27. Tätigkeitsbericht (2005)
7 | Neue Medien
7.1 | Dienstvereinbarung Internet und E-Mail
Zwischen dem Finanzministerium des Landes einerseits und dem Deutschen Gewerkschaftsbund und dem Beamtenbund andererseits ist eine so genannte 59er-Vereinbarung über die Nutzung von Internet und E-Mail abgeschlossen worden. Wir haben an dieser Vereinbarung beratend mitgewirkt.
Die Richtlinie (Amtsblatt Schl.-H. 2005, S. 27) regelt die Grundsätze der dienstlichen und privaten Nutzung der Dienste Internet und E-Mail durch Landesbedienstete. Sie hat den Charakter eines Kompromisses, auch unter Gesichtspunkten des Datenschutzes. Unter den gegebenen Bedingungen bietet sie aber eine tragfähige Grundlage für die private Nutzung des dienstlichen Internetanschlusses. Nach Ablauf von zwei Jahren soll sie unter unserer Beteiligung auf "ihre Wirksamkeit und Zweckmäßigkeit einschließlich ihrer Auswirkungen auf die Datensicherheit" überprüft werden.
Uns war wichtig, dass der als Arbeitsmittel bereitgestellte E-Mail-Account nicht für private Zwecke geöffnet wird. Eine solche Zulassung hätte nämlich zur Folge, dass eine aus Sicherheitsgründen nicht akzeptable Trennung zwischen privater und dienstlicher Kommunikation bei einem Account hätte stattfinden müssen. Um die Nutzung privater E-Mail über die dienstliche Anbindung nicht gänzlich auszuschließen, ist die Nutzung eines privaten E-Mail-Postfaches bei einem externen Diensteanbieter über Webmail zugelassen worden. Das Einschleppen schadhafter Anhänge soll dadurch vermieden werden, dass die Nutzung auf einen lesenden und schreibenden Zugriff beschränkt wird. Wie tragfähig diese Lösung ist, wird die spätere Evaluierung zeigen. Allen E-Mail-Nutzern sollte schon jetzt bewusst sein: Ein dienstlicher E-Mail-Account wie z. B. name@landsh.de ist keine private Adresse.
Die Richtlinie lässt eine private Nutzung des dienstlichen Internetzugangesmit zwei wichtigen Einschränkungen zu. Es dürfen erstens keine dienstlichen Interessen entgegenstehen. Zweitens ist nur die Nutzung von Webdiensten, aber z. B. nicht der Download von Dateien zu privaten Zwecken zulässig.
Von besonderer Bedeutung sind die Grundsätze über die Protokollierungund ihre Kontrolle. Die Richtlinie schließt eine individuelle Verhaltens- und Leistungskontrolle durch Auswertung von Protokolldaten grundsätzlich aus. Zum Zweck der Missbrauchskontrolle sieht die Richtlinie ein aus unserer Sicht vorbildliches gestuftes, am Grundsatz der Verhältnismäßigkeit orientiertes Kontrollverfahren vor. Protokolldaten werden zunächst nur anonymisiert ausgewertet. Erst wenn diese Auswertung Hinweise auf eine unzulässige Nutzung z. B. von inkriminierten Webseiten ergibt, ist der betroffene Kreis der infrage kommenden Nutzer auf die Unzulässigkeit dieses Verhaltens und die ab jetzt möglichen gezielten Kontrollen hinzuweisen. Werden weiterhin Verstöße festgestellt, lässt die Richtlinie eine gezielte Kontrolle nach einem gesondert festzusetzenden Verfahren zu. Die Richtlinie implementiert auf diese Weise ein datensparsames und für die Nutzer transparentes Verfahren. Sie geht grundsätzlich von einem verantwortungsvollen Umgang mit dem Medium aus. Leider war es nicht möglich, das Kontrollverfahren bereits in der Richtlinie festzulegen.
Von praktischer Bedeutung sind die in der Anlage 1 getroffenen Regelungen über die Behandlung von E-Mails mit einem Gefährdungs- und Belästigungspotenzial. Um den strafrechtlichen Tatbestand der Nachrichtenunterdrückung zu vermeiden, werden solche E-Mails entweder mit einem Warnhinweis an den Empfänger übermittelt oder aber an der Firewall für die Dauer von 10 Tagen für den Empfänger zurückgehalten. Dieser wird darüber informiert, dass er die E-Mail zur Übermittlung anfordern kann.
