Interview : "Der Telekom fehlt der Überblick"

Bundesdatenschutzbeauftragter Peter Schaar kritisiert das Datenmanagement des Konzerns. Zu viele Hände hätten Zugriff auf die privaten Kundendaten.

Verbraucherschützer zu Datenschutz
Bundesdatenschutzbeauftragte Peter Schaar (Bündnis90/Die Grünen)Foto: dpa

Herr Schaar, bei der Telekom häufen sich die Datenpannen. Haben Sie eine Erklärung dafür?

Die Telekom ist ein großes Unternehmen mit vielfältigen Datenbeständen. Neben Festnetz, Mobilfunk und Internet gibt es diverse weitere Dienste, die gesondert abgerechnet werden. Alle diese Systeme arbeiten mit Kundendaten, Verkehrs- und Nutzungsdaten. Ich frage mich manchmal, ob es im Konzern überhaupt jemanden gibt, der einen Überblick über alle diese Systeme hat.

Und, gibt es den?

Im Rahmen aufwändiger Prüfungen versuchen wir gerade, uns selbst einen solchen Überblick zu verschaffen. Wir müssen da teilweise bei null anfangen.

Das klingt bedenklich.

Seit den ersten Vorfällen bei der Telekom im Frühjahr haben wir die Prüfungen intensiviert, indem wir aus anderen Bereichen Mitarbeiter abgezogen haben. Ein Zwischenergebnis ist, dass es dieses sehr komplexe System von unterschiedlichsten Stellen innerhalb des Unternehmens gibt, die personenbezogene Daten verarbeiten – und dass der Telekom der Überblick fehlt.

Liegt das in der Natur der Sache, oder ist es ein Versäumnis der Telekom?

Dass es sich um komplexe Systeme handelt, kann natürlich keine Entschuldigung sein. Es muss immer klar sein, wer welche Daten wo im Unternehmen speichert. Das ist eine Verpflichtung, die das Gesetz den Unternehmen auferlegt. Ansonsten kann man ja gar kein konsistentes Sicherungssystem aufbauen, beim besten Willen nicht.

Welche Konsequenzen hat es für die Telekom, dass ihr der Durchblick fehlt?

Wir zeigen die Schwachstellen auf und wir fordern, dass sie sich den Überblick verschafft. Schon dadurch dass wir prüfen, scheint sich ja einiges zu tun. Leider passiert das erst, nachdem Kinder in den Brunnen gefallen sind. Und offensichtlich sind ja mehr Kinder in den Brunnen gefallen, als man bislang zugegeben hat.

Was sagen Sie zur Informationspolitik der Telekom?

Unter guter Unternehmensführung verstehe ich etwas anderes. Ein Unternehmen sollte verantwortungsbewusst mit seinen Kenntnissen umgehen. Das bedeutet auch, dass es selbstverständlich gewesen wäre, dass die Telekom – unabhängig von gesetzlichen Verpflichtungen – die betroffenen Kunden und die Aufsichtsbehörden informiert. Beides ist nicht geschehen. Für mich war das ziemlich überraschend, vor allem vor dem Hintergrund, dass die Telekom offenbar seit Jahren davon weiß, dass ihr die Daten von 17 Millionen Kunden gestohlen wurden.

Was muss die Telekom ändern?

Klar ist, dass die Telekom mehr für Prävention tun muss. Das gilt im Prinzip auch für alle anderen Unternehmen. Ich kann nicht die Hand dafür ins Feuer legen, dass die Mitbewerber mit den Daten besser umgehen. Die Funktion des Datenschutzbeauftragten in den Unternehmen ist keine Pro-forma-Funktion. Sie muss auch eingeschaltet werden.

Welche Sanktionsmöglichkeiten gibt es, wenn das nicht geschieht?

Das prüfen wir gerade. Klar ist, dass Verstöße gegen das Fernmeldegeheimnis als Straftaten geahndet werden. Verstöße gegen sonstige Datenschutzbestimmungen sind möglicherweise bußgeldbewehrt oder sogar auch Straftaten. Das muss man sehen. Wer Daten gestohlen und zum Verkauf angeboten hat, hat sich mit Sicherheit strafbar gemacht. Darüber hinaus haben die Aufsichtsbehörden die Möglichkeit, gegebenenfalls die Datenverarbeitung zu untersagen. Das bedeutet das Aus für ein Unternehmen. Natürlich ist das der letzte Schritt, der wohl überlegt sein will. So weit sind wir noch nicht. Ich gehe davon aus, dass die Telekom alle Hebel in Bewegung setzt, um den Datenschutzstandard hochzufahren. Offensichtlich ist das bisher noch nicht in ausreichendem Maße geschehen.

Das verwundert immer mehr Kunden. Nicht nur der Bund Deutscher Kriminalbeamter fordert daher sogar den Rücktritt von Telekom-Chef René Obermann.

Es ist nicht meine Aufgabe, den Rücktritt von irgendjemandem zu fordern. Aber eines ist völlig klar: Letztlich kommt es auf die Unternehmenskultur an und darauf, dass Verantwortung übernommen wird. Es handelt sich hier um einen eklatanten Mangel im Datenschutzmanagement, für das die Unternehmensleitung die Verantwortung trägt. Dass ein Verstoß geschehen kann, ist schlimm genug, aber letztlich nie völlig auszuschließen. Schlimmer ist der Versuch, Verstöße unter den Teppich zu kehren, wenn sie herauskommen. Ich denke, es ist Sache des Aufsichtsrates, diese Vorgänge genau zu prüfen.

Sind Sie bei Ihren eigenen Prüfungen bei der Telekom auch auf Unregelmäßigkeiten gestoßen?

Wir sind dabei, Schwachstellen aufzuarbeiten – und in der Tat, wir haben Schwachstellen festgestellt.

Welche Schwachstellen haben Ihre Prüfer denn entdeckt?

Details kann ich nicht nennen. Aber ganz allgemein haben wir festgestellt, dass sehr viele Mitarbeiter der Telekom – teilweise auch Externe – Zugriff auf personenbezogene Daten haben. Es sind Tausende. Sie wären überrascht zu hören, wie viele Personen gerade im Bereich der technischen Administration auf ganze Datenbestände insoweit zugreifen können, dass sie sie auch kopieren könnten. Außerdem ist die Protokollierung der Zugriffe deutlich verbesserungsfähig. Es gibt Bereiche, wo die Protokollierung nicht dem Standard entspricht, den man bei einem so großen Unternehmen und bei so sensiblen Daten annehmen müsste.

Das Gespräch führte Corinna Visser.

0 Kommentare

Neuester Kommentar
      Kommentar schreiben