Datenschutzalltag

Letzte Woche auf der IAA hatte BfDI Peter Schaar vor Hackerangriffen auf Elektroautos gewarnt. Für seine Datenmissbrauchsszenarienwar er teilweise belächelt worden (siehe z.B. die Kommentare am Ende der o.a. Seite):

Möglich sei, dass Unternehmen oder staatliche Stellen Bewegungsprofile von Fahrern erstellen. So könnten Steuerbehörden und Versicherungen sehr interessiert an den Autodaten sein. Besonders durch die Hybrid-Technik und elektronische Fahrassistenten falle eine große Menge an Daten an.

Die Daten könnten in die Hände der Anbieter gelangen, wenn der Fahrer das Auto zum Tanken an eine Strom-Zapfsäule anschließt. „Ich stelle mir eine Google-Zapfsäule vor“, sagt Schaar. „Dort kann man vielleicht etwas günstiger tanken, muss aber Dinge über sich und sein Auto preisgeben.“

Heute erreicht mich eine Meldung über Futurezone: “Auto-Ortung entpuppt sich als Datenkrake“. Danach stellt der Auto-Ortungsdienst OnStar die Übertragung der Fahrzeugdaten auch nach Ende eines laufenden Service-Vertrages nicht ein. Zu diesem Zweck hat man flugs die Vertragsbedingungen geändert . Danach besitzt OnStar nun das Recht, die Daten in anonymisierter Form weiterzugeben.Der Bedarf ist vorhanden…
Ob man hier von einer Anonymisierung sprechen kann, scheint mir fraglich.

Zwei Schlussfolgerungen aus meiner Sicht:

1. Fahrzeug- und Fahrerdaten wecken Begehrlichkeiten, weil wertvoll sind. Wir dürfen uns auf immer neue “Ausbeutungsszenarien” freuen.

2. Was machbar ist, wird gemacht: Anfallende Daten werden genutzt. Früher oder später. Eher früher als später.

Eine Pressemitteilung des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e.V.:

Der Berufsverband der Datenschutzbeauftragten (BvD) e.V. erhofft sich deutliche Signale vom angekündigten Vier-Augen-Gespräch zwischen dem neuen Bundesinnenminister Thomas de Maiziére und dem Bundesdatenschutzbeauftragten Peter Schaar. Die Aussagen im Koalitionsvertrag und erste Äußerungen de Maiziéres zum Datenschutz klingen vielversprechend, müssen aber zügig in Recht und Praxis umgesetzt werden.
Continue reading ‘[BvD] BvD erwartet Startsignal für besseren Datenschutz’ »

Die GRÜNEN starten mit ihrer Kleinen Anfrage 17/18 die “amtliche” parlamentarische Datenschutzsaison. An dieser Stelle meine Hoffung, dass in den nächsten Jahren durch den Deutschen Bundestag (Regierung wie Opposition) gute und praktikable Impulse für alle “Datenschutzbetroffenen” (Handelnde wie Behandelte) ausgelöst werden .
Die Rollen sind klar verteilt, das Personal teilweise neu – interessant wird es auf jeden Fall. Macht was draus, wir zählen auf Euch!

13.11.2009 – 17/18 – Kleine Anfrage der Fraktion “Bündnis 90/Die Grünen”

Text der Kleinen Anfrage: pdf
Pressemitteilung Deutscher Bundestag (Original hier):

Nach ”Datenmissbrauch bei der Bundesagentur für Arbeit“ (BA) erkundigt sich die Fraktion Bündnis 90/Die Grünen in einer Kleinen Anfrage (17/18). Darin verweisen die Abgeordneten auf Presseberichte und Angaben des Bundesbeauftragten für Datenschutz, wonach es bei der BA sowohl bei der Jobbörse als auch bei dem sogenannten Vier-Phasen-Modell zur Erhebung der Daten von Arbeitslosen und Hilfebedürftigen erhebliche Datenschutzmängel gebe. So seien die Bewerbungsunterlagen von rund 3,8 Millionen Arbeitssuchenden, die sich über die Jobbörse um einen Arbeitsplatz bemühen, nicht hinreichend für Missbrauch geschützt. Wissen wollen die Abgeordneten unter anderem, wie viele Arbeitgeber sich im Schnitt wöchentlich bei der Jobbörse registrieren, um ein Stellenangebot einzustellen und Zugriff auf die Bewerberdaten zu erlangen. Ferner fragen sie, welche Angaben die BA von Stellenanbietern erhebt, bevor ihnen der Zugang zu nicht anonymisierten Bewerberdaten gestattet wird, und welche Maßnahmen ergriffen werden sollen, um die Bewerberdaten bei der Jobbörse künftig besser vor Missbrauch zu schützen.

Neben den Fragen zur BA bohren die Grünen auch zu den Themen “Kompetenzen des BfDI” und “Arbeitnehmerdatenschutz”.

Heute zwitscherte jemand: “In Deutschland sollte mal eine Anlaufstelle für Datenfunde eingerichtet werden. Kann ja nicht sein, dass es der Job von @Netzpolitik ist.”

Ist es auch nicht. Netzpolitik schreibt selbst etwas zum Thema “Wie geht man mit Sicherheitslücken um?”. Als Datenschützer ergänze ich flink die zuständigen Datenschutzaufsichtsbehörden und gebe noch ein paar Hinweise.

Wer diesen Artikel liest, kennt Blogs. Wichtige Datenschutzblogs finden sich in meiner Blogroll. Für die einfache Publizierung einer Datenpanne empfehle ich zusätzlich den Eintrag beim “Projekt Datenschutz“.

Wird bei Datenpannen oder Beschwerden gern übersehen: Für Klärungen und Fragen kann man sich direkt an den entsprechenden betrieblichen Datenschutzbeauftragten der betroffenen Unternehmen wenden: Sie müssen von außen problemlos erreichbar sein (telefonisch verbinden lassen) und sind nach dem Bundesdatenschutzgesetz zur Verschwiegenheit über die Identität des Betroffenen verpflichtet. Aus dem BDSG §4f: Continue reading ‘Kontakte: Wohin mit Datenfunden oder Datenschutzproblemen?’ »

…  Louis D. Brandeis, Samuel D. Warren, Postgeheimnis, Fernmeldegeheinnis,  BDSG, BfDI, OECD, Electronic Communications Privacy Act, Employee Polygraph Protection Act, Peter Swire, Nuala O’Connor Kelly, “National Do Not Call Registry”, Genetic Information Nondiscrimination Act.

Was haben alle diese Dinge gemeinsam?

Sie werden in der sehenswerten Fotoserie zum Artikel “Wie retten wir die Privatsphäre?” von Lew McCreary” als “Hüter des Datenschutzes” in den letzten 12.000 Jahren dargestellt.

Gefällt mir – trotz amerikanischer Brille – sehr gut und verdeutlicht einmal mehr, daß “Datenschutz” keine Erfindung unserer Zeit ist.

Anschauen (Hier) – Lesen – Nachdenken – und beim letzten Foto  an die notwendige Weiterentwicklung der Datenschutzgesetzgebung in Deutschland erinnert werden.

Gerade erst hatte Telekom-Datenschutz-Vorstand Manfred Balz seiner Branche mit deutlichen Worten den Kopf gewaschen, von “kriminogenen Strukturen im Telekomvertrieb” gesprochen (siehe hier in diesem Blog) und ein gemeinsames Handeln aller Akteure gefordert. Blätterwald und Netzgemeinde stimmten der Einschätzung zu, bevor sich die Aufmerksamkeit SchülerVZ, der Postbank und dem Koalitionsvertrag zuwandte. Heute erreichte mich überraschend die Mitteilung, dass das – lange vor den Balz-Äußerungen angekündigte – X. Symposium zum Thema “Datenschutz in der Telekommunikation” beim BfDI Peter Schaar am 12.11. ausfallen wird.

Ursache: Mangelnde Resonanz.

Eingeladen waren insbesondere Datenschutzbeauftragte und Verantwortliche aus dem Bereich der Telekommunikation…
Am Ort, Preis und am Programm kann es kaum gelegen haben.  Ich will den Ausfall nicht überbewerten, aber er wirft zumindest kein gutes Licht auf den Veränderungswillen der TK-Branche.

Stell Dir vor, es ist Datenschutz – und keiner geht hin.

Als in der heißen Startphase der Koalitionsverhandlungen erst einmal die Kanonen in Stellung gebracht wurden, habe ich am 6.10. in diesem Blog auf Gemeinsamkeiten der Wahlprogramme beim Datenschutz hingewiesen und dabei die Themen Rechtsvereinfachung, Datenschutzkontrolle und Datenschutzbewusstsein genannt. Ein Blick in den vorliegenden Koalitionsvertrag zeigt, dass ich mit allen drei Prognosen richtig lag

Rechtsvereinfachung: “Hierzu werden wir das Bundesdatenschutzgesetz unter Berücksichtigung der europäischen Rechtsentwicklung lesbarer und verständlicher machen sowie zukunftsfest und technikneutral ausgestalten.” In diesem Zusammenhang hat sich auch meine Vermutung bestätigt, dass es kein separates Arbeitnehmerdatenschutzgesetz geben wird: “Hierzu werden wir den Arbeitnehmerdatenschutz in einem eigenen Kapitel im Bundesdatenschutzgesetz ausgestalten.”
Die Aussagen versprechen nichts weniger als den großen Wurf: eine komplette Überarbeitung des Bundesdatenschutzgesetzes in Richtung eines Datenschutzgesetzbuches. Mutig, mutig – und überfällig. Hier sollte die Koalition nicht zu spät starten – der Weg wird lang genug. Nach der neuen Regierungs-Gemengelage dürfte ein Entwurf dazu eher aus dem Justizministerium als aus dem Innenministerium zu erwarten sein.
Schade, dass seit dem Gutachten von Roßnagel, Pfitzmann und Garstka (“Modernisierung des Datenschutzrechts”) schon wieder 8 Jahre vergangen sind.

Datenschutzkontrolle: Der Koalitionsvertrag verspricht: “Wir werden beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit die personelle und sächliche Ausstattung verbessern. Die Unabhängigkeit
der Datenschutzaufsicht steht für uns dabei im Mittelpunkt.” Die Bundesregierung kann selbst nur für den BfDI reden (und hoffentlich auch handeln) – dennoch ist das ein Signal auch an die Landesfürsten. Hier können schnell Ergebnisse erzielt werden.
Ein dicker Wermutstropfen ist der fehlende Bezug zur Stärkung der betrieblichen und behördlichen Datenschutzbeauftragten, wie auch Jens Ferner seufzend feststellt:

[...] anmerken möchte ich aber, dass es schade ist, dass man erneut die Gelegenheit verschlafen wird, die Position “Datenschutzbeauftragter” allgemeinverbindlich zu normieren bzw. ein Gütesiegel zu schaffen – evt. wird die genannte Stiftung diese Lücke mal ausfüllen, doch wird das sicherlich Zeit kosten.

Aussagen zum Datenschutzbewusstsein finden sich gleich an mehreren Stellen, so soll die “Stiftung Datenschutz” die “Bildung im Bereich des Datenschutzes” stärken und “den Selbstdatenschutz durch Aufklärung verbessern”. Damit dürfte auch klar sein, wer aus Sicht der Bundesregierung folgende Aufgabe übernimmt: “Wir wollen deshalb die Sensibilität und Selbstverantwortung der Bürgerinnen und Bürger für ihre eigenen Daten stärken.” Eine “Stiftung Datenschutz” macht Sinn, wenn sie nicht nur Stempelchen für Internetseiten verteilt, dazu in Kürze mehr auf diesem Blog.

Gleichlautend sind einige Aussagen im Abschnitt “Informations- und Mediengesellschaft” des Koalitionsvertrages: “Wir werden dabei insbesondere unser Augenmerk auf Aufklärung legen. Die Sensibilität für den Schutz der eigenen Daten muss gestärkt, der Selbstdatenschutz erleichtert werden, um Datenmissbrauch vorzubeugen. Wir werden deshalb prüfen, wie durch die Anpassung des Datenschutzrechts der Schutz personenbezogener Daten im Internet verbessert werden kann, erwarten dabei aber auch von jedem Einzelnen einen verantwortungsvollen Umgang mit seinen persönlichen Daten im Internet.” Dabei gefällt mir besonders die Aussage, dass der Selbstdatenschutz nicht nur “gestärkt”, sondern “erleichtert” werden soll. Das bedeutet in der Praxis zum Beispiel ein Umdenken bei Programm- und Leistungsanbietern in Richtung datenschutzfreundlicher Produkte und Dienstleistungen (Stichworte Datensparsamkeit, Pseudo- und Anonymisierung); aber auch allgemein mehr Transparenz, ohne die keine – ebenfalls verstärkt geforderten – informierten und freiwilligen Einwilligungen möglich sind.
Deutlich wird hierbei: Datenbesitzer und Datenverarbeiter, verantwortliche Stelle und Betroffener – beide Seiten müssen ihren Beitrag leisten.

Reflexartig wiederhole ich meine Ansicht, dass ein wesentlicher Beitrag für ein stärkeres Datenschutzbewusstsein von den betrieblichen und behördlichen Datenschutzbeauftragten vor Ort geleistet werden kann (sofern sie dazu in der Lage sind bzw. in die Lage versetzt werden).

Kleiner Exkurs: Zur Verantwortung der Anbieter findet sich an anderer Stelle eine interessante Bemerkung: “Wir werden die Haftung von System- und Diensteanbietern für die IT-Sicherheit ihrer Angebote anpassen, um einer unbilligen Abwälzung von Risiken auf die Endanwender vorzubeugen.” Gleiches sollte für die Verpflichtung zu datenschutzfreundlichen Angeboten gelten; ich erinnere hier an die jüngsten Aussagen der 78. Konferenz der Datenschutzbeauftragten zum Datenschutz bei Krankenhausinformationssystemen.

Fazit: Insgesamt finden sich einige Lichtblicke für den Datenschutzalltag. Halten wir als Datenschutzpraktiker und datenschutzsensibilisierte Netzgemeinde die Augen offen, aber nutzen wir auch die Ansatzpunkte für eine konstruktive Zusammenarbeit.