Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

7

Recht und Technik der Neuen Medien

7.1

Rund ums Internet

7.1.1

Mit Sicherheit ins Internet

Bubbleboy hieß der Computerwurm - so die Bezeichnung für ein Programm, das Kopien von sich durch das Netz schickt. Für die Aktivierung reichte der bisher für unschädlich gehaltene Vorschau-Modus des E-Mail-Programms Outlook der Firma Microsoft. Dies ist nur eine der vielen möglichen Gefahren, die über das Internet auch Verwaltungsrechner betreffen können. In den Vorjahren haben wir mehrfach zu der Problematik Stellung genommen, ob und wie sich ein sicherer Anschluss an das Internet realisieren lässt (vgl. 21. TB, Tz. 7.1.2; 20. TB, Tz. 7.5.1). Die Grundaussagen haben weiterhin Bestand:

Ein Anschluss von Rechnern, die physikalisch vom Verwaltungsnetz getrennt sind und keine sensiblen Datenbestände enthalten, ist recht einfach und unproblematisch möglich. Will man einen Internet-Zugang vom Verwaltungssystem aus realisieren, benötigt man ein Firewall-System, das das interne Netz vor möglichen Angriffen aus dem Internet abschottet. Die Filterregeln, die in der Firewall implementiert werden sollen, müssen vorher durch eine Kommunikationsanalyse ermittelt werden: Welche Dienste im Internet müssen eigentlich von welchen Rechnern oder Teilnehmern nutzbar sein?

Auch mit einer korrekt aufgebauten Firewall ist man noch nicht sicher: Zum einen muss man sich vor Trojanischen Pferden schützen, die über aktive Inhalte im WWW, Programme oder E-Mails ins heimische Netz eindringen können (Maßnahmen: aktive Inhalte deaktivieren, stets auf aktuellen Virenschutz achten; vgl. Tz. 9.2). Zum anderen muss man ständig wachsam sein und sich gegen neu entdeckte Sicherheitsrisiken wappnen. Dies erfordert Personal mit entsprechendem Know-how und zeitlichen Ressourcen.

Im Projekt "Virtuelles Datenschutzbüro” (vgl. Tz. 8.4) arbeiten wir an der Umsetzung einer datenschutzkonformen Internet-Anbindung mit einem hohen Grad an Sicherheit. Dafür beschäftigen wir uns auch mit innovativen Konzepten, die hier kurz vorgestellt werden:

• Virtual Network Computing (VNC)

Beim Virtual Network Computing sind die Arbeitsplatzrechner nicht direkt mit dem Internet verbunden, sondern können lediglich die grafische Ausgabe eines speziellen VNC-Servers auf dem Monitor anzeigen (vgl. Tz. 9.4). Alle Aktionen mit Tastatur und Maus werden an diesen VNC-Server weitergeleitet, der sie entsprechend umsetzt und ans Internet weitergibt. Die eigentlichen Programme laufen also nicht auf dem Arbeitsplatzrechner mit sensiblen Daten, sondern auf dem VNC-Server ab und können daher im eigentlichen System kaum mehr Schaden anrichten. Selbstverständlich ist der VNC-Server trotzdem durch eine Firewall gesichert.

• Protokollentkopplung

Wo allein die grafische Ausgabe der Daten und das Arbeiten auf dem VNC-Server nicht ausreicht, sondern die Daten auf dem Arbeitsplatzrechner zur Verfügung stehen müssen, können diese mithilfe von speziellen Kommunikationsstandards wie UUCP vom Server übertragen werden. Damit besteht keine direkte TCP/IP-Verbindung, die für Angriffe auf den Arbeitsplatzrechner genutzt werden könnte.

• Snipped Wire

7.1.2

IP-Nummern als personenbezogene Daten?

Vielen Surfern im World Wide Web (WWW) stellt sich die Frage: Bekommt der Betreiber des Servers eigentlich mit, welche Inhalte ich gerade abrufe? Selbst dann nämlich, wenn der Nutzer keine weiteren Daten über seine Identität offenbart (wenn er also z. B. keine Formulare ausfüllt und die E-Mail-Adresse nicht angibt), fällt am Server in jedem Fall eine Information an: Dies ist die IP-Nummer, unter der die Informationen abgerufen werden.

Für die Rechner im Internet sind IP-Nummern das, was Telefonnummern im Bereich der herkömmlichen Telefonnetze darstellen: Ohne eine Nummer lässt sich kein anderer Rechner adressieren; jeder Rechner benötigt für die Kommunikation im Internet eine IP-Nummer. Während die Internet-Server feste IP-Nummern haben, gilt dies für die allermeisten Nutzer nicht. Wer sich mit einem Online-Dienst oder über einen sonstigen so genannten Access-Provider an das Internet anschließt, muss keine eigene IP-Nummer "von zu Hause” mitbringen. Vielmehr bekommt er diese von seinem Access-Provider für die jeweilige Internet-Session zur Verfügung gestellt. Der Access-Provider verfügt über eine Vielzahl solcher Nummern. Diese teilt er jeweils der Reihe nach den Nutzern zu, die sich neu einwählen. Technisch bedingt kommt es teilweise auch zu einer neuen Vergabe von IP-Adressen während eines Zugriffs. Die Nutzer können hier also relativ sicher sein, dass sie mindestens bei jeder neuen Session mit einer anderen IP-Adresse im Internet aktiv werden. Wer nur die IP-Adresse des Nutzers erfährt, kann allenfalls zuordnen, zu welchem Access-Provider beziehungsweise Online-Dienst diese gehört.

