Archiv der Kategorie: Datenschutzaufsichtsbehörden

Deutsche Bahn will Vorbild im Datenschutz werden [Update]

Eben berichtet der Berliner Beauftragter für Datenschutz und Informationsfreiheit in einer Pressemitteilung, dass die Deutsche Bahn das Rekordbußgeld von 1.123.503,50 Euro zahlen wird. Zum Bußgeld siehe hier im Blog.

Interessant finde ich die Aussagen zur zukünftigen Vorbildrolle der Bahn:

Der neue Unternehmensvorstand hat demgegenüber den Datenschutz zu einer seiner obersten Prioritäten erklärt. Positiv hervorzuheben ist, dass jetzt der Datenschutz auf höchster Management-Ebene in einem eigenen Vorstandsressort „Compliance, Datenschutz und Recht“ angesiedelt ist. Das Unternehmen hat sich zum Ziel gesetzt, nicht nur die vorgeschriebenen technischen und organisatorischen Vorkehrungen gegen datenschutzrechtliche Verstöße zu treffen, sondern darüber hinaus in Sachen Datenschutz eine Modellfunktion zu übernehmen. Ein erster Schritt hierzu ist die eingeleitete Stärkung des Konzerndatenschutzbeauftragten. Der Berliner Beauftragte für Datenschutz und Informationsfreiheit, Dr. Alexander Dix, begrüßt diese Entwicklung ausdrücklich.

Datenschutzmodel(l) Deutsche Bahn – daran muss ich mich erst gewöhnen. Positiv anzumerken ist die Erwähnung der „eingeleiteten Stärkung des Konzerndatenschutzbeauftragten“.  Der betriebliche Datenschuztzbeauftragte ist nun einmal die gesetzlich verankerte Instanz – die man leider zu oft am ausgestreckten Arm zappeln lässt.

Die bußgeldbestraften kriminellen Abenteuer der Bahn betrafen vor allem Mitarbeiterdaten. Ich bin insbesondere gespannt, wie sich die neue Linie auf den Umgang mit Kundendaten auswirkt:

Schon vor den Skandalen im letzten Jahr hatte sich die DB nicht mit Ruhm bekleckert und im Jahr 2007 den BigBrotherAward erhalten. Die damalige Laudatio ist lesenswert – u.a. an der wiedergeschaffenen Möglichkeit zum anonymen Reisen müssen sich die angekündigten Bemühungen der Bahn in Zukunft messen lassen.

[Update 23.10.2009] In einer Presseerklärung der Bahn ist von der Vorbildfunktion nichts zu lesen. Allerdings will man bis Ende November mit dem Betriebsrat neue Leitlinien zum Arbeitnehmerdatenschutz vereinbaren.

Advertisements

2 Kommentare

Eingeordnet unter Arbeitnehmerdatenschutz, Datenschutz im Unternehmen, Datenschutzaufsichtsbehörden, Datenschutzbeauftragte, Datenschutzpannen

Lesetipp: „Die Regierenden sind zu alt“

Interview mit dem Ober-Piraten Jens Seipenbusch in der gut gestalteten Datenschutz-Rubrik der ZEIT.

Zitate:

