Phishing-Angriff auf die Arbeitsagentur

Datendiebe können sehr kreativ sein, wenn es um das Abschöpfen von finanziell verwertbaren Datenbeständen geht. Oft wird es ihnen aber auch sehr einfach gemacht. So wurde erst kürzlich bekannt, dass die Bundesagentur für Arbeit Probleme mit ihrer Stellenbörse sowie mit dem Handling interner Datenbestände hat. In der Stellenbörse kann jeder als „Arbeitgeber“ auftreten, eine Überprüfung (Gewerbeschein, Handelsregister …) erfolgt nicht. Sozialdaten von Hartz-IV-Beziehern waren bis vor kurzem allen Beschäftigen der Arbeitsagentur zugänglich, nicht nur den dafür zuständigen Fallmanagern am Meldeort des „Kunden“.

Die Mängel im Sicherheitskonzept der Arbeitsagentur sowie in Teilen ihrer Software sind anscheinend so gravierend, dass sie sich kurzfristig nicht beheben lassen. Das muss sich wohl auch eine Berliner Personalvermittlungsfirma gedacht haben, als sie mehrere Tausend Stellenanzeigen in die Stellenbörse einkippte. So viele in so kurzer Zeit, dass es bei einer internen Prüfung den Betreibern bei der Arbeitsagentur auffiel und man der Sache nachging (was für die Wachsamkeit der Agentursystemadmins spricht). Tatsächlich existierte keine einzige Stelle wirklich. Die ausgeschriebenen Positionen für Facharztstellen über pädagogische Berufe bis hin zu Ingenieuren und Managerposten waren ein Phishing-Angriff auf die Vermittler der Arbeitsagentur sowie die Nutzer der Stellenbörse. Sie sollten ihre Bewerbungsunterlagen an die Berliner Firma schicken, so dass diese ihre Datenbestände damit aufstocken und möglichen Firmenkunden eine Datenbank mit Tausenden von Profilen anbieten kann.

Das ist für Personalvermittler an sich nichts Ungewöhnliches. Firmen wie Hays, Datos oder Progressive bieten interessierten Stellensuchenden die Möglichkeit an, ein Profil in einer Datenbank zu hinterlegen und regelmäßig gegen dort ausgeschriebene Stellen von Firmen gegenchecken zu lassen. Auf Projektvermittlungsbörsen wie Gulp oder Projektwerk können Freelancer Profile einstellen und Angebote von daran interessierten Firmen erhalten. Werben gehört zum Geschäft und wer als Stellensuchender einem Personalvermittler seine Daten gibt, um dessen Stellen mit in seine Stellensuche einzubeziehen, tut das i.d.R. bewusst. Das ist eine übliche Praxis an der es grundsätzlich nichts auszusetzen gibt.

Anders diejenigen Arbeitssuchenden, die sich auf eine konkrete Stelle bewerben, die jedoch gar nicht existiert. Sie würden in einem solchen Fall nur eine Textbaustein-Absage erhalten und das Angebot in der Datenbank des Personalvermittlers zu verbleiben, in der Hoffnung das nochmal eine ähnliche Stelle reinkommt. Seriöse Personalvermittlung sieht anders aus.

Und so sieht auch Anja Huth, Sprecherin der Bundesagentur darin einen eindeutigen Missbrauch des Systems und einen Verstoß gegen die Nutzungsbedingungen. Einen Missbrauch dieser Dimension hat man in der Jobbörse der Bundesagentur noch nie erlebt, so die Sprecherin. Mal sehen, ob das mehr als nur die Sperrung des Accounts zur Folge hat.

Inzwischen ist man damit beschäftigt, die zahlreichen fingierten Stellenangebote zu finden und zu löschen. Was aber noch einige Tage dauern kann, so Frau Huth. Schließlich werden täglich etwa 20.000 Stellenangebote neu erstellt oder abgeändert. Verantwortlich für diese Angebote war demnach die Firma Econsulting24, wo jedoch bislang weder die Arbeitsagentur noch die mittlerweile darauf aufmerksam gewordene Presse jemanden erreichen konnte.

Einen ähnlichen Fall hatte es bereits im Winter letzten Jahres gegeben. Ein privater Jobvermittler hatte immer wieder fingierte Stellen ins System gestellt. Wenn sich Bewerber bei dem Vermittler meldeten, erhielten sie stets die Auskunft, dass die Stelle bereits anderweitig besetzt war. Das Unternehmen bot den Bewerbern jedoch an, gegen Bezahlung Bewerbungen für sie zu verfassen.  Und obwohl die Arbeitsagentur den Account des Vermittlers löschte, meldete er sich stets einfach neu an und spammte fröhlich weiter. Das Problem der mangelhaften Kontrolle vermeintlicher „Arbeitgeber“ in der Jobbörse ist also bereits seit langem bekannt.

People Performance Management – wenn die elektronische Leistungssteuerung ins Unternehmen einzieht

In den Personalabteilungen großer Unternehmen beginnt sich eine neue Klasse von Businessanwendungen auszubreiten: Die People Performance Management Systeme (PPM) bzw. Business Performance Management Systeme. Sie sollen Methoden, Tools und Prozesse zur Verbesserung der Leistungsfähigkeit und Profitabilität von Unternehmen durch effizientere Bewirtschaftung ihres Personals bereitstellen. Anbieter wie Stepstone Solutions sprechen auch etwas euphemistisch von „Talent Management“. Es ist also wohl noch offen, welche Bezeichnung sich letztlich für diese Form der Personalverwaltung durchsetzen wird.

Schon seit Jahren versuchen Unternehmen die Leistungsabgabe ihrer Beschäftigten zunehmend zu steigern und gleichzeitig besser verwaltbar zu machen, so dass sie gezielt gemanagt werden kann. Ein Instrument dazu ist die indirekte Steuerung als Managementprinzip. Die mit Hilfe evidenzbasierter Personalplanung und damit letztlich IT-gestützt umgesetzt wird.

