Records Management – Zur Beherrschung der Informationsflut

Es gab schon lange keine Beiträge mehr und ich wurde in letzter Zeit verstärkt gefragt, warum. Nun, die Antwort ist einfach: Datenschutz ist in aller Munde, es gibt dementsprechend viel zu tun und die Ressourcen sind knapp. Außerdem findet sich fast täglich etwas zum Thema in den Medien und die Möglichkeiten, sich darüber zu informieren beschränken sich insofern nicht auf Einrichtungen wie diesen Blog. Nichts desto trotz muss ich feststellen, dass die allgemeine Berichterstattung in die falsche Richtung läuft. Das, was aktuell diskutiert wird, hat wenig mit dem Alltag zu tun. Schlagzeilen zu diesem Thema haben regelmäßig den Charakter über Missstände zu berichten oder Verstöße anzuprangern. Aber was wird dagegen unternommen? Die Politik wird beherrscht von Lobbyisten, so dass die jüngste Novellierung des BDSG entgegen den Ankündigungen des letzten Jahres zu wünschen übrig lässt. Also muss man selbst etwas tun. Dazu gehört es auch, die Dimension des Themas Datenschutz zu verdeutlichen, womit ich zum wesentlichen Grund dieses Beitrages komme. Kennen Sie Records Management?

Weiterlesen

Die schwarze Liste

Ein Rechtsschutzversicherter, der bei 2 Fällen innerhalb von 12 Monaten oder bei 3 Fällen innerhalb von 36 Monaten seine Versicherung in Anspruch genommen hat, gilt nicht nur in Versicherungskreisen als Klagehansel und muss bislang mit einer Kündigung seines Vertrages rechnen. Möglich wird dies durch eine Datei namens Uniwagnis, oder auch „Hinweis- und Informationssystem“, kurz HIS. Diese vom „Gesamtverband der Deutschen Versicherungswirtschaft“ (GdV) betriebene schwarze Liste existiert seit 1993 und beinhaltet mittlerweile mehr als 10 Mio Datensätze von Versicherungskunden. Versicherungen, die an das System angeschlossen sind, stellen Informationen über das Schadensrisiko von Kunden und Antragstellern ein und begründen dies damit, dass HIS dazu beitragen soll, Versicherungsbetrug zu bekämpfen. Doch die Aufnahme in die Datei kann für Betroffene existenzbedrohend sein.

Weiterlesen

Wer surfen kann, kann auch arbeiten

Bei Facebook soll es laut einem Bericht der Schweizer 20 Min AG bis vor kurzem ein Mitglied namens Hannelore Müller gegeben haben. Eine ehemalige Mitarbeiterin der Schweizer Versicherungsgesellschaft Nationale Suisse hätte neben weiteren Mitarbeitern der Versicherung von Frau Müller eine Freundschaftsanfrage erhalten und Frau Müller sei bei Facebook verschwunden, nachdem besagte Mitarbeiterin von der Versicherung gekündigt wurde. Die Kündigung begründete die Nationale Suisse damit, dass die Mitarbeiterin an einem Tag, an dem sie wegen Migräne krankgeschrieben gewesen sei, bei Facebook gesurft hätte. Weiter hätte es seitens der Versicherung geheißen: „Wer surfen kann, kann auch arbeiten“.

Weiterlesen

Sind Sie blauäugig?

Die Payback-Anwältin Cornelie von Gierke hatte in einer Verhandlung vor dem BGH die Auffassung vertreten, dass moderne Verbraucher nicht blauäugig an Rabattsysteme herangingen. Sie wüssten, dass Händler nichts zu verschenken hätten und ließen sich dafür bezahlen, als Modell zur Marktforschung zur Verfügung zu stehen. Das war im Februar 2008, in einer Zeit, in der die Medien noch nicht täglich über das Thema Datenschutz berichteten. Hinsichtlich der öffentlichen Empörung über Mitarbeiterüberwachungen, missbräuchlicher Verwendung von Bankdaten, Kreditoren-Debitoren-Abgleiche oder der Analyse von Festplatteninhalten könnte man annehmen, dass im Bewusstsein der Verbraucher eine Sensibilisierung für diese Themen stattgefunden hat. Aber ist das auch so?

Weiterlesen

US-Gendatenbanken und der Prümer Vertrag

Die New York Times berichtet in ihrer Online-Ausgabe, dass die amerikanischen Sicherheitsbehörden die Speicherung von DNS-Daten massiv ausweiten. Es würden nun die DNA-Profile von Millionen Menschen gespeichert, die festgenommen aber nicht verurteilt wurden, darunter die von illegalen Einwanderern und Minderjährigen. Bisher erfassten die Bundesbehörden nur DNS-Proben von Verurteilten. Die NYT beschreibt weiterhin die Sorge, dass die USA zu einer „genetischen Überwachungsgesellschaft“ werden könnten. Die Bundespolizei FBI, die bereits eine DNS-Datenbasis von rund 6,7 Millionen Menschen hat, registriert pro Jahr 80.000 neue Proben. Bis zum Jahr 2012 soll die Zahl auf rund 1,2 Millionen jährlich steigen. Sie werden jetzt möglicherweise sagen, dass Amerika weit weg ist. Doch in Sachen DNS-Datenbanken ist das ein großer Irrtum.

