Datenschutzalltag

Mnementh verdeutlicht in seinem Blog den Zusammenhang zwischen den aktuellen Datenpannen und Programmierern, die “man­geln­den tech­ni­schen Sach­ver­stand und man­geln­de Vor­aus­sicht im Um­gang mit per­sön­li­chen Daten” haben, weil sie das oft nicht haben müssen.

Nicht jeder darf einen Bus mit Fahr­gäs­ten fah­ren, Spren­gun­gen durch­füh­ren oder an an­ste­cken­den Vi­ren­stäm­men for­schen. Aber jeder darf ein Sho­psys­tem für Tau­sen­de von Nut­zern schrei­ben und be­trei­ben.

Soll­te es nicht einen staat­lich ge­prüf­ten Da­ten­schutz­pro­gram­mie­rer geben, der die Ent­wick­lung einer ent­spre­chen­den Soft­ware über­wacht oder zu­min­dest bei der End­ab­nah­me der Soft­ware be­tei­ligt ist und mit sei­nem Namen für den Be­trieb bürgt?

Irgendwie in diese Richtung marschiert die neue Bundesregierung; hier im Blog zu Aussagen im Koalitionsvertrag: Continue reading ‘Für Datenschutz qualifizierte Programmierer?’ »

…  Louis D. Brandeis, Samuel D. Warren, Postgeheimnis, Fernmeldegeheinnis,  BDSG, BfDI, OECD, Electronic Communications Privacy Act, Employee Polygraph Protection Act, Peter Swire, Nuala O’Connor Kelly, “National Do Not Call Registry”, Genetic Information Nondiscrimination Act.

Was haben alle diese Dinge gemeinsam?

Sie werden in der sehenswerten Fotoserie zum Artikel “Wie retten wir die Privatsphäre?” von Lew McCreary” als “Hüter des Datenschutzes” in den letzten 12.000 Jahren dargestellt.

Gefällt mir – trotz amerikanischer Brille – sehr gut und verdeutlicht einmal mehr, daß “Datenschutz” keine Erfindung unserer Zeit ist.

Anschauen (Hier) – Lesen – Nachdenken – und beim letzten Foto  an die notwendige Weiterentwicklung der Datenschutzgesetzgebung in Deutschland erinnert werden.

Gewichtige Worte darf man eigentlich immer von Datenschutz-Mitentdecker Spiros Simitis erwarten, so auch heute bei der Feier zum 30. Geburtstag der Institution des Berliner Datenschutzbeauftragten.

Apropos Feier und Berliner Datenschutzbeauftragte (Glückwunsch an Alexander Dix und seine Mitstreiter): Nein, das Millionen-Bahn-Bußgeld wurde nicht verjubelt. Bin gespannt, bei wem die bedeutende Summe landet!?

Spiros Simitis jedenfalls wurde seinem Ruf gerecht, ebenso wie die anderen Redner. Einen guten Überblick über die Seelenlage der Datenschutz-Vordenker der ersten Generation gibt der Bericht bei heise.

Oft zitierter Höhepunkte auch aus meiner Sicht ist der Simitis-Ausspruch:

“Demokratie zeichnet sich durch Informationsverzicht aus”.

Das  hört man aus seinem Mund nicht zum ersten mal, aber in der allgegenwärtigen, schwarz-gelb verursachten Erwartungshaltung hört man vielleicht neu hin und bewertet die Chancen einer Umsetzung.

Mir kam dazu ein Gedanke aus dem Datenschutzalltag. Naheliegend ist es, den Ruf nach Informationsverzicht allein an die Exekutive zu adressieren. Aber ich predige (BDSG nennt es weniger poetisch “hinwirken auf ” und “bekanntmachen mit”) in meinen Schulungen immer wieder: “Lassen Sie sich nicht in Versuchung führen!”
Continue reading ‘Simitis: Datenschutz, Demokratie und Informationsverzicht’ »

Extra3 erklärt uns in knapp 3 Minuten alles über das Abhören und löst nebenbei (zu spät) das Rätsel um die Massenvernichtungswaffen im Irak: Gute Unterhaltung!
Diese Information erreicht mich über Twitter an dem Tag, an dem über 20.000 Anfragen zur Vorratsdatenspeicherung berichtet wird. Indirektes Abhören sozusagen…

Dank an @aktionfsa.

