Das Jahr 2008 ist kein Ruhmesblatt in der Geschichte der Informations-Technologie. Nie zuvor ereigneten sich so viele spektakuläre und gravierende Fälle von Datenmissbrauch. Das Spektrum reicht vom Programmierfehler über Schlamperei bis zum Straftatbestand des Datendiebstahls. Der Sicherheitsanbieter Utimaco hat eine Liste mit den zwölf größten Datenpannen seit Mai 2008 zusammengestellt.
Telefondaten ausspioniert
1. Spionage bei Deutscher Telekom
Die Deutsche Telekom hat über einen längeren Zeitraum heimlich Telefon-Verbindungsdaten ihrer Manager ausspioniert. Dazu hat im Auftrag der Deutschen Telekom eine Beratungsfirma aus Berlin Verbindungsdaten der Manager ausgewertet und mit den Telefonnummern von Journalisten abgeglichen.
2. Sensible Daten im Internet
Aufgrund eines Programmfehlers in einer Software für Kommunalverwaltung konnten sensible Daten von rund 500.000 Einwohnern aus 200 Kommunen über Jahre hinweg im Internet eingesehen werden.
3. Süddeutsche Klassenlotterie
In Schleswig-Holstein taucht eine CD auf, die Adressen und Kontodaten von 17.000 Kunden der Süddeutschen Klassenlotterie (SLK) enthält.
Illegaler Datenhandel
4. Handel mit personenbezogenen Daten
Acht Unternehmen sollen illegal mit personenbezogenen Daten aus den kommunalen Melderegistern in Schleswig-Holstein gehandelt haben. Eines dieser Unternehmen besitzt angeblich eine Datenbank mit 72 Millionen Datensätzen.
5. Vier Millionen Datensätze für 850 Euro
Verbraucherschützer können in Schleswig-Holstein für nur 850 Euro persönliche Daten von sechs Millionen Bundesbürgern kaufen. Davon enthalten vier Millionen Datensätze auch die genauen Kontodaten.
6. DAK gibt Patientendaten weiter
Die Deutsche Angestellten-Krankenkasse (DAK) soll 200.000 Datensätze mit vertraulichen Gesundheitsinformationen von Patienten an die Firma Healthways, einem Anbieter von Behandlungsprogrammen für chronisch Kranke, weitergegeben haben. Das Unternehmen kontaktiert im Auftrag der Kasse chronisch kranke Patienten der DAK. Die Krankenkasse spricht von zulässiger "Datenverarbeitung im Auftrag".
Nackte Tatsachen
7. Beate-Uhse-
Website öffentlich zugänglich
Nutzer der Beate-Uhse-Website stehen informationstechnisch gesehen plötzlich nackt da. Ihre Daten sind öffentlich zugänglich.
8. Kundendaten von Anzeigenblatt im Internet
Ein Programmierfehler führt dazu, dass Kundendaten eines Anzeigenblattes, das zum Medienkonzern Axel Springer gehört, über das Internet eingesehen werden können. Das umfasst auch vertrauliche Daten von Chiffre-Anzeigen in der Rubrik "Heiraten und Bekanntschaften".
9. Bewerberdaten frei zugänglich
Nach Recherchen des ZDF-Wirtschaftsmagazins WISO sind auf einem chinesischen Web-Server rund 56.000 Datensätze frei zugänglich. Diese stammen zum Teil aus einer Bewerberdatenbank der Wirtschaftsprüfungsgesellschaft PriceWaterhouseCoopers.
Kreditkarten-Abrechnungen statt Weihnachtsstollen
10. Kunden-System von T-Mobile gehackt
Redakteure eines Hamburger Nachrichtenmagazins loggen sich problemlos in das Kunden-System von T-Mobile ein. Sie können dort Kundenstammdaten nicht nur lesen, sondern auch ändern. Betroffen sind potenziell 30 Millionen Kundendaten.
11. 17 Millionen Daten bei T-Mobile weg
Die Telekom bestätigt, dass bereits im Jahr 2006 in der Mobilfunk-Sparte T-Mobile 17 Millionen Daten gestohlen worden waren. Die Telekom hatte ihre Kunden über diesen Datenmissbrauch nicht informiert. Nahezu jeder zweite Kunde von T-Mobile ist betroffen.
12. Landesbank Berlin verliert Kreditkartenabrechnungen
Der Landesbank Berlin kommen Kreditkartenabrechnungen mit Name, Adresse und Kontonummer von Zehntausenden Kunden abhanden. Kurierfahrer hatten die in Paketen zusammengefassten Abrechnungen mit einem Paket, das Weihnachtsstollen enthielt, verwechselt.
Kaum Besserung in Sicht
Die Fälle von Datendiebstahl und Datenmissbrauch und Datenverlust zeigen, dass die bisher geltenden gesetzlichen Regelungen völlig unzureichend sind. Die Politik hat zwar ein neues Datenschutzgesetz vorgelegt, das Anfang Juli 2009 in Kraft treten soll, doch das Gesetz ist Stückwerk.
Weitergabe von Kundendaten
So ist beispielsweise im Gesetz eine verpflichtende Verschlüsselung personenbezogener Daten nicht vorgesehen. Um Datenmissbrauch zu verhindern, sollen sich Unternehmen im Rahmen eines Datenschutz-Audits lediglich freiwillig zertifizieren lassen. Zudem soll die Weitergabe von Kundendaten nur noch mit ausdrücklicher Zustimmung der Betroffenen, das so genannte Opt-In-Verfahren, möglich sein. Bei absichtlichem Datenmissbrauch greift diese Vorschrift nicht.