Datenkuh
Den Zustand des deutschen Qualitätsjournalismus kann man heute im Berliner Tagesspiegel ausloten. Dort lamentiert Autorin Anna Sauerbrey über die ebenso naive wie dumme deutsche Datenkuh. Damit meint sie jeden, der seine Daten Unternehmen und sozialen Netzwerken anvertraut.
Darüber lässt sich, abgesehen von der Wortwahl, natürlich diskutieren, auch wenn die im Artikel vorgebrachten Platitüden in der Sache keinen Zentimeter weiter helfen. Zumindest das Ende des Beitrags ist aber bemerkenswert. Die Autorin tut sich nämlich mit einer großartigen Idee hervor:
Anders als sie gern behaupten, sind deutsche Politiker nicht machtlos. Ein Anfang wäre ein Auskunftsrecht per Gesetz, mit dem jeder bei einem Unternehmen abfragen kann, welche persönlichen Daten es gespeichert hat.
Genau dieses Auskunftsrecht haben wir schon seit etlichen Jahren. Es steht in § 34 Bundesdatenschutzgesetz.
Herr Vetter Sie wissen vermutlich genau, das dies ein "zahnloses" oder nahezu "zahnloses" Gesetzt ist.
In der Praxis wird regelmässig mit allen möglichen Vorwänden/Lügen/Tricks die Informationsherausgabe abgeblockt.
Beliebt und berüchtigt: Wegen des Datenschutzes können wir die geforderten Informationen oder generell keine Informationen herausgeben.
In dem Zusammenhang ist auch direkt ersichtlich wie lächerlich "Datenschutz" ist wenn Datenschutz den Datenschutz aushebelt.
Argumentationen wie: "Wir können ihnen IHRE Verbindungsdaten nicht mitteilen weil diese andere Personen betreffen." sind ein regelmässiges Zeichen von Korruption und nicht vorhandenem Datenschutz.
Darüber kann ich nicht mal mehr lachen. Ich weiß nicht mehr, wieviele T5Fs ich schon abgeschickt habe – eine Antwort habe ich nie bekommen…
Kann ich nicht bestätigen. Ausnahmslos jeder von mir versandte T5F zog eine ausführliche Antwort nach sich, und immerhin versende ich davon im Schnitt alle 2 Monate einen…
Die letzte Antwort, die ich erhielt, war:
"Wir haben die Daten, die sie uns gegeben haben."
Den Datenschutzbeauftragten interessiert das auch nicht weiter. Man bekommt eine Eingangsbestätigung und das war es schon.
Es ist in diesem Zusammenhang doch völlig egal, wer jetzt hier was für hochinteressante Erfahrungen mit der Umsetzung des Gesetzes hat. Der Blogpost stellt nur fest, dass die Expertin vom Tagesspiegel ein Gesetz fordert, welches schon existiert.
Ich habe tatsächlich erfolg gehabt mit meinen Auskuntftsersuchen. Zu berücksichtigen dabei:
- Vorzugsweise per Fax schicken, das ist so gut wie ein Einschreiben.
- Frist setzen.
- Klage androhen.
Musterschreiben gibt es in jeder Ecke des Internets.
Stimmt, die Dame fordert ein Gesetz was es schon gibt. Die Frage ist nur, wie tauglich das bestehende Gesetz ist und ob die Dame, möglicherweise in Kenntnis der Existenz dieses Gesetzes, etwas ganz anderes fordert.
Ach, im BDSG ist so einiges geregelt, was stets ignoriert wird. Ob absichtlich sei dahingestellt…
So ist beispielsweise im § 38 BDSG ja auch von einer "Aufsichtsbehörde" die Rede, welche die "Kontrolle der Durchführung des Datenschutzes im Anwendungsbereich" regelt.
Ferner sind auch sowohl Bußgeld- als auch Strafvorschriften im BDSG vorgesehen. Siehe § 43 BDSG nebst § 44 BDSG.
Natürlich kann man darüber streiten, ob die "Verstöße" im Einzelnen überhaupt praxisnah sind. Im Hinblick auf (z.B.) dem Prinzip der Zweckbindung könnte man m.E. durchaus differenzieren. Datenerhebung/ ~speicherung/ und ~nutzung ist nun mal nicht immer gleich Datenerhebung/ ~speicherung/ und ~nutzung… sozusagen.
'Mal ein Beispiel-Verstoß aus den Bußgeldvorschriften rausgepickt. Und zwar Absatz 2, Punkt 2 (oder wie das heißt? Ziffer evtl.? K.A.):
Mal rein hypothetisch angenommen ein großes, internationales social network würde unbefugt personenbezogene Daten zum Abruf mittels automatisierten Verfahrens für ein großes, internationales Social-Commerce-Versandhaus bereithalten. Zweck: Marketing/Werbung mit dem Ziel Profit zu generieren. Dies wäre in meinen Augen eine zweckfremde Datenbearbeitung (Vgl. § 4 BDSG) und in dem Fall auch unbefugt.
Ich bin allerdings nur ein Laie, weswegen ich diesbzgl. auch nicht für die Richtigkeit meiner Gedanken garantieren kann. Vielleicht findet sich ja ein Fachmann, der dies bestätigen kann oder eben richtigstellen kann.
Im § 43 BDSG Absatz 3 heißt es dann weiter:
Geldbuße bis zu € 300.000 Euro! Warum wird nicht 'mal ein Exempel statuiert? D.h., um bei oben gewählten Beispiel zu bleiben: Nehmen wir weiterhin rein hypothetisch an, daß das social network vom Social-Commerce-Versandhaus 'ne Art Kopfgeld bekommt. Ggf. werden womöglich spezielle Nutzerprofile noch an weitere "interessierte Kunden" veräußert? Warum kann man dann bzw. genauer: Warum kann dann nicht bei Verdacht die Aufsichtsbehörde entsprechende Maßnahmen einleiten (siehe oben, § 38 BDSG)? GGf. ein Exempel statuieren und den Rahmen des Gesetzes voll ausreizen. Mal gesponnen: € 300.000 Euro PRO Datensatz! Die hätten den Schweiß auf der Stirn – das garantiere ich. Außerdem müsste das zuständige (Bundes-)Land bzw. deren Städte sehr lange Blitzen, sehr viele Falschparker aufschreiben und 'ne Menge Wildpinkler bzw. in-den-Park-kackende-Hunde erwischen, um so schnell Geld in die Kassen zu spülen.
Abschließend zum Thema "Aufsichtsbehörde" im Datenschutz: Ich weiß, daß jedes Bundesland ihre Aufsichtsbehörde hat, aber wenn ich mich zum Thema versuche ein wenig schlau zu machen, dann lese ich meistens solche Sätze wie "Aufsichtsbehörde hat Unternehmen gerügt" oder dergleichen…
Last but not least noch schnell einen Satz zu "unserem" obersten Datenschützer Herrn Peter Schaar als rein persönliche, freie Meinung. Und zwar folgendes: Wenn ich für meinen Teil Herrn Peter Schaar mit beispielsweise dem schweizer EDÖB Herrn Hanspeter Thür vergleiche, dann werde ich ganz neidisch. Der zieht Firmen auch schon 'mal vor Gericht, wenn's sein muss um die Sachverhalte höchst-richterlich klären zu lassen. Warum kann das ein Peter Schaar nicht auch tun?
Sorry, daß es 'was länger wurde. Bitte um Korrektur, falls ich absoluten Schwachsinn geschrieben haben sollte.
Danke und Gruß, Baxter
Ich habe ähnliche Erfahrungen mit Datenschutzbeauftragten gemacht. Einmal wurden von mir rechtswidrig personenbezogene Daten erhoben. Die Auskunft, wie und welche Daten erhoben worden waren, wurde unter Hinweis auf Datenschutz verweigert. Da fasse ich mich doch wirklich nur noch an den Kopf. Es wurde zwar dem erhebenden Unternehmen ein Fragebogen zugeschickt, aber was da vom Unternehmen angegeben wurde, soll unter den Datenschutz fallen? Es geht doch um meinen Datenschutz und nicht um den des Unternehmens! Einfach nur absurd.
Ich habe gehört, daß wenn Du Dich genau um Mitternacht vor einen Spiegel stellst und dreimal laut "Post Privacy" sagst, dann erscheint ein Google Mitarbeiter und missbraucht Deine persönlichen Daten.
wenn ein Unternehmen rechtswidrig mit Daten handelt, 4 Millionen Euro verdient und dann 50.000 Euro Strafe zahlen muss (vorrausgesetzt man kann es ihnen überhaupt nachweisen), dann lachen die sich doch kaputt!
@Ben: Das wäre ja dann mal ein Anfang … (das mit dem Kaputtlachen).
Wie soll ich den rauskriegen, wo ich überall anfragen muß? Wer speichert muß mich jährlich informieren. Anders geht es nicht.
Carsten
–
http://www.spiegel.de/images/image-146836-panoV9free-cwio.jpg
Genau dieses Auskunftsrecht haben wir schon seit etlichen Jahren. Es steht in § 34 Bundesdatenschutzgesetz.
Warum sollte den eine "Dumme Kuh" das wissen?
SO ist er der Qualitätsjournalismus FAKTE FAKTEn FAKTEN, und recherchieren bis auf den Grund.
mfg
yb
Der Artikel ist in der Zwischenzeit geändert worden; jetzt wird ein "Datenbrief" gewünscht.
@Seph: YMMD
Faktisch ist das vorhandene Auskunftsrecht nutzlos. Unternehmen lachen darüber, sogar große "seriöse". Da verkauft ein bekanntes Telekommunikations-Unternehmen meine Daten ein ein "Meinungsforschungsinstitut", welches mich darauf hin eine Woche lang täglich mit Anrufen nervt. In der Antwort auf mein Auskunftsbegehren steht mein Name, meine Anschrift, aber weder meine Telefonnummer (die sie als mein Telefon-Anbieter haben müssten …), noch irgendwelche Informationen über die Weitergabe von Daten. Folgeanfragen werden ignoriert.
Ich habe so einen Ausunftsanspruch mittels einstweiliger Verfügung durchgesetzt.
Die Autorin hat sich zwischenzeitlich korrigiert.
Soviel Halbwissen… wenn ich keine Antwort auf ein Auskunftsbegehren erhalten, mahne ich nochmal an und wende mich dann an die zuständige AUFSICHTSBEHÖRDE (nicht irgendeinen Datenschutzbeauftragten, und auch nicht Peter Schaar, der als Bundesdatenschutzbeauftragter in aller Regel NICHT für Privatunternehmen zuständig ist).
Das Gleiche natürlich auch, wenn die Auskunfts nicht ausreichend bzw. nicht zutreffend ist.
Zu Bußgeldern: der oben verlinkte Paragraph sieht doch ausdrücklich vor, dass die Bußgelder überschritten werden dürfen, wenn der durch den Verstoß erzielte Gewinn höher sein sollte.
Ist mir ehrlich gesagt unverständlich, wieso die Landesregierungen nicht die Aufsichtsbehörden massiv aufstocken, das wäre eine schöne Goldgrube, wenn man da mal die nötige Personaldecke hätte, um Verstöße aktiv zu verfolgen…
Sie wollen das die Mafia oder eine der Tarnorganisation, in Deutschland Partei XYZ, sich selbst kontrolliert ?
Auf welchem Trip sind Sie denn ?
@Björn Reinhardt:
Vielleicht sind zwei Gesetze besser als eines?
Die Auskunft von Unternehmen erfolgt durch Standardschreiben.
Nun ist man genauso klug wie vorher.
Also § 34 BundesdatenschutzG hilft nicht wirklich.
Ich "hörte" in Kiel soll eine Auskunft beim Jobcenter ca. 300 Euro kosten. Welcher ALGII-Empfänger kann sich das schon leisten!
@2, @23
ich habe es schon zahlreich genutzt und kann es nur teilweise nachvollziehen. Es gibt Unternehmen, die wirklich nicht reagieren. Die durften bei mir jeweils den zuständigen Landesdatenschutzbeauftragten kennenlernen. Danach gab es meistens zahlreiche Entschuldigungen, aus welchen Gründen man es versäumt habe, mir Auskunft zu geben.
Aber die meisten Unternehmen reagieren, leider i. d. Regel nur unzureichend. Aber auch hier reicht im Allgemeinen eine zweite Mahnung mit Fristsetzung. Ansonsten geht's wieder zum Datenschutzbeauftragten und dann klappt das schon ;)