Datenschutz – entscheident für eine freie Gesellschaft

Als ich Mitte der achtziger Jahre meine Freundin in Ost-Berlin besuchte, führte einer unserer ersten Wege immer in die nächstgelegene Polizeistation. Dort musste ich meinen Pass vorzeigen und meinen Besuch anmelden. Später musste ich mich zusätzlich in das sogenannte Hausbuch eintragen, das von einem linientreuen Bewohner des Mehrfamilienhauses verwahrt wurde. In diesem Buch waren alle Leute mit Name, Anschrift, Passnummer und Datum des Besuchs (von … bis) gelistet, die in den letzten Jahren einen der Bewohner des Hauses besucht hatten.

Transparenz und Diktatur

Daran dachte ich, als ich letzte Woche im Magazin der Süddeutschen Zeitung (Nr. 50, 14.12.2012) in einem Interview mit Byung-Chul Han, Professor für Philosophie und Kulturwissenschaften an der Universität der Künste in Berlin, die folgenden Sätze las:

Frage: „Peer Steinbrück wurde heftig angegriffen für seinen Satz: Transparenz gibt es nur in Diktaturen“.

Antwort: “Dabei hatte er recht. Totale Transparenz ist nur durch totale Kontrolle möglich und die gibt es nur in einer Diktatur. Es gehört zur Demokratie, dass die Menschen nicht alles wissen können. In der Demokratie gibt es Räume, die man nicht durchleuchten darf. <Neues Wort für Gleichschaltung: Transparenz>, hat der Journalist Ulrich Schacht geschrieben, der 1973 in der DDR wegen <staatsfeindlicher Hetze> zu sieben Jahren Gefängnis verurteilt wurde. Erst jetzt verstehen wir, was er gemeint hat. Es gibt eben nicht nur Schwarmintelligenz, sondern auch Schwarmdummheit und Schwarmdiktatur”.

Ich denke, auch auf die Frage nach dem Sinn und der Notwendigkeit von Datenschutz in einer vernetzten Welt kann es kaum eine bessere Antwort geben.

Sehr zu denken gibt auch ein weiteres Zitat aus diesem Interview:

Frage: „Wael Ghonim, Marketingexperte bei Google, gab den Slogan aus: <Um eine Gesellschaft zu befreien, braucht man ihr nur Zugang zum Internet zu geben>. Was sagen Sie dazu?“

Antwort: “Denken Sie an China und den Iran. Das Internet ist dort ein äußerst effizientes Medium der Kontrolle. Die digitale Vernetzung schafft ein digitales Panoptikum. Und das funktioniert perfekt, weil sich inzwischen jeder freiwillig entblößt. Ausleuchtung ist Ausbeutung – und beides lassen wir inzwischen bereitwillig zu, nein, wir wollen es selbst. Wir führen uns frei in der Ausbeutung. Das macht die Kontrollgesellschaft so effizient”.

Die sogenannte „Post-Privacy“ Bewegung, die sich die Abschaffung von Datenschutz auf die Fahnen geschrieben hatte, ist ja zum Glück recht bald wieder in der Versenkung verschwunden, war mein nächster Gedanke. Auch die Piratenpartei mit ihrer Forderung nach allumfassender Öffentlichkeit und Transparenz scheint demnächst ein ähnliches Schicksal zu ereilen. Wirklich schade ist das nicht.

Besuchen Sie auch: Die Datenschutz-Experten in Hamburg.

Urlaub? Algarve für Entdecker!

Ferienwohnung an der Algarve? Casa Luar in Silves!

Videoüberwachung: Eine absurde Geschichte

Nach dem Bombenfund im Bonner Hauptbahnhof streiten nun die Bahn und die Bundespolizei über die Verantwortlichkeit für die Speicherung brauchbarer Videobilder, die bei der Aufklärung der Tat helfen könnten. Offenbar beobachtet die Bahn zwar den Bonner Bahnhof und auch Teile des Bahnsteigs, auf dem die Tasche mit den Bombenzutaten stand, per Video.

Nur Beobachten, nicht Speichern

Abgespeichert werden die Bilder jedoch nicht. Die Bahn verteidigt ihr Vorgehen mit dem Hinweis, sie sei von der Bundespolizei mit der Videoüberwachung bestimmter Bahnhöfe beauftragt. Am Bonner Bahnhof hätte jedoch von der Bundespolizei kein entsprechender Auftrag für die Speicherung der Bilder vorgelegen. Eine Aussage, die die Bundespolizei mit der Begründung zurück weist, die Bahn sei nicht bereit gewesen, in Bonn zusätzliche Aufzeichnungskapazitäten zu bezahlen.

