Pflaumensaft

Die Rückkehr der Datenleichen.

Posted in Datenschutz by pflaumensaft on 4. März 2010

Wie der Chaos Computer Club längst tote und begrabene Daten wieder zum Leben erwecken will und auch die Politik die Schaufel auspackt um längst verstorbene Datenleichen wieder auszugraben.  Warum diese Idee das Zeug dazu hat im datenschutzrechtlichen äquivalent zu Tschernobyl zu enden und ein eklatanter Verstoß gegen das Recht auf Informationelle Selbstbestimmung ist:

Seit einigen Wochen geistert die Idee eines Datenbriefs durchs Internet und durch die Presse. Jeder Bürger soll einmal im Jahr von Behörden und Unternehmen informiert werden, welche Daten dort über ihn gespeichert sind.

http://www.ccc.de/datenbrief

Wenn eine Firma, Behörde oder Institution personenbezogene Daten über jemanden erhebt, speichert oder übermittelt, muss der Betroffene regelmäßig über die über ihn gespeicherten Daten informiert werden.

Aus der bisherigen Holschuld – jeder Bürger kann bei Unternehmen Auskunft über die von ihm gespeicherten Daten Verlangen – soll eine Bringschuld der Unternehmen werden: D.h. diese sollen jährlich unaufgefordert den Bürger über die bei ihm gespeicherten Daten informieren. Das scheint auf den ersten Blick eine gute Sache zu sein. Das finden  auch der Innenminister Herr Thomas de Maizière und unsere Justizministerin Frau Leutheusser-Schnarrenberger,  sowie Gerd Billen, Chef des Bundesverbands der Verbraucherzentralen.

Denken wir die Idee des Datenbriefs mal an einem Beispiel konsequent zu Ende:

Herr Peter Müller ist 30 Jahre alt, Lehrer, seit einem Jahr verheiratet und Vater von Zwillingen. Studiert hat er in Münster, vor drei Jahren ist er nach Berlin gezogen, dort hat er seine Frau kennengelernt, nach der Geburt der Zwillinge stand ein erneuter Umzug an. Er kauft viel im Internet ein und schaut Filme im Internet. Seine Frau klagt seit der Geburt der Zwillinge öfter über Kopfschmerzen, deshalb hat Herr Müller vor kurzem sein Kundenkonto bei pornoglotzen24 wieder reaktiviert.

Im April begibt sich Herr Müller mit seinen Schülern auf eine zweiwöchige Studienfahrt nach Paris. Wie immer in seiner Abwesenheit bearbeitet Frau Müller die Post. Warum auch nicht – schließlich hat man ja keine Geheimnisse voreinander. Als Herr Müller von seiner Studienfahrt zurückkommt ist Frau Müller wieder zu Ihrer Mutter gezogen, die Zwillinge hat sie mitgenommen – dafür findet Herr Müller auf dem Küchentisch folgenden Datenbrief:

Absender:

pornoglozen24.de
Musterstr. 12
12345 Pornohausen

Ihr jährlicher Datenbrief

Sehr geehrter Herr Müller,

seit kurzem müssen wir Sie einmal jährlich über die bei uns gespeicherten Daten informieren. Folgende Daten haben wir über Sie zu Abrechnungszwecken bis zum Ende der gesetzlichen Aufbewahrungsfrist von 10 Jahren gespeichert:

23.03.2004 – 20:34 Durchgefickt und abgespritzt.
12.04.2004 – 19:23  Jetzt wird richtig schmutzig.
17.05.2004 – 14:55 Die Fickparade
12.08.2005 – 13:44 Gaylove – Die geilsten Hengste

Mit freundlichen Grüßen,

Ihr Team von pornoglotzen24

Herr Müller ist seit seiner Studienzeit Kunde bei pornoglotzen24. Die gesammelten Masturbationsprotokolle der letzten 10 Jahre auf einmal in den Händen zu halten war wohl zuviel für Frau Müller. Sie reicht die Scheidung ein.

Herr Müller hat sich kaum von seinem Schock erholt da klingelt das Telefon. Am Apparat ist Herr Meier von Computer Meier in Münster – Dort hat Herr Müller während seiner Studienzeit gejobt. Gelegentlich hat er sich dort auch mal Versandhausbestellungen hinschicken lassen:

„Hallo Herr Müller, bei uns sind einige Datenbriefe per EMail für Sie eingetroffen. Wir wußten nicht, daß diese für Sie persönlich sind, deshalb hat unsere Sekretärin sie geöffnet. Ich mail Ihnen die dann mal zu. Im Hintergrund hört Herr Müller lautes Kichern und 5 Minuten später erhält er unter anderem folgendes Email:

Absender: datenbrief@Lackundlederfetischversand.de
an: petermueller@meiercomputerladeninmuenster.de

Betreff: Datenbrief

Hallo Herr Müller,

seit sieben Jahren haben Sie nichts mehr von uns gehört, den Diskretion gehört zu unserem Geschäft. Seit kurzem sind wir aber gesetzlich verpflichtet Sie einmal jährlich über die bei uns gespeicherten Daten zu informieren.  Folgendes haben wir neben Ihrer Anschrift und Ihrer Email Adresse bei uns gespeichert:

Bestellung vom 14.02.2006
1 x Extrem Bondage Set, Bestellnummer 11234, 24,45 EUR
1 x Cockring mit Analkugel – 14,24 EUR

Mit freundlichen Grüßen,

Lackundlederfetischversand

PS: Beachten Sie unsere neuen Sonderangebote

Herr Müller erinnert sich – das ganze war ein Scherzgeschenk für seinen Freund Gustav zum Junggesellenabschied. Damals hat er wohl versehentlich seine Firmenemailadresse angegeben.

Herr Müller  beschließt seinen Kummer im Schnaps zu ertränken und macht sich auf den Weg zu seiner Stammkneipe. Leider hat er kein Bargeld mehr, deshalb geht er zum Geldauomaten. Er steckt seine Karte in den Schlitz – es erscheint die Meldung: „Verfügbarer Betrag 0 EUR.“ Herr Müller druckt seine Kontoauszüge aus und stellt fest, daß sein gesamtes Kontoguthaben verschwunden ist. Abgebucht von verschiedenen Online Casinos und Versandhäusern. Die Polizei wird später folgenden Verlauf rekonstruieren: Die Familie Müller war nach der Geburt der Zwillinge aus dem alten Wohnblock in eine neue Wohnung gezogen. Der Nachsendeantrag bei der Post lief nach einem halben Jahr aus. Inzwischen haben im alten Wohnblock in zahlreichen Wohnungen die Mieter gewechselt. Unter anderem ist Herr B. Trüger-Müller eingezogen und dieser erhält seit kurzem wäschekorbweise Post. Alles Datenbrief für Herrn Müller  Unter anderem hat Herr B. Trüger-Müller  folgenden Brief erhalten:

Absender:
Schlupfa Holding – Kreditauskunft

Sehr geehrter Herr Müller,

Ihr jährlicher Datenbrief ist da. Schaun Sie mal was wir alles über sie gespeichert haben. Sollten irgendwelche Angaben unrichtig sein oder fehlen, können Sie diese mit beiliegendem Formular ergänzen und korrigieren.

Schlupfa Kundennummer: 124242424

Name: Peter Müller
Geburtsdatum: 01.01.1980
Anschrift: Musterstr. 12 – 12345 Berlin
Sonstige und frühere Anschriften: Musterstr 555 – 232424 Münster
Kreditinstitute:
Kontonummer 1234567  – Sparbank Münster
Kontonummer 1232424 – Kreischschparkasse Berlin
Kreditkarte: Fleesa – Kartennummer 2323542424
Ihr Schlupfa Kreditscore: 98,33 %

Mit freundlichen Grüßen,

Ihre Schlupfa

Mit den Daten von Peter Müller ging Herr B. Trüger-Müller dann auf Einkaufstour und spielte ausgebig in verschiedenen Online Kasinos. Außerdem hat er im Namen von Herrn Peter Müller von der Möglichkeit die Daten zu korrigieren und zu ergänzen ausgiebig Gebrauch gemacht. Das war übrigens auch der Grund weshalb Herr Müller keinen Leasingvertrag für ein neues Auto bekommen hat und sein Kreditscore bei der Schlupfa zwischenzeitlich auf 12,5% gesunken ist. Das war natürlich nicht der einzige Datenbrief der bei B. Trüger-Müller einging.  Vom ehemaligen Hausarzt weiß Herr B. Trüger-Müller, daß Peter Müller am 20.02.2003 wegen Fußpilz in Behandlung war.

Herr Müller geht nicht in die Kneipe, sondern geht nach Hause, übergießt die drei Wäschekörbe Datenbriefe die während der letzen zwei Wochen eingetroffen sind mit Benzin, zündet sie an und hängt sich anschließend an seiner Krawatte auf.

Der Datenbrief wird in verschiedenen Varianten diskutiert:

Variante 1: Alle Unternehmen und Behörden müssen alle über die Bürger gespeicherten Daten per Post verschicken

Ein Ziel des Datenbriefs soll ja sein, Datenspeicherung möglichst teuer zu machen. Dies ließe sich am ehesten mit einem Postversand erreichen

Probleme:

  • nur ein Teil der Unternehmen hat überhaupt eine aktuelle Adresse an die die Daten geschickt werden können. Ein großer Teil der Datenbriefe wird daher nicht an die jeweils aktuelle Anschrift gesendet sondern z.B:
    – an die Anschrift der Eltern
    – an frühere Anschriften, z.B. ins Studentenwohnheim
    – an Ex-Frauen, Ex-Männer und Ex-Lebenspartner
    – an irgendwelche anderen Anschriften die man einmal angegeben hat:  Freunde, Firmenadressen usw.
    d.h. hochsensible und persönliche Daten von Millionen von Menschen werden auf Gut Glück quer durch Deutschland versandt. Ein großer Teil wird wohl nicht beim bestimmungsgemäßen Empfänger landen
  • insbesondere die kleinen und mittleren Unternehmen können sich einen Versand per Brief nicht leisten. Ein kleiner Internetshop mit täglich 10 Neukunden hat nach 10 Jahren Daten von ca. 36500 Kunden gesammelt. Geht man von Kosten von nur einem Euro pro Datenbrief aus (Personal, Porto, Briefpapier, Toner, Briefumschläge), ergibt das 36500 EUR. Das dürfte wohl in etwa dem entsprechen was dem Shopbetreiber jährlich nach Abzug der Steuern zum Leben bleibt. D.h. er kann seinen Laden dicht machen.
  • um die Kosten zu senken und die Briefeflut möglichst gering zu halten, wird der Versand der Datenbriefe wahrscheinlich von Dienstleistungsunternehmen übernommen werden. D.h. die Unternehmen werden die gesammelten Daten elektronisch per Schnittstelle an spezielle Dienstleister senden, die dann einmal jährlich alle übermittelten Datenbriefe gesammelt in einem großen Paket an die Bürger verschicken. D.h. alle Daten die bisher dezentral bei Unternehmen gespeichert sind, werden zukünftig bei wenigen Dienstleistern zentral zusammengeführt.
  • auch die Unternehmen die bisher mit den gesammelten Daten gar nichts anfangen, werden zukünftig gezwungen diese aufzubereiten und die Daten aus unterschiedlichen Quellen im Unternehmen zusammenzuführen. Liegen z.B. Emails und Serviceanfragen bisher nur im Emailkonto vor, müssen diese jetzt den einzelnen Kunden zugeordnet werden. Zukünftig müssen alle Daten jedes Kunden im Unternehmen zentral gespeichert und für den Massenversand abrufbereit gehalten werden.
  • der Datenbrief verursacht für die Unternehmen Kosten und muss refinanziert werden. Dies könnte z.B. geschehen durch:
    – Beilage von Werbung des eigenen Unternehmens oder Dritten
    – Verkauf der Daten
    – Preiserhöhungen
  • die Datenbriefe enthalten persönliche und sensible Daten in komprimierter Form. Die meisten Privatpersonen verfügen nicht über einen Shredder, der Großteil der Datenbriefe wird unzerkleinert und lesbar im Altpapier landen.
  • auch die Unternehmen die Kundendaten bisher nicht nutzen oder verarbeiten, werden zukünftig dazu gezwungen diese aufzubereiten. Dadurch steigt der Wert der Daten, der Handel mit Daten wird daher zukünftig zunehmen.

Variante 2: Die Datenbriefe enthalten nicht die über den Bürger konkret gespeicherten Daten selbst sondern nur die Art der gespeicherten Daten.  D.h. der Kunde bekommt nur die Mitteilung, daß ein Unternehmen eine Bankverbindung gespeichert hat, nicht aber welche.

Probleme:

  • dies löst nicht das Problem, daß unbefugte dritte Einsicht in das Privatleben der Bürger erhalten können. Herr Peter Müller junior möchte sicherlich nicht, daß sein Vater Herr Peter Müller senior auch nur die Information erhält, daß er Kunde bei pornoglotzen24 war. Und das Jahre nachdem Herr Müller von zu Hause augezogen ist. Und Frau Anne Mustermann möchte sicherlich nicht, daß Ihre Nachmieterin mit gleichem Nachnamen –  Frau Petra Mustermann erfährt, daß Sie Kontakt zur „Beratungsstelle Kinderwunsch am KKH Mohabit“ hatte.
    Wie hat der CCC doch in seinem Gutachten zur Vorratdatenspeicherung auf Seite 3 festgestellt: „Verbindungsdaten können aussagekräftiger als Inhaltsdaten sein (…)“

Variante 3: Die Datenbriefe werden per EMail versandt oder die gespeicherten Daten werden im Internet auf einem Portal zum Abbruf bereitgehalten und die Kunden per E-Mail darüber informiert wo sie die Daten abrufen können.

Probleme:

  • auch Email Adressen ändern sich. Neue Email Adressen kommen dazu, alte werden gelöscht oder dem eigenen Zugriff entzogen. Zum Beispiel Firmenemailadressen nach dem Wechsel des Arbeitsplatzes. Oder durch Tippfehler werden E-Mail Adressen falsch eingegeben. Herr Peter Müller hat zum Beispiel bei einer Bestellung vor zwei Jahren versehentlich die Email Adresse: peter.mueller@example.com eingegeben statt peter_mueller@example.com. Die Adresse peter.mueller@example.com wurde vor einem halben Jahr an Herrn Peter Müller aus Düsseldorf vergeben. Dieser erhält nun auch die Datenbriefe, bzw. die Zugangsdaten für den Abbrufserver. D.h. auch bei dieser Lösung wird ein Großteil der Datenbriefe seinen Empfänger nicht erreichen, oder den falschen Empfänger ereichen.
  • nicht jedes Unternehmen hat zwangsläufig eine E-mail Adresse des Kunden. D.h. viele Unternehmen müssen zumindest einen Brief per Post verschicken, der dann die Zugangsdaten für das Informationsportal enthält. Mit den oben aufgeführten Konsequenzen.
  • auch die Email oder Portallösung verursacht immense Kosten für die Unternehmen. So werden wohl gerade kleinere und mittlere Unternehmen die Emails nicht selbst versenden und auch die Informationsserver nicht selbst betreiben, sondern externe Dienstleister beauftragen. D.h. die bisher dezentral über die Republik verstreuten Daten werden zentralisiert und zusammengeführt. Im Vergleich zu den hier zentral gespeicherten Daten wird das ELENA System der Bundesregierung ein Witz.
  • geht man davon aus, daß alle Unternehmen ihre Daten selbst verwalten muss jeder Bürger zukünftig hunderte von Zugangsdaten zu hunderten von Informationsportalen verwalten.
  • auch bei dieser Variante werden die Unternehmen versuchen die Kosten zu refinanzieren. Entweder durch den Verfauf der gezwungenermaßen aufbereiteten Daten. Oder durch Werbefinanzierung. Oder durch Preiserhöhungen.

Zusammenfassung: Die Verpflichtung zur  unaufgeforderte Zusendung oder auch nur Bereithaltung von gespeicherten Daten wird nicht zu einem mehr an Datensicherheit sondern zu einem massiven Anstieg der Datenunsicherheit führen und mehr neue Probleme verursachen als lösen. Die Zentralisierung der Daten wird zunehmen, auch Unternehmen die bisher die Daten ihrer Kunden nicht weiterverarbeiten werden zukünftig dazu gezwungen.

Die ersten Dienstleister stehen übrigens schon in den Startlöchern:
http://www.pressebox.de/pressemeldungen/human-inference-gmbh-1/boxid-327869.html

Über jeden Bundesbürger sind bei Unternehmen, Ärzten und Behörden zahlreiche Daten gespeichert. Die Unternehmen müssen diese Daten speichern, denn es gibt in Deutschland Aufbewahrungsfristen. Diese betragen in der Regel 10 Jahre. D.h. ein Versandhandelsunternehmen speichert zum Beispiel Name und Adresse, welche Waren bestellt wurden, wohin diese geliefert wurden, von welchem Konto der Rechnungsbetrag abgebucht wurde usw. Was machen die Unternehmen mit den Daten? 99% der Unternehmen – insbesondere die kleineren und mittleren Unternehmen: Gar nichts. Die Daten ruhen in Frieden im Buchhaltungsprogramm oder im Internetkundenkonto. Ich selbst habe im Laufe der letzen Jahre bei über hundert verschiedenen Versandhändlern bestellt. Bücher, Jacken, Unterhosen, Socken, Krawatten, Computer und Zubehör, Möbel usw. Zum Teil wurden die Waren an meine eigene Anschrift geliefert, zum Teil an meine Arbeitsstelle. Ich habe diese Waren über die verschiedensten E-Mailkonten bestellt. Leichtsinnigerweise auch über Firmenemailkonten. Da ich keine Newsletter abonniert habe und die Bestellungen gelöscht habe, dachte ich die Sache wäre damit erledigt. Ich bin mehrmals umgezogen, habe bei den Umzügen einen Nachsendeauftrag für ein halbes Jahr gestellt. Meine neue Adresse habe ich eigentlich nur dort bekanntgegeben wo langfristige Vertragsbindungen bestehen, d.h. bei Telefongesellschaften, Banken und Behörden. Nicht einmal meinen ehemaligen Hausärzten habe ich meine neue Anschrift bekannt gegeben – wozu auch.

Ich selbst gehe mit meinen Daten sparsam um. Wenn ich im Internet bestelle lese ich mir die AGB durch, die Datenschutzbestimmungen der Webseiten und achte darauf nicht versehentlich in die Weitergabe meiner Daten einzuwilligen. Ich bin nicht so dämlich und beteilige mich an Gewinnspielen bei denen man in die Zusendung von Werbung oder gar Telefonwerbung bzw. die Weitergabe der Daten  an Dritte einwilligt.

Insofern hält sich die Belästigung mit an mich adressierter Werbung in Grenzen: Alle paar Monate erhalte ich einen Werbebrief für Konsumentenkredite, gelegentlich Werbung von einem Möbelhaus bei dem ich mir eine Kundenkarte aufschwatzen ließ und in der Vergangenheit auch mal unerwünschte Telefonanrufe – in der Regel von Telefongesellschaften die mich zum Wechsel animieren wollen. Die einzigen Werbemails von DEUTSCHEN Unternehmen habe ich selbst bestellt. Spammails von deutschen Unternehmen sind sowieso selten, denn wer in Deutschland unaufgefordert Werbemails versendet kann sich auf kostspielige Abmahnungen gefasst machen.  Mein Eindruck ist aber: Die Mehrzahl der Unternehmen gibt keine Daten weiter und geht halbwegs verantwortungsvoll mit den gespeicherten Daten um. Werbebriefe sind selten geworden – wozu auch – Newsletter sind billiger – aber Newsletter von deutschen Unternehmen lassen sich mit einem Mausklick wieder abbestellen. Von den meisten Unternehmen mit denen ich Kontakt hatte habe ich nie wieder etwas gehört. Dennoch ist mir bewusst daß bei zahlreichen Unternehmen Daten über mich gespeichert sind

Und bisher dachte ich: Meine Daten ruhen in Frieden.

Irrtum: Wenn es nach dem Chao Computer Club geht werden diese Datenleichen bald wieder zum Leben erweckt. Geht es nach dem CCC und einigen Politikern gehen demnächst folgende Daten auf Sendung: ärztliche Untersuchungsberichte, alte längst vergessene Versandhausbestellungen, Bankverbindungen, alte und neue Steuerbescheide und so weiter. Der größte Teil dieser Datensendungen wird mich allerdings nicht erreichen, da ich zwischenzeitlich mehrmals umgezogen bin. Wenn ich Glück habe gehen die Datenbriefe als unzustellbar zurück, wenn ich Pech habe werden die Briefe an mir unbekannte Dritte ausgeliefert. Per Email und per Post.

