18. Tätigkeitsbericht (1996)


7.

Neue Medien und Technologien

7.1

Multimedia

Multimedia wird die künftige Informationsgesellschaft prägen. Der Datenschutz muß von Anfang an gewährleistet sein.

"Multimedia" ist das Wort des Jahres 1995, wie die Gesellschaft für deutsche Sprache ermittelte. Es ist ein schillernder Inbegriff für die Reise in die schöne, neue Medienwelt. Eine exakte Definition fällt schwer: Multimedia ist mehr als nur eine Kombination unterschiedlicher Medientypen wie Text, Ton, Bild und Video. Dabei bildet Multimedia keine neue Technologie an sich, sondern führt lediglich basierend auf digitaler Technik bisher getrennte Technologien und Anwendungen zusammen. Der Benutzer kann typischerweise mit den Multimediasystemen interagieren.

Einige Angebote laufen lokal auf dem Computer ab, z.B. Lexika oder Spiele auf CD-ROM. Andere Dienste sind nur über Telekommunikationsnetze verfügbar. Auch hier kommt der Computer auf dem Schreibtisch zum Einsatz. Der größere Markt wird jedoch im heimischen Wohnzimmer gesehen: Ein kleiner schwarzer Kasten, die sog. "Set-Top-Box", macht aus dem Fernseher eine Multimediamaschine. Die Box entschlüsselt digitale Signale und verwandelt sie in analoge Informationen für den Fernsehbildschirm. Die Set-Top-Box soll etwa 1 000 DM kosten und sich mit Fernseher, PC, Telefon und Stereoanlage verbinden lassen. Um auf die zahlreichen Multimedia-Anwendungen zugreifen zu können, muß der Benutzer nur eine mit Geld "gefüllte" Chipkarte, von der anfallende Gebühren abgebucht werden, in den Schlitz des Gerätes stecken. Die digitale Übertragungsform der Fernsehsignale schafft durch Kompression Platz für Hunderte von Kanälen; der erste Satellit für digitales Fernsehen Astra 1 E geht 1996 auf Sendung.

Die zur Zeit entwickelten Angebote sind auf alle Lebensbereiche ausgerichtet: Arbeit, Bildung, Freizeit, Handel. Sie erstrecken sich von Bildtelefon und Videokonferenzen über Lernprogramme, digitale Nachschlagewerke und Informationssysteme bis zu interaktiven Spielen, Video-On-Demand (Videofilme auf Anforderung), Homeshopping, Online-Diensten und Telemedizin - alles vom Fernsehsessel aus zugänglich. Das Fernsehen soll sich vom Massenmedium zum individualisierten Informations- und Unterhaltungsmedium mit "Rückkanal" wandeln.

Die Multimediatechnologie wird die künftige Informationsgesellschaft prägen und viele Bereiche unseres Lebens nachhaltig beeinflussen. Um so wichtiger ist es, bereits vor der Marktreife der Multimediaprodukte die Entwicklung aus Datenschutzsicht zu verfolgen und zu gestalten. Denn bei Inanspruchnahme vernetzter Anwendungen entstehen personenbezogene Daten, die nicht nur für Zwecke der Abrechnung nutzbar sind, sondern auch für die Programmanbieter unter Marketingaspekten interessant sein können. Es ließen sich detaillierte Informationen darüber speichern, wann welcher Nutzer welche Fernsehsendungen, Videos oder elektronische Zeitungsartikel abgerufen, welche Produkte er beim Homeshopping bestellt, wohin er Reisen elektronisch gebucht oder welche Abfragen er in Informationssystemen vorgenommen hat. Diese Daten könnten nach dem Kommunikations- und Konsumverhalten der Kunden ausgewertet werden und würden eine Ausforschung persönlicher Lebensgewohnheiten ermöglichen.

