Verstöße gegen Datenschutz und Datensicherheit sind nach wie vor billiger, als sich anständig um diese Themen zu kümmern. Das kann und darf nicht sein. In unserer Gesellschaft von Morgen sind Daten zu wichtig, um Datenlecks wie kleine Schönheitsfehler zu behandeln.
Die Dimension der Probleme, die wir mit fortschreitender Digitalisierung aller Lebensbereiche nun erreichen, die ist neu. Politik und Wirtschaft sind gute Antworten auf diese drängenden Probleme bislang schuldig geblieben. Das wundert nicht: für Politik ist das unbequem, Teile der Wirtschaft würden gerne weiterschludern können.
Wer dabei verliert, sind die Nutzer und auch jene Firmen, die ihre Rolle ernst nehmen und in Datenschutz und Datensicherheit investieren. Das kann nicht sein, das muss sich ändern. Dass Datensicherheit im engeren Sinne (Absicherung von Systemen etc.) Betreiberpflicht ist, steht außer Frage. Aber wie kann man die Betreiber dazu bringen, mehr für die Sicherheit ihrer Systeme zu tun?
Vier Forderungen, die perspektivisch vielleicht etwas mehr Datensicherheit bringen könnten:
1. Beweisumkehr bei Datenschutz-GAU:
Wenn Unternehmen ihren Datensicherheitspflichten nicht nachgekommen sind, muss eine Beweisumkehr stattfinden: da es für den Einzelnen kaum möglich ist, nachzuweisen, dass Betrugsfälle beispielsweise mit gestohlenen Kreditkartendaten aus dem Pool der betroffenen Firma stammen, müssen bei solchen Fällen die Unternehmen nachweisen, dass dies nicht der Fall ist.
Wir fordern:
- Umkehrung der Beweislast: Wer ein Datenleck verursacht, muss beweisen, dass es nicht sein Leck war das zu Missbrauch geführt hat. (Risikoverschiebung)
- Es kann nicht sein, dass die Nutzer das Risiko für die Datenschutzschlampereien großer Firmen tragen.
2. Sammelklagen für Verbraucher und Verbraucherverbände ermöglichen:
Seit Jahren wird insbesondere auf EU-Ebene diskutiert, ob man Sammelklagen ermöglichen soll. Insbesondere für den Datenschutz wäre dies ein klarer Gewinn: die Beschwer des Einzelnen ist gefühlt oft gering und die Klagehürden sind für den Einzelnen hoch.
Um dennoch eine angemessene Rechtsdurchsetzung zu ermöglichen, ist das Instrument der Sammelklage („Collective Redress“ im EU-Englisch) das Mittel der Wahl.
Beispiel: Wenn 77 Millionen Betroffene sich zusammenschließen, muss Sony mit empfindlichen Kosten rechnen und es lohnt sich mehr, in die Sicherheit der Daten zu investieren statt die Nutzerinnen und Nutzer entschädigen zu müssen.
Wir fordern:
- Sammelklagemöglichkeit jetzt einführen
- Unterlassungsklagegesetz §2 muss Datenschutzgesetze als Verbraucherschutznormen enthalten (tut es bislang nicht)
3. Datendiebstahlsanzeige verschärfen
Auf EU-Ebene ist die Data Breach Notification, die Anzeige eines Datendiebstahls, noch in der Diskussion, in Deutschland ist sie seit der letzten Novelle im Bundesdatenschutzgesetz vorgesehen – aber wie?! Wenn eine Vielzahl Fälle betroffen ist, können Firmen derzeit an Stelle einer individuellen Benachrichtigung über zwei halbseitige Anzeigen in bundesweit erscheinenden Tageszeitungen ihrer Pflicht im Sinne des Gesetzes nachkommen.
Das ist keine Transparenz sondern eine versteckte Zeitungssubvention.
Wir fordern:
- individuelle Benachrichtigungspflicht bei Verlust personenbezogener Daten
- Benachrichtigung der Öffentlichkeit durch Anzeige beim Bundesbeauftragten für Datenschutz, der diese gesammelt veröffentlicht (Öffentliches Datensicherheitssünderregister)
4. Datenbenachrichtigung einführen („Kleiner Datenbrief“)
Unternehmen, die personenbezogene Daten halten, sollen über ihre Datenbestände in abstrahierter Form (Datenkategorien) jährlich auf dem üblichen Kommunikationsweg (E-Mail, Fax, Post) informieren, solange der Kunde dem nicht widersprochen hat. Außerdem müssen sie über datenschutz- und datensicherheitsrelevante Vorkommnisse benachrichtigen.
