Bild: Data protection

Kürzlich wurde deutschen Verbraucherschützern eine CD mit persönlichen Daten von mehr als einer Million Bundesbürgern zugespielt. Sie enthielt auch 60.000 Datensätze mit Kontonummern. Genutzt wurde sie von Mitarbeitern in einem Callcenter. Verbraucherschützern sind inzwischen hunderte Fälle bekannt, in denen Betrüger einen Verbraucher anrufen und einen Vertrag anbieten. Auch wenn dieser ablehnt, buchen sie anschließend einen Betrag von seinem Konto ab.

Das deutsche Bundesdatenschutzgesetz, das in seinen einschlägigen Regelungen der EU-Datenschutzrichtlinie folgt, erlaubt die Übermittlung und Nutzung personenbezogener Daten für Werbe- oder Marktforschungszwecke. Eine mögliche Abhilfe sehen Datenschützer in einer gesetzlichen Regelung, die für telefonisch geschlossene Verträge ohne schriftliche Bestätigung für unwirksam erklärt.

Im Oktober wurde bekannt, dass 17 Millionen T-Mobile-Kundendaten bereits 2006 geklaut und im Internet in kriminellen Kreisen gehandelt wurden. Hier fordern Datenschützer nun höhere Strafen gegen den illegalen Datenhandel. Diskutiert wird auch, dass die Zwecke, für die Daten gesammelt werden dürfen, klar bestimmt und eng gefasst werden sollen. Künftig sollen Daten auch nicht wie bisher fast beliebig weitergegeben oder gehandelt werden dürfen. Entsprechend sollte eine ausdrückliche Zustimmung des Kunden vorliegen, die unabhängig von anderen rechtlichen Regelungen wie dem Kaufvertrag erfolgen können muss. Da Kundendaten wie die der T-Mobile zu Abrechnungszwecken, aber auch zu Zwecken der Strafverfolgung sechs Monate gespeichert werden müssen, fordern einzelne Politiker auch die Abschaffung der Anfang des Jahres in Kraft getretenen Vorratsdatenspeicherung.

Wichtig ist auch, den betrieblichen Datenschutzbeauftragten mehr Kompetenzen, aber auch einen den Betriebsräten ähnlichen Schutz zukommen zu lassen. Außerdem sollen sie verpflichtet werden, in bestimmten Fällen die staatlichen Datenschutzstellen informieren zu müssen. Schließlich sollen die staatlichen Datenschutzbeauftragten rechtlich, personell und organisatorisch dazu befähigt werden auch präventiv in privaten Unternehmen kontrollieren zu können.

Haltung der Bundesregierung

Die Bundesregierung sieht keine Notwendigkeit, den Datenschutz gesondert in die Verfassung aufzunehmen, da das Recht auf informationelle Selbstbestimmung auch jetzt bereits aus dem Grundgesetz herausgelesen werde. Politiker von SPD und Grünen fordern eine solche Grundgesetzänderung.

Haltung von Erika Mann

"Angesichts der jüngsten Datenschutzskandale ist es notwendig, mehr Transparenz in Sachen Datenmissbrauch herzustellen", fordert Erika Mann. Sie fragte schon im Jahr 2006 die Kommission nach etwaigen Regelungen der Mitgliedstaaten für „Organisationen, die über sensible personenbezogene Informationen verfügen“. Sie regte in ihrer Anfrage an, Daten der Mitgliedstaaten über Verstöße gegen Sicherheitsbestimmungen zu sammeln, um eine Statistik zu erstellen. „Wir müssen wissen, ob die jüngst bekannt gewordenen Fälle nur die Spitze eines Eisbergs sind.“ Der Internethandel begünstigt den grenzüberschreitenden Fluss personenbezogener Daten, über die Nutzer keine direkte Kontrolle mehr haben. Mann: „Aufklärung tut Not, damit die Politik weiß, wo sie welche Maßnahmen effektiv einsetzen kann.“

Haltung des Europäischen Parlaments

Im Rahmen des TK-Pakets wurde auch eine Richtlinie zum Datenschutz verabschiedet, die die Rechte der Konsumenten etwas verbessern. Stoßen Telekommunikationsunternehmen auf ein Sicherheitsproblem, müssen sie ihre Kunden darüber informieren, wenn deren Daten kompromittiert wurden. Der mehrheitlich von konservativen Abgeordneten erarbeitete Vorschlag, die Nutzung "illegaler Inhalte" über ein staatlich lizenziertes Überwachungssystem zu verhindern, wurde abgelehnt.

