Überwachungsorgan

Die Telekom hat vorgestern beschlossen, einen Vorstandsposten für Datenschutz, Recht, Datensicherheit und Compliance einzurichten. Nur berufen konnte noch niemand werden, der von Rene Obermann favorisierte Kandidat fiel offensichtlich durch. Mehr dazu z.B. in Spiegel Online und heise.de.
Die Frage ist, ob sich nun etwas ändert...

Bei Mainzer Erotikunternehmer und Adresshändler, der eigenen Angaben zufolge schon seit 2006 in Besitz der 17 Millionen gestohlenen T-Mobile-Datensätzen sitzt, beschlagnahmte die Polizei Rechner, er selbst wurde von der Staatsanwaltschaft befragt. Mehr bei golem.de.

...so dürften einige heimlich in einer Bonner Firmenzentrale denken. Das Chaos im internationalen Finanzwesen drängt den Skandal über den Datenverlust bei T-Mobile in den Hintergrund.
17 Millionen Kundenstammdaten sind T-Mobile im Jahr 2006 gestohlen worden. T-Mobile hatte laut Wikipedia 2006 31,4 Millionen Kunden. Da es aber mittlerweile in Deutschland mehr Handyverträge als Einwohner gibt und auch bei T-Mobile mehr Verträge als reale Personen geben dürfte, reden wir wohl von einem überwigenden Großteil der Kundendatenbank.
Wie auch schon bei den letzten Skandalen betreibt die Telekom wieder Rückzugsgefechte. Informiert wird nur über Dinge, die schon in der Presse standen (wie auch bei der mangelhaften Datensicherung der Kundendaten der Telekom). Man hätte erwarten können, dass die Telekom beiden Gesprächen im Innenministerium auf den Verlust hinweisen würden - offensichtlich war das Gegenteil der Fall, es wurde explizit verneint. Auf heise.de dazu vom Bundesdatenschützer Peter Schaar:

Gegenüber Stern.de monierte der Datenschützer ferner, dass Telekom-Mitarbeiter konkrete Nachfragen zu weiteren Datenabflüssen nach dem Skandal um die Bespitzelung von Aufsichtsräten und Journalisten mit "Nein" beantwortet hätten. "Dass man mich und die Betroffenen im Dunkeln gelassen hat, halte ich für ziemlich befremdlich und ärgerlich."

Die Telekom sagt, sie sei bisher davon ausgegangen, dass die Daten bei den Beschuldigten sichergestellt wurden. In Spiegel Online liest man:

"Wir gingen bisher davon aus, dass diese Daten im Rahmen der staatsanwaltschaftlichen Ermittlungen in vollem Umfang sichergestellt wurden", sagte T-Mobile-Deutschland-Chef Philipp Humm.

Weiter heißt es in dem Artikel:

Recherchen im Internet und in Datenbörsen hätten keine Anhaltspunkte geliefert, dass die Daten im Schwarzmarkt angeboten worden seien, versicherte ein Telekom-Sprecher.

Interessanterweise sagt aber ein Mainzer Erotikunternehmer in der taz, dass er bereits kurz nach dem Diebstahl Bescheid wusste - und die Daten auch bald in der Hand hielt:

Woher wussten Sie zu diesem Zeitpunkt, dass bei T-Mobile Daten illegal kopiert wurden?

Das hatte ich schon einige Wochen vorher erfahren, von einem Branchen-Insider

Wie kamen Sie an diese Daten?

Ein Mann aus Österreich hat sich bei mir gemeldet, er wolle seine Kundendatenbank versilbern. Er gab mir ein Kennwort, so dass ich mir die Daten, die auf einer Webseite gespeichert waren, anschauen und herunterladen konnte. Mir wurde aber schnell klar, dass das keine normale Kundendatenbank war.

Warum?

Weil es einfach zu viele Daten waren. Welches Unternehmen hat schon 17 Millionen Kunden? Außerdem hatten alle eine Telefonnummer von T-Mobile. Da dachte ich mir, das müssen die geklauten T-Mobile-Daten sein.

Halten wir fest: die Telekom war entweder unwillig oder unfähig bei der Suche nach den gestohlenen Datensätzen (schließlich brauchten Verbraucherschützer ganze 2 Tage und 850 Euro für Millionen Datensätze). Kaum vorstellbar, dass verdeckte Ermittler eines Großkonzerns keinen blassen Schimmer hatten, während Adresshändler wenige Wochen später Bescheid wussten. Vielleicht war es aber auch pure Berechnung. Solange keine schlafenden Hunde geweckt wurden, hatte man ja offensichtlich keine Veranlassung, an die Öffentlichkeit zu gehen.
Fast schon amüsant wirkte, wie im Zuge der Veröffentlichung durch den Spiegel hektisch bei Prominenten die Handynummern geändert wurden. Immerhin ging es nicht nur um Fernsehstars und B-Promis, sondern auch um Politiker, Minister und Ex-Bundespräsidenten bei denen es auch um die Sicherheit ihrer Person geht. Noch nicht mal bei diesem Personenkreis machte T-Mobile eine Ausnahme und informierte sie vorher. Natürlich hätte man damit riskiert, den Skandal an die Öffentlichkeit zu bringen. Auf der anderen Seite hätte man durch konsequentes und entschlossenes Handeln verlorenes Vertrauen zurückgewinnen können.

Die gestohlenen Daten - laut der Telekom zwar keine Zahlungsdaten und Bankverbindungen, sondern "nur" Name und Anschrift, Handynummern und Mailadressen sollen laut heise.de mittlerweile von Datenschützern bei dem Mainzer Erotikhändler sichergestellt. Die Meldung auf golem.de klingt aber ganz anders:

Edgar Wagner, der Landesdatenschützer von Rheinland-Pfalz, sagte Golem.de, es handle sich bei Berichten über eine "Sicherstellung von Daten" um eine Falschmeldung. "Wir haben nichts sichergestellt oder geprüft. Es gab heute ein Gespräch, das fortgeführt wird. Wir sind als rheinland-pfälzische Behörde für die Firma Huch zuständig", so Wagner. "Da muss man dann mal nachsehen." Der 27jährige Huch habe sich kooperativ gezeigt.

Und selbst wenn die Daten sichergestellt worden wären, wo sie aber noch schlummern, ist wohl kaum herauszufinden.
Politiker der Oppositionsparteien erneuerten ihre Kritik an der Vorratsdatenspeicherung. Mit der Vorratsdatenspeicherung würden die Daten natürlich noch viel attraktiver werden, schließlich lässt sich dann auch sagen, wer mit wem in den letzten Monaten telefoniert hat - und wer vielleicht für Erotikwerbung empfänglicher ist, weil er in den letzten Monaten 0900er-Nummern angewählt hat... Der Bundesdatenschutzbeauftragte Peter Schaar scheint fassungslos, er und seine Mitarbeiter rennen nun schon seit Monaten der Telekom hinterher und werden alle paar Wochen mit neuen, noch größeren Lücken konfrontiert.

Jetzt als T-Mobile-Kunde (bzw. ehemaliger T-Mobile-Kunde, schließlich ist die Rufnummernportierung mittlerweile auch Alltag) hektisch die eigene Nummer ändern zu lassen bringt wohl kaum etwas. Datenschützer gehen mittlerweile davon aus, dass sowieso alle Adressdaten im Umlauf sind. Solange nicht besonders viel Telefon-Spam eintrifft, kann man sich die Rufnummer-Änderung auch sparen - es sei denn, man war schon immer mit der eigenen Rufnummer unzufrieden oder man möchte einen neuen Anfang machen...
Wenn der eigene Vertrag ausläuft muss man dann überlegen, ob man weiterhin bei der Telekom bleiben will. Hier muss jeder selbst entscheiden. Sicherlich jagt gerade bei der Telekom ein Skandal den nächsten. Auf der anderen Seite kann es aber auch bedeuten, dass Mängel behoben werden, die bei Konkurrenten evtl. noch bestehen könnten - vielleicht aber auch nie bestanden haben...

Über den Eintrag im CTRL-Blog hatte ich ja schon etwas geschrieben. Nun findet sich in der taz ein kurzes Interview mit Sven Gábor Jánszky.
Gegenüber dem Blog-Eintrag allerdings nicht viel Neues, er wiederholt nur seine Thesen, dass die Menschen den Datenschutz für die Vorteile (wie z.B. Rabatte) selbst aufgeben werden und der Datenschutz nur noch gegen kriminelle Aktivitäten wirken wird.

Das Interview findet ihr auf den Seiten der taz.

Im CTRL-Blog findet sich ein Brief von Sven Gábor Jánsky, Leiter des Think-Tanks "forward2business". Er stellt ohne auf mögliche Risiken oder Missbrauch einzugehen die vernetzte Zukunft im Jahr 2020 dar.
Besonders nett die Antwort auf die Frage, warum wir uns auf diese Vernetzung einlassen werden:

Weil wir wissen, dass der Nutzen überwiegt. Wir erhalten Rabatte oder Anerkennung und haben kaum etwas zu befürchten außer ein paar Werbebriefen und Werbemails, die ungelesen in den Müll wandern.

Ich schließe nicht aus, dass viele die von ihm dargestellte Vernetzung wirklich nutzen - man sieht ja, wie viele Menschen ihre Daten über Payback und weitere "Kundenkarten" für Rabatte zwischen 0,3 und 4% preis geben.
Trotzdem geht es kaum verharmlosender und bei den aktuellen Diskussion so einseitig die Vorteile der Datenweitergabe an Unternehmen darzustellen zeugt von Mut - oder einer gewissen Betriebsblindheit. Auf der anderen Seite ist es natürlich die Aufgabe eines wirtschaftsnahen Think-Tanks, den Verbrauchern die Weitergabe ihrer Daten schmackhaft zu machen.

Den Brief findet ihr komplett im CTRL-Blog. Um ein Interview wurde auch gebeten. Wir dürfen gespannt sein.

Auf der Pressekonferenz nach dem sogenannten Datenschutz-Gipfel hat Innenminister Dr. Wolfgang Schäuble soeben bekannt gegeben, dass die Weitergabe von Adressen von der ausdrücklichen Zustimmung der Betroffenen abhängig gemacht werden soll. Damit wird die bisherige Praxis geändert, dass Adressdaten weitergegeben werden, wenn kein Widerspruch vorliegt. Dies wird aber wohl nicht die Daten betreffen, die ein Unternehmen selbst erhoben hat. Ein Gesetzentwurf soll bis Ende November vorliegen.

Außerdem soll die Umsetzung bestehender Gesetze verbessert werden. Weiterhin setzt die Konferenz der Innenminister der Länder eine Expertenkommission einsetzen, die die bestehenden Regelungen überprüfen sollen und unter anderem prüfen soll, ob Kundendaten nur noch verschlüsselt gespeichert werden sollten und jeder Zugriff auf Kundendaten protokolliert werden soll.

Es soll ein Datenschutz-Audit-Siegel geben, das Unternehmen bekommen können, die über die gesetzlich vorgeschriebenen Regelungen hinaus Maßnahmen für den Datenschutz getroffen werden. Diskutiert wird noch über die Stärkung der Datenschutzbeauftragten in Unternehmen und sowie Unternehmen zu verpflichten, Verletzungen des Datenschutzes öffentlich zu machen.

Update: Links eingefügt.