CCC fordert Einführung eines “Datenbriefes” zur Stärkung der “informationellen Selbstverteidigung”
06.02.2010
Der Chaos Computer Club (CCC) fordert laut einer Pressemitteilung vom 25.1.2010 die Einführung eines so genannten “Datenbriefes” zur – wie es in der Pressemitteilung heißt – Stärkung der “informationellen Selbstverteidigung des Bürgers”. Demnach sollten Unternehmen und Behörden von der Datenerhebung Betroffene regelmäßig über den Umfang der bei ihnen gespeicherten Daten informieren.
Der Volltext der Pressemitteilung lautet:
“Der Datenbrief ist eine Forderung des Chaos Computer Clubs (CCC), um die informationelle Selbstverteidigung des Bürgers zu stärken und die Anhäufung von personenbezogenen Daten möglichst unattraktiv zu machen. Er bietet die Chance, die Verarbeitung eigener persönlicher Daten besser zu überblicken und zu kontrollieren.
Der CCC fordert den Gesetzgeber auf, den Datenschutz für den Einzelnen zu verbessern. Als eine wichtige Maßnahme sehen wir die Einführung eines “Datenbriefes”: Wenn eine Firma, Behörde oder Institution personenbezogene Daten über jemanden erhebt, speichert oder übermittelt, muß der Betroffene regelmäßig über die über ihn gespeicherten Daten informiert werden. Das betrifft auch Daten, die über ihn beispielsweise durch “Anreicherung” mit anderen Datenquellen erzeugt werden, also Profile, Scoring-Werte, Annahmen über Vorlieben, interne Kundenklassenzuordnungen usw. Natürlich sind diese Daten zum Teil hochdynamischer Natur, das ändert jedoch nichts daran, daß der Betroffene ein Recht auf regelmäßigen kostenlosen Einblick hat.
Das Ziel des Datenbriefes ist es, für jeden Bürger transparent zu machen, wer die eigenen Daten verarbeitet. Der Bürger oder Verbraucher wird zukünftig bewußter mit seinen Daten umgehen, wenn er erstmal einen Überblick bekommen hat, welche Daten über ihn gespeichert sind. Das Recht des Betroffenen auf Auskunft hat dabei Vorrang vor etwaigen Geschäfts- oder Behördengeheimnissen der speichernden und verarbeitenden Firmen. Persönlichkeitsrechte Dritter müssen selbstverständlich gewahrt werden.
Nach dem Bundesdatenschutzgesetz (BDSG) ist eine natürliche Person “Betroffener”, wenn über sie Einzelangaben über persönliche oder sachliche Verhältnisse erhoben oder verarbeitet werden (§ 3 I BDSG). Zwar hat ein Betroffener nach BDSG ein Recht auf Auskunft (§§ 19, 34 BDSG), jedoch muß er dazu erstmal ahnen, wer über ihn Daten gespeichert hat und wer die tatsächlich verantwortliche Stelle ist. Außerdem muß er gegenüber der verantwortlichen Stelle nachweisen, daß er die tatsächlich betroffene Person ist. Dies kann relativ einfach durch eine Kopie des Personalausweises erfolgen, einige Unternehmen fordern sogar eine Identifikation mittels des PostIdent-Verfahrens.
Wir fordern eine Paradigma-Umkehr der bisherigen Praxis, wo der Bürger als Bittsteller gegenüber der speichernden Stelle auftritt. Die für eine Datenverarbeitung verantwortliche Stelle soll sich durch den Datenbrief wieder ihrer Verantwortung bewußt werden. Der Zugang zum Datenbrief muß auch dann ermöglicht werden, wenn beispielsweise keine postalische Adresse zum jeweiligen Datengeber verzeichnet ist. Die Übersicht über die gespeicherten Daten und ihre Verwendungsergebnisse muß dann mit den gleichen Zugangsdaten möglich sein, wie der sonstige Zugang zum Dienst oder Service.
Versendet das Unternehmen oder die Behörde im Laufe des Jahres Briefpost an den Datengeber, kann der Datenbrief beigelegt werden. Der Mehraufwand sollte dazu führen, daß das jeweilige Unternehmen kritisch prüft, ob eine längerfristige Datenspeicherung sinnvoll und notwendig ist. Der bürokratische Aufwand ist jedoch durchaus vertretbar, da in der Regel ohnehin für Reklame, amtliche Mitteilungen, Rechnungen, Vertragsänderungen oder andere Korrespondenzen Briefe versandt werden: Der Datenbrief liegt dann anbei. Da gerade im elektronischen Rechtsverkehr oft nur eine E-Mail-Adresse vorhanden ist, kann ein solcher Datenbrief natürlich auch elektronisch, beispielsweise in Form einer Anleitung zum Abruf der Daten, versandt werden.
Mit der Verpflichtung zum Versenden des Datenbriefes soll ein Umdenken sowohl bei Behörden und Firmen als auch beim Bürger einsetzen. Firmen werden genauer prüfen, ob und wie lange Daten wirklich erforderlich sind. Da auch die Rechtsgrundlage der Speicherung und Übermittlung sowie eine einfache Widerspruchsmöglichkeit enthalten sein muß, wird sich der Verantwortliche einmal mehr Gedanken machen, ob die Datensammlung überhaupt legal, zumindest aber, ob sie notwendig ist. Da persönliche Daten über Menschen und deren heutige oder prognostizierte Kaufkraft und Kreditwürdigkeit einen kommerziellen Wert haben und zum Handelsgut geworden sind, müssen Strafen drohen. Firmen, die es unterlassen, die Verbraucher zu informieren, sollen durch harte Strafen nachhaltig abschreckt werden, damit die angestrebte Transparenz erreicht wird.
Die Übersicht gibt dem Betroffenen die Möglichkeit, die Richtigkeit der Daten zu überprüfen und gegebenenfalls eine Korrektur und einen Widerspruch zu veranlassen. Jeder kann nach Erhalt des Datenbriefes entscheiden, der Speicherung der Daten weiterhin stillschweigend zuzustimmen oder ihr zu widersprechen. Dazu soll der Auskunft zwingend ein Widerspruchs- sowie Korrekturformular beiliegen. Fehlerhafte Daten können eine Ursache von für den Verbraucher nachteiligen Vertragsentscheidungen sein (beispielsweise negative Schufa-Auskunft, Scoring-Werte).
Es ist an der Zeit, die Asymmetrie zwischen Bürgern, deren persönliche Daten oft ohne ihr Wissen verarbeitet werden, und Firmen oder Behörden, die solche großen Sammlungen anlegen, weiterverarbeiten oder verkaufen, zu beenden. Nur mündige Menschen können sich frei entscheiden, wem sie ihre Daten anvertrauen, und dabei Unternehmen bevorzugen, die möglichst wenige Daten speichern. Ein Gesetz, das den Datenbrief verpflichtend macht und bei Mißachtung deftige Strafen androht, ist längst überfällig.
Welche Informationen soll der Datenbrief enthalten?
Grundsätzlich sollen alle gespeicherten Daten des Betroffenen enthalten sein. Der Datenbrief muß außerdem in jeden Fall enthalten, ob und welche Daten an eine dritte Stelle übermittelt wurden. Diese Übermittlung muß begründet werden. Dazu gehört die Auskunft, woher die Daten stammen und zu welchem Zweck sie aufbewahrt werden.
Wie oft soll der Datenbrief versendet werden?
Die Benachrichtigung sollte unmittelbar nach Beginn der Erhebung, der Verarbeitung oder des Empfangs übermittelter Daten erfolgen. Dies könnte zum Beispiel im Rahmen einer Auftragsbestätigung, mit der Lieferung einer bestellten Ware oder als einzelne Mitteilung erfolgen. Danach soll jährlich informiert werden.
Werden durch den Datenbrief nicht bestimmte Daten erst notwendig zu erheben, etwa die Postadresse?
Nein, auf keinen Fall soll der Datenbrief als Einladung verstanden werden, noch mehr Daten zu erheben. Der Betroffene muß natürlich nur auf dem Weg informiert werden, auf dem er ohnehin erreichbar ist.
Wird das nicht ein bürokratisches Monster? Wer soll das kontrollieren?
Die verantwortlichen Stellen werden durch das Bundesdatenschutzgesetz zum Versand des Datenbriefes verpflichtet. Der Geschäftsführer einer Firma ist persönlich für die Einhaltung der Informationspflicht haftbar. Der Bürger kann jederzeit die Aufsichtsbehörden informieren, wenn er den Verdacht hat, daß eine Stelle ihrer Auskunftspflicht nicht nachkommt.
Die Bundesländer müssen dafür sorgen, daß es einen einheitlichen Ansprechpartner für solche Beschwerden gibt, denn die bisherige Ausstattung der Datenschutzbehörden ist nicht ausreichend. So wird es den Betroffenen erleichtert, sich gegen Mißbrauch ihrer Daten zu wehren.
Wie sieht es beim CCC mit dem Datenbrief aus? Ihr speichert doch auch Mitgliederdaten.
Der Chaos Computer Club e. V. versendet seit Jahren eine Übersicht im Rahmen der Einladung zur Mitgliederversammlung.
Der CCC bittet darum, Kommentare und Vorschläge zum Datenbrief an datenbrief(at)ccc.de zu senden.”
PHPGangsta
Wurde der Datenbrief nicht bereits beim 25C3 (Ende 2008) gefordert? Vielleicht diesmal nur etwas offizieller?
Ich jedenfalls unterstütze das voll und ganz, das wäre ein echter Fortschritt, denn seit Jahren geht es bergab mit unserer Privatsphäre und unseren vermeintlich persönlichen Daten.
Überall werden Daten illegal gehandelt, werden geklaut oder billigend weitergegeben an Subunternehmer etc.
Ein Saustall das ganze.