  • Der Staat, Unternehmen und jeder Einzelne werden sich daran gewöhnen müssen, mit Daten anders umzugehen, als zu der Zeit, in der man alles in einem Leitz-Ordner abgeheftet hat.
  • Bei Google tauchen manchmal Informationen wieder auf, die man schon lange vernichtet zu haben glaubt – weil sie an mehreren Orten zugleich gespeichert wurden.
  • Frage: Was sagen Sie als Techniker – wäre, was der Telekom passiert ist, überhaupt zu verhindern? Seipenbusch: Natürlich kann man das. Es kostet nur etwas Geld. Man könnte mit einer Handvoll Leuten ein System erzeugen, in dem die Daten sicher verschlüsselt sind. [Anmerkung Datenschutzalltag: Weit aus dem Fenster gelehnt] Hinzu kommt, dass Sicherheit meist am Ende einer Entwicklung drangeklatscht wird. [Anmerkung Datenschutzalltag: Volle Zustimmung!]
  • ..in gewisser Hinsicht ist tatsächlich Medienkompetenz das größte Problem bei dieser Sache. Die Menschen müssen auch die technische Kompetenz haben, um zumindest ansatzweise zu überblicken, wozu was sie da zustimmen.
  • Frage: …Nennen Sie doch einmal zwei bis drei Punkte, die der Gesetzgeber künftig sicherstellen müsste. Seipenbusch: Das Wichtigste ist, dass es keine Weitergabe an Dritte ohne das Einverständnis oder die Information des Kunden gibt. [Anmerkung Datenschutzalltag: Ich erinnere an das Geschacher um das Listenprivileg. Am Ende weichgespült] Zweitens muss viel zahlen, wer dagegen verstößt. Es muss Handlungsdruck auf Unternehmen entstehen, zunächst ein wirtschaftlicher Druck und im Fall der Fahrlässigkeit im großen Stil auch ein strafrechtlicher. [Anmerkung Datenschutzalltag: Volle Zustimmung!] Drittens möchte ich mehr als Stichproben bei den Unternehmen. Ich möchte gerne, dass jemand von der Datenschutzbehörde jeden Tag bei der Telekom steht und in die Datenbanken schaut, um beispielsweise zu prüfen, ob der Text aller SMS gesetzeswidrig gespeichert wird oder nicht. Wenn das keiner macht, dann wird es immer wieder Probleme und Skandale geben.

Genau das „mehr Kontrollen durch Aufsichtsbehörden“ will offensichtlich trotz anderslautender Versprechungen niemand; kaum eine Aufsichtsbehörde wurde in den vergangenen Monaten personell deutlich verstärkt.

Mindestens so wichtig: Betriebliche und behördliche Datenschutzbeauftragte in die Lage zu versetzen, dass sie u.a. diese Kontrollfunktion wahrnehmen können. Also Ausbildung, Ausstattung usw.

„Die Regierenden sind zu alt“

ZEIT: Für den Einzelnen schwer zu durchschauen. Nennen Sie doch einmal zwei bis drei Punkte, die der Gesetzgeber künftig sicherstellen müsste.

Seipenbusch: Das Wichtigste ist, dass es keine Weitergabe an Dritte ohne das Einverständnis oder die Information des Kunden gibt. Zweitens muss viel zahlen, wer dagegen verstößt. Es muss Handlungsdruck auf Unternehmen entstehen, zunächst ein wirtschaftlicher Druck und im Fall der Fahrlässigkeit im großen Stil auch ein strafrechtlicher. Drittens möchte ich mehr als Stichproben bei den Unternehmen. Ich möchte gerne, dass jemand von der Datenschutzbehörde jeden Tag bei der Telekom steht und in die Datenbanken schaut, um beispielsweise zu prüfen, ob der Text aller SMS gesetzeswidrig gespeichert wird oder nicht. Wenn das keiner macht, dann wird es immer wieder Probleme und Skandale geben.

Hinterlasse einen Kommentar

Eingeordnet unter Datenschutz im Unternehmen, Datenschutzaufsichtsbehörden, Datenschutzbeauftragte, Datenschutzpannen, Datenschutzpolitik

Teures Massen-Screening: Bahn soll 1,1 Millionen Bußgeld zahlen [Update]

Das macht pro Mitarbeiter und Überprüfung etwa 2 Euro. Immerhin.

[Update 23.10.2009] Die Bahn hat das Bußgeld akzeptiert: Link zur Pressemitteilung

Michael Bauchmüller berichtet in der Sueddeutschen:

Der Datenskandal bei der Deutschen Bahn hat für das Unternehmen ein teures Nachspiel. Nach Informationen der Süddeutschen Zeitung ging am Montag ein Bußgeldbescheid des Berliner Datenschutzbeauftragten Alexander Dix bei der Bahn ein. Darin fordert die Behörde eine Geldbuße von rund 1,1 Millionen Euro. Diese beziehe sich allein auf die schon früh bekannt gewordenen Verstöße gegen Datenschutzgesetze, hieß es bei der Behörde.

Wie zu Anfang des Jahres bekannt geworden war, hatte die Bahn seit 1998 insgesamt dreimal ihre Mitarbeiter sogenannten Massen-Screenings unterzogen. Diese sollten Fälle aufdecken, in denen Mitarbeiter sich über Scheinfirmen selbst lukrative Aufträge zuschanzen.

Reaktion Nummer 1: Werden jetzte die Tickets schon wieder teurer?

Reaktion Nummer 2: Spätestens seit dem Fall Lidl wissen wir, das auch Millionen-Bußgelder nicht automatisch zur Läuterung der Abgestraften führen.  Immerhin gibt es jetzt eine Hausmarke a la „Bußgeld je illegal überprüftem Mitarbeiter“:  Wenn wir grob von 3x 173.000 Mitarbeitern ausgehen, dann landen wir bei etwa 2 Euro pro Nase und Überprüfung. Ein gutes Argument,  warum eine Unternehmensleitung VOR einer geplanten Mitarbeiterüberprüfung ihren betrieblichen Datenschutzbeauftragten einbeziehen sollte. Datenschutz steht der Korruptionsbekämpfung nicht grundsätzlich im Weg: Es geht um das „Wie“.

Aber: Wie viel Datenschutzbeauftragte sind fachkundig genug, ihre Chefs entsprechend zu beraten? Der neue §32 im BDSG hilft hier wenigstens ansatzweise weiter; im Netz dürften diverse Stellungnahmen und Checklisten zu finden sein. Hat jemand was konkretes zur Hand?

2 Kommentare

Eingeordnet unter Arbeitnehmerdatenschutz, Datenschutz im Unternehmen, Datenschutzaufsichtsbehörden, Datenschutzpannen

CDU/CSU und FDP: Auch Gemeinsamkeiten beim Datenschutz

[Update 26.10.2009] Koalitionsvertrag liegt vor. Anmerkungen von mir hier.

Die Koalitionsverhandlungen haben begonnen und mit Recht werden die unterschiedlichen Standpunkte in Fragen der Bürgerrechte und des Datenschutzes als mögliches Spannungsfeld dargestellt, so auch in diesem Blog.

Die grundsätzlichen Differenzen in zentralen Fragen sollen aber nicht über bestehende Gemeinsamkeiten hinwegtäuschen. Ja, es gibt sie, man muss sie nur finden :-). Legt man die Wahlprogramme beider Parteien nebeneinander, so ergeben sich einige Ansatzpunkte.

Quellen siehe hier: Regierungsprogramm von CDU/CSU – siehe da Deutschlandprogramm der FDP für alle folgenden Zitate.

Rechtsvereinfachung
„Der Bürger muss das Recht verstehen können, wenn er es befolgen soll. Wir fordern ein übersichtlicheres und verständlicheres Recht. CDU und CSU wollen, dass Gesetze und Bescheide der Verwaltung in einer für den Bürger verständlichen Sprache verfasst werden.“ Die Datenschutzgesetzgebung und besonders das Bundesdatenschutzgesetz sind (leider) prägnante Beispiele für unübersichtliche Schwerverständlichkeit. „Die FDP setzt sich für ein modernes, leicht verständliches, übersichtliches und effektives Datenschutzrecht ein. Sie strebt die Verankerung allgemeiner Datenschutzgrundsätze in nur einem Gesetz an. An die Stelle von hunderten von speziellen Gesetzen soll ein neues Bundesdatenschutzgesetzbuch treten.“
Darf man also hoffen? Beide Standpunkte deuten nebenbei an, dass es für ein separates Arbeitnehmerdatenschutz schwer wird, so wichtig klärende Regelungen in diesem Bereich sind und bleiben – und von der FDP konkret gefordert werden.

Datenschutzkontrolle

Die FDP will beide Säulen stärken – Aufsichtsbehörden und Datenschutzbeauftragte. „Die FDP setzt sich dafür ein, die Zersplitterung der datenschutzrechtlichen Aufsichtslandschaft zu beenden und die Unabhängigkeit der Kontrollstellen zu stärken. Auf Bundesebene strebt die FDP an, dem Bundesbeauftragten für den Datenschutz und Informationsfreiheit den Status einer obersten Bundesbehörde zu verleihen. […] Um das Datenschutzniveau in der Wirtschaft zu stärken und Betriebsabläufe datenschutzfreundlich zu gestalten, soll die Stellung der betrieblichen Datenschutzbeauftragten institutionell gestärkt werden. Ein einheitliches Berufsbild „betrieblicher Datenschutzbeauftragter“ wird angestrebt.“

Die CDU/CSU formuliert es „weicher“: „Der Bürger muss darauf vertrauen können, dass seine Daten vor Missbrauch geschützt sind. […] Kriminellen Datenhandel werden wir ahnden.[…] Wir wollen einen umfassenden Datenschutz garantieren. [!!] Wir wollen keine unnötigen Datenmengen speichern und kämpfen gegen den „Gläsernen Bürger“. Das Gebot der Verhältnismäßigkeit muss stets gewahrt bleiben.“
„Wahrer“ und „Missbrauchsschützer“ sind nun einmal die betrieblichen und behördlichen Kontrollstellen. Ich vermute allerdings bei der CDU/CSU eine Tendenz zur Stärkung der behördlichen Aufsicht: Nach dem Selbstverständnis des Innenministers kann der Staat besser mit den Daten der Bürger umgehen als die Wirtschaft.

Datenschutzbewusstsein
Wie bringt man seine Bürger dazu, besser auf ihre eigenen Daten zu achten? „Hierzu muss auch jeder Einzelne seinen Beitrag leisten, indem er sparsam und verantwortungsvoll mit seinen personenbezogenen Daten umgeht. Der Staat hat ihn hierbei durch Regelungen zu unterstützen, die Selbstdatenschutz ermöglichen“, meint die FDP. „Kinder sollten bereits früh Medienkompetenz erwerben, um Medienangebote ihrem Alter gemäß kritisch nutzen zu können.“ Die CDU/CSU verspricht: „Gleichzeitig werden wir die Bürger, insbesondere die Jugendlichen, verstärkt für einen verantwortlichen Umgang mit persönlichen Daten sensibilisieren.“
Der Nachholbedarf auf diesem Gebiet ist generationsübergreifend enorm. Über die Schulen könnten Kinder und ihre Eltern erreicht werden; in den Behörden und Unternehmen gibt es mit dem Datenschutzbeauftragten eine Person, zu dessen Aufgaben es ausdrücklich gehört, die „bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften dieses Gesetzes sowie anderen Vorschriften über den Datenschutz und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen.“ (BDSG § 4g). Die Datenschutzbeauftragten müssen dazu Wissen und Möglichkeiten, Ausbildung und Ausstattung bekommen – das wiederhole ich gern gebetsmühlenartig.

Finden sich noch weitere Übereinstimmungen? Ganz nebenbei: Vor vier Jahren war dieser Vergleich noch gar nicht möglich, denn im CDU/CSU-Wahlprogramm von 2005 kam der Begriff „Datenschutz“ überhaupt nicht vor – im Gegensatz zu 13 Treffern für „Terror“. Inzwischen steht es nur noch 5:8, eine deutliche Akzentverschiebung 😉

„Datenschutz gehört ins Grundgesetz“, dem kann sich die Union bis jetzt nicht anschließen. Allerdings schmerzt eine solche Adelung des Grundrechtes auch nicht wirklich und könnte bei passender Gelegenheit medienwirksam verkauft werden. Dem CDU/CSU-Versprechen „Wir wollen einen umfassenden Datenschutz garantieren“ stünde ein Grundrecht auf Datenschutz nicht schlecht zu Gesicht.

Neben dem bekannten Dissenz bei Online-Durchsuchung, Vorratsdatenspeicherung und Internetzensur gibt es also einige Gestaltungsmöglichkeiten für die neue Koalition. Bleibt zu hoffen, dass die Verhandlungspartner im Streit um die Problemzonen nicht das Kind mit dem Bade ausschütten.

3 Kommentare

Eingeordnet unter Arbeitnehmerdatenschutz, Datenschutz im Unternehmen, Datenschutz und innere Sicherheit, Datenschutzaufsichtsbehörden, Datenschutzbeauftragte, Datenschutzpolitik

Wer hat den Schwarzen Peter?

Seltsame Signale erreichen uns aus Wiesbaden:

Der Präsident des Bundesverfassungsgerichts, Hans-Jürgen Papier, sieht den Datenschutz vor allem von privater und weniger von staatlicher Seite bedroht. „Ich sorge mich jedenfalls mehr darum, dass wir uns zu einer privaten Überwachungsgesellschaft internationalen Ausmaßes verwandeln, und dies auch noch weitgehend freiwillig“, sagte Papier am Donnerstag beim 17. Wiesbadener Forum Datenschutz im hessischen Landtag.

Quelle: heise

Nicht nur Jens Ferner reibt sich im Datenschutz-Blog verwundert die Augen:

Der Staat ist nicht der böse Bube? Man mag bei den direkten Eingriffen (Vorratsdatenspeicherung, biometrische Pässe, Zensurgesetz) noch streiten können da es hier in der Tat um Wertungsfragen geht. Im indirekten Bereich aber ist es gerade unser Staat, der sich als Schuldfigur darstellt: Er ist nicht nur ein schlechtes Vorbild durch sein eigenes Verhalten; Der Gesetzgeber verschläft darübr hinaus wichtige Rechts-Novellen, schafft es nicht durch eine moderne Bildungspolitik den (jungen) Menschen die Probleme der modernen Gesellschaft zu vermitteln und versucht die bestehenden Probleme durch Fingerzeig auf die Privatwirtschaft zu lösen. Motto: “Ihr seid es doch selber schuld”.

Aus dem Datenschutzalltag füge ich zwei Beobachtungen hinzu:

  • Die Datenschutz-Aufsichtsbehörden für den nicht-öffentlichen Bereich sind in fast allen Bundesländern chronisch unterbesetzt (Ironiefreie Bemerkung: Die Kollegen dort sind zu bedauern!).
    Die Verantwortung dafür trägt a) der Bürger b) die Wirtschaft oder c) die jeweilige Landesregierung, also: der Staat?
  • Datenschutz wird in deutschen Amtsstuben (=Der Staat vor Ort) nach meiner Erfahrung oft kleingeschrieben: Datenschutzbeauftragte werden nicht eingesetzt oder kurz gehalten. Der Umgang mit Bürgerdaten wird an einigen Stellen nicht so verkrampft gesehen – da  wird auch mal ein sensibles Formular mehr angehängt. Von Wirtschaftspartnern oder Freien Trägern im Sozialbereich will man schon mal mehr erfahren als gesetzlich festgeschrieben. Auch hier: Ausdrücklich keine Kollegenschelte, aber gute DSB sind noch zu rar gesät.

Zur mangelnden Sensibilität in der Bevölkerung hatte ich mich im November 2008 in den BvD-News unter dem Titel „Datenschutzbewusstsein dringend gesucht“ geäußert:

Datenschutz ist plötzlich in aller Munde. Alle Welt macht Vorschläge, wie Datenschutzpannen und –skandale zukünftig verhindert werden können. Verstärkt wird dabei auch die Verantwortung des Betroffenen thematisiert: „Sollen die Leute doch besser auf ihre Daten aufpassen.“ Auch und gerade Regierungspolitiker in Bund und Ländern spielen diese Karte.

