Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

8

Recht und Technik der neuen Medien

8.1

Mobilfunkprovider werden zu Außenstellen der Sicherheitsbehörden

Beim Kauf von Handys mit Prepaid-Karten müssen die Kunden ihren Personalausweis von Mobilfunkprovidern kopieren lassen. Dies dient ausschließlich dem Interesse der Strafverfolgungsbehörden, die in der Lage sein wollen, jeden Benutzer eines mobilen Telefons abzuhören. Das Verwaltungsgericht Köln hat diese Praxis nun für rechtswidrig erklärt.

Wer ein "normales" Handy erwirbt, wird vom Mobilfunkprovider aufgefordert, seine persönlichen Daten zu offenbaren. Dies ist nachvollziehbar, da es um ein Dauerschuldverhältnis geht, bei dem der Anbieter in Vorleistung tritt. Er ermöglicht dem Kunden Telefonate, die einen erheblichen Gegenwert haben können, und rechnet diese erst am Ende des Monats ab. Im Endeffekt wird dem Kunden damit ein nicht unerheblicher Kreditrahmen eröffnet.

Allerdings stößt es auf das Unverständnis der Kunden, dass die Identifizierung durch Vorlage des Ausweises auch dann gefordert wird, wenn es um den Erwerb eines Handys mit Prepaid-Karte geht. Dem Vernehmen nach werden inzwischen mehr Handys mit Prepaid-Karte gekauft als andere. In diesem Fall ist die Sachlage genau umgekehrt. Durch den Erwerb der Karte tritt der Kunde in Vorleistung. Er bezahlt zunächst und kann die Dienste des Anbieters danach nur bis zu dem entrichteten Betrag in Anspruch nehmen. Wozu also dient in diesen Fällen die genaue Identifizierung der Kunden?

Diese erfolgt jedenfalls nicht im Interesse der Telekommunikationsunternehmen. Sie würden es vielmehr vorziehen, ihre vorbezahlten Produkte z. B. im Warenhausregal oder an der Tankstelle ohne weitere Formalitäten anbieten zu können. Ein solches kundenfreundliches Vorgehen ist ihnen durch so genannte "Leitlinien" verwehrt, die die Regulierungsbehörde für Telekommunikation und Post (RegTP) herausgegeben hat.

Die RegTP ist der Auffassung, dass sich die Verpflichtung, die Identitätsdaten auch beim Verkauf von Prepaid-Produkten zu erheben, aus dem Telekommunikationsgesetz (TKG) ergibt. Danach haben die Anbieter die Rufnummern sowie Namen und Anschrift in eine so genannte Kundendatei aufzunehmen. Diese Datei muss der Regulierungsbehörde in elektronischer Form so zur Verfügung stehen, dass sie von ihr automatisiert abgefragt werden kann, ohne dass diese Abfragen dem jeweiligen Unternehmen zur Kenntnis kommen (vgl. 19. TB, Tz. 7.3.1). Dieses Verfahren soll den Staatsanwaltschaften und der Polizei, aber auch den Geheimdiensten über die Regulierungsbehörde einen Online-Zugriff auf sämtliche Kundendateien ermöglichen. Angeblich wird dies benötigt, um zu ermitteln, unter welcher Rufnummer eine bestimmte Person in den Telekommunikationsnetzen agiert.

Da Erwerber und Nutzer von Handys häufig nicht identisch sind, kann man hier aber Zweifel am Sinn der Maßnahme haben. Es ist umstritten, wie weit die Pflicht zur Führung von Kundendateien geht. Klar ist, dass in diese Kundendateien solche Daten aufzunehmen sind, die ohnehin aus Gründen der betrieblichen Abwicklung bei den Telekommunikationsunternehmen gespeichert werden.

Mehrere Provider haben deshalb Klage erhoben. Das Verwaltungsgericht Köln entschied, dass § 90 TKG keine ausreichende Rechtsgrundlage für eine so weitgehende Verarbeitung personenbezogener Daten ist. Die Vorschrift müsse im Lichte ihrer Entstehungsgeschichte so gelesen werden, dass sie lediglich die Daten erfasst, die die Provider ohnehin aufgrund ihrer betrieblichen Erfordernisse bereits erhoben und gespeichert haben. Eine extensivere Auslegung der Vorschrift scheide aus, da die Grundrechte der Telekommunikationskunden tangiert würden. Auch das Grundrecht der Provider auf freie Berufsausübung werde bei dieser Auslegung eingeschränkt, da sie aufgrund der Vorgaben der Regulierungsbehörde gehindert seien, Prepaid-Karten in einem kundenfreundlicheren Verfahren anzubieten. Die Regulierungsbehörde hat das Oberverwaltungsgericht Münster als Berufungsinstanz angerufen. Da die Entscheidung keine aufschiebende Wirkung hat, bleiben die Leitlinien der Regulierungsbehörde zunächst in Kraft.

