# taz.de -- Sensible Daten auf mobilen Datenträgern: Datenverlust on the road
       
       > Ein BP-Mitarbeiter hat seinen Laptop verloren - und mit ihm die
       > persönlichen Daten von 13.000 Personen. In Deutschland wäre das kein
       > Grund für unmittelbare Sanktionen.
       
 (IMG) Bild: Mobile Datenträger können zum Verhängnis werden: Ein libanesischer Polizist zeigt USB-Sticks vermeintlicher israelischer Agenten.
       
       BERLIN taz | Und wieder einmal sind sensible Daten womöglich in die
       falschen Hände geraten - weil der Datenträger, auf dem sie gespeichert
       waren, abhanden gekommen ist. Wie am Dienstag bekannt wurde, hat ein
       Mitarbeiter des Energiekonzerns BP während einer Geschäftsreise seinen
       Laptop verloren, auf dem die persönlichen Daten von 13.000 Personen
       gespeichert waren: Namen, Adressen, Telefonnummern, Geburtsdaten und
       Sozialversicherungsnummern.
       
       Der Laptop sei zwar Passwort-geschützt, jedoch seien die Daten nicht
       verschlüsselt, so ein BP-Sprecher. Der Verlust wurde den
       Strafverfolgungsbehörden und der Sicherheitsabteilung von BP gemeldet.
       
       Die Personen, von denen die Daten stammen, hatten in Zusammenhang mit der
       Ölkatastrophe im Golf von Mexiko Schadensersatzforderungen an den Konzern
       gestellt. Im April letzten Jahres ereignete sich vor der Küste Louisianas
       eine Explosion auf der Bohrplattform Deepwater Horizon, durch die 11
       Arbeiter getötet wurden und in deren Folge etwa 700 Millionen Liter Öl ins
       Meer flossen. 85 Tage wurden benötigt, um das Leck zu stopfen.
       
       Wann oder wo der Laptop mit den Daten abhanden gekommen ist und welcher
       Mitarbeiter involviert war, gab BP mit Verweis auf laufende Ermittlungen
       nicht preis. Ein BP-Sprecher sagte stattdessen: "Es gibt keinen Beweis,
       dass auf den Laptop oder die Daten abgezielt wurde, dass auf die
       persönlichen Daten von irgendjemand zugegriffen wurde oder dass sie
       gefährdet wurden." BP habe die betroffenen Personen schriftlich über den
       Verlust ihrer Daten in Kenntnis gesetzt.
       
       ## Besonders oft gehen Datenträger in Großbritannien verloren
       
       Dies ist bei weitem nicht der erste Fall dieser Art. Bereits im Mai 2007
       verlor ein US-amerikanisches Unternehmen, das im Auftrag der britischen
       Behörde Driver and Licensing Agency arbeitete, eine Festplatte mit Namen,
       Post- und E-Mailadressen sowie Telefonnummern von rund drei Millionen
       britischen Fahrschülern. Besonders in deren Heimatland ereigneten sich in
       den letzten Jahren eine Reihe ähnlicher Vorfälle.
       
       Im Juli 2007 ging eine Festplatte mit den persönlichen Daten von etwa 5.000
       Gefängnisbeamten und Verwaltungsangestellten der Justizbehörden verloren,
       im Oktober desselben Jahres verlor die Behörde H&M Revenue Customs zwei CDs
       mit sensiblen Daten von über 25 Millionen Briten, die aus Kindergeld
       beziehenden Familien stammten.
       
       Im Januar des folgenden Jahres kam einem Jungoffizier der Royal Navy sein
       Laptop mit den Daten von 600.000 Rekruten und Militärdienst-Interessenten
       abhanden, im November 2008 verlor der Mitarbeiter einer Computerfirma
       seinen USB-Stick, auf dem Zugangsdaten und Quellcode für ein Computersystem
       der Regierung gespeichert waren. Der jüngste Fall in Großbritannien
       ereignete sich erst im Januar 2011, als ein Arzt die Namen, Geburtsdaten
       und Behandlungs-Informationen von über 1.100 Patienten gemeinsam mit seinem
       Laptop verlor - die Daten waren unverschlüsselt.
       
       ## Deutsche Vorschriften sind "etwas zu unternehmensfreundlich"
       
       "Eine britische Spezialität" sei das allerdings nicht, sagt der Berliner
       Landesdatenschutzbeauftragte Alexander Dix. Solche Vorfälle seien
       selbstverständlich auch in Deutschland gut vorstellbar - mit einem
       Unterschied: Hierzulande gilt für Unternehmen im Fall eines Verlustes von
       sensiblen Daten eine gesetzliche Meldepflicht gegenüber Behörden und
       Betroffenen. Auch in den USA, wo die BP-Daten verloren gingen, bestehen
       solche Vorschriften in Form der "security breach notification laws". In
       Großbritannien hingegen gelangten die Vorfälle mehr oder weniger zufällig
       an die Öffentlichkeit.
       
       Nur aufgrund des gemeldeten Umstandes dürften die Behörden jedoch keine
       Sanktionen verhängen, so Dix. "Eine etwas zu unternehmensfreundliche
       Regelung." Wenn die Behörden aber Untersuchungen anstellten, in deren
       Verlauf Mängel im Umgang mit Daten oder Datenträgern deutlich werden -
       beispielsweise ein Verstoß gegen das älteste Gebot des deutschen
       Datenschutzes, die Verschlüsselung -, "kann das zu Sanktionen führen",
       erklärt Dix.
       
       Ein erhöhtes Risiko sieht er vor allem in der zunehmenden
       "Miniaturisierung" von Datenträgern. Aber auch "kein Laptop sollte das
       Unternehmen verlassen, wenn die auf ihm gespeicherten Daten nicht
       ausreichend verschlüsselt sind." Allerdings glaubt Dix, dass die
       Sensibilität für das Thema in den Unternehmen bereits besteht: "Die wollen
       und können sich keine schlechte PR leisten."
       
       Schlechte PR können sich auch die meisten Behörden nicht leisten. Müssen
       sie aber auch kaum befürchten: Die Meldepflicht gilt nämlich nicht für sie.
       Eine bundesweite Ausnahme stellt Berlin dar, wo die Meldepflicht auch auf
       die Verwaltungsbehörden ausgedehnt wurde. Dix glaubt und hofft zwar, dass
       das bundesweiter Trend werden könnte - "doch bisher ist das nicht in
       Sicht".
       
       1 Apr 2011
       
       ## TAGS
       
 (DIR) Schwerpunkt Überwachung
 (DIR) Schwerpunkt Überwachung
 (DIR) Schwerpunkt Überwachung
       
       ## ARTIKEL ZUM THEMA
       
 (DIR) Streit um Datenschutz: Apple speichert, wo Du bist
       
       Neue Kritik an iPhone und iPad: Die Apple-Produkte speichern die
       Aufenthaltsorte ihrer Nutzer, behaupten britische Informatiker. Der Konzern
       schweigt zu den Vorwürfen.
       
 (DIR) Jahresbilanz der Datenschützerin: Latente Missstände
       
       Die Datenschutzbeauftragte Imke Sommer fürchtet eine "grauenhafte"
       Entwicklung für ArbeitnehmerInnen und fordert "Gesetze statt Gnadenwillkür"
       
 (DIR) Kommentar Post Privacy: Unfollow the Police!
       
       Post Privacy, die Gesellschaft ohne Privatsphäre – eine schöne Vorstellung?
       Verfechter dieser Idee behaupten, in digitalen Zeiten wäre Datenschutz
       überholt. Wie unpolitisch!
       
 (DIR) Speicherung von Passagierdaten: Big Brit is watching you
       
       Großbritannien fordert, die Speicherung von Passagierdaten auszuweiten.
       Geht es nach den Briten, werden zukünftig auch See- und Bahnreisende
       erfasst.
       
 (DIR) Kodex für Speicherung von Geo-Daten: Du sollst Auskunft geben
       
       Im Herbst 2011 soll der Kodex umgesetzt sein. Bis dahin müssen Anbieter wie
       Google Street View noch einiges organisieren. Doch in der Sache selbst wird
       sich nicht mehr viel tun.
       
 (DIR) Neuer Überwachungs-Vorstoß: BVG will Videos länger speichern
       
       BVG will Aufnahmen 48 statt 24 Stunden aufbewahren. Die S-Bahn darf das
       schon.