[Datenbenachrichtigung] XYZ GmbH„Wir halten über Sie derzeit Daten folgender Kategorien: Name, Anschrift, Telefon/fax, E-Mail, Bestellhistorie, Zahlungsdaten. Sie haben uns erlaubt, ihre Daten unseren direkt verbundenen Partnerunternehmen zur Verfügung zu stellen. Wir haben für das vergangene Jahr keinerlei Datensicherheits- und Datenschutzvorkommnisse registriert.“
Der Kunde muss darauf hingewiesen werden, dass er ein
a) Recht auf umfassende Auskunft über die ihn betreffenden Daten
b) Recht auf Korrektur
c) Recht zur Sperrung/Löschung dieser Daten
hat.
Anhand dieses Überblicks kann der Kunde selbst entscheiden, ob ihn dies stört bzw. weitergehend interessiert.
@Markus: Lustigerweise wird hier versucht das ganze einfach „herunterzuspielen“ bzw. das ganze zu vertuschen. Was natürlich bei so einer Menge an Daten unmöglich ist. Da Sony nicht nur eine Hand voll IT-Experten hat, hätte so etwas nie passieren dürfen. Aber hier wird wieder einmal ersichtlich das kein Mensch perfekt ist und jeder Fehler macht. Selbst ein riesen Unternehmen wie Sony.
Beweislastumkehr und Sammelklagen sind genau der falsche Weg. Was dabei übersehen wird, ist dass Gesetze immer für alle gelten, nicht nur für die grossen „Bösen“. Das Entstehen der Abmahnindustrie ist das beste Argument gegen diesen eher restriktiven Weg beim Datenschutz: Was eigentlich als Massnahem zwischen potenten Wettbewerbern gedacht war, quält inzwischen auch die Kleinen (Blogs, Foren etc.) und führt zur Verunsicherung. Gute Diskussionen, warum weniger manchmal mehr ist finden sich auf http://spackeria.wordpress.com.
Bei der ganzen Diskussion frage ich mich, ob hier noch Ursache und Wirkung richtig betrachtet werden. Bei Sony wurde eingebrochen. Wer legt dem Einzelhändler Sammelklagen der Verbraucher auf, die aufgrund der Diebstähle höhere Preise zahlen müssen? Sollte nicht lieber darauf geachtet werden, dass die datenschutzrechtlich Betroffenen sorgfältiger mit ihren Daten umgehen? Läßt jemand seine Geldbörses auf der Straße liegen und wundert sich, dass am nächsten Tage diese dort nicht mehr liegt?
Ein bisschen weniger Hetze gegen die bösen Unternehmen und ein gerütteltes Maß an Eigenverantwortung würde uns sicher gut tun.
@Otis: Vielen Presseberichten zufolge hat Sony einige Fehler gemacht, die einem so großen Unternehmen mit sovielen (sensiblen) Kundendaten nicht passieren dürfen, wie z.B. Passwörter im Klartext abzuspeichern und trotz Hinweise anscheinend den Webserver nicht aktuell zu halten. Auf solche Dinge zu achten zählt unserer Meinung nach auch zu einer Eigenverantwortung, wenn man solche Datenberge anhäuft.
Dass der Datenschutz in vielen Firmen noch nicht ernst genug genommen wird und gelinde gesagt geschlampt wird ist kein Geheimnis und es sollte mit Sicherheit dagegen vorgegangen werden.
Allerdings gehen einige der hier gemachten Forderungen wie zum Beispiel die Beweisumkehr doch ziemlich weit und sollten erst gründlich geprüft werden.
Bei anderen Forderungen wie der Sammelklage dagegen finde ich es geradezu überraschend, dass die Möglichkeit noch nicht existiert.
Was mir bei den Forderungen fehlt wäre dann vielleicht noch eine Möglichkeit Wiederholungstäter schärfer bestrafen zu können.
– Ergänzung zu itari: Passworte sollten nach spätestens 12 Monaten nicht-nutzung verfallen und man fordert ein neues an. Kontonummern usw. nach 15 Monaten oder was branchenübliche Churn(?)Burn(?)-Zeiten sind gelöscht werden. Die Bankleitzahl kann erhalten bleiben. Accounts verfallen vollständig nach 25 Monaten.
– Wer nur per Email bekannt ist, sollte nur für
Datenbriefe keine Postadresse hinterlegen müssen. Das wird nicht ganz eindeutig.
In dem Zusammenhang: Man sollte einmal jährlich alle Email-Rechnungen auch schriftlich bekommen. Aber die wenigsten machen selber Steuer-Erklärung.
– Keine unnötigen Daten sollten erfasst werden dürfen. Wer bei großen deutschen Freemail-Anbietern ist, weiss was gemeint ist. Meine Geburtstage gehören also bei allen Online-Händlern und Freemail-Diensten gelöscht.
Sammelklagen sind ein Traum von Juristen.
Was viel besser wäre: Jeder kann/muss wie bisher einzeln klagen. Aber wenn er Recht bekommt, haben die anderen Opfer 12 Monate Zeit, an Ihre Entschädigung zu kommen. Dazu muss man viel weniger ändern als bei Sammelklage.
Eine offene (vom Verbraucherschutz oder vie besser Opferverbänden) Website sammelt die Schäden der dritten Tranche, von Sony, von Abit-Boards usw. oder was auch immer. Das muss Sony oder sonstwer dann in seiner Bilanz als potenzielle Forderung aufführen.
Es würde also reichen, wenn einer klagt. Der Richter muss dann klar festlegen was z.B. nicht für eine Entschädigung reicht. Die anderen können dann natürlich immer noch klagen. Der BGH ergänzt schon mal Regeln die nicht ganz gefragt waren und z.B. dazu führen, das Hauseigentümergemeinschaften erhöhten Mehraufwand hatten bis Gesetz+BGH-Regel+Gesetz durch ein neues Gesetz geändert wurde.
Von der der dritten Tranche sollte man lernen: Die müssen ihre „Sammel“-Anwälte bezahlen und soweit mir bekannt, wurde bisher kein endgültiges Urteil erlassen. Wieviel Prozent sind schon weggestorben ?
Man merkt die Realitäts-Befreiung mancher Lobby-Gruppen. In einem wahren Rechtsstaat kommt Gerechtigkeit von selber und nicht als Recht des Stärkeren per Geld und Droh-Juristen.
Wenn ich Member wäre, würde ich Firmen anschreiben, ob sie freiwillig die Daten an ihre Kunden schicken. Das sind dann die guten Firmen auf der offiziellen Projekt-Webseite. Die anderen können ihre Marketing-Abteilung fragen, ob sie freiwillig auch den Datenbrief (vom TÜV zertifiziert usw.) einführen um nicht als Datensch… zu gelten. Früher oder später werden einzelne Branchen-Verbände oder z.b. der zertifizierte Immobilienmakler-Bund also den DatenBrief (nach TÜV-Regeln die vom digiges usw. kommen) verbindlich machen. Wie Dominosteine fallen sie dann um und betteln darum, den Datenbrief einführen zu können.
Aber Lobbyisten bevorzugen Kaffeekränzchen bei Merkel statt wirksamer und schneller funktionierender Wirtschafts-Bearbeitung.
Der vor einem Jahrzehnt versprochene Ausbau hat bis heute nicht stattgefunden. Man sieht also, welchen Ministerien und Firmen man vertrauen kann… Wenn man schlau genug ist.
Inversion der Nachfrage sieht man am Anfang von Tom Sawyer wo alle betteln und bezahlen, um die Strafarbeit (Zaun anmalen) zu leisten. Sorgt also doch einfach dafür, das die Firmen sich drum kloppen, den besten Datenbrief zu liefern. Das kostet viel weniger und halt !0! Widerstände weil man die Datenbrief-Feinde und deren überzahlten Lobbyisten völlig ignorieren kann und nur 1 ehrbare Firma braucht, die den DatenSchutzpreis der Woche in allen Aps und der digiges-Homepage verliehen kriegt und ganz viele Neukunden kriegt.
