Missbrauch von SKL-Spielerdaten
Transcrição
Missbrauch von SKL-Spielerdaten
Landtag von Baden-Württemberg Drucksache 14 / 14. Wahlperiode 14. 08. 2008 3142 Antrag der Abg. Reinhold Pix u. a. GRÜNE und Stellungnahme des Innenministeriums Missbrauch von SKL-Spielerdaten Antrag Der Landtag wolle beschließen, die Landesregierung zu ersuchen, I. zu berichten, 1. ob Presseberichte zutreffen, wonach eine CD mit 17 000 Datensätzen von SKL-Lotterieteilnehmern mit Namen und Adressen, Bankkontenverbindungen und Geburtsdaten weitergegeben und an ein Call-Center verkauft wurden und wenn ja, wie viele Datensätze von SKL-Kunden aus BadenWürttemberg davon betroffen sind; 2. ob es zutrifft, dass die Staatsanwaltschaft Mönchengladbach in diesem Zusammenhang ein Ermittlungsverfahren führt und wenn ja, wegen welcher Delikte; 3. welche Sicherheitstechnologie und Verschlüsselungssoftware bei SKL eingesetzt wird, um die Datensicherheit der Spielerdaten zu gewährleisten und wer die Anwendung dieser Sicherheitsprogramme kontrolliert; 4. seit wann der SKL bekannt ist, dass personenbezogene Daten, die im Rahmen der Lotteriespielteilnahme erhoben wurden, illegal an Dritte gelangt sind; 5. wann von der SKL der Warnhinweis ins Internet gestellt wurde, aus dem hervorgeht, dass eine Gruppierung, die sich „Deutscher Bundesverband Verbraucherservice“ nennt, über Personen- und Kontendaten von SKLKunden verfügt; Eingegangen: 14. 08. 2008 / Ausgegeben: 10. 09. 2008 Drucksachen und Plenarprotokolle sind im Internet abrufbar unter: www.landtag-bw.de/Dokumente 1 Landtag von Baden-Württemberg Drucksache 14 / 3142 6. seit wann dem – derzeit unter Vorsitz Baden-Württembergs geführten – Staatslotterieausschuss bekannt ist, dass SKL-Kundendaten illegalerweise in fremde Hände gelangt sind (siehe Warnhinweis der SKL) und was daraufhin von diesem Aufsichtsgremium veranlasst wurde; 7. welche sonstigen Gremien oder öffentliche Stellen von der SKL über die Tatsache informiert wurden, dass Personen und Kontodaten von Lotterieteilnehmern an Unbefugte gelangt sind; 8. welche personenbezogenen Daten von der SKL erhoben, wie lange diese Daten gespeichert und zu welchen Zwecken Daten von SKL-Kunden an Dritte weitergegeben werden; 9. wie viele Personen Zugriff auf die Datensätze der SKL-Kunden haben; 10. wie der Landesbeauftragte für den Datenschutz die Datensicherheitstechnologie bei der SKL und das Krisenmanagement bewertet, nach dem bekannt wurde, dass SKL-Kundendaten an unbefugte Dritte gelangt sind; II. 1. darzulegen, ob sie, wie die Antragsteller, ein gesetzliches Verbot für den Handel mit persönlichen Daten für erforderlich hält und ob sie im Bundesrat auf eine entsprechende Regelung hinwirken wird; 2. die Kontrolleffizienz der Datenschutzbehörden im öffentlichen und nichtöffentlichen Bereich zu verstärken und dem Landtag ein Konzept zur Aufhebung der Trennung dieser beiden Zuständigkeitsbereiche vorzulegen. 14. 08. 2008 Pix, Walter, Sitzmann, Sckerl, Oelmayer, Lösch, Rastätter, Untersteller, Wölfle GRÜNE Begründung Presseinformationen zufolge fand eine unerlaubte Weitergabe von Bankdaten von mehr als 17 000 Verbraucherinnen und Verbrauchern statt, wobei einige von ihnen durch unerlaubte Kontoabbuchungen geschädigt wurden. Die Datensätze, die auch Name, Geburtsdatum und Adresse enthalten, sollen von der Staatlichen Klassenlotterie SKL erhoben worden sein, die unter der Aufsicht des Staatslotterieausschusses steht, in dem derzeit ein Beamter des baden-württembergischen Finanzministeriums den Vorsitz führt. Dies ist nicht der erste Fall von Datenmissbrauch von SKL-Kundendaten. Die SKL