Der Zugang zu der neuen Technologie darf jedoch nicht mit dem Verlust der Privatsphäre verbunden sein. Daher ist eine datensparsame Multimediatechnik notwendig: Daten, die für einen Dienst nicht erforderlich sind, werden gar nicht erst erhoben; für die übrigen Daten gilt eine strenge Zweckbindung, die jede andere Verwendung ausschließt. Dabei soll der Datenschutz keinesfalls den technischen Fortschritt hemmen - im Gegenteil, er soll als "Feature" in die Technik eingebaut werden, was die Benutzerakzeptanz für die neuen Medien sicher erhöhen wird und von Herstellerfirmen als zusätzliches Marketinginstrument genutzt werden kann.

Wir stellen uns die technischen und organisatorischen Datenschutzmaßnahmen der Multimediatechnologie folgendermaßen vor:

  • Die Systeme sind so transparent aufgebaut, daß jeder Benutzer durchschauen kann, wo welche Daten gespeichert sind und wie die Datensicherheit gewährleistet wird. Soweit möglich werden die Daten dezentral ausschließlich beim Benutzer selbst gespeichert, der allein entscheidet, wem er welche Daten zu welchen Zwecken zur Verfügung stellt.

  • Die Tarifstruktur enthält Pauschalen, wodurch detaillierte Datensammlungen wegfallen können.

  • Die Abrechnungsverfahren sehen anonyme Zugänge vor, die z.B. mit Hilfe von Guthaben-Chipkarten (Pre-Paid-Chipkarten) realisiert werden. Durch Abbuchung von der im voraus bezahlten Karte bei Nutzung des Dienstes entfällt die Speicherung personenbezogener Daten.

  • Die Datensicherheit der übertragenen Informationen wird z.B. durch wirksame Verschlüsselung gewährleistet. Dies ist bei Übermittlung anderer sensibler Daten, aber auch z.B. für eine sichere Abwicklung von Bankgeschäften von Bedeutung.

  • Die Kontrolle der Einhaltung des Datenschutzes erfolgt durch unabhängige Stellen.

Wenn Datenschutz- und Sicherheitsmechanismen nicht bereits während der Konzeption und Entwicklung neuer Technik berücksichtigt werden, sind sie anschließend oft schwierig zu integrieren. Deswegen fordern wir eine datenschutzgerechte Gestaltung der Systeme von Anfang an. Dies gilt im besonderen Maße auch für Pilotprojekte, die bereits in einigen deutschen Städten laufen. Leider beinhaltet zur Zeit kein einziges Multimediapilotprojekt die Möglichkeit anonymer Dienstenutzungen, obwohl es aus unserer Sicht sinnvoll wäre, in einem solchen Rahmen verschiedene Konzepte anonymer Zugänge zu testen.

In Schleswig-Holstein gibt es bislang kein Pilotprojekt zu Multimedia, doch ist sich die Landesregierung offenbar der Wichtigkeit dieser neuen Technologie bewußt. Koordiniert von der Technologiestiftung Schleswig-Holstein hat sich nämlich im Berichtsjahr ein Arbeitskreis mit Vertretern aus verschiedenen Bereichen der Wirtschaft und der Verwaltung, einschließlich des Landesbeauftragten, zu dem Thema gebildet. Daraus hervorgegangen ist die Studie "Telekommunikationstechnologien - Bestandsaufnahme und Handlungsbedarf für Schleswig-Holstein". Sie soll dem Land als Grundlage für Aktionen im Bereich Multimedia dienen und den Handlungsbedarf sowie mögliche Handlungsansätze aufzeigen. Wir haben an der Studie mitgewirkt und werden für ggf. entstehende Projekte konkrete Vorschläge erarbeiten, wie sich Datenschutzmaßnahmen technisch integrieren lassen.

Was ist zu tun?
Bei der Entwicklung und Erprobung von Multimediavorhaben muß der Datenschutz der Kunden von Anfang an gewährleistet sein.

7.2

Liberalisierung des Telekommunikationsmarktes

Mit der dreiphasigen "Postreform" wird der Telekommunikationsbereich privatisiert. Es steht zu befürchten, daß die Datenschutzbestimmungen in den neuen Gesetzen aufgeweicht werden.

Die Postreform mündet Anfang 1998 in die Liberalisierung und Neugestaltung des Telekommunikationssektors: Nach dem Fall des Telekom-Monopols werden viele Unternehmen ihre Leistungen auf dem Telekommunikationsmarkt anbieten. In den zur Zeit vorbereiteten Gesetzen werden die Rechtsgrundlagen für den Telefondienst, aber auch für Multimedia und Online-Dienste geschaffen. Die rechtliche Ausgestaltung der letzten Stufe der Postreform soll ein neues Telekommunikationsgesetz (TKG) regeln, dessen derzeitiger Entwurf unter verschiedenen Gesichtspunkten zu kritisieren ist.

Da zukünftig durch weltweite Vernetzung, Multimedia und interaktive Dienste sehr viel mehr Telekommunikationsdienstleistungen als bisher in Anspruch genommen werden, kommt es darauf an, das Prinzip der Datenvermeidung bzw. Datenreduzierung gesetzlich abzusichern und auf einer engen Zweckbindung der erhobenen Daten zu bestehen. Sonst entsteht das Risiko, daß die Netzbetreiber und Diensteanbieter die "Datenspuren", die der Bürger bei der Nutzung der Leistungen hinterläßt, unkontrolliert auswerten können.

Darüber hinaus fordern wir, daß die Netzbetreiber und Dienstanbieter auch anonyme Zugangs- und Nutzungsformen für ihre Leistungen bereitstellen. Schließlich hängt die Akzeptanz der zukünftigen Informationsgesellschaft wesentlich von der Sicherung des Grundrechts auf unbeobachtete Kommunikation und von der Transparenz der technischen Verfahren ab.

Die Aufgabe der Datenschutzkontrolle darf nicht - wie im diskutierten Gesetzesentwurf vorgesehen - einer Regulierungsbehörde zufallen, die nicht unabhängig ist und in Interessenskonflikte geraten kann. Statt dessen müssen unabhängige Stellen wie der Bundesbeauftragte für den Datenschutz zur Kontrolle des Telekommunikationsbereiches eingebunden werden.

Nicht nur der Entwurf für ein Telekommunikationsgesetz weist aus unserer Sicht Kritikpunkte auf. Die Verarbeitung personenbezogener Daten im Telekommunikationsbereich soll für die nächsten Jahre in einer neuen " Telekommunikationsdienstunternehmen - Datenschutzverordnung (TDSV)" geregelt werden. Uns liegt ein Entwurf des Bundesministeriums für Post und Telekommunikation vor, der zu datenschutzrechtlichen Verschlechterungen gegenüber der jetzigen Situation führen würde.

  • Ein Einzelverbindungsnachweis soll nun auch ohne das Einverständnis der zum Haushalt gehörenden Mitbenutzer des Anschlusses erteilt werden können.

  • Außerdem dürfen Einzelverbindungsnachweise künftig auch mit vollständigen Zielnummern (ohne Verkürzung um die letzten drei Ziffern) erstellt werden. Dies ist ein Eingriff in das Recht auf informationelle Selbstbestimmung des Angerufenen, der keine Möglichkeit hat, die Aufnahme seiner Rufnummer in Einzelverbindungsnachweise anderer Teilnehmer zu verhindern. Die Datenschutzbeauftragten haben statt dessen vorgeschlagen, daß jeder Anschlußinhaber selbst entscheiden können sollte, ob und ggf. wie seine Rufnummer auf Einzelverbindungsnachweisen erscheint, so wie es z.B. in den Niederlanden praktiziert wird.

  • Der Entwurf schränkt den Kreis der Beratungsstellen ein, deren Rufnummer nicht in Einzelverbindungsnachweisen aufgeführt werden soll. So ist die Möglichkeit beispielsweise für Personal- oder Betriebsräte sowie Frauenhäuser nicht vorgesehen.

  • Obwohl die Regelungen über Bildschirmtextdienste Ländersache sind und dem BTX-Staatsvertrag entnommen werden können, enthält der Verordnungsentwurf davon abweichende Vorschriften. Demnach soll bei der Inanspruchnahme von Bildschirmtextdiensten das Erheben zusätzlicher Daten gestattet sein, die erst sechs Monate nach Erstellen der Rechnung gelöscht sein müssen, auch wenn sie für Abrechnungszwecke schon lange nicht mehr erforderlich sind.

Was ist zu tun?
Die Landesregierung sollte unsere Position im Bundesrat unterstützen.

7.3

Schleswig-Holstein-Netz

Ohne viel Aufhebens hat die Datenzentrale das Schleswig-Holstein-Netz etabliert. Es wird bereits von über hundert Behörden genutzt. Allerdings fehlt eine Dokumentation der Datenschutz- und Datensicherheitsmaßnahmen. Die Kunden können die Risiken nicht abschätzen.

Die Möglichkeit der Datenfernübertragung von Kunden der Datenzentrale Schleswig-Holstein zum dortigen Rechenzentrum gibt es schon lange. Früher mußten sich die Kunden über das Telefonnetz direkt bei der Datenzentrale einwählen oder aber Standleitungen mieten und konnten dann ihre Daten zur Weiterverarbeitung im Rechenzentrum übertragen.

Inzwischen hat die Datenzentrale mit eigenen Vermittlungsrechnern in mehreren Orten Schleswig-Holsteins neue Einwahlpunkte geschaffen, so daß die Kunden ihre Telefonverbindungen im Nahbereich zu günstigeren Tarifen aufbauen können. Aus der Sterntopologie mit der Datenzentrale in der Mitte ist eine hierarchische Struktur mit durch Vermittlungsrechner getrennten Ebenen geworden. Unter der Bezeichnung Schleswig-Holstein-Netz wird den Kunden nicht nur die Übertragung von Daten an das Rechenzentrum, sondern das elektronische Austauschen beliebiger Informationen, auch miteinander, ermöglicht. Die Datenzentrale plant, das Schleswig-Holstein-Netz zu einem Behördennetz auszubauen. Zum Beispiel könnten Behörden über das Netz elektronische Briefe (E-Mail) austauschen, Informationen bekanntgeben ("elektronisches Amtsblatt") oder auch selbst recherchieren. Über Schnittstellen zu anderen Netzen sind weitere Anwendungen denkbar. Sogar auf Sprachübertragung und Videokonferenzen könnte das Netz ausgedehnt werden.

Während bei der herkömmlichen Datenübertragung ausschließlich das Netz der Telekom beansprucht wurde, ergibt sich mit dem Schleswig-Holstein-Netz eine neue Situation. Wegen der fehlenden Zuständigkeit für die Telekom als bundesweites Wirtschaftsunternehmen hatten wir bislang keine andere Wahl, als auf die Datensicherheit der über die Telefonleitungen und Vermittlungsrechner übertragenen Informationen zu vertrauen. Mit der Etablierung des Schleswig-Holstein-Netzes sind nun eigene Vermittlungsrechner der Datenzentrale hinzugekommen, die die Daten aus dem Telekom-Netz herausnehmen und wiederum über Telefonleitungen an einen anderen Vermittlungsrechner weiterleiten. Daraus ergeben sich eine Reihe von Fragen, etwa: Wie werden dort Vertraulichkeit und Datensicherheit der übertragenen Informationen garantiert? Welche Maßnahmen sind getroffen, um die Daten vor einem unbefugten Abhören und einem Verfälschen zu schützen und um sicherzustellen, daß sie beim Empfänger ankommen und nicht zu falschen Adressen weitergeleitet werden? Wie genau sehen die Einflußmöglichkeiten der Datenzentrale oder Dritter aus, wenn sich die Vermittlungsrechner in angemieteten Räumen anderer Behörden befinden? Ein umfassendes Konzept zum Datenschutz und zur Sicherheit beim Schleswig-Holstein-Netz konnte uns bislang noch nicht vorgelegt werden.

Bereits weit über hundert Behörden nutzen das neue Landesnetz. Sobald dort personenbezogene Daten übertragen werden, stellt sich das Schleswig-Holstein-Netz als Teil eines automatisierten Verfahrens dar und unterliegt demnach der Datenschutzverordnung. Dies bedeutet, daß die datenverarbeitenden Stellen, denen die Verantwortung für die ordnungsgemäße Datenverarbeitung obliegt, vor dem Einsatz das Verfahren testen und freigeben müssen. Beim Schleswig-Holstein-Netz ist dies den Behörden zur Zeit schlicht nicht möglich. Wegen der fehlenden Dokumentation der Datenschutz- und Datensicherheitsmaßnahmen können die Kunden nicht das Risiko einer Nutzung des Schleswig-Holstein-Netzes abschätzen.

Wir sind der Auffassung, daß es im Interesse einer technisch sauberen und kundenfreundlichen Entwicklung selbstverständlich sein sollte, frühzeitig - d.h. deutlich vor der Inbetriebnahme - Datenschutz- und Sicherheitskonzepte zu erstellen und den Kunden rechtzeitig auszuhändigen.

Es wäre zudem sinnvoll, wenn nicht jede Behörde einzeln die Systeme umfassend testen und freigeben müßte, sondern sich bis zu einem gewissen Grad auf Zertifikate verlassen könnte. Einen Anfang macht bereits die Automationskommission der Kommunen, die als Service für die Behörden diejenigen Softwareprodukte untersucht, die in größerem Maßstab eingesetzt werden, und Freigabeempfehlungen ausspricht. Umfassende Tests in professionellem Maßstab sind allerdings derzeit nicht möglich. Hierfür wären spezialisierte Mitarbeiter erforderlich, die sowohl im Vorfeld als auch während des Einsatzes von Produkten intensive Untersuchungen anstellen können.

Auch reicht es nicht aus, lediglich Softwareprodukte zu zertifizieren, wie man am Beispiel Schleswig-Holstein-Netz erkennt. Die Analysen und Freigabeempfehlungen müssen auf Systeme, bestehend aus Software, Hardware und Dienstleistungen, ausgedehnt werden. Bedingung dafür ist jedoch, daß der Anbieter der Systeme ihre Funktionsweise transparent für den Kunden darstellt und aussagekräftige Unterlagen mitliefert. Dies ist in einer Zeit, in der überall die Qualitätssicherung beschworen wird, leider eher die Ausnahme denn die Regel.

Was ist zu tun?
Die Datenzentrale sollte für das Schleswig-Holstein-Netz ein überzeugendes Sicherheitskonzept vorlegen.

7.4

Schöne neue ISDN-Welt bei Landtag und Regierung

Moderne Telefonanlagen erleichtern und beschleunigen die Kommunikation im Büro. Bei soviel neuer, bequemer Technik sollte auch Raum für den Datenschutz derer sein, die sie nutzen. Die neue Telefonanlage entspricht diesen Ansprüchen noch nicht.

Im Jahr 1995 erfolgte die Beschaffung und Installation einer komfortablen digitalen Telefonnebenstellenanlage (ISDN), die für die Landesdienststellen im Bereich Düsternbrook. Sie enthält eine Reihe bemerkenswerter technischer Leistungsmerkmale. Erst nach der Installation wurde die Frage an uns herangetragen, ob denn alle Funktionen des neuen Systems mit datenschutzrechtlichen Grundsätzen vereinbar seien. Eine datenschutzrechtliche Analyse ergab im wesentlichen drei Problembereiche, deren Erörterung bisher noch nicht abgeschlossen werden konnte:

  • Bestimmten Apparaten kann eine Direktrufmöglichkeit zugeordnet werden. Mit ihr können andere Systemteilnehmer auf Knopfdruck unter Umgehung von Vorzimmerapparaten unmittelbar angerufen werden. Führt ein im Direktruf erreichbarer Teilnehmer ein Telefongespräch, so wird dies optisch durch eine Kontrollampe auf dem Apparat des anderen angezeigt, und zwar unabhängig davon, ob dieser im Moment überhaupt mit ihm telefonieren will. Daraus ergibt sich die Möglichkeit der kontinuierlichen optischen Überwachung des Telefonverhaltens der eingespeicherten Teilnehmer. Dies ist schon im Hinblick auf eigene weisungsgebundene Mitarbeiter problematisch, denn es dürfte mit dem Bild eines kooperativen Führungsverhaltens kaum vereinbar sein, wenn Vorgesetzte ständig das Telefonverhalten ihrer Mitarbeiter kontrollieren können. Wird aber eine Telefonanlage gemeinsam von Legislative und Exekutive genutzt, so ergeben sich brisante Probleme, die noch weit über den Datenschutz hinausgehen.

  • Beim Zuschalten anderer Gesprächsteilnehmer (Konferenzschaltung), des Lautsprechers oder der Gesprächsabwicklung ohne Aufnehmen des Telefonhörers (frei sprechen) können Situationen auftreten, in denen das nichtöffentlich gesprochene Wort von anderen im Zimmer Anwesenden mitgehört wird. Dies kann unter Umständen sogar strafbar sein. Zwar soll in einer Dienstanweisung vorgeschrieben werden, daß die Aktivierung der entsprechenden Leistungsmerkmale dem jeweiligen Gesprächspartner mündlich mitgeteilt und dessen Einwilligung eingeholt werden muß. Um Abhilfe gegen versehentliche oder bewußt rechtswidrige Zuschaltungen zu schaffen, müßte jedoch beim Gesprächsteilnehmer ein akustisches Signal bei Aktivierung der betreffenden Funktionen automatisch ertönen.

  • Außerdem war zu kritisieren, daß bisher noch keine klaren Benutzungsregelungen erlassen sind, sowohl was die Leistungsmerkmale als auch was die Verantwortlichkeit für das Funktionieren der Anlage betrifft. Schließlich handelt es sich bei der neuen Telefonanlage um ein computergesteuertes Datenverarbeitungsverfahren, in dem sensible personenbezogene Daten verarbeitet werden. Deshalb ist festzulegen, wer für das System (Steuerung, Verarbeitung der Daten, Datenschutz) zuständig ist, wer die Anlage in wessen Auftrag technisch wartet und wer die datenschutzrechtliche Verantwortung für die gespeicherten Daten trägt. Außerdem sind etwaige Verträge über die Verarbeitung der Daten im Auftrag schriftlich und unter Einhaltung der einschlägigen Bestimmungen des Landesdatenschutzgesetzes abzuschließen (z.B. ist zu klären, an wen sich Betroffene zur Geltendmachung ihrer datenschutzrechtlichen Ansprüche auf Auskunft, Löschung etc. wenden können oder wer ggf. eine richterlich genehmigte Abhörmaßnahme realisieren muß).

Die bisherigen Reaktionen des Innenministeriums waren nicht zufriedenstellend. Zwar wurde mitgeteilt, der Direktruf werde nur eingerichtet, wenn die Betroffenen zugestimmt haben; die Einzelheiten des Verfahrens bedürfen aber noch der Klärung. Ein akustisches oder optisches Signal bei Einschaltung des Lautsprechers sei nach Angaben der Herstellerfirma nicht möglich. Nun sollen in einer Dienstanweisung entsprechende Regelungen getroffen werden. Bis zur Erstellung dieses Berichts wurde weder eine klare Benutzungsregelung noch eine den gesetzlichen Anforderungen genügende Dateibeschreibung vorgelegt. Insgesamt ist es enttäuschend, daß eine so aufwendige moderne Telefonanlage zwar eine Fülle von Leistungsmerkmalen enthält, wichtige Funktionen zum optimalen Schutz der Grundrechte der Benutzer aber technisch nicht möglich sein sollen.

Was ist zu tun?
Der Innenminister sollte die datenschutzrechtlichen Mängel der neuen Telefonanlage umgehend beheben.

7.5

Elektronische Geldbörsen dürfen keine Datenspuren hinterlassen

Chipkarten werden künftig das Bargeld teilweise ersetzen. Zu den bisherigen kartengestützten Zahlungssystemen kommt die elektronische Geldbörse. Es muß sichergestellt werden, daß das elektronische Geld im gleichen Maße wie Bargeld anonym ausgegeben werden kann.

Bargeld ist unmodern geworden - immer mehr Geschäfte bieten ihren Kunden an, elektronisch "per Karte" zu bezahlen. Während Kredit- und Eurocheque-Karte (ec-Karte) eher für größere Beträge gedacht sind, lassen sich geringe Kosten bisher nur bei wenigen Anbietern kartengestützt begleichen, z.B. mit der Telefonkarte. Hier soll die elektronische Geldbörse, eine Chipkarte mit Zahlungsfunktion, Abhilfe schaffen. Ihr Einsatz ist spätestens ab 1997 geplant. Auch die ec-Karten, die Ende 1996 ausgegeben werden, sollen nach Planung der deutschen Banken dann zu diesem Zweck mit einem Chip versehen sein, in dem ein Guthaben gespeichert wird.

Von diesem Betrag wird beim Bezahlen mit der elektronischen Geldbörse die zu begleichende Summe direkt abgezogen, ohne daß wie bei anderen Karten eine Geheimzahl einzugeben oder ein Beleg zu unterschreiben ist oder daß wie bei Barzahlung Wechselgeld herausgegeben werden muß. Das Bezahlen soll zwei bis drei Sekunden dauern oder beim Einsatz von kontaktlosen Chipkarten, die im Vorbeigehen ausgelesen werden können, sogar noch schneller vonstatten gehen.

Im Gegensatz zum Bezahlen mit Bargeld hinterläßt man beim Benutzen einer Kredit- oder ec-Karte elektronische Spuren, die Informationen darüber beinhalten, wieviel Geld man wann wo ausgegeben hat. Zu Abrechnungszwecken werden nämlich alle Buchungen gespeichert und mindestens sechs Jahre lang aufbewahrt. Wenn auf diese Weise kleine Beträge überall elektronisch bezahlt werden, droht die Gefahr, daß die vielen Spuren zu detaillierten Bewegungs- und Konsumprofilen verdichtet werden, die auf reges Interesse bei Marketingleuten, Polizei, Staatsanwaltschaft, Finanzämtern oder auch Arbeitgebern stoßen könnten.

Dagegen ist es bei Guthabenkarten (Pre-Paid-Karten) nicht notwendig, überhaupt personenbezogene Daten zu erheben. Verschiedene Modelle, die sich hauptsächlich in ihrem Abrechnungsverfahren und der Menge der zu diesem Zweck benötigten Daten unterscheiden, werden zur Zeit erprobt. Welcher Chipkartentyp zur deutschen elektronischen Geldbörse wird, steht noch nicht fest. Als "Cartemonnaies" kommen in Frage:

  • Guthabenkarten, zu denen ein kartenbezogenes "Schattenkonto" geführt wird: Es werden Stellen zur branchenübergreifenden Verrechnung (sog. Clearing) der einzelnen Zahlungsvorgänge eingeführt. Jede Änderung des Kartenguthabens durch Aus- oder Einzahlung wird auf einem Verrechnungskonto der Clearing-Stelle gebucht. Dadurch soll eine größere Sicherheit gegen Betrüger und Hacker erreicht werden. Außerdem geht das Geld einer defekten Karte nicht verloren.

  • Guthabenkarten ohne Clearing: Diese Karten kommen einer Geldbörse am nächsten, da kein Verrechnungskonto existiert. Die Zahlungen werden lediglich auf dem Chip verbucht; Einzelbeträge werden nicht nach ihrer Herkunft unterschieden. Der Karteninhaber kann sich die zuletzt getätigten Transaktionen anzeigen lassen. Zu diesem Kartentyp gehört die britische Entwicklung "Mondex", mit der Geld auch von Karte zu Karte übertragen werden kann.

  • Guthabenkarten mit Clearing und ohne Schattenkonten: Die Verrechnungsstellen organisieren den Geldtransfer, führen jedoch kein kartenbezogenes Konto.

Da Clearing-Verfahren mit Schattenkonten einen Personenbezug über die Nummer des Verrechnungskontos ermöglichen, sind rein anonyme Zahlungsmethoden zu bevorzugen. Gemeinsam mit den anderen Datenschutzbeauftragten des Bundes und der Länder fordern wir, daß als elektronische Geldbörse nur solche Guthabenkarten eingesetzt werden, die weder eine individuelle Kartennummer benutzen noch einen anderen Bezug zum Karteninhaber herstellen. Auch in Zukunft muß eine anonyme Teilnahme am wirtschaftlichen Leben im gleichen Umfang wie bisher mit Bargeld möglich sein.
Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel