19. Tätigkeitsbericht (1997)



7.

Neue Medien und Informationstechniken

7.1

Multimedia

Besonders im Unterhaltungsmarkt nimmt Multimedia immer mehr Raum ein. Über Satellit oder Kabel geht das digitale Fernsehen auf Sendung. Dabei dürfen die Interessen und Sehgewohnheiten der Zuschauer nicht gespeichert werden.

Beim digitalen Fernsehen ist für den Kunden vor allem die Möglichkeit neu, nur für die Programmangebote zu bezahlen, die auch wirklich gesehen wurden. Diese Pay-per-View-Angebote werden grundsätzlich verschlüsselt übertragen und müssen für den Empfang dekodiert werden. Hierzu benötigt man eine sogenannte Set-Top-Box, in die der Kunde seine Chipkarte einführt. Für die Freischaltung werden zur Zeit verschiedene technische Verfahren eingesetzt:

  • Bei der zentralen Freischaltung muß der Kunde zunächst dem Sender mitteilen, welche Sendung er sehen möchte. Zusammen mit dem Sendesignal werden dann die Nutzernummern der Interessenten unverschlüsselt übertragen, deren Decoder freigeschaltet werden soll.

  • Für die lokale Freischaltung durch den Nutzer wird jede Sendung mit einer elektronischen Entgeltinformation (Token) gekoppelt. Die an einer Sendung interessierten Kunden geben ihren Wunsch mit der Fernbedienung an ihre Set-Top-Box weiter, die die Kosten für das Programmangebot von der Guthaben-Chipkarte im Decoder abbucht und die Sendung freischaltet.

Während bei der zentralen Freischaltung das vom Kunden gewünschte Programmangebot zu Abrechnungszwecken beim Sender gespeichert wird und durch die unverschlüsselte Übertragung der Nutzernummern sogar im gesamten Netz mit geringem Aufwand ausgewertet werden kann, braucht der Kunde bei der lokalen Freischaltung keine personenbezogenen Daten aus der Hand zu geben.

Nach Aussage der Veranstalter drängen die Programmlieferanten und internationalen Inhaber von Senderechten auf eine genauereAbrechnung. Nach unserer Auffassung entsteht daher die Gefahr, daß die persönlichen Vorlieben, Interessen und Sehgewohnheiten der Zuschauer registriert werden. Deshalb fordern wir gemeinsam mit den anderen Datenschutzbeauftragten des Bundes und der Länder, daß solche Freischaltungsverfahren angeboten werden, bei denen sich die Nutzung der Programmangebote nicht personenbezogen speichern läßt. Nur so kann dem transparenten Verbraucher vorgebeugt werden. Dies ist in den Entwürfen für den Mediendienste-Staatsvertrag und das Teledienstegesetz bislang auch vorgesehen (vgl. Tz. 7.2).

Was ist zu tun?
Gerade im Multimedia-Bereich sollten die neuen Nutzungs- und Abrechnungsformen datenschutzgerecht gestaltet werden. Die technischen Voraussetzungen dafür sind gegeben.

7.2

Gesetzentwürfe zum Multimedia-Bereich


Mitte 1997 sollen die Regelungen zu Tele- und Mediendiensten in Kraft treten. Wegen der unterschiedlichen Regelungskompetenzen von Bund und Ländern sind zwei Gesetze notwendig: Der Bund hat das Informations- und Kommunikationsdienstegesetz (IuKDG) vorbereitet, die Länder streben einen Mediendienste-Staatsvertrag (MDStV) an.

Die Datenschutzregelungen des Bundes sind im Artikel 2 des IuKDG zum eigenständigen Teledienstedatenschutzgesetz (TDDSG) zusammengefaßt; der Staatsvertrag der Länder soll gleichlautende Bestimmungen enthalten. Erstmals in einem deutschen Gesetz soll hier der Grundsatz der Datensparsamkeit festgeschrieben werden: Die Gestaltung und Auswahl technischer Einrichtungen für Teledienste hat sich an dem Ziel auszurichten, keine oder so wenige personenbezogene Daten wie möglich zu erheben, zu verarbeiten und zu nutzen.

Außerdem sollen die Diensteanbieter verpflichtet werden, den Nutzern, soweit technisch möglich, die Inanspruchnahme von Diensten und ihre Bezahlung anonym oder unter Pseudonymen zu ermöglichen. Nutzungsprofile sollen nur bei der Verwendung von Pseudonymen zulässig sein und dürfen nicht mit den Daten über den Träger des Pseudonyms zusammengeführt werden. Problematisch ist derzeit noch die Gestaltung der Pseudonyme. Die Anbieter sehen bereits eine von ihnen vergebene Nummer auf einer Chipkarte als Pseudonym im Sinne des Gesetzentwurfs an. Hier ist der Personenbezug jedoch leicht wieder herstellbar. Dabei wird es in vielen Fällen selbst für Direktwerbezwecke gar nicht erforderlich sein, den Namen des Trägers eines Pseudonyms zu kennen. Beispielsweise könnte bei Pay-per-View (vgl. Tz. 7.1) mit Hilfe der Nutzungsdaten auf die Interessen der Teilnehmer geschlossen und gezielt entsprechende Werbung eingespielt werden, ohne daß Name und Adresse des Nutzers bekannt sein müssen. Deshalb sollte das Pseudonym so gewählt sein, daß die Identität des Betroffenen auch vom Anbieter nicht erkennbar ist.

