Krypto e.V.

Cyberkriminelle haben soziale Netzwerke im Jahr 2009 verstärkt ins Visier genommen. Der Versand sowohl von Malware als auch Spam über Facebook und Co hat im Jahresverlauf um rund 70 Prozent zugenommen. Zu diesem Ergebnis kommt der Security Threat Report 2010 des Sicherheitsunternehmens Sophos. Dieses Sicherheitsproblem ist auch für Unternehmen von Bedeutung.

Wie beliebt gerade Facebook bei Hackern ist, zeigt aktuell auch eine Kampagne mit einer gefälschten Virenwarnung vor einer angeblich schädlichen “Unnamed App”. Die Warnung wird von besorgten Nutzern auch durch Facebook-Nachrichten oder über die Pinnwand weiter verbreitet, warnt das AV-Unternehmen Panda Security. Ziel der Hintermänner ist, verunsicherte User zum Download einer gefälschten AV-Software zu bewegen.

Soziale Netzwerke lohnendes Ziel
Bei der aktuellen Kampagne setzen die Cyberkriminellen darauf, dass sich User genauer über die angebliche Gefahr informieren wollen. Dabei landen sie über Suchmaschinen auf gefährlichen Download-Seiten. Doch auch der Malware-Versand direkt über soziale Netzwerke ist dramatisch angestiegen. Bereits 36 Prozent der User geben laut Sophos an, dass sie 2009 Schadsoftware über eine Social-Networking-Seite zugeschickt bekommen haben. Das ist gegenüber 2008 ein Anstieg um 69,8 Prozent.

Noch etwas deutlicher zugenommen hat demnach der Spamversand über Facebook und Co. 2009 hat bereits mehr als die Hälfte der Nutzer deart unerwünschte Nachrichten erhalten (57 Prozent). “User verbringen immer mehr Zeit auf Social Networks und teilen dort vertrauliche und wertvolle persönliche Informationen. Die Hacker haben herausgefunden, wo Geld zu machen ist”, meint Graham Cluley, Senior Technology Consultant bei Sophos. Die Beliebtheit der sozialen Webangebote als Angriffsziel birgt dabei nicht nur für Privatanwender ernsthafte Gefahren.

Risiken für Unternehmen
Einer Sophos-Umfrage unter mehr als 500 Unternehmen zufolge machen sich 72 Prozent der Betriebe Sorgen, dass das Verhalten der Mitarbeiter auf sozialen Netzwerken auch Risiken für das Unternehmen mit sich bringt. Die Nutzung gerade von Facebook wird aber immer seltener eingeschränkt, da sie Teil des modernen Geschäftslebens ist. Dabei erachten sechs von zehn Befragten diese Seite als größtes Risiko. “Man darf nicht vergessen, dass Facebook das mit Abstand größte Social Network ist. Im größten Obstgarten gibt es klarerweise auch die meisten faulen Äpfel”, meint dazu Cluley.

Das Facebook-Team arbeite hart im Kampf gegen Bedrohungen, doch könnten teils einfache Änderungen den Nutzern mehr Sicherheit bieten. Die vielkritisierten Änderungen an den Privateinstellungen bezeichnet Cluley explizit als Rückschritt. Gerade Datenschutz ist aus Unternehmenssicht ein gewichtiges Problem an sozialen Netzwerken. Sophos verweist diesbezüglich darauf, dass Hacker gerade über das vermeintlich harmlose Business-Netzwerk LinkedIn Hackern umfangreiche Informationen zu Mitarbeitern und Hierarchie in einem Unternehmen gewinnen könnten.

Zu dem wichtigsten Grundprinzip des Gesetzes zählt das Recht eines jeden Bürgers auf informationelle Selbstbestimmung: Dazu gehört sowohl das Recht, die eigenen genetischen Befunde zu kennen, als auch das Recht, diese nicht zu kennen, wenn man es nicht möchte.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, begrüßt die zahlreichen datenschutzkonformen Regelungen, bedauert jedoch, dass das Gesetz keine Regelungen zum Umgang mit genetischen Untersuchungen im Zusammenhang mit Forschungen beinhaltet.

