Das Thema Datenschutz nahm dabei  naturgemäß keinen wesentlichen Platz in den Redebeiträgen der Veranstaltung ein.

Allerdings widmete sich IHK-Präsident Klaus-Hinrich Vater in seiner Ansprache ausführlich dem ULD bzw. dessen Leiter im Zusammenhang mit den aktuellen aufsichtsrechtlichen Aktivitäten der schleswig-holsteinischen Datenschutzbehörde:

„Dr. Thilo Weichert führt einen missionarischen Feldzug gegen Facebook und schickt sich an, der Don Quijote des Internet-Zeitalters zu werden. Dazu wollen wir erst einmal gar nichts weiter anmerken. [...]. Was aber nicht angehen kann, ist die Tatsache, dass Herr Dr. Weichert diesen Kampf auf dem Rücken der schleswig-holsteinischen Unternehmen führt. Diesen erheblichen Wettbewerbsnachteil können und wollen wir nicht akzeptieren. [...].

Klar ist, dass Internet-Innovationen zeitgemäße Gesetze benötigen. Aber bitte nicht gleich das Kind mit dem Bade ausschütten und das ganze Internet verbieten. Das sind keine Phantasien von mir, denn der gute Mann hat bereits Google, Amazon und ebay auf seinem Zettel.

An die Politik sei die Frage erlaubt, wieso Herr Weichert über 44 Mitarbeiter verfügt, wie seiner Homepage zu entnehmen ist. Das sind deutlich mehr, als andere Mitgliedsstaaten der Europäischen Gemeinschaft für diese Aufgabe in Gänze abstellen. Soll von unserem kleinen Bundesland aus die Internet-Welt neu geordnet werden?

Wir werden jedenfalls nicht akzeptieren, dass Herr Dr. Weichert einen Keil zwischen die Wirtschaft und den Datenschutz treibt. Der Datenschutz ist für unsere Unternehmen von erheblichem Wert. Dazu gehören jedoch verlässliche Rahmenbedingungen und keine wie auch immer gearteten Alleingänge.“

Der so gescholtenene bewies Medienkompetenz und reagierte postwendend mit einer Pressemitteilung, die unmittelbar im Anschluß an die Vater-Rede noch während der Veranstaltung veröffentlicht wurde.

Seine Sicht der Dinge:

„Wenn von einer öffentlich-rechtlichen Körperschaft die Wahrnehmung der gesetzlichen Aufgaben einer anderen öffentlichen Stelle als missionarischer Feldzug wahrgenommen wird, ist das verwunderlich, erst recht, wenn diese Wahrnehmung auf falschen Daten basiert. Das ULD schont die schleswig-holsteinischen Unternehmen bei der Klärung der Frage, dass Fanpages und „Gefällt mir“-Buttons von Facebook gegen den Datenschutz verstoßen. Dies wurde von uns schon mehrfach dargelegt. Dass sich die IHK dieser Klärung bisher verweigerte, muss nicht als wirtschaftsfreundliches Verhalten interpretiert werden.

Falsch ist, dass es bei mir einen Zettel gäbe, auf dem die Namen „Google, Amazon und ebay“ stehen. Richtig ist, dass sich das ULD intensiv mit Angeboten von Google, u. a. Street View und Analytics, auseinandersetzte und –setzt, und dass dabei gegenüber diesem „Global Player“ von den deutschen Datenschutzbehörden massive Datenschutzverbesserungen durchgesetzt werden konnten.

Richtig ist, dass das ULD derzeit knapp 40 Mitarbeiterinnen und Mitarbeiter hat, von denen jedoch nur 25 über den Landeshaushalt finanziert werden. Die übrigen Stellen werden haushaltsneutral vorrangig über das Durchführen von wissenschaftlichen Projekten, über Gutachtenerstellung, über Datenschutzaudits und über die Zertifizierung von Produkten finanziert. Mit 25 haushaltsfinanzierten Stellen befindet sich das ULD im Vergleich zu anderen Datenschutzbehörden in Deutschland im Mittelfeld.

Das ULD will die Internet-Welt nicht neu ordnen; dies sollten die Parlamente als Gesetzgeber tun. Das ULD ist aber für die Beachtung der Datenschutzgesetze durch Stellen in „unserem kleinen Bundesland“ zuständig; diese Aufgabe nehmen wir ernst.

Einen Keil zwischen die Wirtschaft und den Datenschutz treibt nicht das ULD, sondern wohl eher eine andere öffentliche Körperschaft im Lande, die damit beiden Seiten keinen guten Dienst erweist. Das ULD betreibt bei seinem Vorgehen zu Social Communities keinen Alleingang, sondern wird von den Datenschutzbehörden bundesweit unterstützt.

Herr Vater sollte Schleswig-Holstein nicht kleiner machen als es ist, sondern besser Datenschutz als ein Marktkriterium erkennen, mit dem auf dem Weltmarkt ein großes Geschäft gemacht werden kann – und mit dem zugleich Grundrechte geschützt werden. Vielleicht sollte er sich daran erinnern, wie in den 70er und 80er Jahren die Ökologiebewegung gescholten wurde, und dann betrachten, welche wirtschaftliche Relevanz Umwelttechnologien heute haben.“

Vor allem für den Hinweis auf die Vermarktungschancen des 2-in-1-Produkts “gewinnmaximierender und grundrechtsschützender Datenschutz” wird ihm der IHK-Präsident bestimmt dankbar sein.

Ich persönlich habe ja eher den Eindruck, dass die Unternehmen, die am Datenschutz verdienen, nicht zwingend dieselben sind, die ihn (nur) praktizieren sollen. Was natürlich kein anerkennenswerter Grund wäre, es deshalb zu lassen.

Aber zumindest einer, es nicht so gerne zu tun. Und schon gar nicht in den Fällen, in denen einem Unternehmer schon die grundsätzliche Sinnhaftigkeit einer Maßnahme nicht vermittelbar ist.

Noch etwas: Die Aussage “Das ULD schont die schleswig-holsteinischen Unternehmen bei der Klärung der Frage, dass Fanpages und „Gefällt mir“-Buttons von Facebook gegen den Datenschutz verstoßen” soll bitte niemand so verstehen, dass tatsächlich noch kein Unternehmen aus Schleswig-Holstein durch das ULD konkret in Anspruch genommen worden wäre. Dann wäre sie nämlich schlicht falsch!

to be continued…

[Quelle: Pressemitteilung des ULD vom 12.01.2012]

In seiner online dazu verbreiteten Mitteilung bewertet der AK Vorrat das Papier als Beleg für die fehlende Rechtmässigkeit und das Scheitern der Richtlinie zur Vorratsdatenspeicherung:

“In einer von der Kommission bislang nicht gekannten Offenheit beleuchtet das nun vom AK Vorrat ins Deutsche übersetzte und kommentierte Dokument zahlreiche Probleme, Mängel und Rechtsverstöße bei den bis heute vorgenommenen Umsetzungen der europäischen Richtlinie aus dem Jahre 2005. Was aber besonders bemerkenswert ist: Die Kommission stellt damit die Rechtsgrundlage dieser umstrittenen Richtlinie grundsätzlich in Frage.

Nicht neu ist die Tatsache, dass der von der EU-Kommission am 18.4.2011 vorgestellte Untersuchungsbericht über die bisherige Umsetzung der EU-Richtlinie nicht als wissenschaftliche “Evaluierung” bezeichnet werden kann. Nur 11 von 27 Mitgliedsstaaten haben überhaupt Zahlen zur Grundlage der als “Evaluierung” betitelten Untersuchung geliefert. Und das trotz mehrfacher Verschiebung der Abgabefrist. Die wenigen gelieferten Statistiken sind darüber hinaus in einigen Fällen völlig unbrauchbar (siehe dazu Punkt 17 sowie Kapitel 4.7 im Schattenbericht der Bürgerrechtsorganisation EDRi).

Die Kommission gesteht weiter ein, dass es nur wenige Hinweise für den Wert der Vorratsdatenspeicherung für Zwecke der öffentlichen Sicherheit und Strafjustiz gäbe und stellt dennoch ohne jede Selbstkritik u.a. die folgende zu diskutierenden Frage in den Raum:

“What are the most effective ways of demonstrating value of data retention in general and of the DRD itself?”

“Der Kommission gelingt es auch sechs Jahre nach Einführung der Richtlinie zur Vorratsdatenspeicherung nicht, deren Notwendigkeit zu belegen”, meint Frank Herrmann vom AK Vorrat. “Stattdessen soll nun nach beliebigen Beispielen für die Vorteile von Vorratsdaten gesucht werden! Wen glaubt die Kommission noch vom Sinn einer Vorratsdatenspeicherung überzeugen zu können? Das Eingeständnis des Scheiterns der Richtlinie wäre jetzt ein mutiger und richtiger Schritt.”

Die dringende Suche der Kommission nach “Belegen” für den “erfolgreichen” Einsatz der Vorratsdatenspeicherung wird auch in einer der in den nächsten sechs Monaten zu erfüllenden Aufgaben deutlich:

“In particular all Member States – not just a minority – need to provide convincing evidence of the value of data retention for security and criminal justice.”

Die Kommission berichtet in ihrem eigentlich nicht-öffentlichen Dokument weiterhin darüber, dass die ehemals vorgesehene Beschränkung der Datenabfrage zur Bekämpfung von Terrorismus und schweren Straftaten zur Makulatur geworden ist. Es gibt keine juristisch belastbare Definition davon, was man als “schwere Straftat” zu verstehen habe. Dementsprechend missbräuchlich werden die sensiblen Vorratsdaten in einigen Ländern der EU heutzutage teilweise massenhaft ver- und entwendet.

Ganz offen diskutiert der Text die Möglichkeiten, die Anwendbarkeit der Vorratsdaten für eine erneuerte Richtlinie in bisher unbekannten Umfang auszuweiten: auf Urheberrechtsverletzungen, auf “mittels Telefon oder Internet” begangene Straftaten oder auf derart schwammige Vergehen wie “Hacking” oder in jedem – rechtlich wiederum nicht ausreichend definierten – allgemeinen “Notfall”. Die EU-Kommission prüft sogar, künftig auch die Nutzung von Instant Messaging-Software und Chats sowie von Uploads und Downloads im Internet nachverfolgbar zu machen.

Der Bericht schildert ferner die mangelhafte Berücksichtigung datenschutzrechtlicher Belange: Eine fehlende Aufklärung der von der Datenspeicherung betroffenen Bürger durch Behörden und Telekommunikationsanbieter, das Nichtvorhandensein von Standards zur Benachrichtigung bei Datenabrufen, keinerlei festgeschriebenes Recht auf Auskunft oder auf Entschädigung bei Datendiebstahl oder -missbrauch.

Auf der anderen Seite beleuchten die Kommissionsbeamten die Situation der Unternehmen, die zur Vorratsdatenspeicherung gezwungen werden:

Je nach Land existiert keine oder nur eine sehr magere, jedenfalls keine europaweit einheitliche Erstattung der Speicherkosten, was zu bislang unbekannten Wettbewerbsverzerrungen führt. Gerade die Kosten für kleine Unternehmen bewertet die EU-Kommission als “unverhältnismäßig hoch”. Mangels fehlender Definition, welche Behörde unter welchen Bedingungen überhaupt dazu befugt ist, Vorratsdaten abzurufen, finden sich die Provider in der unbeliebten Rolle derjenigen wieder, die als wirtschaftlich handelnde Akteure in einer rechtlichen und politischen Grauzone über die konkrete Auslegung der Richtlinie zu entscheiden haben. Dies ist besonders perfide unter dem Gesichtspunkt, dass die Richtlinie zur Vorratsdatenspeicherung nicht als Werkzeug der Strafverfolgung, sondern als Instrument der Marktharmonisierung beschlossen wurde. Wenn die EU-Kommission nun eingesteht, dass die Richtlinie zu einer Wettbewerbsverzerrung statt einer Harmonisierung führt, entfällt die Rechtsgrundlage und damit die Rechtmäßigkeit dieser umstrittenen Richtlinie.

Ebenfalls völlig ungeklärt sind die Fragen der Trennung der Vorratsdaten von den Daten, die Unternehmen aus betrieblichen Gründen vorhalten müssen. Diese beiden Sorten von Daten werden derzeit vielfach nicht voneinander abgeschottet, was nicht nur ein enormes Risiko bezüglich der Datensicherheit darstellt sondern darüber hinaus auch keine Aussage über den angeblichen Zusatznutzen gerade einer verdachtslosen flächendeckenden Vorratsdatenspeicherung zulässt.

Die zahlreichen und differenzierten Einwände und Bedenken von Bürgerinitiativen und Nichtregierungsorganisationen gibt die EU-Kommission in Punkt 10 des Schreibens nur bruchstückhaft und in nur sehr geringem Umfang wieder. Eine gesellschaftliche Analyse sozialer und soziologischer Auswirkungen fehlt gänzlich und scheint aus Sicht der EU-Kommission gar nicht zu existieren oder zumindest nicht von Belang zu sein.

Die von vielen konservativen Politikern immer wieder postulierte “unzweifelhafte Notwendigkeit” einer verdachtlosen, dafür aber vollständigen Erfassung und Speicherung der Telekommunikations-Verbindungsdaten aller Menschen in der EU bleibt nach wie vor unbewiesen. Ein im zu den europäischen Grund- und Menschenrechten im vernünftigem Maß stehender Nutzen der Vorratsdatenspeicherung hätte vor dem Beschluss der entsprechenden EU-Richtlinie nachgewiesen werden müssen. Diesen Beweis bleiben die EU-Behörden bis heute schuldig.

Der Arbeitskreis Vorratsdatenspeicherung verlangt daher das sofortige Ende der EU-weit zur Vorratsdatenspeicherung verpflichtenden Regelungen! Von Deutschland verlangen wir gemeinsam mit den 64.704 Mitzeichnern der Petition gegen Vorratsdatenspeicherung, die EU-Richtlinie zur Vorratsdatenspeicherung bis zur Entscheidung des Europäischen Gerichtshofs über deren Vereinbarkeit mit den Grundrechten nicht umzusetzen.

“Klarer als in diesem Dokument lässt sich das faktische Scheitern der Vorratsdatenspeicherung nicht belegen”, meint Michael Ebeling vom Arbeitskreis Vorratsdatenspeicherung dazu. “Diese aus den Tagen der Terrorhysterie geborene Maßnahme zur Überwachung aller EU-Europäer ist nicht nur in ihrer technischen und bürokratischen Umsetzung misslungen, sie hat sich auch über die gesellschaftliche Sehnsucht nach einer lebenswerten Gesellschaft hinweggesetzt. Jeder Mensch benötigt Freiräume, um seine Persönlichkeit und seine Identität unbefangen wachsen und gedeihen zu lassen. Jede Form von Vorratsdatenspeicherung arbeitet allerdings in die genau entgegengesetzte Richtung … und wird deshalb keine Zukunft haben.”

Die EU-Kommission will nun bis Mai 2012 Optionen zur Aufhebung oder Änderung der Richtlinie einschließlich der Möglichkeit einer Speicherung nur der Daten von Verdächtigen (Quick Freeze) bewerten, um im Juli 2012 einen Vorschlag zur Änderung der Richtlinie vorzulegen. Nach Informationen des AK Vorrat soll in die laufenden Überlegungen weder die Möglichkeit eines europaweiten Verbots verdachtsloser Vorratsdatenspeicherung noch die Option einfließen, Datensammlungen nur in solchen Mitgliedsstaaten zu regeln, die überhaupt verdachtslos auf Vorrat speichern lassen wollen. Das zur Begründung genannte Argument, die EU könne den Mitgliedsstaaten aus rechtlichen Gründen die Anwendung einer Richtlinie nicht freistellen, wird von Juristen als nicht haltbar bezeichnet.”

[Quelle: Arbeitskreis Vorratsdatenspeicherung, Mitteilung auf www.vorratsdatenspeicherung.de vom 06.01.2012]

Wegen der Tiefe des Grundrechtseingriffs und des Fehlens von Belegen für einen statistisch signifikanten Einfluss der Maßnahme auf die Begehung und Verfolgung von Straftaten muss nach Auffassung des Deutsche Anwaltvereins (DAV) nicht nur die entsprechende EU-Richtlinie (2006/24/EG) unter Berücksichtigung der national und international geltenden Grund- und Freiheitsrechte grundlegend überarbeitet werden:

Auch der derzeit diskutierte Entwurf des Bundesjustizministeriums für eine Wiedereinführung der Vorratsdatenspeicherung in Deutschland wird den (grund-)rechtlichen Vorgaben des Bundesverfassungsgerichts nicht gerecht, so der DAV in seiner durch den Ausschuss Gefahrenabwehrrecht erstellten Stellungnahme zum BMJ-Entwurf für ein „Gesetz zur Sicherung vorhandener Verkehrsdaten und Gewährleistung von Bestandsdatenauskünften im Internet“ (Stand: 07.06.2011), die heute veröffentlicht wurde.

Das Fazit ist unmißverständlich, die Bewertung eindeutig:

“Gemessen an den Möglichkeiten,  die den Ermittlungsbehörden durch die neuen Eingriffsbefugnisse gegeben werden, sind die Sicherungen gegen Eingriff in das Persönlichkeitsrecht von (nicht zuletzt unbeteiligten) Bürgern in rechtsstaatlicher Hinsicht mangelhaft. [...]. In der vorliegenden Form sind die Vorschläge des Diskussionsentwurfs demnach abzulehnen.”

Aus der Stellungnahme (Summary):

I. Das „Einfrieren“ von Verkehrsdaten für maximal  2 Monate nach  § 100j StPO-E  ist eine Maßnahme, die  –  im Vergleich zur anlasslosen Vorratsdatenspeicherung des aufgehobenen § 113a TKG a.F. – zumindest anlassbezogen angeordnet bzw. durchgeführt wird.

Allerdings sind die Voraussetzungen, auf Grund derer die Anordnung zum „Einfrieren“ der Verkehrsdaten ergehen kann, äußerst niedrig angesiedelt. Erforderlich ist allein, dass die Daten der Erforschung des (irgendeines?) Sachverhalts oder des Aufenthalts eines Beschuldigten dienen können. Dies sind konturenlose Voraussetzungen mit weitreichenden Interpretationsmöglichkeiten in der Hand allein des Anordnenden.

Dass in § 100j StPO-E von einer Erforderlichkeit der Datensicherung für die „Erforschung des Sachverhalts“ und nicht von einer „Ermittlung des Sachverhalts“ gesprochen wird, zeigt z. B., dass das „Einfrieren“ auch weit im Vorfeld eines Anfangsverdachts stattfinden kann. Hierüber entscheiden die Polizei bzw. Staatsanwaltschaft autark. Ein Richtervorbehalt oder eine Überprüfung der Anordnung ist – jedenfalls ausdrücklich – nicht vorgesehen.

Die Quasi-Kompensation für diese niedrigere Eingriffsschwelle, dass nämlich eine Sicherungsanordnung dann unzulässig ist, wenn bei ihrem Erlass absehbar ist, dass die Voraussetzungen für eine spätere Erhebung oder Verwendung der Daten nach § 100g StPO „voraussichtlich“ nicht vorliegen werden, kann nicht als wirksames einschränkendes Korrektiv angesehen werden. Ob „voraussichtlich“  keine  i.  S. des § 100g StPO schwere Straftat vorliegt oder keine Tat, die mittels des Internet begangen wurde, wird in den seltensten Fällen im frühen Stadium von Ermittlungen („Erforschung“) feststehen. Im Gegenteil dürfte regelmäßig nicht auszuschließen sein, dass das Internet in irgendeiner Weise in das zu „erforschende“ Geschehen hineinspielt, wenn TK-Daten im Fokus stehen.

Von daher wird sich jedenfalls diejenige Alternative des § 100g StPO, wonach die Tat mittels des Internets begangen sein muss, „voraussichtlich“ meistens bejahen lassen. Gerade diese Anwendungsalternative des § 100g StPO wurde aber vom Bundesverfassungsgericht wegen ihrer (bedenklich) weiten Ausdehnung auf alle Straftaten als problematisch angesehen (BVerfG, Urteil vom 02.03.2010, 1 BvR 256/08, 586/08, Rn. 27).

Dem allen steht gegenüber, dass die Verkehrsdaten, die für maximal  2 Monate auf diese „einfache“ Weise „eingefroren“ werden können, weitreichende Erkenntnisse nicht nur im Hinblick auf das Bewegungsprofil (über Rufnummer, Kennung, Funkzellen-  und Uhrzeitdaten) ermöglichen, sondern mittels der IP-Adressen, SMS etc. bei Internettelefondiensten sehr weitgehende Einblicke auch in die jeweilige Nutzung des Internet. Die IP-Adressen werden nicht von ungefähr als das „Gold der Internetwelt“ bezeichnet (Hoeren, JZ 2011, 995 ff./996). Mit ihnen lassen sich – nicht zuletzt in Verbindung mit anderen Daten (z. B. über die Nutzung von Google) –  in vielfältiger Weise auch höchst personenbezogene Erkenntnisse (Bewegungsprofile, Internetnutzung etc.) gewinnen.

Die Sensibilität dieser Daten wird gegenwärtig noch dadurch verstärkt, dass die  rechtliche Einordnung von IP-Adressen als Bestands- oder Verkehrsdaten immer noch umstritten ist. Dies ist mit weitreichenden Konsequenzen z. B. hinsichtlich der Verwertung dieser Daten im Strafprozess verbunden. Sind IP-Adressen z.  B. Bestandsdaten (so BGH, Urt.  vom 12.5.2010 – I ZR 121/08), dann wäre eine Verwertung nach § 100g StPO gar nicht zulässig.

Auch die Frage der Anwendbarkeit des Bundesdatenschutzgesetzes wird uneinheitlich beantwortet (vgl. Karg MMR-Aktuell 2011, 345). Hinzu kommt, dass die technischen Dimensionen des Internet und damit insbesondere deren Gefahren,  noch weitgehend unbekannt sind. Fast täglich erreichen uns neue Hiobsbotschaften, welche gigantischen Datenmengen wie leicht öffentlich zugänglich sind bzw. mit wenigen „Hackerhandgriffen“ zugänglich gemacht werden können. Ausreichende Sicherungsmechanismen und  -maßnahmen fehlen in rechtlicher, technischer und tatsächlicher Hinsicht. Bei alledem stehen wir auch nach Einschätzung von Fachleuten erst am Anfang einer Entwicklung, die noch nicht einmal annähernd abschätzbar wäre.

Dass die „eingefrorenen“ Daten gemäß § 100j Abs. 5 StPO-E nach Ablauf der Sicherungsfrist von dem TK-Diensteanbieter „unverzüglich zu löschen“ sind, ist demgegenüber keine ausreichende Sicherheit. Es ist weder geregelt, wie entsprechende Zuwiderhandlungen des Dienstanbieters zu ahnden sind, noch wie die Ermittlungsbehörden die aus den Daten entnommenen Informationen zu behandeln haben, nachdem diese gelöscht wurden oder, nachdem sich herausgestellt hat, dass die Voraussetzung für eine Speicherung der Daten nach § 100j StPO-E von vorneherein  nicht  vorlagen. Dass solche (oder ähnliche Fälle) einer Speicherfristüberschreitung ohne weiteres ein Verwertungsverbot nach sich zögen, hat die Rechtsprechung – jedenfalls bislang – nicht entschieden (vgl. hierzu BT-Drs. 17/1482, S. 2 und Meyer-Goßner, 54. Auflg., Rn. 30 zu § 100g StPO).

II.  § 100k Abs. 1 StPO-E verpflichtet die Diensteanbieter zur Auskunftserteilung im Hinblick auf die Bestandsdaten nach § 95 TKG, d.  h. den für  die Begründung des Vertragsverhältnisses bei den TK-Diensteanbietern vorhandenen u.  a. Adressdaten. Diese Auskunft darf nur zu den bei den Strafverfolgungsbehörden bereits bekannten IP-Adressen erfolgen.

Nach dem Diskussionsentwurf dient diese Maßnahme (allein) der Bekämpfung der Kinderpornographie im Internet. Hiermit soll die personelle Zuordnung (Identifizierung) der über die Internetportale der entsprechenden Seiten bereits ermittelten IP-Adressen erfolgen.

Die Anordnungsvoraussetzungen für die Strafverfolgungsbehörden (ohne Richtervorbehalt) sind  –  wie bei § 100j StPO-E  –  denkbar niedrig. Es reicht aus, dass die Daten für die Erforschung des (irgendeines?) Sachverhaltes und die Ermittlung des Aufenthaltsortes eines Beschuldigten benötigt werden.

Bereits diese Anordnungsvoraussetzung ist problematisch, weil das BVerfG in seiner Entscheidung vom 02.03.2010 (Absatz Nr. 289) die Auskünfte über Bestandsdaten ausdrücklich (nur) bei Vorliegen eines hinreichenden Anfangsverdachts oder bei einer konkreten Gefahr i. S. der polizeilichen Generalklauseln für zulässig erklärt hat.

Obwohl die Auskunftsverpflichtung gemäß § 100k StPO-E allein mit der Bekämpfung von Kinderpornografie im Internet begründet wird, bezieht sie sich dennoch  –  mangels gesetzlicher Beschränkungen – bedenklich weit auf alle Tatbestände des StGB. Um die Zuordnung zu ermöglichen, wurde die Auskunftspflicht des § 100k StPO-E durch die Verpflichtung der Diensteanbieter zu einer anlasslosen 7-tägigen Speicherpflicht von bestimmten Verkehrsdaten nach § 113a TKG-E  (darunter auch IP-Adressen) ergänzt. Erst mithilfe dieser Daten kann festgestellt werden, wer wann unter welcher IP-Adresse mit dem Internet verbunden war. Die Verpflichtung zur Speicherung bezieht sich auf einen Zeitraum von 7 Tagen. Es handelt sich hierbei um eine – wenngleich kurze – anlasslose Speicherung von Daten „auf Vorrat“.

In einem hohen Maße problematisch ist selbst auf Basis der vergleichsweise kurzen Dauer des „Einfrierens“, dass über die Identifizierung von IP-Adressen weitreichende anderweitige Informationsquellen ausgeschöpft werden können. Dies gilt nicht nur im Hinblick auf die bevorstehende Umstellung auf das neue Internet-Adress-System „IPv6“ mit dann konstanten IP-Adressen. Ist eine IP-Adresse erst einmal identifiziert, ermöglichen andere (den staatlichen Stellen z. B. nach § 15 Abs. 5 S. 4 TMG zugängliche) Internet-Nutzungsdaten weitreichende Einblicke in ein „Internetleben“ einer Person, bis hin zu Telekommunikationsinhalten.

Auch hier – wie bei § 110j StPO-E – bietet § 113a Abs. 5 TKG-E mit seiner Verpflichtung gegenüber den Diensteanbietern, die gespeicherten Daten unverzüglich nach Ablauf von 7 Tagen zu löschen, keine genügende Sicherheit. Es fehlen auch hier entsprechende gesetzliche Vorkehrungen, mit denen den Gefahren durch entsprechende Zuwiderhandlungen des Dienstanbieters oder auch einer weiteren Verwertung der einmal erhobenen Daten durch die Ermittlungsbehörden begegnet werden könnte.

Die vollständige Stellungnahme des DAV (PDF-Datei)

Nichts Spektakuläres.

Nur ein kurzer Widerspruchsbescheid. Trotzdem schön für die Mandantschaft. Bis auf den letzten Satz. Aber da muß sie halt jetzt durch…

Eine amüsante interne Diskussion bei der Piratenpartei Schleswig-Holstein illustriert gerade sehr anschaulich die schädlichen Auswirkungen auf die politische Willensbildung, wenn Feiertage nicht bundeseinheitlich geregelt, sondern Ländersache sind.

Da werden aus Ahnungslosigkeit schnell mal dem politischen Gegner Gepflogenheiten zugeschrieben, für die er ausnahmsweise tatsächlich einmal nichts kann…

Die Piratenpartei hat unlängst zu einem “Dreikönigstreffen” in Ostholstein (Herrenhaus Stockelsdorf) eingeladen. Ein Mitglied der Mailingliste schrieb daraufhin:

“[...] danke für die Info, warum aber drei Königstreffen und nicht drei Piatentreffen? Ich muß bzwar sagen das es sich nicht schlecht anhört, aber es erinner mich zu sehr an meinen politischen Gegner von der FDP, die haben den Begriff gepachtet und ich weiss nicht ob der von Piraten so übernommen werden soll. Aber soll kein kritig sein sondern nur eine Anregung, wenn andere es anders sehen ist es auch ok.”

Ja, warum eigentlich noch “Weihnachtsfeiertag” und nicht gleich “Piratenfeiertag”? Gut, kann ja mal passieren. Nicht jeder ist Katholik und selbst von denen weiß vielleicht auch nicht jeder, weshalb der 06. Januar jedes Jahr gefeiert wird.

Aber so eine Mailingliste hat ja den Vorteil, dass da viele Menschen mitmachen und daher die Chance groß ist, dass dem Einsender jemand mit seiner Antwort hilfreich Aufklärung zuteil werden lässt. Unser Pirat hatte allerdings Pech.

Die Anwort lautete folgendermaßen:

“Lieber X,

die FDP sollten wir aufgrund der Tatsache, dass sie sich auf allen Ebenen in Auflösung befindet nicht länger als Gegner betrachten. Die Liberalen haben schon lange ihr ehemaliges langjähriges Engagement für Bürgerrechte und die Freiheit des Einzelnen vollkommen aus den Augen verloren.”

Es folgt ein längerer Auszug aus Wikipedia über den Begriff “Liberalismus”. Dann geht es weiter im piratigen Manifest:

“Und genau diese Position besetzen doch mittlerweile wir – die Piraten (*/Wo die Freiheit des Einzelnen berührt wird, hat jede, auch die staatliche, Gewalt zu enden/.*) Du hast vollkommen Recht, dass die Dreikönigstreffen in direktem Zusammenhang mit der FDP stehen. Da es aber alsbald keine FDP mehr geben wird bzw. die FDP sich fortan in der APO üben wird wäre es doch sehr schade, wenn es künftig keine Dreikönigstreffen mehr gäbe, so dass wir diese Tradition aufnehmen und künftig an Stelle der FDP fortsetzen sollten. Denn wir – die Piraten – sind es, die für die Freiheit und damit für die Grundidee des Liberalismus eintreten. Der Auftakt zu Piraten-Dreikönigstreffen ist der *06. Januar 2012* in Stockelsdorf im Herrenhaus!”

Au weia. Dagegen war das mit dem Namensvorschlag ja noch einigermassen intelligent…

P.S.: Nein, ich stehe der FDP nicht nahe. Und noch mal nein: Ich habe überhaupt nichts gegen die Piraten!

Sowohl die Antworten zu den FAQ des ULD zur Facebook-Thematik (Heutiger Stand: Die Fassung vom 07.09.2011) als auch die sonstigen öffentlichen Äußerungen der Behördenvertreter lassen bisher keinen Zweifel daran, dass man selbstverständlich zum Erlaß von Bußgeldbescheiden bei datenschutzrechtlich relevanten TMG-Verstößen ermächtigt ist.

Ebenso wie einige Anwaltskollegen vertrete ich hierzu seit geraumer Zeit eine andere Auffassung. Der wissenschaftliche Dienst des Bundestags und zuletzt auch der wissenschaftliche Dienst des schleswig-holsteinischen Landtags sehen das mittlerweile ähnlich bis genauso kritisch.

Dennoch heißt es auf der Website des ULD unter Nr. 1 der FAQ zu dieser konkreten Zuständigkeitsfrage nach wie vor lapidar und unangemessen selbstbewußt:

“Anderslautende Rechtsauffassungen sind damit rechtsirrig.”

Schon die bislang wegen des behaupteten Verstosses gegen § 15 Abs. 3 TMG inzwischen ergangenen Bescheide des ULD an private Anbieter sind allerdings keine Bußgeldbescheide sondern Untersagungsverfügungen gem. § 38 Abs. 5 Satz 1 BDSG mit Androhung von Zwangsgeldern bei Nichtbefolgung. Die Befugnis des ULD hierzu ist unstreitig. Man geht hier anscheinend also ganz bewußt auf “Nummer sicher”.

Wenn es aber so ist, wie nach wie vor öffentlich verlautbart wird, die Rechtslage also “glasklar” ist, gibt es wohl – eingedenk des Mottos von Montesquieu: “Wenn es nicht nötig ist, ein Gesetz zu machen, ist es nötig, kein Gesetz zu machen” – eigentlich keinen gesetzgeberischen Handlungsbedarf.

Tatsächlich allerdings existiert aber inzwischen ein  Vorschlag des ULD für eine Änderung des § 44 Abs. 3 LDSG SH:

“(3) Das Unabhängige Landeszentrum für Datenschutz ist für Ordnungswidrigkeiten nach diesem Gesetz Verwaltungsbehörde im Sinne von § 36 Abs. 1 Nr. 1 des Gesetzes über Ordnungswidrigkeiten (OWiG). Dies gilt auch für Ordnungswidrigkeiten nach § 43 BDSG, nach § 85 SGB X und nach Abschnitt 4 des TMG. “

Und in einer heute veröffentlichten Pressemeldung heißt es nun:

“Vor der abschließenden Behandlung der Novelle des Landesdatenschutzgesetzes Schleswig-Holstein (LDSG) am 14.12.2011 im Landtag appelliert das Unabhängige Landeszentrum für Datenschutz (ULD) erneut an die Abgeordneten, die Bußgeldzuständigkeit bei Datenschutzverstößen klarzustellen. Das ULD hat dem Landtag einen Gesetzgebungsvorschlag gemacht, der jedoch vom Innen- und Rechtsausschuss nicht behandelt wurde. Bußgeldverfahren können z. B. bei Datenschutzverstößen im Internet oder im Kontext von sozialrechtlichen Verfahren dringend geboten sein. Die Zuständigkeit hierfür ist jedoch nicht eindeutig geklärt. Der ULD-Vorschlag wird vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) unterstützt.

Im Rahmen der Auseinandersetzung um die Zulässigkeit von Facebook-Fanpages hatten FDP-Abgeordnete des Bundestags und des Landtags die jeweiligen parlamentarischen Wissenschaftlichen Dienste um Gutachten zur Bußgeldzuständigkeit des ULD für Datenschutzverstöße im Internet gebeten. Darin wurde teilweise die Bußgeldzuständigkeit des ULD bestritten. Nach Ansicht des ULD sollte im Interesse des Datenschutzes eine für alle geklärte Bußgeldzuständigkeit festgelegt werden.

Thilo Weichert, Leiter des ULD: “Die Europäische Datenschutzrichtlinie fordert explizit für die unabhängige Datenschutzaufsicht `wirksame Einwirkungsbefugnisse´, insbesondere die Befugnis, eine rechtliche `Verwarnung … an den für die Verarbeitung Verantwortlichen zu richten´. Das Parlament sollte – schon um teure unnötige Zuständigkeitskonflikte zu vermeiden – eine Klärung herbeiführen.”"

Man wundert sich. Denn wenn eingestandenermassen doch nicht alles so eindeutig ist, wäre es zumindest vielleicht mal an der Zeit, vom eigenen hohen Roß herunterzuklettern und die FAQ-Antworten ein bißchen an die Wirklichkeit anzupassen…!

Und hervorhebenswert erscheint mir auch der letzte Teil, den Thilo Weichert zur Begründung einer gesetzgeberischen Notwendigkeit anführt:

“Bußgeldverfahren werden wegen der Zunahme der Datenschutzprobleme in Zukunft immer wichtiger. Im Interesse der Wirtschaft, der betroffenen Bürgerinnen und Bürger und der Aufsicht sollte insofern Rechtssicherheit geschaffen werden.”

Nach meinem Verständnis löst man genau diese “zunehmenden” – insoweit richtig, weil strukturell aus den bislang in den Datenschutzgesetzen nicht berücksichtigten weitergehenden Anforderungen der Kommunikationsgrundrechte folgenden – “Datenschutzprobleme” nicht primär mit Bußgeldverfahren. Ebensowenig werden die hiervon betroffenen Bürger(innen), erst recht nicht die Wirtschaft, aufgrund dieser Form der Überzeugungsbildung dem Datenschutz künftig mit weniger Vorbehalten begegnen.

Mit anderen Worten: Nicht Bußgeldbescheide werden immer wichtiger, sondern praxistaugliche (gesetzgeberische, nicht irgend so eine “Zwei-Klick-Workaround-Krücke”!)  Lösungen für Probleme, die man mit den Verbotsnormen des geltenden Datenschutzrechts nicht sachangemessen behandeln kann!

Aber ich bin ja auch keine Datenschutzbehörde…

Einer davon bezieht sich auf die Unterscheidung zwischen “nach geltender Rechtslage” (“de lege lata”) und der erst noch “zu schaffenden Rechtslage” (“de lege ferenda”).

Und wenn ich mir den gestrigen Beschluß (vom 08.12.2011) der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (sog. “Düsseldorfer Kreis”) durchlese, drängt sich mir die Frage auf, ob man dort (ebenso wie beim beim ULD) von dem o.g. Unterschied noch nie gehört hat oder ihn – frei nach dem Motto: “Weil nicht sein kann, was nicht sein darf” oder umgekehrt – einfach ignoriert.

In dem Beschluß heißt es u.a.:

In Deutschland ansässige Unternehmen, die durch das Einbinden von Social Plugins eines Netzwerkes auf sich aufmerksam machen wollen oder sich mit Fanpages in einem Netzwerk präsentieren, haben eine eigene Verantwortung hinsichtlich der Daten von Nutzerinnen und Nutzern ihres Angebots. [...]. Anbieter deutscher Websites, die in der Regel keine Erkenntnisse über die Datenverarbeitungsvorgänge haben können, die beispielsweise durch Social Plugins ausgelöst werden, sind regelmäßig nicht in der Lage, die für eine informierte Zustimmung ihrer Nutzerinnen und Nutzer notwendige Transparenz zu schaffen. Sie laufen Gefahr, selbst Rechtsverstöße zu begehen, wenn der Anbieter eines sozialen Netzwerkes Daten ihrer Nutzerinnen und Nutzer mittels Social Plugin erhebt. Wenn sie die über ein Plugin mögliche Datenverarbeitung nicht überblicken, dürfen sie daher solche Plugins nicht ohne weiteres in das eigene Angebot einbinden.

Besagen will die harmlos verallgemeinernd gewählte Formulierung im ersten Satz in der Sache, dass man eine datenschutzrechtliche Verantwortlichkeit i.S.d. BDSG / LDSG der besagten “Stellen” für Social Plugins und Fanseiten von/bei Facebook durch die Verwender sieht.

Bekanntermassen vertritt auch das ULD diese Auffassung. Ohne sie allerdings überzeugend zu begründen. Der “Düsseldorfer Kreis” begründet sie überhaupt nicht. Es wäre auch schwierig. Denn wie schon wiederholt von mir – ausführlich etwa hier oder hier – und auch von anderer Seite aufgezeigt, findet sie de lege lata keine Stütze:

Das Datenschutzrecht kennt keine verschuldensunabhängige eigene Haftung für Verstöße Dritter, keine bloße “Störerhaftung”. Haftungsadressat ist (nur) die “verantwortliche Stelle” gem. § 3 Abs. 7 BDSG. Dies wiederum ist – auch nach Lesart des ULD (siehe Arbeitspapier vom 19.08.2011, S. 15/16)

die Stelle, die „personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt“, bzw. nach Art. 2 Buchst. d) S. 1 EU-DSRL die Stelle, „die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“.

Der Webseitenbetreiber, der einen „Gefällt mir“-Button in sein Angebot integriert, erhebt allerdings weder selbst Daten, noch erfolgt die etwaige Übermittlung von Daten des Nutzers, die dieser durch den Button-Aufruf eventuell an Facebook übermittelt, in irgendeiner (gar von ihm beeinflussbaren) Form über ihn oder seine Internetpräsenz. Entsprechend und erst recht gilt das für den Anbieter einer Fanpage.

Auch das Konstrukt der Auftragsdatenverabeitung gem. § 11 BDSG scheidet vor diesem Hintergrund offensichtlich aus.

Natürlich ist die Aussage

“Sie laufen Gefahr, selbst Rechtsverstöße zu begehen, wenn der Anbieter eines sozialen Netzwerkes Daten ihrer Nutzerinnen und Nutzer mittels Social Plugin erhebt.”

nicht gänzlich falsch. Es kommen u.a. ja auch Verantwortlichkeiten aus anderen Rechtsgebieten, wie z.B. dem Wettbewerbsrecht in Betracht. Und hier existiert das Institut der Störerhaftung.

Wenn nun aber die behauptete datenschutzrechtliche Verantwortlichkeit der Facebook-Nutzer seitens der Datenschützer – und in der Folge auch deren Verbot zur Nutzung deartiger Features – gerade auf den Umstand gestützt wird, dass diese “die über ein Plugin mögliche Datenverarbeitung nicht überblicken”, mag das in der Sache verständlich und mit Blick auf die Regelungen in anderen Lebens-/Wirtschaftssachverhalten nachvollziehbar oder gar notwendig sein.

Es widerspricht jedoch der o.a. gesetzlichen Regelung und wäre allenfalls ein Fall für eine Neuregelung – also für eine Rechtslage de lege ferenda. Allein ein rechtschaffen empörtes “Es kann doch nicht sein, daß…!” wird da gerichtsfest sicher nicht genügen.

Kollege Stadler weist noch auf einen anderen interessanten Aspekt hin:

“Die Haltung des Düsseldorfer Kreises wirft letztlich die Frage auf, ob diese Verantwortlichkeit nicht jeden Inhaber eines Facebookprofils treffen müsste, nachdem bereits der Betrieb einer Facebook-Fanseite ausreichend für die Begründung einer datenschutzrechtlichen Verantwortung sein soll. Die einzige Einschränkung die die Datenschutzbehörden machen, ist nur noch die Stellung als Unternehmen. Aber auch das ist letztlich inkonsequent, denn das BDSG ist nur dann nicht anwendbar, wenn die Datenverarbeitung ausschließlich zu persönlichen oder familiären Zwecken erfolgt. Das kann man – wenn man der Logik des Düsseldorfer Kreises folgt –  aber für die Mitwirkung an einer Datenverarbeitung, die für unternehmerische Zwecke von Facebook erfolgt, ganz bestimmt nicht annehmen.

Die Haltung des Düsseldorfer Kreises ist deshalb, wie so häufig, inkonsequent. Konsequent zu Ende gedacht, hätte man nämlich formulieren müssen, dass ein Facebookprofil generell nicht mit deutschem Datenschutzrecht vereinbar ist. Denn man wirkt damit an der unzulässigen Datenverarbeitung von Facebook mit. Was für Fanpages von Facebook gilt, muss letztlich auch für jeden beliebigen Account gelten. Die sich aufdrängende Schlussfolgerung, dass 20 Millionen deutsche Facebooknutzer sich nicht datenschutzkonform verhalten, wollte der Düsseldorfer Kreis dann aber offenbar doch nicht ziehen, zumal auch Menschen wie der Bundesdatenschutzbeauftragte Facebookprofile haben.”

Sowohl in der Timeline der Facebook-Fanpage “Jan Delay” als auch in der der “Jan Delay – offizielle Google+ Fanpage” ist aktuell Folgendes zu lesen:

“mal n paar harte zahlen und fakten: im letzten jahr hat es 800.000 (!) abmahnungsverfahren wg. illegalen downloads gegeben. heißt: windige anwälte beschäftigen billiglöhner, die den ganzen tag nix anderes tun als ip-adressen von illegalen saugern aufzuschreiben um diese mit einem bußgeldbescheid von durchschnittlich 1500 euro abzumahnen und mit Gerichtsverfahren zu drohen falls nicht gezahlt wird. heraus kommt das stolze sümmchen von 1,2 Milliarden (!!), welches unter den anwälten und den plattenfirmen gesplittet wird. die künstler sehen davon nix! das sind alles miese schweine!! saugt bitte alle ruhig weiter, und lasst euch nicht erwischen! kein peer 2 peer!! und wenn es Künstler gibt, die ihr schätzt und die sich den arsch aufreißen um gute platten zu machen: bitte supported sie!!”

Ich kommentiere das mal ganz bewußt nicht. Um denjenigen, die lesen UND denken können, nicht ihr wohlverdientes Erfolgserlebnis zu nehmen…!

Die Entscheidung ist noch nicht veröffentlicht, zu den Inhalten des Urteils ist der Pressemitteilung des Gerichts soviel zu entnehmen:

Die Klägerin betreibt unter der Bezeichnung “Basler Haar-Kosmetik” unter anderem im Internet einen Versandhandel für Haarkosmetikprodukte und Friseurbedarf. Sie fühlt sich durch eine unter dem Domainnamen www.baslerhaarkosmetik.de registrierte Internetseite in ihrem Namensrecht verletzt. Der Domainname ist von einer in Großbritannien ansässigen Gesellschaft bei der DENIC, der Genossenschaft, die die Domainnamen mit dem Top-Level-Domain “.de” vergibt, angemeldet worden. Als administrativer Ansprechpartner (sogenannter Admin-C) für den Domainnamen war der Beklagte registriert.

Die Klägerin wandte sich mit einem Schreiben ihres Rechtsanwalts an den Beklagten und forderte diesen zur Löschung des Domainnamens auf. Der Domainname wurde daraufhin gelöscht. Im vorliegenden Rechtsstreit verlangt die Klägerin von dem Beklagten Erstattung der ihr durch die Abmahnung entstandenen Rechtsanwaltskosten.

Das Landgericht Stuttgart hat den Beklagten antragsgemäß zur Zahlung verurteilt, das Oberlandesgericht Stuttgart hat das landgerichtliche Urteil auf die Berufung des Beklagten abgeändert und die Klage abgewiesen.

Ein Anspruch auf Erstattung der Abmahnkosten hängt davon ab, ob der Klägerin im Zeitpunkt der Abmahnung ein Anspruch auf Löschung des Domainnamens nicht nur gegen den Domaininhaber, sondern auch gegen den Beklagten als Admin-C zustand.

Das Oberlandesgericht hatte diese Frage verneint. Diese Entscheidung hat der Bundesgerichtshof aufgehoben und die Sache zur neuen Verhandlung und Entscheidung an das Berufungsgericht zurückverwiesen.

Ein Anspruch gegenüber dem Admin-C kann sich aus dem Gesichtspunkt der Störerhaftung ergeben.

Die dafür erforderliche Verletzung zumutbarer Prüfungspflichten ergibt sich allerdings noch nicht aus der Stellung des Beklagten als Admin-C an sich. Denn dessen Funktions- und Aufgabenbereich bestimmt sich allein nach dem zwischen der DENIC und dem Domaininhaber abgeschlossenen Domainvertrag, wonach sich der Aufgabenbereich des Admin-C auf die Erleichterung der administrativen Durchführung des Domainvertrages beschränkt.

Unter bestimmten Umständen kann den Admin-C aber – so der Bundesgerichtshof – eine besondere Prüfungspflicht hinsichtlich des Domainnamens treffen, dessen Registrierung er durch seine Bereitschaft, als Admin-C zu wirken, ermöglicht.

Im Streitfall hatte sich der Beklagte gegenüber der in Großbritannien ansässigen Inhaberin des Domainnamens generell bereit erklärt, für alle von ihr registrierten Domainnamen als Admin-C zur Verfügung zu stehen.

Ferner hatte die Klägerin vorgetragen, dass die britische Gesellschaft in einem automatisierten Verfahren freiwerdende Domainnamen ermittelt und automatisch registrieren lässt, so dass auf der Ebene des Anmelders und Inhabers des Domainnamens keinerlei Prüfung stattfindet, ob die angemeldeten Domainnamen Rechte Dritter verletzen könnten.

Bei dieser Verfahrensweise besteht im Hinblick darauf, dass auch bei der DENIC eine solche Prüfung nicht stattfindet, eine erhöhte Gefahr, dass für den Domaininhaber rechtsverletzende Domainnamen registriert werden.

Unter diesen Voraussetzungen hat der Bundesgerichtshof eine Pflicht des Admin-C bejaht, von sich aus zu überprüfen, ob die automatisiert registrierten Domainnamen Rechte Dritter verletzen.

Der Bundesgerichtshof hat die Sache an das Oberlandesgericht zurückverwiesen, das nun noch klären muss, ob die von der Klägerin vorgetragenen besonderen Umstände vorliegen und der Beklagte davon Kenntnis hatte oder haben musste. 

Beteiligt sind mehrere Einrichtungen bzw. Stellen, zwischen denen die Arbeitsverhältnisse und Verantwortlichkeiten unklar geregelt sind; aussagekräftige Dokumente konnten nicht vorgelegt werden, Qualitätskontrollen fanden beim IT-Einsatz nicht statt. Eingesetzt wurde eine spezielle Software, deren Sicherheit anscheinend nie ernsthaft hinterfragt wurde.

Es ist nicht auszuschließen, dass die zutage getretene Datenlücke schon seit Jahren bestand. Keine der auf Unternehmensseite an der Prüfung beteiligten Personen hatte einen Überblick über die erfolgte Verarbeitung der Daten der psychisch Kranken.

Die vorläufige Bestandsaufnahme ergab, dass fast alle Anforderungen an ein funktionsfähiges Datenschutzmanagement nicht beachtet wurden.

Thilo Weichert, Leiter des ULD: „Aktuell besteht, soweit für uns ersichtlich, keine weitere Gefahr mehr. Der Server mit den sensiblen Daten ist abgeschaltet. Dies hat kurzfristig zur Folge, dass die dokumentierten Daten auch für den Wirkbetrieb nicht verfügbar sind. Die Unternehmen wurden verpflichtet, innerhalb einer kurzen Frist eine Vielzahl von Dokumenten vorzulegen, die Auskunft über die bestehenden Strukturen geben.

Wir haben es hier mit einem undurchsichtigen Unternehmensgeflecht zu tun, in dem naturwüchsig und handgestrickt Lösungen erarbeitet wurden, die insgesamt keine Sicherheiten gewährleisten konnten. Die beteiligten Unternehmen müssen jetzt die Hausaufgaben erledigen, die über Jahre hinweg unbearbeitet blieben und voraussichtlich nur mit fremder Hilfe geschafft werden können.

Erst wenn sämtliche geforderten Informationen vorgelegt worden sind, kann eine umfassende Bestandsaufnahme und Bestandssicherung vorgenommen werden. Dies hat vorläufig Vorrang vor möglichen Sanktionen.“

[Quelle: Pressemitteilung des ULD v. 07.11.2011]