Istanbul Post

Fortschritt und Lücken beim Datenschutz

Am 19. Oktober 2018 wurde festgestellt, dass ein Mitarbeiter der Ing Bank unberechtigt auf die Datenbank des Risikozentrums der türkischen Bankenunion zugegriffen hat. Dabei hat er mehr als 20.000 Datensätze von Personen und Unternehmen erbeutet. Anschließend sollen diese Daten elektronisch an eine nicht genannte Stelle übermittelt worden sein.

Auf den Vorgang aufmerksam machte Füsün Sarp Nebil auf der Nachrichtenplattform T24. Sie beginnt ihren Beitrag mit dem Hinweis, dass die Türkei 2016 ein Gesetz zum Schutz individueller Daten erlassen und 2017 auf dieser Grundlage ein Institut für den Schutz individueller Daten (KVKK) gegründet hat. Über die Webseite hat das Institut begonnen, Datenschutzverstöße öffentlich zu machen (https://www.kvkk.gov.tr/). Diese Praxis hat mehrere Dimensionen. Zum einen erhöht sie die Sensibilität für Datenschutz, erhöht den Druck auf Institutionen mit Datenbeständen, Sicherheitsmaßnahmen zu treffen und ermöglicht es zum anderen Betroffenen, möglicherweise Vorkehrungen gegen den Missbrauch erbeuteter Daten zu treffen.

Gleichwohl ist die Praxis noch nicht unbedingt plausibel. Im angegebenen Fall erfolgte die Veröffentlichung des Vorfalls im Januar 2019, d.h. drei Monate später. Gemeldet wurde der Vorfall durch die Ing Bank, verantwortlich für die Datensicherheit war jedoch das Risikozentrum der Bankenunion. Ob die von dem Datendiebstahl Betroffenen individuell gewarnt wurden, ist nicht bekannt.

Die Datensätze des Risikozentrums sind hochsensibel. Sie bieten einen detaillierten Aufschluss über die finanzielle Lage von Unternehmen und Personen und sind darum für Missbrauch jeglicher Art geeignet. Nicht zuletzt aus diesem Grunde sollte ein öffentliches Interesse bestehen zu erfahren, wie der Datendiebstahl möglich wurde und welche Vorkehrungen getroffen wurden, um dies künftig zu vermeiden.

Füsun Sarp Nebil beschreibt auch, mit welcher Teilnahmslosigkeit die Nachricht aufgenommen wurde. Bereits vor einigen Jahren wurden Millionen von Datensätze türkischer Bürger über eine Datenbank in Bulgarien zum Kauf angeboten. Sie enthielten neben Namen und Adressen auch die Personennummer sowie einige Angaben zu den Vermögensverhältnisse. Die Daten wurden insbesondere von türkischen Anwälten für Vollstreckungszwecke verwendet – hieß es damals.

Mir persönlich fiel auf, dass kurz vor Ablauf eines Internet-Vertrags mit der Turkish Telekom ich gehäuft von Konkurrenzunternehmen angerufen wurde, um mir einen Alternativvertrag anzubieten. Dass die Daten von der Telekom stammen mussten, war mir nicht zuletzt klar, weil bei Vertragsabschluss mein Name falsch geschrieben wurde und sich die neue Schreibweise auch auf den Angeboten fand…

Im oben genannten Fall könnten mehr als 20.000 Personen und Unternehmen beträchtliche Schäden durch den Datendiebstahl entstanden sein. Geltend machen können sie ihn jedoch nur, wenn ihnen offiziell mitgeteilt wird, dass sie betroffen sind.