Datenschutz ist wichtig. Auch das Recht bei Unternehmen auf ANFORDERUNG eine Übersicht über die gespeicherten Daten zu erhalten ist wichtig. Wer den Eindruck hat, daß ein Unternehmen mit seinen Daten Schindluder treibt, hat ein Recht auf Auskunft. Wer von einer Telefongesellschaft mit Werbeanrufen belästigt, muss auf NACHFRAGE erfahren können woher das Unternehmen diese Daten hat und welche Daten das Unternehmen gespeichert hat.

Die unaufgeforderte Zusendung eines Datenbriefs, per Email oder per Post ist in meinen Augen jedoch ein eklatanter Verstoß gegen das Recht auf informationelle Selbstbestimmung. Sollte ein Unternehmen auf die Idee kommen meine persönlichsten Daten per Brief oder Email unaufgefordert durch die Gegend zu senden oder diese auf einem Server im Internet zum Abruf bereitzustellen werde ich juristisch dagegen vorgehen. Sollte Unternehmen und Behörden dazu gesetzlich verpflichtet werden, werde ich eine Verfassungsbeschwerde prüfen.

Ich habe ein Recht darauf darüber zu bestimmen was mit meinen Daten geschieht. Und niemand hat das Recht ohne mein ausdrückliches Einverständnis meine persönlichsten Daten unaufgefordert auf Reisen zu schicken.

Advertisements

117 Antworten

Subscribe to comments with RSS.

  1. pflaumenpresse said, on 4. März 2010 at 20:23

    Sich dermaßen detailverliebt über eine Idee zu echauffieren ohne die konkrete Gesetzesgestaltung zu kennen, ist — mit Verlaub — hirnverbrannt. hier wird verpasst, das große Ganze zu betrachten.
    In welcher Form dem Kunden (und dazu gehören per sé keine Patienten!) mitgeteilt werden muss, dass Daten über ihn gehalten werden, steht bei weitem noch nicht fest. Argumente wie „wenn der Postbote die Briefe in den falschen Briefkasten wirft“ und „was, wenn meine Frau meine Post öffnet?“ zeigen doch schon das Niveau, auf dem hier mit seinen Daten umgegangen wird. „auch ich habe schon Dinge über meine Firmen-E-Mail-Adresse bestellt“ beweisen interessanterweise genau das Gegenteil von dem, was hier vom Autor behauptet wurde: bewusster Umgang mit persönlichen Daten.
    Allein ernsthaft zu glauben, es gäbe Datenleichen [sic!], zeugt doch schon von Realitätsfremde…

    • der-ente said, on 6. März 2010 at 14:37

      jemanden dahingehend zu verurteilen, daß er sich über eine sache gedanken macht, zu der er die konkrete gesetzesgestaltung nicht kennt, ist – mit verlaub – dann vollkommen hirnverbrannt, wenn er sich gar nicht über die gesetzesgestaltung ausläßt.
      diese forderung, erst dann zu diskutieren, würde ungefähr der verfahrensweise entsprechen, daß die bundesregierung die gesetze erläßt und nach inkrafttreten die bundestagsabgeordneten darüber diskutieren sollen. ich finde, so öffentliche diskussionen wie z. b. zum thema vorratsdatenspeicherung (die meiner meinung nach noch nicht einmal ausreichend war) sind vorstufen einer wirklichen demokratie.
      natürlich sollten diese diskussionen sachlich bleiben, deshalb habe ich auch zitierend geantwortet, damit die leicht beleidigende form auch beim absender erkennbar ist 😉

  2. pflaumensaft said, on 4. März 2010 at 20:46

    Soso, die genaue Gesetzesgestaltung steht ja noch nicht fest… Umso wichtiger daß man vielleicht über einen derart massiven Eingriff in das Grundrecht auf die informationelle Selbstbestimmung diskutiert bevor alles feststeht. Ich will gefälligst selbst entscheiden können ob an mich Datenbriefe versandt werden oder nicht.

    Im übrigen hast du ja vielleicht Recht, vielleicht ist das gar nicht so schlimm wenn Unternehmen und Behörden zukünftig ungefragt alle möglichen Daten durch die Gegend senden. Schließlich: Wer nichts zu verbergen hat hat ja nichts zu befürchten.

    Und der Ex-Mann freut sich vielleicht sogar darüber, wenn plötzlich Datenbriefe seiner Ex-Frau bei ihm eintreffen. Und auch die Witwe Meier freut sich, wenn nach 10 Jahren noch regelmäßig Post und Emails für Ihren verstorbenen Mann eintreffen. Im übrigen: Glaubst du wirklich daß der strickmusterladen24 oder der häckelshop oder der Fahrradversand im Internet die Daten Ihrer Kunden sammeln und weiterverkaufen? Oder sonst irgendwelchen Schindluder damit anstellen? Das sind in der Regel nur die großen Unternehmen: Telefongesellschaften, Kundenkartenanbieter etc. die mit diesen Daten überhaupt etwas anstellen. Bei den meisten Unternehmer vermodern die Kundendaten einfach nur auf der Festplatte. Und das soll zumindest bei meinen Daten auch so bleiben.

    Nenn mir doch einfach mal eine Variante eines Datenbriefes die unbedenklich ist. Ich bin gespannt.

    Und sicherlich du hast Recht: Die Angabe einer Firmenemailadresse bei einer Bestellung im Internet ist leichtsinnig und kein bewusster Umgang mit Daten. Aber muss man deshalb dafür noch Jahre später bestraft werden und Angst haben das plötzlich nach Jahren unaufgefordert persönliche Daten von Firmen oder Behörden an diese EMail Adresse gesandt werden?

    • Sven Türpe said, on 6. März 2010 at 11:31

      Nenn mir doch einfach mal eine Variante eines Datenbriefes die unbedenklich ist. Ich bin gespannt.

      Versand über einen Treuhänder. DE-Mail könnte beispielsweise diese Funktion erfüllen.

      • pflaumensaft said, on 6. März 2010 at 11:42

        Eine Variante des Datenbriefs die unbedenklich ist:
        Einfache Antwort: Es gibt in meinen Augen keine Variante eines Datenbriefs die unbedenklich ist. Alle Varianten die mir einfallen habe ich oben ja schon durchdiskutiert und werfen gravierende Probleme auf.

        Der Versand über einen Treuhänder wäre ja der ultimative Datengau. Dann würden alle Daten über eine zentrale Stelle geleitet – mit allen sich daraus ergebenden Problemen. Und woher bekommt der Treuhänder die aktuelle Anschrift für die Datenbriefe? Die einzige Möglichkeit: Durch Abgleich der Daten aus verschiedenen Quellen oder durch ein eindeutiges Identifikationsmerkmal wie die Steuernummer.

        Sicher – Versand über die DE-Mail wäre ein Lösung. Das würde bedeuten, daß man zukünftig nur noch diese Email benutzen darf: Für Blogeinträge, Foreneinträge, Einkäufe, Firmenkontakte. Und wo werden die Emails gehostet und wer verhindert einen unbefugten Zugriff oder den Zugriff durch staatliche Stellen? Wie lange dauert es bis es dann heißt: Wir brauchen Zugriff auf die Datenbriefe, wir müssen doch wissen wer Wasserstoffperoxid bestellt hat um daraus Sprengstoff herzustellen.

        Nein: Es gibt in meinen Augen keine sichere unbedenkliche Lösung für einen Datenbrief.

  3. Jonathan said, on 4. März 2010 at 21:20

    Also ich sehe hier keine unlösbaren Probleme. Fehladressierungen lassen sich einfach vermeiden, wenn zukünftig bei jedem Kontakt mit einem Unternehmen die neue eindeutige und lebenslang gültige Steuernummer angegeben wird. Dann müssen die Unternehmen die Daten lediglich noch an eine zentrale Stelle übermitteln die dann den Versand an die aktuelle Meldeanschrift übernimmt. Vielleich ist ja auf den ELENA Servern noch Platz. Die Personaldaten werden ja schon übermittelt, da kommts auf die Kundendaten auch nicht mehr an…

  4. Anonymous said, on 5. März 2010 at 17:56

    Der Datenbrief ist m.E. die falsche Lösung – zu viel Aufwand und tatsächlich wie man sieht nicht ganz risikolos.

    Besser: wer persönliche Daten speichert, muß jederzeit nachweisen können,

    a) woher er die Daten hat
    c) auf welcher Rechtsgrundlage (ausdrückliches Einverständnis, Geschäftsvorfall) die Daten gespeichert werden
    c) zu welchem Zweck die Daten aufgrnuddessen verwendet werden dürfen

    Jeder Bürger sollte gegenüber jedem Datenverarbeiter jederzeit das Recht haben, diese Auskünfte über ihn betreffende Daten zu erhalten und sein Einverständnis zu widerrufen. Ein über einen einzelnen Geschäftsvorfall hinausgehendes Einverständnis sollte vom Betroffenen immer explizit, schriftlich und außerhalb sonstiger Vereinbarungen gegeben werden müssen.

    So darf eine Bank Bank dann Name und Anschrift ihrer Kunden verarbeiten (konkludentes Einverständnis durch die Kontoeröffnung), aber diese eben nur dann mit weiterer Werbung zumüllen, wenn diese dazu explizit „ja“ gesagt haben. Und wer Adressen kaufen will, muß das explizite Einverständnis eben jeweils mit kaufen.

    • Sven Türpe said, on 6. März 2010 at 11:28

      Das ist ja mehr oder weniger die geltende Regelung: Einverständnis, Zweckbindung, Auskunftsrechte, das steht alles schon im Datenschutzgesetz. Was der Datenbrief lösen soll, ist das damit verbundene Usability-Problem. Derzeit hätte man richtig Arbeit, wenn man etwa sein Auskunftsrecht umassend – also nicht nur in Einzelfällen – nutzen wollte. Ich habe das mal anlässlich zweir ungewollter Werbesendung probiert. Das Ergebnis war, dass zunächst zwei Firmen wechselseitig aufeinander zeigten und behaupteten, die jeweils andere sei die Datenquelle. Tatsächlich war es jedoch ein drittes Unternehmen, das meine Adresse aus einer Bestellung weitergegeben hat. Ich musste insgesamt eine Handvoll Briefe schreiben, um den Vorgang zu klären und weitere Werbung zu verhindern. Auf der anderen Seite hat wahrscheinlich nur jemand einen Abzug einer Datenbank weitergereicht, mit pro Adresse zu vernachlässigendem Aufwand.

      Dieses unausgewogene Kräfteverhältnis soll der Datenbrief korrigieren. Derzeit ist es einfach für Firmen, meine Daten zu nutzen und weiterzugeben, während es für mich vergleichsweise aufwändig ist, sie wieder einzufangen oder auch nur den Überblick zu behalten.

  5. anonym said, on 5. März 2010 at 18:09

    Ich finde den Text sehr überzeugend und nachvollziehbar. Selbst wenn dann nicht alles hundertprozentig zutreffen sollte, ist die Grundtendenz aber völlig zutreffend dargestellt. Hatte über die Bestrebungen mit dem Datenbrief noch nicht eingehend nachgedacht, etwas abseitig kam mir die Idee aber schon vor. Man kann es drehen und wenden, wie man will: Das Ganze wäre keine Datenvermeidung, sondern ein gigantisches Gegenbeispiel. Daß da der CCC mitmacht (mitmachen soll), wundert mich wirklich; denn bisher habe ich von den Leuten immer nur gut begründete Dinge gehört.

    Warum das Zusenden von Ware an die Firmenadresse nicht okay sein soll, kann ich nicht verstehen. Sich kompromittierende Dinge zusenden zu lassen, ist doch immer heikel, ob nun an die Privat- oder an die Firmenanschtift. Ich stimme natürlich zu, wenn es heißt, daß die Masse der Firmen kein Interesse an einem (illegalen) Datenhandel hat.

    Daß Datenvermeidung gut klappt, gerade außerhalb des Netzes, kann ich nur bestätigen: Ich bekommen so gut wie keine Werbepost, die ich nicht bestellt habe, und ich habe noch NIE einen Werbeanruf erhalten. Und das über etwa 15 Jahre. Wer natürlich seine Lebensmittel mit Bankkarte bezahlt, der ist für mich entweder extrem gleichgültig oder fahrlässig.

  6. Jan said, on 5. März 2010 at 18:10

    Ich gehe davon aus, dass die Datenbriefe sich nicht auf Daten beziehen, die nur zur Erfüllung der gesetzlichen Aufbewahrungspflichten gespeichert sind, zu keinen anderen Zwecken verwendet werden dürfen und ggf. wo durch die Art der Speicherung technisch die Verwendung für andere Zwecke zumindest erschwert wird.

    Dadurch wäre sichergestellt, dass dein Beispielhändler nur pleitegeht, wenn er die Adressen eben nicht nur im Pappkarton mit Rechnungskopien bzw. der CD mit PDF/A-Rechnungen liegen hat, sondern auch noch in der Newsletterdatenbank.

    • pflaumensaft said, on 5. März 2010 at 18:14

      @Jan. Leider darf der Händler die Daten nicht nur im Pappkarton aufbewahren:
      Originär elektronisch entstandene Daten und Dokumente müssen aus steuerrechtlichen Gründen auswertbar in elektronischer Form vorgehalten werden. Das ist heutzutage im Prinzip alles.

      • Jan said, on 5. März 2010 at 20:31

        Danke für die Info, gut zu wissen. (Ein Widerspruch zu meiner Aussage ist das natürlich nicht. Die Daten, die ausschließlich zum Zweck der vorgeschriebenen Archivierung aufgehoben werden, könnten immer noch problemlos ausgenommen werden. Eine solche Ausnhme findet sich bereits z. B. beim Auskunftsrecht nach § 19 BDSG, siehe 2. Absatz)

  7. prior said, on 5. März 2010 at 18:18

    hohlschuld? wie hohl ist die denn? sehr hohl oder nur ein wenig ausgehöhlt?

  8. schrump said, on 5. März 2010 at 19:38

    Auch wenn dieser Artikel einige Annahmen ueber ein moegliches Gesetz macht, die ja so nicht ganz zwingend zutreffen muessen: Ich denke, man kann den Artikel doch als durchaus begruendete und nachvollziehbare Kritik an einer solchen Ausgestaltung lesen, die bei einer eventuellen Umsetzung beruecksichtigt werden sollte – ich denke aber nicht, dass die Kritik den Vorschlag komplett in sich zusammenfallen laesst.

    Den Kernkritikpunkt kann man dabei, denke ich, von zwei Seiten angehen:

    Zum einen koennte man die Mitteilungspflicht auf jene Daten beschraenken, fuer die kein gesetzlicher Aufbewahrungszwang besteht. Wie geschrieben, ist ja ein Ziel des Vorschlags, die Speicherung personenbezogener Daten teuer/unattraktiv zu machen. Hier koennte man argumentieren, dass es auch etwas unfair waere, Unternehmen unnoetige Kosten dafuer aufzubuerden, dass sie Daten speichern, die sie gar nicht loeschen duerfen – es geht ja vielmehr um genau die Daten, die aus freien Stuecken gespeichert werden, obwohl es keinen Zwang dazu gibt. Das ist auch in Hinblick auf ein anderes Ziel eines solchen Gesetzes sinnvoll: Es soll die Moeglichkeit des Einzelnen staerken, sein Recht auf Loeschung durchzusetzen – wozu Voraussetzung ist, dass er weiss, wo ueberhaupt Daten ueber ihn gespeichert sind, deren Loeschung er verlangen koennte. Auch dabei waeren Daten, deren Loeschung er ohnehin nicht verlangen kann, eher unwichtig. Moeglicherweise wuerde man auch zusaetzlich zu Aufbewahrungsfristen auf die Verwendung im Unternehmen abstellen wollen: Auch Daten, die aufbewahrt werden muessen, muessen mitgeteilt werden, sofern sie noch ueber die reine Aufbewahrung hinaus Verwendung finden.

    Zum anderen scheint es mir aber auch nicht ganz abwegig, auch die Mitteilung von aufbewahrungspflichtigen Daten verpflichtend zu machen, und stattdessen einmal die Aufbewahrungspflichten zu ueberdenken. Zweierlei Umstaende wuerden dafuer sprechen, hier einmal etwas datensparsamer zu werden:

    1. Es wird technisch immer einfacher, derart gehaltene dezentrale Datenbestaende zusammenzufuehren, und immer einfacher, unberechtigt an derartige Datenbestaende heranzukommen, weshalb die Aufbewahrung der Daten gefaehrlicher wird.

    2. Es findet eine starke Verlagerung von bisher anonym abgewickelten Geschaeften in Richtung „Personenbezogene“ Abwicklung statt: Viele kleine Einkaeufe, die frueher im lokalen Einzelhandel anonym durchgefuehrt wurden, finden jetzt ueber das Internet statt, wo aufgrund von Zahlungsweise und Versandadresse zwangsweise die Identitaet des Kunden bekannt wird. Wenn es bisher kein Problem darstellte, dass man an der Supermarktkasse nicht seinen Ausweis vorgelegt hat, koennte ich mir vorstellen, dass man moeglicherweise den den Einzelhandel abloesenden Internethandel ersterem in Bezug auf die Aufbewahrung personenbezogener Daten gleichstellen sollte.

    • jonni said, on 5. März 2010 at 19:46

      @schrump
      Selbst wenn man die zu versenden Daten beschränkt: Da bleibt immer noch das Problem der korrekten Adressierung. Entweder die Unternehmen schicken die Daten auf Gut Glück weg und hoffen der Brief kommt an – oder es muss auf andere Weise sichergestellt werden daß der Brief an den richtigen Empfänger gelangt. Das ginge dann nur über eine zentrale Versandstelle. Und das wäre in meinen Augen wirklich eine Katastrophe. Dagegen wäre ja die Vorratsdatenspeicherung ein Witz.

      • schrump said, on 5. März 2010 at 20:14

        Nein, das Problem ist im wesentlichen ein Nicht-Problem, oder zumindest scheint es mir loesbar.

        Zum einen ist ja das Ziel nicht einfach nur, dass weiter wie bisher mit personenbezogenen Daten gepanscht wird, und man die betroffenen Personen dann halt einmal im Jahr darueber informiert, sondern dass die Pflicht zur Mitteilung zu einem vorsichtigeren Umgang mit Daten fuehrt, in der Folge also weniger gespeichert wird, sodass das Problem einer eventuellen Fehlzustellung sich gleich mit in Luft aufloest. Um das pornoglotzen24-Beispiel aufzugreifen: Wenn pornoglotzen24 noch Kunden haben will, wird es seinen potentiellen Kunden eben zusichern muessen, dass ueber die gesetzlich vorgeschriebene Aufbewahrung hinaus keine Daten gespeichert werden, sodass der Kunde sich sicher sein kann, keine unliebsamen Briefe zu bekommen, die dann moeglicherweise falsch zugestellt werden koennten, bevor er einkauft. So wird dann aus einem Risiko des Kunden (er weiss nicht so genau, was gespeichert wird, wie lange es gespeichert wird, und wofuer es so verwendet wird, oder wie gross das Risiko eines Datenleckst ist – eben die heutige Situation) ein Risiko des Anbieters, einen Imageschaden zu erleiden, wenn er regelmaessig Briefe mit „brisanten Daten“ an die falschen Personen schickt.

        Zum zweiten wuerdest Du ja regelmaessig (wahrscheinlich jaehrlich?) ueber noch vorhandene Daten informiert. Sofern Du fuer eine Nachsendung fuer ein Jahr sorgst und entweder entsprechende Adressaenderungen mitteilst oder eben die Loeschung der Daten veranlasst, sollte das Problem nicht mehr viel groesser sein als es ueberhaupt schon ist – ist ja schliesslich nicht so, dass man nicht auch sonst schonmal personenbezogene Daten per Post geschickt kriegt.

    • josef said, on 6. März 2010 at 01:34

      „Zum einen koennte man die Mitteilungspflicht auf jene Daten beschraenken, fuer die kein gesetzlicher Aufbewahrungszwang besteht.“

      Welche Daten sollen das bitte sein?

      Wenn mir ein potentieller Kunde eine e-mail mit einer Anfrage (Angebot, Nachfrage, irgendwas) schickt, dann habe ich mindestens schonmal seine e-mail Adresse. Und im Normalfall wird er in der e-mail auch noch seine Postadresse und Tel. Nr. angeben. Und weitere Daten, die zur Bearbeitung seiner Anfrage notwendig sind (Beruf, Hobby usw.)

