Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

8

Vertrauen durch Technikgestaltung

8.1

Überblick

Die Forderung "Datenschutz durch Technik!” erweist sich immer mehr als zukunftsweisend: Wo Datenschutz- und Datensicherheitsanforderungen bereits in der Technik eingebaut werden, sind die Risiken für das Recht auf informationelle Selbstbestimmung geringer. Unsere Modellprojekte weisen den Weg in aussichtsreiche Zukunftstechnologien.

Technik wird nur dann akzeptiert und eingesetzt, wenn die Nutzer Vertrauen zu ihr fassen können. Für eine Gesellschaft, die immer mehr von einem schnellen und verlässlichen Informationsaustausch, z. B. über weltweite Rechnernetze, abhängig wird, ist das Vertrauen der Nutzer ein wichtiges Gut. Vertrauen kann auf vielerlei Weisen entstehen. Auf jeden Fall trägt dazu bei, wenn unabhängige Fachleute die Möglichkeit haben, die technischen Produkte und die Verfahren, in denen sie eingesetzt werden, zu analysieren und die Ergebnisse offen darzustellen (vgl. Tz. 7.5).

Institutionen wie die Datenschutzbeauftragten, denen wegen ihrer Unabhängigkeit von vielen Bürgerinnen und Bürgern Vertrauen entgegengebracht wird, können auf die Gestaltung von Technik Einfluss nehmen. Dies geschieht durch die Prüf- und Beratungstätigkeit, in der den Daten verarbeitenden Stellen Hinweise auch für den Einsatz technischer Produkte gegeben werden. In unserem IT-Labor werden Produkte in Referenzinstallationen auf ihre Datenschutztauglichkeit getestet (vgl. Tz. 9). Darüber hinaus ist es uns möglich, direkt mit Technikgestaltern zusammenzuarbeiten, z. B. Herstellern oder Wissenschaftlern. Auf diese Weise kann sich der Rat der Datenschützer unmittelbar in technischen Design-Entscheidungen niederschlagen. Damit wird auch der Stand der Technik fortgeschrieben, an dem sich die technischen und organisatorischen Maßnahmen zur Datensicherheit zu orientieren haben.

Im Folgenden werden drei Projekte im Bereich der Technikgestaltung vorgestellt, die seit 1999 von uns zusammen mit verschiedenen Partnern durchgeführt werden. Es handelt sich um typische Beispiele für die Anwendung des neuen Datenschutzes in der Praxis.

8.2

WAU - Webzugriff anonym und unbeobachtbar

In Computernetzen wie dem Internet werden von allen Nutzern - oft unbewusst - Datenspuren hinterlassen, die nach Informationen über Interessen und Nutzungsprofile der Teilnehmer ausgewertet werden können. Aus Datenschutzgründen wäre eine Zugangsmöglichkeit zu Internet-Diensten, die mit möglichst wenigen oder sogar überhaupt keinen personenbezogenen Daten auskommt, zu bevorzugen.

Im letzten Tätigkeitsbericht wurde das Projekt zur anonymen Internet-Nutzung vorgestellt (vgl. 21. TB, Tz. 7.1.1). Dieses Projekt, mittlerweile auch bekannt unter dem Namen "WAU” (Webzugriff anonym und unbeobachtbar), wird inzwischen durch die Landesinitiative Informationsgesellschaft Schleswig-Holstein gefördert. Die technische Realisierung, die in enger Zusammenarbeit mit der TU Dresden erfolgt, basiert auf dem Einsatz von MIXen, d. h. speziellen Rechnern im Internet, über die die Kommunikation läuft. Das Projekt hat die Entwicklung einer Software zum Ziel, die leicht handhabbar ist und grundsätzlich für jeden Nutzer finanzierbar Anonymität im Internet realisiert.

Mit weiteren Kooperationspartnern, u. a. dem Multimedia-Entwicklungszentrum Schleswig-Holstein (MESH) der Medizinischen Universität zu Lübeck (MUL) und anderen Anwendern wird der Einsatz der Anonymitätstechniken für die Kommunikation hochsensibler Daten vorbereitet. Das inzwischen unter der Webadresse http://www.xtc.mesh.de gestartete Projekt "Ecstasy-Online”, eine Drogenberatung im Internet, realisiert derzeit bereits Elemente der Vertraulichkeit durch Verschlüsselung in der Kommunikation, die nach der Fertigstellung entsprechender Tools auch anonym erfolgen wird. Weitere Anwendungen wie die Telefonseelsorge und andere Beratungsangebote im Internet sind geplant.

