English

Chaos Computer Club fordert nach Telekom-Spitzelaffäre wirksamen Schutz vor Datenverbrechen

2008-06-02 00:00:00, erdgeist

Angesichts der immer weiter eskalierenden Enthüllungen über die Spitzelpraktiken der Telekom und anderer deutscher Großkonzerne fordert der Chaos Computer Club (CCC) eine grundlegende Neuordnung des Datenschutzes und eine Ächtung von Datenverbrechen in Deutschland.

Der Grundsatz der Datensparsamkeit hat sich in Jahrzehnten des Experimentierens mit freiwilligen Verpflichtungen und einem Datenschutzrecht ohne nennenswerte Sanktionsmöglichkeiten nicht in der Praxis durchsetzen lassen. Daher ist angesichts der massiven Datenskandale die Zeit gekommen, durch wirksame Maßnahmen die Unternehmen und Behörden zu verpflichten, so wenig Daten wie möglich zu speichern und den Umgang damit strenger zu kontrollieren.

Das vom Bundesverfassungsgericht im Urteil zur digitalen Intimsphäre [1] festgestellte Recht auf Schutz vor der Erstellung von Persönlichkeitsprofilen muß endlich in konkrete Gesetze gefaßt und in der Praxis umgesetzt werden. Der durch das Zusammenführen verschiedener Datenbestände erst ermöglichte tiefgreifende Einblick in das Leben jedes Einzelnen stellt eine signifikante Gefahr für die freie Entfaltung der Persönlichkeit dar und muß mit drakonischen Strafen belegt werden. Die derzeitige Behandlung von Datenverbrechen als Kavaliersdelikt ist in keiner Weise den Folgen für den Einzelnen angemessen.

Der Chaos Computer Club fordert daher:

1. Sofortiger Stop der Vorratsdatenspeicherung.

Die Verlängerung der Speicherung der Verbindungsdaten auf sechs Monate erlaubt das Erstellen wesentlich umfangreicherer Profile, als es bisher mit den bis zur Rechnungslegung gespeicherten Daten möglich war. Dies eröffnet bisher nicht gekannte Mißbrauchspotentiale. Der Telekom-Skandal wird nur der Anfang einer langen Reihe von Datenverbrechen sein, sollte die Vorratsdatenspeicherung nicht sofort beendet werden.

2. Vollständiger Verzicht auf die Erhebung und Aufzeichnung nicht benötigter Verbindungsdaten.

Die Telekommunikationsanbieter erheben nach den Bestimmungen der Vorratsdatenspeicherung derzeit auch alle Verbindungsdaten von Flatrate-Kunden, obwohl dies technisch in keiner Weise notwendig ist. Diese Praxis ermöglicht eine noch weitergehende mißbräuchliche Ausschnüffelung von Kommunikationsprofilen als im aktuellen Telekom-Fall. Kommunikationsdaten zur Rechnungsstellung sollten zukünftig nur noch so kurz wie technisch möglich – am besten jedoch gar nicht mehr – gespeichert werden. Das Bilden von Kundenprofilen anhand gespeicherter Kommunikationsdaten muß komplett verboten werden.

3. Rechtliche Sanktionierung und Einführung eines Schadenersatzanspruches für die Opfer der Datenverbrechen.

Der bloße Austausch einiger Führungskräfte nach einem Datenverbrechen entspricht der Schwere des Mißbrauchs in keiner Weise. Werden ohne Zustimmung des Betroffenen Kommunikations- und Bewegungsprofile erstellt, müssen die Verantwortlichen und Täter belangt werden können und das Opfer einen signifikanten Schadenersatz erhalten. Dazu müssen Zugriffe auf sensible Daten geloggt und personelle Verantwortlichkeiten jeweils konkret nachvollziehbar gemacht werden.

4. Persönliche Haftbarkeit von Vorständen und Geschäftsführern für Datenverbrechen ihres Unternehmens.

Bei allen Datenverbrechen müssen die Täter klar benannt und die Taten strikt geahndet werden. Der Gesetzgeber muß gerade sensible Kommunikationsdaten auch durch Vorgaben für strukturelle Konzepte in der Datensicherheit stärker als heute üblich schützen. Die persönliche Haftung der Unternehmensführung ist der einzig erfolgversprechende Hebel, um konsequente Schutzmechanismen und -strukturen in den Firmen durchzusetzen.

5. Uneingeschränktes sofortiges Auskunftsrecht der Bürger gegenüber Unternehmen bezüglich der über ihn gespeicherten Daten, deren Weitergabe und Verwendung.

Das neue Auskunftsrecht muß in kundenfreundlicher Weise vom datenverarbeitenden Unternehmen umgesetzt werden – etwa als eine kostenfreie Hotline. Über eine zufällige oder versehentliche Datenweitergabe haben Unternehmen oder Behörden ihre Kunden bzw. die Bürger von sich aus zu informieren. Größere Datenpannen müssen zeitnah publiziert werden. Werden Daten absichtlich in nicht genehmigter Weise verwendet, muß das Unternehmen dem Opfer Schadenersatz leisten.

6. Verarbeitung und Speicherung von Daten deutscher Bürger außerhalb des Geltungsgebietes des deutschen Datenschutzrechts nur mit aktiver Zustimmung des Betroffenen.

Wolkige Klauseln in Allgemeinen Geschäftsbedingungen genügen den Ansprüchen an den Datenschutz nicht. Die Praxis zeigt, daß das Kleingedruckte kaum wahrgenommen wird. Gut sichtbare Hinweise sollten daher dem Kunden deutlich machen, daß seine Daten weitergegeben werden. Nur durch eine konsequente Umsetzung dieser Forderung hat der Kunde in Zukunft die Möglichkeit, seine Dienstleister danach auszuwählen, wie datenschutzfreundlich sie sind.

7. Kontrolle und Regulierung von privaten Schnüffelfirmen.

Die aktuelle Entwicklung im Telekom-Fall hat gezeigt, wie umfangreich die Auslagerung von kriminellen Aktivitäten in die Grauzonen des privaten Sicherheitsgewerbes bereits ist. Dem muß der Gesetzgeber zügig einen Riegel vorschieben. Auf staatlicher Seite muß nicht nur das Trennungsgebot zwischen Polizeien und Geheimdiensten wieder gängige Praxis werden, sondern auch die "Hilfe auf dem kleinen Dienstweg" für die privaten Sicherheitsfirmen unterbunden werden. Die neue geplante Bundesschnüffelzentrale in Köln ist angesichts der aktuellen Spitzelaffäre ein vollkommen falsches Signal.

8. Die Position der Datenschutzbeauftragten muß gestärkt werden.

Um dem Bürger zu seinem Grundrecht zu verhelfen, sind umgehend strukturelle Änderungen hin zu schlagkräftigen, unabhängigen Datenschutz-Instanzen notwendig, die auch über die notwendigen rechtlichen, personellen und finanziellen Ressourcen verfügen. Innenministerien, die selbst exzessiv Datensammlungen fordern, dürfen den Datenschutzbeauftragten nicht mehr weisungsbefugt sein.

9. Datenschutz in Europa wirkungsvoll durchsetzen.

"Harmonisierungen" von Datensammlungen im europäischen Kontext müssen von der Bundesregierung aktiv als Chance genutzt werden, deutsche Schutznormen auszuweiten, und nicht als Gelegenheit, über den Brüsseler Umweg grundlegende Bürgerrechte auszuhebeln. Deutschland muß endlich anfangen, seine internationale Vorreiterrolle beim Datenschutz, die auch auf die weitsichtigen Urteile aus Karlsruhe zurückgeht, zu verteidigen und auszubauen.

10. Schutz von Whistleblowern.

Arbeitnehmer, die Datenverbrechen in ihrer Firma aufdecken, müssen einen umfangreichen Schutz vor Kündigung und anderen Nachteilen erhalten. Wer seiner Bürgerpflicht zur Wachsamkeit nachkommt, darf nicht mit dem Verlust seiner beruflichen Existenz bedroht werden.

Die jüngsten Entwicklungen im Telekom-Skandal zeigen deutlich, daß die Warnungen des CCC vor den Folgen der ausufernden und unkontrollierten Datenspeicherung vollauf berechtigt waren. Technologische Entwicklungen ermöglichen eine immer detailliertere Ausforschung des Lebens jedes Bürgers. Dies stellt eine reale und unmittelbare Gefahr für Freiheit und Sicherheit dar und muß daher soweit irgendmöglich unterbunden werden. Dabei haben die Gewinnerzielungsabsichten von Unternehmen und die Paranoia von Sicherheitsbehörden hintanzustehen.

Zudem macht dieser Skandal deutlich, daß es keinen Grund für einen Vertrauensvorschuß für Unternehmen und Behörden in puncto Datenschutz und Privatsphäre gibt. Wenn es schon bei der Bespitzelung von Journalisten und Aufsichtsräten keine Hemmungen gibt, muß der einfache Bürger annehmen, Freiwild für jeden Datenschnüffler zu sein. Ohne effektive und durchsetzbare gesetzliche Regelungen werden sich derartige Skandale weiter häufen und immer mehr Menschen betreffen. Bewegungs- und Kommunikationsprofile z. B. von Journalisten und Abgeordneten bilden ein gewaltiges Erpressungspotential, das eine unmittelbare Gefährdung von politischer Willensbildung und Demokratie darstellt.

Links:

[1] Bundesverfassungsgericht schafft neues Grundrecht auf digitale Intimsphäre