Der Nutzer lässt sich also vom Betreiber des Webservers - im Gegensatz zum Access-Provider, dem die Zuordnung bekannt ist - ohne weitere Hilfsmittel nicht identifizieren. Dies ist wichtig, weil an den Webservern regelmäßig Protokolldateien (Logfiles) gespeichert werden, die nicht nur abstrakt die Zahl der Zugriffe zählen, sondern für jeden Zugriff die IP-Nummer mitspeichern, von der aus zugegriffen wurde. Wählt sich ein Nutzer über seinen Access-Provider ins Internet ein, so wird also am Webserver lediglich die vom Access-Provider jeweils vergebene IP-Nummer gespeichert. Dem Betreiber des Servers ist es nicht erlaubt, beim Access-Provider nachzufragen, welcher Nutzer sich hinter einer IP-Nummer verbirgt. Hat der Betreiber des Webservers keine Möglichkeit, eine Nummer dem dahinterstehenden Nutzer zuzuordnen, so stellt allein die IP-Nummer für ihn kein personenbezogenes Datum dar.

Leider ist die Lage im Internet jedoch keineswegs immer so eindeutig. Es gibt nämlich auch eine Vielzahl von Rechnern, die über fest vergebene IP-Adressen verfügen. Zum einen sind dies häufig die Rechner in Universitäten und Firmen. Hier haben die Organisationen oft einen großen Bereich von Nummern erworben, die sie den einzelnen zu ihnen gehörigen Rechnern fest zuweisen. Aber auch private Nutzer, die sehr früh im Internet präsent waren, hatten seinerzeit noch gute Chancen, eine feste IP-Adresse zu bekommen. In diesen Fällen lässt sich die IP-Adresse häufig auch ohne weitere Hilfsmittel einem bestimmten Nutzer zuordnen.

Bei fest vergebenen IP-Nummern muss also davon ausgegangen werden, dass der Personenbezug vorliegt und die datenschutzrechtlichen Vorschriften der Multimediagesetze (TDDSG) gelten. Die Verarbeitung der Daten ist danach nur dann erlaubt, wenn diese technisch erforderlich ist, um den Dienst zu erbringen, oder wenn die Daten zu Abrechnungszwecken gebraucht werden. Beides trifft für die in den Logfiles festgehaltenen IP-Nummern nicht zu. Zwar werden diese während des Zugriffs aus technischen Gründen benötigt. Darüber hinaus sind sie jedoch nicht von Bedeutung. Auch wird im Regelfall nicht danach abgerechnet, welche IP-Adresse auf den Server zugegriffen hat. Die Speicherung der festen IP-Adressen in den Server-Logfiles ist demnach unzulässig.

Fraglich ist nun, wie ein rechtmäßiges Server-Logfile erstellt werden kann. Zum einen kann vollständig auf die Speicherung von IP-Adressen verzichtet werden. In diesen Fällen ergeben sich selbstverständlich keine Probleme. Zum anderen besteht jedenfalls theoretisch die Möglichkeit, die "Adressräume” zu kennzeichnen, die bestimmten Online-Diensten oder Access-Providern zugeordnet sind und bei denen die IP-Nummernvergabe dynamisch erfolgt. Wird mit einer solchen IP-Nummer aus einem dieser Adressräume auf den Server zugegriffen, so kann dieser sicher sein, dass es sich um nichtpersonenbezogene Daten handelt und sie speichern. Andere IP-Nummern dürften nicht gespeichert werden. Eine weitere Variante, die in der Praxis möglicherweise am einfachsten umzusetzen ist, besteht darin, die letzte der vier Komponenten einer IP-Nummer (eine Zahl zwischen 0 und 255) zu löschen. Zum Beispiel würde aus der IP-Nummer 195.217.35.229 dann 195.217.35.XXX.

Leider ist diese Rechtslage bisher bei den Anbietern noch häufig unberücksichtigt geblieben. Dies mag auch daran liegen, dass entsprechende Standardsoftware die genannten Möglichkeiten noch nicht einräumt. Es ist daher eine wichtige Aufgabe für die Entwickler von Software, datenschutzgerechte Optionen einzubauen.

7.1.3

Mitarbeiterdaten auf der Homepage

Viele öffentliche Stellen verfügen bereits über eine eigene Homepage oder planen, eine solche einzurichten. Zu den regelmäßig dort veröffentlichten Informationen gehört auch der Geschäftsverteilungsplan. Allerdings ist es nicht ohne weiteres zulässig, dabei auch den Namen der jeweils zuständigen Mitarbeiter anzugeben. Im Zusammenhang mit der Aufgabenerfüllung wird in Behörden häufig der Name der Beschäftigten genannt, sei es, dass er auf einem dienstlichen Schreiben auftaucht, an der Bürotür oder am stummen Portier im Behördeneingang festgehalten ist. Der grundrechtlich geschützte Bereich der Betroffenen wird hier faktisch nicht beeinträchtigt; die Beschäftigten werden dabei als Organe der öffentlichen Stelle, für die sie handeln, benannt. Die Namen der Beschäftigten sind als so genannte Funktionsträger-Daten zu betrachten. Darüber hinausgehende Daten wie die Privatadresse, das Geburtsdatum, die private Telefonnummer oder gar ein Foto unterfallen dem informationellen Selbstbestimmungsrecht.

Im Internet erhalten die Mitarbeiterdaten eine vollständig neue Qualität. Zum einen geht es um ein weltweit zugängliches Medium. Noch bedeutungsvoller ist allerdings, dass sämtliche im Internet anzutreffenden Daten mit allen anderen Daten über die betroffene Person problemlos verknüpft werden können. So können Informationen über die dienstliche Stellung ohne weiteres mit Daten aus privatem Kontext zu einem Persönlichkeitsprofil zusammengeführt werden. Potenzielle Arbeitgeber, Vermieter oder andere Interessierte könnten sich so eine Vielzahl von Informationen über die Betroffenen beschaffen.

Für die Veröffentlichung in diesem Verwendungszusammenhang ist demnach grundsätzlich die Einwilligung der Mitarbeiter erforderlich. Bei der Einholung der Einwilligung im Rahmen eines Arbeitsverhältnisses muss darauf geachtet werden, dass kein Druck auf die Beschäftigten ausgeübt und die Erklärung wirklich freiwillig abgegeben wird. Liegt die Einwilligung der Betroffenen nicht vor, so kommt noch die Veröffentlichung auf Grund einer Rechtsvorschrift in Betracht. Eine solche dürfte jedoch in den seltensten Fällen zur Verfügung stehen. Lässt sich die Einwilligung der Mitarbeiter nicht einholen, so können die dienstlichen Kommunikationsdaten in der Weise veröffentlicht werden, dass statt des Namens der Mitarbeiter nur die jeweilige Funktion angegeben wird; also zum Beispiel: Bearbeitung von BAFöG-Angelegenheiten: Telefonnummer 1234.

