Fragen Datenschutzskandal LBB
18.12.2008: Wie kam es zum Datenskandal und welche Rolle spielt die Auftragsdatenverarbeitung von externen Unternehmen? Lange haben DatenschützerInnen angemahnt, dass die Datenverarbeitung von Fremdunternehmen, ernstzunehmende Sicherheitsrisiken für unsere Daten birgt.
Fraktion Bündnis 90/ Die Grünen im Abgeordnetenhaus von Berlin
Fragen zum "Datenskandal im Verantwortungsbereich der LBB" Sondersitzung des UA Dat vom 19.Dezember 2008, 10:00
Fragen an den Berliner Beauftragten für Datenschutz und Informationsfreiheiten (DSB)
1. Welche Erkenntnisse hat der DSB über die Vorgänge bislang erlangt?
2. Teilt der DSB die Auffassung der LBB (s. PE vom 13.12.2008), dass keine Gefahr für das Vermögen ihrer Kunden bestünde, bzw. die Wahrscheinlichkeit für Vermögensschäden äußerst gering seien (s. jüngere Erklärungen der LBB)?
3. Wie bewertet der DSB, dass Unbekannte in mehreren Fällen bis zu 5.000 € von Konten abgebucht haben sollen, die von ATOS Worldline verwaltet worden seien? Wie kann die LBB behaupten, dass es keinen Zusammenhang mit den gestohlenen Daten gibt?
4. Wann hat die LBB die Datenverarbeitungsverträge mit ATOS Worldline geschlossen? Welche Kontrolle hat es hierbei (nicht) gegeben?
5. Welchen Sicherheitsbestimmungen unterliegen die Datentransporte (laut Vertrag zwischen LBB und ATOS und laut BDSG ggf. BDSG n.F.)?
6. Wann ist der LBB der Datenverlust bekannt geworden? Ist der Datenverlust ATOS Worldline vorher bekannt geworden oder hätte er ihr bekannt werden müssen?
7. Kann ausgeschlossen werden, dass Kreditkartendaten in die Hände unbefugter Dritter gelangt sind?
8. Welche Informationen wird die angekündigte Benachrichtigung der betroffenen KundInnen enthalten? Werden den KundInnen die konkret betroffenen Zeiträume der ans Tageslicht geratenen Zahlungsbewegungen bekannt gemacht? Hält der DSB diese Information für geboten?
9. Wie beurteilt der DSB die Verwendung sog. Mikrofiches beim Datentransport? Welche Datenspeichermedien wären zeitgemäß?
10. Teilt der DSB die Auffassung der Bundesjustizministerin und meiner Fraktion, seine Behörde ist für diese und die in Zukunft zu erwartendenden Datenschutzprobleme besser auszustatten?
11. Welche grundsätzlichen Handlungserfordernisse bestehen im Rahmen der Auftragsdatenverarbeitung?
12. Welche öffentlichen und privaten Stellen im Zuständigkeitsbereich des DSB haben Datenverarbeitungsvorgänge an externe Unternehmen und in welchem Umfang vergeben? Welchen Handlungsbedarf sieht der DSB hier?
Benedikt Lux MdA 18.12.2008