führt auf ihrer Internetseite einen Warnhinweis, in dem darauf hingewiesen wird, dass auch in einem anderen Fall Daten an unbefugte Dritte gelangt sind, namentlich an eine Gruppierung, die sich „Deutscher Bundesverband Verbraucherservice“ nennt. Die Kundendateien der SKL sind daher keineswegs so sicher, wie die im Internet veröffentlichte Datenschutzerklärung der SKL glauben machen will. Die Datensicherheit einer staatlichen Lotterie ist eine öffentliche Aufgabe unter staatlicher Aufsicht. Daher ist dringend klärungsbedürftig, wie die SKL 2 Landtag von Baden-Württemberg Drucksache 14 / 3142 und der Staatslotterieausschuss mit der Tatsache umgegangen sind, dass persönliche Daten von Lotterieteilnehmern an unbefugte Dritte gelangt sind. Die Antragsteller sind der Auffassung, dass ein gesetzliches Verbot für den Handel mit personenbezogenen Daten erforderlich ist. Dabei muss eine gesetzliche Begriffsbestimmung erfolgen, was Auskunfteien sind; diese sind unter eine strenge staatliche Datenschutzkontrolle zu stellen. Unternehmer sollten künftig auch für den Schaden haftbar gemacht werden, der entsteht, wenn erteilte Einzugsermächtigungen in falsche Hände geraten. Des Weiteren ist es unabdingbar, die Datenschutzbehörden personell und technisch besser auszustatten. Insbesondere die Aufsichtsbehörde für die Datenschutzkontrolle des nichtöffentlichen Bereichs ist seit langem nicht mehr in der Lage, auch nur die bekannt gewordenen Datenverstöße von großen Unternehmen wie Daimler AG oder Lidl und anderen Einzelhandelsketten effektiv zu kontrollieren, geschweige denn systematische, anlassunabhängige Überprüfungen und Inspektionen durchzuführen. Die Landesregierung weist in der Stellungnahme zu einem Antrag der GRÜNEN (Drucksache 14/3048) selbst auf die „derzeit erhebliche Belastung der Aufsichtsbehörde mit Großverfahren“ hin. Daher müssen die Synergieeffekte und Effizienzgewinne, die durch eine Zusammenlegung der Datenschutzkontrollstellen im öffentlichen und nichtöffentlichen Bereich zu erzielen sind, unbedingt genutzt werden; positive Erfahrungen aus anderen Bundesländern liegen vor. Stellungnahme Mit Schreiben vom 3. September 2008 Nr. 2–0552.2–0/108 nimmt das Innenministerium im Einvernehmen mit dem Finanzministerium zu dem Antrag wie folgt Stellung: Vorbemerkung: Zum besseren Verständnis soll zunächst die Organisation der Süddeutschen Klassenlotterie erläutert werden. Die Länder Baden-Württemberg, Bayern, Hessen, Rheinland-Pfalz, Sachsen und Thüringen veranstalten eine staatliche Klassenlotterie unter der Bezeichnung „Süddeutsche Klassenlotterie“ (SKL). Die näheren Einzelheiten zur Veranstaltung der SKL ergeben sich aus dem Gesetz zum Staatsvertrag zwischen den genannten Ländern über eine Staatliche Klassenlotterie (SKL-Staatsvertrag) vom 15. Dezember 1992 (GBl. S. 798). Die SKL ist eine rechtsfähige Anstalt des öffentlichen Rechts mit Sitz in München. Organe der Anstalt sind der Staatslotterieausschuss und die Direktion. Die SKL-Lose werden von staatlichen Lotterieeinnehmern im Auftrag und auf Rechnung der SKL verkauft. Ein Direktvertrieb durch die SKL erfolgt nicht. Deshalb verfügt die SKL auch nicht über eigene Kunden- bzw. Spielerdaten. Die Direktion speichert lediglich die Daten von Großgewinnern, deren Gewinne durch die Direktion ausgezahlt werden sowie von Personen, die Anfragen an das Kunden-ServiceCenter der Direktion gerichtet haben. Die Spielerdaten hält jeder staatliche Lotterieeinnehmer für sich vor. Einen gemeinsamen Datenpool gibt es nicht. Die rechtlich selbstständigen staatlichen Lotterieeinnehmer entscheiden selbst darüber, welche Spielerdaten sie wie erheben, verarbeiten und nutzen, ob sie die Daten automatisiert oder manuell speichern, welche IuK-Technik sie im Falle der automatisierten Datenverarbeitung einsetzen, wie lange sie die Daten speichern, wer auf die Daten Zugriff hat und ob und ggf. welche Daten an Dritte übermittelt werden. Sie müssen dabei insbesondere die Vor- 3 Landtag von Baden-Württemberg Drucksache 14 / 3142 schriften des Bundesdatenschutzgesetzes, den seit 1. Januar 2008 geltenden Staatsvertrag zum Glücksspielwesen in Deutschland (GBl. 2007 S. 571), der die Telefonwerbung untersagt, sowie die Geschäftsanweisung, die zu Stillschweigen bezüglich der Spielteilnehmer und deren Teilnahme an den Lotterien verpflichtet, beachten. Sie müssen ferner nach Maßgabe des Bundesdatenschutzgesetzes einen Beauftragten für den Datenschutz bestellen, der auf die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz hinzuwirken hat. Die staatlichen Lotterieeinnehmer unterliegen der Kontrolle der Aufsichtsbehörden für den Datenschutz im nichtöffentlichen Bereich. Da die Spielerdaten von den staatlichen Lotterieeinnehmern gespeichert werden, wird im Folgenden auf diese abgestellt, soweit nach der Verwendung von Spielerdaten und den getroffenen Datensicherungsmaßnahmen gefragt wird. Der Landtag wolle beschließen, die Landesregierung zu ersuchen, I. zu berichten, 1. ob Presseberichte zutreffen, wonach eine CD mit 17 000 Datensätzen von SKL-Lotterieteilnehmern mit Namen und Adressen, Bankkontenverbindungen und Geburtsdaten weitergegeben und an ein Call-Center verkauft wurden und wenn ja, wie viele Datensätze von SKL-Kunden aus Baden-Württemberg davon betroffen sind; Zu I. 1.: Dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) wurde am 12. August 2008 eine CD mit 17.000 Datensätzen zugesandt. Die Dateien enthielten Angaben zu Nachname, Vorname, Adresse, Telefonnummer und Bankverbindung der betroffenen Personen. Die Datensätze sollen aus einem Call-Center in Lübeck stammen. Nicht bekannt ist, wie sie dorthin gelangt sind. Die mit dem Vorgang befassten Datenschutzaufsichtsbehörden in Schleswig-Holstein und Nordrhein-Westfalen sowie die Süddeutsche Klassenlotterie haben auf Anfrage mitgeteilt, dass sie über keine Erkenntnisse verfügen, wonach es sich bei den Datensätzen um SKL-Kundendaten handelt. Auf einen solchen Zusammenhang deuten bislang lediglich die Dateinamen hin, die u. a. das Kürzel „skl“ enthalten. Unter den Betroffenen sollen sich nach Angaben des ULD knapp 2.000 Personen aus Baden-Württemberg befinden. 2. ob es zutrifft, dass die Staatsanwaltschaft Mönchengladbach in diesem Zusammenhang ein Ermittlungsverfahren führt und wenn ja, wegen welcher Delikte; Zu I. 2.: Es trifft zu, dass die Staatsanwaltschaft Mönchengladbach aufgrund von Strafanträgen der beiden mit den Vorgängen befassten Datenschutzaufsichtsbehörden in Schleswig-Holstein und Nordrhein-Westfalen ein Ermittlungsverfahren eingeleitet hat. Die Strafanträge wurden wegen des Verdachts einer Straftat nach § 44 in Verbindung mit § 43 Abs. 2 Nr. 1 des Bundesdatenschutzgesetzes gestellt. Ob die Staatsanwaltschaft Mönchengladbach auch wegen anderer Straftaten ermittelt, ist dem Innenministerium nicht bekannt. 4 Landtag von Baden-Württemberg Drucksache 14 / 3142 3. welche Sicherheitstechnologie und Verschlüsselungssoftware bei SKL eingesetzt wird, um die Datensicherheit der Spielerdaten zu gewährleisten und wer die Anwendung dieser Sicherheitsprogramme kontrolliert; Zu I. 3.: Eine generelle Aussage ist nicht möglich. Zur Begründung wird auf die Vorbemerkung verwiesen. 4. seit wann der SKL bekannt ist, dass personenbezogene Daten, die im Rahmen der Lotteriespielteilnahme erhoben wurden, illegal an Dritte gelangt sind; Zu I. 4.: Der in Frage 1 angesprochene Sachverhalt wurde der Direktion am 12. August 2008 bekannt. 2006/2007 hatte die Direktion von zwei Fällen, vor Bekanntwerden des in Frage 1 angesprochenen Sachverhalts von mehreren Fällen Kenntnis über missbräuchlichen Umgang bzw. rechtswidrigen Handel mit angeblichen SKL-Daten erhalten. In allen Fällen hat die SKL umgehend zivil- und/oder strafrechtliche Schritte eingeleitet. 5. wann von der SKL der Warnhinweis ins Internet gestellt wurde, aus dem hervorgeht, dass eine Gruppierung, die sich „Deutscher Bundesverband Verbraucherservice“ nennt, über Personen- und Kontendaten von SKLKunden verfügt; Zu I. 5.: Die SKL hat den Warnhinweis am 20. Juni 2008 ins Internet eingestellt. Dem Warnhinweis lag eine Kundenbeschwerde zugrunde. Weitergehende Schritte unterblieben, weil es der SKL nicht möglich war festzustellen, wer sich hinter der Organisation „Deutscher Bundesverband Verbraucherservice“ verbirgt. Als einzige Handlungsmöglichkeit blieb daher ein Hinweis im Internet zum Schutz möglicher weiterer Geschädigter. 6. seit wann dem – derzeit unter Vorsitz Baden-Württembergs geführten – Staatslotterieausschuss bekannt ist, dass SKL-Kundendaten illegalerweise in fremde Hände gelangt sind (siehe Warnhinweis der SKL) und was daraufhin von diesem Aufsichtsgremium veranlasst wurde; Zu I. 6.: In den unter Ziffer 4 genannten früheren Missbrauchsfällen wurde der Staatslotterieausschuss jeweils im Rahmen der Berichterstattung zu Rechtsangelegenheiten zum Telefonmarketing in regulären Sitzungen informiert. Weitergehende Maßnahmen seitens des Ausschusses waren nicht erforderlich, da die Direktion die notwendigen Schritte von sich aus vollzogen hat. Der Warnhinweis vom 20. Juni 2008 im Internetauftritt der SKL geht – wie unter Ziffer 5 dargestellt – auf einen Einzelfall zurück. Aus Sicht der Direktion war eine sofortige Information der Mitglieder des Staatslotterieausschusses zu diesem Vorgang nicht notwendig. Zu den aktuellen Vorgängen wurden die Mitglieder des Staatslotterieausschusses der SKL am 12. August 2008 mit einem sog. Newsletter der Direktion über das interne SKL-Portal sowie am 13., 14. und 18. August 2008 durch Übersendung der jeweiligen Pressemeldungen per E-Mail über den 5 Landtag von Baden-Württemberg Drucksache 14 / 3142 Verdacht eines Missbrauchs von SKL-Kundendaten durch Dritte informiert. Daneben erfolgte am 14. August 2008 ein ausführlicher Zwischenbericht an die Mitglieder zur aktuellen Situation. Das nach dem SKL-Staatsvertrag aufsichtsführende Finanzministerium Baden-Württemberg ließ sich in den Tagen, in denen Verdachtsfälle von Datenmissbrauch aus dem Umfeld der SKL publik wurden, telefonisch zur aktuellen Sachlage berichten. Die Direktion hat zur schnellstmöglichen Klärung der Datenherkunft den zuständigen Staatsanwaltschaften und Datenschutzbeauftragten die aktive Mitarbeit angeboten und am 13. August 2008 mit dem Vorstand des Zentralverbands der Lotterieeinnehmer ein Maßnahmenpaket zur Vermeidung künftiger Missbrauchsfälle beschlossen. Aufgrund dieser Maßnahmen der Direktion zur umfassenden Aufklärung des Sachverhalts und zur Vermeidung künftiger Fälle sind weitere aufsichtsrechtliche Schritte bislang nicht erforderlich gewesen. 7. welche sonstigen Gremien oder öffentliche Stellen von der SKL über die Tatsache informiert wurden, dass Personen und Kontodaten von Lotterieteilnehmern an Unbefugte gelangt sind; Zu I. 7.: Zusätzlich wurden das Innenministerium als oberste Glücksspielaufsichtsbehörde des Landes und das Regierungspräsidium Karlsruhe als unmittelbare Aufsichtsbehörde nach § 16 des Ausführungsgesetzes zum Glücksspielstaatsvertrag vom 4. März 2008 (GBl. S. 81) sowie der für die Datenschutzaufsicht über die Direktion zuständige Bayerische Datenschutzbeauftragte informiert. 8. welche personenbezogenen Daten von der SKL erhoben, wie lange diese Daten gespeichert und zu welchen Zwecken Daten von SKL-Kunden an Dritte weitergegeben werden; Zu I. 8.: Generelle Aussagen hierzu sind nicht möglich. Zur Begründung wird auf die Vorbemerkung verwiesen. 9. wie viele Personen Zugriff auf die Datensätze der SKL-Kunden haben; Zu I. 9.: Eine generelle Aussage hierzu ist nicht möglich. Zur Begründung wird auf die Vorbemerkung verwiesen. 10. wie der Landesbeauftragte für den Datenschutz die Datensicherheitstechnologie bei der SKL und das Krisenmanagement bewertet, nach dem bekannt wurde, dass SKL-Kundendaten an unbefugte Dritte gelangt sind; Zu I. 10.: Der Landesbeauftragte für den Datenschutz ist für die Datenschutzaufsicht über die staatlichen Lotterieeinnehmer und die Direktion nicht zuständig. 6 Landtag von Baden-Württemberg Drucksache 14 / 3142 II. 1. darzulegen, ob sie, wie die Antragsteller, ein gesetzliches Verbot für den Handel mit persönlichen Daten für erforderlich hält und ob sie im Bundesrat auf eine entsprechende Regelung hinwirken wird; Zu II. 1.: Der der Anfrage zugrunde liegende Vorgang und weitere inzwischen bekannt gewordene Vorgänge lassen sich mangels Kenntnis der genauen Sachverhalte derzeit nicht abschließend beurteilen. Was bekannt ist, gibt jedoch Anlass für eine Prüfung durch die Bundesregierung, ob die im Bundesdatenschutzgesetz vorgenommene Privilegierung der Werbung bei der Übermittlung personenbezogener Daten und die für den Adresshandel geltenden Vorschriften unter den Bedingungen der modernen Datenverarbeitung noch sachgerecht sind, insbesondere ob die Übermittlung personenbezogener Daten für Zwecke der (Fremd-)Werbung von der Einwilligung der Betroffenen abhängig gemacht werden muss. Das Innenministerium und das Ministerium für Ernährung und Ländlichen Raum haben bei den Beratungen des Entwurfs eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes im Bundesrat einen entsprechenden Entschließungsantrag gestellt, der vor dem Hintergrund der aktuellen Ereignisse weitere Vorschläge zur Verbesserung des Datenschutzes enthält. Die Vorschläge gehen im Wesentlichen auf die Prüfpraxis der Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich zurück. 2. Kontrolleffizienz der Datenschutzbehörden im öffentlichen und nichtöffentlichen Bereich zu verstärken und dem Landtag ein Konzept zur Aufhebung der Trennung dieser beiden Zuständigkeitsbereiche vorzulegen; Zu II. 2.: Die aktuellen Vorgänge geben keinen Anlass, über die Zusammenlegung von öffentlicher und nichtöffentlicher Datenschutzaufsicht erneut nachzudenken. Der dritte und der vierte Tätigkeitsbericht des Innenministeriums als Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich belegen, dass das Innenministerium in seiner Prüfpraxis sowohl dem Lotteriebereich als auch der Datenverarbeitung in Call-Centern und der zumeist von diesen betriebenen Telefonwerbung besondere Aufmerksamkeit geschenkt hat und nach wie vor schenkt. Die derzeitige Organisationsform des Datenschutzes in Baden-Württemberg hat im Übrigen den Vorteil, dass Erfahrungen aus der Prüfpraxis der Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich unmittelbar für Bundesratsanträge zur Verbesserung des Datenschutzes genutzt werden können. Rech Innenminister 7