Datenschutzbeauftragter über Datenklau: „Bis heute fehlt uns Personal“

taz: Herr Caspar, erneut macht ein Datenklau Schlagzeilen und die Behörden sind planlos. Was erwarten Sie von Bundesinnenminister Horst Seehofer?

Johannes Caspar: Es muss für derartige Fälle ein Masterplan für Notfälle greifen. Dazu gehört die frühe Information der zentralen öffentlichen Stellen und der Grundsatz der Sicherung der Daten als oberste Priorität. Die Aufsichtsbehörden für den Datenschutz haben die rechtlichen Instrumente, um den Schutz der Rechte und Freiheiten Betroffener gerade auch bei großen Plattformen wirksam durchzusetzen.

Offenbar wussten weder Minister Seehofer noch das Bundesamt für Sicherheit in der Informationstechnik noch andere Behörden von der Veröffentlichung persönlicher Informationen von rund 1.000 Personen über Twitter.

Ich finde es irritierend, wenn die national zuständige Datenschutzbehörde, deren Aufgabe es ist, die Betroffenen zu schützen, von derartig massiven Vorgängen erst aus den Medien erfährt. Im Übrigen ist nicht verständlich, dass gewartet wird, bis ein derartiger Vorfall öffentlich wird und jeder Interessierte frei auf die ungeschützten Daten der Betroffenen zugreifen und diese herunterladen kann. Prävention geht anders.

Die öffentlichen Stellen haben eine grundrechtliche Schutzpflicht gegenüber der Privatsphäre und den Rechten und Freiheiten der Betroffenen. Dazu gehört es, die erforderlichen Maßnahmen zum Schutz der Privatsphäre prioritär im Rahmen eines Reaktionsszenarios zu berücksichtigen.

Und Twitter? Die Onlineplattform hat die Veröffentlichung offenbar auch nicht ernst genommen.

Twitter muss – wie jedes andere soziale Netzwerk grundsätzlich auch – gerade für derartige Fälle, in denen die Plattform für die massenhafte rechtswidrige Verbreitung von personenbezogenen Daten missbraucht wird, eine Notfall-Hotline einrichten. Diese muss von jeder Aufsichtsbehörde eines EU-Mitgliedsstaats aus 24 Stunden an sieben Tagen in der Woche erreichbar sein und auf Anfragen von Aufsichtsbehörden in Eilfällen umgehend reagieren. Dass wir im nationalen Bereich nicht einmal Telefonnummern von einem Dienst wie Twitter bekommen, die für einen schnellen First-Support-Kontakt unabdingbar sind, ist nicht vertretbar.

Warum funktioniert das bisher nicht?

Offenbar ist man dort der Meinung, dass die nationalen Behörden spätestens seit Geltung der europäischen Datenschutzgrundverordnung (EU-DSGVO) völlig außen vor sind. Der Weg über die federführende Datenschutzbehörde, im vorliegenden Fall die irische, ist im Eilfall viel zu schwerfällig. Die Bürokratie der Verfahren darf sich nicht als zentrales Hemmnis für einen effektiven Schutz von Betroffenen in Europa auswirken.

Für IT-Sicherheit fehlt Geld und Personal, sagen etliche Digitalexperten. Teilen Sie diese Haltung?

In der Tat ist seit Jahren festzustellen, dass Datenschutz und Datensicherheit gerade bei öffentlichen Stellen oft nur unter dem Aspekt der Wirtschaftlichkeit betrachtet werden. Dass derartige Leaks und Hacks mit ganz anderen Kosten für Demokratie, Privatsphäre und dem Vertrauen in staatliche Einrichtungen wie auch die Integrität der digitalen Kommunikation verbunden sind, wird leider ausgeblendet. Vielleicht führt ja dieser Fall zu einem Umdenken.

Bis es so weit ist: Wie kann sich jeder und jede Einzelne besser vor Datenklau schützen?

Von der Vergabe komplexer Passwörter über die Nutzung sicherer WLANs bis hin zu Maßnahmen zum Schutz vor Schadsoftware gibt es zahlreiche Möglichkeiten. Aber es bestehen offenbar erhebliche Defizite bei vielen Nutzern. Das Thema Datenschutzkompetenz-förderung muss endlich ernst genommen werden. Bis heute fehlt beispielsweise in meiner Behörde hierfür das Personal. Früher haben wir immerhin versucht, das Thema, wie man sich gegen Datenmissbrauch schützen kann, in die Schulen zu bringen. Das tun wir heute nicht mehr, weil die Kolleginnen und Kollegen, die alle keine Pädagogen sind, dafür schlicht keine Kapazitäten mehr haben.