Als in der heißen Startphase der Koalitionsverhandlungen erst einmal die Kanonen in Stellung gebracht wurden, habe ich am 6.10. in diesem Blog auf Gemeinsamkeiten der Wahlprogramme beim Datenschutz hingewiesen und dabei die Themen Rechtsvereinfachung, Datenschutzkontrolle und Datenschutzbewusstsein genannt. Ein Blick in den vorliegenden Koalitionsvertrag zeigt, dass ich mit allen drei Prognosen richtig lag

Rechtsvereinfachung: “Hierzu werden wir das Bundesdatenschutzgesetz unter Berücksichtigung der europäischen Rechtsentwicklung lesbarer und verständlicher machen sowie zukunftsfest und technikneutral ausgestalten.” In diesem Zusammenhang hat sich auch meine Vermutung bestätigt, dass es kein separates Arbeitnehmerdatenschutzgesetz geben wird: “Hierzu werden wir den Arbeitnehmerdatenschutz in einem eigenen Kapitel im Bundesdatenschutzgesetz ausgestalten.”
Die Aussagen versprechen nichts weniger als den großen Wurf: eine komplette Überarbeitung des Bundesdatenschutzgesetzes in Richtung eines Datenschutzgesetzbuches. Mutig, mutig – und überfällig. Hier sollte die Koalition nicht zu spät starten – der Weg wird lang genug. Nach der neuen Regierungs-Gemengelage dürfte ein Entwurf dazu eher aus dem Justizministerium als aus dem Innenministerium zu erwarten sein.
Schade, dass seit dem Gutachten von Roßnagel, Pfitzmann und Garstka (“Modernisierung des Datenschutzrechts”) schon wieder 8 Jahre vergangen sind.

Datenschutzkontrolle: Der Koalitionsvertrag verspricht: “Wir werden beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit die personelle und sächliche Ausstattung verbessern. Die Unabhängigkeit
der Datenschutzaufsicht steht für uns dabei im Mittelpunkt.” Die Bundesregierung kann selbst nur für den BfDI reden (und hoffentlich auch handeln) – dennoch ist das ein Signal auch an die Landesfürsten. Hier können schnell Ergebnisse erzielt werden.
Ein dicker Wermutstropfen ist der fehlende Bezug zur Stärkung der betrieblichen und behördlichen Datenschutzbeauftragten, wie auch Jens Ferner seufzend feststellt:

[...] anmerken möchte ich aber, dass es schade ist, dass man erneut die Gelegenheit verschlafen wird, die Position “Datenschutzbeauftragter” allgemeinverbindlich zu normieren bzw. ein Gütesiegel zu schaffen – evt. wird die genannte Stiftung diese Lücke mal ausfüllen, doch wird das sicherlich Zeit kosten.

Aussagen zum Datenschutzbewusstsein finden sich gleich an mehreren Stellen, so soll die “Stiftung Datenschutz” die “Bildung im Bereich des Datenschutzes” stärken und “den Selbstdatenschutz durch Aufklärung verbessern”. Damit dürfte auch klar sein, wer aus Sicht der Bundesregierung folgende Aufgabe übernimmt: “Wir wollen deshalb die Sensibilität und Selbstverantwortung der Bürgerinnen und Bürger für ihre eigenen Daten stärken.” Eine “Stiftung Datenschutz” macht Sinn, wenn sie nicht nur Stempelchen für Internetseiten verteilt, dazu in Kürze mehr auf diesem Blog.

Gleichlautend sind einige Aussagen im Abschnitt “Informations- und Mediengesellschaft” des Koalitionsvertrages: “Wir werden dabei insbesondere unser Augenmerk auf Aufklärung legen. Die Sensibilität für den Schutz der eigenen Daten muss gestärkt, der Selbstdatenschutz erleichtert werden, um Datenmissbrauch vorzubeugen. Wir werden deshalb prüfen, wie durch die Anpassung des Datenschutzrechts der Schutz personenbezogener Daten im Internet verbessert werden kann, erwarten dabei aber auch von jedem Einzelnen einen verantwortungsvollen Umgang mit seinen persönlichen Daten im Internet.” Dabei gefällt mir besonders die Aussage, dass der Selbstdatenschutz nicht nur “gestärkt”, sondern “erleichtert” werden soll. Das bedeutet in der Praxis zum Beispiel ein Umdenken bei Programm- und Leistungsanbietern in Richtung datenschutzfreundlicher Produkte und Dienstleistungen (Stichworte Datensparsamkeit, Pseudo- und Anonymisierung); aber auch allgemein mehr Transparenz, ohne die keine – ebenfalls verstärkt geforderten – informierten und freiwilligen Einwilligungen möglich sind.
Deutlich wird hierbei: Datenbesitzer und Datenverarbeiter, verantwortliche Stelle und Betroffener – beide Seiten müssen ihren Beitrag leisten.

Reflexartig wiederhole ich meine Ansicht, dass ein wesentlicher Beitrag für ein stärkeres Datenschutzbewusstsein von den betrieblichen und behördlichen Datenschutzbeauftragten vor Ort geleistet werden kann (sofern sie dazu in der Lage sind bzw. in die Lage versetzt werden).

Kleiner Exkurs: Zur Verantwortung der Anbieter findet sich an anderer Stelle eine interessante Bemerkung: “Wir werden die Haftung von System- und Diensteanbietern für die IT-Sicherheit ihrer Angebote anpassen, um einer unbilligen Abwälzung von Risiken auf die Endanwender vorzubeugen.” Gleiches sollte für die Verpflichtung zu datenschutzfreundlichen Angeboten gelten; ich erinnere hier an die jüngsten Aussagen der 78. Konferenz der Datenschutzbeauftragten zum Datenschutz bei Krankenhausinformationssystemen.

Fazit: Insgesamt finden sich einige Lichtblicke für den Datenschutzalltag. Halten wir als Datenschutzpraktiker und datenschutzsensibilisierte Netzgemeinde die Augen offen, aber nutzen wir auch die Ansatzpunkte für eine konstruktive Zusammenarbeit.

Eine Pressemitteilung des Berufsverbandes der Datenschutzbeauftragten Deutschlands (BvD) e.V.:

Nach Aussagen des Berliner Beauftragten für Datenschutz und Informationssicherheit will die Deutsche Bahn zukünftig eine Modellfunktion in Sachen Datenschutz übernehmen. Diese Entscheidung wird vom Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. ausdrücklich unterstützt.

Während die Deutsche Bahn als Quittung für mangelhaften Kundendatenschutz 2007 den BigBrotherAward kassierte und der rechtwidrige Umgang mit Mitarbeiterdaten 2009 zu einem Bußgeld von 1,1 Mio Euro führte, hat der neue Unternehmensvorstand nun den Datenschutz zu einer seiner obersten Prioritäten erklärt und sich hohe Ziele gesetzt: Man will „nicht nur die vorgeschriebenen technischen und organisatorischen Vorkehrungen gegen datenschutzrechtliche Verstöße treffen, sondern darüber hinaus in Sachen Datenschutz eine Modellfunktion übernehmen.“

Der BvD begrüßt, dass in immer mehr Großunternehmen eine Neubewertung des Datenschutzes stattfindet: Lange Zeit als bürokratisches Hemmnis und Kostenfaktor abgetan, wird zunehmend seine tragende Rolle beim Aufbau und Erhalt einer Vertrauensbeziehung zu Kunden und Mitarbeitern wahrgenommen.

Ausdrücklich würdigt der BvD die angekündigte Stärkung des Konzerndatenschutzbeauftragten. Der betriebliche Datenschutzbeauftragte stellt die gesetzlich normierte, innerbetriebliche Kontrollinstanz dar. Eine enge Anbindung von qualifizierten und zuverlässigen betrieblichen Datenschutzbeauftragten an die Informationsflüsse des Unternehmens und seine Entscheidungsträger ist ein entscheidender Beitrag für eine rechtskonforme, effiziente Datenverarbeitung und hilft bei der Vermeidung imageschädigender Datenschutzpannen und –skandale.

Der BvD appelliert an große und kleine Unternehmen, aus den Ereignissen rund um die Deutsche Bahn zu lernen und auf die richtige Einbindung ihrer Datenschutzbeauftragten zu setzen. Eine bloße Bestellung reicht nicht aus. Mit dem im September verabschiedeten „Beruflichen Leitbild des Datenschutzbeauftragten“ gibt der BvD Unternehmen und Datenschutzbeauftragten gleichermaßen eine Orientierung.

Dank an Rolf Grießhammer für den Hinweis auf den interessanten 43min-ARD-Podcast “Die Macht des Internets”. Kann hier angesehen und auch heruntergeladen werden. Nichs Neues für den Nerd, aber ein netter Überblick für nicht so internet-affine Zeitgenossen. Erwähnt in diesem Blog, weil auch auf verschiedene Gefahren aus dem Netz eingegangen wird – Stichwort Datenmissbrauch und insbsondere Google.

Inhaltsüberblick (Dank an Rolf Grießhammer):

Wie ist das Internet entstanden?
Welche Rolle spielte das Internet im Wahlkampf von Barack Obama?
Die Piratenpartei und Onlinepetitionen: das Internet als politisches Machtinstrument
Die Bedeutung des Internets im Iran
Das Rätsel der 6 Ecken
Die Gefahr des Datenmissbrauchs
Cloud Computing im Studium
Suchmaschinen: Google & Co – wie funktionieren sie eigentlich?
Das Google-Monopol
Google Street View und der Datenschutz
Freiheit und Kontrolle im Netz

[Update 26.10.2009]Koalitionsvertrag liegt vor – Anmerkungen von mir hier.

Stefan Krempl heute Mittag auf heise u.a. erste Details aus dem “heise vorliegenden Entwurf” des Koaltionsvertrages vorgestellt.

Einem “modernen Datenschutz” kommt laut Vereinbarung in der Informationsgesellschaft eine “besondere Bedeutung” zu. Schwarz-Gelb strebt daher an, die “Grundsätze der Verhältnismäßigkeit, der Datensicherheit und -sparsamkeit, der Zweckbindung und der Transparenz” im öffentlichen und privaten Bereich stärker zur Geltung zu bringen. Dazu soll das Bundesdatenschutzgesetz “lesbarer und verständlicher” gemacht sowie “zukunftsfest und technikneutral” ausgestaltet werden. Ziel der Reform müsse es etwa sein, “verbesserte Rahmenbedingungen für informierte und freie Einwilligungen zu schaffen”. Zuvor hatte Schwarz-Rot im Sommer eine halbgare Verankerung des Opt-in-Prinzips bei der Weitergabe persönlicher Daten für Werbezwecke verabschiedet.

Weiter wollen die Koalitionäre eine “Stiftung Datenschutz” errichten, die Produkte und Dienstleistungen auf Datenschutzfreundlichkeit prüfen und Aufklärung betreiben soll. Auch ein Datenschutzaudit samt Gütesiegel soll es geben, an dessen Entwicklung zuletzt die große Koalition gescheitert war. Einsetzen will sich Schwarz-Gelb zudem für eine Verbesserung des Arbeitnehmerdatenschutzes. Bei einem möglichen EU-Beschluss zur Verwendung von Fluggastdaten innerhalb der Gemeinschaft soll ein “höheres Datenschutzniveau” angestrebt werden als beim Abkommen zum Transfer von Passenger Name Records (PNR) an die USA. Auch bei den Verhandlungen zum Austausch von Finanzdaten des SWIFT-Netzwerks wollen die Koalitionäre auf Regeln wie eine strikte Zweckbindung, Löschungsfristen und einen effektiven Rechtsschutz bestehen.

Eine Stellungnahme von mir erst zum vorliegenden Vertrag. [Update: Siehe hier]

Interview mit dem Ober-Piraten Jens Seipenbusch in der gut gestalteten Datenschutz-Rubrik der ZEIT.

Zitate:

• Der Staat, Unternehmen und jeder Einzelne werden sich daran gewöhnen müssen, mit Daten anders umzugehen, als zu der Zeit, in der man alles in einem Leitz-Ordner abgeheftet hat.
• Bei Google tauchen manchmal Informationen wieder auf, die man schon lange vernichtet zu haben glaubt – weil sie an mehreren Orten zugleich gespeichert wurden.
• Frage: Was sagen Sie als Techniker – wäre, was der Telekom passiert ist, überhaupt zu verhindern? Seipenbusch: Natürlich kann man das. Es kostet nur etwas Geld. Man könnte mit einer Handvoll Leuten ein System erzeugen, in dem die Daten sicher verschlüsselt sind. [Anmerkung Datenschutzalltag: Weit aus dem Fenster gelehnt] Hinzu kommt, dass Sicherheit meist am Ende einer Entwicklung drangeklatscht wird. [Anmerkung Datenschutzalltag: Volle Zustimmung!]
• ..in gewisser Hinsicht ist tatsächlich Medienkompetenz das größte Problem bei dieser Sache. Die Menschen müssen auch die technische Kompetenz haben, um zumindest ansatzweise zu überblicken, wozu was sie da zustimmen.
• Frage: …Nennen Sie doch einmal zwei bis drei Punkte, die der Gesetzgeber künftig sicherstellen müsste. Seipenbusch: Das Wichtigste ist, dass es keine Weitergabe an Dritte ohne das Einverständnis oder die Information des Kunden gibt. [Anmerkung Datenschutzalltag: Ich erinnere an das Geschacher um das Listenprivileg. Am Ende weichgespült] Zweitens muss viel zahlen, wer dagegen verstößt. Es muss Handlungsdruck auf Unternehmen entstehen, zunächst ein wirtschaftlicher Druck und im Fall der Fahrlässigkeit im großen Stil auch ein strafrechtlicher. [Anmerkung Datenschutzalltag: Volle Zustimmung!] Drittens möchte ich mehr als Stichproben bei den Unternehmen. Ich möchte gerne, dass jemand von der Datenschutzbehörde jeden Tag bei der Telekom steht und in die Datenbanken schaut, um beispielsweise zu prüfen, ob der Text aller SMS gesetzeswidrig gespeichert wird oder nicht. Wenn das keiner macht, dann wird es immer wieder Probleme und Skandale geben.

Genau das “mehr Kontrollen durch Aufsichtsbehörden” will offensichtlich trotz anderslautender Versprechungen niemand; kaum eine Aufsichtsbehörde wurde in den vergangenen Monaten personell deutlich verstärkt.

Mindestens so wichtig: Betriebliche und behördliche Datenschutzbeauftragte in die Lage zu versetzen, dass sie u.a. diese Kontrollfunktion wahrnehmen können. Also Ausbildung, Ausstattung usw.

Wolfgang Schäuble hat bei denBigBrotherawrds 2009 den Preis für sein Lebenswerk und den Publikumspreis bekommen. In der Laudatio geht Dr. Rolf Gössner auf das Attentat gegen Schäuble ein:

Viele Menschen stellen sich die Frage, ob der auffällige Sicherheitsfanatismus des Herrn Schäuble und seine zwanghafte Angst vor einem Kontrollverlust möglicherweise mit dem Attentat zu tun haben könnten, das er 1990 schwer verletzt und mit tragischen Langzeitfolgen überlebte. Die durchaus interessante Frage, ob er nicht nur an den körperlichen Folgen leidet, sondern auch an einer traumatisierten Psyche, die seine Wahrnehmung trübt, ist Thema vieler Diskussionen. Zwar ist bekannt, dass sich eine Posttraumatische Belastungsstörung auf die Fähigkeit auswirken kann, Gefahrensituationen richtig einzuschätzen und angemessen auf sie zu reagieren. Dennoch halten wir eine Psychologisierung der Sicherheitspolitik des Preisträgers für eher problematisch und spekulativ.

Ob traumatisierte Psyche oder nicht – über seinem Leben liegt eine tiefe Tragik. Gerade weil er zu den klügsten politischen Köpfen gehört, äußert sich seine Verbitterung, seine persönliche Betroffenheit nicht plump, sondern subtil und ausdauernd. So gesehen hätte das Vorbeben des 12. Oktober 1990 mit seinen seismischen Langzeitwirkungen den Erdrutsch der Freiheitsrechte nach dem 11. September 2001 begünstigt.

Ich stelle immer wieder fest, dass auch und gerade Politiker persönliche Betroffenheiten thematisieren. Kompetenz durch Betroffenheit? Authentizität durch Betroffenheit? Wer keinen Kredit erhält, interessiert sich plötzlich für Scoring und die SCHUFA. Wer eine Rechnung von den Schmidtleins bekommt, surft sorgfältiger und fordert mehr Transparenz. Wer permanent am Telefon beschwatzt wird, engagiert sich gegen Cold Calls und Rufnummernunterdrückung. Wer nach einem Gesetzesvorstoss gegen unlauteren Adresshandel und ungewollte Werbepost plötzlich übervolle Briefkästen mit Lobbyistenschreiben in seinem Wahlkreisbüro bemerkt, der sollte eigentlich konsequent bleiben – nein, das ist ein schlechtes Beispiel.

Wer von hinten mit dem Revolver angeschossen und schwer getroffen wird, der verdient höchsten Respekt für seine Rückkehr, aber der bleibt nicht nur gezeichnet, sondern auch befangen. Warum muss es ausgerechnet die innere Sicherheit sein, Herr Schäuble?