Wie auch im Telekommunikationsgesetz und Signaturgesetz (vgl. Tz. 7.7) wird der Zugriff der Sicherheitsbehörden auf personenbezogene Daten ermöglicht, die für die Begründung, Ausgestaltung oder Änderung eines Vertragverhältnisses erhoben sind (Bestandsdaten). Zu kritisieren ist, daß man bis jetzt weder eine Protokollierung dieser Datenübermittlung noch eine Information des Betroffenen wenigstens im nachhinein vorgesehen hat und daß nicht nur die Strafverfolgungsbehörden, sondern auch die Geheimdienste in den Kreis der Abfragenden aufgenommen wurden.

Ob es nach Teledienstedatenschutzgesetz und Mediendienste-Staatsvertrag eine einheitliche Datenschutzkontrolle, z.B. beim Bundesbeauftragten für den Datenschutz, geben wird, ist noch unklar. Leider ist man inzwischen wieder davon abgerückt, ein Datenschutz-Audit verbindlich vorzuschreiben.

Was ist zu tun?
Der Datenschutz der Kunden sollte in den Gesetzentwürfen nicht mehr verwässert, sondern in einigen Punkten noch verbessert werden.



7.3

Neue Gesetze regeln die Telekommunikation

Die Telekommunikation ist eine Schlüsseltechnologie der Informationsgesellschaft und somit ein entscheidender Wirtschaftsfaktor. Aus diesem Grund liegt hier zur Zeit ein Schwerpunkt der Gesetzgebung. Neu sind das Telekommunikationsgesetz und die Telekommunikationsdienstunternehmen-Datenschutzverordnung.

7.3.1

Telekommunikationsgesetz


Die Postreform ebnet den Weg vom ehemals staatlichen Monopol im Telekommunikationssektor zum freien Markt, der ab 1998 in der ganzen Europäischen Union bestehen wird. Die rechtliche Ausgestaltung legt das neue Telekommunikationsgesetz (TKG) fest, das am 1. August 1996 in Kraft getreten ist. Zweck des Gesetzes ist es, durch Regulierung des Telekommunikationsbereichs den Wettbewerb zu fördern und eine flächendeckende Grundversorgung zu gewährleisten. Dabei geht es nicht nur um den Sprachtelefondienst, sondern auch um Datenübertragung, z.B. in Form von elektronischer Post (E-Mail).

Aufsehen erregte eine Bestimmung, nach der die Netzbetreiber verpflichtet werden sollten, längere Zeit zu speichern, wer mit wem wann wie lange telefoniert hat. Schließlich hätten die weitreichenden Zugriffsbefugnisse von Sicherheitsbehörden nur Sinn, wenn auch genügend Daten verfügbar seien, wurde argumentiert. Gegen diesen Schritt in den Überwachungsstaat haben wir uns vehement gewandt. Auch unverdächtigte Bürger hätten nämlich damit rechnen müssen, daß ihr Telefonierverhalten jederzeit Gegenstand von lautlosen Rasterfahndungen geworden wäre. Die Landesregierung unterstützte die datenschutzrechtlichen Bedenken im Bundesrat. Dies dürfte dazu beigetragen haben, daß der umstrittene "Mindestfristen-Passus" wieder gestrichen wurde.

Für den Telefonkunden finden sich im Gesetz einige begrüßenswerte Regelungen:

  • Auch nichtkommerzielle Anbieter werden zur Wahrung des Fernmeldegeheimnisses verpflichtet. Es umfaßt neben dem Inhalt der Telekommunikation auch die Informationen über die Verbindung oder Verbindungsversuche. Leider fehlt eine Sanktionsregelung. Angesichts der Grundrechtsrelevanz der vertraulichen Telekommunikation wäre eine besondere Strafvorschrift unserer Ansicht nach geboten gewesen.

  • Die Sicherheit der Telekommunikationseinrichtungen wird großgeschrieben. Jeder Betreiber ist verpflichtet, z.B. technische Maßnahmen zur Datensicherheit und speziell zum Schutz personenbezogener Daten zu treffen.

  • In einer noch zu erlassenden Rechtsverordnung müssen weitere Details des Datenschutzes geregelt werden. Die Eckpunkte werden allerdings schon im Gesetz vorgegeben, z.B. die Beschränkung der Datenerhebung, -verarbeitung und -nutzung auf das Erforderliche und der Grundsatz der Zweckbindung. Personenbezogene Daten dürfen für Werbung, Kundenberatung, Marktforschung, in öffentlichen gedruckten oder elektronischen Verzeichnissen oder bei einem Auskunftsdienst nur mit Einwilligung des Kunden verwendet werden. Sofern die Daten zu diesen Zwecken bereits vor Inkrafttreten des neuen Gesetzes genutzt wurden, gilt das Einverständnis des Kunden als erteilt, wenn er in angemessener Weise über sein Widerspruchsrecht informiert worden ist und von seinem Widerspruchsrecht keinen Gebrauch gemacht hat.

  • Für den gesamten Bereich der Telekommunikation haben die Bürger einen Ansprechpartner, den Bundesbeauftragten für den Datenschutz.

Ziel des Gesetzes ist es aber auch, die Interessen der Sicherheitsbehörden zu wahren. Sie haben entsprechend weitreichende Befugnisse:

  • Auf Ersuchen müssen ihnen die Betreiber diejenigen Daten übermitteln, die sie im Rahmen von Verträgen mit ihren Kunden erhoben haben, soweit dies zur Strafverfolgung, Gefahrenabwehr oder Aufgabenerfüllung der Geheimdienste erforderlich ist. Aus solchen Vertragsinformationen lassen sich unter Umständen detaillierte Erkenntnisse über Konsum- und Kommunikationsverhalten gewinnen. Beispielsweise könnte man bei Abonnementdiensten auf die Interessen des Kunden schließen. Sie werden überdies nicht über die Auskünfte an Sicherheitsbehörden informiert. Eine Protokollierung der Datenübermittlung zur Datenschutzkontrolle ist ebenfalls nicht vorgesehen.

