Als einen "unglücklichen Vorfall" bezeichnet eine Sprecherin der DBD die Datenschutzpanne, die nur durch einen Zufall ans Licht kam: Über die Web-Seiten des DBD-Angebots DSL on Air ließen sich umfangreiche Informationen über Personen abrufen, die die Freischaltung der DSL-Alternative in beantragt hatten.
Ohne Spezialkenntnisse und nur mit Hilfe eines Browsers war es bis vor wenigen Tagen möglich, via Internet etliche Datensätze mit detaillierten Angaben wie Name, Vorname, Anschrift, E-Mail-Adresse, Geburtsdatum, Telefonnummer, Auftragsart, Vertragslaufzeit, Kennwort und Bankverbindung einzusehen. Wie ein Zeuge gegenüber der COMPUTERWOCHE berichtet, handelte es sich um "über 5000 Datensätze", die frei zugänglich waren. Daneben ließen sich Angaben zu Vertriebspartnern sowie interessierten Kooperationspartnern von DSL on Air abfragen und sogar bearbeiten. Das geht auch aus Screenshots hervor, die der COMPUTERWOCHE vorliegen (siehe Seite 2).
DSL on Air bietet Interessenten via WLAN und Wimax einen schnellen Web-Zugang an und versteht sich als Alternative zu kabelgebundenen DSL-Diensten. Das Unternehmen ist vor allem dort erfolgreich, wo breitbandige DSL-Anschlüsse nicht verfügbar sind.
Zu der Panne kam es nach Angaben des Unternehmens im Zuge der Umstellung des Auftrags-Managements und der Einführung einer Datenbankarchitektur "mit Verschlüsselung und erhöhten Sicherheitsmerkmalen". Dabei habe man es aber "leider versäumt, die Vorgängerversion der temporären Interessenten-Datenbank zu entfernen". So sei es möglich gewesen, dass Vertriebspartner Auftragsdaten noch in das alte System geschrieben hätten.
Diese Schluderei steht in krassem Widerspruch zur Datenschutzerklärung des Unternehmens, wo Kunden lesen können: "Zum Qualitätsgedanken von DBD Deutsche Breitband Dienste GmbH gehört es, verantwortungsbewusst mit Ihren Daten umzugehen." Dort verspricht der Breitbandanbieter auch, "Daten vertraulich sowie entsprechend den Bestimmungen des Datenschutzrechts" zu behandeln. Doch dessen Bestimmungen wurden hier sträflich missachtet. Im Datenschutzgesetz heißt es etwa, dass ein Unternehmen, das personenbezogene Daten "unter Einsatz von Datenverarbeitungsanlagen" erhebt, verarbeitet oder nutzt, diese entsprechend schützen muss. Das kann zum Beispiel geschehen, indem die Informationen verschlüsselt werden. Das war bei DSL on Air nicht der Fall. Hartmut Pohl, Professor am Institut für Informationssicherheit (Isit) der Fachhochschule Bonn-Rhein-Sieg, sieht daher in dem Vorfall einen "klaren Verstoß gegen das Datenschutzgesetz".
DBD versucht indes, die Bedeutung der Panne herunterzuspielen: Es habe sich um "keine aktive Kundendatenbank" gehandelt, sondern um eine "Interessentendatenbank potenzieller DSL-on-Air-Kunden", die seit Ende Januar 2006 "nicht mehr operativ" sei. Sie habe lediglich Informationen enthalten, die Interessenten für die Dienste in ein "Anmeldeformular" eingeben konnten. Dem widerspricht jedoch, dass die der COMPTERWOCHE vorliegenden Datensätze nicht nur Auftragsnummern und das Auftragsdatum enthalten, sondern auch Angaben zum gewünschten Dienst und dem Händler, über den die Schaltung erfolgt.
Laut DBD wurden die Vertriebspartner Ende Januar aufgefordert, "den alten Link zur Interessentenanmeldung nicht mehr zu benutzen". Der Anbieter räumt jedoch "irrtümlich eingegebene Einzelfälle" ein, die aber "auf keinen Fall zu einer automatisierten Weiterverarbeitung" geführt hätten. Daher bezeichnet eine DBD-Sprecherin die Auswirkungen des Vorfalls als "unkritisch". Außerdem verteidigt sich das Unternehmen damit, es habe sich bei den betroffenen Personen noch nicht um echte Kunden gehandelt: Dazu würden sie erst mit dem Anschluss eines Endgerätes für den DSL-on-Air-Betrieb. Das dürfte im Sinne des Datenschutzgesetzes jedoch keine Rolle spielen.
Der Missstand war von einer Privatperson zufällig entdeckt worden, die über einen Link in einem Forum auf die Web-Seite von DSL on Air kam. Durch einfaches Löschen eines Dateinamens innerhalb der in der Adressleiste des Browsers angezeigten URL landete er in einem Verzeichnis, von wo aus dann auch der Zugriff auf die kritischen Daten möglich war.
Eine betroffene Person, deren Daten einsehbar waren, reagierte gegenüber der COMPUTERWOCHE schockiert und äußerst verärgert. Inzwischen hat das Unternehmen sich immerhin dazu entschlossen, die Datenbanken abzugleichen und "eine Kundeninformation zu versenden". Rechtliche Schritte erwartet der Breitband-Provider eigenen Angaben zufolge jedoch nicht.
Gesetze greifen nicht
Von öffentlicher Seite scheinen DSL on Air tatsächlich keine Konsequenzen zu drohen. Zwar bezeichnete es eine Sprecherin des Bundesbeauftragten für den Datenschutz als "nicht in Ordnung", dass die Personendaten einsehbar waren. Es handele sich hierbei allerdings "nicht um eine Ordnungswidrigkeit", da der Paragraf 149 des Telekommunikationsgesetzes (TKG) in diesem Fall nicht greife. Dieser regelt Verstöße gegen das TKG.
Obwohl der Paragraf 109 des TKG jeden Diensteanbieter verpflichtet, "angemessene technische Vorkehrungen oder sonstige Maßnahmen zum Schutze des Fernmeldegeheimnisses und personenbezogener Daten und der Telekommunikations- und Datenverarbeitungssysteme gegen unerlaubte Zugriffe zu treffen", wird ein Zuwiderhandeln nicht bestraft. Lediglich das Versäumnis, "ein Sicherheitskonzept nicht oder nicht rechtzeitig vorzulegen", gilt gemäß Paragraf 149 als ordnungswidrig.
Für etwaige Betroffene haben die Datenschützer nur einen schwachen Trost: Falls ein Schaden entstanden sein sollte, könne man diesen gegebenenfalls zivilrechtlich verfolgen lassen. (ave)