Als Datenschutzspezialisten sind wir natürlich mit dem Thema vertraut und kennen die Gefahreneiner großzügigen oder unüberlegten Datenweitergabe.Aber versetzen wir uns einen Moment in die Rolle von Otto Normalverbraucher: Woher kann er wissen, wie er „richtig“ mit seinen Daten umzugehen hat?

Klar, es gibt Gesetze. Aber fragen Sie mal Ihren Nachbarn oder Ihre Nichte nach dem Bundesdatenschutzgesetz oder besser: Lesen Sie denen ein paar Paragrafen daraus vor. Kapiert kein normaler Mensch.

Als Arbeitnehmer hat Otto N. vielleicht Umgang mit personenbezogenen Daten und sein Arbeitgeber hat vielleicht einen Datenschutzbeauftragten – der ihn vielleicht im Rahmen einer Schulung nicht nur langweilt, sondern auch wachrüttelt.  Wie viel Prozent der Bevölkerung werden damit erreicht? Gewissensfrage: Gehören die Teilnehmer Ihrer Schulungen dazu?

Warnhinweise wie bei Zigaretten wären eine Möglichkeit. Die aktuelle Diskussion über vorherige-wirksame-schriftliche Einwilligungen geht ein Stück in diese Richtung: Die Gefahr einer Gewöhnung besteht – was kein Argument gegen Einwilligungen sein soll!

Bundesweite Imagekampagnen mit voller Medienunterstützung könnten helfen: Nach „Wir sind Deutschland“ und „Keine Macht den Drogen“ vielleicht „Meine Daten gehören mir“!? Böse Zungen behaupten, eine datensammelnde Regierung hat daran gar kein Interesse.

Die Werbewirtschaft verständlicherweise auch nicht. Und genau betrachtet ist jede Wirtschaft ein bisschen Werbewirtschaft 😉

Eine hoffnungslose Situation? Nein, aber wir müssen früher ansetzen und die Bereitschaft mitbringen, neue und weite Wege zu gehen. Das Gefühl für den Wert der eigenen Daten und das Wissen um mögliche Gefahren muss bereits den Heranwachsenden in geeigneter Weise vermittelt werden.
Deshalb muss der „Datenschutz zur Schule gehen“. […]

Ein Kommentar

Eingeordnet unter Datenschutz im Alltag, Datenschutz im Unternehmen, Datenschutzaufsichtsbehörden

Schwarz-gelbes Datenschutzgewitter?

Der Morgen nach der Bundestagswahl. Die Wechsel ist gelungen, die Mehrheit ist fast komfortabel.

Aus Datenschutzsicht ist von einer schwarz-gelben Regierung mehr zu erwarten als von der halbherzig reagierenden Großen Koalition. Dafür sprechen nicht nur die Wahlprogramme – man vergleiche die Menge und die Qualität der Aussagen zum Datenschutz bei FDP und SPD. Die FDP verfügt auch über mehrere erfahrene Fachpolitiker im Parlament. Die Frage wird sein, inwieweit sich die Grund- und Bürgerrechtsbewegten im Regierungsalltag gegenüber dem Wirtschaftsflügel durchsetzen können.

Ich bin auf den Koalitionsvertrag gespannt, auch wenn mich die Erfahrung mit dem 11 Jahre versprochenen Arbeitnehmerdatenschutzgesetz skeptisch gegenüber diesen Wunschfahrplänen gemacht hat.
In den Verhandlungen werden die in vielen Fragen unterschiedlich geladenen Forderungswolken aufeinander prallen. Es wird krachen zwischen den Partnern – am Ende aber hoffentlich einen belebenden Regen geben. Und wenn die eine oder andere Rechtsvorschrift der letzten Jahre vom Blitz getroffen wird, ist das auch nicht schlecht.

Ein Kommentar

Eingeordnet unter Arbeitnehmerdatenschutz, Datenschutz und innere Sicherheit, Datenschutzaufsichtsbehörden, Datenschutzbeauftragte, Datenschutzpolitik