Im Rahmen der Evaluierung wird zu bewerten sein, ob die Speicherdauer für die E-Mail-Protokolldaten sowie die Internetnutzungsdaten von 10 Tagen tatsächlich erforderlich ist. Nach unseren Erfahrungen werden Protokolldaten bereits aus Kapazitätsgründen selbst bei kritischen Vorfällen nicht länger als 48 Stunden gezielt zurückverfolgt.
Für die betriebliche Praxis ist von Bedeutung, dass die Kommunikation mit der Personalvertretung sowie mit besonderen Beauftragten wie dem behördlichen Datenschutzbeauftragten grundsätzlich nicht überwacht werden darf.
Nicht glücklich sind wir, dass die Richtlinie eine dienstliche Nutzung von Anonymisierungsdiensten ausdrücklich verbietet. Unseres Erachtens haben die Parteien dieser Vereinbarung verkannt, dass es aus Sicherheitsgründen auch ein erhebliches Interesse an einer unbeobachteten dienstlichen Nutzung von Internetdiensten geben kann.
Was ist zu tun?
Das Verfahren der Kontrolle von Protokolldaten ist von den Daten verarbeitenden Stellen jetzt zügig festzulegen, um für den Bedarfsfall keine Rechtsunsicherheiten aufkommen zu lassen. Die vorgesehene Evaluierung ist rechtzeitig vorzubereiten, damit die zur Bewertung erforderlichen Informationen nach Ablauf von zwei Jahren zur Verfügung stehen.
7.2 | Digitales Kopieren
Wer digitale Kopiergeräte beschafft oder nutzt, sollte wissen, dass jedes kopierte Dokument mit den darin enthaltenen personenbezogenen Daten in dem Gerät elektronisch gespeichert wird. Aus diesem Grund haben wir erste Gestaltungsanforderungen aus Datenschutzsicht formuliert.
Beim digitalen Kopieren muss verhindert werden, dass Unbefugte von den auf der Festplatte gespeicherten Daten Kenntnis nehmen können. Da aus praktischen Gründen oft nicht festgelegt werden kann, wer im Einzelfall ein Dokument kopieren darf, muss die Standardeinstellung gewährleisten, dass der Kopiervorgang keine Spuren hinterlässt.
Die Speicherung eines Dokumentes darf nur über eine gesonderte Funktion des Nutzers ausgelöst werden. In diesen Fällen ist die Dokumentenspeicherung mit einem exklusiven Lese- und Löschungsrecht zu versehen, das von dem berechtigten Nutzer bzw. von der für die Verarbeitung verantwortlichen Stelle ausgeübt wird. Diese Anforderung wird umgesetzt, indem jedem Dokument eine Quellenkennung zugeordnet wird. Dem Systembetreiber muss es möglich sein, jederzeit alle gespeicherten Dokumente zu löschen – unabhängig von der Quelle, aus der die Daten stammen. So wird eine risikofreie Wartung oder Entsorgung des Gerätes ermöglicht.
Was ist zu tun?
Beim Einsatz digitaler Kopierer sind besondere Gestaltungsanforderungen zu beachten, um Datenschutzrisiken zu minimieren. Hersteller sollten sich für ihre Produkte um ein Datenschutz-Gütesiegel bemühen.
7.3 | Eintrag im Telefonbuch : Widerspruch tut Not!
Wer vermeiden will, dass Dritte seine Rufnummer oder Anschrift über das gedruckte oder elektronische Telefonbuch erfahren, sollte hiergegen bei seinem Netzbetreiber Widerspruch einlegen. Dieses Recht kann jederzeit mit Wirkung für die Zukunft wahrgenommen werden.
Telefonbücher können praktisch sein: Wer die Rufnummer einer Person sucht, schaut häufig im gedruckten oder elektronischen Telefonbuch nach oder ruft die Auskunft an. Vielleicht findet man auf diesem Weg sogar die Adresse der gesuchten Person. Im Telefonbuch zu stehen kann aber auch lästig sein: Jeder kann einen anrufen oder aus dem Verzeichnis die Anschrift erfahren. Wer dies nicht will, sollte drei Dinge beachten:
Im Telefonbuch steht man freiwillig. Der Teilnehmer bestimmt durch seinen Antrag beim Netzbetreiber, ob und mit welchen Angaben er im Telefonbuch steht.
Eine Auskunft über seine Rufnummer kann der Teilnehmer unterbinden, indem er bei seinem Netzbetreiber gegen diese Praxis Widerspruch einlegt. Ohne ausdrückliche Einwilligung des Teilnehmers darf keine Auskunft über seine im Telefonbuch veröffentlichte Adresse erteilt werden.
Seit Ende Juni 2004 darf die Auskunft bei Nennung einer Rufnummer den Namen und die Anschrift des gesuchten Anschlussinhabers nennen (so genannte Inverssuche). Voraussetzung ist, dass sich der Teilnehmer mit diesen Angaben in das Telefonbuch hat eintragen lassen. Dieser Inverssuche kann man ebenfalls bei seinem Netzbetreiber widersprechen.
Für die Datenschutzkontrolle der Netzbetreiber ist der Bundesbeauftragte für den Datenschutz zuständig. Die Aufsicht über die Netzbetreiber liegt bei der Regulierungsbehörde für Telekommunikation und Post.
Was ist zu tun?
Wer seine Privatsphäre schützen und selbst bestimmen will, welche Person seine Rufnummer bzw. Anschrift kennt, sollte entweder auf einen Eintrag in das Telefonbuch verzichten oder bei seinem Netzbetreiber gegen eine Auskunft über seine Daten widersprechen.
7.4 | Safer Surfen ohne Verkehrsdatenspeicherung
Unsere Überprüfung der schleswig-holsteinischen Internetzugangsanbieter für Privat- und Einzelkunden brachte ein positives Ergebnis: Letztlich konnte bei allen überprüften Zugangsanbietern ein datenschutzkonformer Umgang mit den Daten der Internetnutzer festgestellt oder nach einem Dialog erreicht werden.
Schwerpunkt unserer Überprüfung war die Frage der Speicherung und Nutzung der IP-Adresse der Internetsurfer. Diese Adresse des Nutzerrechners ermöglicht beim Surfen im Internet die Übermittlung der aufgerufenen Webseiten. Sie wird von den Zugangsanbietern zumeist bei der Einwahl in das Internet für den Zeitraum dieser Nutzung vergeben (dynamische IP-Adresse). Mithilfe der IP-Adresse ist die Identifizierung des einzelnen Nutzers und das Ausforschen von dessen Surfgewohnheiten möglich.
Unseriöse Inhaltsanbieter im Internet speichern die IP-Adresse der Nutzer sowie die von ihnen besuchten Webseiten, um entgegen der geltenden Rechtslage personenbezogene Verhaltensprofile über die Internetnutzung zu bilden. Der Datenschutz im Internet steht und fällt mit der Frage, wie die mit der Speicherung der IP-Adresse verbundenen Datenschutzrisiken vermieden werden können. IP-Adressen dürfen entweder keinen Personenbezug aufweisen oder sind unmittelbar nach der Beendigung der Nutzung zu löschen bzw. zu sperren. Ausnahmen sind im Rahmen der Erforderlichkeit nur zur Abrechnung der Nutzung einzelner Webangebote zulässig. Diese Erforderlichkeit besteht in der Praxis bei Zugangs- und Inhaltsanbietern nur selten.
Unsere Prüfung galt der Frage, ob die Internetprovider in Schleswig-Holstein mit dem von ihnen gewählten Verfahren diese gesetzlichen Bestimmungen beachten. Das Ergebnis: Alle geprüften Internetzugangsanbieter verzichten auf eine längerfristige Speicherung dynamischer IP-Adressen in ungekürzter Form. In einigen Fällen lagen jedoch atypische Konstellationen vor, z. B. bei der Verwendung fester IP-Adressen oder bei so genannten virtuellen Providern, die nur die technischen Leistungen Dritter verkaufen. Diese Konstellationen wurden von unserer Standardprüfung ausgeklammert.
Unsere Recherche betraf sämtliche personenbezogenen Bestands- und Nutzungsdaten: Wie lange werden diese gespeichert? Werden sie für andere als die Erhebungszwecke genutzt? Gegenstand unserer Kontrolle war außerdem die Durchführung von Bonitätsprüfungen bei Vertragsabschluss und die Datenschutzkonformität der allgemeinen Vertragsbedingungen. Auch insofern konnten wir den Providern, teilweise nach Änderungen der Allgemeinen Geschäftsbedingungen, gute Noten ausstellen. Das Prüfungsergebnis bestätigt die gute Wettbewerbsposition Schleswig-Holsteins in Sachen Datenschutz. Vom überzeugenden Datenschutzniveau der schleswig-holsteinischen Zugangsanbieter zum Internet profitieren die Unternehmer wie die Nutzer. Datenschutz ist für Schleswig-Holsteins Internetprovider ein Standortvorteil, der über das Land hinausreicht.
Was ist zu tun?
Die Bürger sollten im Interesse ihrer Privatsphäre ihren Internetzugangsprovider sorgfältig auswählen und sich dabei bewusst für datenschutzkonform arbeitende Internetzugangsprovider entscheiden.
7.5 | Sensitive Internetberatung
Im Internet werden teilweise kostenfreie Beratungsdienstleistungen angeboten, bei denen die Nutzer den Beratern sensitive personenbezogene Daten offenbaren. Die Anbieter müssen dabei Maßnahmen zum Schutz der Privatsphäre ihrer Nutzer ergreifen.
Die Beratung Suchtkranker und ihrer Angehörigen, die Telefonseelsorge oder die Opferberatung sind nur einige Beispiele für Dienstleistungen, die auch im Internet Zuspruch finden. Eine niedrige Hemmschwelle bei ihrer Nutzung im heimischen Umfeld und die weltweite Verfügbarkeit machen das Internet als Übertragungsmedium hier attraktiv.
Mit seiner Beratungsanfrage übermittelt der Nutzer in der Regel hochpersönliche Daten. Eine unverschlüsselte E-Mail ist hierfür kein geeignetes Mittel. Es sollten technische Lösungen gewählt werden, bei denen die komplette Beratungskommunikation auf dem Server des Beraters verwahrt und nach den gesetzlichen Vorgaben geschützt und gelöscht wird. Das Einstellen von Fragen und der Abruf von Antworten können z. B. über beinahe jedem Nutzer zugängliche SSL-verschlüsselte Verbindungen stattfinden.
Auch bei anderen Formen der Kommunikation, etwa in Chaträumen mit sensiblen Themen, sind verschlüsselte Datenverbindungen anzubieten. Erfolgt die Kommunikation nicht in Echtzeit, hat der Anbieter sicherzustellen, dass die Rückantwort tatsächlich den Fragesteller erreicht. Die Beratung eines missbrauchten Mädchens, das eine gemeinsame E-Mail-Adresse wie ihr Vater – in diesem Fall dem Täter – verwendet, würde dazu führen, dass die Beratungsantwort dem Peiniger zur Verfügung steht.
Der Internetberater muss dafür sorgen, dass auch externe Dienstleister, z. B. Hosting-Provider, auf sensitive Nutzerinformationen keinen Zugriff erhalten. Eine verschlüsselte Speicherung der Nutzerdaten auf den Servern stellt eine mögliche Lösung für diese Anforderung dar. Außerdem ist darauf zu achten, dass personenbezogene Daten, wie z. B. die IP-Adresse der Besucher der Website, nicht gespeichert werden. Eine Anleitung des Nutzers zur Verwendung eigener Anonymitätstools, wie z. B. des JAP, sind darüber hinaus sehr sinnvoll (Tz. 8.3).
Transparenz für den Nutzer in allen Datenschutzfragen sollte im Rahmen des Vertrauensverhältnisses zwischen Berater und Nutzer selbstverständlich sein. Eine Datenschutzerklärung möglichst im P3P-Format und ein besonderer Ansprechpartner für Datenschutzfragen sollten daher zur Grundausstattung jedes seriösen Internetberaters gehören.
www.datenschutzzentrum.de/p3p/
Was ist zu tun?
Bürger, die Beratungsdienstleistungen über das Internet nachfragen, sollten die Seriosität und Vertrauenswürdigkeit des Anbieters auf die genannten Kriterien hin überprüfen.
7.6 | GEZ kauft Daten beim Adresshandel ein
Wer ein Rundfunk- oder Fernsehgerät zum Empfang bereithält, muss Rundfunkgebühren bezahlen. Zwecks Feststellung der Gebührenpflicht erwirbt die Gebühreneinzugszentrale Adressdaten auf dem gewerblichen Markt. Gegen die Legalisierung dieser bisher unzulässigen Praxis haben wir Einspruch erhoben.
Der Einzug der Rundfunkgebühren ist eine hoheitliche Angelegenheit, die von der Gebühreneinzugszentrale (GEZ) im Auftrag der Rundfunkanstalten durchgeführt wird. Wer in welcher Wohnung wohnt und damit gebührenpflichtig sein könnte, darf die GEZ über das Melderegister ermitteln. Man sollte meinen, dass diese integre Quelle genügt, um Zu- und Wegzüge nachvollziehen zu können. Den öffentlichen Rundfunkanstalten reichte dies aber nicht aus. Durch eine Änderung des Staatsvertrages über die Rundfunkgebühren wurde der GEZ das Recht eingeräumt, sich zur Feststellung von Rundfunkteilnehmerverhältnissen Adressen auch bei privaten Adresshändlern zu kaufen – natürlich gebührenfinanziert.
Die neue Regelung ist das krasse Gegenteil einer bereichsspezifischen Erhebungsnorm. Sie begrenzt die Erhebung nicht, sondern verweist pauschal auf die für die Privatwirtschaft einschlägigen Verarbeitungsregeln. Damit hat der Landesgesetzgeber, der diesen Staatsvertrag ratifizieren musste, der GEZ viele Scheunentore zusätzlicher Erhebungs- und Verwendungsmöglichkeiten eröffnet, die es nun mühsam wieder zu schließen gilt. Nach dem Buchstaben des Gesetzes darf die GEZ nun – um nur zwei Beispiele zu nennen – personenbezogene Daten für Zwecke der Werbung an Dritte übermitteln. Sie dürfte sogar besondere Datenarten – hierzu zählen Informationen über den Gesundheitszustand, die Religion oder Rasse einer Person – erheben, verarbeiten oder nutzen. Dass eine solche Regelung der verfassungsrechtlichen Mindestanforderung nicht genügt, liegt auf der Hand.
Die neue Regelung eröffnet der GEZ zudem die Möglichkeit, zwischen hoheitlichen und privatrechtlichen Befugnissen zu "pendeln" und sich je nach Wunsch und Bedarf den gebotenen öffentlich-rechtlichen Gesetzesbindungen zu entziehen. Auch dies ist verfassungsrechtlich unzulässig. Juristen nennen dies einen Formenmissbrauch.
Nach Landesdatenschutzrecht müssen die Daten grundsätzlich offen bei den Betroffenen erhoben werden – die neue Erhebungsermächtigung aber ist geschaffen worden, um eine heimliche Datenbeschaffung an den Betroffenen vorbei zu ermöglichen.
Datenschutzbeauftragte aus Bund und Ländern haben diese Regelung kritisiert. Dennoch wurde der Staatsvertrag von den Landesparlamenten ratifiziert, auch vom Landtag Schleswig-Holstein. Immerhin hat dieserauf unsere Intervention hin die Landesregierung aufgefordert, unsere Bedenken kritisch zu würdigen und rechtzeitig vor der nächsten Änderung des Rundfunkgebührenstaatsvertrages über die Ergebnisse zu berichten.
Was ist zu tun?
Die Landesregierung sollte sich dafür einsetzen, dass die neue Regelung so bald wie möglich wieder außer Kraft gesetzt wird. Die Finanzierung des öffentlich-rechtlichen Rundfunks ist auf ein datensparsames Verfahren umzustellen.
| Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |
