Ist es auch nicht. Netzpolitik schreibt selbst etwas zum Thema “Wie geht man mit Sicherheitslücken um?”. Als Datenschützer ergänze ich flink die zuständigen Datenschutzaufsichtsbehörden und gebe noch ein paar Hinweise.

Wer diesen Artikel liest, kennt Blogs. Wichtige Datenschutzblogs finden sich in meiner Blogroll. Für die einfache Publizierung einer Datenpanne empfehle ich zusätzlich den Eintrag beim “Projekt Datenschutz“.

Wird bei Datenpannen oder Beschwerden gern übersehen: Für Klärungen und Fragen kann man sich direkt an den entsprechenden betrieblichen Datenschutzbeauftragten der betroffenen Unternehmen wenden: Sie müssen von außen problemlos erreichbar sein (telefonisch verbinden lassen) und sind nach dem Bundesdatenschutzgesetz zur Verschwiegenheit über die Identität des Betroffenen verpflichtet. Aus dem BDSG §4f:

4) Der Beauftragte für den Datenschutz ist zur Verschwiegenheit über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, verpflichtet, soweit er nicht davon durch den Betroffenen befreit wird.
[...]
(5) [...] Betroffene können sich jederzeit an den Beauftragten für den Datenschutz wenden.

Aber jetzt zu den Aufsichtsbehörden – Kontaktinformationen jeweils verlinkt:

Zuerst sollte man wissen, daß in einigen Bundesländern die Datenschutzaufsicht für den “öffentlichen Bereich” (vereinfacht: Behörden) und für den “nicht-öffentlichen Bereich”(Unternehmen, Vereine, Verbände, Parteien) getrennt sind.

Wer von dort eine schnelle Antwort will, sollte telefonisch Kontakt aufnehmen. Hängt einfach mit der chronischen Unterbesetzung der meisten Aufsichtsbehörden zusammen

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ist zuständig für “öffentliche Stellen des Bundes” sowie für die “nicht-öffentlichen” Unternehmen im Bereich Telekommunikation und Postdienst.  Dazu kommen die Unternehmen, die unter das Sicherheitsüberprüfungsgesetz fallen.

Die Landesdatenschutzbeauftragten der Bundesländer sind zuständige Ansprechpartner, wenn es um den Datenschutz im Bereich der Verwaltungen der Länder und der Gemeinden geht.

Die Aufsichtsbehörden für den so genannten “nicht-öffentlichen Bereich” in den einzelnen Bundesländern sind zuständig, wenn es um Datenschutzbelange im privaten Wirtschaftsbereich geht. Ausnahme: Telekommunikations- und Postdienstunternehmen -die beim BfDI – siehe oben.

Es gibt noch ein paar weitere Sonderfälle: Im Bereich des öffentlich-rechtlichen Rundfunks können Anfragen und Beschwerden an den Rundfunkdatenschutzbeauftragten der jeweiligen Senderanstalt gerichtet werden. Ausnahmen: In den Ländern Berlin, Brandenburg, Bremen und Hessen sind für den Datenschutz im Verwaltungsbereich die jeweiligen Landesdatenschutzbeauftragten zuständig.

Zu guter Letzt haben die Kirchen eigene Datenschutzgesetze und enstsprechende Aufsichtsgremien.

Bei Problemen mit ausländischen Unternehmen sind die deutschen Aufsichtsbehörden je nach Einzelfall vielleicht nicht zuständig, helfen aber weiter.

Wem das alles zu kompliziert wird, der schreibt mir einfach eine Mail oder einen Kommentar zu diesem Artikel

Interessant finde ich die Aussagen zur zukünftigen Vorbildrolle der Bahn:

Der neue Unternehmensvorstand hat demgegenüber den Datenschutz zu einer seiner obersten Prioritäten erklärt. Positiv hervorzuheben ist, dass jetzt der Datenschutz auf höchster Management-Ebene in einem eigenen Vorstandsressort „Compliance, Datenschutz und Recht“ angesiedelt ist. Das Unternehmen hat sich zum Ziel gesetzt, nicht nur die vorgeschriebenen technischen und organisatorischen Vorkehrungen gegen datenschutzrechtliche Verstöße zu treffen, sondern darüber hinaus in Sachen Datenschutz eine Modellfunktion zu übernehmen. Ein erster Schritt hierzu ist die eingeleitete Stärkung des Konzerndatenschutzbeauftragten. Der Berliner Beauftragte für Datenschutz und Informationsfreiheit, Dr. Alexander Dix, begrüßt diese Entwicklung ausdrücklich.

Datenschutzmodel(l) Deutsche Bahn – daran muss ich mich erst gewöhnen. Positiv anzumerken ist die Erwähnung der “eingeleiteten Stärkung des Konzerndatenschutzbeauftragten”.  Der betriebliche Datenschuztzbeauftragte ist nun einmal die gesetzlich verankerte Instanz – die man leider zu oft am ausgestreckten Arm zappeln lässt.

Die bußgeldbestraften kriminellen Abenteuer der Bahn betrafen vor allem Mitarbeiterdaten. Ich bin insbesondere gespannt, wie sich die neue Linie auf den Umgang mit Kundendaten auswirkt:

Schon vor den Skandalen im letzten Jahr hatte sich die DB nicht mit Ruhm bekleckert und im Jahr 2007 den BigBrotherAward erhalten. Die damalige Laudatio ist lesenswert – u.a. an der wiedergeschaffenen Möglichkeit zum anonymen Reisen müssen sich die angekündigten Bemühungen der Bahn in Zukunft messen lassen.

[Update 23.10.2009] In einer Presseerklärung der Bahn ist von der Vorbildfunktion nichts zu lesen. Allerdings will man bis Ende November mit dem Betriebsrat neue Leitlinien zum Arbeitnehmerdatenschutz vereinbaren.

Zitate:

• Der Staat, Unternehmen und jeder Einzelne werden sich daran gewöhnen müssen, mit Daten anders umzugehen, als zu der Zeit, in der man alles in einem Leitz-Ordner abgeheftet hat.
• Bei Google tauchen manchmal Informationen wieder auf, die man schon lange vernichtet zu haben glaubt – weil sie an mehreren Orten zugleich gespeichert wurden.
• Frage: Was sagen Sie als Techniker – wäre, was der Telekom passiert ist, überhaupt zu verhindern? Seipenbusch: Natürlich kann man das. Es kostet nur etwas Geld. Man könnte mit einer Handvoll Leuten ein System erzeugen, in dem die Daten sicher verschlüsselt sind. [Anmerkung Datenschutzalltag: Weit aus dem Fenster gelehnt] Hinzu kommt, dass Sicherheit meist am Ende einer Entwicklung drangeklatscht wird. [Anmerkung Datenschutzalltag: Volle Zustimmung!]
• ..in gewisser Hinsicht ist tatsächlich Medienkompetenz das größte Problem bei dieser Sache. Die Menschen müssen auch die technische Kompetenz haben, um zumindest ansatzweise zu überblicken, wozu was sie da zustimmen.
• Frage: …Nennen Sie doch einmal zwei bis drei Punkte, die der Gesetzgeber künftig sicherstellen müsste. Seipenbusch: Das Wichtigste ist, dass es keine Weitergabe an Dritte ohne das Einverständnis oder die Information des Kunden gibt. [Anmerkung Datenschutzalltag: Ich erinnere an das Geschacher um das Listenprivileg. Am Ende weichgespült] Zweitens muss viel zahlen, wer dagegen verstößt. Es muss Handlungsdruck auf Unternehmen entstehen, zunächst ein wirtschaftlicher Druck und im Fall der Fahrlässigkeit im großen Stil auch ein strafrechtlicher. [Anmerkung Datenschutzalltag: Volle Zustimmung!] Drittens möchte ich mehr als Stichproben bei den Unternehmen. Ich möchte gerne, dass jemand von der Datenschutzbehörde jeden Tag bei der Telekom steht und in die Datenbanken schaut, um beispielsweise zu prüfen, ob der Text aller SMS gesetzeswidrig gespeichert wird oder nicht. Wenn das keiner macht, dann wird es immer wieder Probleme und Skandale geben.

Genau das “mehr Kontrollen durch Aufsichtsbehörden” will offensichtlich trotz anderslautender Versprechungen niemand; kaum eine Aufsichtsbehörde wurde in den vergangenen Monaten personell deutlich verstärkt.

Mindestens so wichtig: Betriebliche und behördliche Datenschutzbeauftragte in die Lage zu versetzen, dass sie u.a. diese Kontrollfunktion wahrnehmen können. Also Ausbildung, Ausstattung usw.