      Ganz egal, ob ich mit dem dann ins Geschäft komme oder nicht, muss ich seine e-mail – so wie auch meine gesamte weitere Geschäftskorrespondenz – archivieren.
      Ja, ich muss sogar Post aufbewahren, in denen mir bis dahin unbekannte Unternehmen ihre Produkte offerieren – so sie es denn an meine Geschäftsadresse senden.

      Rückblickend auf die letzten 10 Jahre habe ich damit die Daten von mehreren zehntausend Unternehmen und Personen „gespeichert“.

      • schrump said, on 6. März 2010 at 08:02

        Zum einen bist Du bezueglich der Aufbewahrungspflichten falsch informiert (ibs. Unterlagen zu nicht zustandegekommenen Geschaeften muessen nicht aufbewahrt werden, aber IANAL), zum anderen koennte es zum Beispiel um den Eintrag in der Kundendatenbank/im CRM gehen. Also da, wo ein Unternehmen speichert, was sie schon so alles telefonisch versucht haben, Dir anzudrehen, und wie gut Du darauf so anspringst. Oder um Datenbanken bei Unternehmen, mit denen Du ueberhaupt keine Geschaeftsbeziehung hast, und auch nie eine hattest. Du hast nur irgendwo mal aus Versehen(?) Dein Einverstaendnis gegeben, dass Deine Daten weiterverkauft werden duerfen, und jetzt liegen sie halt bei irgendeinem Datenhaendler. Oder in den Datenbanken von Payback, was ueber den aktuellen Punkte-Kontostand hinausgehend noch dort gespeichert ist. Oder, oder, oder, oder …

        Ziel dabei sollte offensichtlich nicht sein, dass irgendwelche kleinen Unternehmen nun grosse Probleme damit kriegen, allen ihren Kunden einmal im Jahr Ausdrucke aller empfangenen E-Mails zu schicken, oder solchen Quatsch.

        Ueberhaupt: Nur weil das Ding „Datenbrief“ heisst, muss das ja nicht zwingend in der Form sein, dass jedes Unternehmen einmal im Jahr viele pralle Umschlaege verschickt. Wie waere es, wenn man z.B. bei Daten, die aufgrund einer Aufbewahrungspflicht aufbewahrt werden, der Mitteilungspflicht z.B. auf der Rechnung nachkommen kann, indem man den Kunden dort darueber aufklaert, welche Daten der Rechnung bis wann und zu welchem Zweck gespeichert werden?

        In meinen Augen sollte Ziel eines solchen Gesetzes natuerlich weder sein, als Seiteneffekt eine staerkere Verbreitung von Daten zu erzeugen, noch, Unternehmern das Leben mit mehr Buerokratie schwer zu machen. Ziel sollte vielmehr sein, fuer ein wenig mehr Transparenz zu sorgen, einen Anreiz fuer die Loeschung von nichtmehr benoetigten Daten zu schaffen – und das vor allem dort, wo Daten eben ueber das hinaus gesammelt werden, was fuer die normale Abwicklung von Geschaeften notwendig ist.

        • josef said, on 6. März 2010 at 21:19

          Ich muss alles aufbewahren, was irgendwann mal in Streitigkeiten relevant sein könnte.
          Dazu zählen auch und insbesondere Anfragen und Angebote.

          Nun – natürlich könnte ich mich auf diejenigen Kunden beschränken, die ich in meiner Datenbank habe und auch mit Newsletter und/oder Printkatalog versorge (die wissen aber eh, dass ich sie gespeichert habe und finden das auch gut).

          Das ganze geht aber mE am Kern des Problems vorbei: Seriöse „Datenspeicherer“ müssen plötzlich einen enormen Aufwand mit fragwürdigem Nutzwert auf sich nehmen und die Unseriösen, die auch jetzt schon unaufgefordert anrufen und anderweitig Gesetze und Verordnungen brechen, werden sich auch um eine Datenbriefverordnung nicht scheren.

          Viel sinnvoller fände ich das bspw. die hier schon vorgeschlagene Pflicht, die Herkunft jeder erhobenen Daten speichern und auf Anfrage mitteilen zu müssen.
          Damit könnte man nämlich in der Tat die unkontrollierte Ausbreitung der eigenen Daten stoppen.

          • schrump said, on 6. März 2010 at 22:40

            1. Nein, musst Du nicht, und u.U. darfst Du nichtmal. Anfragen und Angebote _darfst_ Du zwar u.U. speichern, muss Du aber auch nicht, wenn es nicht zu einem Vertragsabschluss kommt. IANAL.

            2. Auch Du hast wieder eine bestimmte Ausgestaltung im Kopf, die Dir halt nicht gefaellt, die aber niemand so konkret vorgeschlagen hat – und ich wage zu behaupten, die auch der CCC nicht gemeint hat. Es gibt ausserdem viele „serioese“ Datenspeicherer, die trotzdem, manchmal ein wenig grau, oft auch vollkommen legal, viele Daten ueber Dich speichern, von denen Du nichts weisst. Um die geht es. Nicht darum, dass der Versandhaendler, bei dem ich regelmaessig bestelle, mir nun einmal im Jahr ein Einschreiben schicken muss, in dem er mir erklaert, dass ich sein Kunde bin. Der kann seiner Pflicht vielleicht auch einfach nachkommen, indem er den Katalog schickt? Sofern er nur meine Adresse hat, ist damit ja praktisch alles wesentliche gesagt.

            3. Diese Pflicht gibt es schon, und gibt es schon lange. Die Durchsetzung scheitert aber daran, dass Du nicht weisst, wo die Daten liegen, und damit nicht weisst, an wen Du Dein Auskunftsverlangen richten muss. Genau diese Luecke soll der Datenbrief stopfen. Das Ziel ist nicht, Dir mitzuteilen, was Du sowieso schon weisst, sondern Dir einen Ueberblick ueber die Daten zu verschaffen, von denen Du nichts weisst. Folglich sollte das Gesetz nach meiner Ansicht auch nach Moeglichkeit Ausnahmen oder Vereinfachungen ueberall da vorsehen, wo nur ohnehin bekannte Tatsachen mitgeteilt wuerden (eben, dass Du Kunde bei einem Versandhaendler bist, bei dem Du regelmaessig bestellst, oder aehnliches).

  9. ahoat said, on 5. März 2010 at 19:47

    Konzept nicht verstanden und sich damit selbst der Glaubwürdigkeit beraubt.
    Schon die Passage mit dem Versand an die ehemalige Arbeitsstelle ist ziemlicher Unfug.
    Bei der lustigen Pornoauflistung fände ich es wesentlich gruseliger, wenn recht beliebige Seiten&Firmen meine Daten besitzen ohne das ich davon weiß – dagegen kann ich dann nämlich auch nichts unternehmen.
    Hier wird eine Idee mit konkreten Beispielen totgeschmissen die völlig willkürlich sind, da es bisher keine derart konkrete Ausarbeitung gibt.

    Kleiner Tipp: nochmal nachschauen welche Daten wie lange aufbewahrt werden, und was mit Daten insbesondere sensiblen Daten nach Vorstellung des CCC passieren soll.

    Zu diesem Zweck empfehle ich eine einfache Mail an mail@ccc.de

    Recherche ist das, was glaubwürdige Artikel von der Titelseite der BILD unterscheidet.

    • klaus said, on 5. März 2010 at 19:51

      Ich arbeite in einem Versandhandelsunternehmen. Ich würde mal grob schätzen das ca. 20% der Kunden Firmenemailadressen für Ihre Bestellungen verwenden. Da ist alles dabei, von AOK über Siemens bis zu Zeiß. Und die meisten Leute lassen ihre Bestellungen heutzutage in die Firma liefern.

  10. stabil said, on 5. März 2010 at 19:51

    Also sind wir schon wieder soweit, dass man sich an Rechtschreibfehlern hochzieht, weil sonst nichts gehaltvolles kommt?

    @topic
    Ich bin zugegebenermaßen auch für den Datenbrief. Ich habe sehr gern einen Überblick darüber, was was über mich gespeichert hat. So kann man evtl. auch gezielt die Löschung von Daten verlangen.
    Sicher ist das hier etwas überspritzt dargestellt, aber wer sich darüber aufregt war noch nie in einer Vorlesung über Computersicherheit. Es ist geradezu die Pflicht des Gesetzgebers und auch des befürwortenden CCC, hier alle möglichen Missbrauchszenarien durchzuspielen und an Lösungen zu feilen.

    • klaus said, on 5. März 2010 at 19:59

      Aber selbst wenn du für den Datenbrief bist und unaufgefordert über gespeicherte Daten informiert werden willst: Kann man das deshalb jedem aufzwingen? Gehört nicht zum Recht auf informelle Selbstbestimmung auch, die Zusendung eines Datenbriefes abzulehnen?

      Wie beim lawblog jemand im Kommentar geschrieben hat: Was ist mit Leuten die Vorstrafen haben von denen die Ehefrau nichts weiß? Muss zukünftig jeder Angst haben, daß seine Vergangenheit wieder ans Licht kommt? Da müssten ja nicht einmal die Vorstrafen drin stehen – im Gegenteil: Man stelle sich vor es kommt ein Brief vom Bundeszentralregister und da stünde nur drin: Wir haben Daten gespeichert. Was malt sich denn die Ehefrau da aus, wenn sie nur den Absender sieht.

      • schrump said, on 5. März 2010 at 20:30

        Das Problem bei der Moeglichkeit, die Zusendung eines Datenbriefes abzulehnen, waere, dass es entweder kaum praktikabel oder leicht missbrauchbar waere. Also, entweder, Du muesstest irgendwie Postident oder sowas mit jedem Unternehmen machen, um den Datenbrief abzubestellen (kaum praktikabel), oder Unternehmen koennten leicht behaupten, dass jemand keinen Datenbrief haben wollte, da irgendein Haken in einem Webformular kaum nachweisbar ist.

        Von daher wuerde ich hier eher auf das Recht setzen, zu verlangen, dass keine unnoetigen Daten gespeichert werden, wenn man von einer bestimmten Stelle keine Datenbriefe erhalten moechte.

        Was Vorstrafen u.ae. angeht: Ich denke, auch diese koennte man gut entweder von einer Mitteilungspflicht ausnehmen (solange es eine ueberschaubare, abschliessende, Liste von Stellen gibt, die nicht verpflichtet sind, kann man diese bei Bedarf ja selber abfragen – das steht dem einen Ziel des Datenbriefes, dem Buerger einen Ueberblick ueber die seine Person betreffende Daten speichernden Stellen zu verschaffen ja nicht entgegen), oder nur fuer diese ein Opt-Out vorzusehen – oder aber man verpflichtet diese einfach zu einer jaehrlichen Mitteilung, auch, wenn keine Daten gespeichert sind? Waere nur etwas unklar, wie sie dann an die Versandadressen kaemen …

        • pflaumensaft said, on 6. März 2010 at 00:18

          Naja, selbstverständlich kann man jetzt anfangen eine Liste mit Institutionen zu erstellen die von der Benachrichtigungspflicht ausgenommen sind:
          – Bundeszentralregister
          – Justizvollzugsanstalt
          – Suizidberatung
          – Weißer Ring
          – Alkoholikerhilfsgruppe
          – Aidshilfe
          – Paartherapie
          – Sexualberatung
          – Frauenarzt

          ich könnte die Liste endlos mit Beispielen von Institutionen fortsetzen von denen viele Menschen lieber nichts mehr hören wollen, weil sie ein Kapitel ihres Lebens betreffen mit dem sie abgeschlossen haben. Aber das ist doch genau das Problem: Diese Liste wäre individuell für jede Person verschieden. Der eine geht offen damit um, daß er ein trockener Alkoholiker ist. Bei dem anderen fällt die Ehefrau aus allen Wolken wenn sie das plötzlich erfährt.

          Da muss doch nicht mal das Briefgeheimnis verletzt werden, da reicht doch vielleicht schon ein: Du da ist heute ein Brief von einer Alkoholikerhilfe gekommen, da kam doch letztes Jahr schon einer, damals hast du gesagt das wäre ein Spendenaufruf gewesen..
          Und schon beginnt ein Gespinst aus Lügen und das Leben bricht wie ein Kartenhaus zusammen.

          Im übrigen: Es gibt auch einfachere Mittel um Datenmißbrauch vorzubeugen. Jeder Bauer muss die Herkunft seiner Eier genau nachweisen. Es gibt keinen Grund, weshalb das bei Daten nicht auch funktionieren soll. Wer z.B. Werbebriefe versendet muss mit Hilfe einer Kennziffer die Datenherkunft angeben:
          A – bedeutet: Sie haben uns die Daten selbst übermittelt, z.B. bei einem früheren Kontakt
          B – bedeutet: Die Daten wurden innerhalb des Konzerns weitergeben
          C-999232 – bedeutet: Wir haben die Daten gekauft und zwar bei dem Unternehmen mit der Kennziffer 999232.

          Wer Daten weiterverkauft muss sich zukünftig registrieren, dann gibt man die Kennziffer auf einer Internetseite ein – und schon weiß man woher die Daten stammen.

          • schrump said, on 6. März 2010 at 01:01

            Du wiederholst hier ein effektiv schon ausgeraeumtes Problem und zaeumst auch das Pferd von hinten auf. _Warum_ sollte denn die Alkoholikerhilfe ueberhaupt noch personenbezogene Daten von Dir haben, wenn Du mit dem Teil des Lebens abgeschlossen hast – auf dass die dann irgendwie mal an die Oeffentlichkeit gelangen, oder sonstwie missbraucht werden? Gerade von derlei Institutionen wuerde ich erwarten, dass sie entsprechend umsichtig mit den von ihnen verwalteten Daten umgehen und sie _loeschen_, wenn sie nicht mehr unbedingt notwendig sind, womit der Bedarf, Datenbriefe zu verschicken, entfiele. Und wenn sie nicht so umsichtig sind, dann denke ich, dass ich das als Betroffener lieber wuesste, um Gegenmassnahmen ergreifen zu koennen, bevor im naechsten Jahr wieder ein Brief kommt – oder eben sonst irgendein Missbrauch stattfindet.

            Die Absicht hinter dem Vorschlag ist doch nicht, die Daten moeglichst breit zu streuen, sondern einen Anreiz fuer die Loeschung zu schaffen, eben um solche Ueberraschungen nachhaltig zu vermeiden! Und im Zweifelsfall eine Moeglichkeit fuer den Betroffenen, die Loeschung zu bewirken, um sicher dafuer sorgen zu koennen, dass derlei Ueberraschungen nicht stattfinden. Entsprechend muesste man ein solches Gesetz natuerlich gestalten – einige Ansaetze, wie man die von Dir beschriebenen unerwuenschten Seiteneffekte vermeiden koennte, habe ich ja bereits beschrieben.

            Was Deinen „Alternativvorschlag“ angeht: Ja, sicher auch keine schlechte Idee. Allerdings sehe ich schon ziemlich viele Szenarien, in denen personenbezogene Daten aufbewahrt werden, die nicht einfach nur fuer den Versand von Werbebriefen verwendet werden. Und ausserdem geht es ja nicht nur um Anschriften, sondern auch um etwaige damit verknuepfte Informationen, die man wohl kaum in Werbebriefe mit aufnehmen will.

  11. Anderer Gregor said, on 5. März 2010 at 19:53

    Auch wenn ich bezüglich des Rests mehr oder weniger zustimme: Das Kostenargument ist sogar eher ein Argument für den Datenbrief, da es so wirtschaftlich für die Unternehmen interessant würde, Datengiftmüll in ihren Speichern rechtzeitig zu entsorgen — welchen (kundenorientieren) Grund gibt es, die Daten einer Bestellung für mehr als, sagen wir, 2 Jahre (Gewährleistungsfälle) aufzubewahren.

    Das setzt natürlich voraus, dass sie nicht vom Gesetzgeber (zB steuerrechtlich) genau dazu gezwungen werden …

    • jonni said, on 5. März 2010 at 20:04

      Es gibt ja nicht nur steuerliche Gründe für Datenspeicherung. Daten müssen ja auch zu Beweiszwecken aufbewahrt werden. Nehmen wir einmal an du sendest an einen Versandhändler Waren zurück. Nach drei Jahren fällt dir ein: Der hat mir ja noch gar nicht den Gutschriftsbetrag erstattet. Der Händler ist jetzt in der Beweispflicht und muss die Zahlung beweisen. Das kann er nur wenn er die Unterlagen aufbewahrt hat.

  12. jonni said, on 5. März 2010 at 20:40

    @schrump
    Ich glaube den meisten Kunden wäre es schon zuviel überhaupt nur einen Brief von pornoglotzen24 zu bekommen. Selbst wenn da ausser dem Absender nichts draufsteht und nur ein weißes Blatt Papier drin liegt. Bei manchen Unternehmen will man doch nicht daß überhaupt nur irgendjemand weiß das man da Kunde ist – möglichst nicht mal der Briefträger. Wieso schauen die Leute sonst Pornos im Internet und holen sich die Dinger nicht aus der Videothek?

    Im übrigen: Was sagt das Finanzamt wenn pornoglotzen einfach so seine Abrechnungsdaten löscht.

    Ich glaube viele Firmen wären ganz froh, wenn Aufbewahrungsfristen gekürzt würden. Man stelle sich vor Unternehmer müssten ihre Daten nur drei Jahre aufbewahren und könnten sie dann löschen. Der Betriebsprüfer kommt im Schnitt alle 15 Jahre – Deutschland wäre ein Paradies für Steuerhinterzieher.

    • schrump said, on 5. März 2010 at 21:48

      Zum einen: Genau, und deshalb habe ich erklaert, wie ein passend konstruiertes Gesetz fuer einen Datenbrief im Interesse der pornoglotzen24-Kunden waere.

      Zum zweiten: Wahrscheinlich waere es nach der derzeitigen Gesetzeslage nicht sehr gluecklich. Also muss man, wie nicht nur ich schrieb, entweder die Aufbewahrungspflichten aendern, oder halt die verpflichtend gespeicherten Daten von der Mitteilungspflicht ausnehmen.

      Zum dritten: Das ist im Kern kein Argument. Ja, jede Lockerung von Ueberwachung fuehrt auch zur Nichteinhaltung von Gesetzen. Der logische Schluss daraus waere aber Vollueberwachung – gegen die gibt es aber reichlich wichtigere Gruende. Die Diskussion muss sich also wenn um die Abwaegung drehen, und dabei zeigt sich dann, dass es noch ein paar mehr Gestaltungsmoeglichkeiten als „drei Jahre alles aufbewahren mit Pruefung ca. alle 15 Jahre“ und „zehn Jahre alles aufbewahren und Pruefung ca. alle 15 Jahre“ gibt. Ein gutes Beispiel dafuer ist, dass Supermaerkte ueberhaupt keine Personendaten erheben muessen – was nicht heisst, dass sie keine Buchhaltung braeuchten. Fragt sich, inwieweit sich da ein Pornoeinkauf ueber 20 EUR so grundsaetzlich vom Lebensmitteleinkauf ueber 20 EUR unterscheidet.

  13. luise said, on 5. März 2010 at 22:25

    ich finde den datenbrief völlig unsinnig. die unternehmen, die daten von mir speichern um damit schindluder zu treiben, werden einfach keinen datenbrief an mich senden. wer kann das auch kontrollieren. genau. niemand.
    ich bestell zwar nichts an meine firmenadresse oder benutze meine firmenemail privat, aber ich will auch nicht, dass mein nachmieter mein komplettes privatleben (aha, schuhgröße 43, vorliebe für italienischen espresso und folgende kontodaten, außerdem einmal jedes jahr zur gleichen zeit 2 wochen malle gebucht usw.) erfährt. O.o
    selbst wenn ich kein kunde bei pornoglotze24 bin.

    • schrump said, on 5. März 2010 at 22:59

      Ich moechte zu bedenken geben, dass Du da moeglicherweise das Pferd von hinten aufziehst. Derzeit weisst Du halt nicht, wo Deine Daten gespeichert sind, und damit auch nicht, ob Dein Nachmieter (oder eben sonstwer, der das Geld hat, oder die noetige kriminelle Energie) Zugriff auf diese Daten hat. Nur weil man sie Dir nicht einmal im Jahr zuschickt, heisst das ja nicht, dass niemand darauf Zugriff haette. Der Datenbrief dagegen wuerde (a) den Anreiz fuer Unternehmen schaffen, derartige Daten einfach zu loeschen, damit sie keine Datenbriefe verschicken muessen (und damit haette eben weder Dein Nachbar, noch Leute mit ausreichend Geld oder krimineller Energie Zugriff darauf) und (b) Dir die Moeglichkeit geben, bei denen, die nicht von sich aus loeschen, ueberhaupt zu wissen, dass die Daten dort vorhanden sind, und so eine Loeschung zu erwirken, mit dem gleichen Ergebnis.

      Was die Moeglichkeiten zur Kontrolle angeht: Ja, das ist zumindest kein ganz einfaches Problem, aber ich denke, ganz so schlecht wie von Dir skizziert steht man da nicht wirklich da. Das eine ist, dass Kontrolle zum Teil moeglicherweise nichtmal sooo noetig waere, da zumindest nach meiner Erfahrung oft Daten einfach aufgehoben werden, da das ja erstmal nicht mit Kosten verbunden ist, und verboten ist es auch nicht, und vielleicht kann man sie ja irgendwann nochmal gebrauchen, also besser aufheben. Auch viele Unternehmen im Bereich des Datenhandels sind zumindest bisher durchaus stark darauf bedacht, sich an Datenschutzgesetze zu halten. Und ausserdem geht es ja bei den mit der Datenhaltung verbundenen Risiken nicht nur um moeglichen Missbrauch mit Zustimmung desjenigen, der die Daten aufbewahrt – angesichts meines Hintergrundes in der IT-Branche wuerde ich es mal auf den Punkt bringen als: Die meisten Datenbestaende mit Kundendaten u.ae. sind praktisch nicht gegen unberechtigten Zugriff geschuetzt. Hier einen besseren Zugriffsschutz durchzusetzen und zu pruefen scheint mir im Vergleich wirklich aussichtslos – daher scheint es mir auch aus der Richtung sinnvoller, einen Anreiz fuer die Loeschung der Daten zu schaffen.

      Und schliesslich sehe ich sogar einen halbwegs praktikablen Weg zur Kontrolle: An vielen Stellen tritt ja zutage, dass irgendwo personenbezogene Daten verwendet wurden – also z.B., wenn man mal wieder Werbepost erhaeltt. Dann kann man zurueckverfolgen, woher die Daten kamen, und pruefen, ob man ueber den Datenbestand per Datenbrief informiert wurde. Das wuerde zumindest die Verwertungsmoeglichkeiten von nicht offengelegten Datenbestaenden in einigen Bereichen deutlich reduzieren, und damit wieder einen Anreiz zur Loeschung schaffen. Ansonsten moegen da vielleicht passend dimensionierte Bussgelder helfen …

  14. george orwell said, on 5. März 2010 at 23:23

    Hmm worauf soll das hinauslaufen? auf eine einheitliche Email Adresse oder wie oben erwähnt eine einheitliche Steuernummer ?
    Klasse dann sind alle unsere Daten auf einmal unter einer Nummer einsehbar, da kann der einzelne noch so datenbewusst sein, die anderen geben dann halt unsere Daten weiter…. vielleicht könnte man die Steuernummer ja auch per RFID Chip in den Körper implantieren, dann bräuchten wir auch kein Bargeld und Ausweise mehr, wir könnten uns dann anhand der Nummer ausweisen…. und der auslesende hat dann alle jemals erfassten Daten über uns. Vielleicht könnte man es noch erweitern und die ganzen Autobahn Maut Brücken sowie die Diebstahlsensoren an den Einganngstüren der Kaufhäuser und Geschäfte mit RFID Lesegeräten auszustatten so das diese Daten auch gesammelt unter der gleichen Nummer gespeichert werden. So könnten dann auch gleich automatisch Bußgeldbescheide für zu schnelles Fahren, oder andere vergehen angestoßen werden….
    Uuuah das ist ja noch gruseliger als google 3.0…..

    • schrump said, on 6. März 2010 at 00:03

      Was meinst Du mit „einheitliche E-Mail-Adresse“? Und ueberhaupt: Was hat das mit dem Vorschlag zu tun, dass Unternehmen und Behoerden jeden, ueber den sie Daten speichern, regelmaessig ueber die gespeicherten Daten informieren muessen sollten?

      • pflaumensaft said, on 6. März 2010 at 00:21

        Er meint wahrscheinlich, daß sich das Problem der Adressierung und korrekten Zustellung nur durch ein eindeutiges Identifizierungsmerkmal lösen läßt. Man könnte ja sagen: Die Firmen senden ihre Datenbriefe an die neue DE Email die geplant ist. Oder die Leute geben zur eindeutigen Identifizierung ihre Steuernummer ein.

        • schrump said, on 6. März 2010 at 01:26

          Ja, man kann vermuten, dass er sowas meint. Aber weder ist das wirklich klar ersichtlich, noch ist das korrekt. Zum einen: Wie schon an anderer Stelle geschrieben, werden auch heute personenbezogene Daten per Post verschickt. Auch z.B. Werbung von Unternehmen, mit denen man eigentlich nichts mehr zu tun haben will, die dann bei Nachmietern landet. Die Verpflichtung zur regelmaessigen Mitteilung koennte hier vielmehr dafuer sorgen, dass man einen Ueberblick behaelt, wer noch so alles Daten hat, und sich so um eine Loeschung kuemmern kann – und das, bevor der Nachsendeauftrag auslaeuft und die unerwartete Werbung bei den Nachmietern landet.

          Und mal ganz davon ab ist das auch sonst logisch ziemlicher Unsinn: Ja, ein eindeutiges Merkmal braucht man wohl, um eine Nachricht zuverlaessig an eine bestimmte Person adressieren zu koennen. „Eindeutig“ heisst aber ja nichts anderes als „bezeichnet nur eine Person, nicht mehrere“, und das ist ja genau das, was Du forderst, um Fehlzustellungen zu vermeiden, also kannst Du Dich nicht im naechsten Schritt darueber beschweren. Du scheinst aber zu implizieren, dass Eindeutigkeit gleich auch Eineindeutigkeit bedeutet, die eine Zuordnung zwischen Datensaetzen anhand des Merkmals erlauben wuerde – und das ist offensichtlich Quatsch. Solange alle „Identifizierungsmerkmale“ oder „Adressen“ die betroffene Person bezeichnen, ist es nicht notwendig, dass die Person nur ein solches Merkmal hat, das dann die Zusammenfuehrung von Datensaetzen erlauben wuerde.

          So verwende ich im Verkehr mit Unternehmen im Regelfall fuer jedes Unternehmen eine eigene E-Mail-Adresse. Die sind alle eindeutig, sorgen also alle dafuer, dass die E-Mails genau und nur bei mir landen, aber eben nicht eineindeutig: Die Adressen sind alle unterschiedlich, und eine Zuordnung der verschiedenen Datensaetze anhand der E-Mail-Adressen ist, zumindest so trivial, nicht moeglich.

  15. Toljok said, on 6. März 2010 at 00:35

    @schrump

    schon mal auf die idee gekommen das nicht alle menschen wissen wollen, wer was über sie weis, oder es ihnen einfach schlicht egal ist?

    ihnen aber nicht egal ist, das sie nun keine nervige werbung mehr im briefkasten haben, dafür aber mit datenbriefen zugemüllt werden?

    das jedem klar sein sollte, wenn er irgendwo etwas bestellt, das das unternehmen genau das über denjenigen weis, was dieser selbst angegeben hat.

    niemand ist gezwungen dinge dort zu bestellen, wo viele daten verlangt werden. sie sind meist volljährig und dürfen rechtsgeschäfte tätigen, wollen sich aber in der regel nicht bevormunden lassen. 😉

    die jenigen die gaaanz genau wissen wollen, was über sie gespeichert ist, entweder daheim ihre eigene vorratsspeicherung betreiben können, oder für den fall das sie an alzheimer leiden, selbstständig bei den unternehmen nachfragen können, wo sie mal gelebt haben…

    vielleicht konntest du mal kurz darlegen, welche daten, überhaupt außerhalb der gesetzlichen regelungen aufbewahrt werden?

    nicht benötigte daten zu archivieren ist in der regel teuer!

    ist es nicht sinnvoller, die strafen für datenverstöße (unerlaubte aufbewahrung) zu erhöhen und ähnlich einer steuerprüfung oder einer prüfung des gesundheitsamtes eine datenschutzprüfung von einer datenschutzbehörde bei unternehmen vornehmen zu lassen. Das hielte ich für die deutlich elegantere lösung, es sei denn man ist im besitz von post aktien…

    … dann wärem einem wohl auch die wälder egal…

    in diesem sinne – toljok.^^

    • schrump said, on 6. März 2010 at 02:09

      „schon mal auf die idee gekommen das nicht alle menschen wissen wollen, wer was über sie weis, oder es ihnen einfach schlicht egal ist?“

      Ja, sicher. Wenn es ihnen egal ist, ist es ihnen wohl egal, also kann man es ihnen auch mitteilen. Ob man die Leute, die es nicht wissen wollen, bei solch einem Gesetz auch noch irgendwie zufriedenstellen kann, kann ich nicht sagen, scheint mir aber zumindest schwierig. Das waere dann eben die Abwaegung zwischen den Interessen derer, die es wissen wollen, und derer, die es nicht wissen wollen. Beides wird man moeglicherweise nicht erfuellen koennen, also muss man sehen, wie man sich zwischen den beiden Moeglichkeiten entscheidet.

      „ihnen aber nicht egal ist, das sie nun keine nervige werbung mehr im briefkasten haben, dafür aber mit datenbriefen zugemüllt werden?“

      Da konstruierst Du tendentiell einen falschen Gegensatz. Wer keine Werbung kriegt, kriegt vermutlich auch keine (oder zumindest entsprechend weniger) Datenbriefe. Wer viel Werbung kriegt, kriegt dann halt noch Datenbriefe obendrauf.

      „das jedem klar sein sollte, wenn er irgendwo etwas bestellt, das das unternehmen genau das über denjenigen weis, was dieser selbst angegeben hat.“

      (a) Es geht hier uebrigens auch um die Information ueber Datenweitergabe. (b) ich habe arge Zweifel, dass viele Leute wissen, wieviel von den Daten, die sie da so angeben ueber wie viele Jahre(!) gespeichert wird, (c) geht es ja nicht nur um so einfache Faelle wie den Versandhandel. Weisst Du, wieviele von Deinen Voranschriften die Post von Dir hat, ohne dass Du sie ihnen jemals explizit mitgeteilt hast? Oder vielleicht, was die Versicherungen in ihrer Datenbank zur Betrugspraevention ueber Dich speichern (moeglicherweise, ohne, dass Du dort Kunde bist!)? Es gibt reichlich Datenbanken, die Daten ueber Dich enthalten, die nicht einfach nur die Kundenadressen eines kleinen Unternehmens sind.

      „niemand ist gezwungen dinge dort zu bestellen, wo viele daten verlangt werden. sie sind meist volljährig und dürfen rechtsgeschäfte tätigen, wollen sich aber in der regel nicht bevormunden lassen. ;-)“

      „Wem’s nicht passt, der kann ja gehen“ ist kein inhaltliches Argument fuer oder gegen eine bestimmte Gestaltung des gesellschaftlichen Zusammenlebens. Aber schliesslich sollte ein solches Gesetz dem Buerger ja genau die dafuer noetige Entscheidungshilfe an die Hand geben, indem eben transparent gemacht wird, welche Daten gespeichert (ungleich erhoben!) werden.

      „die jenigen die gaaanz genau wissen wollen, was über sie gespeichert ist, entweder daheim ihre eigene vorratsspeicherung betreiben können, oder für den fall das sie an alzheimer leiden, selbstständig bei den unternehmen nachfragen können, wo sie mal gelebt haben…“

      Du moechtest Dich moeglicherweise mit den alljaehrlich vergebenen Bigbrother-Awards (http://www.bigbrotherawards.de/) beschaeftigen, um einen Eindruck zu gewinnen, wo alles Daten ueber Dich gespeichert werden, wo Du selbst bei minutioeser Dokumentation Deines Lebens wohl nicht mit gerechnet haettest. Und ausserdem wuerde das nicht wirklich dafuer sorgen, dass Unternehmen per default mal etwas vorsichtiger mit den Daten umgehen als sie es derzeit tun – eine wesentliche Absicht hinter dem Gesetz.

      „vielleicht konntest du mal kurz darlegen, welche daten, überhaupt außerhalb der gesetzlichen regelungen aufbewahrt werden?“

      Du meinst ausserhalb der vorgeschriebenen? Ich glaube, da zerlegst Du Dich gerade selbst: Wenn das eh quasi nicht vorkommt, koennte man sich das Gesetz zwar sparen, aber es wuerde sich ja eh quasi nichts aendern, also spraeche das zumindest nicht inhaltich gegen das Gesetz. Und wenn’s doch oft vorkommt, brauchen wir ein solches Gesetz vielleicht. Aber die Bigbrotherawards sind, um die Frage zu beantworten, wohl tatsaechlich ein guter Einstiegspunkt dazu.

      „nicht benötigte daten zu archivieren ist in der regel teuer!“

      Nein. Ein Terabyte Massenspeicher kostet gerade mal noch 100 EUR oder so, je nach gewuenschter Redundanz halt entsprechend ein paar hundert Euro. Teuer ist vielleicht, fuer eine lang angelegte sichere Verfuegbarkeit zu sorgen, aber das ist ja nicht notwendig, um Daten einfach erstmal auf Verdacht zu sammeln. Effektiv ist es inzwischen oftmals teurerer, Daten auszusortieren, als einfach mehr Speicherplatz zu kaufen, und ich kenne mindestens ein Unternehmen, das inzwischen nach der Maxime „loeschen war gestern“ verfaehrt, zumindest im Rahmen dessen, was die Datenschutzbestimmungen hergeben.

      „ist es nicht sinnvoller, die strafen für datenverstöße (unerlaubte aufbewahrung) zu erhöhen und ähnlich einer steuerprüfung oder einer prüfung des gesundheitsamtes eine datenschutzprüfung von einer datenschutzbehörde bei unternehmen vornehmen zu lassen. Das hielte ich für die deutlich elegantere lösung, es sei denn man ist im besitz von post aktien…“

      Zum einen: Nein, es geht hierbei ja nicht (nur) um unerlaubte Speicherung, sondern auch z.B. um Daten, deren Speicherung erlaubt ist, solange dem nicht widersprochen wird. Das elegante an der Idee des Datenbriefes ist es ausserdem gerade, dass man nicht zentral festschreibt, wie genau „richtiger Datenschutz“ aussieht, sondern dass man so der betroffenen Person jeweils selbst das Handwerkszeug in die Hand gibt, seine Vorstellungen zum Schutz seiner eigenen Daten mit begrenztem Aufwand durchsetzen zu koennen.

      Zum anderen: Auch wenn das ganze unter dem Schlagwort „Datenbrief“ angepriesen wird, heisst das nicht, dass es sich tatsaechlich zwingend um Briefe handeln muss. Also, auch der Vorschlag des CCC sagt explizit, dass fuer die Umsetzung z.B. keine zusaetzlichen Daten erhoben werden sollen – wenn ein Unternehmen von Dir eine E-Mail-Adresse hat, koennten sie moeglicherweise auch die nutzen, um Dich ueber gespeicherte Daten zu informieren.

      • johann said, on 6. März 2010 at 07:45

        Also deine Argumente kann ich nicht ganz nachvollziehen. Du sagst: Ja das mit den persönlichen Daten wird kein Problem werden. Denn die Firmen und Institutionen werden ja dann wie blöd anfangen Daten zu löschen. Ja und wenn nicht?

        Regiert dann zukünftig das Prinzip Hoffnung?

        Im übrigen: Du schreibst hier eifrig Kommentare und gibst dabei zum Beispiel deine Email Adresse an. Vielleicht schreibst du auch im lawblog = Unternehmer, und in anderen Blogs.

        Jeder Blog einer Behörde oder Institution in dem du mal einen Kommentar hinterlassen hast wird sich zukünftig einmal jährlich bei dir melden, wenn das umgesetzt wird. Und weshalb sollten die die Email Adresse löschen: Das macht doch keinen Aufwand diese Email zu versenden, das geht voll automatisch. Nur wirst du dich ganz schön wundern wenn dann dein Email Konto überquillt.

        Sicher – dann macht man da eben auch wieder eine Ausnahme. Und noch eine Ausnahme und noch eine Ausnahme.

        • schrump said, on 6. März 2010 at 17:54

          Ja, und wenn sie darauf nicht von alleine kommen, dann teilt man ihnen diesen Wunsch halt mit. Wenn man weiss, welche Daten wo liegen, ist das ja ziemlich einfach – es geht hierbei ja gerade darum, ueber die Daten informiert zu werden, deren Loeschung (oder auch Korrektur) man verlangen kann. Die Gesetzesgrundlage, auf der man die Loeschung verlangen kann, existiert ja bereits (das Bundesdatenschutzgesetz und die Datenschutzgesetze der Laender), viel Hoffnung braucht man da also nicht – alles, was man braeuchte, waere eine Moeglichkeit, ueberhaupt zu wissen, welche Daten wo liegen.

          Gerade, wenn Du eine E-Mail bekommst, waere es ja ein einfaches, darauf zu antworten mit einer Aufforderung zur Loeschung – und schon bekommst Du nicht mehr einmal im Jahr weitere E-Mails, _und_ Du bist die Daten los. Gerade bei „sensiblen“ Unternehmen (aka pornoglotzen24) wuerde ich allerdings stark damit rechnen, dass sie spaetestens mit der Einfuehrung eines Datenbriefes den Datenschutz und die fruehzeitige Loeschung von Daten fuer’s Marketing entdecken.

          Ich habe keine genaue Ahnung, wo man die Grenze fuer Ausnahmen ziehen will – aber ich denke, dass es machbar sein sollte, sie so zu ziehen, dass wir nicht hinterher in Datenbriefen ersticken. Schliesslich ist, zumindest in meinen Augen, nicht das Ziel, wirklich jedes letzte Bit an Information zu tracken, das irgendwo ueber einen existiert – das Ziel ist primaer, einen Einblick in die Datenbanken zu bekommen, von denen man nichts wuesste, wenn uns der Bigbrotheraward nicht jedes Jahr die eine oder andere davon praesentieren wuerde, und die mehr oder weniger unsichtbar an allen moeglichen Stellen in unser Leben eingreifen. Warum bietet ein Online-Shop mir Zahlung auf Rechnung an, Dir aber nur Vorkasse? Naja, es steht halt in irgendeiner Datenbank, dass entweder ich selbst, oder meine Wohngegend allgemein, zuverlaessiger zahlt. Welche Datenbank genau das ist? Tja, das wuesste ich gerne!

          Und nein, natuerlich gebe ich hier, wie auch sonst idR. in Blogs, keine mir gehoerende E-Mail-Adresse an (http://www.trash-mail.com/ hilft weiter), und ich verstehe auch nicht wirklich, warum eine E-Mail-Adresse erhoben wird. Die Loesung auch zu diesem vermeintlichen Problem waere dann wohl, einfach keine E-Mail-Adressen mehr zu erheben?

  16. […] Risiken: Datenbriefe In einem offenbar ganz frischen Blog diskutiert ein Pflaumensaft die Risiken des Datenbriefes. Der Datenbrief soll den Datenschutz benutzerfreundlicher machen. Bislang muss sich jeder aktiv […]

  17. pflaumensaft said, on 6. März 2010 at 08:31

    Die, die wirklich Probleme bereiten sind wie in vielen Bereichen lediglich ein paar wenige: Das ist genauso wie bei den Massenabmahnungen oder den Abzockseiten im Internet: Das sind eine Handvoll Leute die einen Sack Probleme verursachen.

    Und die werden die Datenbriefe einfach umgehen. Ein Beispiel:
    Adresshändler A hat hundertausende von Adressen mit denen er handelt. Diese hat er erlangt in dem er ein Auto auf öffentliche Plätze zur Verlosung aufgestellt hat. Teilnehmer werfen die Karte durch das Autofenster und stimmen der Weitergabe ihrer Daten zu: Im Austausch für eine Gewinnchance.

    Nun muss er zukünftig Datenbriefe versenden. Die Leute merken, daß dort Daten gespeichert sind und werden vielleicht die Löschung fordern. Also was tut er:
    1. Er versendet am 31.12 die Datenbriefe.
    2. Er gründet am 02.01 eine neue Firma. Die alte Firma verkauft nun der neuen Firma die Daten und wird anschließend aufgelöst. Die Löschaufforderungen laufen ins Leere.
    3. Er verkauft munter die Daten weiter an Dritte.
    4. Am Ende das Jahres wenn wieder die Datenbriefe anstehen wiederholt er das Spiel.

    Vielleicht löst er die Firma sogar schon auf, bevor er die Datenbriefe versendet um die Pflicht komplett zu umgehen.

    Oder Firma B:
    Sie kauft Daten bei Adresshändler A:
    – Firma B versendet munter Werbebriefe. Am 31.12 stehen die Datenbriefe an. Am 30.12 löscht Firma B deshalb alle gespeicherten Daten. Am 02.01 kauft Firma B die Daten bei Adresshändler A neu ein.

    Es wird wie immer laufen: Die ehrlichen haben zu leiden, die unehrlichen werden sich nicht drumm kümmern und Vermeidungsstrategien finden.Ich muss zugeben: Im ersten Moment dachte ich auch der Datenbrief sei eine gute Idee. Aber:

    Wen will man eigentlich mit dem Datenbrief treffen: Eigentlich ja nicht den kleinen Unternehmer der einen Shop betreibt und nur in Ruhe seine Kaffeetassen oder T-Shirts ausliefern will. Sondern kriminelle Datensammler, Adresshändler usw. die mit den Daten anderer Leute Schindluder treiben. Das tut man in dem man alle verpflichtet alle Daten offen zu legen.

    Nur: Genau die die man treffen will, werden sich einen feuchten Dreck drum kehren, alle anderen müssen drunter leiden.

    Ich hab vor kurzem einen Teepadhalter für meine Senseo Maschine bestellt. Die hat 6 Euro gekostet. Wahrscheinlich hat der Shopbetreiber 1-2 Euro dran verdient. Ich bin schon am überlegen ob ich der armen Sau von Shopbetreiber nochmal 10 Euro extra für die Datenbriefe überweise.

    • Sven Türpe said, on 6. März 2010 at 11:35

      Die 10 Euro kann er sich doch mit Adresshandel verdienen. 🙂

    • schrump said, on 6. März 2010 at 18:25

      Also sieht man eine Verpflichtung vor, vor Aufgabe der Geschaeftstaetigkeit noch einen letzten Datenbrief versenden zu muessen, der ueber alle Datenweitergaben seit dem letzten Datenbrief informiert? Damit waere die Luecke geschlossen, da man sich mit seiner Forderung an das neue Unternehmen wenden koennte. Ich vermute, der CCC hat sich etwas dabei gedacht, in den Vorschlag eine persoenliche Haftung des Geschaeftsfuehrers fuer den Versand der Datenbriefe aufzunehmen.

      Davon ab bin ich aber nichtmal sicher, ob solch ein Verkauf im Normalfall ueberhaupt zulaessig ist. IIRC gilt die Einwilligung zur Speicherung immer nur fuer ein bestimmtes Gegenueber, und der „Verkauf“ von Daten geschieht gewissermassen mehr als „Verleih“, die Daten werden also mit der Massgabe der Verwendung fuer einen bestimmten Zweck (Versand von Werbebriefen oder sowas halt) und einer Verpflichtung zur anschliessenden Loeschung seitens des Kunden weitergegeben.

      • pflaumensaft said, on 6. März 2010 at 19:18

        Dann wäre die Lücke gesetzlich geschlossen aber nicht praktisch: Wer soll denn z.B. bei einem insolventen Unternehmen den letzten Datenbriefversand bezahlen? Das läuft doch heute schon in anderen Bereichen so: Da sind irgendwelche Leute ohne Geld als „Geschäftsführer“ eingesetzt und agieren als Strohmann.

        Letztendlich verursachen doch bereits heute vor allem die die Probleme, die rechtliche Grauzonen nutzen oder sich gar nicht ans Gesetz halten. Das ganze hat schon wie „Mümmelmann“ sagt etwas vom Versuch per Gesetz einen Ladendieb dazu zu bringen sich freiwillig an der Kasse zu melden.

        • schrump said, on 6. März 2010 at 20:08

          Grundsaetzlich sollte das Unternehmen vielleicht einfach zur Bildung entsprechender Ruecklagen verpflichtet sein, halt wieder mit Haftung des Geschaeftsfuehrers dafuer, dass das geschieht?

          Ansonsten Teile ich halt die Ansicht nicht, dass der komplett illegale Betrieb fuer viele der betreffenden Unternehmen in Frage kommt. Ja, fuer reine Adresshaendler zum Teil vielleicht noch gerade, aber Schufa, Schober, Uniwagnis und Co.? Sicher wird es vereinzelt Leute/Unternehmen geben, denen so nicht beizukommen ist, aber solange das nicht die ueberwaeltigende Mehrheit ist, scheint mir das kein Grund gegen ein solches Gesetz zu sein – und ich denke zumal, dass gerade die reinen Adresshaendler auch ein eher kleines Problem sind. Unverlangte Werbepost ist zwar nervig, aber im Vergleich zu dem Potential anderer Datenbanken doch einigermassen handhabbar.

  18. Mümmelmann said, on 6. März 2010 at 09:20

    Der Bundesverband der Einzelhändler fordert:
    Zur Vermeidung von Ladendiebstählen haben Kunden zukünftig alle Ware die sie dem Regal entnehmen unaufgefordert an der Kasse vorzulegen. Dadurch soll kriminellen Ladendieben das Handwerk gelegt werden.

    Mir kommt der Datenbrief vor wie der Versuch, Ladendiebe zukünftig per Gesetz zu verpflichten sich nach dem Diebstahl an der Kasse zu melden.

    • schrump said, on 6. März 2010 at 18:57

      Nicht, dass es nicht sicher immernoch Leute geben wird, die zumindest versuchen wuerden, solche Gesetze zu umgehen. Und manchen wuerde es sicher auch gelingen. Aber: Viele Betreiber von Datenbanken, in die mehr Einblick meiner Meinung nach sinnvoll waere (d.h., von den Datenbanken, die inzwischen ein wenig oeffentlich bekannt sind), sind zumindest bisher schon einigermassen darauf bedacht, die Datenschutzgesetze einzuhalten. Und z.B. eine Datenbank, in der die deutschen Versicherungsunternehmen gemeinsam Informationen ueber Leute sammeln, die an „verdaechtigen“ (nach Beurteilung der Versicherung) Versicherungsfaellen beteiligt waren (namentlich Uniwagnis), duerfte eher schwer sein unterm Radar verschwinden zu lassen.

      • tuttifrutti said, on 7. März 2010 at 14:10

        Solche schwarzen Listen sind sicherlich ein Problem. Die Frage ist inwieweit man solche Listen nicht lieber ganz verbieten sollte. Auf der anderen Seite müssen sich Unternehmen aber auch gegen Betrüger schützen können. Nehmen wir an, ein Kunde bestellt bei einem Unternehmen und bezahlt nicht. Diese Information wird dann gespeichert und weitere Rechnungs- und Lastschriftzahlungen abgelehnt. Da wäre es ja geradezu pervers wenn der Kunde nun einen Auskunfts- und anschließend einen Löschanspruch hätte und dann nach Löschung der Daten neu bestellt und nicht bezahlt.

        Ein umfassender Auskunftsanspruch sowie ein Meldepflicht für solche schwarzen Listen – und eine Veröffentlichung zum Beispiel auf einem Auskunftsportal des Bundesdatenschutzbeauftragten wären da ein guter Anfang für mehr Transparenz.

        • schrump said, on 7. März 2010 at 23:00

          Ja, zum Teil wuerde man solche Datenbanken vielleicht auch abschaffen wollen, zum Teil gibt es sicher auch ein berechtigtes Interesse an solchen Datenbanken. Aber auch fuer die politische Willensbildung, welche der Datenbanken man vielleicht abschaffen wollte, waere der Datenbrief sicher ein nuetzliches Hilfsmittel (wenn man weiss, wo was fuer Daten ueber einen gespeichert werden, kann man sich leichter eine politische Meinung dazu bilden, welche Datenbanken man vielleicht gerne ganz abgeschafft saehe).

          An dem von Dir aufgefuehrten Beispiel sehe ich allerdings wenig, was gegen den Datenbrief spraeche. Wenn es sich um eine berechtigte Forderung handelt, duerfte ohnehin Schriftverkehr in der Sache (Mahnungen, Mahnbescheid, …) stattfinden, wahrscheinlich auch auf dem Postwege. Dass der Datenbrief von Infoscore/Schufa/… dann noch viele Geheimnisse verraten wuerde, schiene mir unwahrscheinlich. Wenn es sich um eine unberechtigte Forderung handelt, besteht dagegen selbstverstaendlich ein Loeschanspruch – und hier waere gerade wieder der Nutzen des Datenbriefes, dass man von dem unberechtigten Eintrag erfaehrt. Meines Wissens besteht ausserdem ein Loeschanspruch nicht nur, sobald eine Forderung nicht mehr besteht, sondern schon dann, wenn eine Forderung bestritten wird – Sinn solcher Datenbanken ist ja nicht, das Rechtssystem zu ersetzen und/oder zu bestrafen, sondern wirtschaftlichen Schaden durch Lieferung an nicht zahlungsfaehige Personen zu vermeiden.

  19. Ingo said, on 6. März 2010 at 11:36

    „Ich hab vor kurzem einen Teepadhalter für meine Senseo Maschine bestellt. Die hat 6 Euro gekostet. Wahrscheinlich hat der Shopbetreiber 1-2 Euro dran verdient. Ich bin schon am überlegen ob ich der armen Sau von Shopbetreiber nochmal 10 Euro extra für die Datenbriefe überweise.“

    Du kannst davon ausgehen das bei einem Versender der keinen Mindestbestellwert hat, alle Bestellungen unter 10-15 Euro gar keinen Gewinn haben, sondern durch alle anderen bestellungen getragen werden.
    Ware unter 20 Euro zu verschicken ist Kundenservice.

    Es gibt mittlerweile schon genug mit dem die kleinen Shops bestraft werden, ob wohl sie nur versuchen den Kunden als König zu sehn.
    -Abmahnungen wegen Kleinichkeiten.
    -ABG und WRB die man nicht rechtssicher gestalten kann, da es in dem Bereich keine Rechtssicherheit gibt.
    -IHK
    -GEZ
    -GEMA (Beitrag in Computerbauteilen)
    -Künstlersozialkasse (wenn ein Webdsigner meine Seite gestaltet)

    Für was soll man als Unternehmer denn noch alles bezahlen, obwohl man es nicht benutzt?
    Und die Leute wundern sich warum alles noch teurer wird.

  20. meknowsnothing said, on 6. März 2010 at 11:50

    Danke für deinen Eintrag. So konkret habe ich mir noch nicht gedanken gemacht, aber ich hatte von anfang an ähnliche Bedenken und finde deinen Eintrag nachvollziehbar.

    Hier mal ein Alternativkonzept:

    Für jeden Datensatz über einen Kunden wird eine bestimmter Wert festgelegt. Kreditkartenkartendaten sind zB sehr privat und sollten mit 90 bewertet werden. Um diese speichern zu dürfen, muss ein Unternehmen höchste Sicherheitsanforderungen erfüllen, also Verschlüsselung, Löschfrist bei Nichtbenutzung, etc.

    Kontakt wie Namen und Adresse könnte man zB mit 50 bewerten. Sie müsste man nach einer bestimmten Frist bei Nichtbenutzung löschen.

    Logdaten bekämen einen Wert von 10. Löschfrist, sagen wir 6 Monate.

    Daten wie öffentliche Kommentare, Bewertungen etc bekommen einen Wert von sagen wir 1.

    Daraus berechnet sich ein Score-Wert, den jeder Kunde einsehen kann, auch sortiert nach Art der Daten. Jedes Jahr müsste ein Unternehmen eine Übersicht erstellen, wie viele Daten es erhebt und zB wieviele Daten es pro Privatkunde, wieviele sensitivste Daten etc.

    Das kann dazu führen, dass Datensparsamkeit sich als Wettbewerbsvorteil etabliert, weil man konkrete Vergleichswerte hat. Wenn man dann zB sieht, dass Google mehr Daten als Yahoo erhebt oder Facebook mehr als StudiVZ, dürfte das hilfreich sein.

    Soetwas in der Art ist ja vielleicht geplant mit der Stiftung Datenschutz, God knows…

    (Das ist natürlich ein sehr grober Vorschlag, die Ausarbeitung würde schwierig werden, aber nicht weniger schwer als der Datenbrief. Die Werte sind ziemlich frei rausgegriffen und müssten natürlich angepasst werden.)

  21. AMUNO said, on 6. März 2010 at 12:14

    Hehe,
    ja klar, Pornoglotze24 auf den Osterinseln hängt sich jetzt schon fast auf wegen eines deutschen Datenbriefs _.-

    bissle arg daneben…

    Gruß

    AMUNO

    • gurki said, on 6. März 2010 at 12:39

      Naja, ob von pornoglotze24 oder vom Frauenarzt von Bischofsbrück:

      Von manchen Leuten möchte man einfach keine Post bekommen.

      • schrump said, on 6. März 2010 at 18:45

        Genauer: Bei manchen Leuten moechte man einfach nicht in der Datenbank stehen. Der Datenbrief hilft, genau das durchzusetzen, und gerade in solchen Faellen schon _vor_ dem Versand von Datenbriefen.

  22. Torsten Werner said, on 6. März 2010 at 12:37

    Bekomme ich jedes Jahr einen Datenbrief, nachdem ich hier einen Kommentar geschrieben habe? 😉 Interessanter Beitrag und ich denke, eine ausdrücklicher (confirmed) Opt-In für den Datenbrief ist die einzig akzeptable Lösung.

    • schrump said, on 6. März 2010 at 18:02

      Ob akzeptabel weiss ich nicht, zumindest waere es keine Loesung. Das Problem, das der Datenbrief loesen soll, ist, zu wissen, _wo_ Daten gespeichert sind, das muesste man aber fuer Opt-In auch schon wissen. Ein Auskunftsrecht, wenn man weiss, dass irgendwo Daten ueber einen gespeichert sind, gibt es auch heute schon.

      • Torsten Werner said, on 6. März 2010 at 19:18

        Wie der Beitrag schon erklärt, kann es Teile meiner Vergangenheit geben, mit der ich keinesfalls mehr konfrontiert werden will. Wir leben nicht in einer totalitären Diktatur, wo ich dazu gezwungen werde.

        • schrump said, on 6. März 2010 at 19:46

          Genau, und deshalb sollte es den Datenbrief geben, damit Du fuer eine Loeschung diesbezueglicher Daten sorgen kannst, bevor irgendjemand Jahre spaeter auf die Idee kommt, sie gegen Dich zu verwenden (sei es unabsichtlich, weil die Alkoholikerhilfe meint, so ihre aktuelle Finanznot lindern zu koennen, oder absichtlich, indem sich jemand unberechtigterweise Zugang zu den Daten verschafft).

          Datenbestaende und die Gefahr, mit ihnen konfrontiert zu werden, beseitigt man nicht, indem man keine Mitteilungspflicht ueber die Existenz der Daten hat, sondern indem man den betroffenen Personen die Moeglichkeit gibt, fuer eine zeitnahe Loeschung zu sorgen, oder noch besser gleich einen Anreiz schafft, die Daten gar nicht erst zu speichern. Loescht die Alkoholikerhilfe naemlich die Daten, um keine Datenbriefe verschicken zu muessen, kriegst Du zum einen keinen einzigen Datenbrief, und zum anderen sind die Daten dann nicht mehr da, wenn’s finanziell mal schlecht steht, …

          Folglich greift auch Dein Argument der vermeintlichen totalitaeren Diktatur nicht: Der Datenbrief wuerde Dir ja die Wahl lassen, ob Du die Loeschung verlangst, um nicht mehr konfrontiert zu werden, oder ob Du mit einer weiteren Speicherung einverstanden bist. Der derzeitige Zustand dagegen zwingt Dich, in der Ungewissheit darueber zu leben, wer so alles was ueber Dich weiss und wann als Druckmittel gegen Dich verwenden zu koennen. Das ist relativ typisch fuer totalitaere Diktaturen …

          • tuttifrutti said, on 7. März 2010 at 13:27

            Ich möchte aber vielleicht, daß bestimmte Stellen meine Daten gespeichert haben und dennoch keine Post von diesen bekommen – was mache ich dann? Zum Beispiel damit ich bei einem Notfall kontaktiert werden kann.

            Außerdem: Oft besteht gar kein Löschanspruch. Was nützt es mir dann wenn ich den Datenbrief bekomme? Zum Beispiel vom Bundeszentralregister. Die schicken dann Straftätern einen Auszug – kann der deshalb dort die Löschung fordern – nein.

            Kann jemand fordern, daß das Amtsgericht die Daten aus dem Schuldnerverzeichnis über mich löscht? Auch nicht. Deshalb will ich vielleicht trotzdem nicht dass von dort Post kommt.

            Selbst auf viele bei der Schufa oder anderen Auskunfteien gespeicherte Daten habe ich keinen Löschanspruch und die werden einen Teufel tun die zu löschen – Datenbrief hin oder her.

  23. pascal said, on 6. März 2010 at 13:44

    Möglichkeiten solcher Desaster wären doch gerade der Vorteil des Datenbriefs: ein Sexshop, der sich mit „diskretion“ bewirbt würde eben gar nicht jahrelang speichern, sondern möglichst schnell anonymisieren und dann löschen.
    Es reicht ja, die Rechnung mit einem kryptographischen Hash aufzuheben um zu verifizieren, dass z.B. ein innerhalb von 14 Tagen zurückgesendetes Produkt auch tatsächlich gekauft wurde.

    Es würde einen positiven „chilling effect“ geben: weil die Benachrichtigung aufwendig/teuer würde, überlegt man sich zweimal, ob es wirklich nötig ist, persönliche Daten zu speichern.

    • trash said, on 6. März 2010 at 14:33

      Och nö. Das wär mir als Versandhändler oder Online Dienstleister zu kompliziert. Dann würd ich lieber Datenbriefe versenden. Der CCC irrt sich übrigens, wenn er meint der Datenbrief würde hohe Kosten verursachen und deshalb zu Datenvermeidung führen:

      Ich bin mir sicher – sollte das Gesetz werden ist in der nächsten Version von Lexware Financial Office eine Schnittstelle für die einfache Übertragung an eine Sammelstelle integriert. Da kann ich die Daten einfach auf Knopfdruck einmal im Jahr versenden. Gar kein großer Aufwand.

      Und was heißt hier Chilling Effects: Dem einen mag es egal sein wenn ein Datenbrief aus dem Pornoshop kommt dafür hat er vielleicht ein Problem wenn da ungefragt ein Einzelverbindungsnachweis der Telekom aufschlägt den er gar nicht beantragt hat: „Du hast doch gesagt du hast keinen Kontakt mehr zu deiner Ex, da steht aber du hast die letzte Woche fünfmal angerufen“. Es kann niemand voraussagen welche Datenbriefe jemand bekommen möchte und welche lieber nicht. Der eine möchte regelmäßig informiert werden ob seine Vorstrafen noch gespeichert sind, der andere kriegt nur Schweißausbrüche wenn er daran denkt ein Brief vom Bundeszentralregister könnte in seinem Briefkasten landen.

      Man kann einzelne Beispiele immer leicht entkräften: Pornos sind doch keine große Sache, da lässt sich doch keiner scheiden oder ähnliches. Es geht aber um das Grundproblem: Ich kann nicht einfach für andere Leute entscheiden, daß diese jetzt Datenbriefe zu bekommen haben, ob sie wollen oder nicht. Das ist eine individuelle Entscheidung des Einzelnen.

      Das ist schon eine ziemliche Arroganz des CCC zu sagen: Ihr bekommt alle den Datenbrief, ob ihr das wollt oder nicht, was gut für euch ist bestimmen wir.

      • schrump said, on 6. März 2010 at 18:09

        Erstens: Aber Lexware wird den Versand sicher nicht bezahlen.

        Zweitens: Die Gefahr von Datensammlungen ist aber nicht dadurch gebannt, dass man keine gesetzliche Mitteilungspflicht hat. Die Daten bleiben da, und koennen einem jederzeit auf den Fuss fallen. Der ganze Sinn des Datenbriefes ist es, Dir eine Moeglichkeit zu geben, das Uebel an der Wurzel zu packen und eine Loeschung der Daten zu bewirken, damit Du _weder_ (weitere) Datenbriefe kriegst, _noch_ die Daten sonst irgendwie missbraucht werden koennen.

        Drittens: Es ist eine ziemliche Arroganz von Dir, zu sagen: Ihr sollt alle keinen Ueberblick darueber haben, wer Daten von Euch speichert, was gut fuer euch ist, bestimme ich. Du loest das Problem, sich fuer eine Loesung fuer alle entscheiden zu muessen, nicht dadurch, dass Du Deine eigene Loesung vorschreibst.

        • trash said, on 6. März 2010 at 18:38

          1. Die Softwarelösungsanbieter werden entweder den Datenbrief dadurch finanzieren daß sie Werbung beilegen. Oder dadurch, daß sie die eingehenden Daten abgleichen, die Kundendaten zusammenführen und dann nur einen Brief verschicken: Mit einem Abrufpasswort. Die Einsender der Daten teilen sich das Porto. Da hätten wir dann eine riesige Datenbank mit den persönlichsten Kundendaten.

          2. Unter Umständen bekommt der Unternehmer noch was bezahlt für seine Datenübertragung: Wenn er nämlich Kunden dazu bekommt z.B. mit einer Checkbox während des Bestellvorgangs in die Weitergabe seiner Daten einzuwilligen. Dann könnte es heißen: Wir verschicken Ihre Datenbriefe – Sie bekommen auch noch Geld dafür. D.h. viele Unternehmen die bisher keine Daten weitergeben werden es zukünftig tun.

          3. Wie hier schon ein dutzendmal erwähnt: Eine Löschung ist in vielen Fällen aufgrund gesetzlicher Vorschriften nicht möglich und im übrigen von vielen auch gar nicht gewünscht – und sei es nur aus Bequemlichkeit um nach 5 Jahren beim Versandhaus anrufen zu können: Ich such da dieses und jenes Produkt, das hab ich schon mal irgendwann bei ihnen gekauft, können sie mal in meinem Kundenkonto nachschauen.

          Im übrigen – Apropos Arroganz. Zitat: Frank Rieger vom CCC:

          http://twitter.com/frank_rieger
          about 3 hours ago via Echofon
          Zitat: „Bemerkenswert, wie viele Leute den #Datenbrief missverstehen wollen. Wir formulieren dann die Tage noch mal unmißverständlich nach.“

          Ich weiß nicht ob sich diese Äusserung auf Twitter auf die Diskussion hier bezieht, die ich eigentlich als sehr sachlich und als durchaus wichtig empfinde. Umso besser wenn der CCC in der Lage wäre ein Konzept zu entwickeln, daß die hier geäußerten Bedenken komplett beseitigt. Also man darf gespannt sein wie der CCC nochmal nachformuliert, damit auch wir ignoranten Flachpfeifen endlich sein Konzept in seiner vollen Genialität verstehen können. Aber wir wollen ja angeblich gar nicht verstehen.

          • schrump said, on 6. März 2010 at 19:34

            1. Ich vermute, man sollte vorsehen, dass Datenbriefe keine Werbung beinhalten duerfen?

            2. Duerfte damit auch geklaert sein?

            3. Wie hier schon ein dutzend mal erwaehnt: dann nehme man halt Daten, die der Aufbewahrungspflicht unterliegen, von der Mitteilungspflicht aus, z.B. Und was die Daten angeht, die darueberhinaus auf Wunsch des Kunden gespeichert werden, kann ich mir viele Loesungen vorstellen. Eine Moeglichkeit waere z.B. eine Verlagerung der Daten zum Kunden. Ist ja heute nichtmehr allzu schwierig, solche Daten dem Kunden in einem maschinenlesbaren Format zukommen zu lassen, damit er sie aufheben kann, solange er will, um darin zu suchen. Vielleicht kann man auch doch irgendwelche Sonderfall-Opt-Out-Moeglichkeiten vorsehen?

            Ich habe nun offensichtlich auch keine fertige Loesung fuer ein solches Gesetz, aber ich habe den Eindruck, dass sich hier viele sehr daran aufhaengen, was das alles fuer Folgen haben koennte, wenn man solch ein Gesetz zu engmaschig macht, und malen sich dann aus, dass sie in Zukunft jedes Jahr tausende dicke Briefe per Post erhalten, in denen haufenweise intime Details stehen, und groesstenteils Daten, von deren Existenz man sowieso weiss. Ja, da sollte man wohl aufpassen, dass man solch eine Gesetz nicht so konstruiert, weil man damit wohl genau das Gegenteil des gewuenschten Ziels erreichen wuerde. Aber es scheint dabei ein wenig uebersehen zu werden, welche Gefahr da derzeit heranwaechst in Form von Datenbanken, in denen Konzernverbaende u.ae. Informationen ueber mehr oder weniger alle Buerger zusammentragen, und von denen mehr oder weniger keiner weiss. Genau diese Datenbanken sollten meiner Meinung nach das primaere Ziel eines solchen Gesetzes sein – und wenn da im Zweifelsfall dann mal ein Onlineshop durchflutscht und ein paar Daten zuviel aufhebt, von denen man nichts weiss, waere das sicher besser als eine Ueberregulierung. Allerdings waere es meiner Meinung nach im Zweifelsfall auch besser, wenn vereinzelt mal jemand einen nicht so erwuenschten Datenbrief (oder eine nicht so erwuenschte Daten-E-Mail) erhaelt, wenn dafuer im Gegenzug sehr viel mehr Leute vor den Auswirkungen unbekannter Datensammlungen geschuetzt werden, die einen ja mindestens genauso unvorbereitet treffen koennen wie ein Datenbrief von pornoglotzen24 (der zumal mit hoher Wahrscheinlichkeit, so er denn ueberhaupt kaeme, eine E-Mail waere, und daher wahrscheinlich das Problem nicht haette). Insofern ist aber die Diskussion darueber, wie ein solches Gesetz nach hinten losgehen koennte, natuerlich schon wichtig – eben, um die Probleme nach Moeglichkeit zu vermeiden.

            Aber ja, ich bin auch gespannt, was der CCC noch an Details verlautbaren wird 🙂

          • Frank Rieger said, on 8. März 2010 at 01:08

            Kurz zur Klarstellung: damit war nicht die Diskussion hier gemeint, die ich mit großem Interesse verfolge, sondern ein ziemlich flacher Kommentarthread anderswo.

            Vielleicht als Anregung zur weiteren Debatte: es geht uns um den Grundsatz, daß jeder das Recht hat zu erfahren, was von wem über ihn wo und zu welchem Zweck gespeichert ist, verarbeitet und weitergegeben wird. Die Art und Weise der Mitteilung, ob nun beispielsweise per ohnehin verschicktem Rechnungs-Brief, persönliche Abholung einer Kopie (z.B. beim Arzt) oder durch Zugänglichmachung und Hinweis auf ein gesichertes Online-System oder was auch immer angemessen ist, ist vom jeweiligen Einzelfall abhängig. Wir werden bei dieser Gelegenheit das „Identitäten im Internet“-Problem leider nicht nebenbei lösen können, daher braucht es dafür eben intelligenter Lösungen im Einzelfall. Und ja, das Prinzip soll eben dafür sorgen, daß nicht mehr aktiv benötigte Daten schnellstmöglich gelöscht werden und (!) damit auch zu werben.

            Über sinnvolle Ausnahmen und Übergangsregeln für allgemeingültige Probleme, wie etwa reine archivierte Rechnungen für Steuernachweise oder Löschungsfristen für Altadressen vor der Einführung des Datenbriefes, müssen wir debattieren. Ich bin aber überzeugt, daß es dafür gute Lösungen gibt. Es geht hier ja schliesslich nicht um Dogmen, sondern darum zu einer neuen Form der informationellen Selbstbestimmung zu kommen.

  24. -gelöscht- said, on 6. März 2010 at 16:21

    -Beitrag auf Wunsch des Kommentators gelöscht-

    • schrump said, on 6. März 2010 at 18:12

      Nein, Opt-In waere (leider) keine Option, da der Zweck ja ist, Dir einen Ueberblick darueber zu verschaffen, wo Daten von Dir gespeichert sind. Wenn Du schon weisst, wo Daten von Dir gespeichert sind, hast Du auch heute schon ein Auskunftsrecht. (Und ein zentrales Opt-In-Register waere wohl auch keine so tolle Idee … 😉

  25. sayadin said, on 6. März 2010 at 19:02

    Irgendwie scheint die Welt immer irrsinniger zu werden. Oder täusche ich mich.

  26. ch3ka said, on 6. März 2010 at 20:00

    Grundsätzlich will ich vor allem eines: Kontrolle über meine Daten.

    Und dazu gehört sicher nicht, dass diese ungefragt und mir unbekannt in der Gegend rumgeschickt werden.

    Aber Kontrolle über meine Daten beinhaltet auch, dass ich eben erst mal *wissen* muss was alles wo über mich gespeichert ist.

    Ich wüsste jetzt auch nicht wie man dieses Problem lösen könnte: man müsste quasi *selbst* seinen Wunsch aktuell gespeicherte Daten an *alle* datenverarbeitenden Stellen gleichzeitig äussern können *und* dabei noch anonym seine aktuelle Anschrift mitteilen.

    Ohne ganz viel kryptotechnik kommen wir da nicht weiter.

    Wie wäre es denn, wenn jede E-Mail-Adresse einen GPG-Key hätte? Dann könnten zumindest schonmal alle die eine meiner E-Mail-Adressen kennen diese Datenbriefe *verschlüsselt* auf einen zentralen Server packen, den ich dann wenn mir danach ist nach Hashwerten von Indexdaten fragen kann, wie etwa meine Mailadresse.

    Damit sind sowohl die Verbindungsdaten (gehasht) als auch der Inhalt (verschlüsselt) sicher vor fremdem Zugriff (auch sicher vor dem Betreiber der zentralen Stelle) und jeder hat jederzeit Übersicht über seine Daten und generiert bei dem Zugriff keine neuen Daten.

    Oder übersehe ich da was?

    Mit modernen Cryptoverfahren könnte man sogar eine Art „Löschfunktion“ einbauen.

    • schrump said, on 6. März 2010 at 20:28

      Ich denke, Du uebersiehst, dass die zentrale Stelle zumindest auf Transportebene sehen kann, woher Daten kommen und wohin sie gehen (und selbst, wenn die Transportadresse nicht rueckwaerts aufloesbar sein sollte, ist tendentiell die Korrelation von zum selben Absender/Empfaenger gehoerenden Nachrichten moeglich).

      Was allerdings nicht heisst, dass ich das fuer ein prinzipiell unloesbares Problem halte – tor z.B. loest ja ein aehnliches Problem einigermassen, vielleicht hinreichend gut?

      Aber ja, grundsaetzlich faende ich es begruessenswert, mal ein wenig mehr Einsatz von Kryptographie zu Zwecken des Datenschutzes zu sehen – viele scheinbar unloesbare Probleme lassen sich mit den Wundern der Kryptographie ja doch vergleichsweise einfach loesen. Andererseits erhoeht es leider natuerlich auch ein wenig die Einstiegshuerde …

      • ch3ka said, on 6. März 2010 at 20:36

        Oh, natürlich geschieht die Übermittlung dann per TOR oder vergleichbarem.
        Das hatte ich nun als gegeben vorausgesetzt 😉

        • ch3ka said, on 6. März 2010 at 20:42

          Bzw. man könnte da auch eine eigene Kaskade bauen… mehrere Unternehmen/Behörden multiplexen auf einen gemeinsamen Server, mehrere dieser Server dann auf einen grösseren… bis zum zentralen (verteilten? nein das ist kein Widerspruch 😉 ) cluster eben.

    • ch3ka said, on 6. März 2010 at 20:49

      OK ich hatte was übersehen: Jeder der meine Mailadresse kennt kann den Hash abfragen. das bringt ihm *erst mal* nichts, weil das ja alles verschlüsselt ist. wenn allerdings nun z.B. auch der Name des Unternehmens gehasht in den Metadaten steht – was evtl Sinn ergeben würde – dann gibts da sicher schnell Rainbowtables.

      Das ist aber auch kein unlösbares Problem: man könnte da z.B. individuell salten, z.B. mit einem „zugangspasswort“ zum System (welches genialerweise das ’system‘ selbst nicht kennen muss… allerdings dann jeder Kontakt der seinen Namen in den Indexdaten enthalten haben will)

      Leuten die dafür bezahlt werden fällt bestimmt noch ein besseres Design ein 😉

  27. saibot said, on 6. März 2010 at 21:15

    SEHR lustig, danke! Besonder „Gaylove“ ist ein netter Seitenhieb gewesen… So mag ich Kritik, mit viel Humor aber treffend vorgebracht!

  28. tutifrutti said, on 7. März 2010 at 12:13

    Mhm. Kein leichtes Problem das ganze.

    Ein Versand der Datenbriefe über eine zentrale Stelle oder auch nur die Meldung das Daten über eine Person gespeichert sind an eine zentrale Stelle, verbietet sich von selbst. Da kämpft der CCC gerade dagegen, daß per Vorratsdatenspeicherung private Kontaktdaten – z.B. „Kinderwunsch am Mohabit“ zentral zugänglich werden – da kann man nicht plötzlich fordern, daß Daten plötzlich unaufgefordert sogar von den Instiutionen selbst an zentrale Stellen gemeldet werden. Auch nicht an eine unabhängige Stiftung Datenschutz. Das wäre Stasi 2.0 reloaded.

    Unaufgeforderter Versand an die Bürger selbst – viel zu gefährlich wie man sieht. Wenn nach einem Umzug nach einem halben Jahr mal ein Werbebrief reinflattert mag das noch angehen: Dutzende oder gar hunderte Briefe mit persönlichen Daten – das ist unverantwortlich.

    Blieben nur noch Portale. Ala: meineschufa.de

    Aber es hat schon seinen Grund das man sich um seine Zugangsdaten zu meineschufa.de zu bekommen per Postident identifizieren muss. Ein unaufgeforderter Versand von Zugangsaten zu Datenbriefportalen ist auch zu gefährlich. Ob ich Daten selbst verschicke oder nur die Informationen wie man an die Daten kommt ist gleichgültig. Und wieviele solche Portale soll man den ins Netz stellen? Jedes Unternehmen ein eigenes? Ein paar zentrale? Und wie soll das ein kleiner Gewerbetreibender leisten? Soll der Zahnarzt zukünftig seine Zeit mit der Wartung eines Informationsportales verbringen und seine Behandlungsdaten ins Netz stellen? Wer schützt die ganzen Portale gegen Hackerangriffe uns Sicherheitslücken?

    Bliebe die Beschränkung der Stellen die Datenbriefe senden sollen. Es werden nur Datenbriefe von „harmlosen“ Speicheren versendet. Dann frag ich mich was das ganze noch soll. Und was für den einen harmlos ist, ist für den anderen einen Katastrophe.

    Oder die Beschränkung auf bestimmte Unternehmen die z.B. mit den Daten Handel treiben oder diese illegal erworben haben. Das ist ja natürlich absolut lächerlich, denn diese werden sich einen feuchten Dreck drum scheren bzw. wie oben schon angemerkt durch Firmenschließung und Neugründung entziehen.

    Da beißt sich die Katze irgendwie in den Schwanz: Ohne Datenbriefe weiß ich nicht wer was speichert aber die Datenbriefe selbst können hochbrisant und gefährlich sein.

    Vielleicht sollte man die Energie dann doch lieber in mehr Aufklärung und Überwachung der Einhaltung bereits bestehender Gesetze stecken. Den für Privatunternehmen gelten in Europa eigentlich schon sehr strenge Datenschutzregeln – nur wer kontrolliert deren Einhaltung.

  29. trust.not said, on 7. März 2010 at 14:56

    Gute Argumente dabei. Stellt sich mir noch eine andere Frage: Warum lese ich die in einem Blog und nicht in der Zeitung? Noch dazu in einem Blog der grade drei Tage existiert? Wann kommt das Leistungsschutzrecht für Blogger? Wieder mal: Ein Punkt für Blogger. Zeitungen Null Punkte. Kein Wunder das Politiker Angst vor dem Internet haben.

  30. www.diewaldseite.de said, on 7. März 2010 at 17:14

    Die Beispiele sind allerdings sehr an den Haaren herbeigezogen. Das liegt wohl daran, dass sich im Alltag kein wirklicher Grund dagegen finden läßt.

    • torsten said, on 7. März 2010 at 17:59

      Gehen wir die doch mal einzeln durch:
      1. Beispiel: Ein Mann schaut gelegentlich Pornos im Internet und möchte nicht das seine Frau davon erfährt.

      2. Beispiel: Jemand läst sich eine Versandhausbestellung an die Firmenanschrift schicken, bzw. nutzt seine Firmenemailadresse für Bestellungen.

      3. Beispiel: In einem Wohnblock mit dutzenden Mietparteien zieht irgendwann ein zweiter Mieter ein, der ebenfalls Müller im Namen trägt.

      Alles völlig an den Haaren herbeigezogen und hat mit dem Alltag ja gar nichts zu tun…. Wenn man irgendwo im Regenwald lebt.

      Im übrigen: Einzelfallbeispiele als abwegig abzutun oder zu sagen: Trifft ja für mich nicht zu ist leicht. Die dahinterstehenden Argumente zu entkräften, da gehört schon mehr dazu.

      • schrump said, on 7. März 2010 at 22:28

        1. Dann sollte er sich entweder einen Anbieter aussuchen, der ihm versichert, keine Daten zu speichern, fuer die er Datenbriefe versenden muesste, oder halt einen, der seine Datenbriefe per E-Mail verschickt, und bei dem seine eigene E-Mail-Adresse angeben.

        Die Annahme, dass die Speicherung von Daten ein unumgehbarer Fakt sei, und damit auch der Versand von Datenbriefen unvermeidbar, ist eben nichts anderes als eine Annahme, eine falsche noch dazu. Und wenn Daten weiterhin unnoetig gespeichert werden, man aber nur nichts davon weiss, dass sie existieren, besteht ja das Problem, dass irgendjemand die Daten einmal gegen einen verwenden koennte, fort. Das Ziel des Datenbriefes ist es, hier fuer Loeschung zu sorgen, damit moeglichst ueberhaupt kein Anlass zum Versand mehr besteht.

        Auch wurde nun schon dutzende Male gesagt, dass der Datenbrief zwar „Brief“ heisst, aber zumindest der Vorschlag des CCC nicht einen zwingenden Versand per Post vorsieht, alle auf dieser Annahme basierenden Argumente sind also auch nichtig.

        Leute, lest Euch doch mal die bisherige Diskussion durch, bevor Ihr vermeintliche Gegenargumente, die lange wiederlegt sind, immer nochmal aufwaermt. Es gibt ja durchaus noch genug echte Probleme, bei denen sich die Diskussion ueber eine Loesung vielleicht lohnen koennte.

        2. Ja, dann sollte er vielleicht nicht seine Firmen-E-Mail-Adresse dafuer verwenden? Weil wegen: entweder es ist ihm sowieso untersagt, dann darf der Arbeitgeber ohnehin auch schon alles, was mit der Bestellung selbst im Zusammenhang steht, lesen, archivieren, durchsuchen, wie er lustig ist, da kommt’s auf einen Datenbrief nicht wirklich an. Oder aber er darf seine Firmen-Adresse fuer sowas verwenden, dann hat der Arbeitgeber aber auch seine Privatsphaere genauso zu achten wie jeder andere E-Mail-Dienstanbieter, und darf den Datenbrief ebensowenig zur Kenntnis nehmen wie die Bestellung selber.

        3. Ja, das kann vorkommen, und das kann auch bisher schon vorkommen. Schonmal vergessen, beim Umzug irgendeinem Unternehmen mitzuteilen, wohin es in Zukunft Post an Dich schicken soll? Und nein, bisher werden per Post nicht nur oeffentlich bekannte Daten verschickt. Ausserdem koennte man das ggf. durchaus durch ein wenig Kryptographie deutlich entschaerfen. Aber zugegebenermassen, das ist der einzige Deiner drei Punkte, der wenigstens ein wenig stichhaltig ist.

        • torsten said, on 7. März 2010 at 23:12

          Ähm. Ich hab für waldseite.de nur noch mal die oben im Text genannten Beispiele in Kurzform zusammengefasst, da ich eben nicht der Meinung bin sie seien völlig an den Haaren herbeigezogen. Eher mitten aus dem Leben.

          Im übrigen sind deine Ausführungen nicht stichhaltig. Du argumentierst zu sehr gegen die Beispiele nicht gegen die dahinter stehenden Argumente. In der Diskussion hier wird sich zu sehr an den vielleicht für den einen oder anderen überspitzt wirkenden Beispielen aufgehängt.

          Man kann außerdem nicht sagen, daß die Leute jetzt selbst Schuld seien wenn sie für sie problematische Datenbriefe bekommen, sie hätten eben vorsichtiger sein sollen. Das klingt mir dann doch zu sehr nach dem Argument: Wer nichts zu verbergen hat, hat nichts zu befürchten.“ Außerdem konnte ja niemand ahnen daß zukünftig Datenbriefe kommen könnte. Wieso sollte man sich also zum Beispiel darüber Gedanken machen sich Ware ins Geschäft schicken zu lassen. Man hat doch auf das Versprechen des Unternehmen das keine Werbebriefe oder weitere Emails kommen vertraut. Und das Unternehmen hat sich sogar daran gehalten.

          Das ist ja gerade der Knackpunkt: Man gibt Unternehmen im Vertrauen auf ihre Diskretion und im Vertrauen darauf dass sie mit den Daten sorgsam umgehen bestimmte Daten. Im vollen Bewußtsein, daß sie die Daten speichern werden. Vielleicht sogar mit dem Wunsch daß die Daten gespeichert werden. Vielleicht hat ja unser Herr Müller bei pornoglotze24 sogar eine Favoritenliste mit seinen Lieblingsfilmen angelegt. Oder nutzt Funktionen wie „Diese Filme haben Sie zuletzt angesehen“ oder „Leute die diesen Film sahen fanden auch jenen Film gut“ und diskutiert im Forum seine geheimen sexuellen Vorlieben von denen nicht mal seine Frau etwas ahnt (siehe oben: Gaylove – Die geilsten Hengste) . Alles im Vertrauen darauf das die Firma diskret ist und die ihr anvertrauten Daten schützt.

          Und dann werden die Unternehmen per Gesetz dazu gezwungen dieses Vertrauen zu entäuschen und die Diskretion zu durchbrechen. Das kanns ja auch nicht sein.

          • schrump said, on 8. März 2010 at 01:00

            „Du argumentierst zu sehr gegen die Beispiele nicht gegen die dahinter stehenden Argumente.“

            Sollte ich das tatsaechlich tun, dann sicher nicht absichtlich – ich sehe hinter den Beispielen keine dahinterstehenden Argumente, die sich mit meinen Gegenargumenten nicht auch aufloesen wuerden, oder aber zumindest reduzieren auf Probleme, die nicht gravierender sind als die, die wir ohne Datenbrief haben, womit dann halt eine Abwaegung uebrig bleibt, die sich aber eben nicht anhand ueberspitzter Beispiele diskutieren laesst.

            An den dahinterstehenden Argumenten waere ich sehr interessiert.

            „Man kann außerdem nicht sagen, daß die Leute jetzt selbst Schuld seien wenn sie für sie problematische Datenbriefe bekommen, sie hätten eben vorsichtiger sein sollen.“

            Das war nicht mein Argument. Mein Argument war, dass der Arbeitgeber sowieso schon entweder legalerweise umfassenden Zugriff auf die Daten hat, die sich in dem Datenbrief befinden koennten, wenn die Bestellung ueber die Firmenadresse abgewickelt wurde, womit der Datenbrief die Gefahr nicht nennenswert erhoehen wuerde, oder, sofern er die private Nutzung erlaubt, der Arbeitgeber rechtlich wie ein E-Mail-Provider steht, der den Datenbrief ebensowenig zur Kenntnis nehmen darf wie den E-Mail-Verkehr, der zuvor aus Anlass der Bestellung stattgefunden hat, und genauso wenig wie ein sonstiger, privat genutzter Provider.

            „Man hat doch auf das Versprechen des Unternehmen das keine Werbebriefe oder weitere Emails kommen vertraut.“

            Was hindert denn das Unternehmen daran, das auch weiter einzuhalten? Oder anders herum: Ja, warum speichert das Unternehmen denn weiter die Daten, wenn es Dir versprochen hat, Dich in Zukunft in Ruhe zu lassen? Einfach Daten loeschen, und schon muss es keinen Datenbrief mehr schicken und kann das Versprechen weiter halten, und sogar noch besser als zuvor, wuerde ich meinen – nichts mehr von sich hoeren zu lassen, aber trotzdem die Daten ohne Zeitbegrenzung aufzuheben scheint mir ja eine eher halbherzige Umsetzung dessen, was man sich als Kunde intuitiv unter so einem Versprechen vorstellt.

            Wie das Problem mit den aufbewahrungspflichtigen Daten vielleicht zu loesen waere, hatten wir ja auch schon ein paarmal …

            „Und dann werden die Unternehmen per Gesetz dazu gezwungen dieses Vertrauen zu entäuschen und die Diskretion zu durchbrechen. Das kanns ja auch nicht sein.“

            Nein, das waere eher unerfreulich – und wuerde ja quasi das Gegenteil dessen bewirken, was eigentlich Ziel des Gesetzes ist(/sein sollte). Aber ich sehe bisher eher wenige Probleme, ein Datenbrief-Gesetz so zu konstruieren, dass das nicht passiert. Ich rechne zwar damit, dass sich sicher ein paar Einzelfaelle negativer Nebenwirkungen ereignen wuerden – denen aber die ganzen negativen Nebenwirkungen gegenueberstehen, die wir dadurch haben, dass es kein solches Gesetz gibt, die ihrerseits strukturell nicht soviel anders gelagert sind als die zu erwartenden Nebenwirkungen eines solchen Gesetzes: Mit dem Gesetz wuerden moeglicherweise hier und da Leute per Gesetz mit Informationen konfrontiert, mit denen sie eigentlich gerade nicht konfrontiert werden wollten. Ohne Gesetz wird man dafuer mit Informationen konfrontiert, wenn sie gegen einen verwendet werden sollen, die man mit Gesetz laengst haette loeschen lassen koennen. Eine Abwaegung eben.

            Und um gerade noch wieder Dein konkretes Beispiel zu zerlegen: Naja, entweder es besteht hier irgendeine Notwendigkeit, dass diese Informationen personenbezogen sind (z.B. zur Abwicklung von Zahlungen oder sowas): Dann wuerde Herr Mueller wohl am besten dem Unternehmen eine E-Mail-Adresse geben, auf die seine Frau keinen Zugriff hat, und an die das Unternehmen dann eben seine Datenbriefe schicken kann. In jedem Fall kaemen dann die Datenbriefe wohl auf dem gleichen Wege wie die Rechnungen, also keine nennenswerte zusaetzliche Gefahr. Wohlgemerkt muesste der Datenbrief ja moeglicherweise nichtmal die Daten komplett enthalten, sondern nur einen Hinweis, dass man noch Daten gespeichert hat, und wo man sie einsehen kann, wenn man sich einlogt. Sinn der Sache ist ja, dem Kunden eine Moeglichkeit zu geben, einen Ueberblick ueber seine Daten zu behalten, nicht, ihn mit Daten zu ueberschuetten, oder ihn zum Durchlesen aller seiner Daten zu zwingen.

            Oder aber es gibt ueberhaupt keine Notwendigkeit, die Daten personenbezogen zu speichern – dann sollte das Unternehmen das vielleicht einfach lassen. Wenn Daten nicht personenbezogen sind, duerfte ja wohl auch die Verpflichtung zur Zusendung eines Datenbriefes entfallen (wohin sollte man den auch schicken?). Warum muss das Unternehmen z.B. wissen, dass die Favoritenliste dem Herrn Mueller gehoert? Wenn Herr Mueller sich als geilerhengst2000 anmeldet, dann reicht es doch, wenn das Unternehmen weiss, dass die Favoritenliste geilerhengst2000 gehoert.

            Dass ein solches Gesetz einen Anreiz zur Loeschung schaffen sollte heisst ja nicht unbedingt, dass gleich die Festplatte mit Nullen ueberschrieben werden muss. Es geht darum, dass fuer jedes einzelne Datum, jedes Datenfeld, eine Ueberlegung stattfindet, ob die Speicherung vermeidbar ist. Auch die Anonymisierung von Daten kann dabei ja durchaus hilfreich sein.

  31. dot tilde dot said, on 7. März 2010 at 18:45

    konsequent zuende gedachte, überspitzte grenzfälle.

    vielen dank für den diskussionsbeitrag! der bedarf ist ja in den kommentaren lesbar.

    .~.

  32. […] In den Kommentaren wurde ich von “pflaumensaft” dankenswerter Weise auf seine ausführliche Darstellung des Problems “Datenbrief” hingewiesen, welches ich hier mal darstellen […]

  33. Blogfürst said, on 7. März 2010 at 18:59

    Wie sieht es eigentlich aus mit medizinischen Daten? Die müssten ja dann auch alle versendet werden. Das bedeutet, dass dann jeder Arzt bei dem man in den letzten zehn Jahren war, den gesamten Inhalt der Patientenakte per Datenbrief übermitteln müsste. Da stehen ja Diagnosen und Therapien drinne… Also dass man z.B. beim Urologen war, weil man sich Tripper geholt hat, dass man beim Psychiater war wegen abwegiger sexueller Gelüste oder einfach nur weil man seinen Ehepartner betrogen hat. Dass man einen Aidstest gemacht hat oder dass man impotent ist oder unter frühzeitigem Samenerguss leidet…. Das alles müsste dann – jährlich – an jeden verschickt werden? Na dann Gute Nacht…

    P.S. aus versicherungstechnischen Gründen müssen Patientenakten 10 Jahre lang aufbewahrt werden.

  34. allo said, on 7. März 2010 at 21:06

    Wie wäre es mit einer löschpflicht?

    Das heißt, sobald kein direkter Grund für die Daten mehr besteht, müssen sie gelöscht werden. z.B. Amazon muss nach einem Jahr nicht einloggen den Account und alle Rechnungsdaten löschen.

    Firmen mit denen man keinen direkten Vertrag hat (Schufa) dürfen gar nicht erst speichern.

    • schrump said, on 7. März 2010 at 23:30

      Evtl. waere eine Mischung ein eleganter Ausweg: z.B. koennte man, wenn man sich irgendwo anmeldet, auswaehlen, ob man entweder nach einem Jahr Inaktivitaet einen Datenbrief erhaelt, oder ob dann der Account einfach stillschweigend geloescht werden soll.

  35. milva said, on 7. März 2010 at 21:29

    Na denen würd ich was husten, wenn die mein Kundenkonto nach einem Jahr einfach löschen würden. Und Rechnungen dürfen erst nach 10 Jahren gelöscht werden!!! Es gibt ja Gründe für die Speicherung von Daten und ich als Kundin will das ja auch manchmal. Oder viele Leute machen ja einen Wunschzettel bei Amazon!!! Der wird mit viel Mühe und Aufwand erstellt und dann kommt Amazon und löscht den einfach???

    • schrump said, on 7. März 2010 at 23:28

      Du wuerdest denen was husten wenn die Dein Kundenkonto nach einem Jahr Inaktivitaet einfach loeschen wuerden, obwohl Du es seltener als einmal im Jahr nutzt?! Und wer legt denn einen Wunschzettel an, loggt sich dann aber seltener als einmal im Jahr ein?!?

      Das Argument mit den Aufbewahrungsfristen haben wir nun auch schon ein paar Dutzend mal durch: Zum einen heisst Aufbewahrung nicht, dass die Daten beliebig genutzt werden duerfen, zum anderen koennte man offensichtlich fuer aufbewahrungspflichtige Daten Ausnahmen vorsehen, und ausserdem waere es sicher mal eine Diskussion wert, weshalb ein Supermarkt nicht an der Kasse Deinen Personalausweis verlangt, ein Internetversender, der Dir das gleiche verkauft, aber Deinen Namen und Deine Anschrift fuer 10 Jahre zusammen mit einer Liste der verkauften Produkte aufheben muss – das koennte man durchaus aendern, wuerde ich meinen.

      Und schliesslich waeren auch Daten, die man selber irgendwo zum Zwecke der Speicherung und zur Verwaltung durch einen selbst eingibt, vielleicht auszunehmen? Es soll doch wohl niemandem verboten werden, seine eigenen Daten irgendwo zu speichern …

  36. […] würde gerne schreiben, dass die Argumente gegen den Datenbrief des CCC in diesem Blogbeitrag allesamt kompletter Unsinn sind. Dann müsste ich euch aber anlügen. Das will ich […]

  37. Toljok said, on 8. März 2010 at 04:03

    @schrump

    du verkennst aber das bestellungen, soweit sie nicht eh vor ort gemacht werden, auch über telefon und nicht nur über das netz erledigt werden. von daher werden die wenigsten anbieter eine gültige email addy ihrer kunden zur verfügung haben.

    zum anderen ist es ein unterschied, ob man einen artikel bestellt, bei dem man ja in etwa weis wann er ankommen wird und es sich dementsprechend einrichten kann, oder völlig unerwartet (vielleicht auch jahre später) und wohl beim großteil der bevölkerung auch völlig ungewollt einen brief auf seine kosten (der spaß muss ja auch bezahlt werden und das wird nur über preiserhörungen gehen) erhält, mit womöglich peinlichem inhalt.

    zudem wehre ich mich als kunde dagegen, das überall daten gegen meinen willen möglichst sofort wieder gelöscht werden sollen (was ja wohl das eigentliche ziel des datenbriefes ist) schließlich habe ich diese daten ja aus gutem grunde an bestimmten stellen angegeben, weil sie für mich einen gewissen nutzen erfüllen. dieser kann je nach sachverhallt und entsprechenden vorlieben des einzelnen vielfältig sein.

    in der jetzigen form des entwurfes, würde ich mich als normalsterblicher konsument, von einen elitären datenschutzfanatikern (so kommt es jeden falls rüber) arg bevormundet fühlen und das will ich auf keinen fall!

    • schrump said, on 8. März 2010 at 20:25

      Du verkennst immernoch die Moeglichkeit der Loeschung. Wenn ein Kunde regelmaessiger Kunde ist, kriegt er sowieso regelmaessig Post, mit der man ihn dann auch ueber gespeicherte Daten informieren kann. Wenn ein Kunde nur einmal was bestellt hat und lange nichts mehr, dann sollte man die Daten vielleicht einfach loeschen. Wenn ein Unternehmen nicht erkennt, dass es Daten lieber loeschen sollte, als einen Datenbrief zu schicken, dann bist Du als Kunde vor dem Unternehmen sowieso nicht sicher, weil es dann mit der gleichen Unbekuemmertheit auch irgendwann auf den Trichter kommen koennte, Dir Werbung zu schicken.

      „zudem wehre ich mich als kunde dagegen, das überall daten gegen meinen willen möglichst sofort wieder gelöscht werden sollen (was ja wohl das eigentliche ziel des datenbriefes ist)“

      Ich glaube, da hast Du aber ziemlich gruendlich das „eigentliche Ziel“ des Datenbriefes missverstanden. Das eigentliche Ziel ist es (ohne hier fuer den CCC sprechen zu koennen, aber ich denke, das ist einigermassen klar), jedem Menschen die Moeglichkeit zu geben, einen Ueberblick ueber die ueber ihn gespeicherten zu behalten, und dafuer zu sorgen, dass Daten, die nicht mehr benoetigt werden, geloescht werden. Wenn Du willst, dass Deine Daten irgendwo gespeichert werden, dann werden sie wohl noch benoetigt, und es soll Dir wohl unbenommen sein, Deine Daten zu speichern, wo Du willst. Im uebrigen geht es hier nicht primaer um solchen Trivialkram wie Deine Anschrift, die Du vielleicht wissentlich und absichtlich angegeben hast, sondern darum, wieviele Jahre nachvollziehbar bleibt, was Du so alles einkaufst, und wer ausser dem, bei dem Du einkaufst, das noch alles weiss, u.ae.

      „in der jetzigen form des entwurfes, würde ich mich als normalsterblicher konsument, von einen elitären datenschutzfanatikern (so kommt es jeden falls rüber) arg bevormundet fühlen und das will ich auf keinen fall!“

      Da der Sinn des Gesetzes waere, Dir die Moeglichkeit zu geben, selber zu beeinflussen, wer welche Daten von Dir speichert, waere es wohl eher eine arge Bevormundung, wenn Du von denen, die ueber ihre eigenen Daten gerne etwas mehr Ueberblick haetten, verlangst, dass sie weiterhin im Dunklen bleiben. Dir waere ja weiterhin unbenommen, alle Datenbriefe ungelesen zu entsorgen.

      Soweit ein solches Gesetz fuer eine schnellere Loeschung von Daten sorgt, loes Dich mal von der Vorstellung, dass Amazon ohne Vorwarnung Deinen Account loeschen soll, wenn Du mal zwei Tage nichts bestellst. Es geht hier darum, dass Amazon nicht Deine Bestellungen 50 Jahre lang speichert, ohne, dass Du davon weisst(!). Oder dass nicht irgendeine Datenbank zur Betrugsvermeidung Dich als Verdaechtigen speichert, weil Du mal an einem Unfall als Zeuge beteiligt warst, den eine Versicherung aus irgendeinem Grund fuer verdaechtig haelt, ohne dass Du davon weisst(!, und das ist ein reales Beispiel).

      Wo genau man die Grenze zieht, ist offensichtlich noch Gegenstand der Diskussion, und wie man ein solches Gesetz so gestaltet, dass es moeglichst nebenwirkungsarm ist. Aber das Ziel ist sicher nicht, das alltaegliche Leben zu verkomplizieren, die Benutzung von Online-Shops unmoeglich zu machen, oder Deine Daten gegen Deinen Willen zu loeschen. Das Ziel ist es, Dir einen Ueberblick ueber Daten zu verschaffen, von denen Du nichts weisst, nichtmal etwas ahnst, und Daten, deren Speicherung Du mit hoher Wahrscheinlichkeit nicht wuenschst(!) zu loeschen.

  38. frankro said, on 8. März 2010 at 06:02

    Moeglicherweise hast du uebersehen, dass es eine opt-out Moeglichkeit fuer den Datenbrief geben soll. Wem es also peinlich ist, kann einfach den Datenbrief abbestellen.

    Wenn das jeder ueberall macht, wo er wissentlich seine Daten hinterlaesst, dann ist es schon eine grosser Zugewinn, wenn man dann von den Stellen benachrichtigt wird, von denen man gar nicht weiss…

    Zu beachten ist ausserdem, dass der Datenbrief selbstverstaendlich auch per Mail verschickt werden kann und die Moeglichkeit vorgesehen ist, die Daten online einzusehen. Dann muss gar nichts verschickt werden, ausser einem Hinweis, dass es den Useraccount noch gibt.
    Mit der Online-Einsicht kann jeder Webseitenbetreiber mit Personalisierung jetzt schon anfangen – das schafft Kundenzufriedenheit, Transparenz und Vertrauen. Und kostet nicht viel.

    • schrump said, on 8. März 2010 at 19:40

      Irgendeine Idee, wie man eine Opt-Out-Moeglichkeit gegen Missbrauch schuetzen koennte? Es waere ja unbestritten begruessenswert, wenn, wer keine Datenbriefe haben will, nicht dazu gezwungen wuerde – ich fuerchte nur, dass die zum Versand verpflichteten dann leicht mal ein Opt-Out einfach behaupten koennten. Andererseits wird das im grossen Massstab fuer grosse Datenbankbetreiber natuerlich auch schwierig, wenn’s glaubwuerdig bleiben soll …

  39. […] Nun zieht der Datenbrief weitere Kreise und regt einige Planspiele an, welche aufzeigen wie Unkonventionell dieser Ansatz ist. Lest hier mehr! […]

  40. Blogfürst said, on 8. März 2010 at 09:30

    was ist mit medizinischen Daten bei Ärzten? Patientenakten müssen aus versicherungstechnischen Gründen 10 Jahre aufgehoben werden. Erhält man dann von jedem Arzt im Brief die Mitteilung über alles in den vergangenen zehn Jahren vorgefallenen? Wird dann per Brief mitgeteilt, dass man mal Tripper hatte, einen Aids-Test gemacht hat, wegen Impotenz in Behandlung war, in psychiatrischer Behandlung war wegen abwegiger sexueller Neigungen?
    Sollen diese Daten quer durch die Republik versendet werden?

  41. Oli said, on 8. März 2010 at 10:39

    Ein Punkt, zumindest habe ich ihn hier noch nicht gelesen, sollte berücksichtigt werden:

    Wenn so ein Gesetz zum Datenbrief kommt, werden Unternehmen von sich aus mit der Datenspeicherung sehr zurückhaltend agieren. Die meisten werden keine Benutzerdaten mehr halten, wenn nicht unbedingt nötig.
    Alle anderen werden zusätzlich zu Kontaktadresse noch eine weitere Angabe verlangen (z.B. für DE-MAIL) so kann jeder Teilnehmer bewusst entscheiden wie er seine Daten behandelt haben möchte.
    Für den Altbestand würde ich auch lieber keine Aufarbeitung wünschen.
    Es sei denn, beim nächsten Einloggen wird diese neue Kontaktinfo mit abgefragt.
    Wenn ich nicht mehr vorbeikomme… dann liebe Daten… „ruht in Frieden“.

    • schrump said, on 8. März 2010 at 19:36

      Der Uebergang ist wohl ein Problem – einfach alte Daten komplett auszunehmen scheint mir aber auch nicht zielfuehrend. Vielleicht waere es auch damit getan, hier eine laengere Frist einzuraeumen, innerhalb derer Altbestaende geloescht werden koennen, ohne einen Datenbrief verschicken zu muessen? Also so, dass es z.B. moeglich waere, die Daten noch drei Jahre aufzuheben und darauf zu warten, ob der Kunde in dieser Zeit nochmal wiederkommt, um Kontaktdaten fuer die Zusendung eines Datenbriefes anzugeben, bevor man sie dann in der einigermassen sicheren Annahme loeschen kann, dass der Kunde wohl eh kein Kunde mehr ist?

  42. socreana said, on 8. März 2010 at 11:58

    Guter Beitrag zur Diskussion um den Datenbrief. Für mich ist dieser zwar nicht tot, aber die angesprochenen Punkte kann man nicht einfach ignorieren.

    Die Fälle mögen konstruiert und absolut unwahrscheinlich erscheinen, aber bei 80 Millionen Bürgern und Dutzenden bis Hunderten Datensätzen pro Bürger treten auch unwahrscheinliche Fälle zwangsläufig auf.

    • schrump said, on 8. März 2010 at 19:29

      „Die Fälle mögen konstruiert und absolut unwahrscheinlich erscheinen, aber bei 80 Millionen Bürgern und Dutzenden bis Hunderten Datensätzen pro Bürger treten auch unwahrscheinliche Fälle zwangsläufig auf.“

      Davon wuerde ich ausgehen – halte das aber nicht fuer ein Argument gegen den Datenbrief, solange die Haeufigkeit ausreichend niedrig gehalten werden kann. Auf der Gegenseite steht naemlich der Datenmissbrauch, den ein Datenbrief verhindern koennte. Man wird sich dazwischen entscheiden muessen, entweder das eine oder das andere in Kauf zu nehmen, beides zu vermeiden scheint mir unmoeglich. Wo ich die kleinere Gefahr sehe, duerfte ja einigermassen klar sein …

  43. Toljok said, on 8. März 2010 at 12:24

    @franko

    auch das unaufgeforderte verschicken per mail, löst das problem des verbreitens sensibler daten nicht. die wenigsten bundesburger (wie auch unternehmen) verwenden verschlüsselte systeme, oder haben je davon gehört. sie werden nicht einmal wissen dass sie ein sicherheitsproblem haben.

    das gleiche gilt für online portale, wie die datenskandale der letzen monate gezeigt haben. wenn nun viele unbedarfte unternehmer aus kostengründen genötigt werden, ein solches portal zu betreiben um ihren informationspflichten die ein datenbrief mit sich bringt nachzukommen, werden wir bestimmt nicht weniger solcher skandale erleben.

    zudem verwendet ein grossteil der kleinunternehmen, solche daten bestenfalls zum versand. ist er nun gewzungen aus informationsgrunden, solche daten aufzuarbeiten die bisher stumm im archiv vor sich hin vegetierten, wird er der versuchung unterliegen diese auch anderwärtig sich zu nutzen zu machen. wecke niemals schlafende hunde…

    • schrump said, on 8. März 2010 at 19:24

      „ist er nun gewzungen aus informationsgrunden, solche daten aufzuarbeiten die bisher stumm im archiv vor sich hin vegetierten“

      Ist er nicht – loeschen reicht.

      Ansonsten ist es wohl eine Abwaegung zwischen den Risiken, die durch den Versand hinzukommen, und den Risiken, die durch die Moeglichkeit der Entsorgung bisher unbekannter Datenbestaende entfallen. Ist ja nicht so, dass Daten, die bei Leuten auf der Platte liegen, die nicht wissen, dass sie ein Sicherheitsproblem haben, kein Risiko darstellen wuerden.

  44. super said, on 8. März 2010 at 12:28

    Vielen Dank für die plastische und nachvollziehbare Diskussionsgrundlage!

    Meines Erachtens wäre ein Problemlöser, wenn man den Firmen den Datenbrief erlassen würde sofern sie nachvollziehbar, protokollierbar und ohne vorherigen Verkauf der Daten die Daten löschen. Wo keine Daten sind, muß auch kein Datenbrief versandt werden. Eine Karenzzeit von ca. 3Monaten (maximal) hielte ich noch für akzeptabel.
    Also konkret: Wenn eine Firma gespeicherte Daten max. 3Monate aufbewahrt und nicht weiterverkauft wird sie vom Erstellen eines Datenbriefes befreit. Darüber hinaus sollte gelten: Daten, dürfen nicht länger als 2Jahre aufbewahrt werden. Dann sind sie ebenfalls zwingend zu löschen. Somit würde ein Datenbrief nur einen Zeitraum von 3-24Monaten umfassen.

  45. johann said, on 8. März 2010 at 18:05

    Ich habs bei netzpolitik.org reingeschrieben hier aber nochmal zusammekopiert, damit alle Argumente auf einer Seite stehen. Kann ja sein dass jemand vom CCC sichs audrucken will:

    Noch gar nicht diskutiert wurde hier folgendes Problem:

    Zitat von oben: „auch die Unternehmen die bisher mit den gesammelten Daten gar nichts anfangen, werden zukünftig gezwungen diese aufzubereiten und die Daten aus unterschiedlichen Quellen im Unternehmen zusammenzuführen. Liegen z.B. Emails und Serviceanfragen bisher nur im Emailkonto vor, müssen diese jetzt den einzelnen Kunden zugeordnet werden. Zukünftig müssen alle Daten jedes Kunden im Unternehmen zentral gespeichert und für den Massenversand abrufbereit gehalten werden.“

    Bisher sind gerade in kleineren und mittleren Unternehmen die Kundendaten stark fragmentiert, da diese nicht genutzt werden. ERP Software ist schließlich teuer und oft überdimensioniert. Wenn jetzt aber jeder Kleinunternehmer anfangen muss diese Daten zusammenzuführen, entstehen zentrale Datensammlungen in vielen Unternehmen erst die bisher noch gar keine hatten. Da ist natürlich auch die Versuchung groß diese jetzt aufgewerteten Daten selbst zu nutzen oder weiterzuverkaufen um die Kosten wieder reinzuholen. Das Argument das man ja die Daten dann löschen lasse könnte greift ins Leere, denn eine Löschung ist ja oft mangels Löschanspruch für viele Daten gar nicht durchsetzbar.

    Um das mal zu verdeutlichen was ich mit Fragmentierung meine: Wir haben bei uns eine Shopsoftware, ein Warenwirtschaftsprogramm und ein Buchhaltungsprogramm, außerdem eine Emailsoftware und ein Ticketsystem sowie eine Versandsoftware. Alles Open Source Programme, die untereinander nicht kompatibel sind.

    Da wir ein Kleinunternehmen sind sind diese Daten nirgends zentral gespeichert oder die Systeme zusammengeführt. Wenn ich bestimmte Daten über einen Kunden haben möchte, muss ich manchmal mehrere Programme gleichzeitig öffnen. Zum Beispiel habe ich im Shopsystem nicht die telefonischen Bestellungen gespeichert. Im Warenwirtschaftssystem nicht die E-mails des Kunden oder die Mahnungen. Im Buchhaltungsprogramm habe ich ebenfalls keinen Zugriff auf Kundenmails. Auch keine Details über die bestellte Ware. Nur Rechnungsnummern und Endbeträge. Käme der Datenbrief wäre die zwangsläufige Folge ein System anzuschaffen wo auf alle diese Daten zentral zugegriffen werden kann. Das würde natürlich eine enorme Aufwertung der Daten bedeuten, die Kundendaten wären plötzlich viel wertvoller.

    Der Datenbrief wäre der Tod zahlreicher Open Source Projekte im Business Bereich wie: OSCommerce, CAO Faktura, Gnuaccounting, gnucash und wie sie alle heißen.

    Den die haben eines gemeinsam: Sie sind für kleinere und mittlere Unternehmen konzipiert und sind Einzellösungen ohne zentrales ERP. Zukünftig könnten diese System nicht mehr eingesetzt werden – denn man hätte keinen zentralen Überblick über alle Kundendaten.

    Ich kann für unser Unternehmen sagen: Wir wären definitiv nicht in der Lage einen automatisierten Datenbrief zu senden weil wir selbst gar nicht wissen was wir über unsere Kunden wissen. Wenn bei uns ein Kunde Auskunft über alle gespeicherten Daten verlangen würde wäre das im Einzelfall kein Problem: Da müsste sich jemand eine Stunde lang hinsetzen und die Daten aus dem Email Programm, aus dem Warenwirtschafssystem, aus dem Buchhaltungsprogramm, aus dem Shopsystem und allen anderen Systemen für den Kunden heraussuchen.

    Wenn jetzt der Datenbrief käme: Ich könnte zum aktuellen Stand keinen versenden. Jetzt ist es einfach zu sagen: Dann löscht doch einfach. Das machen wir ja auch – in allen Systemen einzeln, soweit gesetzlich zulässig und keine Archivierung erforderlich. Aber deshalb bin ich immer noch nicht in der Lage mir einen zentralen Überblick über einen einzelnen Kunden zu verschaffen.

    Da müsste ein ERP z.B. von SAP her. Mal abgesehen von der Finanzierungsfrage: Wäre das besser wenn ich alle Informationen über einen Kunden auf einen Knopfdruck zur Verfügung hätte?

    • schrump said, on 8. März 2010 at 19:18

      „Jetzt ist es einfach zu sagen: Dann löscht doch einfach. Das machen wir ja auch – in allen Systemen einzeln, soweit gesetzlich zulässig und keine Archivierung erforderlich. Aber deshalb bin ich immer noch nicht in der Lage mir einen zentralen Überblick über einen einzelnen Kunden zu verschaffen.“

      Aber warum solltest Du Dir denn dann noch einen zentralen Ueberblick verschaffen muessen? Wenn Du die Daten, die in einem Datenbrief aufzufuehren waeren (und wir gehen mal davon aus, dass Daten, die einer Aufbewahrungspflicht unterliegen, nicht darunter fallen), loeschst, bevor Du einen Datenbrief verschicken muesstest, ist das doch gar nicht mehr noetig?

      Also: gibt es irgendwelche Daten, bei denen Du einen guten Grund siehst, sie „lange“ zu speichern, obwohl Du nicht gesetzlich dazu verpflichtet bist, und die trotzdem noch so fragmentiert gespeichert sind, dass es schwierig waere, den Kunden ueber die Existenz der Daten zu unterrichten?

  46. FlorianH said, on 8. März 2010 at 22:45

    Ich fürchte beim Datenbrief wird das gleiche passieren wie beim Einwegpfand. Dort haben auch alle gedacht, die Einführung des Einwegpfandes würde zur Vermeindung von Einwegverpackungen führen. Was ist stattdessen passiert? Die Unternehmen mussten ja in Rücknahmesysteme investieren und da die Investition nunmal schon gemacht war gab es erstens keinen Grund mehr zur Einwegvermeidung – im Gegenteil man verdient ja mehr durch Pfandschlupf als vorher.

    Beim Datenbrief wird das gleiche passieren: Die Unternehmen werden Investitionen vornehmen um alle Daten der Kunden zentral zur Verfügung zu haben, so daß es letztendlich billiger sein wird einfach massenweise Datenbriefe rauszuhauen (per Post, EMail oder Portal) anstatt Daten zu löschen. Insbesondere der Upload auf ein Portal oder der Versand per Email erfordert ja nur eine einmalige Investition – danach ist das ganze nahezu kostenfrei. Wieso soll man denn noch Daten löschen oder vermeiden? Im Gegenteil man hat doch gerade in ein wunderbares zentrales Datensammelsystem investiert das alle Daten aus dem Unternehmen zentral zusammenführt. Da wäre es ja geradezu fahrlässig noch irgendwelche Daten zu löschen. Nein die muss man Nutzen, solange es nur irgendwie geht.

    Wer seine Daten gelöscht haben will kann ja eine Löschanforderung stellen, die aber sowieso nur für den kleinsten Teil der Daten gilt – die keiner Aufbewahrungsfrist unterliegen – viel bleibt da sowieso nicht. Schließlich sind doch jetzt alle informiert über die Speicherung.

    Wenn ich sowieso in ein neues System investiere und jetzt alle per Datenbrief informiere, da gibts doch keinen Grund zur Datenvermeidung mehr. Ob ich 10 Seiten Daten auf ein Infoportal lade oder eine ist egal, Speicherplatz ist billig.

    Im Gegenteil – da das System nunmal schon da ist, wird jede Information über den Kunden gesammelt und zentral gespeichert – auch das was bisher nicht gesammelt wurde und man hat dann minimum ein Jahr Zeit die Daten zu nutzen oder noch länger wenn der Kunde nicht Widerspricht.

    Goldene Zeiten für zielgerichtete Werbung, Data Mining und Behavioral Targeting

  47. links for 2010-03-08 « Sikks Weblog said, on 9. März 2010 at 01:07

    […] Die Rückkehr der Datenleichen. « Pflaumensaft Der Ruf nach dem Datenbrief, der verbindlich alle Unternehmen zwingen soll, die gesammelten Daten zu offenbaren, hat ein paar Gegenargumente gefunden, die möglicherweise etwas konstruiert sind, aber trotzdem Probleme aufzeigen, die es zu lösen gilt. Z.B. dass diese Datenbriefe mit möglicherweise sehr privaten Daten mangels aktueller Adresse fehlgeleitet werden. Und ähnliches. (tags: wrb Datenschutz) […]

  48. Most Tweeted Articles by Fsa09 Experts said, on 9. März 2010 at 06:51

    […] #E3E9C0; display: none; } 4 Tweets http://www.landbote.ch 4 Tweets Die Rückkehr der Datenleichen. « Pflaumensaft 4 Tweets heise online – Heute am Heise-Stand: Cookies, E-Personalausweis und […]

  49. […] “Kurze Geschichte der Privatsphäre” (welt.de) Die Rückkehr der Datenleichen. (pflaumensaft.wordpress.com) Hier nur der Teaser — auf jeden Fall lesens- und […]

  50. olafkolbrueck said, on 9. März 2010 at 08:36

    Ich finde das nicht völlig unmöglich lösbar. Richtiger wäre es jedoch, wenn statt eines Automatimsu der Bürger seine Daten selbst abfragt. Bespielsweise in ähnlicher Form wie beim Punktekonto in Flensburg. Und seine dort gespeicherten Verfehlungen erst nach einer Autorisierung erhält.

  51. onlineshop said, on 9. März 2010 at 10:47

    Konstruierte Fälle – daß ich nicht lache!
    Als Shopbetreiber kann ich sagen: Da ist überhaupt nichts konstruiert!

    1. Die meisten Kunden lassen sich ihre Waren an den Arbeitsplatz schicken. Manche geben ihre Privatanschrift als Rechnungsanschrift an, viele jedoch nicht mal das.

    2. Der Prozentsatz derer die ihre Firmenemailadresse auch privat benutzen ist hoch. Nicht nur bei Bestellungen auch in unserem Kundenforum. Wer selbst Blogger ist oder ein Forum hat: Schaut doch mal selbst nach, welche Email Adressen da angegeben werden!

    3. Niemand kontaktiert einen Online Shop um ihm seine geänderte Anschrift mitzuteilen. Wenn ein Online Kundenkonto besteht geben die Leute ihre Anschrift bei der nächsten Bestellung ein oder eröffnen zum Teil ein neues Kundenkonto. Es ist nicht ungewöhnlich dass eine Person zum Teil vier oder fünf Kundenkonten hat. Mit unterschiedlichen Anschriften.

    4. Die Kunden vertrauen auf unser Versprechen sie nicht zu kontaktieren, ihre Adressen nicht weiterzugeben und ihnen keine unerwünschten Briefe oder Emails zu senden.

    5. Die Kunden vertrauen aber auch darauf daß wir Ihre Daten speichern und einen Überblick über bereits bestellte Produkte haben, bzw. Ihre Adressen parat haben.

    Beispiel von heute morgen: Ein Betrag von 130 Euro geht auf unserem Konto ein. Keine zugehörige Bestellung über diesen Betrag lässt sich finden. Im Verwendunszweck steht: 3 x Produktname. Ein Suche nach dem Namen der Konotinhaberin zeigt, daß die Kundin immer so bestellt. Sie überweist mangels eigenem Internetanschluß einfach den Betrag, gibt die Produkte im Verwendungszweck an und wir schicken dann die Ware hin. Und das ist nicht mal so ungewöhnlich, daß gibt es häufiger.

    Die Kunden rufen außerhalb unserer Geschäftszeiten an, sprechen ihren Namen und ihre Kundennummer aufs Band und geben dann Bestellungen durch wie:

    – Die gleichen Produkte wie immer
    – Ich möchte diese und jene Produkte bestellen, schicken sies mir an die gespeicherte Firmananschrift, bitte von meinem Konto abbuchen usw.

    Das sind keine konstruierten Einzelfälle, das ist hundertausendfacher Alltag in Deutschland.

    Lügt euch doch selber was in die Tasche um euren bekloppten Datenbrief zu retten!

  52. malte said, on 9. März 2010 at 12:00

    Ich kann nicht beurteilen, wie sehr die Beispiele der Wirklichkeit entsprechen. Aber für eine denkbare Wirklichkeit sind sie hervorragend gewählt. Die Schande eines detailliert aufgeführten zehnjährigen Pornokonsums, Masturbationsexzesse in Form von Formschreiben, das ist wirklich fabelhaft. Danke!

  53. […] ganz guten Idee, wer weiss schließlich schon, wer welche Daten von einem gespeichert hat? Eben. pflaumensaft hat da ein paar mögliche Szenarien zusammen getragen, die so einen Datenbrief dann aber doch eher nicht so toll aussehen […]

  54. Murphy said, on 9. März 2010 at 13:52

    Dieser Artikel ist ziemlich an den Haaren herbeigezogen und ich glaube der Autor ist etwas verklemmt. Frau scheidet sich von Mann weil er sich einen runterholt, ne klar…

    • gurki said, on 9. März 2010 at 14:03

      Oh, Argumentum ad hominem. Wie originell…

      Und ein gutes Dutzend Argumente auf das Kernargument reduziert, das da lautet:
      – Kommt der Datenbrief steigt die Anzahl der Scheidungen.

      Textverständnis 1+ mit Sternchen kann man da nur sagen.

  55. pflaumensaft said, on 9. März 2010 at 14:33

    Mehr als 7000 Seitenaufrufe, über 100 meist sachliche Diskussionsbeiträge – daß ist weit mehr als ich jemals erwartet hätte, insbesondere da dies mein erster Blogartikel war.

    Wahrscheinlich wird es auch nicht viele weitere geben, ein regelmäßiges Blog wird daraus wohl nicht werden, vielleicht werde ich mich ab und zu wenn es was neues zum Thema gibt zu Wort melden – wenn ich auch nicht damit rechne dass das dann noch jemanden interessiert oder bemerkt. Aber für ein regelmäßiges Blog fehlt mir einfach die Zeit und die Energie. Jeden Tag irgendwelche Schwänke aus meinem Leben zu erzählen ist nicht meine Sache und würde wohl auch niemanden interessieren.

    Ich denke die meisten Argumente sind ausgetauscht, ich bedanke mich für die anregende und sachliche Diskussion und schließe hiermit die Kommentarfunktion. Die Diskussion um den Datenschutz wird wohl nie enden und weitergehen – wenn auch an anderer Stelle. Vielleicht auch irgendwann mal wieder hier, wer weiß.

    Bis zum nächsten Mal – und trinkt mehr Pflaumensaft, der ist gesund.


Kommentare sind geschlossen.

%d Bloggern gefällt das: