Missbrauch von SKL-Spielerdaten

Landtag von Baden-Württemberg
Drucksache 14 /
14. Wahlperiode
14. 08. 2008
3142
Antrag
der Abg. Reinhold Pix u. a. GRÜNE
und
Stellungnahme
des Innenministeriums
Missbrauch von SKL-Spielerdaten
Antrag
Der Landtag wolle beschließen,
die Landesregierung zu ersuchen,
I. zu berichten,
1. ob Presseberichte zutreffen, wonach eine CD mit 17 000 Datensätzen von
SKL-Lotterieteilnehmern mit Namen und Adressen, Bankkontenverbindungen und Geburtsdaten weitergegeben und an ein Call-Center verkauft
wurden und wenn ja, wie viele Datensätze von SKL-Kunden aus BadenWürttemberg davon betroffen sind;
2. ob es zutrifft, dass die Staatsanwaltschaft Mönchengladbach in diesem
Zusammenhang ein Ermittlungsverfahren führt und wenn ja, wegen welcher
Delikte;
3. welche Sicherheitstechnologie und Verschlüsselungssoftware bei SKL eingesetzt wird, um die Datensicherheit der Spielerdaten zu gewährleisten
und wer die Anwendung dieser Sicherheitsprogramme kontrolliert;
4. seit wann der SKL bekannt ist, dass personenbezogene Daten, die im Rahmen
der Lotteriespielteilnahme erhoben wurden, illegal an Dritte gelangt sind;
5. wann von der SKL der Warnhinweis ins Internet gestellt wurde, aus dem
hervorgeht, dass eine Gruppierung, die sich „Deutscher Bundesverband
Verbraucherservice“ nennt, über Personen- und Kontendaten von SKLKunden verfügt;
Eingegangen: 14. 08. 2008 / Ausgegeben: 10. 09. 2008
Drucksachen und Plenarprotokolle sind im Internet
abrufbar unter: www.landtag-bw.de/Dokumente
1
Landtag von Baden-Württemberg
Drucksache 14 / 3142
6. seit wann dem – derzeit unter Vorsitz Baden-Württembergs geführten –
Staatslotterieausschuss bekannt ist, dass SKL-Kundendaten illegalerweise in fremde Hände gelangt sind (siehe Warnhinweis der SKL) und
was daraufhin von diesem Aufsichtsgremium veranlasst wurde;
7. welche sonstigen Gremien oder öffentliche Stellen von der SKL über die
Tatsache informiert wurden, dass Personen und Kontodaten von Lotterieteilnehmern an Unbefugte gelangt sind;
8. welche personenbezogenen Daten von der SKL erhoben, wie lange diese
Daten gespeichert und zu welchen Zwecken Daten von SKL-Kunden an
Dritte weitergegeben werden;
9. wie viele Personen Zugriff auf die Datensätze der SKL-Kunden haben;
10. wie der Landesbeauftragte für den Datenschutz die Datensicherheitstechnologie bei der SKL und das Krisenmanagement bewertet, nach dem
bekannt wurde, dass SKL-Kundendaten an unbefugte Dritte gelangt sind;
II.
1. darzulegen, ob sie, wie die Antragsteller, ein gesetzliches Verbot für den
Handel mit persönlichen Daten für erforderlich hält und ob sie im Bundesrat auf eine entsprechende Regelung hinwirken wird;
2. die Kontrolleffizienz der Datenschutzbehörden im öffentlichen und nichtöffentlichen Bereich zu verstärken und dem Landtag ein Konzept zur Aufhebung der Trennung dieser beiden Zuständigkeitsbereiche vorzulegen.
14. 08. 2008
Pix, Walter, Sitzmann, Sckerl, Oelmayer,
Lösch, Rastätter, Untersteller, Wölfle GRÜNE
Begründung
Presseinformationen zufolge fand eine unerlaubte Weitergabe von Bankdaten
von mehr als 17 000 Verbraucherinnen und Verbrauchern statt, wobei einige
von ihnen durch unerlaubte Kontoabbuchungen geschädigt wurden. Die
Datensätze, die auch Name, Geburtsdatum und Adresse enthalten, sollen von
der Staatlichen Klassenlotterie SKL erhoben worden sein, die unter der Aufsicht des Staatslotterieausschusses steht, in dem derzeit ein Beamter des
baden-württembergischen Finanzministeriums den Vorsitz führt.
Dies ist nicht der erste Fall von Datenmissbrauch von SKL-Kundendaten.
Die SKL führt auf ihrer Internetseite einen Warnhinweis, in dem darauf hingewiesen wird, dass auch in einem anderen Fall Daten an unbefugte Dritte
gelangt sind, namentlich an eine Gruppierung, die sich „Deutscher Bundesverband Verbraucherservice“ nennt. Die Kundendateien der SKL sind daher
keineswegs so sicher, wie die im Internet veröffentlichte Datenschutzerklärung der SKL glauben machen will.
Die Datensicherheit einer staatlichen Lotterie ist eine öffentliche Aufgabe
unter staatlicher Aufsicht. Daher ist dringend klärungsbedürftig, wie die SKL
2
Landtag von Baden-Württemberg
Drucksache 14 / 3142
und der Staatslotterieausschuss mit der Tatsache umgegangen sind, dass persönliche Daten von Lotterieteilnehmern an unbefugte Dritte gelangt sind.
Die Antragsteller sind der Auffassung, dass ein gesetzliches Verbot für den
Handel mit personenbezogenen Daten erforderlich ist. Dabei muss eine
gesetzliche Begriffsbestimmung erfolgen, was Auskunfteien sind; diese sind
unter eine strenge staatliche Datenschutzkontrolle zu stellen. Unternehmer
sollten künftig auch für den Schaden haftbar gemacht werden, der entsteht,
wenn erteilte Einzugsermächtigungen in falsche Hände geraten.
Des Weiteren ist es unabdingbar, die Datenschutzbehörden personell und
technisch besser auszustatten. Insbesondere die Aufsichtsbehörde für die
Datenschutzkontrolle des nichtöffentlichen Bereichs ist seit langem nicht
mehr in der Lage, auch nur die bekannt gewordenen Datenverstöße von großen
Unternehmen wie Daimler AG oder Lidl und anderen Einzelhandelsketten
effektiv zu kontrollieren, geschweige denn systematische, anlassunabhängige
Überprüfungen und Inspektionen durchzuführen. Die Landesregierung weist
in der Stellungnahme zu einem Antrag der GRÜNEN (Drucksache 14/3048)
selbst auf die „derzeit erhebliche Belastung der Aufsichtsbehörde mit Großverfahren“ hin. Daher müssen die Synergieeffekte und Effizienzgewinne, die
durch eine Zusammenlegung der Datenschutzkontrollstellen im öffentlichen
und nichtöffentlichen Bereich zu erzielen sind, unbedingt genutzt werden;
positive Erfahrungen aus anderen Bundesländern liegen vor.
Stellungnahme
Mit Schreiben vom 3. September 2008 Nr. 2–0552.2–0/108 nimmt das Innenministerium im Einvernehmen mit dem Finanzministerium zu dem Antrag
wie folgt Stellung:
Vorbemerkung:
Zum besseren Verständnis soll zunächst die Organisation der Süddeutschen
Klassenlotterie erläutert werden.
Die Länder Baden-Württemberg, Bayern, Hessen, Rheinland-Pfalz, Sachsen
und Thüringen veranstalten eine staatliche Klassenlotterie unter der Bezeichnung „Süddeutsche Klassenlotterie“ (SKL). Die näheren Einzelheiten zur
Veranstaltung der SKL ergeben sich aus dem Gesetz zum Staatsvertrag zwischen
den genannten Ländern über eine Staatliche Klassenlotterie (SKL-Staatsvertrag) vom 15. Dezember 1992 (GBl. S. 798). Die SKL ist eine rechtsfähige
Anstalt des öffentlichen Rechts mit Sitz in München. Organe der Anstalt sind
der Staatslotterieausschuss und die Direktion. Die SKL-Lose werden von
staatlichen Lotterieeinnehmern im Auftrag und auf Rechnung der SKL verkauft. Ein Direktvertrieb durch die SKL erfolgt nicht. Deshalb verfügt die
SKL auch nicht über eigene Kunden- bzw. Spielerdaten. Die Direktion speichert
lediglich die Daten von Großgewinnern, deren Gewinne durch die Direktion
ausgezahlt werden sowie von Personen, die Anfragen an das Kunden-ServiceCenter der Direktion gerichtet haben. Die Spielerdaten hält jeder staatliche
Lotterieeinnehmer für sich vor. Einen gemeinsamen Datenpool gibt es nicht.
Die rechtlich selbstständigen staatlichen Lotterieeinnehmer entscheiden
selbst darüber, welche Spielerdaten sie wie erheben, verarbeiten und nutzen,
ob sie die Daten automatisiert oder manuell speichern, welche IuK-Technik
sie im Falle der automatisierten Datenverarbeitung einsetzen, wie lange sie
die Daten speichern, wer auf die Daten Zugriff hat und ob und ggf. welche
Daten an Dritte übermittelt werden. Sie müssen dabei insbesondere die Vor-
3
Landtag von Baden-Württemberg
Drucksache 14 / 3142
schriften des Bundesdatenschutzgesetzes, den seit 1. Januar 2008 geltenden
Staatsvertrag zum Glücksspielwesen in Deutschland (GBl. 2007 S. 571), der
die Telefonwerbung untersagt, sowie die Geschäftsanweisung, die zu Stillschweigen bezüglich der Spielteilnehmer und deren Teilnahme an den Lotterien verpflichtet, beachten. Sie müssen ferner nach Maßgabe des Bundesdatenschutzgesetzes einen Beauftragten für den Datenschutz bestellen, der auf
die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz hinzuwirken hat. Die staatlichen Lotterieeinnehmer unterliegen der
Kontrolle der Aufsichtsbehörden für den Datenschutz im nichtöffentlichen
Bereich.
Da die Spielerdaten von den staatlichen Lotterieeinnehmern gespeichert werden,
wird im Folgenden auf diese abgestellt, soweit nach der Verwendung von
Spielerdaten und den getroffenen Datensicherungsmaßnahmen gefragt wird.
Der Landtag wolle beschließen,
die Landesregierung zu ersuchen,
I. zu berichten,
1. ob Presseberichte zutreffen, wonach eine CD mit 17 000 Datensätzen von
SKL-Lotterieteilnehmern mit Namen und Adressen, Bankkontenverbindungen und Geburtsdaten weitergegeben und an ein Call-Center verkauft wurden
und wenn ja, wie viele Datensätze von SKL-Kunden aus Baden-Württemberg davon betroffen sind;
Zu I. 1.:
Dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein
(ULD) wurde am 12. August 2008 eine CD mit 17.000 Datensätzen zugesandt. Die Dateien enthielten Angaben zu Nachname, Vorname, Adresse,
Telefonnummer und Bankverbindung der betroffenen Personen. Die Datensätze sollen aus einem Call-Center in Lübeck stammen. Nicht bekannt ist,
wie sie dorthin gelangt sind. Die mit dem Vorgang befassten Datenschutzaufsichtsbehörden in Schleswig-Holstein und Nordrhein-Westfalen sowie die
Süddeutsche Klassenlotterie haben auf Anfrage mitgeteilt, dass sie über keine
Erkenntnisse verfügen, wonach es sich bei den Datensätzen um SKL-Kundendaten handelt. Auf einen solchen Zusammenhang deuten bislang lediglich
die Dateinamen hin, die u. a. das Kürzel „skl“ enthalten. Unter den Betroffenen
sollen sich nach Angaben des ULD knapp 2.000 Personen aus Baden-Württemberg befinden.
2. ob es zutrifft, dass die Staatsanwaltschaft Mönchengladbach in diesem
Zusammenhang ein Ermittlungsverfahren führt und wenn ja, wegen welcher
Delikte;
Zu I. 2.:
Es trifft zu, dass die Staatsanwaltschaft Mönchengladbach aufgrund von
Strafanträgen der beiden mit den Vorgängen befassten Datenschutzaufsichtsbehörden in Schleswig-Holstein und Nordrhein-Westfalen ein Ermittlungsverfahren eingeleitet hat. Die Strafanträge wurden wegen des Verdachts einer
Straftat nach § 44 in Verbindung mit § 43 Abs. 2 Nr. 1 des Bundesdatenschutzgesetzes gestellt. Ob die Staatsanwaltschaft Mönchengladbach auch
wegen anderer Straftaten ermittelt, ist dem Innenministerium nicht bekannt.
4
Landtag von Baden-Württemberg
Drucksache 14 / 3142
3. welche Sicherheitstechnologie und Verschlüsselungssoftware bei SKL eingesetzt wird, um die Datensicherheit der Spielerdaten zu gewährleisten
und wer die Anwendung dieser Sicherheitsprogramme kontrolliert;
Zu I. 3.:
Eine generelle Aussage ist nicht möglich. Zur Begründung wird auf die Vorbemerkung verwiesen.
4. seit wann der SKL bekannt ist, dass personenbezogene Daten, die im Rahmen
der Lotteriespielteilnahme erhoben wurden, illegal an Dritte gelangt sind;
Zu I. 4.:
Der in Frage 1 angesprochene Sachverhalt wurde der Direktion am 12. August
2008 bekannt.
2006/2007 hatte die Direktion von zwei Fällen, vor Bekanntwerden des in
Frage 1 angesprochenen Sachverhalts von mehreren Fällen Kenntnis über
missbräuchlichen Umgang bzw. rechtswidrigen Handel mit angeblichen
SKL-Daten erhalten. In allen Fällen hat die SKL umgehend zivil- und/oder
strafrechtliche Schritte eingeleitet.
5. wann von der SKL der Warnhinweis ins Internet gestellt wurde, aus dem
hervorgeht, dass eine Gruppierung, die sich „Deutscher Bundesverband
Verbraucherservice“ nennt, über Personen- und Kontendaten von SKLKunden verfügt;
Zu I. 5.:
Die SKL hat den Warnhinweis am 20. Juni 2008 ins Internet eingestellt. Dem
Warnhinweis lag eine Kundenbeschwerde zugrunde. Weitergehende Schritte
unterblieben, weil es der SKL nicht möglich war festzustellen, wer sich hinter
der Organisation „Deutscher Bundesverband Verbraucherservice“ verbirgt.
Als einzige Handlungsmöglichkeit blieb daher ein Hinweis im Internet zum
Schutz möglicher weiterer Geschädigter.
6. seit wann dem – derzeit unter Vorsitz Baden-Württembergs geführten –
Staatslotterieausschuss bekannt ist, dass SKL-Kundendaten illegalerweise
in fremde Hände gelangt sind (siehe Warnhinweis der SKL) und was daraufhin von diesem Aufsichtsgremium veranlasst wurde;
Zu I. 6.:
In den unter Ziffer 4 genannten früheren Missbrauchsfällen wurde der Staatslotterieausschuss jeweils im Rahmen der Berichterstattung zu Rechtsangelegenheiten zum Telefonmarketing in regulären Sitzungen informiert. Weitergehende Maßnahmen seitens des Ausschusses waren nicht erforderlich, da
die Direktion die notwendigen Schritte von sich aus vollzogen hat.
Der Warnhinweis vom 20. Juni 2008 im Internetauftritt der SKL geht – wie
unter Ziffer 5 dargestellt – auf einen Einzelfall zurück. Aus Sicht der Direktion war eine sofortige Information der Mitglieder des Staatslotterieausschusses
zu diesem Vorgang nicht notwendig.
Zu den aktuellen Vorgängen wurden die Mitglieder des Staatslotterieausschusses der SKL am 12. August 2008 mit einem sog. Newsletter der Direktion über das interne SKL-Portal sowie am 13., 14. und 18. August 2008
durch Übersendung der jeweiligen Pressemeldungen per E-Mail über den
5
Landtag von Baden-Württemberg
Drucksache 14 / 3142
Verdacht eines Missbrauchs von SKL-Kundendaten durch Dritte informiert.
Daneben erfolgte am 14. August 2008 ein ausführlicher Zwischenbericht an
die Mitglieder zur aktuellen Situation. Das nach dem SKL-Staatsvertrag aufsichtsführende Finanzministerium Baden-Württemberg ließ sich in den
Tagen, in denen Verdachtsfälle von Datenmissbrauch aus dem Umfeld der
SKL publik wurden, telefonisch zur aktuellen Sachlage berichten.
Die Direktion hat zur schnellstmöglichen Klärung der Datenherkunft den
zuständigen Staatsanwaltschaften und Datenschutzbeauftragten die aktive
Mitarbeit angeboten und am 13. August 2008 mit dem Vorstand des Zentralverbands der Lotterieeinnehmer ein Maßnahmenpaket zur Vermeidung künftiger Missbrauchsfälle beschlossen. Aufgrund dieser Maßnahmen der Direktion zur umfassenden Aufklärung des Sachverhalts und zur Vermeidung
künftiger Fälle sind weitere aufsichtsrechtliche Schritte bislang nicht erforderlich gewesen.
7. welche sonstigen Gremien oder öffentliche Stellen von der SKL über die Tatsache informiert wurden, dass Personen und Kontodaten von Lotterieteilnehmern an Unbefugte gelangt sind;
Zu I. 7.:
Zusätzlich wurden das Innenministerium als oberste Glücksspielaufsichtsbehörde des Landes und das Regierungspräsidium Karlsruhe als unmittelbare
Aufsichtsbehörde nach § 16 des Ausführungsgesetzes zum Glücksspielstaatsvertrag vom 4. März 2008 (GBl. S. 81) sowie der für die Datenschutzaufsicht
über die Direktion zuständige Bayerische Datenschutzbeauftragte informiert.
8. welche personenbezogenen Daten von der SKL erhoben, wie lange diese
Daten gespeichert und zu welchen Zwecken Daten von SKL-Kunden an Dritte
weitergegeben werden;
Zu I. 8.:
Generelle Aussagen hierzu sind nicht möglich. Zur Begründung wird auf die
Vorbemerkung verwiesen.
9. wie viele Personen Zugriff auf die Datensätze der SKL-Kunden haben;
Zu I. 9.:
Eine generelle Aussage hierzu ist nicht möglich. Zur Begründung wird auf
die Vorbemerkung verwiesen.
10. wie der Landesbeauftragte für den Datenschutz die Datensicherheitstechnologie bei der SKL und das Krisenmanagement bewertet, nach dem
bekannt wurde, dass SKL-Kundendaten an unbefugte Dritte gelangt sind;
Zu I. 10.:
Der Landesbeauftragte für den Datenschutz ist für die Datenschutzaufsicht
über die staatlichen Lotterieeinnehmer und die Direktion nicht zuständig.
6
Landtag von Baden-Württemberg
Drucksache 14 / 3142
II.
1. darzulegen, ob sie, wie die Antragsteller, ein gesetzliches Verbot für den
Handel mit persönlichen Daten für erforderlich hält und ob sie im Bundesrat auf eine entsprechende Regelung hinwirken wird;
Zu II. 1.:
Der der Anfrage zugrunde liegende Vorgang und weitere inzwischen bekannt
gewordene Vorgänge lassen sich mangels Kenntnis der genauen Sachverhalte
derzeit nicht abschließend beurteilen. Was bekannt ist, gibt jedoch Anlass für
eine Prüfung durch die Bundesregierung, ob die im Bundesdatenschutzgesetz
vorgenommene Privilegierung der Werbung bei der Übermittlung personenbezogener Daten und die für den Adresshandel geltenden Vorschriften unter
den Bedingungen der modernen Datenverarbeitung noch sachgerecht sind,
insbesondere ob die Übermittlung personenbezogener Daten für Zwecke der
(Fremd-)Werbung von der Einwilligung der Betroffenen abhängig gemacht
werden muss. Das Innenministerium und das Ministerium für Ernährung und
Ländlichen Raum haben bei den Beratungen des Entwurfs eines Gesetzes zur
Änderung des Bundesdatenschutzgesetzes im Bundesrat einen entsprechenden Entschließungsantrag gestellt, der vor dem Hintergrund der aktuellen
Ereignisse weitere Vorschläge zur Verbesserung des Datenschutzes enthält.
Die Vorschläge gehen im Wesentlichen auf die Prüfpraxis der Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich zurück.
2. Kontrolleffizienz der Datenschutzbehörden im öffentlichen und nichtöffentlichen Bereich zu verstärken und dem Landtag ein Konzept zur Aufhebung
der Trennung dieser beiden Zuständigkeitsbereiche vorzulegen;
Zu II. 2.:
Die aktuellen Vorgänge geben keinen Anlass, über die Zusammenlegung von
öffentlicher und nichtöffentlicher Datenschutzaufsicht erneut nachzudenken.
Der dritte und der vierte Tätigkeitsbericht des Innenministeriums als Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich belegen,
dass das Innenministerium in seiner Prüfpraxis sowohl dem Lotteriebereich
als auch der Datenverarbeitung in Call-Centern und der zumeist von diesen
betriebenen Telefonwerbung besondere Aufmerksamkeit geschenkt hat und
nach wie vor schenkt. Die derzeitige Organisationsform des Datenschutzes in
Baden-Württemberg hat im Übrigen den Vorteil, dass Erfahrungen aus der
Prüfpraxis der Aufsichtsbehörde für den Datenschutz im nichtöffentlichen
Bereich unmittelbar für Bundesratsanträge zur Verbesserung des Datenschutzes
genutzt werden können.
Rech
Innenminister
7