Dabei fallen naturgemäß zahlreiche Daten an und es bedarf zum Managen der Mitarbeiterleistung definierter Prozesse, was es naheliegend erscheinen lässt, dazu spezielle Anwendungen einzusetzen. Zielvereinbarungen, freiwillige / ergebnisabhängige Entgeltbestandteile, Beurteilungen und Leistungsbewertungen, Fortbildungsmaßnahmen und Personalentwicklungsprogramme – alles was zur Potentialentwicklung, Selektion und optimalem Einsatz der Beschäftigten im Unternehmen eben so getan wird, soll mit dieser neuen Klasse von Anwendungen erfasst, verwaltet und gemanagt werden.

Mögliche, durch PPM-Systeme zu unterstützende Einsatzbereiche wären u.a. Leistungsbeurteilungen, Zielvereinbarungen sowie deren Monitoring, Auswahl von Beschäftigten für Schulungen, Personalentwicklungsprogramme oder interne Versetzungen. Aber auch interne Vergleiche mit anderen Beschäftigten oder Beschäftigtengruppen zur Optimierung der Leistung durch Wettbewerb und Auslesemechanismen. Wie es auch Stephen Baker bereits in seinem Buch „Die Numerati – Datenhaie und ihre geheimen Machenschaften“ beschreibt. Dort erläutert er einen neuen Ansatz von HR-Planungswerkzeugen zur evidenzbasierten Personalplanung, basierend auf mathematischen Modellen in Kombination mit Data-Mining-Technologien.

Klar ist jedoch, dass solche Systeme nur dann sinnvoll eingesetzt werden können, wenn Arbeitgeber darin weitaus mehr Daten  über ihre Beschäftigen ablegen und auswerten, als es zum Zwecke der Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses „erforderlich“ i.S.d. BDSG ist. Zumal der Gesetzgeber aufgrund der zahlreichen Datenskandale in der Wirtschaft den einschlägigen § 32 BDSG neu und deutlich enger gefasst hat.

Das bringt insbesondere für betriebliche Datenschutzbeauftragte und Betriebsräte Arbeit mit sich, wenn ihr Unternehmen ein solches System zur besseren Leistungsbewirtschaftung des Personals einführen will, wie es z.B. die Fachzeitschrift „Computer & Arbeit“ in ihrer aktuellen Ausgabe 10/2009 in einem Artikel erläutert.

(der auf der Homepage des Autors Achim Thannheiser auch als PDF heruntergeladen werden kann)

Zumindest die Betriebsräte werden vor der Aufgabe stehen, ob sie die Einführung von PPM-Systemen gestalten oder verhindern wollen. Letzteres wäre durchaus möglich, da das BDSG solche Systeme bei entsprechend enger Auslegung des § 32 eigentlich unmöglich macht.

Gestalten wird auf jeden Fall bedeuten, zahlreiche Funktionen abzuschalten, einzuschränken sowie ihre Nutzung an klare nachprüfbare Regularien zu binden. Und so kommt auch Arbeitsrechtler Thannheiser zu dem Schluss, dass PPM-Systeme die Möglichkeit bieten, den gesamten arbeitenden Menschen zu durchleuchten. Und daher rät er den Mitbestimmungsorganen, Positivlisten mit zulässigen Nutzungen festzulegen, die alles sonst noch Mögliche als unzulässig ausschließen.

Vom Standpunkt der IT-Sicherheit sind PPM-Systeme dagegen nur ein weiterer Teil der Personaldatenverarbeitung, die denselben Schutzbedarf hat wie alle anderen HR-Systeme.

Wie die Rechtsprechung zum erst kürzlich reformierten Datenschutzgesetz mit dieser Art der Personaldatennutzung verfahren wird, ist derzeit noch offen. Es bleibt also spannend …

Videoüberwachung als Videospiel

Videokameras zur Überwachung im öffentlichen Raum, an Gebäuden oder sogar an Arbeitsplätzen werden bei Staat und Wirtschaft immer beliebter. So las ich kürzlich, dass Leipzig heute über mehr Überwachungskameras verfügt als die Stasi in den letzten Jahren ihres Daseins für die ganze DDR in Betrieb hatte.

Doch ein Problem haben die Kameras für ihre Betreiber: Um die mit ihnen erzeugten Datenmengen sinnvoll nutzen zu können, muss man Einsatzkräfte vor Ort bereithalten, die aktiv eingreifen können, wenn sich auf den Monitoren etwas tut. Nur ein kleiner Teil der Kameras wie z.B. die in Banken dient ausschließlich forensischen Zwecken (Dokumentation von Aktivitäten für strafrechtliche Verfolgung im Nachhinein).

Die Operatoren an den Bildschirmen müssen jedoch ebenso bezahlt und sozialversichert werden, wie das Einsatzpersonal, das bei Problemen wie z.B. Schlägereien im U-Bahnhof reagieren soll. Diese Kosten sorgten letztlich doch oftmals für Disziplin seitens der Kamerabefürworter. Denn eine 7×24 Überwachung an 365 Tagen im Jahr kostet schnell richtig viel Geld. Und da wohl die automatisierte Bilderkennung auf absehbare Zeit den „zweibeinigen Kostenfaktor“ vor dem Bildschirm nicht ersetzen, geschweige denn bei Problemen vor Ort ausrücken und eingreifen kann, sorgt das knappe Geld dafür, dass sich die Kameras noch nicht seuchenartig ausbreiten.

Dieses Problem hat die Firma Internet Eyes im generell sehr kamerafreundlichen Großbritannien nun gelöst. Dort gibt es im öffentlichen Raum etwa 4.2000.000 Überwachungskameras. Im Schnitt für je 14 Briten eine. Sie alle zu überwachen oder auch nur im Nachhinein auszuwerten könnte rasch das Budget einer größeren Stadt sprengen. Daher kam man auf die Idee, die dort öffentlich über das Internet erreichbaren Kameras zu einer Art Videospiel zusammenzuschalten. Darin können registrierte Spieler Bilder von Überwachungskameras ansehen und im Falle einer Straftat Sicherheitskräfte alarmieren. Wer etwas Verdächtiges sieht und mitteilt, erhält einen Punkt; drei Punkte gibt es für das Überführen des Täters. Fehlalarme wiederum sorgen für Punktabzug. Wer zu oft Fehlalarme auslöst, scheidet aus (Game Over). Aus den Punkten wird eine monatliche Highscore-Liste generiert und der dort Erstplatzierte erhält 1.000 £ ausgezahlt.

Allerdings enthält das Spiel auch einen Risikoanteil. Wer mehr als drei Alarmmeldungen pro Monat absetzen will, bezahlt für je drei weitere Versuche Punkte zu sammeln 1 £. Dieses Geld sowie Rückflüsse über die Kamerabetreiber finanzieren das Spiel.

Charles Farrier, Bürgerrechtsaktivist und Direktor der Anti-Überwachungs-Gruppe „No-CCTV“, reagiert entsetzt auf die Idee: „Als Spiel finde ich die Idee erschreckend. Es wird ein Schnüfflerparadies geschaffen“. Es sei zu befürchten, dass etwa Rassisten jedes Mal den Schalter betätigen würden, sobald ein Mensch anderer Hautfarbe in der Kamera auftauche. Er erwarte schwerwiegende Verletzungen von Bürgerrechten. Daher hat No-CCTV bereits Beschwerde beim britischen Datenschutzbeauftragten eingelegt, um das Spiel zu stoppen.

Tony Morgan, der Erfinder von „Internet Eyes“, hält dagegen: „Das könnte die beste Waffe zur Verbrechensverhütung werden, die es je gab“, plant aber aus Gründen des Privatsphärenschutzes unter anderem nicht anzugeben, wo sich eine Überwachungskamera befinde. Die Spieler werden aber wohl rasch Möglichkeiten finden, sich über besonders lukrativ positionierte Kameras mit hohen Chancen auf Treffer auszutauschen.

Mitmachen darf laut Morgan jeder EU-Bürger, der über Internetzugang und Browser verfügt. Längerfristig soll das Projekt nicht nur in England, sondern auch in anderen Ländern angeboten werden.

Und so will er „Internet Eyes“ bald europaweit Kommunen und Polizeibehörden anbieten, die sich bislang eine kontinuierliche Überwachung ihrer Kameras nicht leisten konnten. Geht der Plan auf, dürfte dies ein explosionsartig wachsendes Aufkommen an Überwachungskameras zur Folge haben.

Der nächste Schritt wäre dann (zumindest in Deutschland) der Einsatz von 1 €-Jobbern statt gelangweilten Frührentnern am Bildschirm. Wollen wir es nicht hoffen, dass so mehr als 60 Jahre nach dem Fall der Hitlerdiktatur die Unkultur der Blockwarte wieder zurückkehrt.

Die Datenbörsen der Arbeitsagentur

In den letzten zwei Wochen konnte man schon den Eindruck gewinnen, bzgl. des Datenschutzes hätte die Wirtschaft inzwischen jede Scham verloren. Ob Bewerber-Bluttests bei Daimler, Beiersdorf und Merck, Bruch des Bankgeheimnisses bei der Postbank, Datenklau bei SchülerVZ, neue Spitzeleien bei der Telekom oder Datenpannen bei Libri – praktisch jeden Tag gab es einen neuen Datenskandal. In einigen Fällen dürfte eine zu schwach aufgestellte IT-Sicherheit oder konzeptionelle Lücken in den Datenschutzbestrebungen der Firmen ursächlich gewesen sein. Oft jedoch auch eine gewisse „Herrenmenschenmentalität“ der jeweiligen Entscheider, die sich dachten „Datenschutz ist für andere – wir machen was wir wollen!“.

Eine besonders dicke Datenschutzsau treibe jedoch ausgerechnet die Agentur für Arbeit derzeit durchs bundesrepublikanische Dorf. Die Arbeitsagentur betreibt mit ihrer Jobbörse eine der größten Datenbanken Deutschlands. In ihr sind etwa 3.800.000 Profile arbeitslos gemeldeter Stellensuchender gespeichert. Darin können potentielle Arbeitgeber anonymisierte Profile, geordnet nach Fertigkeiten und Berufsklassifikationen recherchieren und bei Interesse den zuständigen Bearbeiter der Arbeitsagentur kontakten, damit dieser zwischen Arbeitgeber und Bewerber den direkten Kontakt herstellt. Kürzlich stellte sich aber heraus, dass sich jedermann in den System als „Arbeitgeber“ umtun konnte – auch wenn er weder Unternehmer oder Personaler war und schon gar keine offene Stelle hatte.  Und das er dabei auch an nicht anonymisierte Daten herankam, um sie ggf. auch in größeren Mengen herunterzuladen und für eigene Zwecke weiter nutzen zu können.

Spiegel Online hierzu:

Bei der Jobbörse müssten Arbeitgeber lediglich den Firmennamen, die Branche sowie Anschrift und Ansprechpartner angeben. Die Identität prüfe die Bundesagentur nicht. Nach der Anmeldung bekomme der Arbeitgeber eine persönliche Identifikationsnummer zugeschickt, mit dieser könne bereits ein Teil der Bewerberdaten in nicht mehr anonymisierter Form eingesehen werden. Jeder könne so Bewerbungsunterlagen anfordern, mit Adresse, Telefonnummer, Geburtsdaten, Zeugnissen und Lebenslauf – egal, ob er einen Job zu vergeben habe oder nicht.

Wäre das schon happig, legte die Arbeitsagentur im Bereich Hartz-IV-Empfänger gleich noch nach. Denn das 4-PM („Vier-Phasen-Modell“) , ein System, über das gut 100.000 Mitarbeiter unter anderem Einkommens- und Familiensituation, Schul- und Berufsausbildung, mögliche Erkrankungen und Vorstrafen, Suchtprobleme und Verschuldung von Hartz-IV-Empfängern abrufen können, erwies sich als regelrechte Datenschleuder. Darüber können auch Mitarbeiter, die nichts mit der Betreuung der Arbeitslosen zu tun haben, nach sensiblen personenbezogenen Sozialdaten forschen. Und das bundesweit, also auch außerhalb des eigenen Zuständigkeitsbereiches. Ein Umstand der den Personalräten der Arbeitsagentur schon seit längerem Probleme bereitet. Weshalb sie sich nach wohl fruchtlosen Versuchen, das intern zu regeln, an die Presse wandten und die Sache auffliegen ließen. Sie haben erhebliche Bedenken zum Sozialdatenschutz und sehen das Recht auf informationelle Selbstbestimmung der Bürger verletzt. Diese Bedenken der Personalräte in den Arbeitsagenturen teile ich. Zugleich zeugt das einmal mehr, wie wichtig Mitbestimmungsorgane für das Aufdecken und Angehen fauler Stellen in Wirtschaft und Verwaltung sind.

Zu welchen Formen des Missbrauchs solche Datenlecks führen können, zeigen Insider-Berichte aus der Arbeitsagentur: So wussten die Mitarbeiter der Argen schnell mehr über zwei bestimmte Kandidaten der Fernsehshow von Dieter Bohlen. Das Computersystem der Arbeitsagentur verzeichnete weit über 10.000 Zugriffe auf ihre Datensätze nach deren Auftritt, bei dem die Männer auch ihre zeitweilige Arbeitssuche erwähnten.

Es zeigt sich einmal mehr, dass viele Datenschutz- und Sicherheitsprobleme gar nicht auftreten würden, wenn man sich an banal wirkende Lehrbucherkenntnisse halten würde. Da große Datensammlungen, egal zu welchem Zweck angelegt, immer irgendwann außer Kontrolle geraten und Daten daraus „abfließen“ können, rät schon das Bundesdatenschutzgesetz zu Datensparsamkeit und Datenvermeidung. Daten die erst gar nicht anfallen oder erhoben werden, können auch nicht in falsche Hände geraten. Das ist das Hauptargument, das Datenschützer und Bürgerrechtsaktivisten gegen große zentrale Datensammlungen vorbringen.- Es wird nur leider viel zu selten berücksichtigt.

Zumal solche Datenschleudereien zumindest im öffentlichen Bereich folgenlos bleiben.

Bundesdatenschutzbeauftragter Peter Schaar hierzu in einem Interview mit Ole Reißmannauf Spiegel online:

Ich habe als Bundesbeauftragter für den Datenschutz die Möglichkeit, das zu kritisieren und gegebenenfalls zu beanstanden, mehr nicht. Auch bei der Jobbörse der Arbeitsagentur gibt es ja ein Problem mit dem Datenschutz. Ohne Prüfung der Identität und Seriosität kann sich praktisch jeder als Arbeitgeber registrieren lassen und Unterlagen von Bewerbern anfordern. Das wissen wir seit einem Jahr, unsere Kritik und unsere Hinweise haben nicht geholfen. Es fehlt einfach an der nötigen Sensibilität im Umgang mit persönlichen Daten und an entsprechend wirksamen Durchsetzungsmöglichkeiten für mich als Bundesbeauftragten für den Datenschutz.

…

Wäre die Bundesagentur für Arbeit eine Firma, könnten die zuständigen Datenschützer zumindest Bußgelder verhängen, gegebenenfalls sogar die Datenverarbeitung untersagen, und das Problem müsste öffentlich gemacht werden. Seit September ist das gesetzlich vorgeschrieben. Aber für Behörden gilt diese Verpflichtung nicht – und etwas untersagen oder Geldbußen verhängen, können wir auch nicht.

Narrenfreiheit und Straflosigkeit für Behörden also. Egal was datentechnisch verbockt wird. Da dürften jegliche Anreize fehlen, zumal Stellungnahmen des Bundesdatenschutzbeauftragten für die Behörden wohl nur Empfehlungscharakter zu haben scheinen.

Und das obwohl Privatfirmen für gleichartige Verstöße durchaus zu sechsstelligen Geldstrafen sowie der Abführung der daraus gezogen Gewinne verurteilt werden können.

Man wird die öffentlichen und privaten Datenschleudern wohl nur dadurch stilllegen können, indem hart und unnachsichtig durch Prozesse, Urteile und Skandalisierung Klarheit darüber geschaffen wird, das Verstöße gegen den Datenschutz ähnlich geahndet werden, wie jene gegen das Eigentumsrecht (Betrug, Diebstahl …) oder das Recht auf körperliche Unversehrtheit (tätliche Angriffe, sexuelle Belästigungen …).

Da liegt ein ordentliches Stück Arbeit vor uns. Wird es jedoch angegangen, kann das insbesondere für professionell in der IT-Sicherheit Tätige eine Sonderkonjunktur bedeuten.

Postbank – Wenn die Bank das Bankgeheimnis ignoriert

Die Datenschutzskandale in der deutschen Wirtschaft nehmen einfach kein Ende. Es scheint sich um ein  grundsätzliches Problem der Nichtakzeptanz des Rechts auf Datenschutz zu handeln, sobald diese Daten für andere wirtschaftlich verwertbar sein können.

Und wirtschaftlich verwertbar waren auch die Transaktionsdaten zahlreicher Postbank-Kunden. Denn die Postbank hatte, einem Bericht der Finanztest zufolge, mehreren Tausend freiberuflich tätigen Finanzberatern Zugriff auf die Kontendaten (Kontenstände, Buchungen etc.) ihrer Kunden über eine Datenbank mit Suchfunktion gewährt. Sie sollten damit u.a. Kunden, bei denen größere Geldbeträge eingegangen waren, anrufen und ihnen Finanzprodukte zur Geldanlage anbieten.

Sensible, dem Bankgeheimnis unterliegende Daten, von einer Bank  an externe Dritte herausgegeben zum Zwecke der Vermarktung von Finanzprodukten – da drehen sich jede halbwegs versiertem Datenschützer und IT-Sicherheitsbeauftragten die Zehennägel auf!

Hatten doch in der Vergangenheit solch laxe Praktiken regelmäßig dafür gesorgt, dass Daten aus Unternehmen „abflossen“ und im grauen Sumpf der Datendealer und Cyberkriminellen versickerten.

Der Finanztest liegen nach eigenen Angaben Kontodaten und Briefwechsel zahlreicher Personen aus dieser Datenbank vor. Darunter auch Prominente wie zum Beispiel Axel-Springer-Vorstand Mathias Döpfner, der frühere Präsident von Borussia Dortmund, Gerd Niebaum, oder der Vorstand der Stiftung Warentest, Werner Brinkmann. Sie alle haben der Weitergabe ihrer Daten laut Dateneintrag nicht zugestimmt.

Dagegen schützten sich die Chefs der Postbank-Gruppe gegen allzu große Neugier ihrer Verkäufertruppe, indem sie ihre eigenen Kontodaten von dieser Suchmöglichkeit ausschlossen, wie Recherchen von Finanztest ergaben.

Die für die Postbank zuständige Datenschutzbehörde in Nordrhein-Westfalen hält es der Zeitschrift zufolge für unzulässig, dass freie Berater der Postbank die Girokonten der Kunden einsehen können. Behördensprecherin Bettina Gayk hirzu: „Das ist sicherlich hochproblematisch“. Hoffen wir mal, dass diese Einschätzung in der Folge auch zu rechtlichen Schritten führt. Das erst kürzlich reformierte Datenschutzgesetz sieht hierfür 5-6stellige Geldstrafen vor – für jeden einzelnen Fall. Sowie umfängliche Anzeigepflichten den Betroffenen gegenüber. Falls es in der Folge tatsächlich zu Verurteilungen und Strafen kommt.

Bis dahin schließe ich mich den Empfehlungen der Finanztest an Postbank-Kunden an. Sie rät ihnen folgendes als Ersthilfe:

Tipps für Postbank-Kunden

Forderung: Wenn Sie als Postbankkunde nicht wollen, dass ihre Kontodaten eingesehen werden, sollten Sie sich schriftlich an das Unternehmen wenden. Fordern Sie die Postbank auf, die Weitergabe ihrer Daten zu stoppen.

Widerruf: Sie können außerdem verlangen, dass Ihnen die Postbank Auskunft über gespeicherte und weitergegebene Daten gibt. Bereits erteilte Einwilligungserklärungen können Sie jederzeit widerrufen.

Inzwischen hat die Postbank auch eine eigene Stellungnahme veröffentlicht, in der sie „entschiedenes Vorgehen“ und „strafrechtliche Schritte“ ankündigt sowie „bis zur Klärung des Gesamtzusammenhanges im Dialog mit dem Datenschutz den Zugriff auf die Kontodaten durch die Finanzberater vorsorglich sperren“ lassen will und eine Revision ihrer bisherigen Praxis ankündigt.

Nacktscanner und die Tücken der Technik

Terahertzscanner, aufgrund ihrer entblößenden Wirkung auch Nackscanner genannt, können heikle rechtliche Probleme mit sich bringen sobald man sie einschaltet. Insbesondere wenn man sie an Flughäfen einsetzt und auch Kinder durchlaufen lässt. Darauf habe ich vor knapp einem Jahr in einem Artikel bereits hingewiesen. Denn das Datenmaterial, das die bildgebenden Verfahren der Geräte erzeugen, kann durchaus die rechtlichen Kriterien für Kinderpornografie erfüllen. Und das brächte das Bedienpersonal der Scanner in beträchtliche rechtliche Probleme. Das Sicherheitspersonal setzt sich in solchen Fällen der Gefahr aus, wegen der Herstellung und des Besitzes von Kinderpornografie verfolgt zu werden.

Was im ersten Augenblick absurd klingt, ist keinesfalls ein schlechter Witz. Es ist bittere Realität der in den letzten Jahren deutlich verstärkten sexualstrafrechtlichen Normen vieler EU-Länder. Eine Tatsache, die auch die Hersteller solcher Geräte sehen, da deren Betriebsanweisungen dazu raten, Jugendliche erst ab einem Alter von zwölf Jahren durch den Scanner zu schicken. Aber auch nur dann, wenn die Eltern einer Kontrolle zustimmen. Auch wenn das das rechtlich heikle Kinderpornografieproblem wohl nicht lösen wird.

Während man in Kontinentaleuropa deshalb und auch aus anderen ethischen Überlegungen heraus bislang auf den Einsatz der Nachtscanner verzichtete, sieht man Videoüberwachung und andere Kontrolltechniken in Großbritannien traditionell lockerer. Auf Intervention der Kinderrechtsorganisation „Action on Rights for Children“ will man nun aber auf britischen Flughäfen künftig auf Scans verzichten. Zumindest wenn die betreffende Person nicht volljährig ist. Anderenfalls setzten sich die Betreiber der Nacktscanner dem Risiko aus, im Rahmen des britischen Kinderschutzgesetzes „Protection of Children Act 1978“ zur Rechenschaft gezogen zu werden.

Ideen und Konzepte zum Thema Überwachung erweisen sich oftmals als ethisch fragwürdig und rechtlich heikel, sobald man sich näher damit befasst. Doch oft fällt das „Zehnerl“ bei den dafür zuständigen Instanzen eben centweise.

Das Gute daran dürfte sein, dass das Thema Nackscanner sich damit in allen Ländern erledigt haben dürfte, in denen Herstellung und Besitz von Kinderpornografie strafrechtlich verfolgt wird.

Telekom plant Branchengipfel zum Thema Datendiebstahl

Die Deutsche Telekom wird ihre Probleme mit abhanden gekommenen Kundendaten einfach nicht los. Und das obwohl der Konzern sich bereits seit längerem bemüht, sich bzgl. des Datenschutzes besser aufzustellen. Und dazu sogar einen Datenschutzbeirat eingerichtet hat. Nun plant Telekom-Vorstand Manfred Balz die Chefs aller großen Kommunikationsunternehmen zu einer Art Gipfelgespräch einzuladen, um dort zu diskutieren, wie man den Problemen mit gestohlenen und vagabundierenden Kundendaten Herr werden könne.

Soll da ein Telekom-internes Problem verallgemeinert werden? Oder geht es tatsächlich um unternehmensübergreifende Missstände, die auch nur in Zusammenarbeit aller betroffenen Unternehmen gelöst werden können.