  • Außerdem müssen Kundendateien geführt werden, die Name, Anschrift und Rufnummer enthalten. Diese Kundendateien müssen so bereitgestellt werden, daß einzelne Daten oder Datensätze auf Ersuchen der Sicherheitsbehörden automatisiert abgerufen werden können. Die Abrufe werden zentral von der Regulierungsbehörde für Telekommunikation und der Telekom vorgenommen. Die Betreiber haben durch technische und organisatorische Maßnahmen sicherzustellen, daß ihnen solche Abrufe nicht zur Kenntnis gelangen können. Dieser unbeobachtbare Zugang erzeugt nicht nur ein Unbehagen bei den Datenschützern, sondern lädt auch geradezu zum Mißbrauch ein. Kein Betreiber kann unter diesen Umständen den Schutz seiner Kundendaten gewährleisten, da er einen unbefugten Zugang nicht einmal bemerken könnte. Interessenten für Informationen aus solchen Kundendateien gibt es viele, beispielsweise Wirtschaftsunternehmen, die sich einen Überblick über den gesamten Kundenstamm der Konkurrenz machen wollen. Darüber hinaus enthalten Kundendateien nicht nur bereits veröffentlichte Daten, sondern auch Geheimnummern, deren Ausspähung sogar eine Gefahr für Leib und Leben bedeuten könnte, z.B. bei verfolgten Ehepartnern, hohen Funktionsträgern aus Wirtschaft, Politik oder Verwaltung, Prominenten oder Kronzeugen. Noch stehen Details zum Abrufverfahren nicht fest, doch ein Mißbrauch läßt sich keinesfalls ausschließen.


  • Die Betreiber müssen den Sicherheitsbehörden die technischen Einrichtungen zur gesetzlich vorgesehenen Überwachung der Telekommunikation zudem kostenlos bereitstellen.

7.3.2

Telekommunikationsdienstunternehmen-Datenschutzverordnung


Knapp zwei Wochen vor dem Telekommunikationsgesetz trat eine Neufassung der Datenschutzverordnung für diesen Bereich in Kraft. Allerdings beruht sie noch auf dem Postregulierungsgesetz von 1994. Kein Wunder, daß es einige Widersprüche zwischen Gesetz und Verordnung gibt. In diesen Fällen geht das neuere Gesetz der älteren Verordnung vor.

Für große Verwirrung hat die sogenannte Komfortauskunft gesorgt, bei der nicht nur die Nummer, sondern auch die Adresse, die Berufsbezeichnung und der Titel abgefragt werden können. Während früher der Wohnort des gesuchten Teilnehmers bekannt sein mußte, weil im jeweiligen Telefonbuch gesucht wurde, wird nun im bundesweiten Gesamtbestand recherchiert.

Nach der Datenschutzverordnung dürfen über die Rufnummer hinausgehende Auskünfte nur erteilt werden, wenn der Kunde damit einverstanden ist. Sein Einverständnis gilt als erteilt, wenn er über sein Wahlrecht informiert wird und nicht innerhalb von vier Wochen Widerspruch einlegt. Die Telekom verschickte daraufhin im August mit den Fernmelderechnungen Informationsblätter über die Komfortauskunft. Wegen ihrer irreführenden Aufmachung wurde die vermeintliche Werbeschrift von vielen Kunden ungelesen weggeworfen. Die Vermischung mit der Widerspruchsmöglichkeit bei öffentlichen Verzeichnissen (vgl. Tz. 7.4) trug zur weiteren Verunsicherung bei. Weitere Beschwerden bezogen sich auf die Beantwortungsfrist von vier Wochen, die gerade in der Ferienzeit von vielen nicht einzuhalten war.

Auf die Kritik der Datenschutzbeauftragten hat die Telekom reagiert und einen neuen Prospekt verschickt, in dem sie zugesteht, daß jederzeit Widerspruch sowohl gegen die Aufnahme der Daten in die Komfortauskunft als auch in elektronischen Verzeichnisse möglich ist.

Was ist zu tun?
Es ist darauf zu achten, daß in den künftigen Verordnungen ein hinreichend hohes Datenschutzniveau festgeschrieben wird.

7.4

Telefonverzeichnisse auf CD-ROM


Telefonverzeichnisse auf CD-ROM bieten Nutzungsmöglichkeiten, die über herkömmliche Telefonbücher weit hinausgehen. Sie sind nur zulässig, wenn die Betroffenen nach Aufklärung nicht widersprochen haben. Einige Firmen scheren sich weder um Gesetze noch Gerichtsurteile und vertreiben die CDs weiter.

"Und es gibt sie doch. Ab sofort ist sie im Handel: Als dritte Version der berühmten Telefon- und Adreß-CD-ROM tritt die D-Info 3.0 ... mit verbesserter Datenaktualität, zusätzlichen Features und einem fast vorprogrammierten Rechtsstreit in die Fußstapfen ihrer berühmten Vorgängerinnen. ... Sie hat einiges zu bieten: 34 Millionen brandaktuelle Datensätze mit Namen, Telefonnummern und Adressen samt Postleitzahlen, eine Vielzahl verschiedener Such- und Datenselektionsmöglichkeiten auch bei unvollständigen Angaben und anhand von Stichworten. ... Wie von ... gewohnt, liefert die D-Info 3.0 alles, was der Anwender, egal ob geschäftlich oder privat, benötigt. Neu bei dieser Version sind mikrogeografische Daten, die anhand von Straßenstatistiken Informationen über die Infrastruktur der einzelnen Straßen geben: So erfahren Sie, ob der von Ihnen gesuchte Anschluß in einem luxuriösen Einzelwohnhaus, einem riesigen Hochhaus oder mitten im Gewerbegebiet liegt. Es bleibt Ihnen überlassen, hieraus die für Sie wichtigen Schlüsse zu ziehen."

