DIE DATENSCHUTZEXPERTEN
Mit leichter Überraschung reibt sich der Laie die Augen, wenn er die aktuellsten Nachrichten aus den USA vernimmt. Da erfährt man, dass die nationale Sicherheit heute offenbar zum grössten Teil von Subunternehmern geprägt wird, die ihrerseits mehr oder minder qualifiziertes Personal einsetzen, um die Überwachungsmaßnahmen im Auftrag des amerikanischen Staates auszuführen. Wie konnte es soweit kommen?
Der für eine rechtsnationale Gesinnung bekannte US-Fernsehsender Fox hat jüngst ein Interview mit Edward Snowdens Vater Lon geführt. Daddy bittet hierin seinen Sohn, nach Hause zu kommen und sich der amerikanischen Justiz zu stellen: „I would like to see Ed to come home and face this.“ Der erste Teil des Satzes erinnert mich an Freddy Quinn, der 1963 sang: „Junge, komm bald wieder, bald wieder, nach Haus …“ Aber das hier ist ganz sicher keine Schnulze und für Sohn Ed geht es um weit mehr als ein Wiedersehen mit seiner Familie. Zunächst wird er sich fragen, was seinen Vater veranlasst, ihn mit seiner Bitte, nach Hause zu kommen, einem Risiko auszusetzen, und was das Motiv für das Interview ist. Oder auch das Druckmittel?
Ein Blick in Richtung Bradley Manning, dem Whistleblower, der Wikileaks Informationen über Handlungen der US-Armee im Irak vermittelt hat, dürfte Ed weiche Knie bekommen lassen, wenn er über eine Rückkehr nachdenkt.
Edward Snowden ist in Moskau. Soll er zumindest sein. Gesehen hat ihn dort noch keiner und es ist nicht bekannt, ob er seinen Standort bei Facebook postet. Es dürfte aber auch sehr wahrscheinlich sein, dass es einen Edward Snowden nur in den Tagesmeldungen zu finden gibt und er selbst kein Profil in einem Social Network hat. Ecuador meldet soeben, dass sein Asylantrag zwei Monate dauern kann. Nähere Recherchen hierzu im Internet stehen im Zweifel, sich selbst dem Risiko auszusetzen, als potentieller Helfer in den Kreis der Verdächtigen einbezogen zu werden. Insofern auch hier keine weiterführenden Hinweise auf mögliche Aufenthalts- und Zugriffsmöglichkeiten. Gruß an die Schlapphüte …
Der Fall Falciani wirft derzeit hohe Wellen. Ein Informatiker der HSBC-Bank in Genf hat einen umfassenden Satz von Kundendaten mitgehen lassen. Diese Daten hat er den französischen Steuerbehörden geliefert und dafür eine erkleckliche Summe kassiert. Zur Zeit untersucht die Finanzmarktaufsichtsbehörde der Schweiz (FINMA) die Vorgänge rund um diesen Datenklau.
Anfang letzten Jahres hatte ich schon hier darüber berichtet, dass ein Unternehmen in Deutschland, welches mit Personaldaten arbeitet, den Ansatz vertreten hat, Safe Harbor wäre eine Firma, die gewährleistet, dass Daten in den USA sicherer wären als hierzulande. Begründet wurde dies seinerzeit damit, dass die „Datenschutzgesetze in Amerika viel strenger seien als in Deutschland“. Diese Auffassung kann man nur mit ungläubigem Staunen reflektieren und der Person, die solche Ansichten kundtut nur die Frage stellen: Könnten Sie das bitte wiederholen? Ich habe offensichtlich einen Hörfehler.
Erstaunlicherweise hat es doch ziemlich lange gedauert, bis die Datenschützer sich ernsthaft mit den Social Networks auseinandersetzen. Während in den USA die Datenschutzthematik langsam hochkocht, scheinen sich nun die Europäer ernsthaft Gedanken zu machen, wie man mit Facebook und Co. umgehen soll. Jetzt geht’s los?
Bei Facebook soll es laut einem Bericht der Schweizer 20 Min AG bis vor kurzem ein Mitglied namens Hannelore Müller gegeben haben. Eine ehemalige Mitarbeiterin der Schweizer Versicherungsgesellschaft Nationale Suisse hätte neben weiteren Mitarbeitern der Versicherung von Frau Müller eine Freundschaftsanfrage erhalten und Frau Müller sei bei Facebook verschwunden, nachdem besagte Mitarbeiterin von der Versicherung gekündigt wurde. Die Kündigung begründete die Nationale Suisse damit, dass die Mitarbeiterin an einem Tag, an dem sie wegen Migräne krankgeschrieben gewesen sei, bei Facebook gesurft hätte. Weiter hätte es seitens der Versicherung geheißen: „Wer surfen kann, kann auch arbeiten“.
Die New York Times berichtet in ihrer Online-Ausgabe, dass die amerikanischen Sicherheitsbehörden die Speicherung von DNS-Daten massiv ausweiten. Es würden nun die DNA-Profile von Millionen Menschen gespeichert, die festgenommen aber nicht verurteilt wurden, darunter die von illegalen Einwanderern und Minderjährigen. Bisher erfassten die Bundesbehörden nur DNS-Proben von Verurteilten. Die NYT beschreibt weiterhin die Sorge, dass die USA zu einer „genetischen Überwachungsgesellschaft“ werden könnten. Die Bundespolizei FBI, die bereits eine DNS-Datenbasis von rund 6,7 Millionen Menschen hat, registriert pro Jahr 80.000 neue Proben. Bis zum Jahr 2012 soll die Zahl auf rund 1,2 Millionen jährlich steigen. Sie werden jetzt möglicherweise sagen, dass Amerika weit weg ist. Doch in Sachen DNS-Datenbanken ist das ein großer Irrtum.
Der Alltag eines Datenschützers beinhaltet zunehmend Bewertungen von Personalentwicklungsmodellen, bei denen Unternehmen technische Möglichkeiten zur Potentialanalyse von Mitarbeitern nutzen. Aus datenschutzrechtlicher Sicht ist dagegen solange nichts einzuwenden, als dass ein betroffener Mitarbeiter um die Rahmenbedingungen eines solchen Programms weiß, darin eingewilligt hat und vor allem, dass die Anbieter solcher Programme wissen, was sie tun. Kürzlich erreichte mich die Antwort einer Personalberatung auf die Frage, wie es datenschutzrechtlich um ein Programm bestellt ist, das eine Persönlichkeitsbewertung auf einem Server in den USA vornimmt.
Der befragte Mitarbeiter hat für diese Bewertung nur einen Fragebogen auszufüllen und muss, um den Fragebogen zu bearbeiten, sein Einverständnis zu folgender Erklärung abgeben: „Ich versichere hiermit ausdrücklich unter Bezugnahme auf die einschlägigen datenschutzrechtlichen Bestimmungen (Bundesdatenschutzgesetz), dass die in den Fragebogen eingegebenen Daten ausschließlich mich persönlich betreffen und es sich nicht um Daten Dritter handelt. Ich bin ebenso ausdrücklich damit einverstanden, dass sowohl die personenbezogenen Daten als auch die im Fragebogen erteilten Antworten bei dem Lizenzgeber des Produktes [Produktname] namentlich: [Name der Fa., Adresse] USA, zentral gespeichert werden. Ihre Daten werden vertraulich behandelt und nicht an Dritte weitergegeben.“
Die oben erwähnte Antwort der Personalberatung auf die Frage, wie die Daten der betroffenen Mitarbeiter in den USA verarbeitet werden, verweist auf die Erklärungen des deutschen Lizenznehmers und lautet wie folgt: „Die folgende Information zum Datenschutz bei [Anbieter] haben wir von [Name des Lizenznehmers in Deutschland] die Datenschutzbestimmungen von Safe Harbor, der Firma, die die Sicherheit der Daten gewährleistet, sende ich Ihnen im Anhang. In Amerika sind die Datenschutzbestimmungen viel strenger als in Deutschland. Deshalb können Sie Ihren Probanden versichern, dass keine drei Personen Einblick in die Analysen haben oder die Daten für andere Fälle genutzt werden, als für die Auswertung der Analysen. Die Geschlechterangabe dient rein zur Anrede und die Emailadresse wird nur als Sicherheit abgefragt, falls jemand die Analysen zwischendurch unterbricht. […] Der Datenserver selbst befindet sich in [..], Amerika. Zugriff auf die Daten haben nur [Name des deutschen Lizenzträgers] und [Name des lizenzgebenden US-Unternehmens]. Die Speicherdauer kann ich Ihnen leider nicht genau sagen, aber benachrichtigt wird niemand, wenn die Daten gelöscht werden.
Aha. Die USA sind also aus der Sichtweise einer Personalberatung ein Standort, der datenschutzrechtlich sicherer ist als die BRD, Safe Harbor ist eine Firma, das amerikanische Unternehmen, als Lizenzgeber und speichernde Stelle der Daten, sowie das deutsche Lizenzträgerunternehmen sind nicht mehr als drei Personen, und Speicherfristen sind offensichtlich nicht am Interesse des betroffenen Mitarbeiters orientiert, sondern daran, dass die „Probanden“ jederzeit wieder erkennbar sind, egal für welches Unternehmen sie gerade arbeiten. Sinnigerweise findet sich auf der Webseite des deutschen Lizenznehmers unter dem Titel „Vertrauensvolle Zusammenarbeit“ eine Referenzliste, die eine Vielzahl von Unternehmen ausweist. Hat sicherlich den Vorteil, dass man sich im Rahmen einer Bewerbung nähere Angaben zur eigenen Person sparen kann, weil es ja die „Firma Safe Harbor“ und den amerikanischen Lizenzgeber gibt, die keine Speicherfristen haben.
Ach ja, ich sollte nicht vergessen zu erwähnen, dass der deutsche Lizenznehmer den Fragebogen und die Einverständniserklärung über ein Webtool betreibt, bei dem im Hintergrund Google Analytics installiert ist. Der Lizenznehmer hat keine Datenschutzerklärung auf seiner Webseite, in der auf Google Analytics verwiesen wird und ohne Google Analytics kann man der Einverständniserklärung nicht zustimmen. Wie war das mit den drei Personen?
Einer meiner favorisierten Asterixbände ist Asterix bei den Briten. Auch in diesem Band wird deutlich, dass des Obelix Muskelkraft seinem Geist offenbar nicht geschadet hat, denn in London und Umgebung hat er des Öfteren eine Bemerkung von sich gegeben, die immer noch von Bedeutung ist, wenn man sich die jüngsten Presseberichte anschaut: „Die spinnen, die Briten!“
In der jüngeren Vergangenheit hat die Politik uns Glauben machen wollen, dass der durch den ehemaligen Bundesinnenminister Otto Schily initiierte elektronische Reisepass, kurz e-Pass, die Fälschungssicherheit von Dokumenten erheblich erhöht, bzw. es unmöglich sei, den e-Pass zu fälschen. Technische Unmöglichkeit ist schon seit der Titanic widerlegt, und es war Sir Peter Ustinov, der sagte: „Das Letzte, was die Welt hören wird, bevor sie explodiert, ist die Stimme eines Technikers, die sagt: Das ist technisch unmöglich.“ Geschichte wiederholt sich und auch in Sachen e-Pass ist das scheinbar Unmögliche möglich.