Der Datenbrief des Chaos Computer Club

Erstellt am 13. August 2010 von Guido Strunck

In den Datenbanken der Unternehmen sammeln sich immer mehr Daten an. Vieles wird erst durch das Herstellen von Zusammenhängen zwischen vormals unabhängig voneinander entstandenen Datenbeständen für die Firmen ersichtlich. Oftmals eher zum Schaden als zum Nutzen der Bürger und Kunden, die meist gar nicht wissen, wer alles Daten über sie in welchem Umfang und wofür eigentlich speichert und verwertet.

Unternehmen aber reagieren in wettbewerbsintensiven Umfeldern zunehmend sensibel auf Kostensteigerungen. Da lag es nahe, das Sammeln und Halten von Daten zu einem bemerkbaren Kosten- und Aufwandstreiber für Firmen zu machen.

Genau das soll die Idee des Datenbriefes vom CCC tun. Die Bürger dafür sensibilisieren, wer aus welchem Grund wie viele und welche Daten genau über sie speichert. Und das Speichern der Daten bei den Unternehmen und Behörden zu verteuern. Der Datenbrief soll die Funktion eines „Kontoauszugs“ übernehmen, der gesamthaft und vollständig auflistet, wer was warum über den „Kontoinhaber“ speichert. Undokumentierte Datenhaltung auf „Schwarzkonten“ an der „Bilanz“ und den „Büchern“ vorbei wäre dann illegal.

Denn die sollen durch den Datenbrief gesetzlich dazu verpflichtet werden, Betroffene regelmäßig über die über sie gespeicherten Daten zu informieren. Schriftlich und in jedem Einzelfall. Das umfasst auch Daten, die erst durch Anreicherung und Verknüpfung mit anderen Datenquellen zustande kommen, also Profilbildung, Scoring, Annahmen über Vorlieben, interne Kundenklassenzuordnungen usw. Der so entstehende Verwaltungsaufwand soll Wirtschaft und Verwaltung dazu bewegen, verstärkt „Datencontrolling“ zu betreiben, also die schlichte Notwendigkeit einer weiteren Speicherung der Daten regelmäßig zu überprüfen und so schon aus Kostengründen Datensparsamkeit und Datenvermeidung (§ 3a BDSG) umzusetzen.

Das Ziel des Datenbriefes aus Sicht des CCC ist es, für jeden Bürger transparent zu machen, wer wo die eigenen Daten verarbeitet. Der Bürger oder Verbraucher wird zukünftig bewusster mit seinen Daten umgehen, wenn er erst mal einen Überblick bekommen hat, welche Daten über ihn gespeichert sind. Das Recht des Betroffenen auf Auskunft hat dabei Vorrang vor etwaigen Geschäfts- oder Behördengeheimnissen der speichernden und verarbeitenden Firmen. Persönlichkeitsrechte Dritter müssten selbstverständlich gewahrt werden.

Die eher wirtschaftsfreundlich agierende Bundesregierung steht dem Vorhaben eher skeptisch gegenüber obwohl sich Bundesinnenminister Thomas de Maizière (CDU) zunächst interessiert zeigte und sich die Forderung zueigen machte, womit er der  Debatte um das Thema erst so richtig Schub gab. Während die Wirtschaft dagegen ist, dass Unternehmen künftig einmal jährlich schriftlich mitteilen müssen, welche Daten sie gespeichert haben, wird das Vorhaben von Verbraucherschützern begrüßt.

Unternehmen und Wirtschaftsverbände lehnen die Idee ab. Denn wenn der Datenbrief nicht zügig zur großen Löschaktion in Unternehmen und Behörden führte, so würde er jährlich beträchtliche Mengen an Papier in die Briefkästen der Bürger (und oft genug von dort in die Mülleimer) befördern. Zumal Geschäftsmodelle, die auf der Ausbeutung von quasi erzwungenen“ Datenbeständen (Stichwort „Schufa-Klausel“) wie z.B. durch Wirtschaftsauskunfteien oder Versichertendatenbanken schwieriger umzusetzen wären und erheblich mehr Geld kosten würden.

Dennoch sehen Datenschützer die dahinter stehende Idee positiv, so dass darüber auf Fachkongressen und in Projektgruppen zur Entwicklung neuer Gesetzesentwürfe für notwendige Veränderungen der Datenschutzgesetze beraten wird. Erstmals würde den Bürgern klar werden wer alles ihre Daten speichert und nutzt. Verständlich, dass darin die Wirtschaft kein Interesse haben kann, weshalb auch der Interessensverband der Informationswirtschaft BITKOM die Idee des Datenbriefes in einer Stellungnahme als unverhältnismäßig kritisiert, dabei aber auch durchaus berechtigte Einwände gerade zur daten(schutz)technischen Abwicklung eines Datenbriefes erhebt. Etwa wenn Firmen vormals getrennt geführte Datenbestände für den Datenbrief zusammenlegen und dessen Erstellung an einen Dienstleister auslagern. Zumal es oft auch um Daten geht, die aufgrund ihrer Sensibilität nicht dazu geeignet sind, mit einfacher Briefpost oder gar per Mail und Fax zum Empfänger transportiert zu werden. Hinzu käme der Umstand, dass ein solches Regularium nur dann flächendeckend funktionieren würde, wenn Verstöße dagegen aufgedeckt und bestraft werden könnten. Doch die Aufsichtsbehörden haben mit ihrer zu knapp bemessenen Stellenzahl heute bereits Probleme, Datenschutzverstöße durch Betriebsprüfungen aufzudecken und zu ahnden.

Der CCC hat mit seiner mit seiner Datenbrief-Idee aber bereits einen ersten Teilerfolg  erreicht: Über die Ideen eines Pradigma-Wechsels (Datenspeicherung muss regelmäßig geprüft und legitimiert werden), einem Streben nach mehr informationeller Transparenz sowie der Rechtfertigungsnotwendigkeit von Wirtschaft und Verwaltung dem Kunden und Bürger gegenüber solle Dinge wieder ins Lot gebracht werden, die im Laufe der Zeit durch Aneignungs- und Vereinnahmungsbestrebungen gerade der Wirtschaft immer mehr aus dem Gleichgewicht geraten sind. Dass darüber auf Fachebene sowie in der Öffentlichkeit diskutiert wird, ist ein klarer Fortschritt.