Nach­dem wir erst vor ein paar Tagen über einen Datenschutz-Skandal bei der Deut­schen Tele­kom bzw. von in die­ser beauf­trag­ten Call­cen­tern berich­tet haben [1], scheint es nun beim „Rosa Rie­sen” den nächs­ten Skan­dal zu geben.

Dies­mal sol­len, so berich­tet DerWesten.de [2], Kun­den­da­ten, meist inklu­sive Bank­ver­bin­dung, angeb­lich aus Tür­ki­schen Call­cen­tern ver­wen­det wor­den sein, um Kun­den per Tele­fon im angeb­li­chen Telekom-Auftrag neue Ver­träge zu ver­kau­fen. Diese seien dann über Sub­un­ter­neh­men bei der Tele­kom ein­ge­reicht wor­den, um die Pro­vi­sio­nen zu kassieren.

DerWesten.de beruft sich dabei auf Spie­gel Online und auf die Nach­rich­ten­agen­tur AFP.

Erstaun­lich finde ich jedoch, dass immer wie­der die Groß­kon­zerne nega­tiv auf­fal­len, und im Falle der Deut­schen Tele­kom schein­bar nicht aus Feh­lern gelernt wird. Denn auch hier weist der Kon­zern jeg­li­che Schuld von sich…

Links:

[1] http://www.piratenpartei-bottrop.de/neuer-datenskandal-bei-der-telekom-190
[2] http://www.derwesten.de/nachrichten/nachrichten/2009/10/13/news-136863211/detail.html

Beim „Rosa Rie­sen”, der Deut­schen Tele­kom, hat es einen wei­te­ren Fall von Daten­miss­brauch gege­ben. Dies mel­den u.a. tagesschau.de [1] und welt.de [2].

Dem­nach soll das Call­cen­ter eines Ver­triebs­part­ners des Telekommunikations-Unternehmen Zugriff auf die Telekom-Kundendatenbank erhal­ten haben, um mit­hilfe die­ser Daten auch uner­wünschte Wer­be­an­rufe zu starten.

Die Deut­sche Tele­kom will zwar wei­ter an die­sem Ver­triebs­part­ner fest­hal­ten, erstat­tete gegen die­sen jedoch Anzeige und for­dert eine Ver­trags­strafe sowie die Rück­zah­lung über­höh­ter Pro­vi­sio­nen. Die Summe soll sich auf ins­ge­samt 1,5 Mil­lio­nen Euro belaufen.

Ob die Deut­sche Tele­kom nun daran Schuld trägt, oder nicht, das zeigt ein­mal mehr, wie wich­tig Daten­schutz in unse­rer Zeit gewor­den ist. Das Pro­blem sind in die­sem Fall nicht feh­lende Gesetze, son­dern deren man­gel­hafte Überwachung.

[1] http://www.tagesschau.de/wirtschaft/telekom298.html
[2] http://www.welt.de/wirtschaft/article4739648/Telekom-zeigt-ihre-eigenen-Vertriebspartner-an.html

Der nächste Schritt zum glä­ser­nen Bür­ger, in die­sem Falle glä­ser­nen Pati­en­ten, wird heute ein­ge­lei­tet: Die elek­tro­ni­sche Gesund­heits­karte (eGK).

Es hat zwar unbe­strit­ten Vor­teile, wenn ein behan­deln­der Arzt im Zwei­fel Infor­ma­tio­nen zu Vor­er­kran­kun­gen oder Medi­ka­men­tenun­ver­träg­lich­kei­ten zur Ver­fü­gung hat, ins­ge­samt jedoch sollte man sich aber mal Gedan­ken über den Daten­schutz machen. Wer hat wann Zugriff auf die gespei­cher­ten Daten? Spei­chern die Ärzte die Daten auch noch mal lokal? Das würde das Miss­brauchs­ri­siko der Daten wei­ter erhö­hen. Wie sind die Daten auf der Karte geschützt? Kann man die mit einem han­dels­üb­li­chen Chip­kar­ten­le­ser und ein paar klei­nen Knif­fen aus­le­sen? Ein paar kleine Kniffe, um die Ver­schlüs­se­lung zu kna­cken… Denn ver­schlüs­selt wer­den die Daten ja wohl sein…

Der nächste Punkt ist: Die Gesund­heits­karte ist kein Aus­weis­do­ku­ment, warum also soll da ein Licht­bild drauf? Wel­che recht­li­che Hand­habe bekom­men die Kas­sen, wenn sich jemand wei­gert, ein Foto abzu­ge­ben? Denn noch kann keine Kran­ken­kasse ein Foto von einem Ver­si­cher­ten ein­for­dern, allen­falls darum bitten.

Zunächst soll die eGK im Bezirk Nord­rhein star­ten, bis Ende 2010 aber bun­des­weit im Ein­satz sein. Somit trägt in gut einem Jahr fast jeder stän­dig seine Kran­ken­akte mit sich herum. Was ist nun, wenn Arbeit­ge­ber z.B. bei häu­fig arbeits­un­fä­hi­gen Mit­ar­bei­tern mal einen Blick in diese Akte wer­fen? In Betrie­ben, in wel­chen sich die Mit­ar­bei­ter umzie­hen, ist es sicher auch ohne das Wis­sen des Mit­ar­bei­ters mög­lich. Zuge­ge­ben, ein kras­ses Bei­spiel, aber hat­ten wir nicht in den letz­ten Mona­ten genü­gend Bei­spiele für den Kon­troll– und Über­wa­chungs­wahn Deut­scher Konzerne?

Update: Aus­zug aus den FAQ der Kran­ken­kasse des Autors:

Daten­schutz – wer hat Zugriff auf meine Daten?

Zum Ein­le­sen eini­ger admi­nis­tra­ti­ver Daten wie etwa Name und Adresse sind keine zusätz­li­chen Sicher­heits­maß­nah­men erfor­der­lich. Der Zugriff auf sen­si­ble Daten (z. B. Zuzah­lungs­sta­tus) ist jedoch durch ein stren­ges Sicher­heits­sys­tem (Zwei-Schlüssel-Prinzip) geschützt. Die­ses gewähr­leis­tet, dass ohne Ein­wil­li­gung des Ver­si­cher­ten nie­mand auf die medi­zi­ni­schen Daten sei­ner Gesund­heits­karte zugrei­fen kann.Seine Ein­wil­li­gung für den Daten­zu­griff auf die frei­wil­li­gen Anwen­dun­gen gibt der Ver­si­cherte mit der Gesund­heits­karte und einer Geheim­num­mer (PIN). Ärzte, Zahn­ärzte und Apo­the­ker müs­sen sich eben­falls gegen­über dem Sys­tem iden­ti­fi­zie­ren: mit ihrem elek­tro­ni­schen Heil­be­rufs­aus­weis (HBA). Er ent­hält ihre elek­tro­ni­sche Unter­schrift (Signa­tur) und ist damit der zweite zen­trale Bestand­teil des Sicher­heits­kon­zepts. Erst wenn die Gesund­heits­karte des Ver­si­cher­ten und der HBA des Arz­tes oder Apo­the­kers in das Kar­ten­le­se­ge­rät ein­ge­ge­ben wer­den, kann der Ver­si­cherte durch Ein­gabe der PIN Ein­sicht in seine Gesund­heits­da­ten geben.

Wie bin ich gegen Daten­miss­brauch geschützt?

Zusätz­lich zu den hohen daten­schutz­recht­li­chen Anfor­de­run­gen, denen die neue Gesund­heits­karte unter­liegt, wer­den die Zugriffe pro­to­kol­liert. Jeweils die letz­ten 50 Zugriffe auf die Daten des Ver­si­cher­ten wer­den gespei­chert. Damit ist auch jeder (unwahr­schein­li­che) Miss­brauch doku­men­tiert und kann straf­recht­lich ver­folgt wer­den. Für die Karte gel­ten modernste Ver­schlüs­se­lungs­tech­ni­ken. Sie ver­hin­dern, dass Unbe­rech­tigte in die sen­si­blen Gesund­heits­in­for­ma­tio­nen ein­drin­gen. Die Daten des Ver­si­cher­ten wer­den des Wei­te­ren durch das Zwei-Schlüssel-Prinzip und die Geheim­num­mer (PIN) des Ver­si­cher­ten gut geschützt.

Liest sich ja erst mal nicht schlecht, aber ist bis­her nicht jedes Sicher­heits­sys­tem irgend­wie über­wun­den worden?

Links zum Thema

• http://www.bmg.bund.de/cln_169/nn_116824…sprache-Qualitaet-Effizienz.html
• http://www.bmg.bund.de/cln_169/nn_121108…resse-2–2009/pm-09–06-09–eGK.html
• http://www.dimdi.de/static/de/ehealth/karte/index.htm

Wie die Frank­fur­ter Rund­schau berichtet[1], gibt es in Frank­furt einen neuen Daten­skan­dal. Und zwar sol­len hun­derte Bewer­bungs­map­pen, die eine Frank­fur­ter Firma von Arbeits­su­chen­den erhal­ten hat, bei Ebay zum Ver­kauf ange­bo­ten wor­den und lie­gen der Zei­tung nun vor.

Die Kiste vol­ler per­sön­li­cher Daten, Bewer­bungs­fo­tos, Lebens­läu­fen und Zeug­nis­sen von hun­der­ten Men­schen aus dem Rhein-Main-Gebiet wurde am 16. Juli 2009 beim Internet-Auktionshaus Ebay ver­stei­gert. Angeb­lich stan­den ledig­lich 500 leere gebrauchte Bewer­bungs­map­pen zum Ver­kauf. Für nur 10 Euro erstei­gerte ein Schreib­wa­ren­händ­ler aus Pader­born die Ware und staunte nicht schlecht, als er das Paket öff­nete: „Es war in fast jeder Mappe noch die kom­plette Bewer­bung drin!” Der Händ­ler wollte die Kiste nicht auf­be­wah­ren und über­gab sie der FR.
Quelle: Frank­fur­ter Rundschau[1]

Die Pira­ten­par­tei Deutsch­land hat dazu bereits eine Pres­se­er­klä­rung veröffentlicht[2]. Hier ist unter ande­rem die­ser Absatz zu lesen:

Der Fall zeigt unter ande­rem, wie wich­tig es ist, das Bewusst­sein im Bereich Daten­schutz zu schär­fen, damit jeder Bür­ger und jedes Unter­neh­men ver­ant­wor­tungs­voll mit per­sön­li­chen Daten umge­hen. Das Recht des Ein­zel­nen, die Nut­zung sei­ner per­sön­li­chen Daten zu kon­trol­lie­ren, muss gestärkt wer­den.
Quelle: Pira­ten­par­tei Deutschland[2]

Damit wird wie­der eines unse­rer Kern­the­men tan­giert, uns das aus­ge­rech­net am OptOut-Day…

[1] Arti­kel der Frank­fur­ter Rund­schau:
http://www.fr-online.de/top_news/1954710_Bewerbungsmappen-bei-Ebay-Persoenliche-Daten-im-Ausverkauf.html
[2] Pres­se­mit­tei­lung der Pira­ten­par­tei Deutsch­land:
http://web.piratenpartei.de/Artikel/Persoenliche_Bewerbungsunterlagen_massenhaft_auf_eBay_versteigert

Wie bereits berich­tet, wer­den per­sön­li­che Daten durch das Ein­woh­ner­mel­de­amt wei­ter­ge­ge­ben. Jeder kann jedoch dage­gen Wider­spruch ein­le­gen („opt out”).

Die Pira­ten­par­tei Deutsch­land ruft dazu auf, dies im Rah­men einer beson­de­ren Aktion, dem „OptOut­Day”, zusam­men mit ande­ren zu tun!  Heute ist es soweit. Bun­des­weit wird dazu auf­ge­ru­fen, Wider­spruch gegen die­ses Vor­ge­hen ein­zu­le­gen. Mit dem OptOut­Day will die Pira­ten­par­tei auf das Thema Daten­schutz auf­merk­sam machen und durch die kon­zer­tierte Aktion ein Zei­chen gegen jede Form der unfrei­wil­li­gen Adress­wei­ter­gabe setzen.

Was viele nicht wis­sen: Auch die Mel­de­be­hör­den der Kom­mu­nen geben die Daten ihrer Bür­ger wei­ter. Dazu benö­ti­gen sie nicht ein­mal deren Zustim­mung, denn mit der Anmel­dung beim Ein­woh­ner­mel­de­amt gilt auch eine still­schwei­gende Ver­ein­ba­rung zur Daten­wei­ter­gabe. Name, Adresse und andere pri­vate Aus­künfte wer­den auf Anfrage zum Bei­spiel an die Gebüh­ren­ein­zugs­zen­trale (GEZ), an Kir­chen, reli­giöse Gemein­schaf­ten oder poli­ti­sche Par­teien weitergegeben.

Der Bot­tro­per Stamm­tisch wird sich heute um 17:00 Uhr am Ernst-Wilczok-Platz ver­sam­meln und gemein­sam mit inter­es­sier­ten Bür­gen gegen diese Daten­wei­ter­gabe ange­hen. Jeder Bür­gen kann kos­ten­los Wider­spruch ein­le­gen, sich bei den anwe­sen­den PIRA­TEN infor­mie­ren und bera­ten las­sen. Natür­lich soll diese Aktion gesit­tet zu gehen, daher ist es von gro­ßer Wich­tig­keit, den täg­li­chen Arbeits­ab­lauf im Bür­ger­büro nicht zu stören.

Und so ein­fach funk­tio­niert es:

1. Das ent­spre­chende For­mu­lar aus­fül­len (wer­den die Pira­ten auch Vor-Ort dabei haben)
2. Das For­mu­lar im Bur­ger­büro abgeben

Fer­tig.

Wei­ter­gabe per­sön­li­cher Daten ver­hin­dern — Mit­ma­chen beim OptoutDay!