Mehr Überwachung gefordert

Bundesinnenminister Hans-Peter Friedrich (CSU) nutzt den Bombenfund und die fehlenden Videoaufzeichnungen umgehend, mehr Kameraüberwachung zu fordern. Mit einer besseren Technik ließen sich “Gewalttäter abschrecken und geplante Anschläge aufklären”, sagte Friedrich dem Spiegel. Im Fall Bonn ist die Polizei aber offensichtlich auch ohne Videoaufzeichnungen gleich mehreren Verdächtigen auf der Spur, wie ebenfalls der Spiegel berichtet.

Es ist ohnehin schon zuviel

Was für eine absurde Geschichte. In Zeiten der unbegrenzt verfügbaren, billigen Speicherkapazitäten soll die Speicherung von Videobildern an den Kosten scheitern? Obendrauf noch Zuständigkeitswirrwarr zwischen Bahn und Bundespolizei und das alles soll ein Grund sein, dass wir jetzt die neueste Überwachungstechnik brauchen. Von der Tatsache, dass die Verfolgung der mutmaßlichen Urheber für den Attentatsversuch anscheinend auch ohne gespeicherte Videoaufnahmen mit ganz altmodischen Mitteln wie Phantombildern gelingt, gar nicht zu reden. Es müsste doch auch ein Bundesinnenminister merken, dass vor diesem Hintergrund nicht noch mehr Überwachung das Thema ist, sondern die richtige Nutzung der vorhandenen Möglichkeiten – die ohnehin schon unser aller Recht auf ein unbeobachtetes Sich-Bewegen außer Kraft setzen.

 

 

Europe v Facebook: Klage in Vorbereitung

Wer noch eine Weihnachtsspende für einen guten (Datenschutz-) zweck loswerden will, dem bietet jetzt die Initiative europe v facebook dazu eine Gelegenheit. Die österreichische Gruppe um den Jurastudenten Max Schrems will die irische Datenschutzbehörde verklagen und sammelt dafür im Wege des „Crowdfunding“ Geld.

Anzeigen unzureichend bearbeitet

Die irische Datenschutzbehörde hatte mehrere Anzeigen wegen Datenschutzverstößen der Initiative gegen Facebook bearbeitet und ein unverbindliches Untersuchungsverfahren gegen Facebook eingeleitet. Der letzte Stand ist, dass europe v facebook aufgefordert wurde, eine Stellungnahme zu dem unverbindlichen Untersuchungsverfahren abgeben, mit dem ohne weitere Beteiligung der Initiative die Anzeigen bearbeitet wurden. Europe v facebook schätzt den Bericht in einer fast siebzig seitigen Gegenstellungnahme im Ergebnis so ein, dass die irische Behörde „einige wichtige Schritte gesetzt“, aber im Detail „schlampig und ungenau“ gearbeitet habe. Facebooks Behauptungen seien einfach übernommen worden, obwohl die mit einfachen Mitteln (Screenshots) widerlegbar seien. Keine der Anzeigen sei ordnungsgemäß bearbeitet worden. Die irische Behörde weiche darüber hinaus massiv vom gemeinsamen Rechtsverständnis in der EU ab.

Letzte Maßnahme Klage

Denkbar ist nun, dass auch der abschließende Bericht der irischen Datenschutzbehörde so unzureichend ausfällt und dagegen kann dann die Klage gerichtet werden. Die Einrichtung der Crowdfunding Plattform dient der Sammlung von geschätzt 100.000 EUR, die ein solcher Prozess kosten wird – und das ist nur das Minimum.

Lesen Sie auch:
Sozialverantwortung-Blog

 

Datenschutzbeauftragte allein zu Haus

„Datenschutzbeauftragte – die überforderte Zunft“ betitelte die FAZ einen Artikel am Freitag letzter Woche. Peter Leppelt, der selber als Datenschutzberater in Hannover tätig ist, setzt sich in dem Artikel kritisch mit der Rolle der Datenschutzbeauftragten in Unternehmen auseinander. Leppelt beschreibt die Realität, die jeder, der als Datenschutzbeauftragter oder- berater arbeitet und in der Lage ist, seine eigene Rolle ehrlich zu reflektieren, wiedererkennt: Die Datenschutzbeauftragten können Missstände im Umgang mit Daten in Unternehmen anprangern, doch sie haben praktische keine Druckmittel, ihre Forderungen auch durch zu setzen. Ernstzunehmende staatliche Sanktionen von Datenschutzverstößen gibt es keine.

Keine ernstzunehmenden Sanktionen

So bleibt es den Unternehmen selber überlassen ob sie Lust haben, den Empfehlungen ihrer Datenschutzbeauftragten zu folgen und die Datenschutzgesetze einzuhalten. Tun sie es nicht, wird ihnen geschätzt in einem von 50.000 Fällen von Seiten der Datenschutzaufsichtsbehörden Ungemach drohen, wenn überhaupt. Und je größer das Unternehmen, desto höher die Wahrscheinlichkeit, dass Strafen aus der Portokasse bezahlt werden, wenn sie denn doch mal verhängt werden.  Das ist gerade so als ob man einem Unternehmen die Zahlung von Steuern auferlegt – und werden die nicht freiwillig gezahlt, wird nie ein Finanzbeamter vorbei kommen und die geschuldeten Beträge pfänden. Eine absurde Vorstellung, die im Datenschutz Realität ist.

Sollten wir wirklich Gesetze einhalten?

Ich werde schon in Vorgesprächen zu möglichen Aufträgen oftmals gefragt: Was droht, wenn wir Ihren Ratschlägen nicht folgen? Was soll ich Ihnen sagen? antworte ich dann meistens. Wenn Sie in Datenschutz investieren, investieren Sie in vertrauensbildende Maßnahmen gegenüber ihren Kunden und Auftraggebern. Weil Sie meinen, dass es sich gehört, Gesetze einzuhalten. Aber nicht, weil sie Angst vor staatlichen Sanktionen haben müssten. Vor diesem Hintergrund kann ein Datenschutzbeauftragter tatsächlich sehr schnell zu einem „zahnlosen Tiger“ werden, wie Leppelt schreibt. „Ein Appell an den Staat seine Aufgabe ernst zu nehmen“, steht denn auch in der Einleitung des Artikels. Soweit so bekannt und im Grunde wenig bemerkenswert.

Verunglimpfung?

Bemerkenswert ist allerdings die Reaktion der Hamburger Datenschutzgesellschaft, die durch den Artikel offenbar den Berufsstand der Datenschutzbeauftragten genauso verunglimpft sieht wie die Unternehmen. Die Forderung nach einem Mehr an behördlichen Kontrollen beruhe auf „falschen Voraussetzungen“, so der Vorstand in einer Stellungnahme an die FAZ. „Wer inkompetente Datenschutzbeauftragte und rechtswidrig handelnde Unternehmen unterstellt, muss wohl ganz auf den Staat und staatliche Überwachung setzen“. Da staunt der Laie und die Fachfrau wundert sich. Sehen wir alle nicht jeden Tag Unternehmen, die massiv gegen datenschutzrechtliche Vorschriften verstoßen? Und das sind nur die besonders krassen Fälle, die überhaupt öffentlich werden. Sehen wir, dass diese Unternehmen Strafen auferlegt bekommen, die wehtun und Wiederholungstäter abschrecken? Nein. Das ist die bedauerliche Realität.

An der Wahrnehmung gehindert

Die – wenn auch nicht öffentliche – Realität sind die Klagen der (internen) Datenschutzbeauftragten in Unternehmen und Behörden über ihre vollkommen mangelhafte Ausstattung mit Zeit und Wissen, die eine auch nur ansatzweise ordentliche Wahrnehmung ihrer Aufgaben in der Regel verhindert. Die kennt jeder, der über entsprechende Kontakte und Erfahrungen verfügt und ein wenig hinhört. Ebenfalls nicht öffentliche Realität sind auch die Erfahrungen von externen Datenschutzbeauftragten, die in der Hoffnung bestellt werden, sie würden ihr Beratungshonorar kassieren, aber nicht ernsthaft arbeiten wollen. Alles das ist mitnichten eine Unterstellung böswilliger FAZ Autoren, wenn auch Ausnahmen wie überall die Regel bestätigen.

Selbstkontrolle wird es richten?

Nach Ansicht der Hamburger Datenschutzgesellschaft soll offenbar die Selbstkontrolle durch betriebliche Datenschutzbeauftragte das Allheilmittel gegen diese Umstände sein. Die Datenschutzabteilungen von „Facebook, Lidl oder bei der Bahn sind durch deren Geschäftsleiter in den vergangenen Jahren personell und fachlich extrem aufgewertet worden und wirken inzwischen im gesamten Unternehmensbereich. Gerade weil erkannt wurde, dass Verbesserungsbedarf besteht und dafür fachlich versierte und durchsetzungsstarke Mitarbeiter erforderlich sind, die mit ihrer Autorität teilweise sogar in der Presse erscheinen“, heißt es in der Stellungnahme wörtlich. Ah ja. Facebook wertet seine Datenschutzabteilung auf und alles ist gut? Das ist bestenfalls eine naive Annahme. Wer hofft, dass das allein zum Erfolg führen wird, kann auch bei der Steuerpflicht auf Freiwilligkeit und Selbstkontrolle setzen.

Ein konstruierter Gegensatz

Zweifelsohne ist die Rolle der Datenschutzbeauftragten eine wichtige und zweifelsohne sind viele von ihnen fachlich versiert und durchsetzungsstark. Doch die Datenschutzbeauftragten können der immer noch weit weitverbreiteten Missachtung von Datenschutzgesetzen nur wirkungsvoll etwas entgegensetzen, wenn sie auch ein Druckmittel haben. Dieses haben sie aber zurzeit nicht. Die für Datenschutzverstöße vorgesehenen Strafen sind lächerlich gering und werden kaum je verhängt. Auch von nicht-staatlicher Seite haben Datenverbrecher kaum je ernsthafte Sanktionen zu befürchten. Das zu konstatieren setzt mitnichten die Rolle der Datenschutzbeauftragten herab. Im Gegenteil, denn eine funktionierende staatliche Kontrolle der Einhaltung der Datenschutzgesetze würde ihre Position stärken.

Schade, dass die Hamburgische Datenschutzgesellschaft mit ihrer plumpen Reaktion die Chance vertan hat, die von Peter Leppelt angestoßene wichtige Diskussion aufzugreifen und fortzusetzen.

 

 

Anforderungen an eine Auftragsdatenverarbeitung

Drei Jahre. Drei Jahre ist es her, dass eine der Novellen des Bundesdatenschutzgesetzes die Anforderungen an eine Auftragsdatenverarbeitung strenger fasste. Wer also personenbezogene Daten durch ein anderes Unternehmen verarbeiten lässt, ist seither gehalten, die in § 11 BDSG definierten Anforderungen einzuhalten. Spätestens! An Dritte ausgelagerte Datenverarbeitung ist heute fast eher die Regel denn die Ausnahme, so dass die Vorschrift eine umfassende praktische Bedeutung im Alltag praktisch jeden Unternehmens hat. Angefangen beim Steuerbüro, das die Lohnbuchhaltung erledigt, über das Rechenzentrum, das Server vermietet, bis zum Schreibdienst für Arztbriefe finden sich all überall Verhältnisse von Auftragsdatenverarbeitung, die dem § 11 BDSG unterliegen.

Klare Vorgaben

Der Gesetzestext des § 11 BDSG ist klar und deutlich gefasst und lässt wenig Spielraum für Interpretationen, was getan werden muss.

Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen.

Damit ist ausgeschlossen, ein Unternehmen zu beauftragen, ohne sich vorher wenigstens eine Liste mit technischen und organisatorischen Sicherheitsmaßnahmen vorlegen zu lassen.

Weiter heißt es:

Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind:

1. der Gegenstand und die Dauer des Auftrags,

2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen,

3. die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,

4. die Berichtigung, Löschung und Sperrung von Daten,

5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,

6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,

7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,

8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,

9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,

10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Liest man diesen Text, liegt eigentlich auf der Hand, dass die Regelung dieser Punkte schon im ureigensten Interesse des Auftraggebers liegen sollte. Bleibt doch der Auftraggeber für die dem Auftragnehmer überlassenen Daten verantwortlich. Auch die weitere Vorgabe,

der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren.

sollte genau genommen im Interesse des Auftraggebers liegen.

Bekanntheitsgrad gegen Null

Warum nur ist drei Jahre nach Inkrafttreten dieser Regelegung in der Praxis davon immer noch so wenig bekannt?  Ich hatte in der letzten Woche allein gleich wieder drei Vorgänge auf dem Schreibtisch, die auf eine absolute Unkenntnis – und in einzelnen Fällen schlimmer noch, den Unwillen der Beteiligten schließen lassen.

Löschungsfristen? Bürokratie!

Ein Krankenhaus, das Patientendaten an einen externen Dienstleister übergeben will und meint, mit einer allgemeinen Erklärung, dass die Mitarbeiter des Dienstleisters zur Geheimhaltung verpflichtet seien, sei es ausreichend abgesichert. Durch den Dienstleister auf die Notwendigkeit einer umfassenden Regelung angesprochen, reagierte der im Krankenhaus für zuständig erklärte Mitarbeiter unwirsch: Das sei doch nun überflüssige Bürokratie. Die Vorgabe von Löschungsfristen für Patientendaten nach Abschluss eines Auftrags ist überflüssige Bürokratie? Auf die Idee muss man erst mal kommen.

Rechenzentrum

In einem anderen Fall fiel es einem Anbieter von Telekommunikationsdienstleistungen ein, dass vielleicht mit dem Rechenzentrum, in dem schon seit Jahren sämtliche Verbindungs- und Zahlungsdaten der Kunden verarbeitet wurden, doch mal ein Vertrag über Auftragsdatenverarbeitung geschlossen werden müsste. Die Verantwortlichen im Rechenzentrum waren überrascht ob dieses Ansinnens, aber vorbereitet. Sie legten eine umfassende Dokumentation über Sicherheitsmaßnahmen vor.

Lascher Umgang mit dem wertvollsten Kapital

Es ist mir unverständlich, warum Unternehmen mit ihrem wertvollsten Kapital – den Daten – so lasch umgehen. (Von den Persönlichkeitsrechten derer, die ihre Daten im Zweifel in der Öffentlichkeit wiederfinden, wollen wir ja noch mal gar nicht reden). Würde man sein Auto einer Werkstatt anvertrauen, von der man nicht weiß, ob das Personal überhaupt fachlich qualifiziert ist? Würde man einen Postboten, der nur Briefe abgeben soll, allein in der eigenen Wohnung lassen? Wohl kaum. Merkwürdig nur, dass manche Unternehmen genau das täglich tun.

Der gesamte Wortlaut des § 11 BDSG ist unter anderem hier erhältlich:

http://www.gesetze-im-internet.de/bdsg_1990/__11.html

Wichtig ist in diesem Zusammenhang auch § 9 BDSG, auf den in § 11 verwiesen wird

http://www.gesetze-im-internet.de/bdsg_1990/__9.html

 

 

 

 

 

 

Facebook: Beleidigungen oder das Recht auf Meinungsäußerung

Immer wenn in meinen Seminaren die Frage aufkommt, was man erlaubterweise auf Facebook äußern darf und was nicht, sage ich: Sie wollen nicht ausprobieren, wo nach Ansicht deutscher Arbeitsgerichte die Grenze verläuft zwischen dem Recht auf freie Meinungsäußerung und Beleidigungen. Die freie Meinungsäußerung ist ein geschütztes Grundrecht, mit der Beleidigung risikieren Sie im Zweifel Ihren Arbeitsplatz. Posten Sie also nur Dinge, die Sie Ihren Kollegen und Ihrem Chef auch ins Gesicht sagen würden. Machen Sie berufliche Konflikte nie über Soziale Netzwerke öffentlich.

“Karriere-Spiegel” hat jetzt eine Reihe von Fällen zusammen getragen, die sehr anschaulich zeigen, wie unterschiedlich Arbeitsgerichte mit Facebook-Beleidigungen umgehen:

http://www.spiegel.de/karriere/berufsleben/facebook-wie-arbeitsgerichte-ueber-beleidigungen-entscheiden-a-863031.html

Die Lektüre bestärkt mich in meiner Einschätzung – das will kein vernünftiger Mensch ausprobieren.

Fingerabdrücke in Reisepässen – eine schwere Datenschutzverletzung?

Das ist eine sehr interessante Frage und ich bin gespannt, zu welchem Ergebnis der Europäische Gerichtshof kommt:

http://www.spiegel.de/netzwelt/web/europaeischer-gerichtshof-entscheidet-ueber-fingerabdruecke-im-reisepass-a-861733.html

 

Follow

Erhalte jeden neuen Beitrag in deinen Posteingang.

%d Bloggern gefällt das: