Datenschutz und Datenpannen - uni-jena.deusers.minet.uni-jena.de/~nez/IuG200910/10... · -...

Referat von Nicolas Bieker, Michaela Keupp und Stephan Wedekind.

Datenschutz und Datenpannen

Die Datenskandale der letzten Jahre

Telekom - Lidl - Daimler - Bahn

Ein Referat von Nicolas Bieker, Michaela Keupp und Stephan Wedekind.


1. Telekom 1.1 Bespitzelung der Manager und Mitarbeiter bei der Telekom1.2 Datendiebstahl und Datenpannen bei der Telekom

2. Lidl

2.1 Der Skandal März 2008

2.2 Der Skandal April 2009

3. Datenskandal: Daimler

4. Datenskandel bei der Deutschen Bahn

4.1 Chronologie eines Skandals

4.2 Hauptkritikpunkte...

4.3 Stellungnahme der Bahn

5. Quellen

6. Diskussion


1.1 Bespitzelung der Manager und Mitarbeiterbei der Telekom


1.1 Bespitzelung der Manager und Mitarbeiter

bei der Telekom

- Zeitraum 2005-2006

- für die Konzernsicherheit wurden Telefonverbindungen von Mitarbeitern mit Telefonnummern von Journalisten, welche über die Telekom schrieben, abgeglichen

- Kai-Uwe Ricke war zu dieser Zeit Chef der Telekom

- die Telekom erstattete Anzeige und beauftragte eine Kölner Anwaltskanzlei mit einer internen Prüfung

- Kai-Uwe Ricke und Klaus Zumwinkel (damaliger Aufsichtsratschef) stehen unter verdacht von den Bespitzelungen gewusst zu haben


1.1 Bespitzelung der Manager und Mitarbeiter

bei der Telekom

Zumwinkel, Ricke

Obermann

Folgen:- René Oberman entlässt der damaligen Leiter der Konzernsicherheit Harald Steininger

- Umstrukturierung der Abteilung für Sicherheit

- Telekom verlangt jeweils 1.000.000€ von Ricke und Zumwinkel Schadenersatz


1.2 Datendiebstahl und Datenpannen bei der Telekom



- April 2006:

- 17 Millionen Kundendaten von T-Mobile gestohlen wurden- Telekom verheimlichte diese Panne fast

2 Jahre

Folgen:

- interne Untersuchung

- allerdings konnte kein Hauptverdächtiger ermittelt werden



- März 2007:

- 30 Millionen Kundendaten mit Handynummer und Bankverbindung kurzzeitig abrufbar

- auch Änderungen von Daten sei möglich gewesen

Folgen:

-die Sicherheitslücke wurde innerhalb von 24 Std. geschlossen



- September 2007:

- eine Zeitarbeitskraft in einem Call-Center in Bremerhaven stiehlt 70.000 Datensätze

Folgen:

- es wurde Anzeige gegen die betreffende Person erstattet, die Ermittlungen dauern noch an



- November 2008:

- das Kundenportal der Telekom wurde Opfer eines Hackerangriffs

- anstelle der normalen Rufumleitung wurden teure Rufumleitungen über das Ausland geschaltet

- nur wenige Kunden betroffen, allerdings seien einige Kunden innerhalb weniger Tage mit mehreren hundert Euro belastet worden

Folgen:

- die Einrichtung einer Rufumleitung war über das Portal der Telekom mehrere Wochen nicht möglich



- 2009:

- ein Mitarbeiter bei T-Mobile UK hat persönlicher Daten von mehreren Tausend Kunden an einen Konkurrenten verkauft

- mehrere hundert Dateien mit Informationen über Neukunden sind über das Internet abrufbar und veränderbar gewesen



- allg. Folgen der zahlreichen Datenpannen:

- Einführung eines Vorstandsposten für Datenschutz- Mitarbeiter und Vertriebspartner werden künftig weniger Zugriffsmöglichkeiten auf sensible Informationen von Kunden bekommen

- jährlichen Datenschutzbericht

- es wurde ein externer Datenschutzrat mit führenden Experten geschaffen



- Einführung von Transaktionsnummern (TAN), welche bei Änderung von Daten, von einem Kundenbearbeiter eingeben werden müssen

- komplexere Passwörter in den Telekom-Shops

- kostenlose Vergabe einer neuen Rufnummer für verunsicherte Kunden


2.Bespitzelung bei Lidl


2. Bespitzelung bei Lidl

- März 2008Mitarbeiter wurden systematisch überwacht

- April 2009Krankheitsgründe wurden protokolliert


2. Bespitzelung bei Lidl

- Unternehmensleitung: Karl-Heinz Holland

- Unternehmensform: Kommanditgesellschaft

- Gründung in den 30er Jahren

- Discounter, Lebensmitteleinzelhandel

- alleiniger Kommplementär Klaus Gehrig

- Vertreten in Deutschland (ca. 3.000 Filialen)

von den 150.000 Mitarbeitern sind 50.000 in Deutschland

beschäftigt

- ver.di hat 2004 das „Schwarzbuch Lidl“ veröffentlicht


Bespitzelung bei Lidl

2.1 Der Skandal März 2008


2.1 Bespitzelung bei Lidl März 2008

Wann? Anfang 2008Wo? Bei Lidl in Deutschland, in 219

FilialenWas? Lidl ließ seine Mitarbeiter von

Detektiven überwachen.

Ein Reporter des Sterns brachte die Beobachtung ans Licht.



Was sagt Lidl dazu?

- die Überwachung habe sich nicht vorrangig gegen die Mitarbeiter gerichtet- die Installation von Überwachungskameras sei „branchenüblich“- es sei darum gegangen, eventuelles Fehlverhalten von Mitarbeitern festzustellen- man wolle sich besser gegen Ladendiebe wappnen



Wie sah die Überwachung aus?

- Detekteien wurden beauftragt Filialen zu überwachen- 5-10 Überwachungskameras pro Fililiale, dem Leiter der Filiale wurde erklärt, das damit Ladendiebe gefasst werden solltenTatsächlich: Erfasst und ausgewertet wurde, wie oft Mitarbeiter die Toilette besuchen, wer „unfähig“ sei, oder wer mit wem ein Liebesverhältnis habe.Dem Stern lagen mehrere hundert Seiten Protokolle vor.

Verstoß gegen das Datenschutzgesetz!



Die Strafe

Verhängt durch das zuständige Innenministerium Baden-Württemberg, am 11. September 2008.

- gegen die 35 Lidl Vertriebsgesellschaften wurden wegen zum Teil schwerwiegender Datenschutz-

verstöße Bußgelder zwischen 10.000 und 310.000 €festgesetzt- Gesamthöhe: 1,46 Millionen €



- so könnte eine versteckte Kamera angebracht gewesen sein

- nicht über alle Kameras waren die Mitarbeiter informiert



„unfähig“?



Was passiert bei Lidl nach dem Skandal?

Lidl- muss ein Bußgeld zahlen- beendet mit sofortiger Wirkung die Überwachung- erarbeitet zusammen mit Joachim Jacob ein neues Sicherheitskonzept- sichert zu, sich künftig bei der Auswahl der Detekteien an den Stadards des Berufsverabands Deutscher Detektive zu halten.



Wie sieht das neue Sicherheitskonzept aus?

- Detektive sollen künftig nur noch vereinzelt und nach gesonderter Schulung eingesetzt werden.



Klaus Gehrig:

„Die werden nicht mehr angeheuert und jetzt macht mal, sondern die kriegen ganz klare Vorgaben, wie sie

sich zu verhalten haben und was sie aufschreiben dürfen.“



Wie sieht das neue Sicherheitskonzept aus?

- Detektive sollen künftig nur noch vereinzelt und nach gesonderter Schulung eingesetzt werden.- Nun sollen die Mitarbeiter vor der Installation von Kameras darüber informiert werden.

Lidl erklärt:Die Überwachung von Filialen sei unverzichtbar.Lidl sei offen für Betriebsräte.


Bespitzelung bei Lidl




Anfang 2009 wurden in Müllbehältern von Lidl Unterlagen gefunden, mit detaillierten Krankheitsberichten von Angestellten.Das Unternehmen hatte ein Berichtsverfahren installiert, nach dem die Angestellen nach einer Krankheit ausführlich von der Krankheit berichten mussten.



Lidl-Deutschland-Chef Frank-Michael Mros hat

die Existenz der Krankenformulare zugegeben.

Lidl verwende sie aber seit Januar 2009 nicht

mehr.



Was passiert daraufhin bei Lidl?

- anfang April entlässt Lidl seinen Deutschland-Chef

Frank-Michael Mros

- Lild gesteht das die erfassten Informationen "nicht

datenschutzkonform" gewesen sein

- die Arbeit mit den Listen sei mit dem neuen Sicherheits-

konzept 2008 beendet worden



Die Strafe

Im August 2009 wurde infolge des

Datenskandals für das Unternehmen ein

Bußgeld in Höhe von 36.000 Euro verhängt.



Claudia Roth attackierte [...] Innenminister Wolfgang Schäuble (CDU).

"Denn Innenpolitiker wie Herrn Schäuble stehen für eine Politik, die statt Datenschutz Täterschutz betreibt. Der Innenminister hat mit seinem eigenen Vorgehen zum

Beispiel bei der Vorratsdatenspeicherung dazu beigetragen, Datenschutz als nutzlos und hinderlich darzustellen.[...] Der Zweck heiligt nicht die Mittel.“



Wann? April 2008Wo? Daimler-Werk BremenWas? eine Abteilung mit mehr als 100 Mitarbeitern hat Krankendaten der Beschäftigten illegal erfasst und in Ordnern angelegt

Ein anonymer Sender schickte entsprechende Berichte an Radio-Bremen, welches den Vorfall publik machte.



In diesem Daimler-Werk wurden- Angestellte nach Einzelheiten über ihre Krankheiten befragt.- die Daten gespeichert und in wöchentlichen Sitzungen ausgewertet



Daimler dazu:

- es handele sich dabei um einen Einzelfall

- die Werkssicherheit habe den Vorfall aufgeklärt

- die Verantwortlichen wären ermahnt worden und

dazu aufgefordert, zukünftig das führen solcher Listen

zu unterlassen

- die Daten wären unverzüglich gelöscht worden


4. Datenskandel bei der Deutschen Bahn


4. Datenskandal DB

Im Zuge der konzerninternen Überwachung wurden persönliche Daten von rund 220.000 Mitarbeitern im Zeitraum von 1998-2007 unrechtmäßig erhoben, weitergegeben und gespeichert.


4. Datenskandal DB

Verantwortlich hierfür zeichnen sich der damalige Bahnchef Hartmut Mehdorn, die Leiter der Konzernrevision, der Konzernsicherheit und der Compliance des Unternehmens (Josef Bähr, Jens Puls und Wolfgang Schaupensteiner) aus



28.Okt.2008 Bahn internes Memo des Datenschutzbeauftragten vonBerlin Alexander Dix

21.Jan.2009 DB bestätigt Überprüfung von über 1000 leitenden Angestellten

28.Jan. Eingeständnis, dass 173.000 Mitarbeiter überprüft und Daten mit rund 80.000 Firmen im Umfeld der Bahn abgeglichen

30.Jan. Berliner Staatsanwaltschaft von Bahnvorstandeingeschaltet



3.Feb.2005 Daten von knapp 220.000 Beschäftigten abgeglichenMehdorn räumt erstmals Fehler ein

6.Feb. Konzernbetriebsrat akzeptiert Entschuldigung Mehdorns

10.Feb. Überwachungs-Projekte 1998 und 2005/06 aufgedeckt Joseph Bähr wird beurlaubt

12.Feb. Ermittlungsverfahren wird wegen möglicher Verstöße gegen BDSG eingeleitet

18.Feb. Mehdorn wird Zuständigkeit entzogen Aufsichtsrat beauftragtGerhard Baum(FDP) und Herta Däubler-Gmelin(SPD) mitAufklärung der Vorwürfe



4.März Mehdorn wird im Verkehrsausschuss des Bundestages der Aktenvernichtung und der Behinderung der Ermittlungen bezichtigt

27.März “Leakage”-Überwachung der Mitarbeiter aufgedeckt

30.März Hartmut Mehdorn bietet seinen Rücktritt an, der am 30. April in Kraft tritt

13.Mai Aufsichtsrat beschließt Entlassung Josef Bährs, Jens Puls und Wolfgang SchaupensteinersSchaupensteiner wird der gezielten Aktenvernichtung überführt

16.Okt. Datenschutzbeauftragter Alexander Dix verhängt Bußgeld in Höhe von rund 1,1 Mio €



...der Medien:

-Doppelmoral der DB

-teils kein begründetes Interesse für Bespitzelung vorhanden



...des Aufsichtsrats:

-Verschleierung

-”scheibchenweise” Aufklärung durch DB

-Aufträge im Volumen von 800.000€ mündlich vergeben

-keinerlei schriftliche Berichte über ergebnislose oder

entlastende Untersuchungen



...Berliner Datenschutzbeauftragter:

-Verletzung des BDSG:

-unrechtmäßige Erhebung und Speicherung

personenbezogener Daten

-keine Anonymisierung der weitergeleiteten und

verwendeten Daten

-Verletzen der Informationspflicht

-pauschale, nicht täterbezogene, sondern tatbezogene,

Nachforschungen



Reaktionen der DB

“"Ich persönlich wusste das nicht", sagte Mehdorn in Berlin.

Zugleich schloss er eine Wiederholung nicht aus. "Wir werden das

auch wieder machen, wenn's darauf ankommt", so Mehdorn”

(tagesschau.de am 31.01.09 in “Mehdorn: "Ich wusste das nicht"”)



" Entgegen vielfacher Behauptung ist der Abgleich von

Mitarbeiter- und Lieferantenadressen, das sogenannte Screening,

rechtlich nicht zu beanstanden - unabhängig von der Zahl der

überprüften Mitarbeiter"

(Konzernsprecher Oliver Schumacher Januar 09)



“Wir haben nicht gedacht, dass das so eine Aufregung verursacht.“

(Mehdorn Ende Januar)

Es seien "keine Telefone abgehört, keine Konten eingesehen und

keine Journalisten oder Aufsichtsräte bespitzelt" worden.

(Mehdorn im Januar 09 zu den Vorwürfen)



"Was wir wissen, kommt auf den Tisch und wird

selbstverständlich Parlament, Regierung und Aufsichtsrat

vorgelegt [..] Wir arbeiten mit Hochdruck an einer umfassenden

Aufklärung."

(Mehdorn Anfang Februar 09)



Entwicklung nach dem Skandal

Abteilung für Compliance, Datenschutz und Recht gestärkt

und mit der internen Überwachung betraut (unter neuem

DB-Konzernvorstand Gerd Becht)


5. Quellen

FOCUS OnlineDie Tagesschau onlineDer SternDie ZeitDie WeltDer Spiegelnetzpolitik.orgwww.bahn.dehttp: // welt.de/webwelt/article2562369/Telekom-gesteht-die-naechste-Riesen-Datenpanne.htmlhttp: // www. telekom.com/dtag/cms/content/dt/de/574664


6. Diskussion


6. Diskussion

Wo hört Korruptionsbekämpfung auf, wo fängt Bespitzelung an?

Im Rahmen des ersten Lidl Skandals forderte Hubertus Heil die Verbraucher auf, darüber nachzudenken, ob sie

weiterhin bei Lidl einkaufen. “Wie hier die Würde des Arbeitnehmers verletzt wurde, ist widerlich”, sagte er.

Sind solche Boykott Aufrufe sinnvoll?

Datenschutz und Datenpannen - uni-jena.deusers.minet.uni-jena.de/~nez/IuG200910/10... · -...

Documents

Transcript of Datenschutz und Datenpannen - uni-jena.deusers.minet.uni-jena.de/~nez/IuG200910/10... · -...