Datendiebstahl: Haftung für Unternehmen gefordert
Der erst kürzlich bekannt gewordene Datendiebstahl bei T-Mobile veranlasst nun Branchenvertreter einmal mehr, eine Unternehmenshaftung im Fall von Datenpannen zu verlangen.
Nachdem Toby Harris, Abgeordnete zum britischen House of Lords eine Bestrafung für schlampige Firmen gefordert hat, macht sich auch das Datenschutzunternehmen Utimaco für eine Haftung für Firmen stark. “Fast täglich wird über Datenklau in allen erdenklichen Varianten berichtet, die Politik hat aber offenbar die Tragweite noch nicht richtig erfasst”, erklärt Markus Bernhammer, Executive Vice President Central and Eastern Europe bei Utimaco.
Dem Mobilfunkunternehmen T-Mobile wurde bereits 2006 ein Datenpaket mit 17 Millionen Kundendatensätzen gestohlen. Nun ist öffentlich geworden, dass diese Informationen auch zum Verkauf angeboten worden sind. Diese enthielten Namen, Handynummer, Adressen, Geburtsdaten sowie zum Teil auch E-Mail-Adressen. Bei T-Mobile wird bekräftigt, dass man schon 2006 die Staatsanwaltschaft eingeschaltet habe. Zu der Zeit gab es jedoch keine Hinweise auf Missbrauch der Daten oder einen konkreten Schaden, begründet das Unternehmen die Tatsache, dass die Öffentlichkeit nicht umgehend informiert wurde.
Die nun öffentlich gewordene enorme Datenpanne hat jetzt Datenschützer auf den Plan gerufen, die strengere Reglementierungen fordern. Derzeit ist eine Novellierung des Bundesdatenschutzgesetzes geplant. Nach Ansicht von Utimaco greife diese jedoch zu kurz. Denn die geplante ausdrückliche Einwilligung des Kunden zur Weitergabe seiner persönlichen Daten sei bei Missbrauch obsolet. Konkret listet das Datenschutzunternehmen nun vier Punkte auf, die an das kalifornische Datenschutzmodell angelehnt sind.
Unternehmen sollen verpflichtet sein, Datenverluste sowohl den Betroffenen als auch der Öffentlichkeit sofort mitzuteilen. Der zweite Punkt befasst sich mit der Regressforderung, die den Opfern künftig erleichtert werden soll, so Utimaco. Schließlich soll die Beweislast umgekehrt werden, so dass Unternehmen künftig den sorgfältigen Umgang mit Kundendaten nachweisen müssen. Als vierten Punkt reklamiert das Unternehmen eine Protokollpflicht, um zu speichern, welcher Mitarbeiter wann auf Kundendaten zugreift. Damit lasse sich auf einfache Weise berechtigte Nutzung der Kundeninformationen von absichtlichem Missbrauch trennen.
Diese Maßnahmen umzusetzen sei technisch bereits problemlos möglich. Lediglich die gesetzliche Grundlage fehle derzeit, um derartige Pannen zu verhindern. “Wird die unternehmerische Haftung bei Datenverlusten eingeführt, ändert sich die Lage sehr schnell”, ist Bernhammer überzeugt. Unternehmen, die mit sensiblen Daten hantieren, würden künftig damit sorgfältiger umgehen.