Um die Anonymisierung der Kommunikation diensteunabhängig und damit sicherer zu entwickeln, wurde in Zusammenarbeit mit der TU Dresden ein einheitliches Datenformat entworfen. Neben den technischen Fragen muss geklärt werden, unter welchen Voraussetzungen eine mögliche Deanonymisierung für "Bedarfsträger” (z. B. Sicherheitsbehörden) zulässig ist. Außerdem muss die Bedienbarkeit für die Nutzer gegeben sein.

8.3

Datenschutzgerechte Biometrie - wie geht das?

Zutritt per Fingerabdruck, Irisscan, Stimmprobe oder Gesichtserkennung - bei diesen Stichworten dachte man früher an Agentenfilme. Inzwischen wird in den einschlägigen Computerzeitschriften fast wöchentlich ein neues Produkt vorgestellt, das die Passworteingabe am PC oder die Magnetkarte an der Tür durch biometrische Merkmale ersetzt. Für die datenschutzgerechte Entwicklung soll unsere Teilnahme an einem Projekt von TeleTrusT sorgen.

Biometrische Verfahren ermöglichen die Legitimation einer Person nicht wie bisher durch Besitz (z. B. eine Scheck- oder Chipkarte) oder Wissen (z. B. eine PIN oder ein Passwort), sondern durch die körperlichen Charakteristika (vgl. 21. TB, Tz. 7.2). Dabei werden diese Merkmale durch Sensoren erfasst, in einer bestimmten Form umgerechnet und das Ergebnis mit bereits früher erfassten und gespeicherten Referenzdaten verglichen. Stimmen diese Daten im Rahmen einer gewissen Schwankungsbreite überein, so wird eine Aktion ausgelöst: der Zutritt gewährt, Geld ausgezahlt, die Alarmanlage entschärft, ein Verschlüsselungscode für eine digitale Signatur aktiviert oder aber die Polizei gerufen.

Die Schwankung der Sensordaten auf Grund von Messungenauigkeiten hat Einfluss auf die Sicherheit der Verfahren: Sollen unberechtigte Personen mit hoher Sicherheit ausgeschlossen werden, sind beim Vergleich mit den vorliegenden Referenzdaten nur enge Toleranzgrenzen erlaubt, die aber auch berechtigte Benutzer ausschließen können (und dann wiederholte Messungen erfordern). Sind umgekehrt die Toleranzgrenzen zu weit gesteckt, so werden unter Umständen auch unberechtigte Benutzer durch das System zugelassen.

Was hat nun der Datenschutz mit biometrischen Verfahren zu tun? Bei biometrischen Merkmalen handelt es sich um dauerhaft personengebundene Merkmale. Diese Bindung ist der Vorteil gegenüber Passwörtern, die leicht vergessen, weitergegeben oder ausgespäht werden können. Biometrische Daten sind besonders schützenswert: Es ist beispielsweise noch nicht abschließend geklärt, welche Informationen über Krankheiten, Stimmungslagen oder Drogenkonsum sich aus den Daten ermitteln lassen. Da die gespeicherten Daten meist zu einem ganz speziellen Zweck (z. B. zur Zutrittskontrolle) erhoben wurden, müssen sie vor einer unbefugten anderweitigen Auswertung geschützt werden. Wichtig für die Betroffenen ist es daher, dass auch ihre Referenzdaten allein in ihrem Besitz verbleiben (z. B. auf einer Chipkarte) oder zumindest verschlüsselt in Systemen gespeichert werden und nur nach einer Aktivierung durch den Benutzer entschlüsselt werden können. Denkbar ist auch, die biometrischen Daten selbst als kryptographischen Schlüssel zu verwenden, über den nur der Nutzer verfügt. Dabei ist darauf zu achten, dass die Verschlüsselungsverfahren stets dem Stand der Technik angepasst und Daten ggf. durch neuere Verfahren "nachverschlüsselt” werden: Biometrische Daten müssen lange geschützt werden - womöglich ein Leben lang.

Wichtig ist zudem, dass biometrische Daten nur durch die bewusste und aktive Teilnahme der Person erfasst werden. So lassen sich einerseits Missbräuche durch unerkannt erhobene Daten einschränken, und andererseits würde es für den Nutzer deutlich machen, dass er eine Willenserklärung abgibt. Dies ist insbesondere im Zusammenhang mit der so genannten digitalen Signatur (vgl. Tz. 7.4) interessant, bei der elektronische Dokumente quasi per Knopfdruck durch einen kryptographischen Schlüssel signiert werden können. Einsatzbereiche sind hier vor allem Homebanking und Internet-Handel (E-Commerce). Für den Nutzer ist es wichtig, dass er Signaturen nicht unbeabsichtigt vornimmt. Bei den bisher verwendeten Verfahren wird der Signaturschlüssel auf einer Chipkarte gespeichert, die mit einer PIN gesichert ist und daher der PIN-Problematik (Vergessen, Weitergeben, Ausspähen) unterliegt. Durch biometrische Verfahren kann die PIN-Eingabe beispielsweise durch die Messung der Unterschriftsdynamik ersetzt oder ergänzt werden. Dies würde gleichzeitig dem Nutzer stärker bewusst machen, dass er ggf. eine rechtlich bindende Handlung vornimmt.

Seit April 1999 werden im Pilotprojekt BioTrusT die Einsatzmöglichkeiten von biometrischen Verfahren, die die üblichen Magnetkarten mit PIN-Eingaben ablösen sollen, bei Banken untersucht. Es werden zunächst Geräte getestet, die den Zutritt der Mitarbeiterinnen und Mitarbeiter zu ihrem Dienstgebäude bzw. ihren Arbeitsräumen regeln. Später werden auch Login-Bildschirme am PC, Geldausgabeautomaten und Homebanking-Anwendungen untersucht. Neben dem Datenschutz und dem Verbraucherschutz sind dabei etliche Hersteller und verschiedene Bankinstitutionen beteiligt. Unser Ziel ist dabei, schon in einer frühen Phase der technischen Gestaltung der Geräte datenschutzrechtliche und sicherheitstechnische Probleme zu erkennen und ihnen entgegenzuwirken. Da viele Produkte und auch die Anbindung an die Rechnersysteme der Banken noch in der Entwicklungsphase sind, sehen wir gute Chancen, diese Prozesse im Sinne des Datenschutzes beeinflussen zu können. Dies wird auch wichtig für die Akzeptanz der Verfahren sein.

In Zusammenarbeit mit der Arbeitsgemeinschaft "Biometrie” von TeleTrusT e. V., einem Verband von Herstellern im IT-Sicherheitsbereich, wird derzeit ein Kriterienkatalog erarbeitet, der den Vergleich von biometrischen Verfahren erleichtert. Bestandteile diese Kataloges sind neben Kriterien zur (Daten­)Sicherheit und zu Verbraucherschutzaspekten auch solche zur Datenschutzfreundlichkeit der Verfahren. Der Kriterienkatalog soll Standards vorgeben, an denen sich neue Produkte zu messen haben. Das Projekt ist auf mehrere Jahre angelegt und wird vom Bundesministerium für Wirtschaft gefördert.

8.4

Das virtuelle Datenschutzbüro

"You have zero privacy anyway - get over it!” (sinngemäß: "Ihr habt ohnehin keinen Datenschutz - findet euch damit ab!”), diagnostizierte 1999 Scott McNealy, Chef des Computerriesen Sun Microsystems. Auch wenn dies übertrieben sein mag, ist es doch ein Hinweis darauf, dass der Datenschutz sich bei neuen Entwicklungen nicht abhängen lassen darf. Einen Ansatz soll das virtuelle Datenschutzbüro bieten.

Analysiert man die bisherigen Bemühungen und Konzepte der Datenschutzszene, dann merkt man schnell, dass sie den neuen Anforderungen, die das Internet und ähnliche Technologien an den Datenschutz stellen, nicht mehr gerecht werden. In ihrer derzeitigen Form können die Datenschutzbeauftragten auf die Herausforderungen des Internet und der Informationsgesellschaft nicht angemessen reagieren. Die Pflege einer Website genügt nicht. Stattdessen müssen die Möglichkeiten des Internet für die Sache des Datenschutzes aktiv genutzt werden.

Es besteht akuter Handlungsbedarf, damit nicht der Verlust der Privatsphäre zur Realität der Informationsgesellschaft wird. Deshalb muss der Datenschutz dort präsent sein, wo in der vorhersehbaren Zukunft große Risiken für das Recht auf informationelle Selbstbestimmung entstehen, nämlich im Internet. Dies soll durch das Projekt "Virtuelles Datenschutzbüro” realisiert werden, das vom schleswig-holsteinischen Datenschutzbeauftragten initiiert wurde und von der Landesinitiative Informationsgesellschaft Schleswig-Holstein gefördert wird.

Ein Ziel des virtuellen Datenschutzbüros besteht darin, den Datenschutz mit neuen Mitteln zu reetablieren, indem es die sich derzeit entwickelnden Kommunikationstechniken und -kulturen aufnimmt und für den "neuen Datenschutz” nutzbar macht. Die neue Qualität des Datenschutzes soll sich daraus ergeben, dass die Kompetenz der Datenschützer durch eine verstärkte Praxisausrichtung ausgebaut wird. Wer im Internet mitreden will, muss seine Funktionsweise kennen, am besten aus eigener Praxis. Außerdem gibt es in der Internet-Community eine reichhaltige Datenschutzkompetenz, die einbezogen werden soll. Die Arbeitsteilung zwischen den Kooperationspartnern des virtuellen Datenschutzbüros soll eine Überbelastung der einzelnen Dienststellen vermeiden und eine höhere Spezialisierung erlauben.

Im Rahmen des virtuellen Datenschutzbüros soll es zu einem verbesserten Workflow innerhalb und zwischen den Datenschutzdienststellen kommen, damit sich die Fachleute für die jeweiligen Themen schnell und problemlos austauschen können. Arbeitsergebnisse sind für alle Interessierten transparent und dienen als Grundlage für Diskussionen, mit dem Ziel, die gewonnenen Resultate stets zu hinterfragen und weiterzuentwickeln. Das virtuelle Datenschutzbüro dient als Plattform für vielfältige Aktivitäten.

Dies bedeutet:

• eine ständige und offen zugängliche Auseinandersetzung mit unterschiedlichen Interessenslagen, insbesondere mit Personen und Stellen außerhalb der engeren Datenschutzszene zu führen,

• Denkanstöße zu geben für die Systemgestaltung, insbesondere durch das Fördern und Propagieren von Privacy-Enhancing Technologies, und

• Bürgerinnen und Bürgern Hilfen zum Selbstdatenschutz zu geben.

Zu diesem Zweck sollen sich die Datenschutzbeauftragten der diversen Kommunikationstechniken des Internet bedienen. Wir haben es übernommen, die konzeptionellen und technischen Dienstleistungen zu erbringen und in einem so genannten Privacy-Backbone zur Verfügung zu stellen.

Ein virtuelles Datenschutzbüro in einem globalen Netz macht nur Sinn, wenn sich möglichst viele Datenschutzinstitutionen beteiligen. Bis zum Redaktionsschluss dieses Berichtes haben der Bundesbeauftragte für den Datenschutz, die meisten Landesbeauftragten für den Datenschutz (Bayern, Berlin, Brandenburg, Bremen, Hamburg, Hessen, Mecklenburg-Vorpommern, Niedersachsen, Nordrhein-Westfalen, Rheinland-Pfalz und Saarland), der Datenschutzbeauftragte der Niederlande und einige Schweizer Datenschutzbeauftragte unter Führung des Kantons Zürich ihre Absicht zur Kooperation im virtuellen Datenschutzbüro erklärt.

Nach einer Phase der organisatorischen und technischen Konzeption sollen im Laufe des Jahres 2000 die ersten Module des virtuellen Datenschutzbüros realisiert werden, wobei ein hohes Maß an Datenschutz und Datensicherheit technisch eingebaut sein soll. Den Anfang wird der Aufbau eines E-Mail-basierten Kommunikationsforums der beteiligten Datenschutzinstitutionen machen. Anschließend soll der Schritt in die Öffentlichkeit folgen, sodass neben den Datenschutzmitarbeitern auch externe Fachleute und Bürgerinnen und Bürger miteinander über Datenschutzfragen diskutieren können, insbesondere mithilfe von thematischen Mailverteilern. Daneben sollen Antworten auf häufig gestellte Fragen (Frequently Asked Questions) oder etwa ein Datenschutz-Online-Magazin über ein gemeinsames Webangebot zugänglich gemacht werden. Der offizielle Startschuss für das virtuelle Datenschutzbüro ist anlässlich der Sommerakademie im August 2000 geplant.