Soweit die Werbung für eine bekannte CD-ROM mit Telefonbuchdaten. Ebenso wie die Telekom als Telefonunternehmen geben inzwischen mehrere Firmen die Telefonbücher elektronisch auf CD-ROM heraus. Während die Telekom diese Daten über die eigenen Kunden in ihren Datenbanken gespeichert hat, lassen andere Firmen die 100.000 Seiten der 135 deutschen Telefonbücher beispielsweise in China abtippen.

Bislang war es recht unverfänglich, seine Telefonnummer in "anonymen" Kleinanzeigen anzugeben oder auf den Bierdeckel eines Verehrers zu schreiben. Nun muß man damit rechnen, daß der Interessierte mit nicht unbedingt lauteren Absichten gleich vor der Haustür steht. Neben Privatleuten wollen auch Behörden die CD-ROMs nutzen, um die neuerdings erhöhten telefonischen Auskunftskosten zu reduzieren. Aus diesem Grund haben mehrere Verwaltungen angefragt, ob dies zulässig ist.

Die neuen Gesetze und Verordnungen im Telekommunikationsbereich (vgl. Tz. 7.3) sehen vor, daß diese Daten nur dann in elektronischen Verzeichnissen herausgegeben werden dürfen, wenn die Betroffenen in angemessener Weise informiert wurden und nicht widersprochen haben. Erst danach ist eine Nutzung durch Verwaltungsbehörden unbedenklich. Die Telekom hat daraufhin ihre Kunden angeschrieben und sie darauf hingewiesen, daß sie jederzeit gegen die Veröffentlichung ihrer Daten Widerspruch einlegen können, der dann ab der nächsten Version der Disk berücksichtigt wird.

Für einige private Herausgeber scheint jedoch gerade die Unrechtmäßigkeit ihrer CD-ROM das beste Werbeargument zu sein. Bislang ist z.B. der Vertrieb jeder neuen Version der "D-Info" kurz nach ihrem Erscheinen von den Gerichten untersagt worden. Zu dem Zeitpunkt waren aber bereits jeweils einige hunderttausend Exemplare im Handel, so daß ein Auslieferungsstopp wirkungslos war.

Betroffene haben zwar das Recht zu verlangen, daß ihre Daten zumindest in künftigen Versionen der CD-ROM weggelassen werden. Solchen Löschungsanträgen ist man jedoch nicht nachgekommen, vielmehr entzieht man sich durch einen Trick jeglicher Verpflichtung: Für jede Version wird ein eigenständiger Verlag gegründet. Alle Ansprüche gegen den einen Verlag müssen jeweils neu gegen den nächsten Verlag gestellt werden. Dann aber ist die "Silberscheibe" bereits im Handel. Da staunt der Bürger, und auch der Richter wundert sich: Es fehlt die wirksame rechtliche Handhabe, den Vertrieb der CD-ROM zu unterbinden. So bleibt nur noch die Möglichkeit für jeden, seinen Teilnehmereintrag im Telefonbuch auf das Nötigste zu beschränken.

Was ist zu tun?
Der Bürger sollte sich genau überlegen, ob und mit welchen Angaben er in welchen Telefon- und Adreß-CD-ROM-Verzeichnissen stehen möchte.

7.5

Datenschutz durch Technik - ein Rückblick auf die Sommerakademie 1996

Neben Risiken bietet die Technik in zunehmendem Maße auch Problemlösungen. Datenschutz durch Technik eröffnet neue Chancen für effektiveren Datenschutz.

Die wachsende Abhängigkeit von schnell verfügbaren und korrekten Informationen aus den Computern birgt große Gefahren, denen es mit rechtlichen, organisatorischen und technischen Maßnahmen zu begegnen gilt. Neue Technologien bieten dabei häufig die Chance, Datenschutz und Datensicherheit besser zu realisieren, als dies in herkömmlichen Verfahren möglich war. Um eine datenschutzgerechte Technikgestaltung zu erreichen, müssen allerdings folgende Grundsätze beachtet werden:

  • Datensparsame Technik: Nur die wirklich erforderlichen Daten dürfen überhaupt erhoben und gespeichert werden, sie müssen sofort wieder gelöscht werden, sobald sie nicht mehr erforderlich sind. Oft können auch organisatorische Regeln umfangreiche Datensammlungen vermeiden, z.B. bei Abrechnungssystemen durch Pauschaltarife oder vorausbezahlte anonyme Chipkarten (Prepaid-Chipkarten). Wo die Speicherung individueller Daten unverzichtbar ist, reichen manchmal Pseudonyme aus, also zusätzliche Identitäten, die der Benutzer selbst wählt. Wird diese Zuordnung bei vertrauenswürdigen Stellen gespeichert, darf sie nur unter bestimmten strengen Voraussetzungen aufgedeckt werden, z.B. auf richterlichen Beschluß bei Verdacht von Straftaten.

  • Zugriffsschutz: Für die gespeicherten Daten muß eine enge Zweckbindung gewährleistet sein, Unbefugte dürfen die Daten weder zur Kenntnis nehmen noch verändern, fälschen oder zerstören können. Ein Zugriffsschutz läßt sich mit Paßworten, Vergabe von maßgeschneiderten Zugriffsrechten und einer wirksamen Verschlüsselung (vgl. Tz. 7.6) erreichen. Einen Schutz gegen unbemerkte Veränderung bietet die digitale Signatur (vgl. Tz. 7.7). Flankierende Maßnahmen sind das regelmäßige Anfertigen von Sicherungskopien und eine umfassende Zugriffsprotokollierung, die nicht manipulierbar sein darf.

  • Kontrolle durch den Betroffenen selbst: Wer seine Daten preisgibt, muß die Chance haben, sich über deren weitere Verwendung zu informieren. Eine effektive Verfügungs- und Kontrollgewalt läßt sich z.B. dadurch erreichen, daß die Daten beim Betroffenen selbst gespeichert werden (z.B. auf einer Chipkarte).

  • Transparenz: Die technischen Systeme müssen so transparent aufgebaut sein, daß der Anwender sowohl erkennen als auch steuern kann, wo welche seiner Daten gespeichert und übertragen werden. Die Sicherheitsrisiken für die Daten müssen vom Benutzer abschätzbar sein.

  • Nachprüfbarkeit: Die Kosten für schnelle Verarbeitung und großen Speicherplatz sind inzwischen so gering, daß durch entsprechend gesicherte Protokollierungen alle wesentlichen Verarbeitungsschritte auf Dauer transparent gemacht werden können (z.B. umfassende Archivierung auf Bildplatten).

Eine grundrechtsfreundliche Technikgestaltung bedingt nicht zwangsläufig tiefgreifende technisch-wissenschaftliche Erkenntnisse. Oft reichen pfiffige Ideen aus, um einen wirksamen Datenschutz und eine angemessene Datensicherheit zu unterstützen.

  • Verschlüsselungssysteme für elektronisch gespeicherte Daten sind fast schon ein alter Hut. Inzwischen arbeiten auch Sprach- und Faxverschlüsselungsgeräte ohne merkbare Verzögerung beim Telefonieren.

  • Ein anderes System basiert auf einer Identifikationskarte, die der Benutzer bei sich trägt. Entfernt er sich von seinem Rechner, verdunkelt sich der Bildschirm, und der Computer wird "verriegelt", so daß weder Eingaben noch ein Neustart möglich sind. Mit der Rückkehr des Benutzers wird der Rechner wieder freigeschaltet.

  • Videokonferenzsysteme werden zwar noch nicht im großen Stil eingesetzt, doch es gibt bereits eine Software, um geheime Informationen unbemerkbar von abhörenden Dritten in die Bewegtbildübertragung einzubetten.

  • Datenträger, die außer Haus vernichtet werden sollen, lassen sich ohne die Möglichkeit eines unberechtigten Zugriffs zu einem Kunststoffkuchen einschmelzen, indem ein besonderes Verschlußsystem mit höherem Schmelzpunkt verwendet wird.

Leider sind Maßnahmen zu Datenschutz und Datensicherheit beim Gestalten und Betreiben von technischen Systemen noch nicht selbstverständlich. Wenn jedoch neue Technologien nicht bereits unter Sicherheitsaspekten entwickelt, lassen sich zusätzliche technische Maßnahmen zum Schutz des einzelnen meist nur schwer nachträglich aufsetzen. Viele Unternehmen haben deshalb inzwischen erkannt, daß bei den Verbrauchern ein realer Bedarf an datenschutzgerechter Technikgestaltung besteht und betrachten einen eingebauten Datenschutz als Marketing-Vorteil.

Einige dieser Produkte waren bei der Sommerakademie '96 der DATENSCHUTZAKADEMIE SCHLESWIG-HOLSTEIN in Kiel zu sehen. Für die Akzeptanz der Technik des Informationszeitalters wird es entscheidend sein, ob Datenschutz, Datensicherheit und Revisionsfähigkeit von Anfang an als "Feature" integriert sind.

Was ist zu tun?
Die Hersteller sollten derartige Techniken anbieten. Die Verwaltung und die Verbraucher sollten dies verlangen.

7.6

Krypto kontrovers

Kryptographie, die Lehre von der Verschlüsselung, ist schon einige tausend Jahre alt. In den letzen Jahren ist diese Wissenschaft aus der Geheimdienstecke herausgekommen, so daß viele Verschlüsselungsverfahren offengelegt und von Experten und anderen Interessierten auf Stärken und Schwächen hin untersucht werden. Das Recht der Bürger, schützenswerte Daten zu verschlüsseln, sollte nicht eingeschränkt werden.

Heute ist jeder Home-PC in der Lage, schnell und wirksam zu verschlüsseln. Gerade im Hinblick auf die Informationsgesellschaft, zu der wir uns entwickeln, gewinnt dieser Schutz der Informationen vor unbefugten Zugriffen an Bedeutung. Mit wirksamen Verschlüsselungsverfahren kann man erreichen, daß die chiffrierten Daten nicht von Außenstehenden verstanden werden. Außerdem können kryptographische Verfahren zum "elektronischen Unterschreiben" (vgl. Tz. 7.7) eingesetzt werden, um die Daten vor einer unerkannten Veränderung zu schützen.

Eine absolute Sicherheit im mathematischen Sinn läßt sich zwar auch durch Verschlüsselung zumeist nicht realisieren, jedoch kann die faktische Sicherheit sehr hoch eingeschätzt werden, da ein Codebrecher selbst mit moderner Hardware durchschnittlich einige tausend Jahre bräuchte, um den Klartext herauszufinden. Da die Rechnerkapazitäten immer größer werden und Entwicklungen in der Mathematik, die die Grundlage der meisten Verschlüsselungsverfahren bildet, ständig fortschreiten, muß die Sicherheit der eingesetzten Verfahren und der verwendeten Schlüssellängen trotzdem immer wieder neu bewertet werden. Deswegen ist eine offene Diskussion über die Verfahren und Angriffsmöglichkeiten so wichtig.

Der Alltagseinsatz von Verschlüsselungsverfahren bringt also eine so große Sicherheit, daß sich die Sicherheitsbehörden bereits Sorgen machen, daß die staatlichen Überwachungsmaßnahmen künftig ins Leere laufen. Daher prüft die Bundesregierung zur Zeit, ob Regelungen notwendig und sinnvoll sind, die bei Vorliegen einer rechtmäßigen Überwachungsanordnung im Falle einer verschlüsselten Kommunikation eine Entschlüsselung ermöglichen. Drei Arten von Krypto-Reglementierungen wären denkbar:

  • Die Verschlüsselung wird generell verboten. Staatliche Ausnahmegenehmigungen werden nur in besonderen Fällen erteilt.

  • Es werden nur Verschlüsselungsverfahren mit Soll-Bruchstellen, die den Überwachungsbehörden bekannt sind, zugelassen.

  • Die Verschlüsselung ist nur zulässig, wenn die verwendeten Algorithmenschlüssel ganz oder teilweise an einer Stelle hinterlegt sind, wo sie im Zugriff der Überwachungsbehörden sind.

Verschlüsselt man nicht oder nur ungenügend, gibt es keine sichere Kommunikation in offenen Netzen. Schon im wirtschaftlichen Interesse wären die ersten beiden genannten Möglichkeiten einer Kryptoregulierung nicht tragbar, denn Kriminelle oder ausländische Geheimdienste könnten dann mit wenig Aufwand die elektronischen Informationen mitlesen. Zur Realisierung der dritten Möglichkeit wäre eine sichere und verläßliche Infrastruktur der Schlüsselhinterlegungsstellen notwendig.

Jede Form der Krypto-Reglementierung ließe sich aber leicht umgehen. Zum Beispiel könnten die Kommunikationspartner einen eigenen Code absprechen, so daß womöglich der Nachricht nicht anzusehen ist, daß sie versteckte Informationen beinhaltet (Steganographie). Außerdem könnte man Daten, die mit einem zugelassenen Verschlüsselungsverfahren chiffriert werden, vorher mit einem anderen Verfahren "vor-verschlüsseln". Erst während einer Überwachungsmaßnahme mit Entschlüsselung würde festgestellt werden, daß hier eine zusätzliche Sicherung eingebaut ist.

Der erhoffte Nutzen bei der Bekämpfung der organisierten Kriminalität und der Verhinderung von Straftaten würde sich daher wohl kaum einstellen. Statt dessen brächte eine Reglementierung mit sich, daß erhebliche Kosten zur Überwachung der Regelungen und zum Aufbau einer Kontrollinfrastruktur entstünden und die Daten der Bürger wegen des mangelhaften Schutzes vermehrt kriminellen Angriffen ausgesetzt wären. Die Sicherheit der Informationsgesellschaft hängt in großem Ausmaße von kryptographischen Verfahren ab. Daher treten wir dafür ein, daß die Bürger auch weiterhin ohne Einschränkung beliebige Verschlüsselungsverfahren benutzen dürfen, so daß der Schutz ihrer Daten technisch auf hohem Niveau unterstützt wird.

Was ist zu tun?
Jeder sollte wirksame Verschlüsselungsverfahren einsetzen, wenn er einen unbefugten Zugriff verhindern möchte. Der Staat sollte Kryptierungsverfahren nicht behindern, sondern fördern.

7.7

Elektronisch unterschreiben


Die Abwicklung von rechtlich und wirtschaftlich relevanten Transaktionen über Netze setzt die Einführung digitaler Signaturen voraus. Ein Gesetzentwurf der Bundesregierung soll die gesetzlichen Grundlagen schaffen.

Wie der Handschlag, mit dem früher Verträge besiegelt wurden, ist heutzutage häufig die Unterschrift Zeichen einer Willenserklärung. Es ist wichtig, daß sie individuelle Züge trägt, um eine möglichst eindeutige Zuordnung zum Unterzeichner zu bekommen. Grundsätzlich muß die Unterschrift eigenhändig vollzogen werden, d.h. eine Vervielfältigung z.B. durch Telefax reicht in der Regel nicht aus.

Immer mehr Dokumente werden über Datennetze geschickt. Bis jetzt fehlt übertragenen Informationen die eindeutige Beweisbarkeit und Zurechenbarkeit, d.h. wirklich wichtige Rechtsgeschäfte lassen sich heute auf diese Weise praktisch nicht abwickeln. Die elektronische Kommunikation ist aber ein fundamentaler Baustein der Informationsgesellschaft. Technische Möglichkeiten für eine Art elektronischer Unterschrift, die digitale Signatur, gibt es schon lange. Nur fehlten bislang die Gesetze für eine allgemeine Anerkennung einer digitalen Signatur. Wegen der unabdingbaren Fälschungssicherheit müssen nämlich hohe Maßstäbe an die technischen und organisatorischen Voraussetzungen gelegt werden.

Ab 1997 soll es losgehen: Man geht an seinen PC, wählt das zu signierende elektronische Dokument aus, steckt seine Chipkarte mit dem privaten Schlüssel und der Signiertechnik in das Lesegerät am Computer, identifiziert sich über eine Nummer (PIN) und gibt den Befehl zum Signieren. Prompt wird das Dokument mit der digitalen Signatur des Benutzers versehen.

Nach dem Entwurf des Signaturgesetzes (SigG) soll jeder seinen Signaturschlüssel bei einer der zugelassenen Zertifizierungsstellen bekommen, die weitgehende Sicherheitsanforderungen erfüllen müssen. Niemand soll den entscheidenden privaten Schlüssel auslesen können. Deswegen dürfen nach dem Entwurf diese privaten Schlüssel nicht bei den Zertifizierungsstellen gespeichert werden, die solche Schlüsselpaare mit Hilfe eines Rauschgenerators erzeugen und sofort auf der Chipkarte ablegen. Dasselbe gilt für Identifikationsdaten wie die PIN, mit der der Benutzer seine Chipkarte zum Signieren freischaltet.