„Mitarbeiter der Woche“ klappt weniger gut.
Und weil das Marketing alle Zahlen aller Branchen geheim hält, müssen die anderen einfach nachziehen und auch den Brief einführen. Sie fallen wie Domino-Steine, wenn man es geschickt anstellt und „nur“ die richtigen Firmen findet die die anderen Steine (Konkurrenten, Kunden, Lieferanten,…) umkippt. Die nicht auf der offiziellen Datenbrief-Project-Page (inclusive Logo für die Firmen-Homepages+testierungsrelevanter TÜV-Zertifizierung) verzeichneten Firmen sind dann natürlich die „Bösen“. Die verkaufen (angeblich) die Adressen an alle die bezahlen, betreiben unsichere SQL-Server wo jeder alle Daten wie die Klartext-Passworte ablesen kann und alles böse was einem sonst noch einfällt und bei Otto-Normalo wirkt.
Manche Motivierung ist sehr billig. Bei VDS o.ä. klappt das natürlich nicht so einfach.
Wenns um Firmen geht, geht man doch nicht über Politiker sondern regelt das gleich Face to Face … Falls möglich.
An irrelevanten Kaffeekränzchen, Gremien und Verbands-Treffen oder Cebit kann man natürlich trotzdem teilnehmen. Dort verkündet man der interessierten Presse, das schon 123 Firmen den TÜV/Steuerberater(kleine Firmen) zertifizierten Datenbrief eingeführt haben, während die bösen Firmen …***insert Horror-Stories here***…
Macht mal ein Wiki mit Problemen, die Politiker gelöst haben und direkt daneben die Liste mit Problemen die sie verursacht haben.
Alle anständigen Firmen müssen in der Anti-Adress-Mafia-Datenschutzbrief-Union sein so wie in der Anticorruption Transparency Foundation oder IHK. Nur das die Datenschutzbrief-Union wirklich die Datenbriefe versenden muss anstatt nur drüber zu reden. Auf die Vereinsfunktion für Funktionärs-Vermögens-Vermehrung verzichtet man dann und regelt es per Standards. Und wer nicht mitmacht, wird möglicherweise völlig bedauerlich aber natürlich durch Datenbrief eigenständig vermeidbar mit der Adress&Passwort-Leaker-Mafia in Verbindung gebracht. Der Verein beträgt also nur aus den regelmäßig zertifizierten Lizenznehmern des Anti-Adress-Mafia-Durch-Datenbrief-Logos.
Und keiner der es nicht verdient, verdient daran.
Man outet die Guten, damit der Rest (natürlich „nur“ implizit aber für Bürger krass wirksam) als Böse gilt und wie Dominos der guten Seite beitreten muss. Mit Firmen geht das erstaunlich gut wenn die Forderungen vom Kunden nachgefragt werden (Pull-Strategie des Marketings) und zu einer Abgrenzung von den (natürlich nur implizit Bösen) Konkurrenten führen. Wer das Logo(und Zertifizierung oder was gleichwertiges) nicht hat, da gibt man seine Daten besser nicht ein.
Ach und übrigens: Mit die größten Adress-Verkäufer sind doch die Großverlage. Die werden wirksam verhindern, das man per Gesetz outen muss, an wen die Abonnenten-Adressen verkauft wurden. Das ist der politische Groß-Gegner. Da geht ein Logo der Anständigen doch wohl schneller organisiert. Den politischen Prozess kann man natürlich pro Forma mitmachen wenns einem davon besser geht und man sich wichtiger fühlt oder einfach nur üben will während im Rücken des Gegner die Dominos auf den Datenbrief wechseln.
Der vorbildhafte Erfüllung klarer Formulierungen nach Presse-Recht zeigt sich in der Formulierung „Listen-Privileg“ für den Weiterverkauft von Adressdaten durch Verlage wo man Abos für 50-300 Euro pro Jahr hat.
Glückwunsch – der Artikel gefällt mir.
Zu dem Datenbrief habe ich mal eine Verständnisfrage: Ich arbeite in einem Lohnabrechnungs-RZ, wir haben also von mehreren Mio. Arbeitnehmern in Deutschland die Daten auf unseren Systemen, weil deren Arbeitgeber unser RZ zur Abrechnung nutzen. Wir stellen lediglich die Software zur Verfügung, die Arbeitgeber tippen die Daten ein und stoßen eine Berechnung ggf. Ausdruck an. Dann werden die Krankenkassen, Finanzämter, ELENA usw. mit den gesetzlichen Daten versorgt.
Sollen jetzt alle Arbeitnehmer einen Brief von uns bekommen? Kommt mir gerade irgendwie absurd vor…
Sinnvollerweise würden die erhebenden Stellen (hier: Arbeitgeber) den kleinen Datenbrief verschicken und darin aufführen, dass sie Euch (als Auftragsdatenverarbeiter) die Daten weitergegeben haben und ihr Eurerseits dann diese Daten an die Stellen xyz weitergegeben habt. Das ist ja in solchen Prozessen wie bei Euch relativ problemlos automatisierbar, da ihr eigentlich (ggü euren Auftraggebern) nur transparent machen müsstet, was ihr eh tut. Der Rest wäre deren Beritt.
All die Regelungen werden keine Datenlecks vermeiden, sondern es nur noch unattraktiver machen, überhaupt irgendwas im Netz zu machen. Denn dazu muss man heutzutage Daten speichern und sicher ist nichts.
Und wenn man bei einem Hack direkt als Datensünder angeprangert wird, Sammelklagen am Hals hat, Abmahnungen, da man keine Datenbriefe verschickt, Abmahnungen, weil man keine Mannkraft hat, alle persönlich zu benachrichtigen (da man mit dem Schliessen des Lecks vielleicht gerade genug zu tun hat) und zudem noch zig Beweise führen muss (wie?), dass der Kreditkartenbetrug nicht wegen des eigenen Lecks passiert ist, dann frage ich mich, wieso ihr die Innovationskraft Europas noch weiter begraben wollt?
(und bei all dem, schriebt ihr, wird dies nur ein klein wenig mehr Sicherheit bringen)
Sorry, aber in der digitalen Gesellschaft muss man leider ein wenig umdenken und nicht alles einfach totschlagen!
Das stimmt. Was aber im Moment absolut noch nicht ausgereift ist, ist ein Verständnis dafür, dass damit auch eine Verantwortung einhergeht. Im Falle von Sony wurde dieser Verantwortung (77Mio. Kundendaten!) doch – da werden wir uns einig sein – nicht in ausreichender Weise Rechnung getragen, wie die Details des Hacks nun recht schonungslos offenlegen.
…dann wird man sich vorher überlegen, ob man nicht ein bisschen in die Sicherheit der Daten investiert.
Davon hätten dann alle etwas – denn wenn ich Daten sammle, sind sie nur so lange wertvoll, wie auch nur ich sie habe – und dass wiederum nur ich sie habe, ist auch im Interesse derer, die sie mir gegeben haben.
Ich bin sehr gespannt auf deinen „umgedachten“ Vorschlag zum Umgang mit Kreditkarteninformationen. Vielleicht lassen wir meine Kreditkarte aber erstmal aus dem Spiel und fangen mit deiner an…?
Alle Sicherheit nützt mir ja nichts, wenn ich dann doch gehackt werde und meinen Laden dicht machen muss. In dem Artikel steht ja auch nichts dazu, was man denn tun muss, um als Anbieter diesen Gefahren zu entgehen. Auch steht da nichts dazu, auf welche Daten sich das bezieht.
Und zu Kreditkarten: Die sind ja nun eh per se unsicher. Wieso das nicht erstmal angeprangert wird, versteh ich nicht, denn dort muss doch der politische Druck hin. Wenn es ein Zahlungsmittel gibt, das nur ne Nummer braucht, um benutzt zu werden und die ich zudem allen gebe, die sie benutzen wollen, dann ist das ein Witz.
Da ist doch sicher mehr Sicherheit drin oder zumindest eine Einschränkung der Nutzungsfähigkeit- oder Länge. Auch an einen kostenfreien Austausch der Nummer bei Einbruchsverdacht könnte man denken.
Und das ist ja auch mein Problem hier: Hier wird erstmal direkt gefordert, wo eine Diskussion notwendig wäre.
Nein, genau das wird nicht passieren. Kleine Anbieter kriegen dann die volle Härte ab, wenn man von jemanden unberechtigt die Telefonnummer abfragen kann, z. B. durch ein XSS Problem, was man niemals vollständig ausschliessen kann. Große Anbieter lagern das Datenmanagement ins Ausland aus und sch..ssen auf deutsche oder europäische Gesetze. Der Kunde und der ehrliche Anbieter in Deutschland sind dann wieder die Dummen.
Informationspflichten, ok. Aber die Vorschläge hier halte ich für „nicht zu Ende gedacht“. Wir haben in Deutschland eh schon eine Situation, in der Neugründungen ein vergleichsweise hohes Risiko sind und dieser Aktionismus verschlimmbessert die Sache nur.
Übrigens würde mich mal interessieren, von wem diese Vorschläge stammen, damit ich die Intention dahinter für mich persönlich besser einordnen kann.
Das ist ein ausgesprochen kluger Einwand. Vielleicht bist du damit beim TÜV-Prüfzeichen für Datensicherheit und Funktionalität gut aufgehoben.
Datensicherheit ist ein ständiger Wettkampf. Diesen gilt es aufrecht zu erhalten. Da kann man sich nicht auf einem „sicheren System“ ausruhen. Genau das ist doch der Punkt.
Interessante Idee, aber halte ich dann doch für „bisher noch nie geschehen“
Interessant, was da für deine Bewertung eine Rolle spielt.
Risikoverschiebung?? – Wenn ein Datenraub festgestellt und öffentlich zugegeben wurde, dann ist es m. E. der Fahrläßigkeit des Kunden geschuldet, wenn er seine Karten und Zugänge nicht umgehend sperren und erneuern läßt.
Wird der Datenraub dagegen weder bemerkt noch gemeldet müssten in jedem einzelnen Betrugsfall eine Vielzahl an Firmen den Gegenbeweis antreten – davon die meisten wohl mit Sitz im Ausland.
Eine solche Regelung wird höchstens dazu führen, dass noch mehr Nutzerdaten im Ausland gespeichert werden, was wiederum in den AGBs der Seiten erwähnt wird. Eine Handhabe nach deutschem Recht aber eher einschränken wird.
@017renegade: Man kann und sollte sowas natürlich auch immer gleich europäisch lösen.
Beim vorletzten Absatz steht zweimal b)
@Eigensinn83: Danke, ist korrigiert.
Dass Verstöße gegen Datenschutz und Datensicherheit billiger sind als die Systeme abzusichern halte ich für naiv.
Allein der Imageschaden wird einiges kosten – so teuer können die Personentage in der Softwareentwicklung gar nicht sein.
@ Stefan: Du hast geschrieben: „Dass Verstöße gegen Datenschutz und Datensicherheit billiger sind als die Systeme abzusichern halte ich für naiv. Allein der Imageschaden wird einiges kosten – so teuer können die Personentage in der Softwareentwicklung gar nicht sein.“
Da kann ich dir nicht ganz zustimmen. Ein möglicher Imageschaden tritt nur dann ein, wenn das Unternehmen ausreichend bekannt ist. Das wiederum bedeutet aber nicht, dass es nicht doch große Mengen von Daten verarbeitet.
Ich denke, dass man so etwas wie eine Datenversicherung oder eine rechtliche Datenvertretung für Privatpersonen braucht. An diese kann man sich dann gegen eine Gebühr (oder auch kosntenlos) wenden und diese nimmt dann die Interessen der Privatperson hinsichtlich der Datenhaltung oder des -mißbrauchs wahr. Wenn ich also Kunde bei Sony wäre, dann würde diese dafür sorgen, dass alle wichtigen Schritte unternommen werden, damit mir kein (größerer) Schaden entsteht einschließlich der Sprerrung von Kreditkarten/Konten bis dahin, alle Kennworte auszutauschen. Es sollte auch ein Hotbutton bei allen Kennwort anforderden Geschäftspartner geben; so dass ich einfach alle Kennwort außer Kraft setzen kann – ähnlich des 3maligen Probiersperrens – und mir erst durch eine qualifizierte Authentifizierung neue Kennworte beschaffen kann. Das würde schon eine Menge mehr den Mißbrauch verhindern, aber auch das Bewußtsein schärfen, dass es sich bei Kennworten usw. um etwas Wichtiges handelt.