Bärendienst für den Datenschutz

10. August 2005 Twister (Bettina Winsemann)

Die Bundesagentur für Arbeit beauftragt Call Center, Leistungsempfänger telefonisch zu ihren Daten zu befragen, und untergräbt damit das sowieso nur ansatzweise vorhandene Datenschutzbewusstsein

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Am 20.07.2005 erst wurde konstatiert, es käme immer öfter zu sogenannten Phishingwellen. Phishing, das Kunstwort aus Password und Fishing, stellt im Prinzip die moderne Form des Trickbetruges dar. Mails erwecken den Eindruck, sie würden von seriösen Firmen oder Banken abgesandt werden, fordern dazu auf, Passwörter, PINs oder TANS auf den verlinkten Seiten einzugeben. Diese Seiten sind natürlich nicht wirklich zu den Firmen gehörig, sie sollen vielmehr dazu dienen, die Daten auf diese Weise abzufischen. Dies wiederum soll Identitätsdiebstahl und Betrug ermöglichen. Nicht immer ist es einfach, die gefälschten Mails von echten Mails zu unterscheiden, wie der Phishing-IQ-Test zeigt.

Vertrauen Sie mir, ich komme von der BA

Die Botschaft, die unter anderem das Bundesministerium für Sicherheit in der Informationstechnik in Bezug auf Phishingmails verbreiten, ist simpel: Achten Sie darauf, wem Sie welche Daten anvertrauen. Obgleich bei Phishingmails natürlich noch hinzukommt, dass man hier ja die Daten in vermeintlich sicheren und seriösen Händen wähnt, ist diese Formal auf alles, was mit Daten(schutz) zu tun hat, anwendbar. Niemand würde beispielsweise einem völlig Fremden seine privaten Daten wie Kontonummer etc. anvertrauen, nur weil dieser behauptet, er wäre von der Bank beauftragt, die Daten abzugleichen.

Doch ein solches Verhalten eben fordert (und fördert) die Bundesagentur für Arbeit (BA), indem sie ein Callcenter mit dem Abgleich von Sozialdaten beauftragt. Die BA sieht in diesem Verfahren scheinbar kein Problem, weil der Datenabgleich einerseits freiwillig ist und sie andererseits bestimmte Tätigkeiten an Dritte weitergeben kann. Unabhängig von der rechtlichen Komponente stellt die Handlungsweise der BA jedoch eine Konterkarierung des vorgenannten Datenschutzgrundsatzes dar. Da, wie in einem Erfahrungsbericht zu lesen ist, das beauftragte Callcenter (wie bei Callcentern üblich) die Nummer unterdrückt, könnte jeder behaupten, er sei von der BA mit dem Abgleich von Daten beauftragt worden.

Ämter, Banken, Versicherungen und andere, die mit privaten Daten zu tun haben, zeichneten sich bisher ja unter anderem dadurch aus, dass der Angerufene durch die angezeigte Rufnummer die Möglichkeit erhält, entweder zurückzurufen oder aber festzustellen, ob sich hinter dem Anrufer wirklich ein Mitarbeiter des Sozialamtes, der Bank etc. verbirgt. Auch wenn nicht zwangsläufig die Durchwahl des Mitarbeiters, sondern die zentrale Rufnummer angezeigt wird, ist es so doch möglich, eine prinzipielle Prüfung der Rufnummer vorzunehmen. Im aktuellen Fall ist es aber so, dass die BA zwar tatsächlich jemanden beauftragt hat, der Leistungsempfänger aber nicht nachprüfen kann, ob eben dieser anruft oder ein anderer, der lediglich eine Legitimation vortäuscht.

Ihre Kundennummer ist doch die 113, oder?

Argumente wie die Behauptung, dass sich der Callcenteragent (CCA) durch Nennung des Namens, der Anschrift sowie der Kundennummer des Leistungsempfängers legitimiere, greifen ins Leere, wenn man das Prinzip der automatischen Berichtigung oder Vervollständigung mit in seine Überlegungen einbezieht. Dieses Prinzip ist sowohl im Bereich des Verkaufs wie auch auf dem gesellschaftlichen Parkett längst etabliert und wird entsprechend oft genutzt, um Erinnerungslücken zu kaschieren oder aber schlichtweg Informationen zu bekommen.

Das Prinzip basiert darauf, dass eine Vielzahl von Menschen förmlich einen Zwang verspürt, eine falsche Annahme zu korrigieren oder aber zu vervollständigen. Es lässt sich leicht einmal testen, indem man einen Bekannten, dessen Geburtsdatum man nicht weiß, mit einem Phantasiedatum konfrontiert. "Hattest Du nicht auch am 10.12.1971 Geburtstag?" In den wenigsten Fällen wird sich der Bekannte mit einem einfachen "Nein" begnügen, meist folgt das richtige Datum. Auch wenn eine Information fehlt, wird diese meist vervollständigt, wenn nur angenommen wird, dass sie bereits bekannt, zurzeit aber "jemandem einfach entfallen ist". So mogelt sich so mancher in Fachgesprächen durch, wenn er betont, dass er die Thesen dieses "Professors... Sie wissen schon..." auch befürwortet. Es findet sich immer ein hilfreicher Geist, der den Nachnamen ergänzt. Auf Prinzipien wie diesen baut das bekannte "social engineering" auf.

