Videoüberwachung als Videospiel

Videokameras zur Überwachung im öffentlichen Raum, an Gebäuden oder sogar an Arbeitsplätzen werden bei Staat und Wirtschaft immer beliebter. So las ich kürzlich, dass Leipzig heute über mehr Überwachungskameras verfügt als die Stasi in den letzten Jahren ihres Daseins für die ganze DDR in Betrieb hatte.

Doch ein Problem haben die Kameras für ihre Betreiber: Um die mit ihnen erzeugten Datenmengen sinnvoll nutzen zu können, muss man Einsatzkräfte vor Ort bereithalten, die aktiv eingreifen können, wenn sich auf den Monitoren etwas tut. Nur ein kleiner Teil der Kameras wie z.B. die in Banken dient ausschließlich forensischen Zwecken (Dokumentation von Aktivitäten für strafrechtliche Verfolgung im Nachhinein).

Die Operatoren an den Bildschirmen müssen jedoch ebenso bezahlt und sozialversichert werden, wie das Einsatzpersonal, das bei Problemen wie z.B. Schlägereien im U-Bahnhof reagieren soll. Diese Kosten sorgten letztlich doch oftmals für Disziplin seitens der Kamerabefürworter. Denn eine 7×24 Überwachung an 365 Tagen im Jahr kostet schnell richtig viel Geld. Und da wohl die automatisierte Bilderkennung auf absehbare Zeit den „zweibeinigen Kostenfaktor“ vor dem Bildschirm nicht ersetzen, geschweige denn bei Problemen vor Ort ausrücken und eingreifen kann, sorgt das knappe Geld dafür, dass sich die Kameras noch nicht seuchenartig ausbreiten.

Dieses Problem hat die Firma Internet Eyes im generell sehr kamerafreundlichen Großbritannien nun gelöst. Dort gibt es im öffentlichen Raum etwa 4.2000.000 Überwachungskameras. Im Schnitt für je 14 Briten eine. Sie alle zu überwachen oder auch nur im Nachhinein auszuwerten könnte rasch das Budget einer größeren Stadt sprengen. Daher kam man auf die Idee, die dort öffentlich über das Internet erreichbaren Kameras zu einer Art Videospiel zusammenzuschalten. Darin können registrierte Spieler Bilder von Überwachungskameras ansehen und im Falle einer Straftat Sicherheitskräfte alarmieren. Wer etwas Verdächtiges sieht und mitteilt, erhält einen Punkt; drei Punkte gibt es für das Überführen des Täters. Fehlalarme wiederum sorgen für Punktabzug. Wer zu oft Fehlalarme auslöst, scheidet aus (Game Over). Aus den Punkten wird eine monatliche Highscore-Liste generiert und der dort Erstplatzierte erhält 1.000 £ ausgezahlt.

Allerdings enthält das Spiel auch einen Risikoanteil. Wer mehr als drei Alarmmeldungen pro Monat absetzen will, bezahlt für je drei weitere Versuche Punkte zu sammeln 1 £. Dieses Geld sowie Rückflüsse über die Kamerabetreiber finanzieren das Spiel.

Charles Farrier, Bürgerrechtsaktivist und Direktor der Anti-Überwachungs-Gruppe „No-CCTV“, reagiert entsetzt auf die Idee: „Als Spiel finde ich die Idee erschreckend. Es wird ein Schnüfflerparadies geschaffen“. Es sei zu befürchten, dass etwa Rassisten jedes Mal den Schalter betätigen würden, sobald ein Mensch anderer Hautfarbe in der Kamera auftauche. Er erwarte schwerwiegende Verletzungen von Bürgerrechten. Daher hat No-CCTV bereits Beschwerde beim britischen Datenschutzbeauftragten eingelegt, um das Spiel zu stoppen.

Tony Morgan, der Erfinder von „Internet Eyes“, hält dagegen: „Das könnte die beste Waffe zur Verbrechensverhütung werden, die es je gab“, plant aber aus Gründen des Privatsphärenschutzes unter anderem nicht anzugeben, wo sich eine Überwachungskamera befinde. Die Spieler werden aber wohl rasch Möglichkeiten finden, sich über besonders lukrativ positionierte Kameras mit hohen Chancen auf Treffer auszutauschen.

Mitmachen darf laut Morgan jeder EU-Bürger, der über Internetzugang und Browser verfügt. Längerfristig soll das Projekt nicht nur in England, sondern auch in anderen Ländern angeboten werden.

Und so will er „Internet Eyes“ bald europaweit Kommunen und Polizeibehörden anbieten, die sich bislang eine kontinuierliche Überwachung ihrer Kameras nicht leisten konnten. Geht der Plan auf, dürfte dies ein explosionsartig wachsendes Aufkommen an Überwachungskameras zur Folge haben.

Der nächste Schritt wäre dann (zumindest in Deutschland) der Einsatz von 1 €-Jobbern statt gelangweilten Frührentnern am Bildschirm. Wollen wir es nicht hoffen, dass so mehr als 60 Jahre nach dem Fall der Hitlerdiktatur die Unkultur der Blockwarte wieder zurückkehrt.

Die Datenbörsen der Arbeitsagentur

In den letzten zwei Wochen konnte man schon den Eindruck gewinnen, bzgl. des Datenschutzes hätte die Wirtschaft inzwischen jede Scham verloren. Ob Bewerber-Bluttests bei Daimler, Beiersdorf und Merck, Bruch des Bankgeheimnisses bei der Postbank, Datenklau bei SchülerVZ, neue Spitzeleien bei der Telekom oder Datenpannen bei Libri – praktisch jeden Tag gab es einen neuen Datenskandal. In einigen Fällen dürfte eine zu schwach aufgestellte IT-Sicherheit oder konzeptionelle Lücken in den Datenschutzbestrebungen der Firmen ursächlich gewesen sein. Oft jedoch auch eine gewisse „Herrenmenschenmentalität“ der jeweiligen Entscheider, die sich dachten „Datenschutz ist für andere – wir machen was wir wollen!“.