7.1.4

Wie weit darf der Vorgesetzte die Internet-Nutzung kontrollieren?

Auch in der öffentlichen Verwaltung setzt sich der dienstliche Internet-Zugang für viele Mitarbeiter langsam durch. Eine klare Regelung über die Kontrollbefugnisse des Arbeitgebers bzw. Dienstherren kann spätere Streitigkeiten verhindern.

Beim Anschluss an das Internet stehen vor allem die Kommunikation via E-Mail und die Informationsrecherche im WWW für die Mitarbeiter im Vordergrund. Im 21. Tätigkeitsbericht haben wir im Zusammenhang mit dem Einsatz von Firewalls auf die Kontrollmöglichkeiten und deren rechtlichen Grenzen hingewiesen (vgl. Tz. 7.1.2). Auch unabhängig von Firewalls lässt sich z. B. schon mit den häufig zur Abrechnung vorliegenden Daten über die Dauer der Internet-Zugriffe eine gewisse Kontrolle der Mitarbeiter bewerkstelligen. Wie weit darf die Kontrolle der dienstlichen Zugriffe im WWW gehen? Eine pauschale Antwort, die sämtlichen Sachverhalten gerecht wird, lässt sich kaum finden. Generell geht es um den sachgerechten Ausgleich zwischen den Persönlichkeitsrechten der Beschäftigten und den berechtigten Kontrollinteressen des Arbeitgebers bzw. Dienstherrn.

Grundsätzlich hat der Arbeitgeber das Recht, nachzuprüfen, ob die dienstlichen WWW-Zugriffe noch einen angemessenen Umfang haben und ob tatsächlich dienstlich relevante Seiten angesurft wurden. Dabei lassen sich Erkenntnisse über besondere Informationsinteressen und über das Vorgehen bei der Recherche gewinnen. Es können aber auch Anhaltspunkte für Verhaltens- und Leistungskontrolle entstehen. Deshalb muss bei diesen Kontrollen der Verhältnismäßigkeitsgrundsatz gewahrt werden. In einer ersten Stufe kann eine nicht auf die einzelnen Beschäftigten bezogene Auswertung der häufig angesurften Internet-Angebote erfolgen.

7.1.5

Wieviel Zusammenarbeit schulden Provider der Polizei?

Im Jahr 1999 fanden mehrere Zusammenkünfte zwischen Strafverfolgungsbehörden, Internet-Providern und Datenschützern statt. Das Bundeskriminalamt (BKA) hatte hierzu eingeladen, um die Zusammenarbeit zwischen den Providern und der Polizei zu verbessern. Die Treffen ergaben, dass es bei einer Reihe von Fragen durchaus unterschiedliche Auffassungen gibt, unter anderem, wozu die Internet-Provider verpflichtet sind. Als problematisch stellte sich vor allem die Abgrenzung zwischen dem Tele- und Mediendienste- und dem Telekommunikationsrecht heraus. Die meisten Eingriffsbefugnisse der Strafverfolgungsbehörden richten sich an die Betreiber von Telekommunikationsdiensten. Große Access-Provider und Online-Dienste wie T-Online gehen allerdings davon aus, dass die strafprozessualen Eingriffsbefugnisse auch sie treffen.

Probleme in der Praxis ergeben sich z. B. dann, wenn Strafverfolgungsbehörden bestimmte IP-Adressen im Netz aufgefunden haben und nun von den Access-Providern erfahren wollen, welchen Nutzern diese Nummern zugeordnet waren. Bei den Access-Providern dürfen diese Daten von Rechts wegen gar nicht gespeichert werden (siehe oben Tz. 7.1.2). In der Praxis kommt es allerdings häufig zu relativ kurzfristigen Speicherungen von wenigen Tagen. In diesem Zusammenhang wird im Kreis der G8-Staaten diskutiert, im Wege einer so genannten Preservation-Order einen "Fast Freeze - Quick Thaw” der Verbindungsdaten herbeizuführen. Dieser soll dazu dienen, die Daten solange zu konservieren, bis eine richterliche Genehmigung zum Zugriff auf die Daten vorliegt.

Aus datenschutzrechtlicher Sicht ist dieses Verfahren in jedem Fall Überlegungen zur Einführung einer generellen Mindestspeicherungsdauer für sämtliche Verbindungsdaten vorzuziehen. Auch die auf Ebene der EU eingerichtete Gruppe für den Schutz von Personen bei der Verarbeitung personenbezogener Daten hat sich dagegen ausgesprochen, Daten aus der Telekommunikation nur im Hinblick auf einen späteren eventuellen Zugriff der Strafverfolgungsbehörden zu speichern (Empfehlung 3/99 vom 07.09.1999, 5085/99). Vielmehr sollte die Speicherdauer an der Erforderlichkeit für die Abrechnung orientiert sein, wie es dem deutschen Recht entspricht.

7.2

Recht auf unbeobachtete Telekommunikation

7.2.1

Eckpunkte zur Kryptopolitik

Die Bundesregierung hat 1999 erstmals erklärt, dass der Einsatz von Kryptoverfahren nicht eingeschränkt werden, sondern stattdessen gefördert werden soll. Die ersten Taten folgen bereits mit der Unterstützung der Entwicklung von Open-Source-Kryptoprodukten.

