Blog

Weiße Fahne

Bemerkenswertes wird aus Südostasien gemeldet:

Aufgrund von zahlreichen Cyberattacken will die singapurische Regierung fast alle Behördenrechner vom Internet trennen – rund 100.000 Computer. […] Laut Premierminister Lee Hsien Loong sei es 'absolut notwendig' die Behördenrechner auf diese Weise zu schützen […]. Dass es durch die Trennung vom Internet zu Verzögerungen in den Behördenabläufen kommen könne, sei der Regierung bewusst. Dies nehme man aber für den Zugewinn an Sicherheit in Kauf. […] Weil Cyberangriffe aber immer ausgeklügelter ausgeführt würden, müsse man reagieren. Heise online vom 14. Juni 2016

Nun kann man davon ausgehen, dass sich die Behörden von Singapur einigermaßen mit IT auskennen, dass sie mit dem Internet nicht erst seit gestern rummachen und dass dort auch diverse Sicherheitsexperten arbeiten. Und dass man sich diesen (möglichen) Schritt, der nicht so recht ins digitale Zeitalter passt, gut überlegt hat, kann man auch annehmen.

Als jemand, der zwar ans Internet angeschlossen ist, aber über deutlich weniger IT- und Security-Ressourcen verfügt als die Behörden von Singapur, kann man da schon nachdenklich werden. Wenn die es nicht mal schaffen, ihre Systeme zu sichern …

Und noch etwas: Vor diesem Hintergrund erscheinen die ständigen Appelle an die Verantwortung der User (Hast du dein Passwort gewechselt? Hast du einen Virenscanner installiert? Hast du auch und tust du auch …? Wenn nicht: SELBER SCHULD!) erst recht … sagen wir mal: sachfremd.

Daten schützen mit sicherem Passwort

Heute am 1. Februar 2016 ist „Ändere dein Passwort“-Tag. Entstanden 2012 auf Initiative von Gizmodo und Lifehacker soll dieser Tag Menschen dazu bewegen, persönliche Daten besser zu schützen und zwar mit Hilfe eines sicheren Passwortes. Ein sicheres Passwort ist eigentlich recht einfach zu erstellen. Hilfreich ist es zum Beispiel, sich einen Satz auszudenken und jeweils die Anfangsbuchstaben der Wörter zu einem Passwort zu verbinden und dieses zusätzlich mit Sonderzeichen oder Zahlen zu ergänzen. Ich gebe ja zu, dass sich solche Passwörter nicht so leicht merken lassen. Aber genau dieses Argument nehmen viele User zum Anlass, sich Passwörter zuzulegen, die sich leicht knacken lassen. 

Mittlerweile gibt es Apps, die mit einem Online-Check prüfen, wie schnell Hacker Passwörter knacken können. Empfehlenswert ist es, verschiedene Passwörter zu verwenden oder, wenn man sich diese nicht merken kann oder will, ein Master-Passwort zu nutzen. Hierfür gibt es so genannte Passwort-Manager wie beispielsweise KeePass (http://keepass.info). Nach der Eingabe eines Master-Passworts loggt KeePass den Nutzer automatisch bei Webseiten oder Anmeldemasken ein, die eigentlichen Codes bleiben jederzeit verschlüsselt. Zudem lassen sich mit dem integrierten Generator relativ sichere Passwörter automatisch generieren. 

Ein sicheres Passwort ist somit eigentlich simpel zu erstellen. Man muss es nur tun.

Vorratsdatenspeicherung: Wo bleibt der Aufschrei?

Gestern Abend habe ich zufällig das ZDF heute journal eingeschaltet. Nach den ersten beiden wichtigsten Nachrichten des Tages war ich verdutzt. Hatte ich mich verhört? Die Meldung, dass Fußballtrainer Jürgen Klopp zum Sommer Borussia Dortmund verlässt, war der Redaktion des ZDF heute journals wichtiger als die Meldung, dass die Bundesregierung ihre Pläne zur Wiedereinführung der Vorratsdatenspeicherung vorgestellt hat.

