(openPR) Es ist unglaublich: Die Deutsche Telekom gilt als eines der Unternehmen in Deutschland mit dem bestorganisierten Datenschutz. Viele Mitarbeiterinnen und Mitarbeiter sind dort in verschiedenen Ebenen und Regionen mit dem Thema Datenschutz und IT-Sicherheit befasst. Wir kennen sie fast alle persönlich als engagierte und gewissenhafte Datenschützer, denn die meisten von ihnen sind bei udis ausgebildet worden.
Von allen diesen Mitarbeiterinnen und Mitarbeitern ist uns immer vermittelt worden, dass die Deutsche Telekom den Datenschutz im Unternehmen auch deshalb so ernst nehme, weil man einen professionellen Datenschutz als wichtigen Marketingfaktor begreife. Die Chefetage der Telekom sei vor allem deshalb an so vielen gut ausgebildeten Datenschutzfachleuten im Unternehmen interessiert, weil ein Dienstleistungsunternehmen dieser Größenordnung sich überhaupt keinen Datenschutzskandal leisten könne. Ein Unternehmen im Telekommunikationsbereich werde in der Bevölkerung nur dann als ihr Dienstleister akzeptiert, wenn es längerfristig keine Imageprobleme in Bezug auf den Schutz des Persönlichkeitsrechts seiner Kunden habe.
In diesen Tagen kam nun ans Licht, dass trotzdem vor nicht allzu langer Zeit, vermutlich unter der Regie von damals verantwortlichen Konzernmanagern, die Deutsche Telekom einen der wohl größten Datenschutzskandale in der Geschichte der Bundesrepublik auslöste. Es ging um Informationslecks im Vorstand oder Aufsichtsrat des Konzerns, die man ausfindig machen wollte. Der konventionelle Weg, solche undichten Stellen im Unternehmen ausfindig zu machen, wäre (datenschutzfreundlicher) über die Verteilung entsprechend markierter Dokumente gelaufen. Frei nach der Devise „Wissen ist Macht“ fand man es aber reizvoller, die ja schließlich massenhaft gespeicherten Telekommunikationsdaten der Kunden und Mitarbeiter(innen) für diesen Zweck zu nutzen.
Schließlich bietet die heutige Informationstechnik ganz neue, sehr effektive wenn hier auch illegale Möglichkeiten um zum gleichen Ziel zu kommen: Etwa durch Erstellung von Kommunikationsprofilen (wer telefoniert mit wem und wann), Bewegungsprofilen (wer war mit seinem Handy wo und wann), und womöglich durch den Einsatz von Rasterverfahren und Datamining. Da die an den Ergebnissen solcher Recherchen interessierten wohl aber selbst nicht in der Lage waren, entsprechende Auswertungen selbst durchzuführen und die sensibilisierte Datenschützer sich für solche Aktionen nicht hergeben würden (und falls unter entsprechendem Druck durchgeführte, sich nicht geheim halten ließen), musste man auf externes Know-how zurückgreifen. Wie man liest, waren es dann ehemalige Stasi-Mitarbeiter, die diesen Job mit der ihnen eigenen Fachkunde und Motivation erledigten.
Unser besonderes Mitgefühl gilt deshalb in diesen Tagen insbesondere unseren Datenschutz- und IT-Sicherheits-Kolleginnen und – Kollegen bei der Deutschen Telekom, deren Engagement und Motivation auf so üble Weise unterlaufen worden ist. Zwangsläufig wird sich für diese die Frage stellen, mit welcher inneren Einstellung sie in Zukunft ihre Aufgaben erledigen sollen und wollen, vielleicht sogar, ob es in Zukunft überhaupt noch Sinn macht, sich für die Belange des Datenschutzes und der IT-Sicherheit bei der Deutschen Telekom zu engagieren – einfach schon deshalb, weil eine skeptisch gewordene Öffentlichkeit einem entsprechendes Engagement mit Spott begegnen könnte.
Sehr viel wird davon abhängen, mit welchem Geschick und mit wie viel Intelligenz die Deutsche Telekom und die Politik mit dem Geschehenen umgehen werden. Die Signale aus der Politik jedenfalls lassen nichts besonders Positives vermuten. Schließlich verschleppt Bundesinnenminister Schäuble nun schon seit Jahren die wirklich dringende Modernisierung des Bundesdatenschutzgesetzes und ihre Anpassung an die Technik von heute. Genauso sieht es mit einem Datenschutz-Auditgesetz aus, das seinen Namen wirklich verdient, ganz zu schweigen von einem Arbeitnehmerdatenschutzgesetz. Was soll deshalb jetzt die von Ihm vorgeschlagene Selbstverpflichtung der (gesamten) Telekommunikationsbranche? Eine Selbstverpflichtung, sich (künftig) an geltendes Recht zu halten, an welches sie sich ohnehin halten müssten? Oder zu einem Mehr als in der Datenschutzgesetzgebung steht? Warum verschärft man dann nicht gleich die Gesetze, dann hätte man wenigstens eine Handhabe denen gegenüber, die dagegen verstoßen.
Wenn - wie in der Presse zu lesen war – ein Betrag von etwa 350.000,00 €, wie er den Stasi Leuten als erste Rate für ihre Dienste überwiesen wurde, bei der Deutschen Telekom noch keine Summe ist, die die besondere Aufmerksamkeit des Vorstandes auslöst, dann ist das bisher bei 250.00,00 € liegende maximale Bußgeld bei Datenschutzverstößen sicher kein Betrag, der die Leitung eines Konzerns auf dem Pfad der Tugend hält. Auch das doppelte dieses Betrages oder noch mehr dürfte entsprechende kriminelle Energien nicht im Zaum halten. Trotzdem sollte man die Bußgelder entsprechend erhöhen: Etwa so wie in Frankreich, wo ein maximales Bußgeld von 300.000,00 € aus dem Privatvermögen des verantwortlichen Geschäftsführers zu bezahlen ist und das siebenfache dieses Betrages aus dem Vermögen des Unternehmens. Zumindest um zu signalisieren, dass die Politik den Datenschutz in der Privatwirtschaft in Zukunft ernster nehmen will.
Empfindlicher reagieren Unternehmen offensichtlich auf Imageverluste. Das zeigte sich zum Beispiel beim Datenschutzverstoß bei Lidl, wo man versucht, durch ein außerplanmäßiges Engagement des früheren Bundesbeauftragten für den Datenschutz, Joachim Jacob, das alte „Vertrauen“ wieder herzustellen. Deshalb wohl holt René Obermann zur Aufklärung des Spitzelskandals in seinem Unternehmen den pensionierten Richter am Bundesgerichtshof Gerhard Schäfer. Offensichtlich könnte sich die Datenschutzgesetzgebung in der Privatwirtschaft sehr viel mehr Respekt verschaffen, wenn sie mehr auf einen drohenden Imageverlust setzen würde, als mit einem Bußgeld zu drohen, insbesondere dann, wenn es nicht den Nerv des Unternehmens trifft.
Verstöße gegen den Datenschutz müssten deshalb, sobald sie bekannt werden unter Namensnennung des Unternehmens in die Öffentlichkeit. Vielleicht könnte hier eine neue Rechtsvorschrift im Bundesdatenschutzgesetz (BDSG) weiterhelfen, die eine zeitnahe Veröffentlichung aller Datenschutzverstöße in den Medien vorschreibt. Mit den bisherigen oft nur im großen Zeitabstand erscheinenden Datenschutzberichten kann eine entsprechende Wirkung kaum erzielt werden. Außerdem müssten die meisten Datenschutzkontrollinstanzen durch massive Personalaufstockung (und durch Zusammenlegung mit den Behörden der Landesbeauftragten für den Datenschutz) aber erst einmal in die Lage versetzen, ihren Aufgaben umfassend gerecht werden zu können. In Baden-Württemberg kontrollieren mal so gerade um die 5 Mitarbeiter(innen), die auch noch dem Landesinnenminister unterstehen (!) sämtliche Unternehmen in diesem Bundesland und in den meisten anderen Bundesländern sieht es nicht viel besser aus.
Da die Datenschutzkontrolle der Privatwirtschaft aber in die Kompetenz der Länder fällt (warum eigentlich?) und die Haltung „macht denen das Fell möglichst wenig nass“ in der Datenschutzpolitik weit verbreitet ist, dürfte es sehr schwierig sein, hier etwas zu ändern. Hier sich zu engagieren wäre eine verdienstvolle Aufgabe für Bundesinnenminister Schäuble (im Kontakt mit den Innenministern der Länder), sofern er wirklich etwas für eine Verbesserung des Datenschutzes in der Privatwirtschaft tun will.
