Datenpannen in der Privatwirtschaft sorgten 2008 für Schlagzeilen: 30 Millionen personenbezogene Datensätze kamen T-Mobile abhanden, 17 Millionen der Deutschen Telekom. Verbraucherschützer erwarben in einem Scheingeschäft vier Millionen Kontendaten. Mitte Dezember musste die Landesbank Berlin (LBB) eingestehen, mehrere zehntausend Kreditkartendaten verloren zu haben. Die Bundesregierung hofft, mit einer Reform des Datenschutzrechts gegensteuern zu können.
Es war ein schweres, aber unscheinbares Paket, das die Redaktion der „Frankfurter Rundschau“ am 12. Dezember erreichte. Doch die Reporter staunten nicht schlecht, als sie in diversen Umschlägen Mikrofiches mit Kreditkartennummern, dazugehörigen persönlichen Daten sowie umfangreichen Transaktionslisten mit Buchungen vom August aus den Beständen der Landesbank Berlin (LBB) fanden. Wann immer einer der betroffenen Kunden mit einer Kreditkarte des Bankhauses oder dessen Partner wie dem ADAC oder Amazon etwa ein Dinner oder den Urlaubsflug bezahlt hatte, war dies auf den analogen, nur mit der Lupe oder einem gesonderten Lesegerät zu entziffernden Datenträger gespeichert. Auch eine Reihe von Briefen mit Geheimnummern enthielt der Karton, die ihre eigentlichen Adressaten laut LBB nicht erreichten und somit nicht aktiviert worden seien.
Bereits im Oktober hatten Zehntausende besorgter Bürger unter dem Motto „Freiheit statt Angst“ gegen den Überwachungswahn und mangelnden Datenschutz demonstriert: Die jüngsten Datenlecks scheinen die Befürchtungen nur zu bestätigen.
Der schleswig-holsteinische Datenschutzbeauftragte Thilo Weichert witterte rasch und selbst nach den ständigen Skandalmeldungen der vergangenen Monate einen „unglaublichen, einzigartigen“ Fall. Auch der Bundesdatenschutzbeauftragte Peter Schaar betonte, dass der Vorgang eine „neue Qualität“ habe. Es handle sich um Daten von großer Sensibilität“. In der Politik ließ der erneute Datenabfluss ebenfalls Alarmglocken schrillen. Für den parlamentarischen Geschäftsführer der Grünen, Volker Beck, stellt der Skandal alles bisher Bekannte in den Schatten. Er forderte unmittelbare Konsequenzen für die Datenschutzgesetzgebung und die Kontrolle der Verarbeitung von Kundendaten in der Wirtschaft. Die innenpolitische Sprecherin der FDP-Bundestagsfraktion, Gisela Piltz, betonte die Erfordernis der stärkeren „gesamtgesellschaftlichen Bedeutung“ des Datenschutzes. Ihr SPD-Kollege, Dieter Wiefelspütz, rief nach einer „Datenschutzpolizei“. Bundesjustizministerin Brigitte Zypries (SPD) forderte eine lückenlose Aufklärung.
Die Frankfurter Polizei tappte eine Woche nach dem Eingang des Päckchens bei der Zeitung noch im Dunkeln. Sie ermittelt nach einer Anzeige der LBB wegen Datendiebstahl mit einem Sonderteam. Klar ist bisher, dass die Sendung bei einem Kuriertransport am 10. Dezember zwischen dem in Frankfurt ansässigen Finanzdienstleister Atos Worldline und dem Bankhaus abhanden gekommen ist. Für den Empfang des Pakets am Main gibt es eine Quittung. Der Transport sollte durch den Boten eines laut LBB „anerkannten Logistikunternehmens“ wie üblich per Auto am gleichen Tag erfolgen. Bei der Bank läutete es aber erst, als die Frankfurter Journalisten anriefen und fragten, ob eine Sendung mit Mikrofiches und PINs vermisst werde. Die Päckchen von Atos landen normalerweise mit schöner Regelmäßigkeit mehrmals in der Woche bei der LBB, wo sie vorschriftsgemäß zehn Jahre gelagert werden.
Über den weiteren Ablauf gab es bis zur Wochenmitte nur Spekulationen. Demnach könnten neben einem Fehler oder einem Vergehen des Kuriers ein Erpressungsversuch oder bankeninterne Machtkämpfe um die Sicherheitspolitik als Hintergrund in Frage kommen. Nicht klarer wird die Sache dadurch, dass die Bank bereits Ende September ihre Kunden über Kreditkartenmissbrauch informierte. Es soll wiederholt zu Abbuchungen von bis zu 5000 Euro gekommen sein, was aber nicht nur LBB-Kunden betroffen habe und auf allgemeine Sicherheitsrisiken etwa beim Online-Einkauf zurückzuführen sei. Die Polizei und Verbraucherschützer empfehlen Bankkunden, ihre Konten zu überprüfen. Viel Schindluder könne zumindest mit den Angaben aus dem LBB-Paket aber vermutlich nicht getrieben werden.
Just am Tag der Abwanderung der Kreditkarteninformationen beschloss das Bundeskabinett seinen umstrittenen jüngsten Gesetzesentwurf zur Novelle des Datenschutzrechts. Im Wesentlichen setzt die Bundesregierung damit die Eckpunkte um, auf die sich Bund und Länder im September auf dem Datenschutzgipfel verständigten (siehe c't 20/08, S. 58). Der Entwurf zur Änderung des Bundesdatenschutzgesetzes (BDSG) verfolgt das Ziel, das Datenschutzniveau und die Transparenz der Datenverarbeitung im nichtöffentlichen Bereich zu heben sowie die Einflussmöglichkeiten der Bürger auf die Verwendung ihrer personenbezogenen Daten zu Werbezwecken zu stärken.
Kunden müssten bei Verabschiedung des Vorhabens durch das Parlament in der Regel in die Weitergabe ihrer Personendaten für Werbung von Drittfirmen einwilligen. Größtenteils abschaffen will die Regierung so das „Listenprinzip“, das derzeit die Verwendung personenbezogener Daten wie Adressangaben zu Zwecken der Werbung, Markt- und Meinungsforschung ohne Opt-in-Bestätigung erlaubt. Allerdings hat das federführende Bundesinnenministerium auf massive Proteste der Wirtschaft hin einige Ausnahmen eingeführt. Diese beziehen sich etwa auf Spendenwerbung, Kundenansprache im Geschäftsbereich (B2B) und „Beipackwerbung“ etwa zu einer Zeitschriftensendung. Zudem ist eine Übergangsfrist von drei Jahren vorgesehen.
Geschaffen werden soll ein „freiwilliges und unbürokratisches“ Verfahren für ein Datenschutzaudit, um „marktorientierte Anreize zur Verbesserung des Datenschutzes in Unternehmen“ zu setzen. Firmen, die ihren Kunden besondere Sicherheit garantieren und sich prüfen lassen, könnten dann ein Gütesiegel erhalten. Weiter verankern will das Kabinett ein „Kopplungsprinzip“. „Marktbeherrschende“ Unternehmen dürften damit in der Regel den Abschluss eines Vertrages nicht mehr von einer Einwilligung der Betroffenen in die Nutzung ihrer personenbezogenen Daten zu Werbezwecken abhängig machen. Ferner werden mit dem Entwurf die angedrohten Bußgelder auf bis zu 300 000 Euro erhöht, Möglichkeiten zur Abschöpfung unrechtmäßiger Gewinne aus illegaler Datenverwendung geschaffen. Es soll eine Informationspflicht bei Datenschutzpannen eingeführt und die Stellung der betrieblichen Datenschutzbeauftragten gestärkt werden.
Der Bundesdatenschutzbeauftragte Peter Schaar bewertet den Entwurf „generell positiv“. Bei der Lockerung der Einwilligungsklausel stellt sich ihm aber die Frage, wie man die für die Werbung freigegebenen Datenbestände von gesperrten abgrenzen könne. Bei der Datenschutzaufsicht gebe es zudem weiter massive Umsetzungsdefizite. Seine Behörde halte für eine effektivere Kontrolle in den Zuständigkeitsbereichen Post und Telekommunikation mindestens eine Verdoppelung der bestehenden Stellen auf acht bis zehn für nötig. Als „sehr bedauerlich“ bezeichnete es Schaar, dass die von Datenschützern geforderte Kennzeichnungspflicht für die Herkunft der Daten im Adresshandel als unrealistisch abgelehnt worden sei. Es reiche insgesamt aber nicht, nur irgendwelche „Erker“ an das ohnehin schon unübersichtliche Gebäude des Datenschutzrechts anzubauen. Vielmehr müsse das BDSG gründlich renoviert werden.
Gerd Billen, Vorstand des Bundesverbands der Verbraucherzentralen (vzbv), begrüßte, „dass die Bundesregierung gegen Datenpiraten vorgehen will“. In der jetzigen Form stelle die Initiative aber „noch nicht das große Weihnachtsgeschenk dar, das wir für die Verbraucher brauchen“. Dem Präsidenten des Bundesverfassungsgerichts, Hans-Jürgen Papier, scheint der Plan zur „Einführung des Einwilligungsprinzips“ angesichts wöchentlich auftretender Skandale von Datendiebstahl und heimlicher Überwachung von Arbeitnehmern „geboten“. Oppositionspolitikern gehen die Verschärfung mit dem „viertelherzigen“ Reförmchen nicht weit genug. Verlegerverbände und die Werbewirtschaft beklagen dagegen, dass der Siechtod der Briefwerbung drohe und wichtige Wege zur Kundenansprache verbaut würden.
Bundesinnenminister Wolfgang Schäuble verteidigte den Kompromiss. Ein Eingreifen erscheint dem CDU-Politiker dringend erforderlich, da es einen weitläufigen geschäftsmäßigen Handel mit personenbezogenen Daten gebe und umfangreiche Bestände der Bürger illegal im Umlauf seien. Dabei gehe es nicht um Kavaliersdelikte, sondern um „kriminelles Unrecht“. Man müsse sich aber bewusst sein, dass die gezielte Werbeansprache für viele Unternehmen ein wichtiges Mittel der Kundengewinnung sei. Zudem könne die Politik nicht gewährleisten, „dass es keine Datenschutzskandale mehr geben wird“. Mit dem Entwurf sei aber auch die Absicht verbunden, die Bürger für den Umgang mit ihren Daten zu sensibilisieren. Den Zeitplan bezeichnete Schäuble als „ehrgeizig“: Nach einem Durchgang durch den Bundesrat könnte das Vorhaben im März im Bundestag beraten und frühestens Mitte Mai verabschiedet werden.
(jk)
Version zum Drucken | Per E-Mail versenden | Heft bestellen
Permalink: http://heise.de/-291840
Das aktuelle Heft ist jetzt im Handel erhältlich.
Ältere Artikel können Sie über unser Zeitschriften-Archiv bestellen.
RSS