Schaar: „Dieses Manko wiegt schwer, da gerade in diesem Bereich eine hohe Rechtsunsicherheit bei allen Beteiligten herrscht, d. h., hier wünsche ich mir eine Nachbesserung des Gesetzes. Zudem würde ich es sehr begrüßen, wenn es auch auf gesamteuropäischer Ebene konkret verbindliche Gesetze geben würde, die genetische Untersuchungen in den verschiedenen Lebensbereichen und den Umgang mit genetischen Daten einheitlich regeln würden. Im Rahmen der fortschreitenden Globalisierung darf ein so wichtiger Bereich wie die Selbstbestimmung über seine genetischen Daten nicht an der eigenen Landesgrenze halt machen.“

Das Gesetz beinhaltet im Wesentlichen folgende Regelungen:
Eine genetische Untersuchung zu medizinischen Zwecken darf nur von einem Arzt vor-genommen werden. Erlaubt die Untersuchung eine Vorhersage über die eigene Gesundheit oder die eines ungeborenen Kindes ist eine genetische Beratung vor und nach der Untersuchung Pflicht.

Auf Verlangen des Arbeitgebers vorzunehmende genetische Untersuchungen sind grundsätzlich verboten. Auch sind genetische Untersuchungsergebnisse, die aus anderem Zusammenhang bereits vorliegen, für den Arbeitgeber tabu. Er darf sie weder erfragen, noch entgegennehmen oder verwenden. Lediglich im Rahmen des Arbeitsschutzes können in Ausnahmefällen genetische Untersuchungen notwendig sein. Hier sind allerdings enge Voraussetzungen zu beachten.

Auch im Versicherungsbereich schafft das Gesetz Klarheit. Versicherungsunternehmen dürfen weder vor noch nach Abschluss des Vertrages die Vornahme genetischer Untersuchungen oder die Mitteilung von Ergebnissen aus zurückliegenden genetischen Untersuchungen verlangen oder solche Ergebnisse entgegennehmen oder verwenden. Hiervon gibt es zur Vermeidung von Missbrauchsfällen eng begrenzte Ausnahmen bei Abschluss von Lebens-, Berufsunfähigkeits-, Erwerbsunfähigkeits- und Pflegeversicherungen mit einem bestimmten hohen Leistungsumfang.

Sog. Vaterschaftstests sind nur mit Zustimmung der zu untersuchenden Personen zulässig. Damit sind die bislang durchaus üblichen heimlichen Abstammungstests verboten.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Peter Schaar übte in seinem heutigen Vortrag an der Theodor-Heuss-Akademie in Gummersbach bei der Tagung „Freiheit braucht Mut – Zum Datenschutz in der digitalen Welt“ deutliche Kritik am SWIFT -Abkommen und an der Art seines Zustandekommens.

Heute vor zwei Monaten hat der Europäische Rat der Innen- und Justizminister den Entwurf des SWIFT – Abkommens gebilligt, das ab 1. Februar 2010 vorläufig angewendet werden soll. Die bei SWIFT gespeicherten Daten, die im Zusammenhang mit Überweisungen aus Europa in Drittstaaten anfallen, sollen aus der EU in die USA übermittelt werden. In geringerem Umfange können aber auch Daten zu innerdeutschen Überweisungen betroffen sein.

Schaar sagte: „Die Entscheidung von Rat und Kommission, US-Behörden vom 1. Februar an Zugriff auf in Europa gespeicherte Bankdaten einzuräumen, ist ein nachhaltiger Eingriff in den Datenschutz. Das SWIFT – Abkommen und das Verfahren seines Zustandekommens sind mit gravierenden Fehlern behaftet. Es wurde ohne Beteiligung des Europäischen Parlaments und der nationalen Parlamente der Mitgliedstaaten abgeschlossen. Die Volksvertretungen konnten deshalb ihrem verfassungsrechtlichen Auftrag als Wächter der Grundrechte der EU-Bürger nicht nachkommen.

Das Abkommen selbst weist erhebliche datenschutzrechtliche Defizite auf. So sind die Schwellen für die Datenübermittlung so niedrig gesetzt, dass voraussichtlich ganz überwiegend Daten des Terrorismus völlig unverdächtiger Bankkunden übermittelt werden. Zudem fehlt eine wirksame Kontrolle durch unabhängige Datenschutzbeauftragte. Das Abkommen enthält keine Benennung der in den USA gegen Abkommensverstöße bestehenden Rechtsbehelfe und Schadensersatzansprüche.“

Die Kommission und der Rat hatten anlässlich der Billigung des Abkommens durch die Innenund Justizminister versprochen, das Abkommen nicht ohne eine zustimmende Entscheidung des Europäischen Parlaments in Kraft zu setzen. Schaar erwartet deshalb von der Bundesregierung, dass sie sich auf europäischer Ebene kurzfristig dafür einsetzt, das Abkommen bis zu einem Votum des Europäischen Parlaments nicht anzuwenden. Für Schaar stellt das Abkommen in seiner gegenwärtigen Fassung auch keine tragfähige Basis für eine für November 2010 geplante Folgeregelung dar. „Ohne angemessenen Datenund Rechtsschutz dürfen personenbezogene Daten nicht übermittelt werden“, sagte er.

Schaar begrüßte in diesem Zusammenhang auch die Äußerung der künftigen EU – Justizkommissarin Reding, die in diesen Tagen das SWIFT-Abkommen über die Weitergabe von Bankdaten an US -Terrorfahnder im Wesentlichen mit datenschutzrechtlichen Argumenten infrage gestellt hatte. Hierin sieht Schaar ein positives Signal für einen beginnenden Umdenkungsprozess. (tc)

Heute, Donnerstag, wird der vom Europarat ins Leben gerufene “Europäische Datenschutztag” begangen. Grund zum Feiern gibt es für Datenschützer aber wenig. Die ARGE Daten wirft dem Europarat in einer Aussendung vor, längst “zum Lobbyisten der Paranoia- und Überwachungsindustrie” mutiert zu sein. Sie verweist auf immer weitergehende Eingriffe in Privatleben und Intimsphäre wie Nacktscanner oder Vorratsdatenspeicherung.

“Die Überwachungsindustrie ist der Nachfolger der Rüstungsindustrie zur Zeit des Kalten Krieges”, meint wiederum Christian Jeitler von der Datenschutzorganisation quintessenz. Immerhin geht es um viel Geld, wenn beispielsweise Nacktscanner 2010 in allen deutschen Flughäfen installiert werden sollen. So ist es auch nicht verwunderlich, dass es bereits eine Petition in Deutschland mit über eintausend Unterzeichnern gibt.

Auswertung und Trugschlüsse
Scharfe Kritik nicht nur von Datenschützern gab es zuletzt an der per EU-Richtlinie verordneten Vorratsdatenspeicherung. “Selbst wenn nur Verbindungsdaten vorliegen, kann teils sehr leicht auf den Inhalt geschlossen werden”, warnt nun Jeitler. Bei aufeinanderfolgenden Telefonaten ließe eine Auswertung der Angerufenen sehr wohl Rückschlüsse auf den Gesprächsinhalt zu – wobei auch gefährliche Trugschlüsse nicht auszuschließen wären.

Industrielle Interessen
Jeitler betont, dass es bei jeder Überwachungstechnologie und somit auch der Vorratsdatenspeicherung wirtschaftliche Profiteure gibt. “Es ist wichtig, dass wir uns nicht von den Interessen der Industrie in einen totalitären Überwachungsstaat treiben lassen”, warnt er. Diesbezüglich verweist Jeitler darauf, dass die angeblich zur Terrorbekämpfung gedachte Vorratsdatenspeicherung durch ungenaue Regelungen zum Datenzugriff für diverse Zwecke missbraucht werden könnte.

Ebenfalls dem Kampf gegen den Terror dienen Verfechtern zufolge die umstrittenen Nacktscanner, die in Deutschland bereits Nacktproteste durch die Piratenpartei ausgelöst haben. In den USA hat sich vor kurzem gezeigt, dass die Geräte zumindest hardwareseitig zum Speichern und Verschicken von Bildern geeignet sind. Dass eine flächendeckende Installation der Geräte auf Flughäfen für die Hersteller hohe Umsätze verspricht, liegt auf der Hand. (pte/tc)

Die umstrittenen Warnbriefe, die in Großbritannien an vermeintliche Internetpiraten verschickt werden, treffen häufig vollkommen unschuldige Personen. Mittlerweile sind bei der Verbraucherschutzorganisation Which? über 150 Beschwerden von Menschen eingegangen, die kritisieren völlig zu unrecht einen solchen Warnbrief erhalten zu haben. Wie BBC Online berichtet, hat die Anwaltskanzlei ACS:Law im Auftrag diverser Klienten bereits Tausende Briefe an Nutzer verschickt, die im Verdacht stehen, illegal Inhalte aus dem Netz gezogen zu haben.

