Die Frankfurter Allgemeine Zeitung vom 18.10.2010 berichtet über ein – neues ? – Datenschutzproblem bei Facebook: Kurz zusammen gefasst geht es darum, dass man sich mit einer fremden Email-Adresse auf Facebook anmelden kann. Tut man das, bekommt der wahre Inhaber der Email-Adresse zwar eine Facebook-Benachrichtigung. Bis er diese Email zur Kenntnis nimmt und ggf. reagiert, hat derjenige, der die fremde Email-Adresse missbraucht, jedoch Zugriff auf den neu angelegten Account. Und das eigentliche Thema ? In dieser Übergangszeit zeigt Facebook bereits eine Reihe von anderen Email-Kontakten, die bei Facebook mit der missbrauchten Email-Adresse verknüpft sind.

Das heißt also: Wer Böses im Sinn hat und einfach mal checken möchte, ob und ggf. welche Email-Kontakte bei Facebook mit der Email-Adresse eines jedenfalls vorläufig ahnungslosen Mitmenschen verbunden sind, kann die fremde Email-Adresse bei Neuanlage eines Facebook-Accounts missbrauchen und sich auf diese Weise Informationen verschaffen, die eigentlich nur dem wahren Inhaber der missbrauchten Email-Adresse zugänglich sein dürften.

Wir haben nicht nachgeprüft, ob das tatsächlich so ist. Auf der anderen Seite gehen wir davon aus, dass die Frankfurter Allgemeine Sonntagszeitung die Story vor der Veröffentlichung sauber recherchiert und dokumentiert hat.

Wenn es sich tatsächlich so verhält, wie von der F.A.Z. dargestellt, würde das natürlich einen eklatanten Verstoß gegen das kleine Einmaleins des Datenschutzes darstellen. Auf diese Weise wird einem Unberechtigten die Möglichkeit gegeben, sich aus welchen Gründen auch immer ein zumindest teilweises Bild über Kontaktdaten eines bestimmten Email-Accounts zu verschaffen, ohne dass ein berechtigtes Interesse des Unberechtigten ersichtlich wäre, vor allem aber ohne jedwede Einwilligung des Inhabers des missbrauchten Email-Accounts.

Die Frage, die sich an diese Feststellung unmittelbar anschließt, lautet: Absicht oder Versehen ? Diese Frage lässt sich natürlich nicht ohne Weiteres beantworten. (Selbst) Die AGBs von Facebook lassen eine derartige Vorgehensweise sicherlich nicht zu. Was in diesem Zusammenhang stutzig macht, ist aber die Tatsache, dass Facebook eine annähernd vergleichbare Funktion im bestehenden Account unter “Finde Personen, die Du kennst” anbietet.

Diese Funktion wird an anderer Stelle des Accounts auch als “Freundefinder” beworben.

Unter dieser Rubrik kann man sich dann für einen Email-Anbieter entscheiden.

Bevor man diese Funktion auslöst, muss man aber das Passwort zum jeweiligen Email-Account eingeben (das von Facebook nach eigener Angabe nicht gespeichert wird !). Ohne die Eingabe des Passworts funktioniert der Freundefinder nicht. Auch wenn man nur den Namen des Email-Accounts eingibt und ohne Eingabe des Passworts auf “Freunde finden” geht, liefert Facebook keinerlei Daten, auch nicht nachträglich bei späterem Einloggen in den Facebook-Account.

Sofern die von der F.A.Z. getroffenen Feststellungen also auf diese Funktion zurückzuführen sind, handelt es sich demnach wahrscheinlich um eine versehentliche Sicherheitslücke, die Facebook unverzüglich schließen sollte und sicherlich auch könnte.

Wenn die Feststellungen der F.A.Z. auf eine andere (Fehl-)Funktion zurückzuführen sind, besteht seitens Facebook erst recht schnellstens Erklärungs- und Handlungsbedarf. Grundsätzlich stellt sich natürlich die Frage, welche Bedeutung einer Bestätigungsmail des berechtigten Email-Account-Inhabers überhaupt zukommt, wenn der Account auch ohne Absenden der Bestätigungsmail postwendend zugänglich ist.

Dass Betreiber wie Facebook grundsätzlich ein vitales Interesse am Aufbau eines umfangreichen Email-Adressenpools incl. Verknüpfungsinformationen haben, ist kein Geheimnis. In einem anderen Zusammenhang – beim Thema der Referenz-Email-Adresse auf Googlemail – hatten wir schon vor Monaten auf einen ähnlichen Missstand hingewiesen. Google ist unverändert ganz scharf darauf, von seinen Googlemail-Nutzern Referenz-Email-Adressen zu erhalten. Aktuell wird man nach dem Einloggen bei Googlemail immer wieder dazu aufgefordert, eine Referenzadresse zu hinterlegen … natürlich mit der ausschließlichen Begründung, eine Möglichkeit zu öffnen, beim Vergessen des Passworts über die Referenzadresse ein neues Passwort zugeschickt bekommen zu können.

Wie dem auch sei: Es gilt unverändert, dass derjenige, der Dienste wie Facebook nutzt, immer damit rechnen muss, dass seine Daten für andere Zwecke, insbesondere auch für Werbezwecke vermarktet werden. Facebook ist da aber keineswegs ein Einzelfall. Auch andere soziale Netzwerke arbeiten seit geraumer Zeit intensiv daran, die Vermarktung ihres Datenbestandes für Werbezwecke systematisch zu verbessern. Dessen muss man sich bei Nutzung derartiger kostenfreier Dienste einfach bewusst sein … und darf sich nicht wundern, wenn einem plötzlich Werbung eingeblendet wird, die darauf schließen lässt, dass der Betreiber des Dienstes offenbar ein Auge auf den Account – seien es reine Account-Daten oder sei es auch der über den Account veröffentlichte Inhalt – geworfen hat.

Das alles darf aber nicht darüber hinwegtäuschen, dass so ein Lapsus, wie er von der F.A.Z geschildert wird, einem Profi wie Facebook eigentlich nicht unterlaufen dürfte. Fördert eben nicht gerade die Vertrauensbildung. Und dass nur vergleichsweise wenige der ca. 500 Mio. Facebooknutzer die F.A.Z. lesen dürften, ist nur ein schwacher Trost . Außerdem zieht dieses Thema natürlich schon weitere Kreise und wurde z.B. von der ZEIT vom 18.10.2010 auch schon aufgegriffen. Dort wird übrigens auf ein weiteres aktuelles Datenschutzproblem bei Facebook hingewiesen, im Zusammenhang mit den Nutzeridentifikationsnummern und der Weitergabe von Daten bei Nutzung bestimmter Apps, aufgregriffen durch das Wall Street Journal vom 18.10.2010.

Im Sommerloch kochte mal wieder reichlich das Thema Google Streetview auf. Die Politik verkündete laut und deutlich, dass man dieses Thema im Auge habe. Gegner und Befürworter lieferten sich – vornehmlich auch im Social Media Bereich – herzhafte Diskussionen. Die Presse einschließlich ihrer Online-Auftritte sah sich natürlich dazu veranlasst, mit diesem Thema ebenfalls ihre Seiten zu füllen.

An dieser Stelle wird es mit Sicherheit keine Ambitionen geben, in dieses Thema ebenfalls einzusteigen. Nur so viel: Ob es sich hierbei um ein Datenschutzthema handelt, als das es immer beschrieben wird, da habe ich meine Zweifel. Es spricht aus meiner Sicht mehr dafür, es als typisches Thema des Rechts am eigenen Bild, des Rechts auf Unberührtheit der Persönlichkeitssphäre oder des Rechts am Eigentum (bezogen auf bestimmte Bilder von Gebäuden etc.) zu sehen. Sofern und soweit durch den Einsatz von Google Streetview derartige Rechte verletzt werden, kann sich der betroffene Bürger hiergegen durch Anrufen der zuständigen Gerichte zur Wehr setzen. Einer marktschreierischen Diskussion über Datenschutz-Gesetzesänderungen bedürfte es daher m.E. nicht. Daran denkt man ja auch nicht, wenn Scharen von Paparazzi hinter bestimmten Prominenten her sind. Auch so etwas lässt sich von interessierten Medien massenhaft organisieren, ohne dass jemand auf die Idee käme, die Datenschutzgesetzgebung zu bemühen. —

Im Übrigen sollte sich gerade die Politik sehr genau überlegen, wie weit sie sich bei diesem Thema aus dem Fenster lehnen kann, ohne sich – jedenfalls bei informierten Kreisen – unglaubwürdig zu machen.

Wir erinnern uns: Deutschland wollte bei Einführung der LKW-Maut auf Biegen und Brechen das System Toll-Collect haben. Schon damals fragte man sich unabhängig vom Katastrophenstart und den explodierenden Kosten, die bis heute nicht geklärt sind, wieso man es nicht einfach so machte, wie es die Nachbarländer Österreich und die Schweiz und beispielsweise auch Italien  seit Jahren praktizieren, mit einem simplen Vignettensystem oder mit Mautstationen nämlich. Das wäre unter dem Strich unproblematischer und billiger gewesen, und hätte zudem Arbeitsplätze geschaffen. Stattdessen setzte man mit selten gesehener Hartnäckigkeit das System Toll-Collect durch, was schon damals Datenschützer auf den Plan rief und unter anderem fragen ließ, ob damit wohl nicht auch noch andere Zwecke verfolgt werden sollten.

(Auf den Betreibervertrag mit dem Tooll-Collect-Konsortium wurde bereits an anderer Stelle dieses Blogs hingewiesen. Zum Thema Datenschutz findet sich dort soweit ersichtlich nichts.)

Nicht zu Unrecht, wie sich sehr schnell zeigte. Wenige Monate nach Aktivierung des Systems kam – scheinbar spontan, also vor allem überhaupt nicht geplant – das Land Hessen auf die Idee, die Toll-Collect-Daten auch für Zwecke der Strafverfolgung einzusetzen, durch flächendeckendes Scanning von PKW-Kennzeichen. In der hieran anschließenden, erstaunlich leisen Diskussion behauptete man seitens der Offiziellen tatsächlich, bei Erhebung derartiger Daten sei die Erstellung von Bewegungsprofilen nicht möglich. Ohne an dieser Stelle auf Einzelheiten einzugehen, hier einige Quellen zu diesem Thema: SPIEGEL-ONLINE, GOLEM, WIKIPEDIA .

Das Toll-Collect-System oder ähnliche Systeme wurden dann tatsächlich von Hessen und verschiedenen anderen Bundesländern für Fahndungszwecke eingesetzt, das Bundesverfassungsgericht war und ist mit diesem Thema befasst, und natürlich nimmt der Staat in den Auseinandersetzungen die Haltung ein, dies sei alles zulässig. Wohl gemerkt: Wir sprechen über die Erhebung aktueller und ständig aktualisierter Bewegungsdaten von unbescholtenen Bürgern, zu dem Zweck, auf diese Weise eventuell wenige Kriminelle zu identifizieren, und zwar keinesfalls mit der Garantie, sie dann auch zu fassen, sondern nur zu dem Zweck, die Information zu erhalten, dass sich der Kriminelle X zum Zeitpunkt Y mit dem Fahrzeug Z auf der Autobahn A soundso befunden hat.

Hieran sollte die Politik denken, wenn sie so lautstark, weil medienwirksam Front gegen Google Streetview macht. Und dann sollte sie gleich die Gelegenheit dazu nutzen, darüber nachzudenken, ob es denn so konsequent ist, dass deutsche Behörden systematisch Bildmaterial aus Google Earth auswerten, um z.B. Schwarzbauten ausfindig zu machen. Das ist aber so etwas von in den Garten geschaut, wie es mit Google Streetview niemals möglich wäre.

Also bitte: Schafft Carview Germany und Trafficview Germany ab, dann könnt Ihr Euch glaubwürdig an einer Diskussion über Google Streetview beteiligen.

Wir erinnern uns: Bevor Ende letzten/Anfang diesen Jahres die Diskussion um den staatlichen Erwerb geklauter Schweizer Bankdaten mit Steuermitteln hochschwappte, gab es den “Pilot-Fall” mit einer CD voller geklauter Bankdaten aus Liechtenstein, die durch Vermittlung des bundesdeutschen Bundesnachrichtendienstes für Millionen EUR bundesdeutscher Steuermittel erworben wurde und über die u.a. Herr Zumwinkel stolperte.

Der Mann, der die Daten seinerzeit geklaut und verkauft hatte, stellte sich jetzt zunächst im STERN einem Interview und veröffentlichte dann sein Buch.

Immerhin, über den Verkauf der geklauten Daten hat er offenbar ausreichend “verdient”, deshalb bietet er das Buch zum Gratis-Downlaod im Internet an. Um der vollständigen und meinungsunabhängigen Berichterstattung die Ehre zu geben, weisen wir hier auf den Download-Link hin. Immerhin eine Möglichkeit, sich aus erster Hand zu informieren, wie wahrheitsgetreu die Aussagen im Buch auch immer sein mögen.

Nach Wochen der Beobachtung ohne eigene Blog-Aktivitäten ist die Zeit gekommen, dem Input einen Output folgen zu lassen.

Die ernüchternde Zwischenbilanz: Datenschutz scheint, was die hierzu veröffentlichten Beiträge betrifft, ein Tagesthema zu sein: Höchste Aktivitäten, wenn ein Thema hochkocht, und genau so schnell ist es wieder von der Bildfläche verschwunden, bis zum nächsten Mal, wenn es wieder Zeit für einen befristeten Aufreger ist.

Schon der tägliche Blick durch den Mainstream lässt darauf schließen, dass der Datenschutz, speziell auch der Webdatenschutz, den selben Stellenwert hat, wie eine Schneekatastrophe, ein Vulkanausbruch und hieraus resultierende Sperrungen des Luftraums, oder ein Hochwasser.

Praktisch alle Online-Tageszeitungen und -Magazine verfügen mittlerweile über Sparten, die sich “Digital”, “Netzwelt” oder “Webwelt” nennen. Was man darin findet, sind oftmals redaktionelle Veröffentlichungen, mit denen sich die Medien z.B. zum verlängerten Marketing-Arm von Apple machen: Seit Wochen wird massiv über das I-Pad berichtet. Aber ist das wirklich von so großem Interesse, was dieses Gerät kann oder nicht kann ? Die wenigsten Mainstream-Auftritte leisten sich eine spezielle Sparte für den Datenschutz: Soweit ersichtlich, derzeit nur die ZEIT und dann noch, im Rahmen des ctrl-Blogs, die TAZ.

Und wie sieht es in den Social Media aus ? Da bestimmen ja nun einmal maßgeblich die Nutzer, die Community-Mitglieder, die Blogger die Themen. Man könnte meinen, sie würden sich mit dem Thema Datenschutz – zumal als teilweise unmittelbar Betroffene – intensiver und vor allem nachhaltiger auseinandersetzen. Um das festzustellen, lohnt sich ein Blick auf den Social-Media-Monitor: Wie nachhaltig wurden bestimmte Datenschutzthemen im Web 2.0 behandelt ? Hier ein paar Auszüge aus dem deutschsprachigen Raum, denen zumindest Tendenzen entnommen werden können.

Thema Steuersünder-CD und Datenschutz

Quelle: Radian6

Thema Vorratsdatenspeicherung und Datenschutz

Quelle: Radian6

Thema ELENA und Datenschutz

Quelle: Radian6

Thema Facebook und Datenschutz

Quelle: Radian6

Die Grafiken sind im Grunde selbst erklärend: Auch im Web 2.0 werden die Themen mit “Spitzen” behandelt. Teilweise (Steuersünder-CD und Vorratsdatenspeicherung) verlaufen sie nach einem Peak im Sande, teilweise (ELENA und Facebook) werden sie einigermaßen gleichbleibend mit wiederkehrenden Peaks behandelt.

Stellt sich die Frage, durch was die jeweiligen Trends bestimmt werden. Sind es am Ende die Mainstream-News, welche die Intensität der Diskussion im Web 2.0 bestimmen ? Hierzu demnächst mehr an dieser Stelle.

Interessant ist immerhin schon mal die Erkenntnis, dass die eher politisch dominierten Themen Steuersünder-CD und  Vorratsdatenspeicherung mit jeweils einer markanten Spitze behandelt werden, während vor allem das Thema ELENA relativ konstant immer wieder Spitzen aufweist. Könnte das daran liegen, dass sich mit diesem Thema vor allem professionelle Interessenvertretungen, nämlich Arbeitgeberverbände und Gewerkschaften, aber auch z.B. die Datenschutzbeauftragten nachhaltig beschäftigen ?

Interessant auch die Tatsache, dass sich mit dem Thema Facebook und Datenschutz in absoluten Zahlen im Verhältnis zu den anderen Themen die wenigsten Posts beschäftigen. Eigentlich erstaunlich, angesichts der Tatsache, dass die von diesem Thema eigentlich betroffene Facebook-Gemeinde doch recht umfangreich ist. Oder vielleicht auch nicht erstaunlich, weil hieraus die Erkenntnis gezogen werden könnte, dass die Facebooker selbst das Thema Datenschutz gar nicht so eng sehen. Wäre auch nicht weiter verwunderlich, nachdem Facebook ja wesentlich von den nach herkömmlichen Maßstäben datenschutzrelevanten Informationen “lebt” und jeder, der sich auf Facebook offenbart, sich dessen auch bewusst ist, das vielleicht sogar ausdrücklich wünscht. Wenn es so ist, schließt sich aber unmittelbar die Frage an, wieso sich z.B. Politiker dann so intensiv mit dem Thema Facebook beschäftigen.

Egal wie, es lohnt sich, den Stellenwert des Themas Datenschutz im Mainstream und im Web 2.0 sowie etwaige Abhängigkeiten zwischen Mainstream und Web 2.0 weiter zu untersuchen.

Also denn, bis die Tage ….

Es zeichnet die Entwicklung um den Datenschutz im Internet aus, dass sich unzählige außerparlamentarische Gremien mit diesem Thema beschäftigen. Kongresse, Arbeitskreise, Pressemitteilungen und Blogs (einschließlich unseres Blogs) bestimmen das Bild. Der Gesetzgeber hinkt dem Stand der Diskussion meist hinterher und langt auch gerne mal daneben, wie zuletzt beim Thema Vorratsdatenspeicherung eindrucksvoll unter Beweis gestellt.

Was die einzelnen Außerparlamentarier mit ihren Statements und Aktionen für Ziele verfolgen, ist nicht immer transparent. Das mahnt zur Vorsicht bei der Beurteilung des Diskussionsstandes … und zwingt dazu, sich umfassend über die Hintergründe von Statements und Forderungen zu informieren, bevor man sie wertet, sei es befürwortet oder ablehnt.

Besondere  Beiträge zur Diskussion leistet immer wieder der Chaos-Computer-Club CCC. Mal veröffentlicht er seine Meinung und seine unbestritten wertvollen Erfahrungen einfach, mal wird er als Gutachter beim Bundesverfassungsgericht bestellt, mal … bietet er ein Forum für solche, die unverhohlen zum Hacken eines Webauftritts auffordern.

So geschehen während des CCC-Kongresses Ende 2009. Da wurde der Webauftritt  von Mindlab, einem führenden Hersteller von Webanalyse-, Segmentierungs- und Targetinglösungen, offen zum potenziellen Ziel von Hackerangriffen proklamiert, sh. nachfolgenden Screenshot:

Bernd Ebert, CTO von Mindlab, hat uns zu diesem Thema Folgendes geschrieben:

“In den letzten drei Monaten wurde aufgrund dieses Aufrufs mehrfach versucht, einen Angriff auf unser Firmennetzwerk durchzuführen. Keiner der Versuche war von Erfolg gekrönt, was wir als Bestätigung unserer Sicherheitsbemühungen auffassen.

Dessen ungeachtet stellt sich die Frage, wieso von ca. 3-5 namhaften Anbietern in Deutschland ausgerechnet Mindlab als Angriffsopfer auserkoren wurde. Also ausgerechnet derjenige Anbieter, der sich bereits am längsten und intensivsten mit dem personenbezogenen Datenschutz in Webanalyseanwendungen auseinandersetzt.

Es kann natürlich schnell der Verdacht aufkommen, dass bei der “Nominierung” rein kommerzielle Beweggründe im Spiel waren. Der CCC wird sicherlich kein Interesse haben, solchen Vorgehensweisen eine Plattform zu bieten ?”

Die von Bernd Ebert aufgeworfene Frage stellt sich in der Tat. Wer sich intensiv mit den Webanalyselösungen der namhaften Anbieter auseinander setzt, wird das beurteilen können.

Wenn man sich mit einem Thema intensiv beschäftigt, muss man intensiv recherchieren. Die Ergebnisse dieser intensiven Recherche kann man unmöglich alle in einen Artikel einbauen, ohne das Ganze unübersichtlich werden zu lassen.

Um die geneigte Leserschaft dennoch an einem Teil dieser Recherche teilhaben zu lassen, haben wir hier einfach mal einige Links zusammen gestellt, die einen interessanten, wegen der unüberschaubaren Menge aber sicherlich nicht repräsentativen  Überblick über den Meinungsstand geben.

Handelsblatt vom 31.01.2010: SPD fordert Ankauf der CD

Zeitong.de vom 02.02.2010: Rupert Scholz äußert Bedenken

Bundesdatenschutzbeauftragter vom 02.02.2010 : Schaar äußert bedenken gegen den Anlauf der CD

Katholisch.de vom 02.02.2010 : Hamburger Weihbischof befürwortet Ankauf der CD

Schweizer Weltwoche vom 03.02.2010 : Profil des modernen Datendiebs

Financial Times Deutschland vom 07.02.2010: FDP gegen Ankauf der CD

WELT-online vom 08.02.2010: Geißler fordert Orden für CD-Dieb

FOCUS-online vom 13.02.2010: Baden-Württemberg wird CD kaufen

Tagesschau-online vom 16.02.2010 : SVP will Bankdaten deutscher Politiker und Parteien screenen

Hannover-Zeitung vom ??? : Kauder warnt vor Ankauf der CD

Schweizer Weltwoche: Interessantes Dossier zur Schweizer Sicht der Dinge

Für Kommentare und Hinweise auf weitere Quellen zu diesem Thema und zu anderen datenschutzrelevanten Themen sind wir dankbar !

Die Diskussion um den Ankauf der “Steuersünder”-CD wird unverändert ebenso heftig geführt, wie sie über kurz oder lang wieder mehr oder weniger vergessen sein wird. Jedenfalls hat diese Diskussion und haben insbesondere die staatlichen Pläne, geklaute Daten zu kaufen, bereits Nachahmer gefunden, wie wir das schon befürchtet hatten: In Nordrhein-Westfalen hat man offenbar schon gekauft, in Baden-Württemberg steht die Entscheidung noch aus. Jedenfalls überschlagen sich offenbar die Angebote … und das macht die Verantwortlichen scheinbar eher glücklich und zufrieden, anstatt dass es bei ihnen Bedenken über die Richtigkeit ihres Handelns auslöst.

Die offiziellen Verlautbarungen zu diesem Thema fallen äußerst dürftig aus und lassen insbesondere keinerlei Schlüsse darauf zu, inwieweit und mit welchen Ergebnissen man sich mit den rechtlichen Problemen auseinander gesetzt hat. Das zeigen sehr schön die auf der Website des Bundesfinanzminsteriums nachzulesenden Verlautbarungen von Bundesfinanzminister Schäuble vom

4.2.2010

und vom  5.2.2010

Bundeskanzlerin Merkel hat sich “nach sorgfältiger Prüfung” entgegen z.B. den vom CDU-/CSU-Fraktionsvorsitzenden Kauder geäußerten Bedenken für den Ankauf der Steuersünder-CD entschieden. WAS die “sorgfältige Prüfung” beinhaltete und mit welchen rechtlichen Erwägungen sie abgeschlossen wurde, ist – soweit ersichtlich – nicht veröffentlicht worden.

Was an der ganzen Diskussion auffällt ? Es geht scheinbar überhaupt nicht mehr um die Rechtslage, um rechtsstaatliches Handeln, um Kriterien der Rechtmäßigkeit staatlichen Handelns. Vielmehr wird plötzlich die “Moral” in den Vordergrund geschoben, die in der Diskussion um die Rechtmäßigkeit des Ankaufes geklauter Daten nun mal kein guter Ratgeber ist. Wenn es nämlich um die Prüfung der steuerstrafrechtlichen Verantwortlichkeit eines “Steuersünders” oder um die Prüfung der strafrechtlichen Relevanz des Ankaufes der geklauten Daten geht, darf und wird die Frage der “Moral” eben überhaupt keine Rolle spielen. Insoweit darf man darauf gespannt sein, wie die Gerichte urteilen werden.

Grundsätzlich haben das Thema selbst und die Diskussion über dieses Thema geradezu groteske Ergebnisse zutage gefördert:

- Die SPD , die Grünen und die Gewerkschaften, die sich sonst wohl eher als  “Hüter” des Datenschutzes und des Rechtsstaats verstanden wissen wollen, werfen alle rechtlichen Bedenken über Bord und fordern ohne Wenn und Aber den Ankauf der geklauten Daten.

- Selbst ein Vertreter der katholische Kirche sah sich lt. katholisch.de veranlasst, den Ankauf der geklauten Daten grundsätzlich zu befürworten.

- Eine auf Bundesebene sowohl innerhalb der CDU/CSU, als auch in der FDP – immerhin die Regierungsparteien – aufkommende Diskussion um die Rechtmäßigkeit dieser Aktion wird geradezu im Keim erstickt, indem Kanzlerin Merkel kurzerhand ein  “Machtwort” spricht.

Da liegt der Verdacht nahe, dass es um eine populistische und weniger an den geltenden Gesetzen orientierte Vorgehensweise geht.

Das Ganze hat aber neben der strafrechtlichen Relevanz – Diebstahl, besonders schwerer Fall des Diebstahls, Anstiftung und Beihilfe dazu, Hehlerei, Bildung einer kriminellen Vereinigung, Veruntreuung von Steuermitteln, und so weiter, das alles noch jeweils als Amtsdelikt, wo gesetzlich vorgesehen -  noch eine ganz andere Bedeutung: Bekanntermaßen war der ehemalige Finanzminister Steinbrück in seinen Bemühungen, die Schweizer Regierung zu einer engeren “Kooperation” zu bewegen, nicht sonderlich erfolgreich. Nachdem man auf politischem Weg also nicht zum Erfolg gekommen ist, bedient man sich jetzt anderer, höchst zweifelhafter Methoden, um die politisch/zwischenstaatlich derzeit nicht zu erreichenden Ziele auf anderem, und zwar rechtswidrigem Weg zu erreichen. Das hat nicht nur international verheerende Auswirkungen, schadet also massiv dem Ruf der Bundesrepublik Deutschland, sondern stellt auch die rechtsstaatliche Autorität der Handelnden in Frage: Mit welcher – rechtlichen und moralischen – Berechtigung kann ein Staat von seinen Bürgern gesetzeskonformes Verhalten verlangen, wenn er sich selbst bewusst, also vorsätzlich ins Unrecht begibt ?

Was würde der deutsche Staat wohl sagen, wenn ein anderer Staat die Auslieferung eines Steuerhinterziehers fordert, diese Auslieferung vom deutschen Staat in Übereinstimmung mit der internationalen Rechtslage verweigert wird, und der andere Staat dann Kidnapper bezahlt, die den Steuerhinterzieher von Deutschland in den anderen Staat entführen ?

Und schließlich: Es ist allseits von der “Steuersünder-CD” die Rede. Meinen die Verantwortlichen denn im Ernst, dass sie bei allen 1500 Datensätzen auch fündig werden, es also tatsächlich um 1500 Datensätze von 1500 Steuersündern geht ? So naiv kann wohl niemand sein. Das bedeutet aber, dass man ohne mit der Wimper zu zucken eine mehr oder weniger große Anzahl von unbescholtenen Bürgern, die versteuertes Geld rechtmäßigerweise in der Schweiz anlegen und ihre diesbezüglichen Zinseinnahmen auch ordnungsgemäß versteuern, leichtfertig unter einen Generalverdacht stellt, und sie damit schlicht und einfach denunziert. Von irgendwelchen voreiligen Maßnahmen, wie Ermittlungen, Verhören und Durchsuchungen, die auch diesen unbescholtenen Bürgern drohen, mal ganz abgesehen.

Das alles zeigt: Der Rechtsstaat steht bei diesem Thema auf dem Kopf, und das sollte allen, insbesondere auch den Regierenden, zu denken geben. Immerhin haben sie auf die Verfassung geschworen, und selbst der ehemalige Verteidigungsminister Rupert Scholz (CDU), seines Zeichens namhafter Verfassungsrechtler und Mitautor eines ebenso namhaften Grundgesetz-Kommentars, hat (verfassungs-)rechtliche Bedenken gegen den staatlichen Ankauf geklauter Daten geäußert (so veröffentlich bei N24-online unter Bezugnahme auf ein Interview mit der Bildzeitung).

Bleibt derzeit nur die Hoffnung, dass die bereits zahlreich vorliegenden Strafanzeigen gegen die Handelnden von den Strafverfolgungsbehörden und den Gerichten mit der gebotenen Konsequenz verfolgt und bearbeitet werden, also nicht aus Gründen der “Staatsräson” auf der Strecke bleiben. Das wäre dann nämlich tatsächlich der Exitus für Rechtsstaatlichkeit und Moral …

… demgegenüber sollten es die Regierenden besser mit dem von ihnen eingesetzten Bundesdatenschutzbeauftragten Peter Schaar halten, der auf seiner Website (im Blog) im Zusammenhang mit der aktuellen Diskussion fordert:

Kein Datenschutz nach Kassenlage !

Dem ist nichts hinzuzufügen.

FOMA (Fachforum Online Mediaagenturen) hat am 28. Januar 2010 ein Manifest zum Thema Behavioral Advertising (Targeting) veröffentlicht.

Das Manifest kann hier als pdf herunter geladen werden.

Wir wollen hierauf an dieser Stelle nur hinweisen. Unseres Erachtens enthält das Manifest eine sehr lesenswerte Zusammenfassung der mit dem Thema zusammen hängenden Punkte und Probleme, die von uns nicht weiter kommentiert werden soll. Wer zu dem Thema aber etwas beitragen möchte, ist hiermit aufgefordert, über die Kommentarfunktion in die Diskussion einzusteigen.

Die Nachrichten sind voll davon und die Diskussion darüber in vollem Gange: Die Bundesregierung erwägt (zum wiederholten Male) den Ankauf geklauter Bankdaten aus der Schweiz und lässt den Vorgang gerade “rechtlich prüfen”.

Da machen sich ganze Horden von nationalen und EU-Beamten Gedanken über die Sicherung des Datenschutzes im internationalen Datenverkehr. Da werden Millionen von Euro dafür ausgegeben, gerade auch den Bankdatenverkehr sicherer zu machen. Da predigen die Aufsichtsbehörden der privaten Web-Wirtschaft ihre noch nicht sehr konkreten, dafür aber um so weiter gehenden Forderungen für datenschutzsichere Internetauftritte. Da fordern die Politiker im Überschwang der Diskussion schon mal harte Strafen bei Verstoß gegen Datenschutzbestimmungen …

… und dann werden wir plötzlich damit konfrontiert, dass der deutsche Staat einem Datendieb aus der Schweiz 2,5 Mio. Euro für eine CD mit 1.500 Datensätzen deutscher Steuersünder bezahlen will bzw. diese “Option” derzeit rechtlich geprüft wird.

Es ist müßig, sich über die Ernsthaftigkeit dieses Ansatzes auch nur einen Gedanken zu machen: Wer bewusst Diebesgut kauft, macht sich der Hehlerei schuldig — Strafrechtsvorlesung, erstes Semester. Wer Diebesgut planmäßig hehlt und dadurch andere ermuntert, weiter zu klauen, macht sich möglicherweise der Anstiftung zum gewerbsmäßigen Diebstahl schuldig. Das ist dann ein besonders schwerer Fall des Diebstahls — Strafrechtsvorlesung, erstes Semester. Das Ganze kann, wenn es bestimmte  Ausmaße annimmt, sogar so weit gehen, dass man sich zumindest faktisch, möglicherweise auch strafrechtlich relevant  an der Bildung einer kriminellen Vereinigung beteiligt … die dann eben darauf spezialisiert wäre, für die Bundesrepublik Deutschland entgeltlich Bankdaten von Steuersündern zu klauen.

Interessant ist in diesem Zusammenhang der Ansatz, wonach der Kaufpreis von 2,5 Mio. Euro ins Verhältnis gesetzt wird zu vermuteten Steuernachzahlungen in Höhe von 100 Mio. Euro. Auch das die typische Denke von Dieben und Hehlern, andernfalls es nicht so einen florierenden Markt für gestohlene PKWs und sonstige hochwertige Güter, die “vom LKW gefallen sind”, gäbe.

Was heißt das also ? Das heißt, dass der Zweck nicht jedes Mittel heiligt. Das heißt, dass der Staat glaubwürdig bleiben muss und sich nicht zum Werkzeug oder Sponsor von Datendieben machen lassen darf. Verfolgung von Steuerstraftaten: Ja ! Aber bitte mit rechtsstaatlichen Mitteln, ohne jede Ausnahme ! Schon der 5 Mio.-Deal des BND mit den geklauten Liechtensteiner Bankdaten hat das Rechtsstaatsverständnis vieler steuertreuer Bürger schwer getrübt. Wenn der Staat sich jetzt – mit Ansage – dazu bereit findet, für die geklauten Daten aus der Schweiz Geld zu bezahlen, ist der organisierten Kriminalität im Handel mit gestohlenen Bankdaten Tür und Tor geöffnet. Vielleicht sollte der Staat dann auch daran denken, den Ankauf geklauter Daten im Sinne der Einhaltung von Vergabevorschriften und der Gleichbehandlung von Datendieben öffentlich auszuschreiben. Das würde den Datendieben dann auch die Unsicherheit nehmen, ob das, was sie da gerade klauen, auch wirklich einen Abnehmer findet. Und vielleicht könnten auf diese Weise auch die Preise etwas gedrückt werden, das hätte doch auch einen gewissen Charme.

Fazit: Finger weg von gestohlenen Bankdaten. Wer sich auf dieses äußerst fragwürdige Glatteis begibt, macht sich für jede Diskussion um Datenschutz und Datensicherheit zutiefst unglaubwürdig.

Wir haben uns an dieser Stelle schon mehrfach mit der Entwicklung in Sachen SWIFT-Abkommen beschäftigt.

Heute tritt das Abkommen formell in Kraft. Von Anfang an war die Befristung des Abkommens in dem Sinne deutlich gemacht worden, dass das Europäische Parlament hierüber im Herbst 2010 abschließend zu entscheiden habe.

Nunmehr haben sich zahlreiche Parlamentarier aller Parteien zu Wort gemeldet und angekündigt, dass das Abkommen in der vorliegenden Form nicht akzeptabel und daher abzulehnen sei. Vor diesem Hintergrund wird allgemein damit gerechnet, dass das EP das Abkommen in der Sitzung am 10. Febraur 2010 kippen wird.

Fragt sich natürlich, warum das Parlament nicht gleich – vor Unterzeichnung des Abkommens – in den Entscheidungsprozess eingebunden wurde. Dann wäre diese “Schleife”, die das Abkommen jetzt nimmt, überflüssig gewesen.

Im Ergebnis ist aber jedenfalls zu begrüßen, dass die Parlamentarier aufgewacht sind. Immerhin geht es u.a. um die Weitergabe von Daten an Drittstaaten, um die Datenspeicherung für die Dauer von 15 Jahren und um im Einzelnen letztlich nicht überprüfbare Terrorismus-Verdachtsmomente aus der Hand amerikanischer Strafverfolger und Gerichte. Dass das SWIFT-Abkommen nur bedingt bis überhaupt nicht zur Terrorismusbekämpfung geeignet und daher unsinnig ist, hat lt. SPIEGEL-Online vom 2. Januar 2010 selbst das BKA in außergewöhnlich kritischer Weise deutlich gemacht.

Aktuelle Berichterstattung zu dem Thema findet sich u.a. bei ARD-Tagesschau vom heutigen Tage (mit Video) und bei netzpolitik.org vom 27.01.2010.

Wir werden das Thema natürlich weiter im Auge behalten.