Weiterlesen

So ein Schrott

Unsere Wirtschaft liegt darnieder. Doch dagegen ist ein Kraut gewachsen: Frau Merkel und Konsorten werfen Geld unters Volk, und zwar für den Autokauf. Das Ganze firmiert unter dem Namen „Umweltprämie“ – direkter ausgedrückt: Abwrackprämie. Nun trabt Angie Merkel natürlich nicht selbst zu Abwrackwilligen und drückt ihnen 2500 Euro in die Finger. Nein, sie hat die Auszahlung des Verschrottungsbonus an das Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) delegiert. Diese Behörde verteilt das auf 600000 Antragsteller limitierte Budget nach dem Prinzip „wer zuerst kommt, mahlt zuerst“. Damit der (angeblich) ausgelöste Run auf die Prämie nicht in wüstes Hauen und Stechen ausartet, soll eine sekundengenaue Protokollierung der Antragseingangsreihenfolge nötig geworden sein. Also hieß es: Salto rückwärts – weg von der Beantragung auf dem Papierweg zum Online-Verfahren, was das BAFA überfordert zu haben scheint. Deshalb wurde heise online nach das Formular zur Online-Reservierung von einem externen Dienstleister „gestrickt“. Und weil für die Umstellung ca. eine Woche blieb, ließ der beim Stricken mit heißer Nadel ein paar Maschen fallen …

Weiterlesen

Der Fall Mehdorn(s)

Bislang ist mir kein Fall bekannt, bei dem innerbetriebliche Datenschutzverstöße zu personellen Konsequenzen geführt haben, außer, dass dem internen DSB zu verstehen gegeben wurde, dass er sich als DSB „nicht zu weit aus dem Fenster lehnen solle, schließlich habe er auch noch andere Aufgaben, als darauf hinzuwirken, dass die Datenschutzgesetze eingehalten werden.“ Das hat sich nun geändert. Bahnchef Hartmut Mehdorn tritt zurück und ist damit der erste Vorstandsvertreter, dem die Missachtung von Datenschutzbestimmungen zum Verhängnis wird. Achsbrüche, ein geplatzter Börsengang, öffentliche Diskussionen um Lokführerbezüge, Fahrpreiserhöhungen, „Bedienzuschläge“, angetrunkene Lokführer und unfähige Techniker haben ihm, der „sich selbst nicht vorzuwerfen hat“ nichts anhaben können. Und nun das.

Weiterlesen

Eine Firma namens Safe Harbor

Der Alltag eines Datenschützers beinhaltet zunehmend Bewertungen von Personalentwicklungsmodellen, bei denen Unternehmen technische Möglichkeiten zur Potentialanalyse von Mitarbeitern nutzen. Aus datenschutzrechtlicher Sicht ist dagegen solange nichts einzuwenden, als dass ein betroffener Mitarbeiter um die Rahmenbedingungen eines solchen Programms weiß, darin eingewilligt hat und vor allem, dass die Anbieter solcher Programme wissen, was sie tun. Kürzlich erreichte mich die Antwort einer Personalberatung auf die Frage, wie es datenschutzrechtlich um ein Programm bestellt ist, das eine Persönlichkeitsbewertung auf einem Server in den USA vornimmt.

Der befragte Mitarbeiter hat für diese Bewertung nur einen Fragebogen auszufüllen und muss, um den Fragebogen zu bearbeiten, sein Einverständnis zu folgender Erklärung abgeben: „Ich versichere hiermit ausdrücklich unter Bezugnahme auf die einschlägigen datenschutzrechtlichen Bestimmungen (Bundesdatenschutzgesetz), dass die in den Fragebogen eingegebenen Daten ausschließlich mich persönlich betreffen und es sich nicht um Daten Dritter handelt. Ich bin ebenso ausdrücklich damit einverstanden, dass sowohl die personenbezogenen Daten als auch die im Fragebogen erteilten Antworten bei dem Lizenzgeber des Produktes [Produktname] namentlich: [Name der Fa., Adresse] USA, zentral gespeichert werden. Ihre Daten werden vertraulich behandelt und nicht an Dritte weitergegeben.“

Die oben erwähnte Antwort der Personalberatung auf die Frage, wie die Daten der betroffenen Mitarbeiter in den USA verarbeitet werden, verweist auf die Erklärungen des deutschen Lizenznehmers und lautet wie folgt: „Die folgende Information zum Datenschutz bei [Anbieter] haben wir von [Name des Lizenznehmers in Deutschland] die Datenschutzbestimmungen von Safe Harbor, der Firma, die die Sicherheit der Daten gewährleistet, sende ich Ihnen im Anhang. In Amerika sind die Datenschutzbestimmungen viel strenger als in Deutschland. Deshalb können Sie Ihren Probanden versichern, dass keine drei Personen Einblick in die Analysen haben oder die Daten für andere Fälle genutzt werden, als für die Auswertung der Analysen. Die Geschlechterangabe dient rein zur Anrede und die Emailadresse wird nur als Sicherheit abgefragt, falls jemand die Analysen zwischendurch unterbricht. […] Der Datenserver selbst befindet sich in [..], Amerika. Zugriff auf die Daten haben nur [Name des deutschen Lizenzträgers] und [Name des lizenzgebenden US-Unternehmens]. Die Speicherdauer kann ich Ihnen leider nicht genau sagen, aber benachrichtigt wird niemand, wenn die Daten gelöscht werden.

Aha. Die USA sind also aus der Sichtweise einer Personalberatung ein Standort, der datenschutzrechtlich sicherer ist als die BRD, Safe Harbor ist eine Firma, das amerikanische Unternehmen, als Lizenzgeber und speichernde Stelle der Daten, sowie das deutsche Lizenzträgerunternehmen sind nicht mehr als drei Personen, und Speicherfristen sind offensichtlich nicht am Interesse des betroffenen Mitarbeiters orientiert, sondern daran, dass die „Probanden“ jederzeit wieder erkennbar sind, egal für welches Unternehmen sie gerade arbeiten. Sinnigerweise findet sich auf der Webseite des deutschen Lizenznehmers unter dem Titel „Vertrauensvolle Zusammenarbeit“ eine Referenzliste, die eine Vielzahl von Unternehmen ausweist. Hat sicherlich den Vorteil, dass man sich im Rahmen einer Bewerbung nähere Angaben zur eigenen Person sparen kann, weil es ja die „Firma Safe Harbor“ und den amerikanischen Lizenzgeber gibt, die keine Speicherfristen haben.

Ach ja, ich sollte nicht vergessen zu erwähnen, dass der deutsche Lizenznehmer den Fragebogen und die Einverständniserklärung über ein Webtool betreibt, bei dem im Hintergrund Google Analytics installiert ist. Der Lizenznehmer hat keine Datenschutzerklärung auf seiner Webseite, in der auf Google Analytics verwiesen wird und ohne Google Analytics kann man der Einverständniserklärung nicht zustimmen. Wie war das mit den drei Personen?

Weiterlesen

Jäger und Sammler

Der Biologe bezeichnet sie als Sciurus vulgaris, Bernhard Grzimek hätte sie „possierliche Nager“ genannt und einem Artikel auf Spiegel online gemäß benennt die Deutsche Bahn Spähaktionen nach ihnen: Eichhörnchen. Putzige Tierchen, ohne Zweifel – aber ihre Gier auf Nüsse und ähnliche Naturalien ist schier grenzenlos. Ganz ähnlich verhält es sich mit der Bahn. Die giert auch: Nach Informationen über ihre Mitarbeiter und deren Angehörige. Darum soll die Bahn mehrere Spionagemaßnahmen durchgeführt haben, eine davon unter dem Codenamen „Eichhörnchen“ – der Namengeber wird sich seinen Teil gedacht haben …

Weiterlesen

Die spinnen, die Briten

Einer meiner favorisierten Asterixbände ist Asterix bei den Briten. Auch in diesem Band wird deutlich, dass des Obelix Muskelkraft seinem Geist offenbar nicht geschadet hat, denn in London und Umgebung hat er des Öfteren eine Bemerkung von sich gegeben, die immer noch von Bedeutung ist, wenn man sich die jüngsten Presseberichte anschaut: „Die spinnen, die Briten!“

Weiterlesen

Die Bahn

Man könnte die Ansicht vertreten, dass Bahn-Chef Hartmut Mehdorn keinen leichten Job hat. Achsbrüche, geplatzter Börsengang, öffentliche Diskussionen um Lokführerbezüge, Fahrpreiserhöhungen, „Bedienzuschläge“, angetrunkene Lokführer, unfähige Techniker und jetzt auch noch eine Datenaffäre. Andere Manager haben es da sicher leichter und kommen auch nicht in die Schlagzeilen. Insbesondere kann niemand auf eine solch konstante Serie von Rücktrittforderungen verweisen wie Herr Mehdorn, und immer noch seine Position halten. Auch seine Reaktion auf den jetzigen Vorwurf, er hätte von der Überwachung von 173.000 Mitarbeitern der deutschen Bahn gewusst und diese geduldet, hinterlässt nicht den Eindruck, dass er seinen Sessel in Berlin aufgeben könnte. Er vertritt die Auffassung, die Bahn hätte „keine Telefone abgehört, keine Konten eingesehen und keine Journalisten oder Aufsichtsräte bespitzelt” und erklärt: „Wir sind entsetzt, wie diese Themen aus diesem Zusammenhang heraus polemisch gegen die Bahn hervorgebracht werden.“

Weiterlesen