Geldbuße
Außerdem werden die Betroffenen in dem Brief dazu aufgefordert, eine Geldbuße von 500 Pfund (rund 575 Euro) zu bezahlen, um die “Sache zu bereinigen”. ACS:Law verteidigt seine Vorgehensweise und hat außerdem angekündigt, in Kürze weitere Briefe zu verschicken. Which? zeigt sich nun allerdings sehr besorgt, dass noch viel mehr Menschen zu unrecht beschuldigt werden könnten. “Unschuldigen Konsumenten wird mit rechtlichen Schritten gedroht – für Urheberrechtsverletzungen, die sie nicht nur nicht begangen haben, sondern teils gar nicht wissen, wie das überhaupt ginge”, kritisiert die Organisation.

Es sei davon auszugehen, dass viele so eingeschüchtert würden, dass sie – um kein Risiko einzugehen – das Geld bezahlen, obwohl sie nichts gemacht hätten, befürchtet Which?. Die Verbraucherschützer raten unrechtmäßig Beschuldigten, auf jeden Fall dagegen zuhalten und die Anschuldigungen abzuweisen. Außerdem könnten sich die Nutzer Unterstützung und Rat bei Which? einholen.

Heimische Internetprovider dagegen
In Österreich werden derzeit keine Adressen für derlei Warnbriefe herausgegeben, wie Andreas Wildberger, Generalsekretär der Internet Service Provider Austria (ISPA). “So etwas steht für uns auch nicht zur Diskussion. Schon die Gesetzeslage erlaubt es nicht, dass wie in Großbritannien Internetadressen an Dritte weitergegeben werden dürfen.” Auch Wildberger warnt vor der Problematik, dass bei einem solchen Vorgehen, auch immer vollkommen Unschuldige betroffen sein würden.

Zahlreiche Auftraggeber
Andrew Crossley von ACS:Law bestätigte gegenüber BBC News, dass einige Fälle inzwischen auch wieder fallengelassen wurden, genaue Zahlen nannte er nicht. Wer sich ungerecht beschuldigt fühle, solle sich den Rat eines Technikexperten einholen und eine Gegenstellungnahme schicken. “Es reicht aber nicht, einfach nur zu behaupten, dass man es nicht gewesen ist”, warnt Crossley.

Die Kanzlei agiere im Auftrag zahlreicher Klienten, darunter auch die deutsche Firma DigiProtect. Das Unternehmen arbeitet unter dem Motto “Piraterie in Profit verwandeln” und repräsentiert wiederum diverse Rechteinhaber, darunter auch z. B. die Band Scooter. (pte/tc)

Der 4. Europäische Datenschutztag am 28. Januar 2010 befasst sich mit dem Thema „Datenschutz im Gesundheitswesen“. Im Mittelpunkt steht dabei die Frage, welchen Risiken und Nebenwirkungen das Persönlichkeitsrecht der Patienten ausgesetzt wird, wenn deren Gesundheitsdaten gespeichert und über Datennetze ausgetauscht werden.

Hierzu erklärt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit Peter Schaar: „Moderne Technologie ist aus dem Gesundheitswesen nicht mehr wegzudenken. Bei der Diagnostik, in der Therapie und zur Abrechnung kommen leistungsfähige, häufig vernetzte technische Systeme zum Einsatz. Umso wichtiger ist es, dass die höchst sensiblen Gesundheitsdaten effektiv geschützt werden. Dies gilt auch für die elektronische Gesundheitskarte, die den Schlüssel zu einer sicheren Telematikinfrastruktur bilden soll. Dieses Projekt ist jedoch ins Stocken geraten und es wird über wesentliche Änderungen an dem bisherigen Konzept diskutiert. Die ins Auge gefassten Änderungen dürfen aber auf keinen Fall zu einer Absenkung des Sicherheitsniveaus führen. Dabei ist besonders dafür Sorge zu tragen, dass Gesundheitsdaten vor unberechtigten Zugriffen effektiv geschützt werden.“

In diesem Zusammenhang weist Schaar auch auf die Risiken von Internet-Gesundheitsakten hin, die von verschiedenen kommerziellen Anbietern bereits angeboten werden. Schaar: „Das Gesetz sieht für Gesundheitsdaten, die bei Ärzten oder in der geplanten Telematikinfrastruktur des Gesundheitswesens gespeichert werden, einen besonderen Schutz vor. Jede Nutzung für andere Zwecke ist danach ausgeschlossen. Wer dagegen verstößt, macht sich strafbar. Selbst Strafverfolgungsbehörden dürfen diese Daten nicht beschlagnahmen. Dagegen gilt für die von kommerziellen Anbietern beworbenen Internet-Krankenakten kein vergleichbarer Schutz.“

Die zentrale Veranstaltung zum europäischen Datenschutztag findet am 28.1.2010 von 16 Uhr – 19 Uhr im Hufeland-Hörsaal der Charité – Universitätsmedizin Berlin (Bettenhochhaus Campus Mitte), Luisenstr. 64 / Eingang Philippstraße, 10117 Berlin, statt.

HERMES-Ansatz: Videoanalyse und sprachliche Beschreibung (Foto: UBA)

Europäische Forscher arbeiten mit HERMES (Human Expressive Graphic Representation of Motion and their Evaluation in Sequences) an einem kognitiven System, das Videokameras und Software nutzt, um menschliches Verhalten zu analysieren und vorherzusagen. Durch das Erkennen ungewöhnlicher Verhaltensmuster wäre es beispielsweise möglich, die Stationsaufsicht zu warnen, wenn in der U-Bahn eine Person den Gleiskörper betritt.

Das Projekt setzt zunächst auf statische Kameras für Aufnahmen eines großen Umgebungsbereichs. “Damit finden wir bei geringer Auflösung anomales Verhalten wie lauernde Bewegungsmuster ohne klare Richtung”, erklärt Xavier Roca, Direktor des Fachbereichs Informatik an der Autonomen Universität Barcelona (UAB), im Interview. Mit zusätzlichen Schwenk-Neige-Zoom-Kameras kann eine genauere Analyse auf drei Detailebenen erfolgen. Außerdem verfolgt HERMES das Ziel, das beobachtete Verhalten sprachlich zu beschreiben.

Lernfähiges Analysesystem
Überwachungslösungen mit Bildanalyse wurden zwar schon vielerorts erprobt und werden etwa von KiwiSecurity bereits kommerziell angeboten. “Der große Unterschied ist, dass solche Projekte zum Entdecken ungewöhnlichen Verhaltens bestimmte Marker nutzen und z.B. darauf achten, ob sich jemand in eine verbotene Richtung bewegt”, sagt Roca. HERMES dagegen soll durch viele Beobachtungen im Laufe der Zeit lernen, immer genauer einzuschätzen, was normale und was auffällige Bewegungsmuster sind.

“Bei Auffälligkeiten versuchen die Algorithmen für ein besseres Bild heranzuzoomen”, so der Informatiker. Dazu kommen die Schwenk-Neige-Zoom-Kameras zum Einsatz. Ziel ist es, einzelne Körperteile zu analysieren, um beispielsweise Schlagbewegungen zu erkennen. Als höchste Detailstufe soll das System auch den Gesichtsausdruck von Personen studieren und beurteilen, ob beispielsweise jemand beunruhigt wirkt. “Alle drei Ebenen liefern Warnsignale für mögliche Gefahrensituationen, die ein Operator dann bestätigen müsste”, meint Roca.

Sprachliche Beschreibung
“Ein Ziel des Projekts ist auch, sprachliche Beschreibungen des beobachteten Verhaltens zu liefern”, betont der Wissenschaftler. Dabei sollen Handlungen mit kurzen, präzisen Phrasen sprachlich abstrahiert werden. Die Textbausteine können dann in Echtzeit gemeinsam mit Informationen, zu welchem Video-Frame sie gehören, auf einem Bildschirm ausgegeben werden.

Außerdem streben die Forscher an, dass virtuelle Avatare die Situationsbeschreibungen auch ansagen und das möglichst mit einem jeweils passenden Gesichtsausdruck. “Ein weiteres Ziel sind Erklärungen in Bildsprache. Das bedeutet in unserem Fall eine virtuelle Umgebung zur Darstellung synthetisierter Verhaltensabläufe, welche die konzeptionellen Beschreibungen wiedergeben”, so Roca abschließend. (pte/tc)

Vor allem private Fotos finden immer wieder den Weg ins Netz (Foto: pixelio.de/motograf)

Der Umgang von Nutzern mit ihren privaten Informationen, Fotos oder Videos im Internet untergräbt das Recht auf Privatheit für die Allgemeinheit, warnt der britische Wissenschaftler Kieron O’Hara. Im gültigen Gesetz tauche im Zusammenhang mit den Ansprüchen auf Privatleben das Konzept der angemessenen Erwartung von Privatheit auf, so O’Hara gegenüber der BBC. “Wenn immer mehr Privatleben online zugänglich sind, wird diese angemessene Erwartungshaltung geschmälert”, so der Forscher.

Zeitalter der “Intimität 2.0″
Man müsse mehr Bewusstsein für dieses Thema schaffen, empfiehlt O’Hara. Durch Social Networks seien Grenzen zwischen Privatheit und Öffentlichkeit unscharf geworden. O’Hara spricht bereits von einem Zeitalter der “Intimität 2.0″. Wenn sich die allgemeine Erwartungshaltung, was das Privatleben angeht, verändere, leide in Folge auch der Anspruch auf rechtlichen Schutz. Als Beispiel nennt O’Hara Fotos einer Privatparty: Noch vor zehn Jahren wären diese lediglich im engeren Freundeskreis verschickt worden, heute nehme man in Kauf, dass die Bilder im Internet landen und von Fremden betrachtet werden können.

O’Hara stellte seine Studie bei der jährlichen Konferenz der Media Communication and Cultural Studies Association vor. Er sieht seine Ergebnisse im Zusammenhang mit der Debatte um Sicherheit und Datenschutz. “Die aktuellen Diskussionen um Sicherheit sind zu Diskussion um Privatheit geworden – aber wenn die Sicherheit leidet, leidet auch die Gemeinschaft”, so der Wissenschaftler.

Paris – Mit dem Jahr 2010 ist in Frankreich ein umstrittenes Gesetz zum Schutz kreativer Inhalte in Kraft getreten. Nutzer von Tauschbörsen sollen nun mit einer Art Mehrstufensystem von ihrem illegalen Verhalten abgeschreckt werden. Zuerst sollen sie eine Verwarnung per E-Mail erhalten – bereits diese erste Maßnahme soll zwei Drittel der User von den illegalen Downloads abhalten, erhoffen sich die Verantwortlichen. Die anderen bekommen in Folge eine Warnung per Post und müssen schließlich vor Gericht. Die Bestrafung reicht von Geldstrafen bis zum Kappen des Internetanschlusses.

Im Vorfeld wurde das neue Gesetz bereits heftig diskutiert und nach schwierigen Verhandlungen im Parlament verabschiedet. Die sogenannte Creation and Internet Bill wird von einer eigens geschaffenen Behörde verwaltet. Die Hadopi (Higher Authority for the Distribution of Works and the Protection of Copyright on the Internet) ist jedoch immer noch umstritten. Kritiker halten die neue Gesetzeslage entweder für zu streng, andere finden das Gesetz hinke der technologischen Entwicklung hinterher und sei bereits überholt und einfach zu umgehen.

Gerade für die Unterhaltungsindustrie ist das Gesetz jedoch ein wichtiges und lang erwartetes Zeichen. So sollen sich in Zukunft auch andere Staaten an dem französischen Modell orientieren, hoffen die Verantwortlichen. “Das Internet ist eine fantastische Welt, aber es braucht Regeln, wenn wir in der Zukunft Kino, Musik oder Videospiele haben wollen”, so Michel Thiolliere, französischer Politiker und Mitglied der Hadopi.

Ab dem 1. Januar 2010 sind Arbeitgeber verpflichtet, die Entgeltdaten ihrer Beschäftigten an eine bei der Deutschen Rentenversicherung Bund eingerichtete zentrale Speicherstelle zu melden. Von dem Elektronischer Entgeltnachweis Verfahren kurz ELENA genannten verspricht sich die Bundesregierung eine Entlastung der Arbeitgeber. Arbeitnehmer sollen sich in Zukunft nicht mehr an ihren Arbeitgeber wenden müssen, wenn sie einen Einkommensnachweis benötigen, weil sie eine staatliche Leistung, etwa Arbeitslosengeld oder Sozialhilfe beantragen. Nicht ausgeräumt wurden jedoch datenschutzrechtliche Bedenken angesichts dieser massenhaften Datenspeicherung. So hatte die Konferenz der Datenschutzbeauftragten des Bundes und der Länder in einer Entschließung vom 6./7. November 2008 die Befürchtung geäußert, dass es sich hier um eine verfassungswidrige Datensammlung auf Vorrat handeln könne.

Hierzu erklärt Peter Schaar, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit: „Die Einrichtung einer solchen Datei wirft schwerwiegende datenschutzrechtliche Fragen auf: Ist sie überhaupt angemessen? Können die Missbrauchsrisiken beherrscht werden? Wie kann verhindert werden, dass die umfangreichen Datenbestände, wenn sie erst einmal gespeichert sind, für andere Zwecke verwendet werden? Sehr frühzeitig war ich über das Projekt informiert und konnte so eine Reihe von Schutzvorkehrungen durchsetzen. Wenn sich der Gesetzgeber trotz datenschutzrechtlicher Bedenken gleichwohl für ein solches Verfahren entscheidet, dann muss zumindest ein möglichst hoher Datenschutzstandard gewährleistet werden. Es bleibt aber immer die Frage, ob die Speicherung einer sehr großen Anzahl personenbezogener Daten in einem angemessenen Verhältnis zum Nutzungsgrad steht.“

Schaar versichert: „Ich werde ein wachsames Auge darauf haben, dass die gesetzlichen Anforderungen eingehalten werden. So dürfen nur diejenigen Daten erhoben werden, die für die Erstellung von Einkommensnachweisen wirklich erforderlich sind. Gut ist, dass die Bundesregierung – wie es sich abzeichnet – meiner Forderung nachgekommen ist, den bei der Datenerfassung verwendeten Datensatz so zu verändern, dass keine Speicherung von Arbeitskampfdaten (Streik, Aussperrung) erfolgt. Die Erfassung derartiger Angaben in einer zentralen Datei würde gegen den Grundsatz der Verhältnismäßigkeit verstoßen und zudem die durch das Grundgesetz garantierte Koalitionsfreiheit in Frage stellen. Diese Merkmale waren erst nach der Beschlussfassung über das Gesetz in den Datensatz aufgenommen worden – ohne meine Kenntnis. Auch die in der Datensatzbeschreibung im Falle einer Kündigung vorgesehene Erhebung von Daten über Abmahnungen und Kündigungsgründe zur Berechnung des Arbeitslosengeldes (Festlegung von Sperrfristen bei Kündigungen) wirft erhebliche datenschutzrechtliche Fragen auf. Auch hier muss eine datenschutzfreundlichere Lösung gefunden werden. Ich setze mich dafür ein, auf entsprechende Freitextfelder zu verzichten.“

Zum Hintergrund
„Was bedeutet das ELENA-Verfahren für den Schutz der personenbezogenen Daten?“ Die Daten werden in verschlüsselter Form gespeichert. Die Datensätze der Beschäftigten sind dabei nicht unter ihrem Namen, sondern unter einem Pseudonym abgelegt. Der Zugriff auf die Daten und die Zuordnung der Datensätze zu einzelnen Beschäftigten ist nur möglich, wenn der Betroffene die Daten durch die Vorlage seiner Signaturkarte freigibt und zugleich eine gültige Signaturkarte eines Mitarbeiters einer zugriffsberechtigten Stelle vorliegt (Zwei-Schlüssel-Prinzip). Die individuelle Signaturkarte bleibt bei dem betroffenen Bürger. Darüber hinaus sind die Daten verfahrenstechnisch so gesichert, dass diese nur von den Behörden und für deren Aufgaben abgerufen werden können, die im Verfahren
zugelassen wurden.

Die Datenverschlüsselung und die pseudonymisierte Speicherung sollen nicht nur missbräuchliche Zugriffe durch Beschäftigte von Sozialleistungsträgern und externe Dritte verhindern. Diese Schutzvorkehrungen beugen auch Auswertungen der Daten für andere Zwecke vor, etwa bei einer Rasterfahndung. Durch die vom Bundestag beschlossene getrennte Verwaltung des zur Verschlüsselung verwendeten Datenbankhauptschlüssels durch meine Dienststelle soll zudem gewährleistet werden, dass keinerlei unautorisierte Zugriffe auf die Datenbank erfolgen. Durchaus datenschutzfreundlich ist es schließlich, dass der Arbeitgeber in Zukunft nicht mehr erfährt, dass ein Beschäftigter oder ein Angehöriger des Beschäftigten eine Sozialleistung beantragt, weil die dafür erforderlichen Einkommensnachweise durch das ELENA-Verfahren erzeugt werden.