbehörden” will offensichtlich trotz anderslautender Versprechungen niemand; kaum eine Aufsichtsbehörde wurde in den vergangenen Monaten personell deutlich verstärkt.

Mindestens so wichtig: Betriebliche und behördliche Datenschutzbeauftragte in die Lage zu versetzen, dass sie u.a. diese Kontrollfunktion wahrnehmen können. Also Ausbildung, Ausstattung usw.

Was u.a. bei CIO als aktuelle Studie angepriesen wird, ist zwar schon vom Juli 2008, aber trotzdem interessant; Quelle: “Airport Insecurity” vom Ponemon Institut (zu Ponemon siehe auch hier):

• 12.200 verlorene Laptops pro Woche in den 106 größten Flughäfen der USA, dabei knapp 5.000 in den Big 5

• 3.400 verlorene Laptops pro Woche in den 7 größten Flughäfen Europas, dabei 300 in Frankfurt

Die Studie mit den angeführten Gründen für die Verluste (Hektik oder zu viele Gepäckstücke) und den vorhandenen Sicherheitsmechanismen (Deutschland führend bei  der Daten- und Festplattenverschlüsselung) ist ganz lesenswert.

Zum gestrigen Thema der gefühlten Sicherheit:

Over 28% of European and 34% of U.S. business travelers who say they do take steps to protect the sensitive or confidential information in their laptop computers don’t know how this information is protected.

Wohlgemerkt, die völlig ungeschützten Kisten sind da gar nicht mehr berücksichtigt (22% in Deutschland – 57% in Spanien). Die anderen fühlten sich wenigstens sicher: “Irgendwie hatte ich meine Daten geschützt, aber wie nur???”

[Update 23.10.2009] Die Bahn hat das Bußgeld akzeptiert: Link zur Pressemitteilung

Michael Bauchmüller berichtet in der Sueddeutschen:

Der Datenskandal bei der Deutschen Bahn hat für das Unternehmen ein teures Nachspiel. Nach Informationen der Süddeutschen Zeitung ging am Montag ein Bußgeldbescheid des Berliner Datenschutzbeauftragten Alexander Dix bei der Bahn ein. Darin fordert die Behörde eine Geldbuße von rund 1,1 Millionen Euro. Diese beziehe sich allein auf die schon früh bekannt gewordenen Verstöße gegen Datenschutzgesetze, hieß es bei der Behörde.

Wie zu Anfang des Jahres bekannt geworden war, hatte die Bahn seit 1998 insgesamt dreimal ihre Mitarbeiter sogenannten Massen-Screenings unterzogen. Diese sollten Fälle aufdecken, in denen Mitarbeiter sich über Scheinfirmen selbst lukrative Aufträge zuschanzen.

Reaktion Nummer 1: Werden jetzte die Tickets schon wieder teurer?

Reaktion Nummer 2: Spätestens seit dem Fall Lidl wissen wir, das auch Millionen-Bußgelder nicht automatisch zur Läuterung der Abgestraften führen.  Immerhin gibt es jetzt eine Hausmarke a la “Bußgeld je illegal überprüftem Mitarbeiter”:  Wenn wir grob von 3x 173.000 Mitarbeitern ausgehen, dann landen wir bei etwa 2 Euro pro Nase und Überprüfung. Ein gutes Argument,  warum eine Unternehmensleitung VOR einer geplanten Mitarbeiterüberprüfung ihren betrieblichen Datenschutzbeauftragten einbeziehen sollte. Datenschutz steht der Korruptionsbekämpfung nicht grundsätzlich im Weg: Es geht um das “Wie”.

Aber: Wie viel Datenschutzbeauftragte sind fachkundig genug, ihre Chefs entsprechend zu beraten? Der neue §32 im BDSG hilft hier wenigstens ansatzweise weiter; im Netz dürften diverse Stellungnahmen und Checklisten zu finden sein. Hat jemand was konkretes zur Hand?

Datendiebstahl bei SchülerVZ: Vorbeugung statt nur Empörung

Schülerdaten gelangen erneut ins Visier von Datendieben. Aus diesem Anlass weist der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. auf Defizite bei der Medienerziehung hin.

„So sinnvoll und hilfreich das Web 2.0 auch ist, es birgt etliche Gefahren, deren sich unsere Kinder nicht mal ansatzweise bewusst sind. Leider sind auch Eltern und Lehrer damit sehr häufig überfordert.“, meint Thomas Floß, Leiter des Arbeitskreises „Datenschutz geht zur Schule“ beim BvD.

Seit Ende 2008 gibt es diese Initiative des BvD, in der mittlerweile knapp 20 Datenschutzberater aus dem ganzen Bundesgebiet mitarbeiten. Erstes Arbeitsergebnis ist ein Unterrichtskonzept für die Sekundarstufe I. Themen wie SchülerVZ und StudiVZ, Video- und Musikdownloads, Gefahren in Chatrooms etc. stehen hier im Mittelpunkt.

Das neue Konzept soll nach den Herbstferien in NRW, Bayern und Baden-Württemberg in eine erste vierteljährliche Probephase gehen. Danach werden die BvD-Datenschutzexperten ehrenamtlich an den Schulen unterrichten und dabei klare und einfache Verhaltensregeln aufzeigen, um die Schüler, sowie auf Wunsch auch die Eltern und die Lehrer, bezüglich dieser Gefahren deutlich sensibilisieren.

„Die Daten unserer Kinder sind inzwischen ein unschätzbares Wirtschaftsgut. Das zeigt erneut der aktuelle Datendiebstahl bei SchülerVZ.“, so Thomas Floß weiter. „Natürlich müssen auch die Plattformanbieter ihren Beitrag zu mehr Sicherheit leisten. Aber das Hauptproblem liegt unserer Meinung nach im leichtfertigen Umgang mit den eigenen Daten. Hier setzen unsere Sensibilisierungsveranstaltungen an.“

Für Rückfragen von interessierten Schulen und Elternvertretern steht Thomas Floß unter der E-Mailadresse thomas.floss@bvdnet.de zur Verfügung.

In einem Gespräch mit dem Nachrichtenmagazin “Der Spiegel” äußerte sich Balz ungewöhnlich hart über seine Branche. Im Telefongeschäft habe sich “ein System mit kriminogenen Strukturen” entwickelt. Beim gegenseitigen Abwerben von Kunden über Tausende unabhängige Callcenter sei ein “gefährliches Provisionskarussel” entstanden, das zum Betrug geradezu einlade. Diesem Problem könne man nur im Verbund mit den anderen Telekommunikationsanbietern begegnen. Für das geplante Treffen nannte Balz noch keinen Termin.

Quelle: heise

Aus meinem Datenschutzalltag als Berater kann ich die besondere Situation in der Telekombranche bestätigen. Ich darf nicht ins Detail gehen, aber wer mittlerweile jahrzehntelang in einem Eldorado überdurchschnittlicher Zuwachsraten arbeitet, der tickt anders als die Verwalter in der Old Economy. Nach und nach arbeitet die Branche die Versäumnisse der wilden Jahre auf: Als Folge der Skandale im vergangenen Herbst wurden Tausende Telekom-Dienstleister an ihre vertraglichen Pflichten erinnert, nicht immer erfolgreich. Mal ist es fehlende Fachkenntnis (“Wem gehören die Kundendaten?”), mal einfach nur eingeschränktes Unrechtsbewusstsein, mit dem sich (nicht nur) Telekom-Händler an “ihre” Daten klammern und weiter Callcenter auf die Jagd nach Provisionen schicken.  Der Verbraucher muss es ausbaden – in unzähligen, einfach nur lästigen Anrufen “im Namen der Telekom”. Hierbei haben die Netzbetreiber im Kampf um Marktanteile zu lange beide Augen zugedrückt.

Vor diesem Hintergrund halte ich es für ehrenhaft, dass die Telekom endlich unlautere Vertriebspartner zur Rechenschaft zieht und jetzt das Gespräch mit den Wettbewerbern sucht. Ich hoffe, dass der Vorstoß von Manfred Balz auf offene Ohren bei seinen Kollegen trifft.