Gut dachte ich mir, Fußballnachrichten als erste Meldung in einer Nachrichtensendung während der Halbzeitpause eines Fußballspiels zu bringen, kann man aus Sicht des ZDF machen. Muss man aber nicht, wie ich finde, vor allem wenn es um ein sensibles Thema wie die Vorratsdatenspeicherung geht. Immerhin geht es hierbei um die systematische Speicherung von Telefon- und Internetdaten aller Bürger, mit dem Ziel, Terrorismus zu bekämpfen und Verbrechen aufzuklären.

Datenschützer sehen die Vorratsdatenspeicherung allerdings sehr kritisch. Ich übrigens auch. Was mich aber noch mehr stört, ist die Tatsache, dass die Vorratsdatenspeicherung und die, ja man könnte fast sagen, per Gesetz legitimierte Überwachung Unschuldiger, uns allen anscheinend total egal ist. Wo bleibt der Aufschrei der Bevölkerung? Sind wir so hilflos oder der Meinung, Protestieren bringt nichts? Hat uns die Bequemlichkeit soweit im Griff, dass uns der Rücktritt eines Fußballtrainers mehr interessiert, als ein abstrakter und nicht greifbarer Verlust eines unserer Grundrechte?

Angriff auf die Kommunikationsnetze

Ich sitze staunend vor meinem Rechner und schaue mir die Unmengen an bunten „Kometstreifen“ an, die quer über die Weltkarte rasen. Habe ich mich in der Webseite geirrt? Sehe ich gerade den für die nächsten Tage zu erwartenden Meteroitenschwarm der Perseiden oder doch die Darstellung der gerade stattfindenden Cyberattacken? Unter http://map.ipviking.com dokumentiert Norse das Ausmaß der Angriffe auf Kommunikationsnetze in Echtzeit. Mit Abstand die meisten Attacken kommen gerade aus China und treffen die USA. Und interessant: Die Niederländer sind heute bei den Ländern, aus denen die Angriffe gestartet werden, auf Platz drei. Vielleicht wollen sie mit allen Mitteln in Erfahrung bringen, wie man endlich im Fußball Erfolg hat bzw. Weltmeister wird...

Internet der unsicheren Dinge

Das Internet der Dinge (Internet of Things) – ein weiteres Schlagwort, ein weiterer Hype, der einem momentan in der Medienlandschaft oft begegnet, neben der allgegenwärtigen Cloud natürlich. Dabei ist der Terminus an sich nicht mehr neu: Bereits 1999 wurde der Begriff erstmals verwendet, und zwar von Kevin Ashton, dem Mitbegründer und damaligen Leiter des Auto-ID Center am Massachusetts Institute of Technology (MIT).

Doch wie so viele neue Technologien steckt auch das „Internet der Dinge“ noch voller Sicherheitslücken, wie eine aktuelle Studie von HP zeigt. Im Rahmen der Studie wurden zehn der beliebtesten Geräte getestet, unter anderem Webcams, Thermostate, Sprinkleranlagen-Controller, Türschlösser, Garagentüröffner und Hausalarmanlagen.

Wer bisher dachte, Garagentüröffner wären harmlos, wird hier eines Besseren belehrt: Im Schnitt hatte jedes Gerät 25 Schwachstellen, so dass bei der Studie insgesamt 250 Sicherheitslücken in den getesteten Geräten zum Vorschein kamen. Die häufigsten Lücken betreffen den Datenschutz, eine unzureichende Berechtigung und Verschlüsselung, unsichere Web-Schnittstellen und einen mangelhaften Schutz durch Software.

Gartner prognostiziert, dass bis zum Jahr 2020 26 Milliarden Geräte mit Bluetooth, WLAN und Co. ausgestattet sein sollen. Bis dahin gibt es für die Anbieter vernetzter Geräte wohl noch viel zu tun.

Big Data auf der Beschleunigungsspur – Bleibt der Datenschutz auf der Strecke?

Zum Stichwort Big Data heute ein aktuelles Beispiel aus der Automobilbranche:

Ab 2015 sollen sämtliche Neuwagen in Europa mit dem Notfallsystem eCall ausgestattet werden, das im Falle eines Crashs per Mobilfunkverbindung automatisch Hilfe anfordert. Angesichts von jährlich 28.000 Toten auf europäischen Straßen eine einleuchtende Sache. Und zudem weitreichender als es auf den ersten Blick erscheinen mag: Denn der Einbau erfordert Technologie-Schnittstellen, beispielsweise zu LTE- und GPS-Systemen, die dann auch von anderen Connected-Car-Produkten, wie etwa vernetzten Sicherheitsfeatures und Fahrsicherheitskomponenten, genutzt werden können. Mit diesen eröffnet sich derzeit ein Milliardenmarkt - geschätztes jährliches Umsatzvolumen weltweit bis 2020 allein im Pkw-Segment rund 110 Milliarden Euro.

 

Der Datenverkehr auf europäischen Straßen soll schon bald kräftig wachsen.

(Bildquelle: http://pixabay.com/de/automobil-frau-blond-auto-treiber-160339)

 

Datenschützer schlagen Alarm: Sie fürchten, dass mangelnde Datenschutzbestimmungen dem ungehemmten und unkontrollierten Datenverkehr auf europäischen Straßen sämtliche Bodenwellen ebnen. Autohersteller, Versicherungen und der ADAC streiten sich schon jetzt um die erhobenen Fahrerdaten. Es geht um lukrative Service- und Reparaturgeschäfte, Versicherungstarife, die sich am Fahrverhalten orientieren, Mahngelder für Raser, die aus Fernbeobachtungen resultieren und andere Anwendungsszenarien. Volker Lüdemann, Professor für Wirtschaftsrecht an der Hochschule Osnabrück, ist besorgt: „Hier wird unter dem Deckmantel der Lebensrettung die Grundlage für den gläsernen Autofahrer geschaffen – und zwar verpflichtend für alle Neuwagen.“ (ZEIT online, http://www.zeit.de/2014/29/datenschutz-unfallmelder-ueberwachung) Läuft es nun also Meter um Meter auf ein bereiftes Smart Device hinaus? „Natürlich hätte man das datenschutzrechtlich auch anders gestalten können“, so Lüdemann. „Dann wäre die korrekte Nutzung der Daten aber sehr kompliziert geworden – und wesentlich uninteressanter für die Wirtschaft.“

Wir sind gespannt, wie sich die Diskussion auf dem Informationsmarkt weiter entwickelt: Der gläserne Autofahrer – Sicherheit vs. Freiheit? Oder sollte es besser heißen: Milliardenmarkt contra Datenschutz?

 

Datenschutzpannen: Tendenz stark steigend

Das lässt nichts Gutes erwarten. 26 Vorfälle verzeichnet die Halbjahresbilanz von Projekt Datenschutz für 2014. Damit setzt sich ein unheilvoller Trend fort. Mit insgesamt 41 von Medien und Einzelpersonen gemeldeten Datenpannen waren die Zahlen letztes Jahr zum ersten Mal seit 2009 wieder angestiegen. Und diese Entwicklung geht auch in diesem Jahr weiter. Aller Voraussicht nach wird der Wert von 2013 bis zum Ende dieses Jahres deutlich übertroffen.

Es mag im Moment vielleicht ein bisschen untergehen – aber es sind nicht nur die Geheimdienste, die die Integrität unserer Daten bedrohen. Sondern auch und vor allem der lasche alltägliche Umgang mit sensiblen Informationen in Deutschland. Die Kombination aus halbherzigen Gesetzen, mangelnden Kontrollen und sorgloser Schlamperei hat oft eine verheerende Wirkung.

Da ist es kein Wunder, dass in unserer unrühmlichen Übersicht auch in diesem Jahr wieder zahlreiche Unternehmen, Behörden, öffentliche Einrichtungen und politische Akteure zu finden sind. Stellvertretend für sie alle ein typisches Beispiel aus dem ersten Halbjahr 2014 – beigesteuert vom Berliner Pannenflughafen BER. Akten des Hauptstadtflughafens mit detaillierten Angaben zu Fahrstühlen und Starkstromanlagen sowie Grundrissen des Fluggastterminals, Verteilerplänen und Förderanlagen wurden kurzerhand in öffentlich zugänglichen Containern entsorgt.

Bedrohung durch den Staat

Jetzt, am Jahrestag der Snowden-Affäre, überhäufen sich die Berichte in den Medien. Die Bilanz, die sie ziehen, sieht nicht gut aus: Geheimdienste ignorieren Gesetze, und Gesetzgeber lassen sie, im Prinzip, gewähren. Ein paar kosmetische Korrekturen, ein paar Beschwichtigungen, voilà. Damit betrügen sie bewusst ihre Bürger, weil sie deren Grundrechte mit Füßen treten.

Laut einer aktuellen Bitkom-Umfrage misstrauen denn auch 71 Prozent der Internetnutzer Staat und Behörden beim Umgang mit ihren persönlichen Daten, und 53 Prozent fühlen sich sogar „durch staatliche Stellen bedroht“. Wen wundert’s.

Dennoch bleibt der Aufschrei der Bevölkerung, bis auf ein hintergründiges Raunen, gedämpft – sei es, weil sich ein Gefühl der Hilflosigkeit eingestellt hat und lautes Protestieren ohnehin unnötig erscheint; sei es, weil die ständige Social-Media-Erreichbarkeit oder die Bequemlichkeit des Internets für viele mehr bedeuten als ein abstrakter und nicht greifbarer Grundrechte-Verlust. Und vielen ist es schlichtweg egal, dass ihre privaten Daten gesammelt werden.

Seit einem Jahr dokumentieren wir chronologisch die Bespitzelungen durch die Geheimdienste und Verfehlungen der Politik in unserer „Affäre Snowden“ und wollen damit zur Meinungsbildung in der Öffentlichkeit beitragen. Das führt hoffentlich dazu, dass der Gier von Staaten nach den privaten Informationen ihrer Bürger über kurz oder lang Einhalt geboten wird.

Paragraf 42a – für die Tonne?

Im September 2009 wurde das Bundesdatenschutzgesetz (BDSG) um den Paragraf 42a ergänzt. Dieser verpflichtet Unternehmen Datenpannen umgehend an die jeweilige Aufsichtsbehörde zu melden – andernfalls können sogar Bußgelder von bis zu 300.000 Euro fällig sein. Doch scheinbar wird von diesen Bußgeldern – laut einem aktuellen Bericht bei golem – noch nicht Gebrauch gemacht, was auch unsere Bundesdatenschutzbeauftragte Andrea Voßhoff sichtlich irritiert. Sie hat zudem einige Zahlen bekannt gegeben, nach denen es von September 2009 bis Februar 2011 135 Meldungen von Datenpannen seitens deutscher Unternehmen gegeben hat, von März 2011 bis Oktober 2013 waren es 501. Dabei wurden erstaunlicherweise sogar Datenlecks gemeldet, auch wenn keine Meldepflicht bestanden hätte. Scheinbar ist einigen Unternehmen nicht klar, welche Vorfälle meldepflichtig sind und welche nicht, denn Angst vor möglichen Bußgeldern kann kaum der Grund sein, da es bisher keine Präzedenzfälle zu geben scheint und zudem die Dunkelziffer an nicht gemeldeten Datenpannen um einiges höher sein dürfte.

Es stellt sich also die Frage, was der Paragraf 42a bisher überhaupt gebracht hat, auch vor dem Hintergrund, dass nur ein Bruchteil dieser gemeldeten Datenpannen publik wird – sofern es kein Verfahren gibt, die Presse durch Betroffene informiert wird oder man Akteneinsicht bei den jeweiligen Datenschutzbeauftragten der Bundesländer erbittet. Inwiefern die Betroffenen ausreichend informiert werden, ist auch nicht immer bekannt. Zudem scheint es, dass die Aufsichtsbehörden einige Datenpannen zwar zur Kenntnis nehmen, aber nicht weiter tätig werden, da allein die Meldung des Vorfalls bereits auszureichen scheint.

Wie wir also bereits Anfang des Jahres resümiert haben, ist es um die Transparenz hier wahrlich nicht gut bestellt und wenn Datenpannen beziehungsweise deren Nicht-Meldung weiterhin ungestraft bleiben, ist auch nicht zu erwarten, dass Unternehmen sich die Blöße geben und diese zukünftig melden.

Ist Vogelschutz wichtiger als Datenschutz?

Obwohl sich seit den Enthüllungen von Edward Snowden im Hinblick auf den Datenschutz nichts geändert hat und der NSA-Überwachungsausschuss bisher keine neuen Erkenntnisse, geschweige denn Verbesserungen, brachte, scheint sich in der Netzgemeinde bereits Desinteresse eingestellt zu haben.

Deutschlands wahrscheinlich bekanntester und zugleich umstrittenster Blogger Sascha Lobo hat dies in seiner Rede auf der re:publica zum Anlass genommen, um seinen Finger so richtig schön in die Wunde zu legen. Sein Vorwurf: Die deutsche Internetgemeinde wehrt sich nicht genug, ist schlecht organisiert und chronisch unterfinanziert. Das hat sich auch beim Kampf für die Festschreibung der Netzneutralität im Europaparlament deutlich gezeigt. Für dieses wichtige Anliegen wurden lediglich zwei Festangestellte abgestellt, weil Vereinen, wie zum Beispiel der "Digitalen Gesellschaft", das Geld fehlt. Wichtige Lobbyarbeit bedarf aber einer besseren finanziellen Unterstützung und mehr Manpower. Schon fast tragisch komisch wirkt dagegen der Vergleich, den Sascha Lobo in seiner Rede aufgreift. Der Landesbund für Vogelschutz in Bayern (LBV) hat nämlich für den Schutz des Vogels des Jahres 2013, die Bekassine, rund 120 Mitarbeiter abgestellt.

Dies zeigt ganz deutlich die Schieflage, die momentan vorherrscht. Sowohl die Netzgemeinde als auch deutsche Unternehmen sollten ein Interesse daran haben, sich im Widerstand gegen die Datenspionage besser aufzustellen. Sonst schaffen es die Behörden, sowohl auf deutscher als auch auf amerikanischer Seite, den Skandal einfach auszusitzen.

Sascha Lobo spricht auf der re:publica 2014. Copyright: DAVIDS/Gregor Fischer, 06.05.2014, Quelle: https://www.flickr.com/photos/re-publica

IT-Sicherheit ist und bleibt ein Top-Thema

Cyber-Kriminelle entwickeln immer raffiniertere Angriffsmethoden, um die Sicherheitssysteme von Unternehmen auszutricksen: Nicht zuletzt durch Trends wie BYOD, Mobility und Cloud Computing sind IT-Infrastrukturen in Unternehmen heute verschiedensten Bedrohungen ausgesetzt und effiziente, umfassende Sicherheitskonzepte unabdingbar.

Aber sind sich Unternehmen dessen wirklich bewusst und handeln sie entsprechend? Unser Kunde Dell Software hat in einer weltweiten Umfrage 1.440 IT-Entscheidungsträger in Unternehmen mit mehr als 500 Mitarbeitern, darunter 200 Unternehmen aus Deutschland, nach ihrer Einschätzung der IT-Sicherheit und künftiger Bedrohungen befragt.

Demnach verleihen lediglich 17 Prozent der befragten deutschen Unternehmen dem Thema IT-Sicherheit 2014 die höchste Priorität auf ihrer Agenda, doch Achtung: Zugleich betonen ganze 69 Prozent, IT-Sicherheit sei für sie Dauerbrenner und in jedem Jahr wichtig. Dies beschert deutschen Unternehmen die Pole-Position im internationalen Vergleich: Denn nur rund jedes zweite Unternehmen weltweit (48 Prozent) sieht die IT-Sicherheit als permanentes Top-Thema. In den USA wiederum zeichnet sich ein ganz anderes Bild – hier scheinen die Snowden-Affäre und ihre Folgen einen wahren Bewusstseinskick ausgelöst zu haben: Schreiben nur 22 Prozent der Unternehmen der IT-Sicherheit eine ständige Priorität zu, so sehen sie stolze 72 Prozent in diesem Jahr thematisch ganz vorne.

So weit, so gut. Aber bedeutet dies nun, dass deutsche Unternehmen in der Mehrheit bereits bestens gewappnet sind und sich entspannt zurücklehnen können?

Besser nicht! Sich hier auf sicherem Posten zu wähnen, könnte sich als trügerisch erweisen: Denn mit neuen Technologien und Nutzungsweisen gehen auch immer wieder neue Bedrohungen einher. Und neben verschiedenen Motiven wie Datenklau oder direkter Schädigung der IT-Systeme gibt es auch vielfältige andere Gefahrenquellen - Angriffe von außen, aber auch von innen, zum Beispiel durch unwissende oder schlampig handelnde Mitarbeiter.

So erlitten rund 66 Prozent der deutschen Unternehmen in den letzten zwölf Monaten Sicherheitsverletzungen - weltweit lag die Quote bei 74 Prozent, in den USA sogar bei 87 Prozent. Laut der Studie schlugen diese Sicherheitsvorfälle in den befragten Unternehmen durchschnittlich jeweils mit rund einer Million Dollar zu Buche. Proaktive Maßnahmen, bevor das Kind im Brunnen liegt bzw. der Hacker oder Schadcode in der Leitung sitzt, können hier einiges abwehren. Und: Nur 55 Prozent der befragten deutschen IT-Entscheidungsträger sehen sich gegen jegliche Art künftiger Bedrohungen gewappnet, weltweit sind es 60 Prozent.

Übrigens, ganze 64 Prozent der weltweit befragten Unternehmen meinen, die Frage laute nicht, ob sie Sicherheitsverletzungen zum Opfer fallen, sondern vielmehr wann

Die ausführliche Studie von Dell Software zum Herunterladen: http://software.dell.com/documents/protecting-the-organization-against-the-unknown-whitepaper-27396.pdf

Unser „Projekt Datenschutz“ zeigt die letzten Fälle von Datenpannen, -skandalen und -missbrauch auf sowie alle Ereignisse rund um die Affäre Snowden: www.projekt-datenschutz.de

Standortvorteil Deutschland

Die zahlreichen Datenskandale der letzten Zeit haben dem Cloud-Computing-Geschäft in Deutschland einen deutlichen Dämpfer verpasst. Einer kürzlich veröffentlichten BITKOM-Studie zufolge hat ein beträchtlicher Teil der befragten Unternehmen laufende Projekte bereits auf Eis gelegt oder geplante Cloud-Projekte vorerst zurückgestellt. Auch wenn damit nicht das Ende der Cloud besiegelt ist, lässt sich eines nicht von der Hand weisen: die Verunsicherung ist groß. Vorbehalte, vertrauliche Daten in die Cloud auszulagern und dort zu speichern, überschatten im Moment die positiven Argumente, die für den Einsatz einer Cloud sprechen, nämlich mehr Flexibilität, nahezu unbegrenzte Skalierbarkeit und niedrigere Kosten.

Die Situation ist wie sie ist. Offen bleibt lediglich, wie die deutsche IT-Branche mit dem gewachsenen Wunsch nach mehr Datensicherheit umgeht. Können deutsche IT-Provider vielleicht sogar von der angespannten Lage profitieren? Gibt es einen Standortvorteil Deutschland?

Die Antwort lautet ganz klar: Ja!

Endlich setzen sich die Unternehmen mit dem Thema Sicherheit auseinander und sind gewillt, mehr Zeit und vor allem Geld zu investieren. Es wird genauer hingeschaut. Und gerade hier kommt der Standortvorteil Deutschland zu tragen.

(Vermeintlich) sichere lokale Rechenzentren sowie die Einhaltung vergleichsweise strenger deutscher Datenschutz-bestimmungen sorgen für einen Vertrauensvorsprung.

Unternehmen, insbesondere Mittelständler, die von Grund auf skeptisch sind, haben bei internationalen Cloud-Riesen wie Google, Amazon oder Microsoft oftmals das Gefühl, die Kontrolle abzugeben. Sie wissen meist nicht, wo genau ihre Daten gerade liegen und welche Datenschutzbestimmungen dort gelten.

In Deutschland muss das Cloud Computing mit dem Bundesdatenschutzgesetz konform sein. Die Verarbeitung personenbezogener Daten unterliegt strengen Regeln. Ein beachtlicher Zweifel besteht hingegen, ob ähnlich strikte Datenschutzbestimmungen im Ausland gelten beziehungsweise eingehalten werden.

Heimische IT-Firmen sollten genau diesen Punkt klarer herausstellen, denn der deutsche Rechenzentrumsstandort kann ein wesentliches Kriterium sein, wenn Unternehmen vor der Entscheidung stehen, den Weg in die Cloud zu wagen.

Was kommt als Nächstes, Frau Bundesdatenschützerin?

Jetzt ist es endlich offiziell: heute wird Andrea Voßhoff in ihr Amt eingeführt und ist damit Deutschlands neue Datenschutzbeauftragte. Voßhoff ist in dieser Position nicht unumstritten und ihre Personalie hat bereits im Dezember letzten Jahres für Kritik gesorgt. Zudem tritt sie als Nachfolgerin von Peter Schaar, der dieses Amt zehn Jahre innehatte, in große Fußstapfen.

Wir sind gespannt auf ihre ersten Amtshandlungen und inwiefern sie sich in die Datenschutzdebatte rund um die NSA-Affäre einschaltet beziehungsweise klar Stellung bezieht, so wie es Schaar getan hat.

Transparenz beim Datenschutz? Aber nicht doch!

Gleich zwei schlechte Nachrichten hält die Bilanz von Projekt Datenschutz für das Jahr 2013 bereit. Zum ersten Mal seit 2009 ist die Zahl der in Deutschland bekannt gewordenen Datenschutzpannen wieder angewachsen. Insgesamt 50 Vorfälle haben wir im Jahr 2013 verzeichnet, und damit deutlich mehr als im Jahr 2012. Das ist alles andere als erfreulich, auch wenn ein Teil der Meldungen wohl auf das gesteigerte Interesse der Medien durch die Snowden-Affäre zurückgeführt werden muss.

Mindestens genauso bedenklich ist aber auch das Verhalten der Behörden. Wir haben für unsere Übersicht nicht nur täglich Medien und Internet ausgewertet, sondern zusätzlich Akteneinsicht bei den Datenschutzbehörden der Länder beantragt. Dort müssen so genannte „nichtöffentliche Stellen“ seit 2009 gemäß §42a des Bundesdatenschutzgesetzes Datenschutzpannen melden.

Weil sie durch diesen wachsweichen Paragrafen nicht ausdrücklich zur Auskunft verpflichtet sind, hält sich die Lust der Behörden dazu auch stark in Grenzen. Lediglich der Berliner und der Thüringer Beauftragte für Datenschutz und Informationsfreiheit gaben Auskunft, die übrigen 14 Bundesländer reagierten nicht auf die Anfragen von Projekt Datenschutz oder verweigerten die Herausgabe der Informationen.

Die Einsicht in die Akten der Berliner und Thüringer Datenschutzbehörden hat aber immerhin unsere Vermutung nach einer hohen Dunkelziffer bestätigt. So konnten wir zahlreiche Vorfälle ausfindig machen, die bislang noch nicht öffentlich geworden waren. Neun Vorfälle aus dem Jahr 2013 und 14 Vorfälle aus dem Jahr 2012 wurden in die Übersicht von Projekt Datenschutz nachgetragen.

Trotzdem bleibt ein schaler Nachgeschmack. Der Gesetzgeber, der eigentlich um Aufklärung bemüht sein müsste, versagt, wenn er die Behörden nicht dazu verpflichtet, die ihnen gemeldeten Datenpannen zu veröffentlichen. Dass sie bei Nachfragen mauern, ist umso bedauerlicher. Transparenz geht wahrlich anders.

Seiten