Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

9

Modellprojekte zur Weiterentwicklung des Datenschutzes

9.1

Virtuelles Datenschutzbüro: Erste Adresse für Datenschutzinfos im Internet

Nachdem Ende 2000 das virtuelle Datenschutzbüro online gegangen war, wurde es im Laufe des Jahres 2001 weiter ausgebaut. Mittlerweile hat es sich zu einer Einstiegsadresse für vielerlei Datenschutzinformationen im Internet gemausert, die über die Grenzen Deutschlands hinaus bekannt ist.

Unter den leicht zu merkenden Webadressen

finden interessierte Internet-Nutzer das virtuelle Datenschutzbüro (vgl. 23. TB, Tz. 9.1). Dabei handelt es sich um einen gemeinsamen Service von Datenschutzinstitutionen, die Informationen rund ums Thema Datenschutz bereitstellen. Das virtuelle Datenschutzbüro wird vom ULD technisch betrieben und mit Förderung durch die Initiative Informationsgesellschaft Schleswig-Holstein weiterentwickelt. Zu dem Service gehört ein Newsticker, ein Presseverteiler, eine Suchmaschine, die Möglichkeit des Mitdiskutierens in Mailinglists zu vielen Bereichen und das Beantworten der zahlreichen Fragen der Nutzer - ob per FAQ (Frequently Asked Questions) oder individuell per E-Mail. Außerdem ist das virtuelle Datenschutzbüro die ”Heimat” von einigen Datenschutzprojekten, für die es die Infrastruktur zur Verfügung stellt. Die Nutzungsstatistik zeigt einen Basiswert von ca. 3.000 Pageviews pro Tag an. Natürlich wird das Nutzungsverhalten nicht personenbezogen protokolliert, sondern das virtuelle Datenschutzbüro verhält sich gemäß seiner eigenen Datenschutz-Policy vorbildlich (vgl. 20. TB, Tz. 7.1). Zu keiner Zeit werden vollständige IP-Adressen gespeichert.

Im Berichtsjahr wurde das virtuelle Datenschutzbüro auf diversen Veranstaltungen vorgestellt. Hervorzuheben ist die Präsentation auf der CeBIT im März 2001 an einem eigenen Stand und in mehreren Vorträgen. Daneben war es auch international gefragt, z. B. auf einem Workshop der EU in Brüssel zu ”Privacy Enhancing Technologies”, in Wien beim Kongress ”Chaos Control” oder bei der europäischen Konferenz der Datenschutzbeauftragten in Athen. Im Rahmen des virtuellen Datenschutzbüros haben sich die Mitarbeiter speziell mit der datenschutzgerechten und möglichst sicheren Gestaltung der Internet-Anbindung beschäftigt (vgl. 23. TB, Tz. 10.3 und Tz. 10.4). Hierzu gab es viele Nachfragen, z. B. auf dem BSI-Kongress 2001, auf einem Ulmer Datenschutzkongress, anlässlich unseres Tages der offenen Tür und bei einem Tutoriumsvortrag auf der Fachtagung VIS (Tz. 8.6).

Die am virtuellen Datenschutzbüro beteiligten Projektpartner sind zurzeit die Datenschutzbeauftragten des Bundes sowie der meisten Länder in Deutschland, der norddeutschen Bistümer der katholischen Kirche, der Evangelischen Kirche Deutschlands, des Südwestrundfunks, aus der Schweiz, den Niederlanden, der Slowakei, Kanada und Polen. Allerdings liegt der Schwerpunkt im Augenblick auf den deutschsprachigen Inhalten, obwohl vielerlei Informationen bereits mehrsprachig vorliegen. Alle Datenschutzbeauftragten sind zur Mitarbeit eingeladen - das virtuelle Datenschutzbüro lebt durch die Aktiven!

Darüber hinaus haben sich bereits viele Interessierte gemeldet, die nicht offizielle Datenschutzinstitutionen repräsentieren, gleichwohl aber Interesse an und oft sehr viel Kompetenz in Datenschutzfragen haben. Seit Ende 2001 arbeiten daher auch solche Kooperationspartner im virtuellen Datenschutzbüro mit.

9.2

AN.ON

Wer im Internet surft, zieht eine lange Datenspur hinter sich her und macht seinen Weg durchs Netz - wohl in der Regel unbewusst - nachvollziehbar. Um das gesetzlich garantierte Recht auf Anonymität im Internet effektiv durchzusetzen, wurde ein Projekt ins Leben gerufen, dessen Ziel es ist, Anonymität zu gewährleisten.

Bereits im 23. Tätigkeitsbericht (vgl. Tz. 9.2) haben wir über das seit Anfang 2001 vom Bundesministerium für Wirtschaft und Technologie geförderte und in Kooperation des Unabhängigen Landeszentrums für Datenschutz und der Technischen Universität (TU) Dresden laufende Projekt ”AN.ON - Anonymität online” berichtet.

Während die Aufgabe der TU Dresden in erster Linie in der technischen Realisierung der anonymen Nutzung des Internets durch die Entwicklung des Anonymitäts-Tools JAP besteht, ist das Unabhängige Landeszentrum für Datenschutz vornehmlich mit der Untersuchung der rechtlichen Randbedingungen des anonymen Surfens betraut.

Der von der TU Dresden entwickelte Prototyp des JAP kann von allen Nutzern kostenlos aus dem Internet heruntergeladen werden. Erste Erfahrungen zeigen, dass der Dienst umfangreich genutzt wird. So wurden schon mehr als 100.000 Programmdownloads gezählt.

Insbesondere auf der CeBIT 2001 stand AN.ON im Mittelpunkt des Interesses der Besucher unseres Messestandes. Dem Projekt kommt auch deswegen eine besondere Bedeutung zu, weil der Anonymitätsdienst JAP nach Einstellung des Betriebs alternativer Internet-Anonymisierungsdienste (z. B. Freedom Network von Zero-Knowledge, Safeweb) weiterhin nicht kommerziell das anonyme Surfen ermöglicht.

Obwohl die Gewährleistung einer anonymen Internet-Nutzung nach dem Teledienstedatenschutzgesetz grundsätzlich gesetzlich geboten ist, besteht Klärungsbedarf, wie weit dieses Recht des einzelnen Internet-Nutzers reichen soll. Nachdem der Prototyp des JAP so weit implementiert war, dass er von den Nutzern im Probebetrieb praktisch eingesetzt werden konnte, dauerte es nicht lange, bis die Projektpartner mit den ersten Missbrauchsfällen konfrontiert wurden. Strafverfolgungsbehörden, die wegen des Verdachts unterschiedlicher Delikte (z. B. wegen Computerbetruges, Datenveränderung oder Beleidigung) ermittelten, verlangten, teilweise unter Vorlage der erforderlichen richterlichen Anordnung, Auskunft über die Identität der jeweiligen Nutzer. Da es zum Wesen des Anonymitätsdienstes gehört, dass keine Verbindungsdaten gespeichert werden, die eine spätere Identifizierung der Nutzer zulassen, haben wir den Strafverfolgungsbehörden in allen Fällen mitgeteilt, dass die Erteilung derartiger Auskünfte nicht möglich ist.

Grundsätzlich stellt sich die Frage, wie die vom Gesetzgeber gewollte Gewährleistung des Rechts des Einzelnen auf Anonymität im Internet mit Ansprüchen der Strafverfolgungsbehörden auf Auskunft über die Identität der Nutzer in Einklang zu bringen ist, denn eine Behinderung der Arbeit der Strafverfolgungsbehörden wird mit dem Anonymisierungsdienst nicht bezweckt. Da eine pauschale Vorratsspeicherung von Nutzungsdaten nach geltender Rechtslage unzulässig ist, soll natürlich auch in Zukunft weiterhin auf eine derartige Speicherung verzichtet werden. Nur auf diese Weise kann Gesetzeskonformität gewährleistet werden. Um allerdings Wiederholungstäter enttarnen zu können, diskutieren wir innerhalb des Projektes den Einbau einer ”Fangschaltungsfunktion”, die es ermöglichen soll, im Einzelfall einen Täter bei der Begehung künftiger Straftaten zu identifizieren. Bei Vorliegen eines richterlichen Beschlusses könnte auf diese Weise der Weg zur IP-Adresse des Täters zurückverfolgt werden. Der Anonymitätsdienst wäre in der Zeit nicht für andere nutzbar, sodass diese technische Lösung einer Massenüberwachung vorbeugen würde.

Weitergehende Informationen befinden sich im Internet unter:

9.3

BioTrusT - Biometrische Verfahren im Feldversuch

Spätestens seit den Terroranschlägen am 11. September 2001 und den darauf folgenden Versuchen der Gesetzgeber, rechtliche Gegenmaßnahmen zu treffen sind biometrische Verfahren stärker in den Mittelpunkt der öffentlichen Diskussion gerückt: Unter dem Stichwort ”Fingerabdruck auf den Personalausweis” wird immer häufiger über Biometrie, d. h. automatische Verfahren zur Erkennung von Gesichtern, Stimmen, Fingerabdrücken oder auch der Iris des Auges, berichtet und diskutiert.

Im Rahmen des Pilotprojektes BioTrusT beschäftigen wir uns schon seit einigen Jahren mit dieser Thematik. In den letzten Tätigkeitsberichten (vgl. 21. TB, Tz. 7.2; 22. TB, Tz. 8.3 und 23. TB, Tz. 9.3) haben wir über biometrische Verfahren berichtet, die körperliche Merkmale einer Person automatisiert auswerten, um sie wieder zu erkennen.

• Wie funktionieren solche Verfahren?

Durch Sensoren (z. B. Mikrofone, druckempfindliche Schreibflächen, Spezialsensoren für Fingerabdrücke, Videokameras) werden körperliche Merkmale von Personen automatisiert erfasst bzw. vermessen. Danach werden sie mithilfe eines mathematischen Modells in einen speziellen, kleinen Datensatz umgerechnet und mit bereits früher erfassten und gespeicherten Referenzdaten verglichen. Stimmen sie mit diesen Daten (im Rahmen einer gewissen Schwankungsbreite) überein, so gilt die Person als erkannt. Bei automatisierten Verfahren kann dann eine Aktion wie eine Geldauszahlung, ein Zugriff auf Daten, die Freischaltung einer elektronischen Signatur (vgl. 21. TB, Tz. 7.5; 22. TB, Tz. 8.3 und 23. TB, Tz. 8.8) oder der Zugang zu besonders geschützten Räumen ausgelöst werden.

• Wie hängen Datenschutz und biometrische Verfahren zusammen?

Biometrische Merkmale sind regelmäßig dauerhaft personengebundene Merkmale - die Dauerhaftigkeit dieser Bindung ist gerade der Vorteil gegenüber leicht vergessbaren oder weitergebbaren Passwörtern. Es ist denkbar, dass sich aus biometrischen Daten, insbesondere aus den so genannten ”Rohdaten” (z. B. Bildern von Körperteilen wie Augen, Fingern oder dem Gesicht, aber auch Stimmaufnahmen), schon heute oder auch erst in der Zukunft zusätzliche Informationen herauslesen lassen. Dies können etwa Hinweise auf Krankheiten und Stimmungslagen sein: Dass aus Bildern des Gesichts oder Sprachaufnahmen Rückschlüsse auf die ethnische Herkunft gezogen werden können, ist ohnehin einleuchtend. Auch die Verwendung des Augenhintergrundes (Retina) im Bereich der Diagnose (Stichwort Diabetes und Bluthochdruck) ist bekannt, ebenso sind medizinische Wahrscheinlichkeitsaussagen (etwa aus dem Muster der Handlinien über mögliche genetische Defekte) dokumentiert. Inwieweit diese Rückschlüsse automatisiert gezogen werden können und ob die komprimierten Referenzdaten ebenfalls solche Rückschlüsse zulassen und schließlich inwiefern solche Aussagen verlässlich sind, ist noch nicht abschließend geklärt.

Biometrische Daten wären allerdings auch ”ideal” als Personenkennzeichen geeignet, über die zu unterschiedlichen Zwecken Daten unterschiedlicher Herkunft zusammengeführt werden könnten. Dass dies im Hinblick auf den Zweckbindungsgrundsatz verhindert werden muss, liegt auf der Hand.

Üblicherweise werden die biometrischen Daten für einen konkreten Zweck (z. B. zur Zutrittskontrolle) erhoben und müssen daher vor einer unbefugten zweckentfremdenden Auswertung geschützt werden. Eine datenschutzgerechte Gestaltung kann die Zweckentfremdung eines zentralen Biometrie-Datenbestandes am besten dadurch verhindern, dass ein solcher Bestand gar nicht erst angelegt wird, sondern die Referenzdaten dezentral - am besten verschlüsselt auf einer Chipkarte o. Ä. - gespeichert werden und so die Verfügungsgewalt des Betroffenen nicht verlassen. Eine heimliche und unbefugte Erhebung bei der Benutzung der Geräte (z. B. durch eine unbefugte Kopie der Datenbestände) muss durch eine sorgfältige Kontrolle der Geräte ausgeschlossen werden.

• Was ist im letzten Jahr im Projekt BioTrusT passiert?

Das Pilotprojekt BioTrusT, das von der Arbeitsgruppe ”Biometrische Identifikationssysteme” von TeleTrusT e. V. ins Leben gerufen wurde, untersucht seit April 1999 die Einsatzmöglichkeiten von biometrischen Verfahren bei Banken und im Bereich des E-Commerce. Neben dem Verbraucherschutzverband VZBV, einem Forschungsinstitut der Fraunhofer-Gesellschaft und einer sozioökonomischen Begleitforschung durch die Fachhochschule Gießen-Friedberg sowie etlichen Herstellern und verschiedenen Bankinstitutionen sind auch wir beteiligt. Die im Rahmen des Projekts erzielten Ergebnisse bieten wertvolle Erfahrung für die gegenwärtige Diskussion, denn die Funktionsweise biometrischer Verfahren und die datenschutzrechtliche Problematik hängt nicht nur von der Anwendung, sondern auch stark von der Technik ab.

Nach dem Test von Geräten zur Zutrittskontrolle zu Arbeitsgebäuden und Arbeitsräumen wurden Verfahren zum Computerzugang untersucht: Die Eingabe eines Kennwortes zum Log-in oder zur Freischaltung eines Bildschirmschoners wurde durch ein biometrisches Verfahren ersetzt. Getestet wurden dabei auch das Zusammenspiel von solchen Verfahren mit Chipkarten, auf denen die biometrischen Merkmale - unter der Verfügung des Nutzers - gespeichert sind. Dazu waren umfangreiche Anpassungen an den neu geschaffenen Industriestandard BioAPI durch die Hersteller notwendig, an dessen Entwicklung Mitglieder von BioTrusT beteiligt sind. Viele Hersteller agieren international. Daher bestimmen Standards und Normen über kurz oder lang die Gestaltung aller biometrischen Systeme. Dies betrifft nicht nur die technische Ausführung und Fragen der Kompatibilität, sondern auch international abgestimmte Kriterienwerke, um die Sicherheit der Geräte zu testen.

Der zunächst gefasste Plan einer Untersuchung von biometrischen Verfahren an Geldausgabeautomaten wurde nach einer ausführlichen Studie fallen gelassen: Zwar war die Aufgabe, ein einzelnes Verfahren mit einem Geldautomaten zu koppeln, schnell gelöst. Doch für einen umfassenden Einsatz sind die Anforderungen erheblich höher: Es müssen eine Vielzahl von (vernetzten) Geldautomaten angepasst und die Datenverarbeitung und Software in den Bankrechenzentren (die jede Auszahlung autorisieren) entsprechend umorganisiert werden. Um der zentralen Voraussetzung aus der Sicht des Datenschutzes nachzukommen, die biometrischen Referenzdaten nur auf den Bankkarten der Kunden (und nicht in einem Zentralrechner der Banken) zu speichern, sind außerdem Veränderungen im Ablauf des Bankkartenversandes erforderlich, denn die biometrischen Daten müssen im Beisein der Kunden auf die Karten aufgebracht werden.

Hinzu kommt, dass die biometrischen Verfahren zwar immer besser funktionieren, aber derzeit für einen Einsatz im breiten Kundenumfeld (alle Kunden müssten jederzeit ein solches System bedienen können, wenn man auf die Verwendung der PIN verzichten will) nicht robust und einfach genug sind. Auch konnten bisher nicht alle Sicherheitsbedenken für einen (nicht überwachten) Einsatz in der Öffentlichkeit ausgeräumt werden, zumal sofort Haftungsfragen in den Vordergrund rücken.

Unsere Absicht im Rahmen unserer Beteiligung an BioTrusT ist, in einer frühen Phase die technische Gestaltung der Geräte und den organisatorischen Ablauf bei ihrer Verwendung kennen zu lernen, gegebenenfalls Problemfelder zu benennen, diesen durch Hinweise und konstruktive Mitarbeit entgegenzuwirken und so für eine datenschutzgerechte Gestaltung einzutreten.

9.4

EU fördert Datenschutzaudit und Gütesiegel in Schleswig-Holstein

Das Land Schleswig-Holstein begreift ein ausgereiftes Datenschutz- und Datensicherheitskonzept als Wettbewerbs- und Standortvorteil für private Unternehmen und öffentliche Stellen. Im Projekt ”Innovative Maßnahmen” wird diese Erkenntnis umgesetzt.

Der marktwirtschaftliche Ansatz im Datenschutz wird jetzt auch von der Europäischen Union gefördert. Die EU hat im Rahmen des EU-Programmes ”Innovative Maßnahmen” im Themenbereich ”eEuropeRegio: die Informationsgesellschaft im Dienste der regionalen Entwicklung” beschlossen, die Durchführung von Gütesiegelverfahren für IT-Produkte und datenschutzrechtlich relevanten Dienstleistungen in Schleswig-Holstein sowie die Durchführung von Behördenaudits in den Jahren 2002 und 2003 zu fördern (Tz. 10).

Im Rahmen des Produktaudits werden Gütesiegel an IT-Produkte vergeben, die den Vorschriften über den Datenschutz und die Datensicherheit entsprechen. Das Projekt sieht vor, dass die Kosten für ausgesuchte Prüfverfahren nur teilweise von interessierten Unternehmen oder Vertriebsfirmen getragen werden müssen. Auf diesem Wege sollen vor allem kleinere und mittlere Unternehmen in Schleswig-Holstein gefördert werden. Wir bringen durch eigene Mitarbeiter und Mitarbeiterinnen rechtlichen und technischen Sachverstand ein und haben nun die Möglichkeit, diesen Sachverstand durch neue Fachkräfte zu verstärken. Mittel- und langfristig wird angestrebt, über das Gütesiegel das Datenschutzniveau von Produkten und damit das Vertrauen in öffentlich-rechtliche und private Datenverarbeitung und Online-Angebote zu steigern.

Das Datenschutz-Behördenaudit eröffnet öffentlichen Stellen in Schleswig-Holstein die Möglichkeit, ihr Datenschutzkonzept in einem förmlichen Verfahren auf dauerhafte Übereinstimmung mit den datenschutzrechtlichen Bestimmungen überprüfen zu lassen (Tz. 10.4). Das Projekt sieht vor, dass alle öffentlichen Stellen, in denen geförderte Modellprojekte realisiert werden, standardmäßig ein Datenschutzaudit durchlaufen. So sollen im Ergebnis möglichst nur datenschutzgerechte Verfahren in den Genuss öffentlicher Förderung gelangen.

Beide Projekte sind auf zwei Jahre angelegt. Sie werden dazu beitragen, Datenschutzaudit und >Gütesiegel in der Praxis zu verankern.

9.5

Projekt Schul-CD: Datenschutz schülergerecht aufbereitet

Mit einer multimedialen CD-ROM soll Schülerinnen und Schülern Medienkompetenz und insbesondere Verständnis und Sensibilität für den Datenschutz im persönlichen, schulischen und beruflichen Alltag vermittelt werden.

Wie schon im vergangenen Tätigkeitsbericht (vgl. 23. TB, Tz. 9.4) dargestellt, entwickeln wir gemeinsam mit einer Firma in Wuppertal und unterstützt durch das Bundesministerium für Bildung, Wissenschaft, Forschung und Kultur eine Schul-CD: Ein kleiner Datenschutzhelfer mit Namen Felix soll Schülerinnen und Schüler sowie Lehrkräfte sicher durch den Paragraphendschungel leiten und in verständlicher Art und Weise demonstrieren, wie der Datenschutz das Leben positiv beeinflusst. Er zeigt auf, welch negative Auswirkungen z. B. ein illegaler Datenabgleich auf ein Vorstellungsgespräch haben kann, beschreibt den Einfluss des Datenschutzes auf den Schulalltag oder erklärt gut verständlich, wie Kryptographie funktioniert.

Die CD ist in erster Linie für Berufsschüler und deren Lehrer konzipiert, aber auch für Schüler an weiterbildenden Schulen geeignet. Der Inhalt der CD wurde Ende 2001 zwischen den Projektpartnern abschließend festgelegt. Sie soll nach Fertigstellung den Schulen bundesweit noch im Jahr 2002 kostenlos zur Verfügung gestellt werden.