8.2

Schleswig-Holstein im Internet

Das Land hat sich entschieden, seine Internet-Präsentation unter der Adresse www.schleswig-holstein.de nicht selbst zu organisieren, sondern sich dafür einer privaten Firma zu bedienen. Inzwischen scheint es dort mit dem Datenschutz zu klappen.

Die Firma S-Netline, ein Unternehmen der Sparkassenorganisation, hat vom Land den Auftrag erhalten, die Präsentation des Landes Schleswig-Holstein unter der Internet-Adresse "www.schleswig-holstein.de" zusammenzufassen. Das Land stellt den attraktiven Domain-Namen zur Verfügung. Die Firma S-Netline hat sich verpflichtet, die Inhalte, die öffentliche Stellen anliefern, aufzubereiten und der Öffentlichkeit in einem so genannten "Portal" zu präsentieren. Eine ähnliche Vereinbarung gibt es zwischen dem Unternehmen und Hamburg.

Es sollen nicht nur die Inhalte der öffentlichen Verwaltung, sondern auch die Privater, vor allem regionaler und lokaler Kaufleute, präsentiert werden. So findet man unter "schleswig-holstein.de" bereits erste Online-Shops, weitere sollen folgen. Das System soll weiter ausgebaut werden. Gedacht ist z. B. an ein so genanntes Lebenslagenkonzept, das es dem Bürger ermöglichen soll, zu bestimmten Ereignissen (z. B. Hochzeit) einen schnellen Überblick über die erforderlichen Behördengänge, die benötigten Unterlagen und die passenden Waren- und Dienstleistungsangebote der örtlichen Unternehmen zu gewinnen. Eine weitere Entwicklung ist das Bürgerinformationssystem "Dibis", das dazu dienen soll, die Nutzer mit wenigen Klicks darüber in Kenntnis zu setzen, welche Unterlagen sie für bestimmte Behördengänge benötigen, wo sie diese absolvieren können, welche Öffnungszeiten die Ämter haben usw.

Wie bei allen Angeboten im WWW werden auch bei "schleswig-holstein.de" IP-Nummern verarbeitet, die unter bestimmten Umständen personenbezogen sein können (vgl. 22. TB, Tz. 7.1.2). Im Einzelfall können noch weitere personenbezogene Daten anfallen. So ist es z. B. möglich, eine E-Mail-Adresse nach dem Muster Bürgername@schleswig-holstein.de zu erwerben. Dafür müssen bestimm-te personenbezogene Angaben gemacht werden. Auch für die Nutzung der Online-Shops und des Bürgerinformationssystems sind personenbezogene Daten erforderlich.

8.3

Fotoalbum ins Internet?

Ein Internet-Auftritt muss farbig sein mit möglichst vielen bunten Bildern. Das glauben viele Behörden und stellen die verschiedensten Fotos ins Netz. Doch Vorsicht: Wer Abbildungen von Personen veröffentlicht, benötigt im Regelfall deren Einwilligung. Wird dies nicht beachtet, drohen sogar strafrechtliche Konsequenzen.

Viele öffentliche Stelle treten an uns heran und bitten um Beratung bei der Gestaltung ihrer Homepage, weil sie Fotos von Mitarbeitern, Kunden oder sonstigen Personen integrieren wollen (vgl. 22. TB, Tz. 7.1.3). Wir weisen in diesen Fällen darauf hin, dass nach § 22 Kunsturheberrechtsgesetz Bildnisse nur mit der Einwilligung des Abgebildeten verbreitet oder öffentlich zur Schau gestellt werden dürfen. Es genügt nicht, die Möglichkeit zum Widerspruch zu gewähren, vielmehr muss vor der Ver-öffentlichung eine eindeutige zustimmende Erklärung der Betroffenen vorliegen. Die Einwilligung muss sich auf die näheren Umstände der Veröffent-lichung beziehen (z. B. welche Bilder des Betroffenen auf welcher Seite der Homepage). Bei Minderjährigen haben die Erziehungsberechtigten die Befugnis, die Einwilligung abzugeben. Um im Nachhinein Missverständnisse zu vermeiden, sollte die Einwilligung schriftlich erteilt werden.

Ausnahmen von dem Erfordernis der Einwilligung bestehen nur dann, wenn die Abgebildeten Personen der Zeitgeschichte sind oder es sich um künstlerische Bildnisse handelt. Ohne Einwilligung können auch solche Bildnisse veröffentlicht werden, die Versammlungen, Aufzüge oder ähnliche Vorgänge darstellen, sofern es sich um eine größere Menschenmenge handelt. Entscheidend ist, ob der Einzelne als Bestandteil der Menge in dieser optisch untergeht. Dies ist etwa der Fall bei dem Bild eines belebten Großstadtplatzes mit einer unübersehbaren Menge von Fußgängern. Auch wenn ein einzelner Passant hier noch erkennbar sein mag, geht er doch in der Menge der Menschen unter. Das OLG München hat entschieden, dass bei der Abbildung einer zufällig zusammengekommenen, sonnenbadenden Gruppe von sieben Personen keine ausreichend große Menge vorlag.

Fehlt es an der Einwilligung, und werden die Bilder gleichwohl veröffentlicht, so liegt nicht nur ein Rechtsverstoß vor, der vor einem Zivilgericht mit einer Unterlassungsklage bekämpft werden kann. Das Kunsturheberrechtsgesetz erklärt den Verstoß gegen diese Vorschriften für strafbar; es droht eine Freiheitsstrafe von bis zu einem Jahr oder eine Geldstrafe.

Das Gesagte gilt auch, wenn eine Webcam so installiert wird, dass natürliche Personen (z. B. Passanten) erkannt werden können, ohne dass sie nur Bestandteile der Menge sind und in dieser untergehen. Besonders zu beachten ist dabei, dass Webcams häufig Weitwinkelobjektive verwenden. Weiter entfernte Personen sind zwar kaum noch identifizierbar; die unmittelbar vor dem Objektiv Stehenden werden jedoch in der Regel gut erkannt.

8.4

Berufliche Internet-Nutzung -

Der Arbeitgeber als Provider oder als Big Brother?

Immer mehr Beschäftigte haben am Arbeitsplatz Zugang zum Internet. Nicht immer surfen sie nur Seiten an, die im Interesse ihres Arbeitgebers liegen. Wie viel Kontrolle ist notwendig und wie viel ist erlaubt? Darf der E-Mail-Verkehr vollständig überwacht werden?

Leider wird mit der Internet-Nutzung durch Mitarbeiter oft begonnen, bevor die entsprechenden Regelungen festgelegt sind. Dann kommt es häufig zu Problemen, wenn die Geschäfts- oder Behördenleitung im Nachhinein die Nutzung des World Wide Web durch die Mitarbeiter überprüfen will. Denn es liegen zwar Protokolle über die Nutzung vor, diese wurden jedoch lediglich für Zwecke der Datensicherheit erstellt, nicht für Verhaltens- und Leistungskontrollen (vgl. 21. TB, Tz. 7.1.2). Eine nachträgliche Zweckänderung dieser Daten ist sowohl nach dem LDSG als auch nach dem BDSG ausgeschlossen.

Ein weiterer Problembereich bezieht sich auf die Kontrollbefugnisse des Arbeitgebers im Bereich der E-Mail-Kommunikation der Mitarbeiter. Ist den Mitarbeitern die private Kommunikation über die dienstliche Anlage gestattet, so gilt für diese privaten E-Mails, unabhängig davon, ob sie ankommen oder abgesendet werden, das Fernmeldegeheimnis. Das heißt, dass hier eine inhaltliche Kontrolle durch den Vorgesetzten nur in ganz wenigen, vom Telekommunikationsgesetz abschließend definierten Ausnahmefällen zulässig ist (vgl. 21. TB, Tz. 7.1.2; 22. TB, Tz. 7.1.4). Doch selbst bei rein dienstlicher Kommunikation bestehen bei vielen Experten Bedenken, ob eine umfassende und lückenlose Inhaltskontrolle der E-Mail-Kommunikation zulässig ist oder einen übermäßigen Eingriff in die Persönlichkeitsrechte der Beschäftigten darstellt. In diese Richtung deutet ein Urteil des Bundesverfassungsgerichts, das sich allerdings auf Sprachtelefonie bezog. Das Gericht sah die Überwachung dienstlicher Telefonate als unzulässig an, da in diese erfahrungsgemäß ein größerer Anteil der Arbeitnehmerpersönlichkeit einfließt. Entscheidend ist demnach, ob E-Mail-Verkehr eher mit herkömmlichen dienstlichen Schreiben oder mit dienstlichen Telefonaten vergleichbar ist. Im ersten Fall dürften keine Bedenken gegen die vollständige Offenbarung der Schreiben bestehen; im zweiten Fall wäre dies durchaus der Fall.

Nach unserer Beobachtung lassen sich zwei Typen von dienstlichen E-Mails unterscheiden. Zum einen wird das Kommunikationsmittel E-Mail als Ersatz für einen förmlichen Brief verwendet. In diesen Fällen kann auch für E-Mails nichts anderes als für Briefe gelten, d. h. der Vorgesetzte hat selbstverständlich das Recht, die für die Organisation relevante Kommunikation einzusehen. Der zweite Typ ist eine eher informelle Kommunikation. Hier wird häufig statt des Mediums Telefon das Medium E-Mail gewählt, da die asynchrone Kommunikation Vorteile insbesondere dann bietet, wenn der Kommunikationspartner nicht sofort erreicht werden kann. Zu diesem Typus dürften informelle Absprachen über Termine oder sonstige Arbeitsverabredungen und vergleichbare Kommunikation zählen. Sie sind häufig weniger förmlich; das bedeutet auch, dass das Persönlichkeitsrecht der Arbeitnehmer durch eine Kontrolle hier stärker beeinträchtigt wäre.

Als Lösung bietet es sich z. B. an, für die dienstliche Kommunikation der Mitarbeiter zwei unterschiedliche E-Mail-Accounts einzurichten. Während über den einen die formale Kommunikation abgewickelt wird, die praktisch den herkömmlichen Schriftverkehr ersetzt, dient der zweite Account der eher informellen Kommunikation. Dem wird durch unterschiedliche Kontrollbefugnisse und Vertretungsregelungen Rechnung getragen. Für den dienstlichen Account besteht eine vollständige Kontrolle der Vorgesetzten; weiterhin muss dafür gesorgt werden, dass eingehende Mails im Abwesenheitsfall automatisch an andere Mitarbeiter weitergeleitet werden, damit keine relevanten Vorgänge über längere Zeit liegen bleiben. Anders beim zweiten Account. Hier könnten Parallelen zum Telefon gezogen werden. Die Kontrollintensität könnte reduziert werden. So ließe sich z. B. in einer Betriebsvereinbarung festhalten, dass lediglich eine stichprobenartige Kontrolle und darüber hinaus eventuell eine auf konkrete Anlässe bezogene Nachschau stattfindet. Außerdem ist für diesen Account eine Vertretungsregelung verzichtbar, wenn sichergestellt wird, dass unmittelbar dienstlich relevante Mails über den ersten Account eingehen. Dies kann z. B. durch entsprechende Hinweise im Abspann oder durch Voreinstellungen bei der "Reply-to-Adresse" im Mailprogramm erfolgen.

Die Bundesregierung plant den Erlass eines Arbeitnehmerdatenschutzgesetzes, das auch den Bereich "dienstliche Nutzung des Internets und verwandte datenschutzrechtliche Probleme" behandeln soll. Dabei wird darauf zu achten sein, dass es zu einem ausgewogenen Kompromiss zwischen den Interessen der Arbeitgeberseite und dem Persönlichkeitsrecht der Arbeitnehmer kommt.

8.5

Neue Telekommunikations-Datenschutzverordnung verdoppelt Speicherfrist

Die Ende des Jahres 2000 verabschiedete Telekommunikations-Datenschutzverordnung (TDSV) bringt neben datenschutzrechtlichen Verbesserungen auch eine deutliche Ausweitung der Speicherfristen.

Im Dezember 2000 beschloss die Bundesregierung die endgültige Fassung der TDSV. Im Vergleich zur vorherigen enthält sie einige Verbesserungen für den Datenschutz. Bedenklich ist jedoch die neue Regelung zur Speicherung von Verbindungsdaten. Entgegen der Forderung von Datenschutzbeauftragten des Bundes und der Länder sowie abweichend von den Empfehlungen des Wirtschaftsausschusses des Bundesrates können nämlich Verbindungsdaten nun statt bisher 80 Tage nach Rechnungsversand sechs Monate lang vorgehalten werden. Bezeichnenderweise wurde die längere Speicherungsdauer nicht von den Telekommunikationsunternehmen, sondern von den Sicherheitsbehörden gefordert. Damit wird die Menge der gespeicherten Daten deutlich vergrößert, was auf eine verfassungsrechtlich angreifbare Vorratsdatenspeicherung hinausläuft. Dabei ist die Eignung der Regelung für die anvisierten Zwecke der Strafverfolgung und der Geheimdienste fraglich. Kundinnen und Kunden können im Einzelfall eine kürzere Speicherungsdauer vertraglich vereinbaren. Vielen ist diese Möglichkeit gar nicht bekannt, während Kunden mit unlauteren Absichten sie sich gezielt zu Nutze machen können.

Die Verlängerung der Speicherfristen reiht sich ein in die seit einiger Zeit zu beobachtende Tendenz, die tatsächlichen und rechtlichen Möglichkeiten bei der Überwachung der Telekommunikation auszuweiten (vgl. 21. TB, Tz. 7.7; 22. TB, Tz. 7.2 sowie Tz. 11.2). Es ist zu hoffen, dass das Fernmeldegeheimnis als wichtiges Grundrecht in der Informationsgesellschaft in Zukunft nicht weiter beeinträchtigt wird.

8.6

P3P - Neuer Standard für Online-Privacy

Immer mehr Surfer wollen wissen, welche Daten die Webserver über sie beim Internet-Surfen speichern. Neuerdings geben viele Anbieter eine Datenschutzerklärung (Privacy Policy) auf ihren Webseiten ab, in der sie beschreiben, welche Daten ihrer Kunden sie zu welchen Zwecken speichern. P3P könnte den Surfern das Verständnis von Privacy Policies erleichtern.

In den USA, wo es (noch) keine grundlegenden Datenschutzgesetze gibt, gehören Datenschutzerklärungen zur Tagesordnung. Aber auch in Deutschland klären immer mehr Anbieter ihre Kunden über ihre Datenspeicherungen und -nutzungen auf. Das virtuelle Datenschutzbüro nimmt insoweit selbstverständlich eine Vorreiterrolle ein (vgl. Tz. 9.1). Seine datenschutzgerechte Privacy Policy betont ausdrücklich, dass keine personenbezogenen Nutzerdaten gespeichert werden.

Ziel muss es aber sein, dass man sich nicht nur auf Versprechungen in solchen Datenschutzerklärungen verlassen können muss, sondern dass bereits technisch sichergestellt ist, dass tatsächlich nur die genannten Daten zum Anbieter übertragen werden. Ein erster Ansatz besteht darin, mit möglichst wenigen Datenspuren auf die Webseiten zu kommen (wie beim Anonymitätsprojekt, vgl. Tz. 9.2). Doch was ist, wenn man doch Daten hergeben muss oder will, z. B. beim Online-Einkauf? Ein Teil dessen, was in Privacy Policies steht, kann technisch implementiert oder zumindest dem Nutzer so angezeigt werden, dass er nicht in jedem Einzelfall die Datenschutzerklärungen eines Anbieters durcharbeiten muss. Der neue weltweite Standard dafür heißt P3P - Platform for Privacy Preferences Project (vgl. 22. TB, Tz. 9.3, und 21. TB, Tz. 7.1.4).

Damit ist es möglich, sich anzeigen zu lassen, welche Kundendaten der Anbieter zu welchem Zweck benötigt. Das könnte beim Online-Einkauf so aussehen: "Der Anbieter X benötigt von Ihnen den Namen und die Lieferadresse, um Ihnen die Ware zustellen zu können. Ihre personenbezogenen Informationen werden nur zur Abwicklung dieser Transaktion verwendet und keinem Dritten übermittelt. Bitte geben Sie die Daten in das Formular ein." Sofern der Kunde damit einverstanden ist, bestätigt er und weist per Mausklick seinen Computer an, die erforderlichen Daten bereitzustellen.

P3P als universeller technischer Standard erlaubt es, weltweit im ganzen Internet Datenschutz-Policies für die Nutzer transparent zu machen, sofern auch die Anbieter P3P verwenden. Die Nutzer haben damit eine größere Kontrolle darüber, was mit ihren persönlichen Daten geschieht. P3P kann sich den verschiedenen lokalen Bedingungen anpassen und damit einen Wettbewerb der Anbieter um den besten Datenschutz ermöglichen.

Der internationale Standardisierungsprozess der ersten Version von P3P, der vom World Wide Web Consortium (W3C) betrieben wird, steht kurz vor dem Abschluss. An der Standardisierung beteiligt sich neben Firmen und Organisationen auch das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein. Im Rahmen der Sommerakademie 2000 wurde P3P durch das W3C erstmals der deutschen Öffentlichkeit vorgestellt. In Kürze werden die ersten Software-Tools für P3P allgemein verfügbar sein.

P3P löst nicht alle Datenschutzprobleme im Internet, sondern stellt lediglich einen technischen Standard zur Transparenz der Datenverarbeitung dar. Allerdings kann technisch nicht garantiert werden, dass die Anbieter die erhobenen Daten tatsächlich nur zu den angegebenen Zwecken verwenden. Unverzichtbar bleiben auch in Zukunft eine ergänzende, wirksame Datenschutzkontrolle und präzise Rechtsnormen zum Schutz der Internet-Nutzerinnen und -Nutzer. Außerdem hängt es massiv von der Gestaltung der P3P-Software ab, welche Datenschutzfunktionalität integriert ist und wie datenschutzgerecht die Standardeinstellungen sind. Zum Beispiel ist es wichtig, dass sich die Software merkt, welche Informationen man unter welchen Bedingungen herausgegeben hat. Dies wäre ein wesentlicher Schritt in Richtung informationelle Selbstbestimmung, denn wer hat heutzutage schon den Überblick darüber, wo er welche Daten gelassen hat? Sobald der Standardisierungsprozess abgeschlossen ist, ist zu erwarten, dass P3P von den Marktführern in den gängigen Browsern integriert wird.

8.7

Bringt Open Source mehr Datenschutz?

Mit der Sicherheit heutiger Software steht es nicht zum Besten. Derzeit wird diskutiert, ob Open Source eine bessere Softwarequalität und angemessenere Datenschutz- und Datensicherheitsfunktionalität bringt.

Wie bereits im letzten Tätigkeitsbericht vorgestellt, bedeutet Open Source eine erhöhte Transparenz und die Möglichkeit der Prüfung und Revision durch unabhängige Experten (vgl. 22. TB, Tz. 7.5). Dadurch kann die Vertrauenswürdigkeit der Software gesteigert werden. Wenn jeder in den Quellcode der Programme Einblick nehmen kann, wird kaum ein Programmierer absichtlich Hintertüren einbauen. Die Qualität von Open-Source-Software ist damit aber nicht automatisch besser. Auch dort werden - genauso wie bei anderer Software - des Öfteren Fehler entdeckt, die möglicherweise schon jahrelang Sicherheitsrisiken verursacht haben. Dies liegt zum einen daran, dass heutzutage häufig der Code bei Software so komplex ist, dass er kaum mehr zu durchschauen ist, geschweige denn die möglichen Wechselwirkungen mit anderen Systemkomponenten. Zum anderen kann es recht zufällig sein, ob überhaupt und wie gründlich die Software evaluiert wird.

Ein Unterschied zum herkömmlichen Closed-Source-Modell liegt darin, dass erkannte Schwachstellen in Open-Source-Software meist wesentlich schneller behoben werden: Es ist nicht untypisch, dass der "Patch" ("Flicken", Fehlerkorrektur) gleich zusammen mit der Meldung des Fehlers verteilt wird. Auch können solche Fehler oft selbst zeitnah behoben werden, sofern das nötige Know-how vorhanden ist. Aus diesem Grund empfiehlt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Einsatz von Open-Source-Produkten.

Aus Datenschutzsicht bestehen generell folgende Erwartungen an Software:

• Der Quellcode, aus dem das lauffähige Programm erzeugt wird, muss tatsächlich von vertrauenswürdigen Stellen überprüft (gegebenenfalls zertifiziert) werden.

• Die fertige Software muss bei ihrer Verteilung gegen unerkannte Manipulationen geschützt sein. Daher sollten Quellcode und lauffähiges Programm mit einer digitalen Signatur versiegelt sein.

• Betreuung, Fehlerbearbeitung und Weiterentwicklung müssen sichergestellt sein.

Die zweite Anforderung wird traditionell in den meisten Open-Source-Projekten erfüllt. Für den ersten und dritten Punkt treten im Open-Source-Bereich mittlerweile meist herstellerunabhängige Dienstleister auf, die diesen Service anbieten. Wir sehen in Open Source eine interessante Chance auch für die Entwicklung und Verbreitung von Privacy Enhancing Technologies, bei denen die Vertrauenswürdigkeit eine besonders wichtige Rolle spielt. Daher setzen wir in unseren Projekten "Virtuelles Datenschutzbüro" (vgl. Tz. 9.1) und "WAU - Webzugriff anonym und unbeobachtbar" sowie AN.ON (vgl. Tz. 9.2) Open-Source-Produkte ein. Die dort entwickelten Ergebnisse wollen wir ebenfalls als Open Source der Internet-Öffentlichkeit zur Verfügung stellen.

Inwieweit man bestehende Systeme auf Open-Source-Produkte umstellen sollte, hängt von vielen Faktoren ab (siehe z. B. die Open-Source-Broschüre des Bundeswirtschaftsministeriums). Egal ob Open Source oder nicht: Ohne angemessenes IT-Know-how bei Nutzern und Administratoren ist der Einsatz von Informationstechnik ein Risiko.

8.8

Von der "digitalen" zur "elektronischen" Signatur

Der europäische Gesetzgeber hat grünes Licht für die Einführung interoperabler digitaler Signaturen gegeben. Nun müssen die europäischen Vorgaben in das deutsche Recht umgesetzt werden.

Grundansatz der europäischen Signaturrichtlinie (vgl. 21. TB, Tz. 7.5 und Tz. 8) ist es, die Bereitstellung von Zertifizierungsdiensten nicht von einer vorherigen Genehmigung abhängig zu machen. Auf Betreiben der deutschen Seite findet sich jedoch ein Passus, wonach das nationale Recht Verfahren der "freiwilligen Akkreditierung" vorsehen kann, bei denen Anbieter sich freiwillig einer technisch-organisatorischen Prüfung unterziehen. Neben der "einfachen elektronischen Signatur" sieht die Richtlinie eine so genannte "fortgeschrittene elektronische Signatur" vor. Diese muss ausschließlich dem Unterzeichner, einer natürlichen Person, zugeordnet sein, dessen Identifizierung ermöglichen, mit Mitteln erstellt sein, die der Unterzeichner unter seiner alleinigen Kontrolle halten kann (gemeint sind z. B. Chipkarten), und in einer Weise mit den zu signierenden Daten verknüpft sein, dass eine nachträgliche Veränderung der Daten erkannt werden kann.

Diese fortgeschrittene elektronische Signatur ist nach den Vorgaben der Richtlinie dann der Schriftform gleichzustellen, wenn sie auf einem qualifizierten Zertifikat beruht und von einer sicheren Signaturerstellungseinheit erstellt worden ist. Wann Signaturerstellungseinheiten als sicher anzusehen sind, regelt die Richtlinie in einem Anhang. Der Inhalt eines qualifizierten Zertifikats entspricht etwa dem eines Zertifikats nach dem deutschen Signaturgesetz von 1997. Weitere Voraussetzung für die Erstellung eines qualifizierten Zertifikats ist, dass der Zertifizierungsdiensteanbieter eine Reihe technischer und rechtlicher Anforderungen in Bezug auf seine Zuverlässigkeit und den Einsatz bestimmter Technologien erfüllt. Im Ergebnis entspricht das Maß an technischer Sicherheit dem, was bereits in der ersten Fassung des deutschen Signaturgesetzes gefordert wurde. Die Richtlinie verlangt von den Mitgliedstaaten auch, dass durch ein Kontrollsystem die Einhaltung dieser Anforderungen bei den Anbietern überwacht werden muss, deren Zertifikate zur Erzeugung "fortgeschrittener elektronischer Signaturen" verwendet werden können.

Wegen der von der Richtlinie geforderten grundsätzlichen Zulassungsfreiheit muss die Einhaltung der Vorgaben nicht geprüft werden, bevor der Anbieter seinen Betrieb aufnimmt. Damit enthält die Richtlinie ein Element der Unsicherheit: Signaturen müssen der Schriftform gleichgestellt werden, ohne dass vorab tatsächlich geprüft wurde, ob die zur Erzeugung der Schlüssel verwendeten Verfahren und technischen Komponenten hinreichend sicher sind. Zum Ausgleich für dieses Risiko ordnet die Richtlinie eine gesetzliche Haftung der Zertifizierungsdiensteanbieter gegenüber Dritten an, die auf ein Zertifikat dieses Anbieters vertraut haben. Zur Abdeckung dieses Risikos haben die Anbieter entsprechende Haftpflichtversicherungen abzuschließen.

Das novellierte deutsche Signaturgesetz berücksichtigt die Vorgaben der Richtlinie. Es spricht nicht mehr von digitalen, sondern von elektronischen Signaturen. Den Anforderungen der EU zur Zulassungsfreiheit kommt das Gesetz dadurch nach, dass es lediglich vorschreibt, der zuständigen Behörde die Aufnahme des Betriebes eines Zertifizierungsdienstes anzuzeigen. Mit der Anzeige muss dargelegt werden, dass die materiellen Anforderungen an Fachkunde, Zuverlässigkeit und technische Sicherheit eingehalten werden. Die Regulierungsbehörde nimmt die Aufsicht über die Anbieter wahr und kann mit unterschiedlichen Maßnahmen für die Einhaltung der Vorgaben sorgen.

Das deutsche Recht bietet darüber hinaus aber die Möglichkeit einer freiwilligen Akkreditierung des Anbieters. In diesen Fällen wird vor der Aufnahme des Betriebes nachgeprüft, ob der Anbieter die hohen technischen Sicherheitsstandards tatsächlich einhält. Ist dies der Fall, kann er mit der Akkreditierung als dem Nachweis für umfassend geprüfte technische und administrative Sicherheit werben. Nur für akkreditierte Anbieter stellt die Regulierungsbehörde als Wurzelinstanz die benötigten Zertifikate aus, mit denen die Anbieter die an die Kunden ausgegebenen Zertifikate signieren. Insoweit wird auf der Basis der freiwilligen Akkreditierung das Verfahren beibehalten, das vom bisher geltenden Signaturgesetz vorgeschrieben war. Die Bundesregierung geht davon aus, dass sich das Vertrauen der Kunden auf die akkreditierten Anbieter konzentrieren wird. Damit könnte die durch die Richtlinie aufgezwungene Verfahrensunsicherheit behoben werden.

Zurzeit liegt dem Bundestag ein Gesetzentwurf zur Änderung der Formvorschriften im bürgerlichen Recht vor. Ziel ist eine jedenfalls partielle Gleichstellung der elektronischen Signatur mit der herkömmlichen Schriftform.

Zu den Grundanliegen des Datenschutzes gehört es, personenbezogene Daten vor Verfälschungen und Missbrauch zu schützen. Hier liegt die Stärke elektronischer Signaturen. Sie verhindern, dass Informationen auf dem Weg durch das Datennetz verfälscht werden, und ermöglichen es zu prüfen, ob Nachrichten tatsächlich von der Person stammen, die als Aussteller angegeben ist. So gesehen können elektronische Signaturen ein wichtiges Hilfsmittel zur technischen Absicherung des Rechts auf informationelle Selbstbestimmung sein. Problematisch wäre es allerdings, wenn der Gebrauch elektronischer Signaturen dazu zwingen würde, stets mit voller Identität aufzutreten. Viele Geschäfte könnten genauso gut unter einem Pseudonym abgeschlossen werden, das nur dann aufgedeckt wird, wenn es Probleme mit der Abwicklung oder der Zahlung gibt. Das Signaturgesetz kommt diesem Anliegen entgegen, indem es auch die Ausstellung pseudonymer Signaturen ermöglicht. Auf diesem Wege kann die Verwendung personenbezogener Daten eingeschränkt werden, ohne dass die geschäftliche Sicherheit gefährdet wird. Es steht zu hoffen, dass sich pseudonyme elektronische Signaturen schnell am Markt durchsetzen. Eine wichtige Voraussetzung dafür ist, dass ihre Nutzung ohne Nachteil und diskriminierungsfrei möglich ist.

8.9

Carnivore - Der gierige "Fleischfresser" vom FBI

Das amerikanische Federal Bureau of Investigation (FBI) hat Mitte des letzten Jahres ein neues "Lauschsystem" vorgestellt. Durch dieses System mit dem Namen "Carnivore" (Fleischfresser) soll es möglich sein, einen gezielten "Lauschangriff" auf E-Mail und Datenkommunikation einer bestimmten Person durchzuführen. Auch E-Mails aus Deutschland können betroffen sein.

Das Computersystem Carnivore ermöglicht es, das "Fleisch" aus einer unüberschaubaren Datenmenge herauszufiltern. Berichten zufolge soll das Programm Millionen von E-Mails pro Sekunde untersuchen und abfangen können. Naturgemäß werden dabei auch die E-Mails von Unverdächtigen belauscht.

Es ist allerdings nicht klar, wie Carnivore genau funktioniert. Es ist wahrscheinlich, dass auch deutsche Kunden amerikanischer Provider in Mitleidenschaft gezogen werden. Die amerikanischen Internet-Provider befürchten, dass ihre Datensicherheitsmaßnahmen durch Carnivore beeinträchtigt werden, da das Lauschsystem direkt an das Netzwerk des Providers angeschlossen wird. Kontrollverfahren sind offensichtlich nicht vorgesehen.

Nach Protesten von Bürgerrechtsgruppen und Politikern wurde das FBI im Wege eines Gerichtsverfahrens verpflichtet, Informationen über Carnivore offen zu legen. Zudem wurde auf Anregung des US-Justizministeriums eine Expertengruppe eingesetzt, die die "Schnüffelsoftware" untersuchen soll. Ein erster Bericht dieser Gruppe wurde Ende des Jahres 2000 veröffentlicht und scheint mit heißer Nadel gestrickt worden zu sein. Wesentliche Punkte wie z. B. die Vereinbarkeit der Überwachungsroutinen mit der amerikanischen Verfassung sind nicht untersucht worden. Auch den Sicherheitslücken im Programm ist nicht genauer nachgegangen worden. Die ersten vom FBI veröffentlichten Informationen zu Carnivore lassen den Schluss zu, dass das Schnüffelsystem noch erheblich leistungsfähiger ist als erwartet. Bleibt zu hoffen, dass die amerikanische Öffentlichkeit weiterhin Druck gegen das unkontrollierte Belauschen ihrer elektronischen Kommunikation ausübt. Davon würde dann auch der deutsche E-Mail-Verkehr in die USA profitieren.