Anfang der Woche war bekannt geworden, dass Hunderttausende Kundendaten der Telekom bei dubiosen Firmen bis in die Türkei in Umlauf waren. Denn die Telekom arbeitet bei Marketingkampagnen mit zahlreichen Agenturen,  Dienstleistern und Subunternehmern zusammen, die es wohl nicht immer so ganz genau mit den deutschen Datenschutzgesetzen sowie den Verträgen zur Auftragsdatenverarbeitung mit der Telekom nehmen.

Die Datenpannen sind deswegen teilweise hausgemacht. Die Zuarbeiter der Telekom erhalten für ihre Aufgaben Dateien und Listen mit Kundendaten, um z.B. per Callcenter  auslaufende Verträge verlängern oder neue Produktangebote verkaufen zu können.

Zwar dürfen externe Callcenter, die im Zuge der Auftragsdatenverarbeitung erhaltenen Kundendaten nicht kopieren oder anderweitig nutzen. Das scheint sie jedoch bislang nicht davon abzuhalten, es trotzdem zu tun. So wurde letzte Woche bekannt, dass die Staatsanwaltschaft Bonn nach einer Anzeige der Telekom vom Februar dieses Jahres gegen einen Ring von Datenhändlern und Callcenter-Betreibern ermitteln lässt. Diese sollen wegen der niedrigen technischen Hürden seitens der Telekom im großen Stil Kundendaten automatisiert aus der Telekom-Vertriebsdatenbank abgerufen haben.

Die Telekom als Datensaugstelle für Dealer und Cyberkriminelle?

Dem widerspricht der Konzern in einer Pressemitteilung energisch, räumt aber ein, das die Art der Provisionierung dieser zuarbeitenden Unternehmen eine Rolle bei den Datendiebereien spielen könnte.

Kontrollen haben gezeigt, dass Subpartner ohne Autorisierung Callcenter – teilweise außerhalb der EU – damit beauftragt hatten, Kunden zu akquirieren. Dabei wurde vorgetäuscht, die Aufträge seien durch den stationären Handel generiert worden, wofür höhere Provisionen gezahlt werden als für die telefonische Akquise.

Telekom-Vorstand Balz erläuterte dazu, dass sich im hart umkämpften TK-Geschäft „ein System mit kriminogenen Strukturen“ etabliert habe, das selbst ein Branchenriese wie die Telekom allein gar nicht knacken könne. Es sei ein „gefährliches Provisionskarussell“ entstanden, das zum Betrug geradezu einlade.

Und dessen Regeln üblicherweise von der Telekom und andere Großauftraggebern festgelegt werden. Der von Balz geplant Branchengipfel dürfte daher (auch) zur Planung einer großen Sparrunde dienen, um die Dienstleister stärker an die Leine zu nehmen.

Dieser Schuss könnte aber nach hinten losgehen. Denn zunehmendes Outsourcing sowie Vermachtungsprozesse in den Märkten (starke Konzernkunden, schwache weil austauschbare Dienstleister) fördern letztlich nur die von Balz beklagten kriminogenen Strukturen.

Schufa-Auskunft für den Chef – ist das legal?

Die Schufa sammelt und aggregiert zahlreiche Finanzdaten von Unternehmen und Verbrauchern. Über eine Schufa-Auskunft lässt sich u.a. ein Überblick über vorhandene Bankkonten, Kreditkarten und Handyverträge, laufende Kreditverpflichtungen aber auch Negativeinträge wie Informationen über nicht vertragsgemäße Abwicklungen von Geschäften (Mahnbescheide, geplatzte Schecks, Kreditprobleme) und Daten aus öffentlichen Verzeichnissen und amtlichen Bekanntmachungen wie z.B. den Schuldner- und Insolvenzverzeichnissen der Amtsgerichte gewinnen.

Daher gibt es Unternehmen, die im Rahmen ihres Risikomanagements von ihren Angestellten neben einem polizeilichen Führungszeugnis auch eine jährlich erneut vorzulegende Schufa-Selbstauskunft haben wollen. Bankgeheimnis hin oder her.

Doch ist das legal?

Schließlich darf ein Arbeitgeber gemäß § 32 BDSG personenbezogene Daten eines Beschäftigten nur für Zwecke des Beschäftigungsverhältnisses erheben und nutzen. Und auch das nur dann, wenn es erforderlich ist. Reine Neugier oder Nützlichkeitserwägungen reichen also nicht. Und Schufa-Auskünfte enthalten außer Namen, Adresse und Kontonummer nichts, was für Zwecke des Beschäftigungsverhältnisses wirklich erforderlich ist.

Besonderes Interesse am Finanzstatus ihrer Beschäftigten haben Unternehmen des Wach- und Sicherheitsgewerbes. Dort will man – wohl auch angesichts branchenüblich magerer Entlohnung – sichergehen, dass die Fahrer von Geldtransporten eine finanziell gesehen einwandfreie Lebensführung aufweisen. Dazu nahm die Bundesvereinigung Deutscher Geld- und Wertdienste (BDGW), ein Arbeitgeberverband im Sicherheitsgewerbe im Rahmen eines satzungsgemäß für die Verbandsmitglieder verbindlichen jährlich erneut durchzuführenden „Sicherheitschecks“ die Anforderung auf, von Bewerbern Schufa-Selbstauskünfte einzufordern:

Der „klassische“ Sicherheits-Check 1 befasst sich vor allem mit baulich-technischen und personellen Anforderungen sowie der ordnungsgemäßen Durchführung von Geld- und Werttransporten. Überprüfungsschwerpunkte fangen bereits bei den Einstellungsvoraussetzungen für das Personal an. Hier werden wesentlich höhere Maßstäbe angelegt als in den meisten anderen Branchen. Die Vorlage eines polizeilichen Führungszeugnisses, eine ärztlich bestätigte physische und psychische Tauglichkeit, eine persönliche und eine Schufa-Selbstauskunft sowie eine Verschwiegenheitserklärung sind nur einige der Punkte, die von den Bewerbern verlangt werden.

(Quelle: BDGW-Imagebroschüre, PDF 1,2 MB)

Dumm nur, das so eine Klausel rechtlich gesehen die Verbindlichkeit eines Wunsches besitzt. Und in den Unternehmen, in denen ein Betriebsrat existiert, dieser diese Praxis unterbinden kann. Worauf kürzlich die Gewerkschaft Verdi in ihrem Brancheninfodienst „Sicherheitsnadel“ im Rahmen einer ausführlichen juristischen Stellungnahme hinwies.

Arbeitgeber müssen Gesetze einhalten. Da hat ihnen auch kein Betriebsrat dreinzureden. Mitbestimmung gibt es nur da, wo der Gesetzgeber dafür Spielräume gelassen oder explizit Mitbestimmungsrechte eingeräumt hat.

Verbandssatzungen sind aber keine Gesetze. Und sie dürfen auch kein gesetzeswidriges Verhalten zur Norm für die Verbandsmitglieder erheben (legt man das streng aus, könnte ein Verband deswegen sogar verboten werden). Durch sie werden zudem nur die Verbandsmitglieder zu etwas verpflichtet, nicht deren Beschäftigte.

Das Gleiche gilt auch für Verträge aller Art, wie z.B. Versicherungsverträge auf die sich in solchen Fällen auch gern mal bezogen wird. Ein Blick ins BGB zeigt in § 134 dass Verträge, deren Inhalt gegen Gesetze verstößt, nichtig sind.

(interessanter Nebenaspekt: Wie kann man aus einer potentiell nichtigen Versicherungspolice im Schadensfall Leistungen einfordern?)

Hin und wieder müssen ausgerechnet beufsgenossenschaftliche Unfallverhütungsvorschriften wie die für Wach- und Sicherungsdienste relevante Vorschrift BGV C7 „Besondere Bestimmungen für Geldtransporte“, herhalten, um einen gesetzesgleichen Anspruch auf das Einfordern von Schufa-Auskünften abzuleiten.  Eine Durchführungsanweisung zum § 24 (Eignung des Personals) könnte tatsächlich dahingehend ausgelegt werden:

Bei der Eignungsbeurteilung (des Bewerbers für den Wachdienst) ist insbesondere auch auf Unbescholtenheit sowie eine geordnete Lebensführung zu achten, z.B. durch die unbeschränkte Auskunft nach § 41 Abs. 1 Nr. 9 Bundeszentralregistergesetz (BZRG), polizeiliches Führungszeugnis, die aktuelle Schufa-Selbstauskunft.

Allerdings sind auch Durchführungsanweisungen nicht mehr als unverbindliche Handlungsempfehlungen und können gesetzliche Vorschriften wie das Bundesdatenschutzgesetz nicht außer Kraft setzen. Im Gegenteil: Es ist anzunehmen, dass solche Handlungsempfehlungen als Folge von Gesetzesänderungen und Rechtsprechung früher oder später geräuschlos korrigiert werden. Zum auch hier die Schufa-Auskunft nicht als Norm sondern als mögliches Beispiel zu deren Erfüllung genannt wird.

Die Tücke beim Umgang mit Rechtsquellen steckt demnach häufig in den Details, welche gelesen und auch verstanden werden wollen.

So kam auch Arbeitsrechtler Tobias Wolters in der „Sicherheitsnadel“ (Ausgabe 12, S. 7) zu dem Fazit, dass das Einfordern von Schufa-Auskünften von Beschäftigten oder Bewerbern zwar mit unter die Mitbestimmung des Betriebsrats fällt, da es um Fragen des Ordnungsverhaltens der Arbeitnehmer geht. Dieser aber keine entsprechende Betriebsvereinbarung abschließen kann, da auch Betriebsvereinbarungen (ähnlich wie Verträge) nichts Gesetzeswidriges enthalten dürfen.

Er empfiehlt daher das Thema Schufa-Auskünfte aus entsprechenden Verbandssatzungen, Versicherungsverträgen und Anmerkungen zu berufsgenossenschaftlichen Regeln komplett zu streichen.

Wer einmal seine eigene Schufa-Auskunft prüfen will, kann das unter www.meineschufa.de tun. Wer mehr über Scoring-Methoden generell erfahren will, dem bietet die Schufa unter www.scoring-wissen.de eine Einführung in das Thema an.

Microsoft stellt Prüftools für Security-Tester bereit

Microsoft ist bereits seit längerem bestrebt, sich bzgl. Sicherheit und Softwarequalität seiner Produkte als führend zu positionieren. Daher hat die Firma u.a. das Vorgehensmodell des „Security Development Lifecycle (SDL)“ entwickelt, um Entwicklern bei der weiteren Verbesserung der Qualität sicherheitsbezogener Eigenschaften ihrer Software für die Windows-Plattform zu unterstützen.

Der Microsoft Bin Scope Binary Analyzer überprüft binären Code darauf, ob alle empfohlenen und notwendigen Security Flags, Schutzmechanismen und Kontrollen vorhanden sind. Das stellt sicher, dass in Anwendungen nicht durch gängige Sicherheitsfehler beim Coding Schwachstellen und Sicherheitslücken implementiert werden.

Der Microsoft MiniFuzz File Fuzzer ist eine Lösung für Tester, die unerwartete Verhaltensweisen ihrer Anwendungen eingrenzen wollen. Der Fuzzer automatisiert Sicherheitsüberprüfungen und testet den Code mit zufällig erzeugten Eingabedaten um das Verhalten der Applikation bei deren Verarbeitung zu prüfen. Auf diesem Wege wird bereits sehr früh im Entwicklungsprozess festgestellt, ob etwa Programmabstürze als Sicherheitsrisiken untersucht werden müssen.

„SDL hat sich seit seiner Einführung als effizienter Prozess zur Steigerung der Softwarequalität bewährt“, so Prof. Dr. Sachar Paulus, Vorstandsvorsitzender der ISSECO (International Secure Software Engineering Council e.V.). „Dank der guten Methodologie und einfachen Umsetzbarkeit hat sich SDL mittlerweile bei vielen Entwicklern etabliert. Die beiden neuen Tools sind weitere Bausteine hin zu einer besseren, sichereren Softwareentwicklung“.

Hinzu kommen weitere Hilfen für Entwickler wie z.B. das SDL Process Template für Visual Studio Team System, das SDL Threat Modeling Tool, FxCop (ein Tool zur Analyse von.NET-Assemblies) sowie einige weitere Werkzeuge für die statische Codeanalyse mit Microsoft-Entwicklungsumgebungen.

Alle Tools können bei Microsoft im SDL Tools Repository kostenlos heruntergeladen werden.

Der Security Development Lifecycle ist ein Kernelement der Trustworthy Computing Initiative von Microsoft zur Verbesserung der Sicherheitseigenschaften seiner Produkte. Der Prozess wurde zunächst geschaffen, um firmenintern sichere Anwendungen zu liefern und Attacken besser widerstehen zu können. Jedes Produkt von Microsoft, das mit dem Internet kommuniziert oder für den Unternehmenseinsatz konzipiert ist, muss Angaben von Microsoft gemäß den SDL-Prozess durchlaufen.

Tom Köhler, Direktor Strategie Informationssicherheit Kommunikation bei Microsoft Deutschland hierzu: „Wir schützen damit unsere Plattform. Dazu gehört nicht nur, dass wir unsere eigenen Betriebssysteme und Anwendungen immer sicherer machen, sondern auch Partner und andere Anbieter dabei unterstützen. Gerade Anwendungen von Drittanbietern stehen immer mehr im Zentrum der Attacken durch Schadsoftware. Jeder Entwickler, ob Freiberufler, Microsoft Partner oder Firmenentwickler muss bereits im Designprozess darauf achten, dass seine Anwendungen in der Praxis sicher funktionieren. SDL hilft dabei“.

Kein Zweifel – der Security Development Lifecycle Prozess dürfte für Entwickler auf der Windows-Plattform zunehmend an Bedeutung gewinnen.

Datenschutzverband fordert Update für Betriebsvereinbarungen

Mit dem zum 01.09.2009 reformierten Bundesdatenschutzgesetz wurden im neuen § 32 Abs. 1 erste Ansätze eines Arbeitnehmerdatenschutzes implementiert. Danach dürfen personenbezogene Daten eines Beschäftigten für Zwecke des Beschäftigungsverhältnisses nur noch verwendet werden, wenn dies für die Entscheidung über die Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist.

Bislang mussten diese Daten für ein Vertragsverhältnis lediglich dienlich sein. In der betrieblichen Praxis gab es dazu immer wieder unterschiedliche Auffassungen. Oftmals wurde dabei die Grenze des für das Beschäftigungsverhältnis wirklich Erforderlichen überschritten, so die Erfahrung der Datenschutzpraktiker des Arbeitskreises „Datenschutz in Recht und Praxis“ im Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V.

Für Unternehmen und Behörden besteht jetzt Handlungsbedarf, um die neuen Regelungen zur Stärkung der Persönlichkeitsrechte der Beschäftigten umzusetzen und Vorwürfen nunmehr unrechtmäßiger Datenverarbeitung vorzubeugen. Der Datenschützer-Arbeitskreis empfiehlt daher, die bestehenden Betriebs- und Dienstvereinbarungen zu IT-Anwendungen bezüglich der genutzten Daten, Infotypen, Auswertungen und Zugriffsberechtigungen zu überprüfen und ggf. zu ändern.

So sind Bewerberfragebögen – sowohl in Papierform als auch in Webformularen – auf das für das jeweilige Beschäftigungsverhältnis unbedingt Notwendige zu beschränken. Problematisch sind nach neuem Recht alle Fragen, die weder für die Ausübung der beabsichtigten Tätigkeit noch für die Eingliederung im Betrieb erforderlich sind.

Neben den Personal- und IT-Verantwortlichen sind insbesondere die betrieblichen Interessenvertretungen gefordert, deren Mitbestimmungsrechte bei vielen Personalfragen tangiert werden. Für die betrieblichen und behördlichen Datenschutzbeauftragten sind Prüfungen mit den strengeren Maßstäben der Erforderlichkeit geboten. Alle bisherigen (und künftigen) Vereinbarungen müssen sich an den tatsächlichen Erfordernissen für das Beschäftigungsverhältnis orientieren. Hier sind nach Meinung des Arbeitskreises vielerorts Korrekturen notwendig.

Früher oderspäter dürften sich dann auch IT-Revisoren und Wirtschaftsprüfer für solche Dinge interessieren, da es zu ihren Aufgaben zählt, auf das Entdecken und Abstellen von berichtsrelevanten Compliance-Probleme hinzuwirken.

Die neuen Bestimmungen gelten auch für alle nicht automatisierten Datenerhebungen wie Listen, Karteikarten und sogar Notizen mit personenbezogenen Inhalten in Schubladen oder Zettelkästen. Die Reichweite des neuen Datenschutzgesetzes wurde damit auf nichtelektronische Datenverarbeitung (z.B. in Form von „Nebenakten“ und „Handapparaten“ in den Schubladen mancher Vorgesetzter) ausgedehnt.

Zur Aufdeckung von Straftaten dürfen jetzt personenbezogene Daten eines Beschäftigten nur noch dann verwendet werden, wenn der nachweisbare Verdacht auf eine Straftat im Beschäftigungsverhältnis besteht. Zudem muss die Verwendung dieser Daten zur Aufdeckung der Straftat erforderlich sein. Das schutzwürdige Interesse des Beschäftigten muss hierbei gewahrt bleiben. Insbesondere dürfen Art und Ausmaß der Überwachung im Hinblick auf den Anlass nicht unverhältnismäßig sein. Auf der Suche nach korrupten Einkäufern und gesprächsfreudigen Führungskräften per Massendatenabgleich jeden HiWi im Betrieb durchleuchten zu wollen, wäre in jedem Falle unverhältnismäßig.

Die neuen Bestimmungen zum Beschäftigtendatenschutz sind ein erster Schritt in die richtige Richtung; sie ersetzen aber nicht das dringend notwendige und überfällige Arbeitnehmerdatenschutzgesetz.