Apropos Feier und Berliner Datenschutzbeauftragte (Glückwunsch an Alexander Dix und seine Mitstreiter): Nein, das Millionen-Bahn-Bußgeld wurde nicht verjubelt. Bin gespannt, bei wem die bedeutende Summe landet!?

Spiros Simitis jedenfalls wurde seinem Ruf gerecht, ebenso wie die anderen Redner. Einen guten Überblick über die Seelenlage der Datenschutz-Vordenker der ersten Generation gibt der Bericht bei heise.

Oft zitierter Höhepunkte auch aus meiner Sicht ist der Simitis-Ausspruch:

“Demokratie zeichnet sich durch Informationsverzicht aus”.

Das  hört man aus seinem Mund nicht zum ersten mal, aber in der allgegenwärtigen, schwarz-gelb verursachten Erwartungshaltung hört man vielleicht neu hin und bewertet die Chancen einer Umsetzung.

Mir kam dazu ein Gedanke aus dem Datenschutzalltag. Naheliegend ist es, den Ruf nach Informationsverzicht allein an die Exekutive zu adressieren. Aber ich predige (BDSG nennt es weniger poetisch “hinwirken auf ” und “bekanntmachen mit”) in meinen Schulungen immer wieder: “Lassen Sie sich nicht in Versuchung führen!”

Die Praxis ist nicht vollkommen. Fast überall kann man mit etwas Mühe (oder ganz ohne Mühe) mehr über andere Personen erfahren als erforderlich. Im privaten Bereich menschlich (Warum sonst zum Friseur gehen?) – im beruflichen Umfeld schnell rechtswidrig:

• Krankenschwestern nutzen ruhige Minuten im Nachtdienst, um die Grenzen ihres Krankenhaushausinformationssystems auszuloten.
• Administratoren inspizieren gelegentlich Randgebiete und Grauzonen ihres digitales Reiches.
• Kita-Betreuerinnen fragen- natürlich nur aus pädagogischen Gründen – intensiver nach, worüber Mutti und Vati zuhause denn so reden.
• Behörden holen bei Dateninteresse gern mal mit der großen Kelle aus und verwirren den Bürger häufig mit Phantasie-Paragrafen.
• Programmierer bauen ein paar Abfragefelder mehr ein – und Anwender nutzen sie gedankenlos.

Dagegen kann man technisch und organisatorisch einiges unternehmen, aber keinen 100%-Datenschutz erreichen. Es geht nicht ohne Verständnis, Mitwirkung und Informationsverzicht der Beteiligten.

Natürlich stinkt der Fisch zuerst am Kopf – Informationsverzicht muss bei Ministerien und Staatsorganen anfangen. Aber er darf dort nicht enden.

“Was ich nicht weiß, macht mich nicht heiß”, sagt schon eine alte Redewendung. Oder wie meint der Fuchs zum Kleinen Prinzen: „Du bist zeitlebens für das verantwortlich, was du dir vertraut gemacht hast.“ Das kann in diesem Zusammenhang fast bedrohlich klingen, aber es ist auf jeden Fall die Wahrheit.

Seltsam: Im Durchschnitt angeblich nur 10% richtige Antworten. Bei aller deprimierenden Praxiserfahrung aus dem Datenschutzalltag: Das scheint mir zu wenig.

