Datenschützer Schaar: "Telekom hätte informieren müssen"

Herr Schaar, wie bewerten Sie den Diebstahl von 17-Millionen Kundendaten und die Informationspolitik der Telekom?

Wenn solch einem großen Unternehmen fast die Hälfte seiner Kundenstammdaten abhanden kommen, ist das schon ein spektakulärer Vorfall. Das ist nicht im gewöhnlichen Spektrum dessen, was mal schiefgehen kann. Es deutet darauf hin, dass es massive Lücken im Datensicherheitssystem der Telekom gegeben haben muss.

Hätte Telekom-Chef René Obermann nicht sofort die Aufsichtsgremien und die Öffentlichkeit informieren müssen?

Auf jeden Fall hätte er die Betroffenen informieren müssen und die zuständige Datenschutz-Aufsichsbehörde, also meine Dienststelle. Beides ist nicht geschehen. Bei der Information von Betroffenen geht es darum, Schaden zu begrenzen, der daraus entsteht, dass diese Daten unzulässig verwendet werden können bis hin zu kriminellen Taten. In diesem Datenbestand sind ja auch Personen enthalten, die gefährdet sein können. Ein Unternehmen, dass so viele Kundendaten sammelt, muss Betroffene in die Lage versetzen, sich selbst zu schützen.

Warum hat die Telekom nicht informiert?

Man kann da nur spekulieren. Hier scheint es mehr um das Unternehmensinteresse gegangen zu sein. Das war sehr kurzsichtig. Die Begründung, man habe die staatsanwaltschaftlichen Ermittlungen nicht gefährden und Täter nicht vorzeitig warnen wollen, kann allenfalls für die ersten Tage oder Wochen plausibel erscheinen. Es ist aber auch danach nichts geschehen.

Ein Mainzer Erotik-Unternehmer besitzt bis heute die komplette Datenbank mit 17 Millionen Kundeneinträgen.

Das ist in der Tat ein sehr merkwürdiger Vorgang. Hier sind Polizei und Staatsanwaltschaft gefragt, denn es geht einerseits um die Aufklärung der Straftat, aber es geht auch um die Gefahrenabwehr. Das ist eindeutig Aufgabe der zuständigen Polizeibehörden hier tätig zu werden und die Daten aus dem Verkehr zu ziehen. Offensichtlich ist der Betroffene ja sogar bereit, die Daten heraus zu geben. Aber wenn niemand kommt, ist das natürlich ein Problem.

Wäre das Problem aus der Welt, wenn der Mann aus Mainz seine Daten löscht oder übergibt?

Nein, denn den Daten sieht man nicht an, ob sie schon kopiert worden sind. Hier wird ganz deutlich, dass Daten anders als physische Gegenstände nicht einfach ortbar sind. Bis nicht die letzte Kopie gefunden wurde, besteht die Gefahr weiter. Man muss davon ausgehen, dass es weitere Kopien gibt, dass sich diese Kopien eventuell im Ausland befinden könnten und über das Internet transferiert und abgerufen werden.

Bekommt die Telekom-Führung die Datensicherheit in den Griff?

Dieser Vorfall macht deutlich, dass Mängel bestanden haben. Meine Mitarbeiter prüfen seit dem ersten Daten-Skandal der Telekom im Frühjahr verstärkt die Schwachstellen und die Sicherheit der Daten. Es gibt ein strukturelles Problem, das sicher nicht nur die Telekom betrifft, dort aber in besonderem Maße zu Tage tritt: Es handelt sich um ein sehr großes Unternehmen mit verschiedenen Sparten und rasanter technologischer Entwicklung. Viele Kundendaten mussten im Zuge der Entwicklung aus unterschiedlichen Welten des Unternehmens zusammengeführt werden. Dabei wurde nicht in jeder Phase ein angemessener Datenschutz gewährleistet.

Können zu viele Mitarbeiter auf Daten zugreifen?

Das ist ein entscheidender Punkt, den ich kritisiere. Bei der Telekom können mehrere Zehntausend Mitarbeiter auf Datenbanken zugreifen und diese auch kopieren. Das wird begründet mit Notwendigkeiten in Call-Centern beispielsweise, aber es stellt sich dennoch die Frage, ob so viele Mitarbeiter bundesweit auf alle möglichen Daten zugreifen müssen. Da ist schon ein sehr weitreichender Zugriff von Mitarbeitern aus T-Punkten, aus der Administration und Wartung etwa. Die Zugriffe müssen auf ein Minimum beschränkt werden. Eine Organisation, die es nötig macht, das Zehntausende Personen auf riesige Datenbestände zugreifen können, ist nicht datenschutzfreundlich. Dann muss man eben die Organisation ändern.

Die Telekom hat sich bei den Kunden entschuldigt. Reicht das?

Nein, der Gesetzgeber sollte Unternehmen dazu verpflichten, im Fall von Daten-Diebstählen sofort die betroffenen Kunden zu informieren, damit sie sich schützen können und auch die zuständige Aufsichtsbehörde in Kenntnis zu setzen. Wir müssen über Gesetze und Aufsichtsstrukturen nachdenken und über Sanktionen.

Interview: Matthias Thieme