Die Vertraulichkeit von elektronischer Kommunikation ist essenziell, unabhängig davon, ob es sich um private Nachrichten oder um die Teilnahme am E-Commerce handelt. Die Lösung heißt Verschlüsselung. Seit Jahren gibt es eine rege Diskussion über die Frage möglicher gesetzlicher Regulierungen der Stärke und Art der einsetzbaren Verfahren. Da die weit verbreiteten Produkte aus den USA bislang mit Exportbeschränkungen versehen sind und lediglich in einer relativ leicht entschlüsselbaren Form angeboten werden, bleibt ein unbefriedigendes Sicherheitsrisiko bestehen - so der Tenor der öffentlichen Auseinandersetzungen der letzten Jahre in fast allen demokratischen Industrieländern. Um so entscheidender tritt die Frage einer möglichen deutschen Kryptoregelung in den Vordergrund. In den vergangenen Jahren gab es mehrfach Initiativen zur gesetzlichen Begrenzung der verwendbaren Schlüssellängen bzw. zum zwingenden Einbau zur Beobachtung geeigneter "Hintertüren”. Hiergegen haben wir uns entschieden gewandt (vgl. 21. TB, Tz. 7.4).

Mit dem Eckpunktepapier der Bundesregierung zur deutschen Kryptopolitik vom Juli dieses Jahres werden wesentliche positive Rahmenbedingungen für den verstärkten Einsatz kryptographischer Verfahren und Produkte abgesteckt. Die entscheidende Aussage besteht in der Zusage der Beibehaltung der "uneingeschränkten Freiheit der Nutzer bei der Auswahl und dem Einsatz von Verschlüsselungssystemen”. Ferner wird auch von einer Förderung des Einsatzes von Kryptographie bei der Datenübermittlung gesprochen. Eine solche Förderung ist schon deshalb sinnvoll, weil Verschlüsselungsprodukte in Deutschland immer noch nicht im erforderlichen Maß eingesetzt werden. Die E-Mail-Kommunikation weist z. B. nach aktuellen Studien lediglich einen Verschlüsselungsanteil von etwa 4 % auf.

Aus unserer Sicht sind deshalb folgende Forderungen angebracht, die auch die Konferenz der Datenschutzbeauftragten des Bundes und der Länder erhoben hat:

• Aktive Förderung des Einsatzes von Verschlüsselungstechniken durch Privatpersonen und Wirtschaftsunternehmen,

• Erbringung von Serviceleistungen, die den Gebrauch von effektiven Verschlüsselungsprogrammen für jedermann erleichtern,

• Maßnahmen zum besonderen Schutz der Telekommunikation von Berufsgruppen, die besonderen Verschwiegenheitspflichten unterliegen, wie Ärzten, Anwälten, Psychologen usw.,

• Förderung der Gründung einer "Stiftung Datenschutztest”, die u. a. die Aufgabe hat, Verschlüsselungsprodukte zu testen und den Verbrauchern Empfehlungen für ihren Gebrauch zu geben,

• Unterstützung von Wirtschaftsunternehmen beim Schutz ihrer Betriebsgeheimnisse gegen Abhörversuche ausländischer Geheimdienste,

• Förderung der Entwicklung europäischer Verschlüsselungsprodukte mit offen gelegten Algorithmen.

7.2.2

Überwachungsschnittstellen obligatorisch?

Nach dem Telekommunikationsgesetz (TKG) sind Betreiber von Telekommunikationsanlagen verpflichtet, auf eigene Kosten technische Einrichtungen vorzuhalten, die die Überwachung und Aufzeichnung von Telekommunikation ermöglichen. Diese Pflicht trifft einen sehr weiten Adressatenkreis (u.a. auch Krankenhaus- und Hotelbetreiber sowie zum Teil Arbeitgeber); um sie umzusetzen, sind Investitionen in erheblicher Höhe erforderlich. Als diese Pflicht in einer Telekommunikations-Überwachungsverordnung (TKÜV) konkretisiert werden sollte und absehbar war, dass es kaum Ausnahmen geben würde, kam es zu vehementer Kritik aus der Wirtschaft (vgl. 21. TB, Tz. 7.7). Daraufhin ist ein erster Entwurf der TKÜV zunächst zurückgestellt worden.

Auf die nähere Ausgestaltung der Vorschriften des TKG in einer Verordnung kann jedoch auf die Dauer nicht verzichtet werden. Die Bundesregierung hat deshalb im April 1999 ein sog. Eckpunktepapier veröffentlicht (siehe unter http://www.dud.de/dud/files/eckp0499.zip). Vorgesehen ist danach eine Unterscheidung von drei Betreibergruppen:

• Betreiber von Telekommunikationsanlagen, mit denen Dienstleistungen für die Öffentlichkeit erbracht werden, soll die Verpflichtung zur Einrichtung und Unterhaltung der Schnittstelle in vollem Umfang treffen.

• Betreiber von nichtöffentlichen Netzen (Corporate Networks, Intranets etc.) brauchen keine permanenten technischen Vorkehrungen zu treffen. Es reicht aus, wenn im Einzelfall für Sicherheitsbehörden die Möglichkeit eingerichtet wird, die Telekommunikation vor Ort zu überwachen und aufzuzeichnen.

• Dasselbe soll für die Betreiber von Telekommunikationsanlagen gelten, mit denen Telekommunikationsdienste ohne Gewinnerzielungsabsicht angeboten werden (z. B. Nebenstellenanlagen in Krankenhäusern, Wohnheimen etc.).

Zwar ist die geplante Abstufung ein Schritt in die richtige Richtung. Problematisch bleibt aber weiterhin die Einbeziehung der Anbieter von solchen Internet-Diensten, die sich als Individualkommunikation (z. B. E-Mail) einordnen lassen. Das Eckpunktepapier stellt ausdrücklich fest, dass derartige Dienste in die erste Gruppe einzuordnen sind. Viele kleine und mittelständische Internet-Provider könnten die kostspieligen technischen Schnittstellen sowie die organisatorischen Maßnahmen zur ständigen Verfügbarkeit finanziell nicht verkraften. Das staatliche Bedürfnis nach lückenloser Überwachbarkeit der Telekommunikation würde das Ende vieler kleinerer Hightech-Unternehmen und der von ihnen geschaffenen Arbeitsplätze bedeuten. Dies ist ein Ergebnis, das in merkwürdigem Kontrast zu den sonstigen Bemühungen des Staates um die Telekommunikations- und Internet-Branche als Motor künftiger Wirtschaftsentwicklung steht.