Es ist zu begrüßen, daß man nicht nur mit seinem Namen, sondern auch mit Pseudonymen unterschreiben können soll. Gerade in Datennetzen lassen sich aus mit dem Namen signierten Daten Persönlichkeitsprofile (z.B. bezüglich des Kaufverhaltens von Personen) erstellen. Pseudonyme erschweren die Zuordnung signierter Daten zu einer Person.

Im Gesetzentwurf werden die beteiligten Stellen nicht zur Offenlegung ihrer Technik verpflichtet. Ohne Vertrauen zu den Zertifizierungsstellen und der Technik wird sich aber die digitale Signatur nicht durchsetzen können. Vertrauen bildet sich nur, wenn mit offenen Karten gespielt wird. Daher fordern wir, daß sich jeder bei Bedarf Einblick in die verwendeten Verfahren und die Funktionsweise aller Komponenten verschaffen kann, die zur digitalen Signatur gehören. Auch wenn es viele womöglich gar nicht so genau wissen wollen, ist es doch wichtig, daß die Interessierten offen diskutieren können. Zudem wird damit die Gefahr von unentdeckten "Hintertüren" reduziert.

Was ist zu tun?
Der Gesetzgeber sollte die Vorschläge des Datenschutzes im Signaturgesetz berücksichtigen.

7.8

Schleswig-Holstein-Netz

Eine Kontrolle des Schleswig-Holstein-Netzes förderte konzeptionelle Sicherheitsmängel zutage. Bislang fehlt ein Sicherheitskonzept.

Das Schleswig-Holstein-Netz ist ein Angebot der Datenzentrale Schleswig-Holstein, beliebige Daten über angemietete Leitungen der Telekom und eigene Vermittlungsrechner zu übertragen. Dabei sind die meisten Vermittlungsrechner in Räumlichkeiten außerhalb der Datenzentrale untergebracht. Unter den etwa hundert Nutzern des Schleswig-Holstein-Netzes befinden sich auch die Staatsanwaltschaften, die sensible Daten untereinander austauschen. Bereits im 18. Tätigkeitsbericht (vgl. Tz. 7.3) hatten wir für das Schleswig-Holstein-Netz ein Sicherheitskonzept angemahnt. Eine Prüfung sollte zeigen, was sich seitdem getan hat.

Zu Beginn der Prüfung existierten keine prüffähigen Unterlagen. Außer der pauschalen Aussage, die Datenzentrale gewähre im Rahmen der betrieblichen und technischen Möglichkeiten ein Maximum an Datensicherheit, gab es keine Informationen. Allerdings waren wir durch ein Schreiben der Datenzentrale alarmiert, daß Knotenrechner, Router und Gateways teilweise in unabgesicherten Räumen stehen. Daher konnte nicht ausgeschlossen werden, daß auch Unbefugte die im Klartext übertragenen Daten lesen bzw. entwenden konnten.

Im Verlauf der Prüfung hat die Datenzentrale mit den Nachbesserungen begonnen. So wurden Entwürfe für ein Sicherheitskonzept, für eine Dienstanweisung für den Netzbetrieb, für einen Mietvertrag mit den Behörden, die die Vermittlungsrechner beherbergen, und schließlich für einen neuen Nutzungsvertrag vorgelegt. Doch auch bei Abschluß der Prüfung wiesen insbesondere der Nutzungsvertrag und das Sicherheitskonzept noch erhebliche Mängel auf. Eine Risikoanalyse, die immer dann erstellt werden muß, wenn personenbezogene Daten betroffen sind, die einem besonderen Amts- oder Berufsgeheimnis unterliegen, fehlt bislang ganz.

Gerade für ein Angebot wie das Schleswig-Holstein-Netz, das vielseitig genutzt und in Kombination mit anderen Verfahren zum Einsatz kommen kann, sind ein hohes Datensicherheitsniveau und eine umfassende Dokumentation unabdingbar. In den Fällen, in denen die Kunden selbst öffentliche Stellen sind, haben sie nicht nur das Recht, sondern vielmehr die Pflicht, vor der Nutzung die Maßnahmen für Datenschutz und Datensicherheit zu hinterfragen und bei einem unbefriedigenden Ergebnis von einer Nutzung abzusehen.


Die Datenzentrale konnte bis zum Redaktionsschluß dieses Berichts noch keine abschließende Stellungnahme abgeben. Es wurde lediglich eine vielversprechende Grundlagenarbeit zu Datenschutz und Datensicherheit im Schleswig-Holstein-Netz vorgelegt, deren Ergebnisse aber noch nicht in das Sicherheitskonzept eingeflossen sind. Dieses Sicherheitskonzept soll allen Kunden zur Verfügung gestellt werden, damit sie im Rahmen ihrer eigenen Verantwortung über ggf. zusätzlich zu treffende Maßnahmen entscheiden können.

Was ist zu tun?
Die Datenzentrale Schleswig-Holstein muß die für das Schleswig-Holstein-Netz getroffenen Datensicherheitsmaßnahmen dokumentieren und nachbessern. Die Kunden sollten darauf achten, daß in ihren Nutzungsverträgen das erforderliche Sicherheitsniveau festgeschrieben wird.

7.9

IKONET

Eine Kontrolle des Kommunikationsnetzes IKONET im Innenministerium zeigte Sicherheitsmängel. Sensible Daten sind bei Übermittlungen weitgehend ungeschützt, der Virenschutz ist nicht ausreichend.

Landtag, Staatskanzlei und die Ministerien sind in Schleswig-Holstein über das sogenannte IKONET vernetzt, das vom Innenministerium betreut wird. Das Rechnernetz bietet die Möglichkeit, ein gemeinsames Ablagesystem für Dokumente zu nutzen und elektronische Nachrichten (E-Mails) zwischen den einzelnen Ressorts, aber auch mit Kommunikationspartnern außerhalb des Netzes, z.B. im Internet, auszutauschen. In einer Prüfung haben wir diesen E-Mail-Dienst unter die Lupe genommen.

In der Regel kann eine E-Mail nicht direkt zugestellt werden, sondern muß über mehrere Zwischenstationen geleitet werden. Jede dieser Zwischenstationen speichert die Nachricht eine Zeitlang, bis die Verbindung zur nächsten Station aufgebaut ist, und leitet sie dann dorthin weiter. Ein Angreifer mit Zugriff auf die Zwischenstationen oder die Leitung kann E-Mails abhören, verändern, fälschen oder unterdrücken.

Im IKONET wird eine Mail-Software eingesetzt, die zwar einem internationalen Standard (X.400 in der Version von 1984) genügt, die jedoch nicht die Möglichkeit zur Verschlüsselung (vgl. Tz. 7.6) und zur digitalen Signatur (vgl. Tz. 7.7) bietet. Dies bedeutet, daß die Nachrichten ungeschützt über Leitungen und Zwischenstationen geleitet werden. Versendet ein Ressort personenbezogene oder andere vertrauliche Dokumente über das IKONET, kann es die Unversehrtheit und Vertraulichkeit der Informationen dann nicht mehr selbst gewährleisten, wenn die Nachrichten das Netz im eigenen Haus verlassen. Die absendende Behörde also muß die Betreiber der Zwischenstationen schriftlich beauftragen, für sie die Nachrichten unter Gewährleistung des erforderlichen Datensicherheitsniveaus weiterzuleiten, und die Einhaltung dieser Weisungen kontrollieren (Auftragsdatenverarbeitung i.S.d. LDSG, vgl. auch Tz. 7.8).

Solche Aufträge für den Datenaustausch im IKONET liegen bislang nicht vor: Die Ressorts haben es versäumt, mit dem Innenministerium zu vereinbaren, wie mit den personenbezogenen Daten in E-Mails zu verfahren ist. Das Innenministerium seinerseits hätte ohne Weisung der Ressorts die Daten gar nicht weiterleiten dürfen. Entsprechende Regelungen sind zu treffen, wenn die Nachrichten das IKONET verlassen und von anderen Betreibern übernommen und weitergeleitet werden.

Zwar hat das Innenministerium im Rahmen der Möglichkeiten der eingesetzten Produkte bereits einige Datensicherheitsmaßnahmen ergriffen, z.B. die Zugänge zu Leitungen und Zwischenstationen gegen Angreifer von außerhalb abgeschottet. Diese Maßnahmen reichen jedoch nicht aus, wenn es um den Transport "sensibler" Daten geht. Bislang sind die IKONET-Teilnehmer auf die verbleibenden Risiken nicht aufmerksam gemacht worden. Der vom Innenministerium empfohlene Schalter für "Vertraulich" im Mail-Programm suggerierte fälschlicherweise sogar einen umfassenden Schutz der elektronischen Nachricht. Wir haben dies im Rahmen der Prüfung beanstandet.

Neue Risiken sind in letzter Zeit fast unbemerkt hinzugekommen: In einigen Ressorts wurden die UNIX-Rechner durch stärker virengefährdete Windows-PCs ersetzt, wo auch schon die ersten per E-Mail erhaltenen Makroviren (vgl. 18. TB, Tz. 6.5) zum Zuge kamen. Außerdem hat sich die Zahl potentieller Angreifer durch die Möglichkeit, E-Mails mit Internet-Teilnehmern auszutauschen, stark erhöht. Ohne Sicherheitsmaßnahmen gegen Viren und Trojanische Pferde könnte man mit wenig Aufwand eine elektronische Nachricht mit einem Virus verschicken, der bei seiner Ausführung alle sonstigen gespeicherten Daten ausliest und per E-Mail an den Angreifer sendet.

Das Innenministerium ist bislang der Ansicht, die im IKONET getroffenen Vorkehrungen seien so weitgehend, daß ein Zugriff Unbefugter auf alle vorhandenen Daten wirksam verhindert werden dürfte. Dennoch wird in der Stellungnahme betont, es bestehe jedoch selbstverständlich die Bereitschaft, Datenschutz und Datensicherheit im IKONET stets dem Stand der Technik anzugleichen, soweit es die wirtschaftlichen Randbedingungen erlaubten. So sei z.B. beabsichtigt, eine Verschlüsselung der E-Mail einzuführen. Außerdem werde die im Innenministerium bestehende Dienstanweisung zur Benutzung der E-Mail um den Punkt "Risiken" ergänzt. Weiterhin seien bereits Maßnahmen eingeleitet, um die zentrale Verwaltung des E-Mail-Dienstes in vollem Umfang in die Zuständigkeit der Datenzentrale zu überführen, die dann je nach Anforderung entsprechende Verträge mit den nutzenden Dienststellen abschließen soll.

Inzwischen wurden unsere Bedenken bezüglich der "Ahnungslosigkeit" einiger IKONET-Teilnehmer bestätigt, als eine E-Mail aus dem Internet in einer angebundenen Dienststelle helle Aufregung verursachte: Die Dienststellenleitung war nämlich davon ausgegangen, daß eine elektronische Kommunikation mit Teilnehmern außerhalb des IKONET nicht möglich sei.

Was ist zu tun?
Die veraltete Mail-Software sollte durch ein Produkt mit mehr Sicherheitsfunktionalität ersetzt werden. Alle Teilnehmer sollten sich über Risiken im IKONET informieren und zusätzliche Sicherheitsmaßnahmen treffen, um die elektronisch ausgetauschten Daten ausreichend zu schützen.


Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel