Menü

Telekom-Mitarbeiter verhielten sich bei Suche nach Datendieb gesetzeswidrig

Von
vorlesen Drucken Kommentare lesen 33 Beiträge

Mitarbeiter der Deutschen Telekom haben auf der Suche nach den Dieben der 17 Millionen Kundendaten von T-Mobile gegen geltende Gesetze verstoßen. Die Sicherheitsmitarbeiter überprüften Verbindungsdaten von 20 bis 30 Personen und beschafften hierfür mindestens einmal Verbindungsdaten von einem inländischen Wettbewerber und von einem ausländischen Unternehmen. Gleichwohl sei für den Angriff auf die Mobilfunksparte der Hauptverdächtige inzwischen ausfindig gemacht geworden. Dies teilte der neue Datenschutz-Vorstand der Telekom, Manfred Balz, heute auf einer Presskonferenz des Unternehmens in Bonn mit. Er stellte sich in seiner neuen Funktion als Vorstand für Datenschutz, Recht und Compliance sieben Tage nach Amtsantritt vor.

Zu den gestohlenen Kundendaten zählten nicht nur Handy-Nummern, Adressen und Geburtsdaten, sondern teilweise auch E-Mail-Adressen. Im Internet wurden sie in kriminellen Kreisen angeboten. Der Revisionsbericht zum Datendiebstahl liege bereits vor, doch müsse er noch vom Aufsichtsrat verabschiedet werden, teilte Balz mit. Seit Anfang Oktober habe sich die interne Revision mit Hochdruck der Aufklärung des Diebstahls gewidmet. Anlass waren neue Erkenntnisse über den Verbleib eines Datensatzes der 17 Millionen Daten: Der Musik- und Erotik-Unternehmer Tobias Huch hatte mitgeteilt, dass er noch immer die 17 Millionen T-Mobile Kundendaten besitze, die ihm ein Österreicher angeboten habe. In Konsequenz übernahm die Staatsanwaltschaft Bonn das Verfahren von der Staatsanwaltschaft Köln, die dieses im Sommer eingestellt hatte. Balz sagte hierzu: "Die Kölner Staatsanwaltschaft hat diesem Antragsdelikt wenige Bedeutsamkeit beigemessen. Wir hielten die Einstellung nicht für gerechtfertigt. Wir sind zufrieden, dass die Bonner Staatsanwaltschaft den Komplex an sich gezogen hat."

Die Telekom setzte außerdem einen Lenkungsausschuss namens "Fort Knox" ein, um die Aufarbeitung von Sicherheitslücken aufzuarbeiten. "Dabei gab es vor allem an den angewandten Methoden und Vorgehen bei der Sicherstellung der Daten bei Dritten Kritik", sagte Balz. Konkret bezieht sich dies darauf, dass die Sicherheitsmitarbeiter für ihre Nachforschungen Verbindungsdaten bei einem inländischen Mobilfunkunternehmen sowie einem ausländischen Wettbewerber beschafften und auswerteten. Bekannt wurde dies durch eine Nachfrage bei einem Beteiligten, der hierzu noch eine Datei besaß. Dem Mitarbeiter gestand die Telekom eine Art Whistleblower-Schutz zu.

Die vom Verbindungsdatenabgleich betroffenen Personen wurden inzwischen informiert. Einige haben sich aber inzwischen ins Ausland abgesetzt und waren daher nicht zu erreichen."Als Sofortmaßnahme haben wir fünf Mitarbeiter aus dem Sicherheitsbereich, einen aus dem Telekom-Konzern, vier aus dem T-Mobile-Bereich bis zur Klärung der Vorwürfe aus ihren Aufgaben bis auf Weiteres herausgelöst und nach Hause geschickt", erklärte Balz. Wer hierfür die unternehmerische Verantwortung trage, sei noch nicht entschieden. Hinsichtlich des Whistleblowers sagte Balz, dass ihm zugesagt worden sei, dass er in seinem beruflichen Fortkommen nicht behindert werden solle. Allerdings sei noch nicht entschieden, wie mit ihm umzugehen sei, da er selbst am Verbindungsdatenabgleich beteiligt war.