Durch die Verpflichtung von Internet-Providern würde eine bedenkliche Überwachungsinfrastruktur geschaffen. In der Regel ist die Überwachung privater Nutzer des Internet auch auf den "letzten Metern” möglich, die nach wie vor über herkömmliche Telekommunikationsleitungen abgewickelt werden. Die Einrichtung einer kostspieligen zusätzlichen Infrastruktur ist nicht erforderlich. Die Kosten für die Errichtung und Unterhaltung der Überwachungstechnik stehen im Übrigen in keinem angemessenen Verhältnis zu dem angestrebten Zweck. Außerdem dürften die Überwachungsschnittstellen im Internet auch die Neugierde von Hackern oder Wirtschaftsspionen wecken. Für diese wäre eine standardisierte Schnittstelle ein ideales Einfallstor. In Anbetracht der Tatsache, dass mehr und mehr sensible Daten z. B. von Ärzten und Beratungsstellen über das Internet verschickt werden, erscheint die flächendeckende Einrichtung von Abhörschnittstellen bei Internet-Providern wegen der Gefahren für den Datenschutz der Bürgerinnen und Bürger höchst bedenklich.

Als Alternative zur Bereitstellung ständig verfügbarer technischer Überwachungseinrichtungen böte es sich an, Internet-Provider den gleichen Anforderungen zu unterwerfen, wie sie für Betreiber nichtöffentlicher Netze geplant sind. Die Provider müssten dann die Überwachung und Aufzeichung von Telekommunikation nur im Einzelfall ermöglichen, ohne dass umfangreiche Investitionen in Abhörequipment erforderlich wären. Presseberichten zufolge hat das Bundeskriminalamt signalisiert, dass es eine solche Lösung als praktikabel erachtet.

7.2.3

Enfopol

Auch auf europäischer Ebene wird an der Perfektionierung der Überwachbarkeit der Telekommunikation durch Strafverfolgungsbehörden gearbeitet.

Bereits im 21. Tätigkeitsbericht (Tz. 7.8) berichteten wir über die sog. Enfopol-Papiere der Europäischen Union. Ziel ist der europaweite Zugriff auf Kommunikationsdaten innerhalb weniger Sekunden. Dazu müssen zum einen standardisierte Überwachungsschnittstellen in allen Mitgliedsstaaten vorhanden sein, zum anderen wird ein europäisches Rechtshilfeabkommen benötigt, das den schnellen Zugriff auf Daten regelt, die in anderen Mitgliedsstaaten anfallen. Die Arbeiten an dem zweiten Element, dem Übereinkommen über gegenseitige Rechtshilfe, kommen seit über zwei Jahren nur schleppend voran, obwohl sich der Rat der EU immer wieder damit befasst hat. Immerhin sind diese Aktivitäten weitgehend nachvollziehbar.

Die Papiere der seit Jahren tätigen Arbeitsgruppe zur europaweiten Angleichung von Vorschriften zur staatlichen Überwachung von Telekommunikation sind erst Ende 1998 unter dem Namen "Enfopol” bekannt geworden. Im Jahr 1999 bestätigte auch die Bundesregierung, dass sich eine "Ratsarbeitsgruppe polizeiliche Zusammenarbeit” mit der Frage befasse, welche Anforderungen Netzbetreiber bzw. Diensteanbieter erfüllen müssen, um die technische Durchführbarkeit von Abhörmaßnahmen zu Gewähr leisten.

Der Entwurf einer Ratsentschließung zur Überwachung der Telekommunikation (Telefonie und Datenübertragung, z. B. im Internet) wurde vom Europäischen Parlament angenommen. Der Rat der EU hat dem Papier aber noch nicht zugestimmt. Nachdem erhebliche Kritik von Bürgerrechtsbewegungen aus Österreich, England und Deutschland und von Lobbyisten der europäischen Internet-Provider geäußert wurde, wollte der Rat die Enfopol-Pläne offenbar nochmals gründlich überarbeiten. Von der eigentlichen Enfopol-Ratsvorlage war dann lange nichts mehr zu hören. Anfang Dezember 1999 wurde bei einem Treffen der Innen- und Justizminister der EU lediglich über den zweiten Baustein, das Übereinkommen über gegenseitige Rechtshilfe in Strafsachen, weiter verhandelt. Das Übereinkommen soll bis März 2000 verabschiedet werden, allerdings sind noch Fragen des Datenschutzes zu klären.

Auf politischer Ebene gab es kaum Stellungnahmen zu den Plänen einer umfassenden und flächendeckenden Überwachbarkeit der Telekommunikation auf EU-Ebene. Das Bundesinnenministerium hat lediglich versichert, dass die Pläne in Deutschland nur innerhalb der Vorgaben nationalen Rechts umgesetzt würden. Überhaupt war an den Enfopol-Papieren neben ihrem Inhalt (der hinsichtlich der Überwachbarkeit der Telekommunikation allerdings nicht wesentlich über die deutsche Rechtslage hinausgeht, vgl. 21. TB, Tz. 7.8) vor allem bemerkenswert, wie dieses wichtige Vorhaben abseits jeder Öffentlichkeit in geheimen Gremien durchgebracht werden sollte. So erfuhren selbst Bundestagsabgeordnete erst aus Presseberichten von der Existenz der Enfopol-Arbeitsgruppe. Dieser Stil dürfte kaum dazu beitragen, dass die Bürger sich mit der Intensivierung der polizeilichen Zusammenarbeit in der EU anfreunden. Im Übrigen gelten für die europaweite Einrichtung von technischen Überwachungsschnittstellen bei der Kommunikation via Internet die grundsätzlichen Bedenken, die schon hinsichtlich der TKÜV ausgeführt wurden (vgl. Tz. 7.2.2).

7.2.4

Echelon

Lange wurde seine Existenz bestritten; nun lässt es sich nicht länger verheimlichen: Es gibt "Echelon”. Echelon ist der Codename für ein automatisiertes globales Überwachungssystem mehrerer internationaler Geheimdienste.

Überwacht wird angeblich die gesamte über Satelliten geleitete Telefon-, Fax- und Internet-Kommunikation. Die anfallenden Daten sollen automatisiert nach bestimmten Suchbegriffen in Echtzeit ausgewertet werden. Abgehört werden die Nachrichten offenbar über verschiedene Bodenstationen in den USA, Italien, England, der Türkei, Kanada, Australien und auch Deutschland (Bad Aibling). Zudem werden Abhörknoten an Unterseekabeln vermutet, die dem Transport von Telekommunikationsdaten zwischen den Kontinenten dienen.

Nachdem Vermutungen über ein solches globales automatisiertes Überwachungssystem von offiziellen Stellen der mutmaßlich beteiligten Staaten (USA, Großbritannien, Kanada, Australien und Neuseeland) zunächst als Hirngespinste einiger paranoider Einzelpersonen abgetan wurden, kommen nun langsam die Tatsachen ans Licht. Zwar wurde Echelon bereits 1997 in einem Bericht über Überwachungstechnologien (STOA-Report) an das Europäische Parlament erwähnt. Seine Existenz wurde aber seitens der beteiligten Staaten stets verschwiegen oder verneint, teilweise bis heute. Nach der kritischen internationalen Berichterstattung hat im Mai 1999 erstmals der Direktor des australischen Defence Signals Directorate (DSD) die Existenz von Echelon offiziell bestätigt. DSD ist u.a. Betreiber des staatlichen Satellitenkontrollzentrums Pine Gap. Allein die von DSD verantwortete australische Sektion von Echelon fängt nach eigenen Aussagen stündlich Millionen von Botschaften ab, die in ein Computersystem eingespeist werden. Nach bestimmten Kriterien ausgewertet, werden die Ergebnisse in ein von den Echelon-Teilnehmerländern unterhaltenes Netz weitergeleitet und damit den beteiligten Geheimdiensten zur Verfügung gestellt.

Nicht zuletzt unter dem Druck besorgter Bürgerrechtsgruppen hat es zunächst in Australien Diskussionen um die Abhöraktivitäten von Echelon gegeben. Das australische DSD hat dabei behauptet, dass die Abhöraktivitäten, soweit sie die Privatsphäre australischer Bürger betreffen, streng beschränkt seien. Zwischenzeitlich ist Echelon auch in Deutschland zu einem innenpolitischen Thema geworden ist. Dies dürfte den Geheimdienstkoordinator im Bundeskanzleramt dazu bewegt haben, die von der amerikanischen National Security Agency (NSA) auf deutschem Boden betriebene Abhörstation in Bad Aibling zu besuchen. Dort versicherte ihm der Leiter der Abhöranlage, dass die Abhöraktivitäten sich nicht gegen deutsche Interessen richten oder gegen deutsche Gesetze verstoßen würden. Belege dafür wurden nach den veröffentlichten Berichten allerdings nicht vorgelegt.

Eine Offenlegung der Aktivitäten des Abhörsystems, insbesondere Aufklärung darüber, in welchem Maß Privatbürger von der Ausspähung betroffen sind, scheint mehr denn je geboten. Dank der internationalen kritischen Berichterstattung bewegt sich mittlerweile einiges: So hat der amerikanische Kongress die Geheimdienste und das Verteidigungsministerium im Rahmen der Budgetberatungen unter Berufung auf den o. g. STOA-Report aufgefordert, einen Bericht über die gesetzlichen Grundlagen der Abhöraktivitäten, die amerikanische Bürger betreffen, vorzulegen.

Man kann davon ausgehen, dass es weltweit mehrere, von verschiedenen Staaten betriebene, flächendeckende Abhörsysteme gibt, die nach dem Echelon-Prinzip funktionieren. So ist auch in der Schweiz durch Zufall ans Licht gekommen, dass es ein Abhörsystem namens "SATOS” (Satellit Observation) zum Abhören ausländischer Kommunikationssatelliten geben soll. Einige Parlamentarier verlangen nun Aufklärung über die Aktivitäten von SATOS.

Kürzlich erst hat der dänische Verteidigungsminister Hans Haekkerup bestätigt, dass Dänemark an einem globalen Überwachungssystem beteiligt ist. Das Rechercheergebnis dänischer Journalisten: Dänemark sei wie auch nahezu alle anderen NATO-Mitglieder Partner der Echelon-Überwachungsabkommen. Die NSA habe allerdings die führende Rolle und entscheide darüber, welche Informationen die anderen Länder - auch über die in ihrem Land abgehörten Bürger, Politiker oder Unternehmer - erhalten.

7.3

Evaluierung des Multimediarechts

Die datenschutzrechtlichen Regelungen im Teledienstedatenschutzgesetz und im Multimedia-Staatsvertrag können als vorbildlich angesehen werden (vgl. 20. TB, Tz. 7.1). Die Bewertung dieser Vorschriften im Zuge der Evaluierung ist überwiegend positiv ausgefallen. Abgesehen von einzelnen Zweifelsfragen bei der Auslegung der Gesetze werden die Vorschriften als gute und notwendige Grundlage für die weiter fortschreitende Verbreitung des Internet und den wirtschaftlichen Erfolg von E-Commerce gesehen.

Konkrete Probleme sind allenfalls im Zusammenhang mit der elektronischen Einwilligung aufgetreten. Nach allgemeinem Datenschutzrecht hat die Einwilligung im Regelfall in Schriftform zu erfolgen. Aus nahe liegenden Gründen ist dies für die Kommunikation im Internet nicht angemessen. Daher hat der Gesetzgeber in den Multimedia-Regelungen vorgesehen, dass die Einwilligung zur Datenverarbeitung auch abgegeben werden kann, wenn dabei Verfahren der digitalen Signatur benutzt werden, die jedoch nicht unbedingt den hohen Anforderungen des Signaturgesetzes (vgl. dazu Tz. 7.4) entsprechen müssen. Zurzeit gibt es jedoch kaum geeignete Software auf dem Markt.

Umso mehr Bedeutung haben Projekte wie dasjenige, das von der DG-Bank Frankfurt in Zusammenarbeit mit der GMD Darmstadt und der Universität Kassel unter dem Titel "Datenschutz in Telediensten” (DASIT) durchgeführt wird. Hier geht es darum, in einer echten E-Commerce-Umgebung eine beispielhafte Umsetzung der Gesetze zu realisieren und dabei gleichzeitig geeignete Software prototypisch zu erstellen. Wir stehen deshalb mit den Projektbeteiligten im Projekt "DASIT” in einem intensiven Gedankenaustausch.

Als generelles Problem wird im Evaluierungsbericht allerdings die Tatsache angesehen, dass die Vorschriften des Multimedia-Datenschutzes noch unzureichend umgesetzt werden, ja häufig noch nicht einmal bekannt sind. Die Bereitschaft, die datenschutzrechtlichen Vorgaben des Teledienstedatenschutzgesetzes und des Mediendienste-Staatsvertrages einzuhalten, dürfte allerdings in den letzten Monaten gewachsen sein. Nach und nach spricht es sich nämlich bei den Anbietern herum, dass der angestrebte Boom im E-Commerce nur dann zu erreichen ist, wenn die Nutzer darauf vertrauen können, dass ihre Daten nicht missbraucht werden.

7.4

Digitale Signatur

Bisher haben sich die hochgespannten Erwartungen hinsichtlich der Verbreitung der digitalen Signatur (vgl. 21. TB, Tz. 7.5) nicht erfüllt. Nicht zuletzt wegen der hohen Kosten sind erst wenige private Anwender bereit, sich Signaturschlüssel-Zertifikate ausstellen zu lassen, die den strengen Vorschriften des Signaturgesetzes genügen. Größere Bedeutung haben Verfahren der digitalen Signatur zurzeit im Geschäftsverkehr zwischen Unternehmen (so genanntes Business-to-Business), wobei die Einhaltung des gesetzlichen Standards häufig nicht als erforderlich angesehen wird.

Auch bei der Kommunikation zwischen Bürger und Verwaltung rückt der Einsatz digitaler Signaturen näher. Das Land Bremen hat zusammen mit anderen Kommunen den vom Bundeswirtschaftsministerium ausgeschriebenen Wettbewerb MEDIA@Komm gewonnen, bei dem es um ein Konzept zur Realisierung der Kommunikation zwischen Kommunen, Unternehmen und Bürgern in Rechnernetzen ging. Die digitale Signatur ist in diesem Zusammenhang für die Authentizität des Absenders und zur Nachweisbarkeit etwaiger Verfälschungen der Dokumente auf dem elektronischen Übertragungsweg von großer Bedeutung. Neben tatsächlichen Maßnahmen zur Förderung des Einsatzes der digitalen Signatur wurde im Land Bremen 1999 ein Landesgesetz zur Erprobung der digitalen Signatur verabschiedet. Es sieht vor, dass in näher bezeichneten Verwaltungsbereichen der jeweils zuständige Senator durch Verordnung bestimmen kann, dass abweichend von der an sich landesrechtlich vorgeschriebenen Schriftform auch die Übermittlung in elektronischer Form bei Anwendung der digitalen Signatur zulässig ist.

Ein weiteres Beispiel ist ein in Hamburg gestarteter Pilotversuch: Das Finanzgericht Hamburg nimmt von bestimmten, vorher zu dem Verfahren zugelassenen Rechtsanwälten und Steuerberatern Schriftsätze auf elektronischem Wege entgegen. Auch in diesem Verfahren wird eine digitale Signatur verwendet, die jedoch nicht in jeder Hinsicht den Anforderungen des Signaturgesetzes entspricht.

Es gibt im Zusammenhang mit der digitalen Signatur auch handfeste Sicherheitsprobleme. Fraglich ist insbesondere in Verfahren, die nicht signaturgesetzkonform sind, wann der für die Signatur erforderliche private Schlüssel als ausreichend geschützt angesehen wird, wo doch zurzeit keine wirklich vertrauenswürdige Hardware oder Betriebssysteme vorhanden sind. Reicht es aus, den Schlüssel auf einer Chipkarte nur mit einer PIN zu schützen?

Weiterhin ist die korrekte Arbeitsweise der Visualisierungskomponente von großer Bedeutung. Wie wird verhindert, dass ein Dokument versehentlich signiert wird oder dass die Anzeige des Dokumentes mit dem eigentlichen Inhalt nicht übereinstimmt ("What you see is what you sign”)? Im Hamburger Versuch mit den Finanzgerichten werden die zu signierenden Dokumente mit dem verbreiteten Textverarbeitungsprogramm Word von Microsoft erzeugt, das auf verschiedenen Plattformen zur Verfügung steht. Die Anzeige einiger Zeichen unterscheidet sich je nachdem, unter welchem Betriebssystem Word abläuft. So wird das Zeichen für ein Viertel (¼), eingegeben unter Word für Windows, in einem Macintosh-Word als Unterstrich dargestellt. Das digitale Dokument, das signiert werden soll, wäre jedoch in beiden Fällen gleich. Hier hilft kein noch so sicheres elektronisches Signaturverfahren. In einer unsicheren technischen Umgebung, z. B. auf der Grundlage eines unsicheren Betriebssystems, kann keine überzeugende Sicherheit gewährleistet werden.

7.5

Open Source und Datenschutz

Im Gegensatz zum Closed-Source-Modell, bei dem die Nutzer das Programm als intransparente "Black Box” verwenden müssen, ist bei Open Source sowohl der Quelltext als auch die zugehörige Dokumentation offen zugänglich. Der Einsatz von Open-Source-Software ist bereits ziemlich verbreitet: Neben einer Vielzahl von Internet-Programmen unterliegt z. B. das Betriebssystem Linux der Open-Source-Philosophie. An Linux wird weltweit von hunderten oder gar tausenden von Programmierern gearbeitet. Neue Fassungen werden schnell über das Internet publiziert, um Fehler zu finden und die Programme weiterzuentwickeln. Versionsverwaltungs-Tools ermöglichen das gleichzeitige Arbeiten an denselben Modulen und verhindern, dass viele Programmierer den Code verderben. In bestimmten Abständen werden konsolidierte Versionen zum allgemeinen Einsatz freigegeben, die über das Internet abrufbar oder über Distributoren zu beziehen sind, wo auch Support oder andere Dienstleistungen angeboten werden.

Im Bereich der Kryptographie (vgl. 20. TB, Tz. 7.3.1) gehört die Offenlegung des Quelltextes der Verfahren zu den elementaren Sicherheitsforderungen. Auf keinen Fall darf die Sicherheit auf der Geheimhaltung der Funktionsweise (Security by Obscurity, "Sicherheit durch Verschleierung”) basieren. Immer wieder zeigen Beispiele, dass in diesen Fällen sicherheitsrelevante Fehler durch Bekanntwerden von internen Details, Zufall oder gezielte Angriffe ausfindig gemacht und ausgenutzt werden. Bei Open Source dagegen besteht die Möglichkeit, dass sich Fachleute den Quelltext ansehen und sich über die Qualität der Programme austauschen. Sofern Fehler gefunden werden, können sie bei Kenntnis des Quelltextes oft auch gleich korrigiert werden: Die Meldung des "Bugs” zieht häufig gleich die Bereitstellung des "Patches” nach sich. Auch bei der IT-Sicherheitszertifzierung kann mit einem Blick in den Quelltext der Code auf Trojanische Pferde oder andere Schadensfunktionen untersucht werden.

Open Source erhöht damit die Revisionsfähigkeit der Programme, denn die Funktionen sind - zumindest für Fachleute - nachvollziehbar. Außerdem können die Produkte bei Bedarf individuell angepasst werden, sodass wirklich nur die erforderliche Funktionalität zur Verfügung gestellt wird.

Open Source allein führt natürlich noch nicht zu mehr Datenschutz und Datensicherheit. Der offen gelegte Code muss auch tatsächlich von unabhängigen Experten begutachtet, und auf gefundene Mängel muss unverzüglich reagiert werden. Systematische Tests sind unverzichtbar. Selbst wenn Open-Source-Produkte mittlerweile vielfach eine hohe Stabilität erlangt haben, verlangt - wie auch bei Closed-Source-Programmen - die Bedienung und Administration ein gewisses Know-how. Gewährleistung und Service, d. h. Support oder Hotlines, werden mittlerweile auch im Open-Source-Bereich von Dienstleistern angeboten.

Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt inzwischen Open Source aus Datensicherheitsgründen; das Bundesministerium für Wirtschaft und Technologie fördert Open-Source-Projekte (z. B. im Kryptobereich). In anderen Nationen wird sogar diskutiert, in der Verwaltung nichts anderes als Open Source zuzulassen.

7.6

Für jeden Surfer eine Nummer - Globally Unique Identifiers (GUID)

Im März 1999 fand der Chef einer großen Softwarefirma heraus, dass seine Microsoft-Office-Dokumente mit der Hardwareadresse seiner Netzwerkkarte als Teil einer eindeutigen Nummer, einer so genannten Globally Unique Identifier (GUID), versehen waren. Kaum war der Aufschrei durch die internationale Presse darüber verhallt, wurde klar, dass dieselbe Software-GUID auch bei der Registrierung von Windows 98 an den Softwarehersteller übermittelt wird. Inzwischen weiß man, dass solche GUID außerdem bei den Media-Playern der Firmen Microsoft und RealNetworks und bei einem Programm zur nutzerspezifischen Umgestaltung von Cursorn der Firma Comet Systems zur Anwendung kommen. Es ist zu befürchten, dass noch mehr GUID existieren und die Nutzer auch in Zukunft verunsichern.

Der generelle Trend zum Einbau und zur Übermittlung von solchen eindeutigen Informationen durch immer mehr Anbieter im Internet muss beunruhigen, da somit nicht nur Dateien und Dokumente eindeutig Computern und damit den an ihnen arbeitenden Nutzern zugewiesen werden können, sondern sich auch klare Nutzerprofile erstellen und zuordnen lassen. Dies steht im direkten Widerspruch zu den Bestimmungen des Teledienstedatenschutzgesetzes und des Mediendienste-Staatsvertrages (vgl. 20. TB, Tz. 7.1). Um sich dagegen zu wehren, kann derzeit lediglich die Nichtverwendung der betreffenden Programme oder die Installation eines korrigierenden Updates empfohlen werden. Darüber hinaus kann man im Internet auf einer Vielzahl von Webseiten Anleitungen zur Entfernung der GUID bzw. deren Übermittlung finden. Cookies können ebenfalls zu den GUID gerechnet werden (vgl. Tz. 9.3; 20. TB, Tz. 7.5.2). Generell sollten dauerhafte Cookies in den Webbrowsern deshalb abgeschaltet und die Übermittlung von Registrierungsinformationen an Softwareanbieter weitestgehend vermieden werden.

Bezüglich neuer Hardwareprodukte sorgte vor allem die Firma Intel für Aufsehen mit der Ankündigung, ihren neuen Pentium III-Prozessor mit einer über das Internet abfragbaren eindeutigen Seriennummer, einer Hardware-GUID, auszustatten. Mit der Begründung des Schutzes und damit der Förderung von E-Commerce-Anwendungen standen die Firmenvertreter gegen eine Mauer von Anwendern und Datenschützern, die eine Löschung dieser Kennungen forderten. Nach dieser Kritik wurden die Chips dann tatsächlich zwar mit einer solchen Nummer ausgeliefert. Sie ist aber nur durch ein explizites Freigeben des Anwenders auslesbar. Ein Chip-Experte der Computerzeitschrift c't demonstrierte allerdings kurze Zeit später ein Verfahren, mit dem das Auslesen der Nummer allein durch Software möglich ist. Dies wurde auch durch Intel offiziell bestätigt, verbunden mit der Korrektur des Verfahrens zum Schutz der Chip-Kennung. Dieses Beispiel zeigt, wie notwendig es ist, sich gegen weitere Datenspuren zur Wehr zu setzen.