Sensible Daten auf mobilen Datenträgern: Datenverlust on the road

Ein BP-Mitarbeiter hat seinen Laptop verloren - und mit ihm die persönlichen Daten von 13.000 Personen. In Deutschland wäre das kein Grund für unmittelbare Sanktionen.

Mobile Datenträger können zum Verhängnis werden: Ein libanesischer Polizist zeigt USB-Sticks vermeintlicher israelischer Agenten. Bild: ap

BERLIN taz | Und wieder einmal sind sensible Daten womöglich in die falschen Hände geraten - weil der Datenträger, auf dem sie gespeichert waren, abhanden gekommen ist. Wie am Dienstag bekannt wurde, hat ein Mitarbeiter des Energiekonzerns BP während einer Geschäftsreise seinen Laptop verloren, auf dem die persönlichen Daten von 13.000 Personen gespeichert waren: Namen, Adressen, Telefonnummern, Geburtsdaten und Sozialversicherungsnummern.

Der Laptop sei zwar Passwort-geschützt, jedoch seien die Daten nicht verschlüsselt, so ein BP-Sprecher. Der Verlust wurde den Strafverfolgungsbehörden und der Sicherheitsabteilung von BP gemeldet.

Die Personen, von denen die Daten stammen, hatten in Zusammenhang mit der Ölkatastrophe im Golf von Mexiko Schadensersatzforderungen an den Konzern gestellt. Im April letzten Jahres ereignete sich vor der Küste Louisianas eine Explosion auf der Bohrplattform Deepwater Horizon, durch die 11 Arbeiter getötet wurden und in deren Folge etwa 700 Millionen Liter Öl ins Meer flossen. 85 Tage wurden benötigt, um das Leck zu stopfen.

Wann oder wo der Laptop mit den Daten abhanden gekommen ist und welcher Mitarbeiter involviert war, gab BP mit Verweis auf laufende Ermittlungen nicht preis. Ein BP-Sprecher sagte stattdessen: "Es gibt keinen Beweis, dass auf den Laptop oder die Daten abgezielt wurde, dass auf die persönlichen Daten von irgendjemand zugegriffen wurde oder dass sie gefährdet wurden." BP habe die betroffenen Personen schriftlich über den Verlust ihrer Daten in Kenntnis gesetzt.

Besonders oft gehen Datenträger in Großbritannien verloren

Dies ist bei weitem nicht der erste Fall dieser Art. Bereits im Mai 2007 verlor ein US-amerikanisches Unternehmen, das im Auftrag der britischen Behörde Driver and Licensing Agency arbeitete, eine Festplatte mit Namen, Post- und E-Mailadressen sowie Telefonnummern von rund drei Millionen britischen Fahrschülern. Besonders in deren Heimatland ereigneten sich in den letzten Jahren eine Reihe ähnlicher Vorfälle.

Im Juli 2007 ging eine Festplatte mit den persönlichen Daten von etwa 5.000 Gefängnisbeamten und Verwaltungsangestellten der Justizbehörden verloren, im Oktober desselben Jahres verlor die Behörde H&M Revenue Customs zwei CDs mit sensiblen Daten von über 25 Millionen Briten, die aus Kindergeld beziehenden Familien stammten.

Im Januar des folgenden Jahres kam einem Jungoffizier der Royal Navy sein Laptop mit den Daten von 600.000 Rekruten und Militärdienst-Interessenten abhanden, im November 2008 verlor der Mitarbeiter einer Computerfirma seinen USB-Stick, auf dem Zugangsdaten und Quellcode für ein Computersystem der Regierung gespeichert waren. Der jüngste Fall in Großbritannien ereignete sich erst im Januar 2011, als ein Arzt die Namen, Geburtsdaten und Behandlungs-Informationen von über 1.100 Patienten gemeinsam mit seinem Laptop verlor - die Daten waren unverschlüsselt.

Deutsche Vorschriften sind "etwas zu unternehmensfreundlich"

"Eine britische Spezialität" sei das allerdings nicht, sagt der Berliner Landesdatenschutzbeauftragte Alexander Dix. Solche Vorfälle seien selbstverständlich auch in Deutschland gut vorstellbar - mit einem Unterschied: Hierzulande gilt für Unternehmen im Fall eines Verlustes von sensiblen Daten eine gesetzliche Meldepflicht gegenüber Behörden und Betroffenen. Auch in den USA, wo die BP-Daten verloren gingen, bestehen solche Vorschriften in Form der "security breach notification laws". In Großbritannien hingegen gelangten die Vorfälle mehr oder weniger zufällig an die Öffentlichkeit.

Nur aufgrund des gemeldeten Umstandes dürften die Behörden jedoch keine Sanktionen verhängen, so Dix. "Eine etwas zu unternehmensfreundliche Regelung." Wenn die Behörden aber Untersuchungen anstellten, in deren Verlauf Mängel im Umgang mit Daten oder Datenträgern deutlich werden - beispielsweise ein Verstoß gegen das älteste Gebot des deutschen Datenschutzes, die Verschlüsselung -, "kann das zu Sanktionen führen", erklärt Dix.

Ein erhöhtes Risiko sieht er vor allem in der zunehmenden "Miniaturisierung" von Datenträgern. Aber auch "kein Laptop sollte das Unternehmen verlassen, wenn die auf ihm gespeicherten Daten nicht ausreichend verschlüsselt sind." Allerdings glaubt Dix, dass die Sensibilität für das Thema in den Unternehmen bereits besteht: "Die wollen und können sich keine schlechte PR leisten."

Schlechte PR können sich auch die meisten Behörden nicht leisten. Müssen sie aber auch kaum befürchten: Die Meldepflicht gilt nämlich nicht für sie. Eine bundesweite Ausnahme stellt Berlin dar, wo die Meldepflicht auch auf die Verwaltungsbehörden ausgedehnt wurde. Dix glaubt und hofft zwar, dass das bundesweiter Trend werden könnte - "doch bisher ist das nicht in Sicht".