Der Vorschlag hatte vorgesehen, dass "nationale Regulierungsbehörden und andere relevante Behörden so weit, wie es angemessen ist, die Zusammenarbeit zwischen Unternehmungen unterstützen sollen, die elektronische Kommunikationsnetzwerke und -dienste unterhalten und den Branchen, die am Schutz und der Förderung gesetzmäßiger Inhalte in elektronischen Kommunikationsnetzwerken und -diensten interessiert" sind. Nationale Regulierungsbehörden sollten Unternehmen, insbesondere Provider dazu verpflichten, Informationen zu bestehenden und neuen Kunden zur Verfügung zu stellen. Dazu sollten Angaben über "illegale Nutzungen elektronischer Kommunikationsdienste", insbesondere "Urheberrechtsverstöße" sowie Angaben zu "Schutzmittel gegen Risiken persönlicher Sicherheit, Privatsphäre und persönlicher Daten" gehören.

Zu einem späteren Zeitpunkt soll ein Gutachten der EU-Kommission klären, ob IP-Adressen zu personenbezogenen Daten gezählt werden können. Eine IP-Adresse bezieht sich in der Regel auf ein, unter Umständen auch mehrere Endgeräte. Damit kann sich auf eine Person beziehen, oftmals stehen jedoch mehrere Anwender hinter einer IP-Nummer.

Haltung der Kommission

Gemäß der Datenschutzrichtlinie von 1995 müssen Verstöße gegen Datenschutzvorschriften bzw. –grundsätze den zuständigen nationalen Datenschutzstellen oder betroffenen Verbrauchern nicht gemeldet werden. Die Kommission teilte in ihrer Antwort auf die parlamentarische Anfrage von Erika Mann mit, dass es keine Regelung gebe, die Organisationen in den Mitgliedstaaten verpflichtet, den jeweiligen nationalen Datenschutzstellen oder Verbrauchern Datenschutzverstöße zu melden.

Die Kommission ist daher nicht in der Lage, diese Verletzungen zu quantifizieren: Über das Ausmaß tatsächlich stattfindender Verstöße gegen den Datenschutz ist nichts bekannt. Auch „größere Sicherheitsverletzungen in der EU, bei denen sensible persönliche Daten, die sich im Besitz von Organisationen befinden, offen gelegt worden wären“, waren der Kommission nicht bekannt. Die Kommission räumte daher ein, dass „in der Tat verlässliche Angaben über Vorfälle im Bereich der Informationssicherheit und diesbezügliche Tendenzen wichtig“ seien.

Die Kommission erwägt deshalb, die Europäische Agentur für Netz- und Informationssicherheit (ENISA), die Mitgliedstaaten und interessierte Kreise zu mobilisieren, um die Verfügbarkeit verlässlicher Daten über Beeinträchtigungen der Netz- und Informationssicherheit zu gewährleisten. Weitere Initiativen sind zur Zeit nicht bekannt.

Dokumente

• Parlamentarische Anfrage von Erika Mann vom 15.3.2006 zum Thema „Sicherheitsrelevante personenbezogene Informationen von Bürgern der Europäischen Union“
• Antwort der Kommission vom 19.5.2006
• Richtlinie 95/46/EG des Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr („Datenschutzrichtlinie“)
• Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation, ABl. L 201 vom 31.7.2002
• Beiträge im Rahmen der Aufforderung zur Einreichung von Stellungnahmen und Vorschlägen zur 2006 stattfindenden Überprüfung, die sich auf den gesamten Rechtsrahmen betreffend die elektronische Kommunikation, einschließlich der Richtlinie über den Schutz der Privatsphäre und die elektronische Kommunikation erstreckt, finden sich auf dieser Website.