Balz, der zuvor die Funktion des Unternehmensjustiziars bekleidet hatte, erklärte, dass beim Thema Verbindungsdaten vier verschiedene rechtliche Ebenen zu unterscheiden seien. Bei der Erhebung und dem Vergleich von Verbindungsdaten von dienstlichen Handys agiere man im Bereich des § 28, 1 des Bundesdatenschutzgesetzes. Es erlaube zur Wahrung berechtigter Interessen durchaus die Erhebung und Verwendung von Verbindungsdaten. Die Erhebung und Verwertung anderer Daten und ihre interne Auswertung können als Ordnungswidrigkeit nach § 149 Telekommunikationsgesetz geahndet werden, falls diese nicht durch Notwehr gerechtfertigt werden können. Bei der Mitteilung solcher erhobenen Daten an andere liege allerdings nach § 206 Strafgesetzbuch ein Angriff auf das Fernmeldegeheimnis vor, ebenso auch bei der Zulieferung der Verbindungsdaten seitens eines Wettbewerbers.

Balz kündigte heute an, "neue Standards" zu setzen, um die Kundendaten sicherer zu machen. Er wolle seine Maßnahmen öffentlich diskutieren und später für die gesamte Branche einfordern. Er wolle das Thema Datenschutz und Datensicherheit als Konzernthema konzernweit durchsetzen. Datenschutz müsse zum Qualitäts-Servicemerkmal werden. Den Ressortzuschnitt stellte Balz ebenfalls vor. Das wesentliche Strukturprinzp sei eine klare Trennung zwischen Ermittlungen im operativen Bereich und der Aufsicht über diese Ermittelungen. Hinsichtlich des Lenkungsausschusses kritisierte er, dass bislang der Datenschutz und weiterreichende rechtliche Fragestellungen nicht ausreichend repräsentiert gewesen seien. Es gebe im Bereich Datenschutz Zuständigkeitskonflikte. Balz werde dies einer gründlichen Überprüfung unterziehen und eventuell personelle Konsequenzen ziehen.

Hinsichtlich der Möglichkeiten zum Missbrauch von Kundendaten aus dem Vertriebspartnerportal setze die Telekom alles daran, die Daten so sicher wie möglich zu halten. Der Abruf sei nun über die Verwendung von Transaktionsnummern, die angefordert werden müssen, geschützt. Außerdem habe man alle 150.000 im Umlauf befindlichen Passwörter über Nacht deaktiviert. Die Hauptaufmerksamkeit in der Verbesserung des Datenschutzes liege in der Zusammenarbeit mit den Vertriebspartnern. Balz: "Wir prüfen, ob es Auffälligkeiten hier gibt und befragen hierzu auch Dritte." Er kündigte außerdem an, einen externen Datenschutzrat zu bilden, in dem Experten und Wissenschaftler sich kritisch mit der Datenschutzpraxis der Telekom auseinandersetzen sollen. Es werde außerdem einen jährlichen Datenschutzbericht geben. Alle IT-Systeme sollen schließlich durch den TÜV-IT zertifiziert werden.

Bislang halten sich Kündigungen von Telekom-Kunden wegen der Datenschutzpannen "in geringem Rahmen". Balz zeigte sich zufrieden: "Für die Größe der Vorgänge halten sich die Kundenreaktionen in maßvollen Grenzen." Sonderkündigungsrechte haben Kunden nicht nachdrücklich beansprucht. Das setze zudem einen wichtigen Grund voraus, den das Unternehmen selbst verschulden muss: "So eine Pflichtverletzung gibt es unserer Auffassung nicht", betonte der Telekom-Datenschutz-Vorstand. Über 1000 Anrufe seien bislang eingegangen, es gäbe 640 Fälle von Nummeränderungen. Einige tausend Kunden habe die Telekom in persönlichen Schreiben informiert. Das Unternehmen habe noch nicht entschieden, ob alle Betroffenen über ein Individualanschreiben benachrichtigt werden sollen.

Siehe dazu auch:

(Christiane Schulzki-Haddouti) / (jk)

Anzeige
Anzeige