Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

8

Recht und Technik der neuen Medien

8.1

E-Government

Immer mehr Verwaltungsbehörden wollen sich auch im Internet für die Bürger öffnen. So nützlich die Online-Präsenz der Verwaltung sein kann, sie darf nicht dazu führen, dass Datenschutzstandards abgebaut oder Bürger zum Einsatz von IT-Verfahren genötigt werden, die sie nicht beherrschen können.

Im privaten Sektor hatten Schlagworte wie ”E-Commerce”, ”E-Business”, ”E­Banking” oder sogar ”E-Culture” bis vor kurzem einen magischen Klang. Das vorgestellte ”E” verhieß glänzende Geschäfte und den Einsatz modernster Techniken. Es überrascht nicht, dass auch die öffentlichen Verwaltungen ihre Dienstleistungen in diesem Glanz positionieren und dazu an den Modernisierungseffekten teilnehmen wollen, die das Internet verspricht (vgl. Tz. 7.1). Obwohl die korrekte Übersetzung von Verwaltung eigentlich ”Administration” wäre, hat sich für diesen Bereich der Begriff ”E-Government” durchgesetzt. Dahinter steht das konkrete Ziel, möglichst viele Dienstleistungen der öffentlichen Verwaltung auch im Internet anzubieten. Auf Bundesebene wurde die ehrgeizige Losung ausgegeben, bis zum Jahr 2005 von 383 Verwaltungsleistungen des Bundes 376 zumindest teilweise online abwickeln zu wollen. Auch im Land Schleswig-Holstein gibt es auf Landesebene und auf kommunaler Ebene entsprechende Vorstellungen.

Schriftform und elektronische Signatur

Allerdings gilt es für die öffentlichen Verwaltungen zusätzliche Hürden zu nehmen, die in dieser Weise für den E-Commerce nicht bestehen. Dazu gehört, dass für eine große Zahl von Verwaltungsleistungen gesetzlich die Schriftform vorgeschrieben ist. Zwar stehen Verfahren der qualifizierten elektronischen Signatur (vgl. 23. TB, Tz. 8.8) zur Verfügung, um die Schriftform zu ersetzen. Dazu bedarf es aber zunächst einer Änderung des Verwaltungsverfahrensrechts, in dem ebenso wie im Zivilrecht (Tz. 14.7) eine weitgehende Gleichstellung der Signaturen zur Schriftform angeordnet werden müsste.

Da die Verwaltungsverfahrensgesetze auf Bundes- und Länderebene (in Schleswig-Holstein das Landesverwaltungsgesetz, LVwG) in den wesentlichen Passagen ähnlich sind, kam es zu einer länderübergreifenden Koordination. Im Sommer des Jahres 2001 stellte das Bundesinnenministerium den Entwurf zur Änderung des Verwaltungsverfahrensgesetzes und zur Einführung eines elektronischen Verwaltungsaktes im Internet zur öffentlichen Diskussion.

Der Gesetzentwurf beinhaltet die Gefahr, dass die Bürger von den Verwaltungen geradezu in informationstechnische Verfahren gedrängt werden könnten, die viele nicht beherrschen. So ist z. B. nicht ausgeschlossen, dass Behörden allein aufgrund der Tatsache, dass ein Bürger eine Anfrage per E-Mail schickt, vermuten dürfen, dass dieser Bürger in der Lage ist, elektronisch signierte Verwaltungsakte zu empfangen und zu verarbeiten. Die daran anschließenden Prozeduren zur Prüfung der Echtheit der Signatur sollen ihm aufgebürdet werden.

Risiken der elektronischen Signatur

Mit der elektronischen Signatur können erhebliche Risiken und Belastungen verbunden sein. Es handelt sich um ein strukturelles Problem, dass die Signaturen mit der Zeit unsicher werden. Es kann damit gerechnet werden, dass die Rechnerkapazitäten in den nächsten Jahren weiter zunehmen. Eine Signatur mit einer Schlüssellänge, die heute noch als sicher gilt, muss in einigen Jahren bereits als unsicher eingestuft werden. Aus diesem Grund ist die Geltung der Signaturschlüsselzertifikate für qualifizierte Signaturen auf höchstens fünf Jahre beschränkt. Wird einem Bürger ein Verwaltungsakt in elektronischer Form mit der elektronischen Signatur der Behörde zugestellt, so stellt sich die Frage, was nach Ablauf der Gültigkeit des Signaturschlüssels der Behörde geschehen soll. Handelt es sich um einen begünstigenden Verwaltungsakt, so wird der Bürger im Zweifel ein Interesse daran haben, dass die Beweiskraft des elektronischen Dokuments auch nach einer längeren Zeit erhalten bleibt. Offen ist z. B., ob die Behörde von sich aus verpflichtet ist, eine neue Signatur anzubringen, ob sie den Verwaltungsakt neu erlassen muss oder ob der Bürger seinerseits Mitwirkungspflichten hat.

In diesem Punkt unterscheidet sich die Situation im öffentlichen Bereich von der im privaten Sektor, wo sich gleichberechtigte Rechtssubjekte gegenüberstehen, die darüber entscheiden können, ob sie an Verfahren wie der elektronischen Signatur teilnehmen und die dann jeweils bestimmte Obliegenheiten zu beachten haben. Staatliche Stellen müssen dagegen auf die Wahrung der Grundrechte ebenso Wert legen wie auf Bindungen aus dem verfassungsmäßigen Rechts- und Sozialstaatsprinzip. Sie dürfen daher die Bürger mit diesen Problemen nicht alleine lassen. Vielmehr muss für die Bürger eine sichere Infrastruktur zur Verfügung stehen, wenn sie am E-Government teilnehmen sollen.

Unsichere IT-Komponenten als Hemmschuh

Kritische Fragen resultieren daraus, dass die meisten IT-Komponenten, die zum Erzeugen und Prüfen elektronischer Signaturen beim Aussteller und Empfänger von elektronisch signierten Dokumenten eingesetzt werden, nur so sicher sind, wie die zugrunde liegende Software der Betriebssysteme. Auf dieses Problem haben Experten aufmerksam gemacht, denen es gelang, die Sicherheitsmechanismen der elektronischen Signatur zu umgehen. Welche weit reichenden Folgen dies haben kann, wird vor allem deutlich im Zusammenhang mit den mittlerweile geschaffenen Beweiserleichterungen im Zivilprozess. Im schlimmsten Fall sieht sich ein Bürger, der auf Betreiben einer Behörde am Signaturverfahren teilnimmt, mit einem elektronischen Dokument konfrontiert, das seine Signatur trägt, die er aber nicht ausgestellt hat. Nur wenn er genau nachweisen kann, dass und wie es Unbefugten gelungen sein kann, durch ”Einbruch” in seinen Rechner seine Signatur zu erzeugen, kann er der Haftung daraus entgehen. Im Hinblick auf diese Gefahren macht die Regulierungsbehörde für Telekommunikation und Post darauf aufmerksam, dass am Verfahren der elektronischen Signatur nur teilnehmen soll, wer über eine sichere IT-Infrastruktur verfügt. Dies trifft auf die allermeisten privaten Anwender in ihrer häuslichen Umgebung aber gerade nicht zu.

Dies und eine Reihe weiterer Kritikpunkte am Entwurf zur Änderung des Verwaltungsverfahrensgesetzes zeigen deutlich, dass es wenig Erfolg versprechend ist, durch einen Federstrich des Gesetzgebers auf einen Schlag von den in den Verwaltungen seit Jahrhunderten praktizierten schriftlichen Formen umsteigen zu müssen auf elektronische Verfahrensweisen, die zum Teil unsicher und in ihrer Funktionalität nicht mit den bisher verwandten Verfahren vergleichbar sind.

Weitergehende Pflichten der öffentlichen Verwaltung

Aber auch dort, wo schon nach geltendem Recht Verwaltungsleistungen ohne Einhaltung der Schriftform erbracht werden können, ist Vorsicht bei der Einführung von Komponenten der elektronischen Verwaltung geboten. So ist z. B. die Beantragung eines Führungszeugnisses nach dem Wortlaut des Bundeszentralregistergesetzes nicht an die Schriftform gebunden. Allerdings haben die zuständigen Meldebehörden sicherzustellen, dass Antragsteller und Person, für die das Führungszeugnis erteilt wird, übereinstimmen. Dies wird sich online selbst bei Verwendung von elektronischen Signaturen nicht bewältigen lassen, da nicht ausgeschlossen ist, dass jemand die Informationen, die zur Benutzung des privaten Schlüssels benötigt werden, an Unbefugte weitergibt. Das Beispiel zeigt, dass öffentliche Stellen weitergehende Verpflichtungen haben als Private, wenn Leistungen über das Netz angeboten werden.

Schließlich muss der Tendenz begegnet werden, dass unter dem Vorwand eines effektiven E-Government datenschutzrechtliche Standards abgebaut werden. So wurden bereits Äußerungen laut, wonach eine effektive Verwaltung der Daten bei den Behörden im so genannten Back-Office durch das Zweckbindungsgebot erschwert bzw. unmöglich gemacht werde. Solche Äußerungen zielen nicht darauf ab, E-Government datenschutzgerecht zu organisieren, sondern stattdessen den Datenschutz in diesem Bereich zurückzuschneiden. Die erheblichen Kosten, die von einigen öffentlichen Stellen, vor allem im kommunalen Bereich, in ihre jeweiligen E­Government-Projekte investiert werden, dürfen nicht dazu führen, dass die Rechte der Bürger schlichtweg vom Tisch gewischt werden.

8.2

Protokollierung der gesamten Internet-Kommunikation?

Manche Politiker wünschen sich, dass jede Bewegung der Nutzer im Internet protokolliert wird, denn alles kann für eine spätere Strafverfolgung relevant sein. Eine derartige Vollprotokollierung würde jedoch zu riesigen Datenbeständen führen und der illegalen Auswertung Tür und Tor öffnen. Sie wäre verfassungswidrig.

Neben den Millionen rechtstreuen Internet-Nutzern gibt es einige Zeitgenossen, die das Internet auf unterschiedliche Weise für verschiedene Deliktsarten benutzen. Neben der in diesem Zusammenhang häufig zitierten Kinderpornografie spielen vor allem Betrugsfälle und Hacker-Angriffe eine Rolle. Ein weiteres Problem besteht darin, dass die Kommunikation in missliebigen Diskussionsforen gestört oder durch technische Eingriffe verhindert wird.

Liegen Straftaten vor, so können sich die Strafverfolgungsbehörden bei ihren Ermittlungen auf die Daten stützen, die auf den Internet-Rechnern über die jeweiligen Vorfälle gespeichert sind. In der Regel stoßen die Ermittler zunächst auf eine IP-Adresse, die mit der konkreten Tat in Verbindung gebracht werden kann. Die meisten Internet-Nutzer verfügen nicht über eine eigene IP-Adresse, sondern sie bekommen jeweils eine für die Dauer der Internet-Nutzung von ihrem Access-Provider zugewiesen. Da die Provider nur über einen begrenzten Pool von IP-Nummern verfügen, werden die Nummern jeweils neu vergeben. Die Ermittlungsbehörden wenden sich daher mit der ihnen bekannten IP-Adresse an den Access-Provider, zu dessen Adresspool die Nummer gehört und bitten um Auskunft darüber, welchem Nutzer diese zum Nutzungszeitraum, der sich in der Regel auch aus dem Log-Protokoll am Server ergibt, zugewiesen war. In der Regel lassen sich auf diese Weise entweder bestimmte angemeldete Nutzer identifzieren, oder es ergeben sich sonstige Anhaltspunkte (wie bei Call-by-Call-Verbindungen Telefonnummern).

Das Teledienstedatenschutzgesetz (TDDSG) und der Mediendienste-Staatsvertrag verlangen von den Providern, dass diese die Nutzungsdaten unmittelbar nach Abschluss des Nutzungsvorgangs löschen, es sei denn, sie sind für Abrechnungszwecke erforderlich. Zu den personenbezogenen Nutzungsdaten gehört nach Auffassung der Datenschutzbeauftragten auch die jeweils verwendete dynamische IP-Nummer. Die Diensteanbieter bzw. Internet-Provider hätten also die Pflicht, derartige Protokolldaten überhaupt nicht entstehen zu lassen bzw. sie in einer Wiese zu führen, die nicht personenbezogen ist. Dafür würde es ausreichen, den letzten der vier Ziffernblöcke in der IP-Adresse zu löschen. Dies gilt sowohl für den Serverbetreiber, der die Zugriffe z. B. auf Webseiten protokolliert, als auch für den Access-Provider, der ein Logfile darüber führt, welchem Nutzer eine IP-Adresse zu einem bestimmten Zeitpunkt zugewiesen war. Zwar wird vor allem der Access-Provider bestimmte Daten zu Abrechnungszwecken nutzen, dafür können z. B. die Zeiten des Login bzw. die abgerufene Datenmenge relevant sein. Jedoch ist kein Abrechnungsmodell bekannt, bei dem es auf die konkret vergebene IP-Adresse ankommt.

Allerdings werden die Vorschriften von den Providern nur in seltenen Fällen beachtet. Häufig werden technische Gründe oder Gründe der internen Auswertung der IP-Nummern dafür genannt, warum sämtliche Daten über die Nutzung durch einzelne IP-Adressen über einen gewissen Zeitraum gespeichert werden. Stoßen die Strafverfolgungsbehörden auf diese Daten, so können sie darauf zugreifen (vgl. Tz. 4.2.5). Der Zugriff auf Verbindungsdaten setzt einen richterlichen Beschluss voraus. Aufgrund der ständigen Verletzung der Datenschutzbestimmungen stehen den Ermittlungsbehörden also umfangreiche Datenpools zur Auswertung zur Verfügung. Jedoch gibt es Initiativen dafür, die Einhaltung der Datenschutzregelungen stärker zu kontrollieren und endlich durchzusetzen. Ein anderer Ansatz besteht darin, den Nutzern Anonymisierungsdienste zur Verfügung zu stellen, mit deren Hilfe sie selbst die Verknüpfung zwischen der abgerufenen Ressource im Netz und den Informationen über den Nutzer vermeiden können (vgl. Tz. 9.2).

Angesichts dieser Entwicklungen ist aus Politik und Polizei der Ruf danach laut geworden, eine rechtliche Verpflichtung für die Internet-Provider einzuführen, wonach diese - im genauen Gegensatz zur gegenwärtigen Rechtslage - die Daten über die Nutzungen nicht zu löschen, sondern gerade zu speichern hätten. Dabei ist an eine Mindestspeicherfrist von sechs Monaten gedacht. Mit einer derartigen Initiative überraschte die Innenministerkonferenz mit einem Beschluss im Jahr 2000.

Die Datenschutzbeauftragten der Länder haben sich mit großer Mehrheit gegen diese Vorhaben gewandt. Die von der Innenministerkonferenz intendierte Speicherpflicht würde zu umfassenden Datensammlungen führen, in denen das Surf- und Nutzungsverhalten jedes Einzelnen gespeichert bliebe und jedenfalls technisch zu Auswertungen und Profilbildungen für alle möglichen Zwecke bereit stünde. Eine derartige Vorratsdatenspeicherung für unterschiedlichste Zwecke im Bereich der Sicherheitsbehörden wäre nach der Rechtsprechung des Bundesverfassungsgerichts unzulässig. Sie würde einen schwerwiegenden Eingriff in Kommunikationsgrundrechte beinhalten, weil die einzelnen Kommunikationsvorgänge für staatliche Zwecke aufgehoben würden und zugleich auch das Missbrauchsrisiko bei den privaten Daten speichernden Stellen steigen würde. Im Übrigen ist zu erwarten, dass die Bürger von ihren Grundrechten auf Zugang zu Informationen und zur freien Meinungsäußerung dann zurückhaltender Gebrauch machen, wenn sie damit rechnen müssen, bei entsprechenden Aktivitäten in eine vorsorgliche Protokollierung zu geraten.

Der Innen- und Rechtsausschuss des Schleswig-Holsteinischen Landtages hatte sich im Januar 2001 nachdrücklich gegen die Einführung einer entsprechenden Speicherverpflichtung für Internet-Serviceprovider ausgesprochen. Der Innenminister hat allerdings mitgeteilt, dass er die Sicht des Ausschusses nicht teilen könne und wies auf die aus polizeilicher und aus seiner Sicht erforderliche Notwendigkeit einer derartigen Datenspeicherung hin.

Im Zuge der Verschärfung der Eingriffsbefugnisse nach den Terroranschlägen in den USA wurden in einem Gesetzentwurf der Länder Bayern und Thüringen ”zur Verbesserung des strafrechtlichen Instrumentariums” konkrete Vorschläge für Speicherpflichten vorgelegt. Die von den beiden Ländern im Bundesrat eingebrachte Vorlage schlug unter Anderem vor, sowohl in das Telekommunikationsgesetz (TKG) als auch in das TDDSG eine Ermächtigung zum Erlass einer Verordnung einzufügen. Dann könnte die Bundesregierung ohne Beteiligung des Parlaments die Details über die Vorratsspeicherung sowohl im Bereich der klassischen Telekommunikation als auch im Internet festlegen. Bisher gibt es in beiden Bereichen nur die Befugnis, Daten, die zu Abrechnungszwecken erforderlich sind, bis zu sechs Monate nach Versendung der Rechnung zu speichern. Das TDDSG enthält genauso wenig eine Speicherpflicht von Verbindungsdaten wie die Telekommunikations-Datenschutzverordnung (TDSV) für den Bereich der herkömmlichen Telekommunikation (zur novellierten TDSV vgl. 23. TB, Tz. 8.5).

Andere Initiativen zur Einführung von Mindestspeicherpflichten finden sich auf internationaler Ebene. So kommt das Thema in der mittlerweile verabschiedeten Cyber-Crime Convention vor (Tz. 4.2.10). In die Diskussion um die Cyber-Crime Convention, die ein Abkommen des Europarates ist, hatte sich schon im Januar 2001 die EU-Kommission eingeschaltet und eigene Vorschläge unter dem Titel ”Schaffung einer sicheren Informationsgesellschaft durch Verbesserung der Sicherheit von Informationsinfrastrukturen und Bekämpfung der Computerkriminalität” vorgelegt. Dort wurde bereits auf die vonseiten der Sicherheitsbehörden dargestellte Notwendigkeit der Speicherung von Verbindungsdaten hingewiesen. Offenbar wird auch innerhalb des Rates der EU darüber diskutiert, bei der Neufassung der Richtlinie über den Datenschutz bei der elektronischen Kommunikation (vgl. Tz. 12.2) Vorschriften über Mindestspeicherpflichten einzufügen oder zumindest die Vorschriften über die sofortige Löschung so aufzuweichen, dass die Richtlinien einer gesetzlichen Mindestspeicherpflicht auf Ebene der mitgliedstaatlichen Gesetze nicht entgegensteht.

8.3

Telekommunikationsüberwachungsverordnung

Im Jahr 2001 hat die Bundesregierung die lange geplante Telekommunikationsüberwachungsverordnung (TKÜV) verabschiedet. Trotz einiger deutlicher Verbesserungen zu früheren Entwürfen bleiben viele Details nach wie vor ungeklärt.

Die TKÜV blickt auf eine lange Entstehungsgeschichte zurück. Ihr Erlass war bereits mit dem Telekommunikationsgesetz (TKG) aus dem Jahr 1996 vorgegeben., wo bestimmt ist, welche Pflichten die Telekommunikationsprovider bei der Mitwirkung an der Überwachung von Telekommunikation treffen. Dabei geht es vor allem darum, welches Equipment die Provider vorhalten müssen - wohlgemerkt auf eigene Kosten. Dies war bisher nur für die klassische Telefonie in der Fernmeldeüberwachungsverordnung geregelt. Dieses Regelungswerk war nicht mehr den modernen technischen Erfordernissen angepasst und ließ sich schon gar nicht auf den Bereich Internet anwenden.

Beim Erlass der TKÜV kam es vor allem zum öffentlichen Disput darüber, wie weit Provider aus dem Bereich Internet zur Mitwirkung und zur vorsorglichen Installation von Überwachungstechnik verpflichtet werden sollten (vgl. 22. TB, Tz. 7.2.2). Die Sicherheitsbehörden waren der Auffassung, dass jedenfalls solche Anbieter, die Dienstleistungen für die Öffentlichkeit erbringen, eine Schnittstelle zur Überwachung einbauen müssten. Dies ist für die herkömmlichen Telekommunikationsunternehmen weder technisch noch wirtschaftlich ein großes Problem, da sie bereits nach geltendem Recht eine Überwachungsschnittstelle zu betreiben haben. Die nun verpflichteten Internet-Provider brachten vor, dass auf sie erhebliche Kosten zukämen, sollten diese Pflichten auch für sie flächendeckend gelten. Viele Unternehmen sahen ihre Existenz gefährdet, da die Kosten, die ihnen für staatliche Überwachungsmaßnahmen aufgebürdet würden, in keinem Verhältnis zu ihren wirtschaftlichen Erträgen stünden. Diese Diskussion führte bereits im Jahr 1998 zu einer Zurücknahme des damals veröffentlichten Entwurfs einer TKÜV.

Dem zweiten Entwurf aus dem Jahr 2001 ging es zunächst nicht viel besser. Er wurde von den Vertretern der Provider heftig kritisiert und musste stark überarbeitet werden. Nach den Anschlägen des 11. September 2001 wurde ein Kompromiss gefunden. Danach soll die Überwachung in erster Linie auf den klassischen Telekommunikationsleitungen stattfinden, die die meisten Nutzer noch benutzen, um die letzte Meile vom Internet zu ihrem häuslichen Anschluss zu überbrücken.

Wo dies dank neuer Techniken wie DSL entfällt, müssen die Provider die Möglichkeit des Abhörens auch auf diesen neuartigen Verbindungen sicherstellen. Sie sind zur Mitwirkung an der Überwachung und zum Einbau entsprechender Gerätschaften verpflichtet. Im Bereich Internet werden außerdem die Diensteanbieter von E-Mail-Kommunikation in die Pflicht genommen. Von diesen Pflichten sind allerdings solche Diensteanbieter befreit, die nicht mehr als tausend Nutzer versorgen oder die die Telekommunikationsdienste im Wesentlichen für eigene Zwecke erbringen, wie dies z. B. bei Betrieben und Behörden der Fall ist, die lediglich ihren Mitarbeitern oder Tochterfirmen die Telekommunikation zu privaten Zwecken erlauben. Für mittelgroße Provider mit nicht mehr als zehntausend Nutzern sind Erleichterungen bei grundsätzlicher Verpflichtung vorgesehen.

Was genau die zum Teil verpflichteten Internet-Dienstleister technisch vorzuhalten haben, ergibt sich aus der TKÜV selbst noch nicht. Dazu wird eine technische Richtlinie erlassen werden, die die Einzelheiten regelt. Erst wenn diese Richtlinie vorliegt, werden die Anbieter Klarheit darüber haben, welche Kosten auf sie zukommen. Für die Nutzer bedeutet die erleichterte Abhörbarkeit, dass die Zugriffe der Strafverfolgungsbehörden auf ihre Kommunikation so wie bereits seit Jahren weiter steigen werden. Dieser Trend wird auf der Grundlage der neuen TKÜV voraussichtlich anhalten.

Kaum war die TKÜV Ende Januar 2002 in Kraft getreten, wurde schon Ergänzungsbedarf für den Bundesnachrichtendienst (BND) angemeldet. Der BND durfte in der Vergangenheit die so genannte strategische Überwachung der Telekommunikation nur bei solchen Auslandsverbindungen betreiben, die über Satellit hergestellt wurden. Nach einer Änderung im G10-Gesetz aus dem Jahr 2001 hat er nun auch die Befugnis, in der leitungsgebundenen Telekommunikation abzuhören. Damit die strategische Überwachung in leitungsgebundenen Übertragungswegen umgesetzt werden kann, müssten zunächst entsprechende Schnittstellen eingerichtet werden. Mit entsprechenden Änderungen der soeben verabschiedeten TKÜV soll dafür die rechtliche Grundlage geschaffen werden. Dabei ist vorgesehen, gerade eine Gruppe von Unternehmen zur Mitwirkung zu verpflichten, die bisher kein Überwachungsequipment vorhalten müssen: Die Betreiber von leitungsgebundenen Übertragungswegen, die der gebündelten Übertragung von Telekommunikation für Telekommunikationsbeziehungen dienen. Nach der vorgesehenen Änderung könnten dann bis zu 20 % der Telekommunikationen auf den zu überwachenden Übertragungswegen in Kopie an den BND weitergeleitet werden. Damit sind auch Internet-Backbones mit Auslandsbezug erfasst. Allerdings sind viele Details noch unklar, z. B. die Frage, wie bei der Überwachung des Internet-Verkehrs sichergestellt werden soll, dass nur Telekommunikationen mit Auslandsbezug überwacht werden.

8.4

P3P

Der Durchbruch für P3P - Platform for Privacy Preferences - scheint da zu sein: Der Standard ist nun ”offiziell”, die Implementationen sind greifbar, und die Diskussion um notwendige oder sinnvolle Erweiterungen ist entbrannt.

Bereits seit mehreren Jahren berichten wir zur Entwicklung von P3P (vgl. 21. TB, Tz. 7.1.4; 22. TB, Tz. 9.3 und 23. TB, Tz. 8.6), und P3P spielte auch auf den letzten beiden Sommerakademien eine Rolle. Als wir vor vielen Jahren vom World Wide Web Consortium (W3C) als Experten eingeladen wurden, uns am Standardisierungsprozess von P3P zu beteiligen, hat keiner ahnen können, wie lange dies dauern würde. Nun sind die Bemühungen fürs Erste erfolgreich zu einem Ergebnis gekommen: P3P hat den Status eines offiziellen W3C-Standards erreicht, auf dem nun weltweit aufgesetzt werden kann. Dies bedeutet, dass Internet-Server ab jetzt ihre Datenschutz-Policies auch maschinenlesbar in einheitlichen Formaten bereitstellen können, die in der Software des Nutzers automatisch daraufhin ausgewertet werden können, ob sie mit seinen Wünschen übereinstimmen oder nicht. Die ersten Browser unterstützen mittlerweile P3P zumindest teilweise (Tz. 11.4).

Für Datenschutzaufsichtsbehörden bietet P3P eine weitere Möglichkeit, die beabsichtigte Datenverarbeitungspraxis der Internet-Diensteanbieter aus der Ferne auf ihre Datenschutzkonformität abzuklopfen. Ob die Datenverarbeitung allerdings mit der Ankündigung in der Datenschutz-Policy übereinstimmt, lässt sich mit einer reinen Online-Kontrolle in dieser Form nicht herausfinden.

8.5

Identitätsmanagement

Die Informationsgesellschaft hängt eng mit dem Agieren in der digitalen Welt zusammen. Doch was passiert mit unseren digitalen Identitäten, die uns in jener Welt repräsentieren?

Vor allem zwei Probleme sind mit dem Handeln im Internet verbunden: Zum einen fehlt es an Anonymität, d. h. jeder kann bei seinen Aktionen beobachtet werden, es lassen sich Nutzerprofile erstellen. Zum anderen ist keine Authentizität gegeben, d. h. man hat keine Sicherheit darüber, dass der Kommunikationspartner wirklich der ist, der er vorgibt zu sein, bzw. seine zugesagten Leistungen erfüllt. Identity Theft, das ”Ausleihen” und Missbrauchen von fremden Identitäten, lässt sich zurzeit nicht verhindern. Zwar wird seit einigen Jahren an einer Infrastruktur für elektronische Signaturen (Tz. 8.1) "gebaut", die das Authentizitätsproblem lösen soll, doch kann dies den Datenschutz der Nutzer beeinträchtigen, wenn stets authentische Datenspuren hinterlassen werden.

Die Lösung könnte in einem datenschutzgerechten Identitätsmanagement liegen (vgl. 23. TB, Tz. 10.6). Es befähigt den Nutzer, souverän sein Recht auf informationelle Selbstbestimmung wahrzunehmen, d. h. selbst zu steuern, wem er welche Daten von sich unter welchen Bedingungen offenbart, oder zumindest jederzeit das Wissen darüber zu haben, wie und wo seine Daten gerade verarbeitet werden. Auf der Basis von Anonymitätsdiensten im Netz (Tz. 9.2) kann mit Identitätsmanagern genau eingestellt werden, wann der Nutzer wie anonym oder auch mit welchem Grad an Verbindlichkeit auftritt.

Solche datenschutzgerechten Identitätsmanager gibt es bislang nicht, und es ist auch gar nicht so einfach, sie zu entwickeln, bedeutet es doch, die gesamten Datenschutzrechte digital abzubilden und zu implementieren. Wesentlich sind die Souveränität des Nutzers über seine Daten und die Vertrauenswürdigkeit des Systems. Dies bedeutet z. B., dass die Nutzerdaten nicht gezwungenermaßen außerhalb seines Einflussbereichs gespeichert sein dürfen - wie es bei vielen heutigen so genannten ”Identity Management Tools” der Fall ist. Außerdem geht es nicht nur um die Verwaltung der Echtdaten, sondern als Mittel gegen die weitgehenden Auswertungsmöglichkeiten in der digitalen Welt muss die Profilbildung durch Verkettung gleicher Datensegmente verhindert werden. Hierfür eignen sich Pseudonyme und zertifizierte Attribute, die als authentische Berechtigungsnachweise dienen können (anonymous credentials). Insgesamt reicht ein kleines Stück Identitätsmanagersoftware beim Nutzer nicht aus, sondern auch Anwendungen und Infrastruktur müssen Identitätsmanagement unterstützen, um das angestrebte Ziel wirklich zu erreichen.

In der Arbeit an datenschutzgerechten Identitätsmanagementsystemen stehen wir noch am Anfang, doch hat inzwischen auch die Europäische Union die Wichtigkeit und Brisanz des Themas ”Digitale Identität” erkannt, was sich in Workshops und Förderschwerpunkten niederschlägt. Gemeinsam mit Kooperationspartnern aus Wissenschaft und Wirtschaft werden wir in den kommenden Jahren dieses für den künftigen Datenschutz so wichtige Thema bearbeiten. Im virtuellen Datenschutzbüro stehen dafür Foren zur Verfügung:

8.6

VIS - Fachtagung zu verlässlichen IT-Systemen in Kiel

Informatiker treffen Datenschützer - das war die Motivation für uns, die Fachtagung ”VIS - Verlässliche IT-Systeme” in Kiel auszurichten.

Alle zwei Jahre findet diese Fachtagung der Gesellschaft für Informatik an wechselnden Orten Deutschlands statt. Zusammen mit der Christian-Albrechts-Universität zu Kiel, die die Räumlichkeiten stellte, haben wir im September 2001 diese Konferenz organisiert, auf der sich mehr als 100 Experten für Datensicherheit und technischen Datenschutz aus Wissenschaft, Wirtschaft und Verwaltung trafen. An drei Tagen bestand die Möglichkeit, sich in Fachvorträgen zu vielerlei Themen zu bilden und in mehreren Workshops mitzudiskutieren. Tutorien am Vortag rundeten das Programm ab. Höhepunkte der VIS-Tagung waren die Podiumsdiskussion zum Thema ”Cyber-Crime” und die Abendveranstaltungen mit Empfängen, auf denen fachliche Themen wie Protection Profiles für Datenschutzprodukte (vgl. 21. TB, Tz. 7.6) bzw. die Auswirkungen der Ereignisse am 11. September 2001 im Vordergrund standen. Auch der Vortrag zur Weiterentwicklung des Datenschutzrechts begeisterte die Techniker und regte zur Diskussion an.

Die Terminwahl gleich im Anschluss an die Sommerakademie stellte sich im Nachhinein als nicht ideal heraus, da kaum jemand wirklich die ganze Woche Zeit hatte, um die Kieler Datenschutz- und Datensicherheitsveranstaltungen zu besuchen, zumal weitere parallele Treffen angesetzt waren. So hatten sich die Veranstalter mehr Teilnehmer für die Tutorien, insbesondere aber für das fachlich anspruchsvolle Einführungstutorium zu Privacy Enhancing Technologies, gewünscht, bei dem Datenschützer Informatiker und Informatiker Datenschützer ausbilden sollten. Insgesamt war es eine gelungene Veranstaltung, die in einem Tagungsband und mit mehreren Vortragspräsentationen im Web dokumentiert ist:

8.7

Neue Vorschriften über den Datenschutz im Internet

Seit 1997 gelten in Deutschland strenge Regelungen für den Datenschutz im Internet. Die Vorschriften wurden jetzt überarbeitet. Dabei wurden vereinzelte Unstimmigkeiten ausgeräumt, ohne dass insgesamt das Schutzniveau verwässert worden ist.

Der deutsche Gesetzgeber hatte bereits recht frühzeitig erkannt, dass im Internet besondere Gefährdungen für die Privatsphäre der Nutzer drohen. Vor allem gilt es zu verhindern, dass die unterschiedlichen Akteure und Provider im Internet die Möglichkeit erhalten, Profile über Kommunikationsvorgänge, Informations- und Konsumverhalten, Vorlieben und Gewohnheiten der Nutzer anzulegen. Da technisch bedingt jede Kommunikation im Internet Daten erzeugt, sind die Gefährdungen hier größer als bei entsprechenden Vorgängen in der Offline-Welt. Die Regelungen des Teledienstedatenschutzgesetzes (TDDSG) aus dem Jahr 1997 waren bereits vorbildlich. Sie untersagten grundsätzlich die Verarbeitung personenbezogener Daten. Ausnahmen sollten nur dann gelten, wenn entweder die Betroffenen ihre Einwilligung gegeben haben oder einzelne, klar umrissene Tatbestände des Gesetzes vorlagen. Von Bedeutung ist dies vor allem für die Nutzungsdaten, die das oben beschriebene Potenzial in sich tragen, das Informations- und Kommunikationsverhalten der Nutzer sehr genau abzubilden. Diese Daten durften bisher lediglich zu Abrechnungszwecken über die Dauer der Nutzung hinaus gespeichert werden. In allen anderen Fällen waren die Nutzungsdaten unmittelbar nach dem Ende des Nutzungsvorganges zu löschen (vgl. 20. TB, Tz. 7.1).

Zum Ende des Jahres 2001 ist nun das Gesetz über rechtliche Rahmenbedingungen für den elektronischen Geschäftsverkehr (EGG) in Kraft getreten. Es handelt sich um ein so genanntes Artikelgesetz, das Änderungen mehrerer Gesetze mit sich bringt. Geändert wird zum einen das Teledienstegesetz (TDG), das 1997 zusammen mit dem TDDSG erstmalig in Kraft getreten ist. Zum anderen wird auch das TDDSG selbst geändert. Die Änderungen im TDG gehen auf die Anforderungen einer europäischen Richtlinie zurück und zielen im Wesentlichen nicht auf datenschutzrechtliche Regelungen. Allerdings ist eine Vorschrift auch unter dem Gesichtspunkt des Datenschutzes interessant, die Informationspflichten festgelegt, die bei so genannten ”kommerziellen Kommunikationen” gelten sollen. Erfasst sind davon auch unverlangte Werbesendungen per E-Mail, die häufig als Spam bezeichnet werden. Das neue Gesetz legt fest, dass diese Sendungen eindeutig als Werbung erkennbar sein müssen, entsprechendes gilt für ihre Absender bzw. Urheber.

Die Änderungen im Teledienstedatenschutzgesetz sollen vor allem einige Unklarheiten beseitigen, die sich bei der Evaluierung des Gesetzes (vgl. 22. TB, Tz. 7.3) ergeben hatten. So wird nun eindeutig festgelegt, dass die Vorschriften für die dienstliche Nutzung des Internets durch Arbeitnehmer nicht gelten. Die Möglichkeit der elektronischen Einwilligung zur Datenverarbeitung wurde in der Weise vereinfacht, dass nun nicht mehr die digitale Signatur erforderlich ist. Diese Anforderung hatte sich als nicht praktikabel erwiesen. Erfreulich ist, dass es bei der grundsätzlichen restriktiven Regelung zur Verarbeitung der Nutzungsdaten geblieben ist. Neu hinzugekommen ist nur ein eng umrissener Tatbestand, wonach Diensteanbieter Daten von Nutzern auch dann verarbeiten dürfen, wenn tatsächliche Anhaltspunkte dafür vorliegen, dass versucht wurde, die Dienste zu nutzen, ohne das Entgelt dafür zu entrichten. Eine derartige Missbrauchsklausel fehlte in dem alten Gesetz.

Erfreulich ist weiter, dass die Regelung zu pseudonymen Nutzungsprofilen klarer gefasst und zu Gunsten der Nutzer geändert wurden. Nunmehr ist eindeutig geregelt, dass die Anbieter die Möglichkeit haben, das Verhalten der Nutzer in Profilen abzubilden, die aber selbst nicht unmittelbar personenbezogen sein dürfen. Es dürfen also nur Pseudonyme in diesen Profilen verwendet werden; diese dürfen nicht mit den Klardaten über die Person der Betroffenen zusammengeführt werden. Selbst diese lediglich pseudonymisierte Profilbildung hat dann zu unterbleiben, wenn die Nutzer ihr widersprechen. Der Diensteanbieter hat die Nutzer auf das Widerspruchsrecht hinzuweisen. Hervorzuheben ist weiterhin, dass in das neue Gesetz nunmehr Ordnungswidrigkeitstatbestände eingeführt wurden. Damit haben die Datenschutzaufsichtsbehörden erstmalig die Möglichkeit, Bußgelder bis zu 50.000 Euro zu verhängen.

Wie im 20. Tätigkeitsbericht (vgl. Tz. 7.1) dargelegt, regelt das TDDSG nur einen Teil der Internet-Dienste. Der andere Teil wird von der bisher praktisch gleich lautenden Regelung der Länder, dem Mediendienste-Staatsvertrag (MDStV), erfasst. Die Länder arbeiten daran, den MDStV an die geänderten Vorschriften des TDDSG anzupassen. Mit der Novellierung des Staatsvertrages ist noch für das Jahr 2002 zu rechnen, sodass es bald wieder einen weitgehenden Gleichklang der Vorschriften gibt.

Ein Problem besteht nach wie vor dadurch, dass die Datenschutzregelungen für den Internet- und Online-Dienstebereich immer noch von vielen Diensteanbietern nicht eingehalten werden. An dieser Stelle kann nur wieder an die Anbieter appelliert werden, einzusehen, dass Geschäftsmodelle im Internet nur dann funktionieren werden, wenn die Nutzer ausreichendes Vertrauen in die Seriosität der Dienste haben. Dazu gehört auch, dass ihre Daten, die sie mehr oder weniger freiwillig bei der Nutzung der Dienste offenbaren, entsprechend den Gesetzen behandelt und nicht missbraucht werden.