Eine Firma namens Safe Harbor

Der Alltag eines Datenschützers beinhaltet zunehmend Bewertungen von Personalentwicklungsmodellen, bei denen Unternehmen technische Möglichkeiten zur Potentialanalyse von Mitarbeitern nutzen. Aus datenschutzrechtlicher Sicht ist dagegen solange nichts einzuwenden, als dass ein betroffener Mitarbeiter um die Rahmenbedingungen eines solchen Programms weiß, darin eingewilligt hat und vor allem, dass die Anbieter solcher Programme wissen, was sie tun. Kürzlich erreichte mich die Antwort einer Personalberatung auf die Frage, wie es datenschutzrechtlich um ein Programm bestellt ist, das eine Persönlichkeitsbewertung auf einem Server in den USA vornimmt.

Der befragte Mitarbeiter hat für diese Bewertung nur einen Fragebogen auszufüllen und muss, um den Fragebogen zu bearbeiten, sein Einverständnis zu folgender Erklärung abgeben: „Ich versichere hiermit ausdrücklich unter Bezugnahme auf die einschlägigen datenschutzrechtlichen Bestimmungen (Bundesdatenschutzgesetz), dass die in den Fragebogen eingegebenen Daten ausschließlich mich persönlich betreffen und es sich nicht um Daten Dritter handelt. Ich bin ebenso ausdrücklich damit einverstanden, dass sowohl die personenbezogenen Daten als auch die im Fragebogen erteilten Antworten bei dem Lizenzgeber des Produktes [Produktname] namentlich: [Name der Fa., Adresse] USA, zentral gespeichert werden. Ihre Daten werden vertraulich behandelt und nicht an Dritte weitergegeben.“

Die oben erwähnte Antwort der Personalberatung auf die Frage, wie die Daten der betroffenen Mitarbeiter in den USA verarbeitet werden, verweist auf die Erklärungen des deutschen Lizenznehmers und lautet wie folgt: „Die folgende Information zum Datenschutz bei [Anbieter] haben wir von [Name des Lizenznehmers in Deutschland] die Datenschutzbestimmungen von Safe Harbor, der Firma, die die Sicherheit der Daten gewährleistet, sende ich Ihnen im Anhang. In Amerika sind die Datenschutzbestimmungen viel strenger als in Deutschland. Deshalb können Sie Ihren Probanden versichern, dass keine drei Personen Einblick in die Analysen haben oder die Daten für andere Fälle genutzt werden, als für die Auswertung der Analysen. Die Geschlechterangabe dient rein zur Anrede und die Emailadresse wird nur als Sicherheit abgefragt, falls jemand die Analysen zwischendurch unterbricht. […] Der Datenserver selbst befindet sich in [..], Amerika. Zugriff auf die Daten haben nur [Name des deutschen Lizenzträgers] und [Name des lizenzgebenden US-Unternehmens]. Die Speicherdauer kann ich Ihnen leider nicht genau sagen, aber benachrichtigt wird niemand, wenn die Daten gelöscht werden.

Aha. Die USA sind also aus der Sichtweise einer Personalberatung ein Standort, der datenschutzrechtlich sicherer ist als die BRD, Safe Harbor ist eine Firma, das amerikanische Unternehmen, als Lizenzgeber und speichernde Stelle der Daten, sowie das deutsche Lizenzträgerunternehmen sind nicht mehr als drei Personen, und Speicherfristen sind offensichtlich nicht am Interesse des betroffenen Mitarbeiters orientiert, sondern daran, dass die „Probanden“ jederzeit wieder erkennbar sind, egal für welches Unternehmen sie gerade arbeiten. Sinnigerweise findet sich auf der Webseite des deutschen Lizenznehmers unter dem Titel „Vertrauensvolle Zusammenarbeit“ eine Referenzliste, die eine Vielzahl von Unternehmen ausweist. Hat sicherlich den Vorteil, dass man sich im Rahmen einer Bewerbung nähere Angaben zur eigenen Person sparen kann, weil es ja die „Firma Safe Harbor“ und den amerikanischen Lizenzgeber gibt, die keine Speicherfristen haben.

Ach ja, ich sollte nicht vergessen zu erwähnen, dass der deutsche Lizenznehmer den Fragebogen und die Einverständniserklärung über ein Webtool betreibt, bei dem im Hintergrund Google Analytics installiert ist. Der Lizenznehmer hat keine Datenschutzerklärung auf seiner Webseite, in der auf Google Analytics verwiesen wird und ohne Google Analytics kann man der Einverständniserklärung nicht zustimmen. Wie war das mit den drei Personen?

WeiterlesenEine Firma namens Safe Harbor

Die spinnen, die Briten

Einer meiner favorisierten Asterixbände ist Asterix bei den Briten. Auch in diesem Band wird deutlich, dass des Obelix Muskelkraft seinem Geist offenbar nicht geschadet hat, denn in London und Umgebung hat er des Öfteren eine Bemerkung von sich gegeben, die immer noch von Bedeutung ist, wenn man sich die jüngsten Presseberichte anschaut: „Die spinnen, die Briten!“

WeiterlesenDie spinnen, die Briten

Verfassungsbeschwerde gegen BKA-Gesetz

Ich hätte mit mehr Öffentlichkeit gerechnet. Bettina Winsemann, Bürgerrechtlerin, Autorin und auch unter dem Pseudonym Twister bekannt, hat beim Bundesverfassungsgericht Beschwerde gegen das BKA – Gesetz eingereicht. In der Berichterstattung zur Bahnaffäre scheint das untergegangen zu sein, auch wenn es hier um viel mehr als „nur“ 173000 Bahnmitarbeiter geht. 2007 war Twister schon mit einer Verfassungsbeschwerde gegen die Legalisierung von Online-Durchsuchungen durch den Verfassungsschutz erfolgreich. Hoffen wir für uns alle, dass sie diesen Erfolg auch mit der Beschwerde gegen das BKA-Gesetz haben wird.

Die Bahn

Man könnte die Ansicht vertreten, dass Bahn-Chef Hartmut Mehdorn keinen leichten Job hat. Achsbrüche, geplatzter Börsengang, öffentliche Diskussionen um Lokführerbezüge, Fahrpreiserhöhungen, „Bedienzuschläge“, angetrunkene Lokführer, unfähige Techniker und jetzt auch noch eine Datenaffäre. Andere Manager haben es da sicher leichter und kommen auch nicht in die Schlagzeilen. Insbesondere kann niemand auf eine solch konstante Serie von Rücktrittforderungen verweisen wie Herr Mehdorn, und immer noch seine Position halten. Auch seine Reaktion auf den jetzigen Vorwurf, er hätte von der Überwachung von 173.000 Mitarbeitern der deutschen Bahn gewusst und diese geduldet, hinterlässt nicht den Eindruck, dass er seinen Sessel in Berlin aufgeben könnte. Er vertritt die Auffassung, die Bahn hätte „keine Telefone abgehört, keine Konten eingesehen und keine Journalisten oder Aufsichtsräte bespitzelt” und erklärt: „Wir sind entsetzt, wie diese Themen aus diesem Zusammenhang heraus polemisch gegen die Bahn hervorgebracht werden.“

WeiterlesenDie Bahn

Elvis lebt!

Hacker's clone Elvis PasswortIn der jüngeren Vergangenheit hat die Politik uns Glauben machen wollen, dass der durch den ehemaligen Bundesinnenminister Otto Schily initiierte elektronische Reisepass, kurz e-Pass, die Fälschungssicherheit von Dokumenten erheblich erhöht, bzw. es unmöglich sei, den e-Pass zu fälschen. Technische Unmöglichkeit ist schon seit der Titanic widerlegt, und es war Sir Peter Ustinov, der sagte: „Das Letzte, was die Welt hören wird, bevor sie explodiert, ist die Stimme eines Technikers, die sagt: Das ist technisch unmöglich.“ Geschichte wiederholt sich und auch in Sachen e-Pass ist das scheinbar Unmögliche möglich.

WeiterlesenElvis lebt!

Schäubles Fingerabdruck

Fingerabruck kopiertDr. Wolfgang Schäuble hat nichts zu befürchten. So zumindest seine Äußerung gegenüber der Zeit, nachdem der CCC eine Attrappe von Schäubles Fingerabdruck in der Hauszeitschrift des CCC „Die Datenschleuder“ veröffentlicht hat. Ein Sympathisant des CCC hatte Schäubles Fingerabdruck gesichert; er war auf einer öffentlichen Veranstaltung an ein Glas gelangt, aus dem der Minister getrunken hatte. Das Thema ist für den CCC nicht neu. Bereits 2004 hatte der Verein eine Anleitung veröffentlicht, wie „mit einfachsten Mitteln Fingerabdrücke kopiert und nachgebildet werden können.“

WeiterlesenSchäubles Fingerabdruck