Eine besonders dicke Datenschutzsau treibe jedoch ausgerechnet die Agentur für Arbeit derzeit durchs bundesrepublikanische Dorf. Die Arbeitsagentur betreibt mit ihrer Jobbörse eine der größten Datenbanken Deutschlands. In ihr sind etwa 3.800.000 Profile arbeitslos gemeldeter Stellensuchender gespeichert. Darin können potentielle Arbeitgeber anonymisierte Profile, geordnet nach Fertigkeiten und Berufsklassifikationen recherchieren und bei Interesse den zuständigen Bearbeiter der Arbeitsagentur kontakten, damit dieser zwischen Arbeitgeber und Bewerber den direkten Kontakt herstellt. Kürzlich stellte sich aber heraus, dass sich jedermann in den System als „Arbeitgeber“ umtun konnte – auch wenn er weder Unternehmer oder Personaler war und schon gar keine offene Stelle hatte.  Und das er dabei auch an nicht anonymisierte Daten herankam, um sie ggf. auch in größeren Mengen herunterzuladen und für eigene Zwecke weiter nutzen zu können.

Spiegel Online hierzu:

Bei der Jobbörse müssten Arbeitgeber lediglich den Firmennamen, die Branche sowie Anschrift und Ansprechpartner angeben. Die Identität prüfe die Bundesagentur nicht. Nach der Anmeldung bekomme der Arbeitgeber eine persönliche Identifikationsnummer zugeschickt, mit dieser könne bereits ein Teil der Bewerberdaten in nicht mehr anonymisierter Form eingesehen werden. Jeder könne so Bewerbungsunterlagen anfordern, mit Adresse, Telefonnummer, Geburtsdaten, Zeugnissen und Lebenslauf – egal, ob er einen Job zu vergeben habe oder nicht.

Wäre das schon happig, legte die Arbeitsagentur im Bereich Hartz-IV-Empfänger gleich noch nach. Denn das 4-PM („Vier-Phasen-Modell“) , ein System, über das gut 100.000 Mitarbeiter unter anderem Einkommens- und Familiensituation, Schul- und Berufsausbildung, mögliche Erkrankungen und Vorstrafen, Suchtprobleme und Verschuldung von Hartz-IV-Empfängern abrufen können, erwies sich als regelrechte Datenschleuder. Darüber können auch Mitarbeiter, die nichts mit der Betreuung der Arbeitslosen zu tun haben, nach sensiblen personenbezogenen Sozialdaten forschen. Und das bundesweit, also auch außerhalb des eigenen Zuständigkeitsbereiches. Ein Umstand der den Personalräten der Arbeitsagentur schon seit längerem Probleme bereitet. Weshalb sie sich nach wohl fruchtlosen Versuchen, das intern zu regeln, an die Presse wandten und die Sache auffliegen ließen. Sie haben erhebliche Bedenken zum Sozialdatenschutz und sehen das Recht auf informationelle Selbstbestimmung der Bürger verletzt. Diese Bedenken der Personalräte in den Arbeitsagenturen teile ich. Zugleich zeugt das einmal mehr, wie wichtig Mitbestimmungsorgane für das Aufdecken und Angehen fauler Stellen in Wirtschaft und Verwaltung sind.

Zu welchen Formen des Missbrauchs solche Datenlecks führen können, zeigen Insider-Berichte aus der Arbeitsagentur: So wussten die Mitarbeiter der Argen schnell mehr über zwei bestimmte Kandidaten der Fernsehshow von Dieter Bohlen. Das Computersystem der Arbeitsagentur verzeichnete weit über 10.000 Zugriffe auf ihre Datensätze nach deren Auftritt, bei dem die Männer auch ihre zeitweilige Arbeitssuche erwähnten.

Es zeigt sich einmal mehr, dass viele Datenschutz- und Sicherheitsprobleme gar nicht auftreten würden, wenn man sich an banal wirkende Lehrbucherkenntnisse halten würde. Da große Datensammlungen, egal zu welchem Zweck angelegt, immer irgendwann außer Kontrolle geraten und Daten daraus „abfließen“ können, rät schon das Bundesdatenschutzgesetz zu Datensparsamkeit und Datenvermeidung. Daten die erst gar nicht anfallen oder erhoben werden, können auch nicht in falsche Hände geraten. Das ist das Hauptargument, das Datenschützer und Bürgerrechtsaktivisten gegen große zentrale Datensammlungen vorbringen.- Es wird nur leider viel zu selten berücksichtigt.

Zumal solche Datenschleudereien zumindest im öffentlichen Bereich folgenlos bleiben.

Bundesdatenschutzbeauftragter Peter Schaar hierzu in einem Interview mit Ole Reißmannauf Spiegel online:

Ich habe als Bundesbeauftragter für den Datenschutz die Möglichkeit, das zu kritisieren und gegebenenfalls zu beanstanden, mehr nicht. Auch bei der Jobbörse der Arbeitsagentur gibt es ja ein Problem mit dem Datenschutz. Ohne Prüfung der Identität und Seriosität kann sich praktisch jeder als Arbeitgeber registrieren lassen und Unterlagen von Bewerbern anfordern. Das wissen wir seit einem Jahr, unsere Kritik und unsere Hinweise haben nicht geholfen. Es fehlt einfach an der nötigen Sensibilität im Umgang mit persönlichen Daten und an entsprechend wirksamen Durchsetzungsmöglichkeiten für mich als Bundesbeauftragten für den Datenschutz.

…

Wäre die Bundesagentur für Arbeit eine Firma, könnten die zuständigen Datenschützer zumindest Bußgelder verhängen, gegebenenfalls sogar die Datenverarbeitung untersagen, und das Problem müsste öffentlich gemacht werden. Seit September ist das gesetzlich vorgeschrieben. Aber für Behörden gilt diese Verpflichtung nicht – und etwas untersagen oder Geldbußen verhängen, können wir auch nicht.

Narrenfreiheit und Straflosigkeit für Behörden also. Egal was datentechnisch verbockt wird. Da dürften jegliche Anreize fehlen, zumal Stellungnahmen des Bundesdatenschutzbeauftragten für die Behörden wohl nur Empfehlungscharakter zu haben scheinen.

Und das obwohl Privatfirmen für gleichartige Verstöße durchaus zu sechsstelligen Geldstrafen sowie der Abführung der daraus gezogen Gewinne verurteilt werden können.

Man wird die öffentlichen und privaten Datenschleudern wohl nur dadurch stilllegen können, indem hart und unnachsichtig durch Prozesse, Urteile und Skandalisierung Klarheit darüber geschaffen wird, das Verstöße gegen den Datenschutz ähnlich geahndet werden, wie jene gegen das Eigentumsrecht (Betrug, Diebstahl …) oder das Recht auf körperliche Unversehrtheit (tätliche Angriffe, sexuelle Belästigungen …).

Da liegt ein ordentliches Stück Arbeit vor uns. Wird es jedoch angegangen, kann das insbesondere für professionell in der IT-Sicherheit Tätige eine Sonderkonjunktur bedeuten.

Schon wieder Daten „gelidlt“

Seit den Datenskandalen rund um illegale Mitarbeiterüberwachung und Krankenakten bei Lidl stehen die, für ihre aggressiven Personalmanagementpraktiken bekannten Discounter unter verstärkter öffentlicher Beobachtung. Und das Verb „gelidlt werden“ beginnt sich als Bezeichnung für „Informationsbeschaffungsmethoden wirklich freier Unternehmer unter kreativer Ausgestaltung der geltenden Gesetzeslage und flexibler Wahrung von Persönlichkeitsrechten“ zu etablieren.

Und so überrascht es nicht wirklich, auf Spiegel Online zu lesen, dass der irländischen Lidl-Tochter doch tatsächlich ein Server abhandenkam, auf dem Dateien mit Umsatzzahlen, Einkaufsplanungen, Schriftverkehr zwischen dem Unternehmen und Ärzten der Mitarbeiter sowie Krankmeldungen, Diagnosen oder Abmahnungen von Beschäftigten abgelegt waren. Insgesamt etwa 200.000 Dokumente, wie ein ehemaliger deutschen Lidl-Beschäftigter, der mal für das Irland-Geschäft zuständig war, berichtete, dem ein Plattenabzug zugespielt  worden war.

Ärgerlich und peinlich für Lidl. Und übel für die betroffenen Beschäftigten. Andererseits wäre das nicht das erste und bestimmt auch nicht das letzte Datenleck in einer Unternehmens-EDV. Richtig schräg wurde es erst, als der frühere Lidl-Mitarbeiter nach eigener Darstellung versuchte, die Festplatte an Lidl zu übergeben und seine früheren Kollegen für das sich anbahnende Desaster zu sensibilisieren. Denn der Konzern zeigte angeblich kein Interesse und hielt die Daten nicht für brisant.

Simon Columbus schreibt dazu auf Gulli.com:

Sollte Lidl allerdings tatsächlich die erste Kontaktaufnahme mit einem achselzuckenden „na und?“ beantwortet haben, wie sich die Sache bisher darstellt, dann darf man sich um den Geisteszustand der Verantwortlichen Sorgen machen. Schon so ist es erschreckend genug, dass derart intime Daten wie ärztliche Prognosen innerhalb des Unternehmens frei zugänglich waren. Wenn das aber noch nicht einmal als „brisant“ erkannt wird, dann fehlt es eindeutig an Augenmaß im Datenschutz.

Inzwischen hat wohl auch die Rechtsabteilung des Discounters nochmal drüber meditiert. Und den Festplattenfinder dazu aufgefordert, den Datenträger bei der Staatsanwaltschaft abzugeben. Und sich weitere rechtliche Schritte vorbehalten.

Einmal mehr wird ersichtlich, dass IT-Sicherheit auf mehreren Ebenen gedacht und umgesetzt werden muss. Ein noch so gut gegen Netzattacken geschütztes Rechenzentrum ist leicht angreifbar, wenn man dort vor Ort einfach so in Gebäude hinein und an Server und Platten herankommt, die Sekretärin zur Herausgabe sensibler Daten verleiten kann oder lausig bezahlte und schlecht behandelte Mitarbeiter leicht empfänglich für Korruption sind.

Nacktscanner und die Tücken der Technik

Terahertzscanner, aufgrund ihrer entblößenden Wirkung auch Nackscanner genannt, können heikle rechtliche Probleme mit sich bringen sobald man sie einschaltet. Insbesondere wenn man sie an Flughäfen einsetzt und auch Kinder durchlaufen lässt. Darauf habe ich vor knapp einem Jahr in einem Artikel bereits hingewiesen. Denn das Datenmaterial, das die bildgebenden Verfahren der Geräte erzeugen, kann durchaus die rechtlichen Kriterien für Kinderpornografie erfüllen. Und das brächte das Bedienpersonal der Scanner in beträchtliche rechtliche Probleme. Das Sicherheitspersonal setzt sich in solchen Fällen der Gefahr aus, wegen der Herstellung und des Besitzes von Kinderpornografie verfolgt zu werden.

Was im ersten Augenblick absurd klingt, ist keinesfalls ein schlechter Witz. Es ist bittere Realität der in den letzten Jahren deutlich verstärkten sexualstrafrechtlichen Normen vieler EU-Länder. Eine Tatsache, die auch die Hersteller solcher Geräte sehen, da deren Betriebsanweisungen dazu raten, Jugendliche erst ab einem Alter von zwölf Jahren durch den Scanner zu schicken. Aber auch nur dann, wenn die Eltern einer Kontrolle zustimmen. Auch wenn das das rechtlich heikle Kinderpornografieproblem wohl nicht lösen wird.

Während man in Kontinentaleuropa deshalb und auch aus anderen ethischen Überlegungen heraus bislang auf den Einsatz der Nachtscanner verzichtete, sieht man Videoüberwachung und andere Kontrolltechniken in Großbritannien traditionell lockerer. Auf Intervention der Kinderrechtsorganisation „Action on Rights for Children“ will man nun aber auf britischen Flughäfen künftig auf Scans verzichten. Zumindest wenn die betreffende Person nicht volljährig ist. Anderenfalls setzten sich die Betreiber der Nacktscanner dem Risiko aus, im Rahmen des britischen Kinderschutzgesetzes „Protection of Children Act 1978“ zur Rechenschaft gezogen zu werden.

Ideen und Konzepte zum Thema Überwachung erweisen sich oftmals als ethisch fragwürdig und rechtlich heikel, sobald man sich näher damit befasst. Doch oft fällt das „Zehnerl“ bei den dafür zuständigen Instanzen eben centweise.

Das Gute daran dürfte sein, dass das Thema Nackscanner sich damit in allen Ländern erledigt haben dürfte, in denen Herstellung und Besitz von Kinderpornografie strafrechtlich verfolgt wird.

Telekom plant Branchengipfel zum Thema Datendiebstahl

Die Deutsche Telekom wird ihre Probleme mit abhanden gekommenen Kundendaten einfach nicht los. Und das obwohl der Konzern sich bereits seit längerem bemüht, sich bzgl. des Datenschutzes besser aufzustellen. Und dazu sogar einen Datenschutzbeirat eingerichtet hat. Nun plant Telekom-Vorstand Manfred Balz die Chefs aller großen Kommunikationsunternehmen zu einer Art Gipfelgespräch einzuladen, um dort zu diskutieren, wie man den Problemen mit gestohlenen und vagabundierenden Kundendaten Herr werden könne.

Soll da ein Telekom-internes Problem verallgemeinert werden? Oder geht es tatsächlich um unternehmensübergreifende Missstände, die auch nur in Zusammenarbeit aller betroffenen Unternehmen gelöst werden können.

Anfang der Woche war bekannt geworden, dass Hunderttausende Kundendaten der Telekom bei dubiosen Firmen bis in die Türkei in Umlauf waren. Denn die Telekom arbeitet bei Marketingkampagnen mit zahlreichen Agenturen,  Dienstleistern und Subunternehmern zusammen, die es wohl nicht immer so ganz genau mit den deutschen Datenschutzgesetzen sowie den Verträgen zur Auftragsdatenverarbeitung mit der Telekom nehmen.

Die Datenpannen sind deswegen teilweise hausgemacht. Die Zuarbeiter der Telekom erhalten für ihre Aufgaben Dateien und Listen mit Kundendaten, um z.B. per Callcenter  auslaufende Verträge verlängern oder neue Produktangebote verkaufen zu können.

Zwar dürfen externe Callcenter, die im Zuge der Auftragsdatenverarbeitung erhaltenen Kundendaten nicht kopieren oder anderweitig nutzen. Das scheint sie jedoch bislang nicht davon abzuhalten, es trotzdem zu tun. So wurde letzte Woche bekannt, dass die Staatsanwaltschaft Bonn nach einer Anzeige der Telekom vom Februar dieses Jahres gegen einen Ring von Datenhändlern und Callcenter-Betreibern ermitteln lässt. Diese sollen wegen der niedrigen technischen Hürden seitens der Telekom im großen Stil Kundendaten automatisiert aus der Telekom-Vertriebsdatenbank abgerufen haben.

Die Telekom als Datensaugstelle für Dealer und Cyberkriminelle?

Dem widerspricht der Konzern in einer Pressemitteilung energisch, räumt aber ein, das die Art der Provisionierung dieser zuarbeitenden Unternehmen eine Rolle bei den Datendiebereien spielen könnte.

Kontrollen haben gezeigt, dass Subpartner ohne Autorisierung Callcenter – teilweise außerhalb der EU – damit beauftragt hatten, Kunden zu akquirieren. Dabei wurde vorgetäuscht, die Aufträge seien durch den stationären Handel generiert worden, wofür höhere Provisionen gezahlt werden als für die telefonische Akquise.

Telekom-Vorstand Balz erläuterte dazu, dass sich im hart umkämpften TK-Geschäft „ein System mit kriminogenen Strukturen“ etabliert habe, das selbst ein Branchenriese wie die Telekom allein gar nicht knacken könne. Es sei ein „gefährliches Provisionskarussell“ entstanden, das zum Betrug geradezu einlade.

Und dessen Regeln üblicherweise von der Telekom und andere Großauftraggebern festgelegt werden. Der von Balz geplant Branchengipfel dürfte daher (auch) zur Planung einer großen Sparrunde dienen, um die Dienstleister stärker an die Leine zu nehmen.

Dieser Schuss könnte aber nach hinten losgehen. Denn zunehmendes Outsourcing sowie Vermachtungsprozesse in den Märkten (starke Konzernkunden, schwache weil austauschbare Dienstleister) fördern letztlich nur die von Balz beklagten kriminogenen Strukturen.

Schufa-Auskunft für den Chef – ist das legal?

Die Schufa sammelt und aggregiert zahlreiche Finanzdaten von Unternehmen und Verbrauchern. Über eine Schufa-Auskunft lässt sich u.a. ein Überblick über vorhandene Bankkonten, Kreditkarten und Handyverträge, laufende Kreditverpflichtungen aber auch Negativeinträge wie Informationen über nicht vertragsgemäße Abwicklungen von Geschäften (Mahnbescheide, geplatzte Schecks, Kreditprobleme) und Daten aus öffentlichen Verzeichnissen und amtlichen Bekanntmachungen wie z.B. den Schuldner- und Insolvenzverzeichnissen der Amtsgerichte gewinnen.

Daher gibt es Unternehmen, die im Rahmen ihres Risikomanagements von ihren Angestellten neben einem polizeilichen Führungszeugnis auch eine jährlich erneut vorzulegende Schufa-Selbstauskunft haben wollen. Bankgeheimnis hin oder her.

Doch ist das legal?

Schließlich darf ein Arbeitgeber gemäß § 32 BDSG personenbezogene Daten eines Beschäftigten nur für Zwecke des Beschäftigungsverhältnisses erheben und nutzen. Und auch das nur dann, wenn es erforderlich ist. Reine Neugier oder Nützlichkeitserwägungen reichen also nicht. Und Schufa-Auskünfte enthalten außer Namen, Adresse und Kontonummer nichts, was für Zwecke des Beschäftigungsverhältnisses wirklich erforderlich ist.

Besonderes Interesse am Finanzstatus ihrer Beschäftigten haben Unternehmen des Wach- und Sicherheitsgewerbes. Dort will man – wohl auch angesichts branchenüblich magerer Entlohnung – sichergehen, dass die Fahrer von Geldtransporten eine finanziell gesehen einwandfreie Lebensführung aufweisen. Dazu nahm die Bundesvereinigung Deutscher Geld- und Wertdienste (BDGW), ein Arbeitgeberverband im Sicherheitsgewerbe im Rahmen eines satzungsgemäß für die Verbandsmitglieder verbindlichen jährlich erneut durchzuführenden „Sicherheitschecks“ die Anforderung auf, von Bewerbern Schufa-Selbstauskünfte einzufordern:

Der „klassische“ Sicherheits-Check 1 befasst sich vor allem mit baulich-technischen und personellen Anforderungen sowie der ordnungsgemäßen Durchführung von Geld- und Werttransporten. Überprüfungsschwerpunkte fangen bereits bei den Einstellungsvoraussetzungen für das Personal an. Hier werden wesentlich höhere Maßstäbe angelegt als in den meisten anderen Branchen. Die Vorlage eines polizeilichen Führungszeugnisses, eine ärztlich bestätigte physische und psychische Tauglichkeit, eine persönliche und eine Schufa-Selbstauskunft sowie eine Verschwiegenheitserklärung sind nur einige der Punkte, die von den Bewerbern verlangt werden.

(Quelle: BDGW-Imagebroschüre, PDF 1,2 MB)

Dumm nur, das so eine Klausel rechtlich gesehen die Verbindlichkeit eines Wunsches besitzt. Und in den Unternehmen, in denen ein Betriebsrat existiert, dieser diese Praxis unterbinden kann. Worauf kürzlich die Gewerkschaft Verdi in ihrem Brancheninfodienst „Sicherheitsnadel“ im Rahmen einer ausführlichen juristischen Stellungnahme hinwies.

Arbeitgeber müssen Gesetze einhalten. Da hat ihnen auch kein Betriebsrat dreinzureden. Mitbestimmung gibt es nur da, wo der Gesetzgeber dafür Spielräume gelassen oder explizit Mitbestimmungsrechte eingeräumt hat.

Verbandssatzungen sind aber keine Gesetze. Und sie dürfen auch kein gesetzeswidriges Verhalten zur Norm für die Verbandsmitglieder erheben (legt man das streng aus, könnte ein Verband deswegen sogar verboten werden). Durch sie werden zudem nur die Verbandsmitglieder zu etwas verpflichtet, nicht deren Beschäftigte.

Das Gleiche gilt auch für Verträge aller Art, wie z.B. Versicherungsverträge auf die sich in solchen Fällen auch gern mal bezogen wird. Ein Blick ins BGB zeigt in § 134 dass Verträge, deren Inhalt gegen Gesetze verstößt, nichtig sind.

(interessanter Nebenaspekt: Wie kann man aus einer potentiell nichtigen Versicherungspolice im Schadensfall Leistungen einfordern?)

Hin und wieder müssen ausgerechnet beufsgenossenschaftliche Unfallverhütungsvorschriften wie die für Wach- und Sicherungsdienste relevante Vorschrift BGV C7 „Besondere Bestimmungen für Geldtransporte“, herhalten, um einen gesetzesgleichen Anspruch auf das Einfordern von Schufa-Auskünften abzuleiten.  Eine Durchführungsanweisung zum § 24 (Eignung des Personals) könnte tatsächlich dahingehend ausgelegt werden:

Bei der Eignungsbeurteilung (des Bewerbers für den Wachdienst) ist insbesondere auch auf Unbescholtenheit sowie eine geordnete Lebensführung zu achten, z.B. durch die unbeschränkte Auskunft nach § 41 Abs. 1 Nr. 9 Bundeszentralregistergesetz (BZRG), polizeiliches Führungszeugnis, die aktuelle Schufa-Selbstauskunft.

Allerdings sind auch Durchführungsanweisungen nicht mehr als unverbindliche Handlungsempfehlungen und können gesetzliche Vorschriften wie das Bundesdatenschutzgesetz nicht außer Kraft setzen. Im Gegenteil: Es ist anzunehmen, dass solche Handlungsempfehlungen als Folge von Gesetzesänderungen und Rechtsprechung früher oder später geräuschlos korrigiert werden. Zum auch hier die Schufa-Auskunft nicht als Norm sondern als mögliches Beispiel zu deren Erfüllung genannt wird.

Die Tücke beim Umgang mit Rechtsquellen steckt demnach häufig in den Details, welche gelesen und auch verstanden werden wollen.

So kam auch Arbeitsrechtler Tobias Wolters in der „Sicherheitsnadel“ (Ausgabe 12, S. 7) zu dem Fazit, dass das Einfordern von Schufa-Auskünften von Beschäftigten oder Bewerbern zwar mit unter die Mitbestimmung des Betriebsrats fällt, da es um Fragen des Ordnungsverhaltens der Arbeitnehmer geht. Dieser aber keine entsprechende Betriebsvereinbarung abschließen kann, da auch Betriebsvereinbarungen (ähnlich wie Verträge) nichts Gesetzeswidriges enthalten dürfen.

Er empfiehlt daher das Thema Schufa-Auskünfte aus entsprechenden Verbandssatzungen, Versicherungsverträgen und Anmerkungen zu berufsgenossenschaftlichen Regeln komplett zu streichen.

Wer einmal seine eigene Schufa-Auskunft prüfen will, kann das unter www.meineschufa.de tun. Wer mehr über Scoring-Methoden generell erfahren will, dem bietet die Schufa unter www.scoring-wissen.de eine Einführung in das Thema an.

40% aller WLAN-Netze in Deutschland sind schlecht gesichert

Zu diesem Ergebnis kam die „PC-Feuerwehr“ eine als Franchise-System bundesweit tätige Firma, die u.a. einen PC-Notdienst für Privat- und Geschäftskunden anbietet. Techniker der Firma waren bundesweit in Wohn- und Gewerbegebieten unterwegs und prüften dort den Verschlüsselungsstatus erreichbarer WLAN-Funknetze (Wardriving). Dabei fanden sie im Durchschnitt etwa 11% komplett offene (unverschlüsselte) WLAN-Netze sowie weitere gut 30%, die lediglich mit dem veralteten und bereits seit Jahren als unsicher geltenden Verschlüsselungsstandard WEP „geschützt“ waren.

Sein WLAN gar nicht oder nur zum Anschein zu schützen kann unangenehme Folgen haben.  So ist die Privatsphäre aller Benutzer gefährdet, weil über das unsichere drahtlose Netz ihr gesamter unverschlüsselter Datenverkehr komplett mitgelesen werden kann. Aber auch wenn andere über das Netz Illegales treiben steht der Betreiber des WLAN-Routers über die sog. „Störerhaftung“ mit in der Verantwortung und muss für juristische Konsequenzen geradestehen.

Bei der Absicherung der Netze gibt es den PC-Feuerwehrlern zufolge beträchtliche regionale Unterschiede. So sollen in Bad Schwartau um die 40% der WLANs unverschlüsselt sein. Zu den sichersten Städten zählt dagegen Darmstadt mit nur rund 5% unverschlüsselten Netzen. Was auf Gulli.com zu der Vermutung führte, dass die in dieser Region stark durch Unternehmen, Forschung und Lehre vertretene IT-Sicherheit sich dort positiv auf die allgemeine Awareness der Betreiber und Nutzer auswirkt. Die „rote Laterne“ hinsichtlich WLAN-Sicherheit trägt die Stadt Bad Schwartau davon. Dort fanden die Techniker 40 Prozent aller WLANs ungesichert vor.

Nichtsdestotrotz nimmt das Bewusstsein für Sicherheit in Deutschland weiter zu. Denn die PC-Feuerwehr führt diese Überprüfung der Sicherheitsstandards bereits seit fünf Jahren jährlich durch. Vor vier Jahren fand man noch 36 Prozent aller WLANs ungeschützt vor.

Und inzwischen werden WLAN-Router für den privaten Internetzugang meist mit voreingestellter starker Verschlüsselung ausgeliefert, sodass diese nicht erst manuell aktiviert werden muss (was manchem Nutzer gar nicht klar ist).

„Trotzdem spüren wir in der täglichen Arbeit immer noch Unsicherheiten bei unseren Kunden, wie sie sich und ihren Computer gegen ungewollten Missbrauch schützen können“, weiß Geschäftsführer Michael Kittlitz aus der Praxis seines bundesweit tätigen PC-Notdienstes zu berichten.

Dazu hat die PC-Feuerwehr eine Checkliste mit folgenden Empfehlungen erstellt:

1. Im WLAN-Router überprüfen, was als Verschlüsselungsprotokoll voreingestellt ist. Falls da WEP oder gar nichts drinsteht, die bessere Verschlüsselung WPA2 (oder eine andere verfügbare) einstellen.
2. Bei einem neuen WLAN-Router sollte das voreingestellte Passwort sofort geändert werden und aus mindestens acht (besser noch mehr) Zeichen – Zahlen, Buchstaben sowie Sonderzeichen – bestehen. Man sollte dieses Passwort regelmäßig ändern. Es ist der Generalschlüssel zum eigenen Netz.Die Stärke des Passwortes, gemessen an allgemeinen Gütekriterien, kann man auf http://passwortcheck.pc-feuerwehr.de/ testen lassen.
3. Die Fernkonfiguration der WLAN-Einstellungen sollte man möglichst deaktivieren. Dadurch entledigt man sich einer potentiellen Sicherheitslücke, ohne auf täglich benötigte Funktionalität zu verzichten.
4. Das Funknetz kann ohne Bedenken abgeschaltet werden, wenn es gerade nicht benötigt wird, z.B. über eine Steckerleiste. Problematisch wird das allerdings, wenn z.B. auch die Telefonanlage mit dranhängt (Kombigeräte) oder der WLAN-Zugang dauerhaft online sein soll (z.B. in Wohngemeinschaften).
5. Die Techniker der PC-Feuerwehr fanden heraus, dass 26 % der WLANs auf Funkkanal sechs, 24% auf Kanal elf und 18% auf Kanal eins liegen. Diese starke gemeinsame Nutzung weniger Kanäle führt in dicht besiedelten Gegenden oft zu langsamen Internetverbindungen oder Störungen. Deshalb empfehlen sie Kanal zehn, vier oder fünf zu nutzen. Diese werden nur von knapp zwei Prozent der Betreiber genutzt.

Arbeitsgericht stellt klar: Cheffe’s E-Mails sind tabu!

Fälle wie dieser werden in der Fachliteratur regelmäßig zitiert, wenn es um die (Un)zulässigkeit des administrativen Ausspähens anderer Leute Mailboxen in der Firma geht: So wies das Landesarbeitsgericht München kürzlich die Kündigungsschutzklage eines Systemadministrators ab (Az. 11 Sa 54/09), der bereits 2007 wegen diverser dienstlicher Pflichtverletzungen gekündigt wurde. Konkret hatte er seine Admin-Rechte dazu genutzt, Dateien der Personalstelle zu lesen und in der Mailbox eines Geschäftsführers zu schnüffeln.

Erwischt wurde der Mann allerdings nicht durch wachsame Datenschützer sondern weil er auch noch so naiv war, mit den ausgedruckten Mails des einen Geschäftsführers zu einem anderen Geschäftsführer Firma zu gehen, um ihn dort anzuschwärzen.

Er brachte zu seiner Verteidigung u.a. vor, es habe zu seinen Aufgaben gehört, die Mails des betroffenen Geschäftsführers zu lesen. Die Firma bestritt dies.

Das Landesarbeitsgericht folgte dem und verwarf die Klage des Ex-Admins. Es begründete sein Urteil damit, dass nach herrschender Auffassung  der Missbrauch von Zugriffsrechten durch Systemadministratoren regelmäßig eine fristlose Kündigung ohne vorherige Abmahnung rechtfertigt. Dies wird fast immer als schwerwiegender Verstoß gegen arbeitsvertragliche Pflichten gewertet.

Die Richter bestätigten damit die vorinstanzliche Entscheidung des Arbeitsgerichts München sowie eine vergleichbare Entscheidung des Arbeitsgerichts Aachen, die bereits 2005 erging.

Daraus folgt das eigentlich Selbstverständliche: Als Admin wird nicht in den Daten anderer Leute geschnüffelt! Denn neben den unangenehmen arbeitsrechtlichen Folgen macht man sich auch strafbar, wenn man es ohne konkrete Anweisung von Berechtigten täte.

Und falls es dazu ausdrückliche Anweisungen von Vorgesetzten gibt, es doch zu tun, lässt man sich diese schriftlich und vom dafür Zeichnungsberechtigten unterschrieben geben.  Die Anweisung wird dann im Beisein eines Zeugen (z.B. des Betriebsrats oder des Datenschutzbeauftragten) umgesetzt, um sicherzugehen, dass nichts Illegales ohne Wissen der dafür Verantwortlichen geschieht.

Unternehmen nehmen Datenschutzprobleme beim Softwaretest in Kauf

Vor wenigen Tagen trat ein  in wesentlichen Punkten verschärftes Datenschutzgesetz in Kraft. Ursache für die Novellierung des Gesetzes waren die zahlreichen Schlampereien und Datenschutzskandale in deutschen Unternehmen in den letzten zwei Jahren.

Dabei ging es meist um Dinge wie Ausspähung von Mitarbeitern, Kundendatenmissbrauch, Datendiebstahl oder illegale Krankenakten.

Ein weitaus weniger bekannter Aspekt ist der Datenschutz im Zusammenhang mit der Verwendung von Echtdaten in Testumgebungen. Oft werden der Einfachheit halber oder weil die Erzeugung von entsprechend strukturierten Testdaten aufwendig wäre, Echtdaten aus operativen Systemen unverändert zum Testen neuer Systeme in der Entwicklung oder Qualitätssicherung verwendet. Zu diesem Ergebnis kam auch eine vom Software-Anbieter Micro Focus beim Ponemon Institute in Auftrag gegebene Erhebung. Unternehmen verwenden für Softwaretests nach wie vor in großem Stil Originaldaten von Kunden, Mitarbeitern oder Kreditkarten und nehmen dabei den Missbrauch billigend in Kauf. Und etwa 80% der etwa 1.350 befragten Softwareentwickler und -tester wussten von (mindestens) einem Datenschutzproblem im vergangenen Jahr zu berichten.

„Die Verwendung von Originaldaten zu Testzwecken ist in den meisten Fällen üblich. Dieser Umstand lässt sich darauf zurückführen, dass der Aufwand für die Erstellung der Daten sowie die damit einhergehenden Kosten oftmals das Entwicklungsbudget sprengen“, erläutert Gerrit Wiegand, Softwareentwickler und Geschäftsführer der Offenbacher mainis IT-Service GmbH.

Zudem kann man im Grunde genommen nur mit Echtdaten (oder identischen Testdaten) wirklich testen, ob das System mit den im späteren Einsatz zu verarbeitenden Daten konkret das macht, was es soll. „Relativ trivial fängt dies bei der Namensgebung an. An kyrillische Buchstaben würden Europäer nie denken“, so Wiegand.

Daher ist es nicht allzu verwunderlich, dass in der Untersuchung auch nur 7% der Befragten der Ansicht waren, dass der Schutz der Informationen auch in Entwicklungs- und Testumgebungen ernst genommen wird. Man scheint sich jedoch langsam darüber klar zu werden, dass diese Daten besonders gefährdet sind. Beispielsweise durch ehemalige Mitarbeiter oder Zulieferer sowie externes Personal und zuarbeitende Dienstleister („verlängerte Werkbank“).

Dabei wäre es ohne größeren technischen Aufwand möglich, Echtdaten durch Anonymisierung, Pseudonymisierung, Maskierung sowie durch begleitende Maßnahmen des technischen und organisatorischen Datenschutzes so zu sichern, dass Datenlecks zuverlässig vermieden werden können.

Datenschutz beim Onlinemarketing – haben Sie eingewilligt?

Die Häufung von Datenschutzschlampereien in zahlreichen deutschen Firmen haben in diesem Jahr zu einer Verschärfung des Datenschutzgesetzes geführt. Zwar nicht in dem Maße wie es Datenschutzexperten forderten, um illegalem Datenhandel, betrügerischen Praktiken oder Krankendatensammelei in Firmen entgegentreten zu können. Aber doch deutlich genug, um die allgemeine Schlamperwirtschaft im Umgang mit personenbezogenen Daten zu einem ernstzunehmenden juristischen Haftungsrisiko für Unternehmen zu machen.

Insbesondere für zahlreiche Formen des Internet-Marketings (database marketing, permission marketing, afiliate marketing, user targeting, profiling, e-mail  & newsletter marketing usw.) bedeutet das größere Veränderungen der Abläufe und in der Software, um hier wieder compliant zu werden. Oft rächen sich jetzt konzeptionelle Nachlässigkeiten der letzten Jahre.

Ein Schlüsselelement bilden dabei die Einwilligungen zur Datenverarbeitung i.S.d. § 4 BDSG. Die sollten Unternehmen nicht nur einholen sondern auch bei entsprechenden Prüfungen nachweisen können. Oft beginnen da schon die Probleme, weil nicht mehr klar ist, welchen firmeninternen Datenschutzbestimmungen in welcher Version der Kunde mal zugestimmt hat, da nicht ausreichend dokumentiert wurde.

Typisch war in der Vergangenheit auch oft, dass den betroffenen Unternehmen nicht klar war, dass die rechtmäßige Nutzung von personenbezogenen Daten regelmäßig eine schriftliche Einwilligung der Betroffenen erforderlich machte. Ohne eine solche Einwilligung ist und bleibt die Verwendung personenbezogener Daten aber grundsätzlich verboten (sog. Verbot mit Erlaubnisvorbehalt).

Neben dem Datenschutzrecht kommen aber auch auch wettbewerbsrechtliche Regeln zum Tragen: „Bei Bestandskunden (B2C und B2B) ist ausnahmsweise eine Bewerbung eigener Angebote auch ohne Einwilligung erlaubt, sofern die Daten im Zusammenhang mit Begründung oder Durchführung der Kundenbeziehung erlangt wurden und der Kunde der Zusendung von E-Mails nicht widerspricht“, so Burkhard Danckert, Rechtsanwalt der Kanzlei LDM Lehner, Dänekamp & Mayer in einem Interview mit der Internet-Marketing-Firma Artegic AG in derem Newsletter.

Und weiter: „Das neue Datenschutzrecht enthält ein so genanntes Listenprivileg, nach welchem Werbung sowohl im Hinblick auf die berufliche Tätigkeit des Betroffenen als auch für eigene Angebote der verantwortlichen Stelle erlaubt ist. Letzteres aber nur dann, wenn die Daten beispielsweise aus allgemein zugänglichen Adress-, Rufnummern-, Branchen- oder vergleichbaren Verzeichnissen erhoben wurden. Unbedingt zu beachten ist, dass im Bereich B2B (ohne Einbeziehung der Bestandskunden) Werbung im Hinblick auf die berufliche Tätigkeit nach dem Datenschutzgesetz zwar erlaubt, genau dieselbe E-Mail-Werbung in der Regel nach den wettbewerbsrechtlichen Vorschriften aber unzulässig ist. Nach dem Gesetz gegen den unlauteren Wettbewerb (UWG) ist wie schon bei Bestandskunden die E-Mail-Werbung ohne Einwilligung nur in Ausnahmefällen zulässig. Und bei Nicht-Bestandskunden ist die E-Mail-Werbung ohne explizite Einwilligung generell unzulässig.“

Ein zentrales Thema für das richtige Einholen von Einwilligungen sind juristisch korrekte Angaben zum Datenschutz. Doch hier werden häufig nur Vorlagen von Dritten übernommen ohne eine Prüfung für die inhaltliche Eignung im eigenen Geschäftskontext.

Anwalt Danckert hierzu: „Ich schätze, dass über 90 % der Datenschutzbelehrungen fehlerhaft sind“, so Anwalt Danckert  und erläutert rechtlich umfassend was in einer solchen Datenschutzbelehrung mindestens stehen muss: „Die verpflichtenden Angaben ergeben sich aus § 13 Telemediengesetz (TMG). Danach hat der Unternehmer in der Datenschutzbelehrung über Art, Umfang und Zweck der Erhebung sowie über die Verwendung personenbezogener Daten und die Verarbeitung seiner Daten in Staaten außerhalb des Anwendungsbereichs der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein verständlicher Form zu unterrichten. Welche Angaben konkret zu machen sind, hängt immer auch vom konkreten Angebot des Unternehmens ab. Als Leitgedanke gilt, dass der Nutzer mit der Belehrung unmissverständlich in Kenntnis gesetzt wird, was mit seinen Daten passiert. Bei Newslettern ist der Kunde somit z.B. auch über die Häufigkeit der Versendung des Newsletter aufzuklären. Weiter ist der Nutzer unbedingt auf die Widerrufsmöglichkeit hinzuweisen, sofern er eine Einwilligung zur Datenverwendung gegeben hat. Dieser Hinweis muss selbstverständlich auch beim E-Mail-Abonnement gegeben werden. Es muss in diesem Zusammenhang dann auch dargestellt werden, wie das Widerrufsrecht ausgeübt werden kann.“

Es gibt also viel zu tun beim Datenschutz der Online-Marketeers. Daher haben deren Berufsverbände bereits erstes Material zur weiteren Information herausgegeben, mit dessen Lektüre man beginnen sollte.

Richtlinie Online-Marketing des Verbandes der deutschen Internetwirtschaft e.V. (eco)

Überblick über die Datenschutznovellen 20009 vom deutschen Dialogmarketing Verband e.V.

Und es zeigt sich einmal mehr, dass im Geschäftsleben das konsequente Durchsetzen der eigenen Interessen gegenüber anderen Gruppen in der Gesellschaft letztlich zu enormen Widerständen und in deren Folge zu weiterer Komplexität durch die dann notwendig gewordene härtere Regulierung führt. Die jetzt jammernden Firmen müssen einem daher nicht wirklich leid tun.