Rechtsvereinfachung: “Hierzu werden wir das Bundesdatenschutzgesetz unter Berücksichtigung der europäischen Rechtsentwicklung lesbarer und verständlicher machen sowie zukunftsfest und technikneutral ausgestalten.” In diesem Zusammenhang hat sich auch meine Vermutung bestätigt, dass es kein separates Arbeitnehmerdatenschutzgesetz geben wird: “Hierzu werden wir den Arbeitnehmerdatenschutz in einem eigenen Kapitel im Bundesdatenschutzgesetz ausgestalten.”
Die Aussagen versprechen nichts weniger als den großen Wurf: eine komplette Überarbeitung des Bundesdatenschutzgesetzes in Richtung eines Datenschutzgesetzbuches. Mutig, mutig – und überfällig. Hier sollte die Koalition nicht zu spät starten – der Weg wird lang genug. Nach der neuen Regierungs-Gemengelage dürfte ein Entwurf dazu eher aus dem Justizministerium als aus dem Innenministerium zu erwarten sein.
Schade, dass seit dem Gutachten von Roßnagel, Pfitzmann und Garstka (“Modernisierung des Datenschutzrechts”) schon wieder 8 Jahre vergangen sind.

Datenschutzkontrolle: Der Koalitionsvertrag verspricht: “Wir werden beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit die personelle und sächliche Ausstattung verbessern. Die Unabhängigkeit
der Datenschutzaufsicht steht für uns dabei im Mittelpunkt.” Die Bundesregierung kann selbst nur für den BfDI reden (und hoffentlich auch handeln) – dennoch ist das ein Signal auch an die Landesfürsten. Hier können schnell Ergebnisse erzielt werden.
Ein dicker Wermutstropfen ist der fehlende Bezug zur Stärkung der betrieblichen und behördlichen Datenschutzbeauftragten, wie auch Jens Ferner seufzend feststellt:

[...] anmerken möchte ich aber, dass es schade ist, dass man erneut die Gelegenheit verschlafen wird, die Position “Datenschutzbeauftragter” allgemeinverbindlich zu normieren bzw. ein Gütesiegel zu schaffen – evt. wird die genannte Stiftung diese Lücke mal ausfüllen, doch wird das sicherlich Zeit kosten.

Aussagen zum Datenschutzbewusstsein finden sich gleich an mehreren Stellen, so soll die “Stiftung Datenschutz” die “Bildung im Bereich des Datenschutzes” stärken und “den Selbstdatenschutz durch Aufklärung verbessern”. Damit dürfte auch klar sein, wer aus Sicht der Bundesregierung folgende Aufgabe übernimmt: “Wir wollen deshalb die Sensibilität und Selbstverantwortung der Bürgerinnen und Bürger für ihre eigenen Daten stärken.” Eine “Stiftung Datenschutz” macht Sinn, wenn sie nicht nur Stempelchen für Internetseiten verteilt, dazu in Kürze mehr auf diesem Blog.

Gleichlautend sind einige Aussagen im Abschnitt “Informations- und Mediengesellschaft” des Koalitionsvertrages: “Wir werden dabei insbesondere unser Augenmerk auf Aufklärung legen. Die Sensibilität für den Schutz der eigenen Daten muss gestärkt, der Selbstdatenschutz erleichtert werden, um Datenmissbrauch vorzubeugen. Wir werden deshalb prüfen, wie durch die Anpassung des Datenschutzrechts der Schutz personenbezogener Daten im Internet verbessert werden kann, erwarten dabei aber auch von jedem Einzelnen einen verantwortungsvollen Umgang mit seinen persönlichen Daten im Internet.” Dabei gefällt mir besonders die Aussage, dass der Selbstdatenschutz nicht nur “gestärkt”, sondern “erleichtert” werden soll. Das bedeutet in der Praxis zum Beispiel ein Umdenken bei Programm- und Leistungsanbietern in Richtung datenschutzfreundlicher Produkte und Dienstleistungen (Stichworte Datensparsamkeit, Pseudo- und Anonymisierung); aber auch allgemein mehr Transparenz, ohne die keine – ebenfalls verstärkt geforderten – informierten und freiwilligen Einwilligungen möglich sind.
Deutlich wird hierbei: Datenbesitzer und Datenverarbeiter, verantwortliche Stelle und Betroffener – beide Seiten müssen ihren Beitrag leisten.

Reflexartig wiederhole ich meine Ansicht, dass ein wesentlicher Beitrag für ein stärkeres Datenschutzbewusstsein von den betrieblichen und behördlichen Datenschutzbeauftragten vor Ort geleistet werden kann (sofern sie dazu in der Lage sind bzw. in die Lage versetzt werden).

Kleiner Exkurs: Zur Verantwortung der Anbieter findet sich an anderer Stelle eine interessante Bemerkung: “Wir werden die Haftung von System- und Diensteanbietern für die IT-Sicherheit ihrer Angebote anpassen, um einer unbilligen Abwälzung von Risiken auf die Endanwender vorzubeugen.” Gleiches sollte für die Verpflichtung zu datenschutzfreundlichen Angeboten gelten; ich erinnere hier an die jüngsten Aussagen der 78. Konferenz der Datenschutzbeauftragten zum Datenschutz bei Krankenhausinformationssystemen.

Fazit: Insgesamt finden sich einige Lichtblicke für den Datenschutzalltag. Halten wir als Datenschutzpraktiker und datenschutzsensibilisierte Netzgemeinde die Augen offen, aber nutzen wir auch die Ansatzpunkte für eine konstruktive Zusammenarbeit.

In einem Gespräch mit dem Nachrichtenmagazin “Der Spiegel” äußerte sich Balz ungewöhnlich hart über seine Branche. Im Telefongeschäft habe sich “ein System mit kriminogenen Strukturen” entwickelt. Beim gegenseitigen Abwerben von Kunden über Tausende unabhängige Callcenter sei ein “gefährliches Provisionskarussel” entstanden, das zum Betrug geradezu einlade. Diesem Problem könne man nur im Verbund mit den anderen Telekommunikationsanbietern begegnen. Für das geplante Treffen nannte Balz noch keinen Termin.

Quelle: heise

Aus meinem Datenschutzalltag als Berater kann ich die besondere Situation in der Telekombranche bestätigen. Ich darf nicht ins Detail gehen, aber wer mittlerweile jahrzehntelang in einem Eldorado überdurchschnittlicher Zuwachsraten arbeitet, der tickt anders als die Verwalter in der Old Economy. Nach und nach arbeitet die Branche die Versäumnisse der wilden Jahre auf: Als Folge der Skandale im vergangenen Herbst wurden Tausende Telekom-Dienstleister an ihre vertraglichen Pflichten erinnert, nicht immer erfolgreich. Mal ist es fehlende Fachkenntnis (“Wem gehören die Kundendaten?”), mal einfach nur eingeschränktes Unrechtsbewusstsein, mit dem sich (nicht nur) Telekom-Händler an “ihre” Daten klammern und weiter Callcenter auf die Jagd nach Provisionen schicken.  Der Verbraucher muss es ausbaden – in unzähligen, einfach nur lästigen Anrufen “im Namen der Telekom”. Hierbei haben die Netzbetreiber im Kampf um Marktanteile zu lange beide Augen zugedrückt.

Vor diesem Hintergrund halte ich es für ehrenhaft, dass die Telekom endlich unlautere Vertriebspartner zur Rechenschaft zieht und jetzt das Gespräch mit den Wettbewerbern sucht. Ich hoffe, dass der Vorstoß von Manfred Balz auf offene Ohren bei seinen Kollegen trifft.

Das ist traurig.

Noch viel trauriger stimmt mich der Blick auf die verwendeten Passwörter, mit denen die abgefischten Benutzer ihre E-Mailkonten gesichert hatten. Eine Statistik darüber findet sich bei acunetix; hier nur ein paar Beispiele aus den Top 20 (insgesamt 10.024 Accounts):

• “123456″ wurde von 64 Nutzern verwendet – Platz 1
• “1234567″ 8 Nutzer – Platz 9
• “12345678″ 9 Nutzer – Platz 8
• “123456789″ wurde von 18 Nutzernm verwendet – Platz 2

Nicht fehlen dürfen natürlich

• “111111″ mit 10 Vertretern und Platz 4
• “000000″ mit 7 Nennungen auf Platz 13
• “654321″ mit 6 Nutzern auf Platz 15

42% der Benutzer verwendeten nur Kleinbuchstaben; 19% nur Ziffern. Lediglich 6% der Accounts waren durch einen Zeichenmix von Buchstaben, Ziffern und Sonderzeichen geschützt.

Ja, bei einer Phishing-Attacke wie dieser sind letztlich alle Varianten gleich schwach. Gute Gründe für starke Passwörter gibt es trotzdem genug.
Im Datenschutzalltag stellt sich oft die Frage nach der optimalen Passwortrichtlinie. “Hauptsache, besser sein als die Hotmail-Nutzer” , möchte ich ausrufen. Persönlich enmpfehle ich lieber lange Passwörter als häufig wechselnde (die oft zu Post-Its am Bildschirm oder unter der Tastatur führen) sowie einen (Mindest-)Mix aus Groß- und Kleinbuchstaben. Zwangsziffern sind – wegen der Entropie – nicht das Gelbe vom Ei, das habe ich von Thomas Maus gelernt, z.B. hier oder umfangreicher in der DuD.

Dabei könnte es so leicht sein: Manche meiner hochkomplexen Passwörter bringen mich mitten im Datenschutzalltag zum Lächeln – und das verdanke ich diesem Film. Nicht die reine Lehre, ich weiß – aber besser als 123456

Der Präsident des Bundesverfassungsgerichts, Hans-Jürgen Papier, sieht den Datenschutz vor allem von privater und weniger von staatlicher Seite bedroht. “Ich sorge mich jedenfalls mehr darum, dass wir uns zu einer privaten Überwachungsgesellschaft internationalen Ausmaßes verwandeln, und dies auch noch weitgehend freiwillig”, sagte Papier am Donnerstag beim 17. Wiesbadener Forum Datenschutz im hessischen Landtag.

Quelle: heise

Nicht nur Jens Ferner reibt sich im Datenschutz-Blog verwundert die Augen:

Der Staat ist nicht der böse Bube? Man mag bei den direkten Eingriffen (Vorratsdatenspeicherung, biometrische Pässe, Zensurgesetz) noch streiten können da es hier in der Tat um Wertungsfragen geht. Im indirekten Bereich aber ist es gerade unser Staat, der sich als Schuldfigur darstellt: Er ist nicht nur ein schlechtes Vorbild durch sein eigenes Verhalten; Der Gesetzgeber verschläft darübr hinaus wichtige Rechts-Novellen, schafft es nicht durch eine moderne Bildungspolitik den (jungen) Menschen die Probleme der modernen Gesellschaft zu vermitteln und versucht die bestehenden Probleme durch Fingerzeig auf die Privatwirtschaft zu lösen. Motto: “Ihr seid es doch selber schuld”.

Aus dem Datenschutzalltag füge ich zwei Beobachtungen hinzu:

• Die Datenschutz-Aufsichtsbehörden für den nicht-öffentlichen Bereich sind in fast allen Bundesländern chronisch unterbesetzt (Ironiefreie Bemerkung: Die Kollegen dort sind zu bedauern!).
  Die Verantwortung dafür trägt a) der Bürger b) die Wirtschaft oder c) die jeweilige Landesregierung, also: der Staat?
• Datenschutz wird in deutschen Amtsstuben (=Der Staat vor Ort) nach meiner Erfahrung oft kleingeschrieben: Datenschutzbeauftragte werden nicht eingesetzt oder kurz gehalten. Der Umgang mit Bürgerdaten wird an einigen Stellen nicht so verkrampft gesehen – da  wird auch mal ein sensibles Formular mehr angehängt. Von Wirtschaftspartnern oder Freien Trägern im Sozialbereich will man schon mal mehr erfahren als gesetzlich festgeschrieben. Auch hier: Ausdrücklich keine Kollegenschelte, aber gute DSB sind noch zu rar gesät.

Zur mangelnden Sensibilität in der Bevölkerung hatte ich mich im November 2008 in den BvD-News unter dem Titel „Datenschutzbewusstsein dringend gesucht“ geäußert:

Datenschutz ist plötzlich in aller Munde. Alle Welt macht Vorschläge, wie Datenschutzpannen und –skandale zukünftig verhindert werden können. Verstärkt wird dabei auch die Verantwortung des Betroffenen thematisiert: „Sollen die Leute doch besser auf ihre Daten aufpassen.“ Auch und gerade Regierungspolitiker in Bund und Ländern spielen diese Karte.

Als Datenschutzspezialisten sind wir natürlich mit dem Thema vertraut und kennen die Gefahreneiner großzügigen oder unüberlegten Datenweitergabe.Aber versetzen wir uns einen Moment in die Rolle von Otto Normalverbraucher: Woher kann er wissen, wie er „richtig“ mit seinen Daten umzugehen hat?

Klar, es gibt Gesetze. Aber fragen Sie mal Ihren Nachbarn oder Ihre Nichte nach dem Bundesdatenschutzgesetz oder besser: Lesen Sie denen ein paar Paragrafen daraus vor. Kapiert kein normaler Mensch.

Als Arbeitnehmer hat Otto N. vielleicht Umgang mit personenbezogenen Daten und sein Arbeitgeber hat vielleicht einen Datenschutzbeauftragten – der ihn vielleicht im Rahmen einer Schulung nicht nur langweilt, sondern auch wachrüttelt.  Wie viel Prozent der Bevölkerung werden damit erreicht? Gewissensfrage: Gehören die Teilnehmer Ihrer Schulungen dazu?

Warnhinweise wie bei Zigaretten wären eine Möglichkeit. Die aktuelle Diskussion über vorherige-wirksame-schriftliche Einwilligungen geht ein Stück in diese Richtung: Die Gefahr einer Gewöhnung besteht – was kein Argument gegen Einwilligungen sein soll!

Bundesweite Imagekampagnen mit voller Medienunterstützung könnten helfen: Nach „Wir sind Deutschland“ und „Keine Macht den Drogen“ vielleicht „Meine Daten gehören mir“!? Böse Zungen behaupten, eine datensammelnde Regierung hat daran gar kein Interesse.

Die Werbewirtschaft verständlicherweise auch nicht. Und genau betrachtet ist jede Wirtschaft ein bisschen Werbewirtschaft

Eine hoffnungslose Situation? Nein, aber wir müssen früher ansetzen und die Bereitschaft mitbringen, neue und weite Wege zu gehen. Das Gefühl für den Wert der eigenen Daten und das Wissen um mögliche Gefahren muss bereits den Heranwachsenden in geeigneter Weise vermittelt werden.
Deshalb muss der „Datenschutz zur Schule gehen“. [...]

Kennen Sie die “Prüfanstalt für technische Wiedergutmachung”? Nein? Können Sie auch gar nicht, denn dieses Institut gibt es gar nicht. Wir haben einen Kollegen auf die Straße geschickt, ausgestattet mit einem erfundenen Prüfsiegel, einem nachgemachtem Fragebogen und den nötigen Utensilien, um sogar eine DNA-Probe nehmen zu können – Das ganze gedreht mit der versteckten Kamera.

Ganz freundlich fragen wir Passanten, welche Krankheiten sie haben und wie viel sie verdienen, bitten um Kontonummern und den Personalausweis. Sie glauben, niemand gibt Auskunft? Irrtum!

Quelle c’t-TV

“Gucken Sie doch einfach mal selbst”, meint der Moderator.

Nach deprimierenden 8 Minuten bleibt nur die vage Hoffnung auf eine kommende Generation, die schon zeitig aus selbst erlittenem Schaden klug wird.

Oder hat jemand eine bessere Idee?