Auf das vorgenannte Argument der Legitimation durch die Kundennummer und andere Daten bezogen heißt das, dass der CCA lediglich eine ansatzweise richtige Kundennummer nennen muss, um den Anschein zu erwecken, er habe die richtige Nummer vorliegen. Die Nennung der falschen Nummer kann er dann entweder durch ein Versehen ("Oh, Entschuldigung... da habe ich nicht richtig geschaut. Ich brauche wohl eine Brille") oder aber eine fehlerhafte Software begründen. Die letzte Begründung dürfte hinsichtlich der Fehler in der HartzIV-Software sogar mehr als plausibel klingen.

Somit hat der CCA bzw. derjenige, der sich als legitimierter CCA ausgibt, die Möglichkeit, weitere private Daten "abzugleichen", wobei er die obige Methode nutzen kann. Selbst bei einer Fehlerrate von 100% dürfte er gute Chancen haben, beim Leistungsempfänger höchstens auf Gemeinsamkeiten hinsichtlich der Genervtheit ob der fehlerhaften Erfassung, nicht jedoch auf Misstrauen zu stoßen. Kontodaten, Informationen über Wertgegenstände oder Vermögen, Abwesenheitszeiten durch Besuche oder Urlaub... da die Liste der für den Bezug von Arbeitslosengeld II notwendigen Informationen lang ist, werden die meisten Fragen sicherlich beantwortet werden.

Der Betrüger hätte in dem Fall nichts zu befürchten, da der Leistungsempfänger, selbst wenn er misstrauisch wird, ja quasi durch die BA erfahren hat, dass das Callcenter legitimiert ist, Daten einzuholen. Es gibt keine umfassende Dokumentation darüber, welches Callcenter anruft, wie die Rückrufnummer lautet, welche Fragen gestellt werden (dürfen) und welche nicht oder gar, wie die Namen der anrufenden Mitarbeiter lauten. Dies wäre hinsichtlich der hohen Personalfluktuation in Callcentern auch kaum möglich und (welch Ironie) datenschutzrechtlich auch bedenklich.

Alles ganz freiwillig

Auch die Argumentation hinsichtlich der Freiwilligkeit ist eine Scheindiskussion. Rein rechtlich besteht tatsächlich keine Verpflichtung, die Fragen des CCA zu beantworten. Die Freiwilligkeit, die oft genug im Datenschutz gepriesen wird, lässt aber prinzipiell gesellschaftliche, finanzielle, moralische oder emotionale Aspekte außer Acht, wodurch sie aber stark eingeschränkt wird. Bedenkt man die verschärften Mitwirkungsvorschriften beim Bezug von Arbeitslosengeld II, die Möglichkeiten, die Leistung zu kürzen oder gar ganz auszusetzen, so ist anzunehmen, dass die Mehrheit der angerufenen Leistungsempfänger aus bloßer Angst vor Leistungsentzug die Fragen beantwortet. Wie der obige Erfahrungsbericht weiterhin zeigt, wird nicht immer von Freiwilligkeit gesprochen. Dies wird auch in den News des Virtuellen Datenschutzbüros mittlerweile bestätigt und stellt einen hohen Unsicherheitsfaktor für die Betroffenen dar.

Bedingt durch diese Unsicherheit ist die Beauftragung des Callcenters durch die BA ein Bärendienst hinsichtlich des Datenschutzbewusstseins der Bevölkerung. Während einerseits davor gewarnt wird, allzu schnell private Daten herauszugeben und sich zu überlegen, wer welche Daten bekommen soll, erfolgt durch das von der BA initiierte Verfahren genau das Gegenteil: Leistungsempfängern wird mitgeteilt, dass er ruhig private Daten herausgeben soll, wenn der Anrufer nur von der BA ermächtigt sei, diese Daten zu erheben. Durch die mangelnde Überprüfbarkeit reicht also die bloße Behauptung aus.

Eine Vorabinformation der Betroffenen fand übrigens nicht statt. Hier ist anzumerken, dass eine schriftliche Information auch gleich mit einem Datenabgleich hätte verbunden werden können. Stattdessen wurden 170.000 Personen angerufen, die weder über die Befragung noch ihre Rechte aufgeklärt waren. Die Kritik des Bundesdatenschutzbeauftragten an der telefonischen Befragung von Leistungsempfängern ist somit berechtigt, greift aber zu kurz. Die BA fördert mit ihrem Handeln nicht nur die Möglichkeit zum Missbrauch, sie untergräbt auch die Versuche, in der Bevölkerung, die längst kaum mehr einen Überblick darüber hat, wer welche Daten wie lange und wofür vorrätig hält, ein Datenschutzbewusstsein zu wecken.

Um auf die eingangs behandelten Phishingmails zurückzukommen: Nach der Logik der BA sollte man dann wohl jemandem ruhig seine Kontodaten sowie die PINs und TANs anvertrauen, wenn er behauptet, dies sei für einen Sicherheitscheck bei der entsprechenden Bank notwendig.