21. Tätigkeitsbericht (1999)



7.

Neue Medien und Informationstechniken

7.1

Internet

7.1.1

Anonymer Internet-Zugang

Es gibt leistungsfähige Methoden, anonym im Internet zu surfen, z. B. mit Hilfe sogenannter Mix-Systeme. Zur Zeit wird in unserer Dienststelle ein Prototyp der Technischen Universität Dresden weiterentwickelt, um einen anonymen Zugriff auf Internet-Angebote von Beratungsstellen anbieten zu können.

Beim Surfen im Internet hinterläßt jeder Nutzer Datenspuren, z. B. welche Webseite wie lange betrachtet wurde, welcher Weg durch das Angebot gewählt wurde usw. Daraus lassen sich die Interessen und das Kommunikationsverhalten des Nutzers ableiten, selbst wenn die Informationen nicht immer unmittelbar personenbezogen sind. Während es in der Welt außerhalb des Internet noch viele Bereiche gibt, in denen Anonymität zugelassen oder gewollt ist, z. B. beim Einkaufen oder beim Aufsuchen von Beratungsstellen, kann man sich im Internet nicht darauf verlassen: Jeder "Schaufensterbummel" durchs Internet läßt sich auswerten.

Die Medizinische Universität zu Lübeck (MUL) wandte sich an uns, weil dort das Beratungsangebot "Ecstasy Online" aufgebaut wird. Da die herkömmliche Drogenberatung von Kindern und Jugendlichen nicht genügend angenommen wird, versucht man, diese Zielgruppe per Internet zu erreichen. Dabei ist allerdings von großer Bedeutung, daß durch anonyme Abrufmöglichkeiten ein Vertrauensverhältnis geschaffen werden kann.

Auf der letzten CeBIT wurde ein leistungsfähiger Mix-Prototyp der TU Dresden vorgestellt, der Anonymität beim Webzugriff gewährleisten kann. Wir haben die Entwickler mit Vertretern der MUL zusammengebracht. Leider ist die notwendige Weiterentwicklung des Prototyps in Dresden aus finanziellen Gründen nicht möglich. Das Projekt ist jedoch von sehr großer Bedeutung nicht nur für die MUL, sondern für alle Bereiche, in denen eine anonyme Nutzung im Internet notwendig oder zumindest wünschenswert ist. In den Multimediagesetzen wird sogar gefordert, daß eine Inanspruchnahme von Diensten, soweit technisch möglich und zumutbar, anonym oder unter Pseudonym angeboten wird (vgl. 20. TB, Tz. 7.1).

Diese datenschutzfreundliche Technologie der Mixe soll nun in Schleswig-Holstein für die Praxis weiterentwickelt werden. Im Rahmen der Landesinitiative Informationsgesellschaft wurde inzwischen eine Förderung des Modellprojekts beschlossen. Wir werden über seinen Fortgang berichten.

Was ist zu tun?
Auch die Provider von Multimediadiensten müssen - wie rechtlich vorgeschrieben - die Nutzung von Diensten anonym oder unter Pseudonym anbieten.

7.1.2

Möglichst sicher durch das Internet

Wer sich ins Internet begibt, kommt zwar nicht darin um, aber er setzt seinen Rechner und die darauf gespeicherten Daten der Gefahr eines Angriffs aus. Vielen Behörden ist das Risiko nicht bewußt, oder sie wissen nicht, wie sie sich schützen können. Zumindest wenn es um personenbezogene Daten geht, müssen die erforderlichen Sicherheitsmaßnahmen getroffen werden.

Die Fachpresse berichtet regelmäßig von spektakulären Internet-Angriffen, z. B. von Packet Sniffern (Ausspähen von übertragenen Daten, auch von Paßwörtern), IP-Spoofing (Fälschen der Rechneradresse, um den Datenverkehr für andere auf den eigenen Computer umzulenken), Telnet Hijacking ("Entführen" und Übernehmen von Telnet-Verbindungen), bösartigen ActiveX-Controls oder Viren, wodurch ein Angreifer unter Umständen sogar die vollständige Kontrolle über die Computernutzung erlangen kann. Das Internet an sich ist nicht böse, doch vielfach sind die Angriffe recht simpel ohne viel Expertenwissen zu bewerkstelligen, und unter den etwa 100 Millionen Internet-Nutzern befinden sich auch Spielkinder, Crashkids und bezahlte Spione.

Beim Anschluß ans Internet muß man sich darüber im klaren sein, daß der eigene Rechner vom Internet aus erreichbar wird und Angriffen ausgesetzt sein kann. Kein Verwaltungssystem mit personenbezogenen Daten darf deshalb ungeschützt mit dem Internet verbunden sein (vgl. 20. TB, Tz. 7.5.1). Eine einfache Möglichkeit besteht darin, eine Einzelplatzlösung zu realisieren, bei der ein Internet-Zugang über ein physikalisch vom Verwaltungsnetz abgeschottetes Rechnersystem ermöglicht wird, auf dem keine schützenswerten Daten verarbeitet werden. Sobald jedoch eine Öffnung vom Verwaltungsnetz zum Internet geschaffen wird, muß diese Schnittstelle abgesichert werden, z. B. durch eine korrekt installierte und stets gewartete Firewall.

Um die Filterregeln, die die Firewall umsetzen soll, aufzustellen, muß man zunächst in einer Kommunikationsanalyse ermitteln, welche elektronischen (Internet-)Dienste von wem genutzt werden sollen. Im Einklang mit einem definierten Sicherheitskonzept und der Security Policy für die Firewall formuliert man unter Einbeziehung aller Beteiligten, insbesondere des internen Datenschutzbeauftragten und des Personalrats, die Regeln und die zusätzlich erforderlichen organisatorischen und technischen Maßnahmen. Diese Planungsphase darf nicht vernachlässigt werden, da aus einer unsauberen oder unbefriedigenden Konzeption Sicherheitseinbußen resultieren.

Nach der Auswahl und Installation des Systems muß es vor dem Echtbetrieb, aber auch später bei Konfigurationsänderungen oder bei Bekanntwerden neuer Angriffsmethoden getestet werden. Dabei können automatisierte Prüfwerkzeuge helfen. Auch muß ein Verfahren gefunden werden, das die Umgehung der Firewall durch andere Zugänge verhindert. Die beste Firewall hilft nämlich nichts, wenn im zu schützenden Netz auch nur ein Modem mit einem ungesicherten Zugang steht: Selbst eine kurzzeitige Nutzung von Online-Diensten oder Fernwartungszugängen läßt sich in vielen Fällen mißbrauchen, um an der Firewall vorbei Angriffe zu starten.

Der Betrieb und die Wartung von Firewall-Systemen sind zeitaufwendig, da nicht nur täglich Protokolldaten ausgewertet werden müssen, um Angriffe erkennen zu können, sondern auch stets Meldungen über Sicherheitslücken und Schutzmaßnahmen auszuwerten und die Systeme gegebenenfalls anzupassen sind. Die Mitarbeiter, die Firewalls aufbauen und betreiben sollen, benötigen eine Menge Know-how, um Angriffe erkennen und richtig reagieren zu können.

Leider bieten auch Firewalls keine 100%ige Sicherheit. Man kann aber ein akzeptabel hohes Maß erreichen, wenn man die folgenden Grundregeln beachtet:

  • Die Firewall stellt den alleinigen Zugang zum Internet dar.

  • Die Firewall wird nicht für weitere Aufgaben (z. B. als File- oder Mail-Server) genutzt.

  • Die Firewall baut auf einer definierten Security Policy auf und setzt diese um.

  • Konzeption, Aufbau und Betrieb erfolgen durch geeignetes und geschultes Personal.

  • Es werden genügend Ressourcen (Zeit und Geld) eingeplant.

  • Die Firewall-Administration wird über einen gesicherten Zugang realisiert.

Weitere Sicherheitsmechanismen wie Verschlüsselung, digitale Signatur und Virenschutzsysteme sind auch für die Einzelplatzlösungen mit Internet-Zugang sinnvoll. Auch sollte man stets als Schutz gegen bösartige "aktive Inhalte", die beispielsweise ein Ausspähen der Daten oder Manipulationen erlauben, ActiveX und JavaScript deaktivieren.

An der Firewall müssen für deren ordnungsgemäßen Betrieb regelmäßig bestimmte Teile des Datenverkehrs protokolliert werden. Darüber hinaus kann an der Firewall oder einem eigens dazu bestimmten Rechner auch die Kontrolle der eingehenden Daten auf schädliche Inhalte stattfinden. Solche können z. B. kleine Programme wie ActiveX-Applets sein, die beim Ansteuern einer Seite im WWW aktiviert und auf den Computer des Benutzers übertragen werden, wo sie möglicherweise ein unerkennbares Eigenleben führen. Die Kontrolle der Inhalte kann aber auch auf Viren abzielen, die sich in den an E-Mails angehängten Dateien befinden.

Die Protokollierungen und die Inhaltskontrolle sind zwar zur Aufrechterhaltung der Datensicherheit nötig. Sie sind jedoch aus datenschutzrechtlicher Sicht nicht unproblematisch, da sie das Potential zur umfassenden Überwachung der Beschäftigten bieten. Sowohl Protokollierung als auch Inhaltskontrolle bewegen sich daher auf einem schmalen Grat rechtlicher Zulässigkeit: Sie sind zwar als Maßnahme der Datensicherheit geboten, finden aber ihre Grenzen an den Vorschriften zum Schutz des informationellen Selbstbestimmungsrechts.

Der Schutz ist unterschiedlich, je nachdem, ob es sich um Datenverkehr, der dem dienstlichen Bereich zuzuordnen ist, oder um private Telekommunikation der Beschäftigten handelt. Im ersten Fall ist die Verwendung der Daten zur Kontrolle der Arbeitsleistung der Beschäftigten nicht völlig ausgeschlossen. Die Eingriffe in das Persönlichkeitsrecht der Beschäftigten müssen aber im Rahmen der Verhältnismäßigkeit bleiben; so wäre z. B. eine lückenlose Kontrolle der Inhalte der von einem Beschäftigten versandten E-Mails ohne Anlaß nicht zulässig. Außerdem müssen die Mitbestimmungsrechte der Mitarbeitervertretungen (Personalrat, Betriebsrat) beachtet werden. Mitbestimmungsrechte sind schon betroffen, wenn eine technische Einrichtung zur Überwachung der Mitarbeiter nur geeignet ist.

Ist den Beschäftigten die Nutzung des Internet-Anschlusses auch für die private Kommunikation erlaubt, dürfen also z. B. private E-Mails gesendet und empfangen und darf zu privaten Zwecken im WWW gesurft werden, so gilt insoweit das Fernmeldegeheimnis. Die entsprechenden Kommunikationsvorgänge stehen dann unter einem besonderen Schutz gegen den Zugriff des Arbeitgebers oder Dienstherren.

Jede Stelle, die eine Firewall einrichten will, muß jedenfalls schon in der Policy definieren, in welchem Umfang Protokollierungen und Inhaltskontrollen geplant sind. Für die konkrete Regelung auf Ebene des Betriebes oder der Dienststelle bietet sich dann wegen des ohnehin bestehenden Mitbestimmungsrechts der Abschluß einer Betriebs- bzw. Dienstvereinbarung an.

Wegen der Vielfalt der denkbaren Konstellationen sind hier abschließende Bewertungen nicht möglich. Einzelheiten können aber im Beratungsgespräch mit dem Landesbeauftragten für den Datenschutz oder in den entsprechenden Kursen der DATENSCHUTZAKADEMIE geklärt werden.

Was ist zu tun?
Wer sich ans Internet anschließt und personenbezogene Daten im System verarbeitet, muß diese schützen, z. B. mit Hilfe eines Firewall-Systems.

7.1.3

Gut, daß wir verschlüsselt haben !

Es geht niemanden außer dem Absender und dem Empfänger etwas an, was in einer elektronischen Nachricht (E-Mail) steht. Bei der Versendung über das Netz ist ihr Inhalt jedoch offen zugänglich wie auf einer Postkarte. Diese Problematik ist vielen inzwischen bewußt. Auch die Lösung ist bekannt: E­Mails verschlüsseln!

Wie dies mit Hilfe der Software "Pretty Good Privacy" (PGP) (vgl. 20. TB, Tz. 7.3.2) in die Praxis umgesetzt werden kann, ist auf unserer Webseite http://www.datenschutz.inside.tm/pgp/ beschrieben. Neben der Verschlüsselung kann der Nutzer seine Nachrichten auch digital signieren (vgl. Tz. 7.6), d. h. so versiegeln, daß sich mögliche Änderungen oder Fälschungen seiner Nachrichten vom Empfänger erkennen lassen. Ein Informationsblatt mit Informationen zum Thema "Verschlüsseln - ich?" haben wir in Kooperation mit dem Europäischen Verbraucherzentrum Kiel herausgegeben, um den Einsatz von Verschlüsselungen zu fördern. Das Faltblatt, das sich weniger an die Freaks, sondern an ganz normale Internet-Nutzer wendet, ist sowohl in den Verbraucherzentralen als auch bei uns erhältlich.

Es stehen verschiedene Versionen von PGP zur Verfügung. Universell einsetzbar ist z. B. die Version PGP 2.6.3in, die auch über die oben genannte Webseite abgerufen werden kann. Diese Version wurde von deutschen Programmierern überarbeitet - wer sich dafür interessiert, kann dies im offengelegten Quelltext der Software nachvollziehen - und wird bei den Zertifizierungsstellen des Individual Network e. V. eingesetzt. Im Internet gibt es auch neuere 5er- und 6er-Versionen von PGP, die aber nicht unbedingt besser sind. Denn mittlerweile wurde in diesen Versionen die Funktion eines elektronischen Brieföffners eingebaut: E-Mails, die nicht mit einem Master-Schlüssel zu dechiffrieren sind, lassen sich sogar automatisch abweisen. Was für eine Firma sinnvoll sein kann, um der Leitung einen Zugriff auf die dienstliche Post der einzelnen Mitarbeiter zu ermöglichen, kann mißbraucht werden, wenn Dritte auf diese Weise an den Inhalt von E-Mails gelangen können.

PGP ist derzeit schon ein De-facto-Standard für die Verschlüsselung von E-Mail im Internet. Zur Zeit wird daran gearbeitet, die PGP-Spezifikationen offiziell als "OpenPGP" zu standardisieren. Damit würden u. a. herstellerunabhängige Weiterentwicklungen von PGP unterstützt.

Mit der Herausgabe des Faltblattes und der Einrichtung unserer Serviceseite im Internet wollen wir auch ein praktisches Beispiel für den "neuen Datenschutz" geben: Datenschutz als Hilfe zum Selbstschutz. Dem Landesbeauftragten für den Datenschutz Schleswig-Holstein können übrigens PGP-verschlüsselte E-Mails zugeschickt werden.

Was ist zu tun?
Persönliche, behördliche und geschäftliche E-Mails sollten nur noch verschlüsselt verschickt werden. Wenn der Empfänger noch kein Verschlüsselungsprogramm einsetzt, sollte er auf diese Möglichkeit hingewiesen werden. Jede Verwaltung mit E-Mail-Anschluß sollte anbieten, daß die Bürgerinnen und Bürger verschlüsselt mit ihr kommunizieren können.

7.1.4

Platform for Privacy Preferences (P3P): US-Firmen zieren sich

Der Datenschutz beim Surfen im Internet soll trotz weltweit unterschiedlicher Datenschutzregelungen gewährleistet werden - und zwar mit technischer Unterstützung. P3P heißt ein Projekt, das auf eine US-amerikanische Initiative zurückgeht und das zu einem fairen Umgang der Anbieter mit den personenbezogenen Daten der Nutzer führen soll.

Im Internet gibt es viele Möglichkeiten, Daten über die Abrufer von Webseiten zu sammeln. Manchmal werden die Nutzer auch direkt nach ihren Daten gefragt, z. B. bevor ihnen Software zur Verfügung gestellt wird oder wenn Lieferanschriften oder Bankverbindungen notwendig sind. Nun ist der Datenschutz nicht überall (gleich) geregelt. Gerade die USA haben bislang auf eine Selbstregulierung der Wirtschaft statt auf gesetzliche Regelungen gesetzt. Daß immer mehr Internet-Nutzer Angst haben, daß über sie Daten gesammelt und mißbräuchlich genutzt werden, merkte auch das Standardisierungsgremium World Wide Web Consortium (W3C) in den USA und initiierte das Projekt P3P (Platform for Privacy Preferences).

P3P ist ein technischer Standard, mit dem Webseiten-Anbieter und Nutzer auf ihren jeweiligen Rechnersystemen "Datenschutz-Einstellungen" vornehmen können, die automatisch gegeneinander abgeglichen werden. Der Anbieter beschreibt, welche Nutzerdaten er zu welchen Zwecken verarbeiten will; der Nutzer legt fest, welche Daten er zu welchem Zweck herzugeben bereit ist. Damit soll der Nutzer eine Art Einwilligung in die Datenverarbeitung beim Anbieter ("informed consent") geben. Da das Ganze international funktionieren soll, haben weltweit Experten an diesem Standard mitgearbeitet. Über die Europäische Union erhielten wir Gelegenheit zur Mitarbeit und zur Überprüfung der Vereinbarkeit mit dem deutschen Multimediarecht.

Wir wiesen darauf hin, daß eine rein technische Lösung für den deutschen und europäischen Rechtsbereich nicht ausreicht, da zusätzlich Kontrollmechanismen dafür vorgesehen werden müßten, daß die Anbieter sich tatsächlich an ihre eigenen Datenverarbeitungsvorgaben halten. Mit dem technischen Lösungsansatz würden sich auch nicht die Rechte der Nutzer oder die Pflichten der Anbieter erschöpfen. Zudem muß das nationale Multimediarecht (vgl. 20. TB, Tz. 7.1) von deutschen Anbietern beachtet werden, insbesondere

  • der Grundsatz der Datensparsamkeit und die Möglichkeit für die Nutzer, Dienste anonym oder unter Pseudonym in Anspruch zu nehmen, soweit technisch möglich und zumutbar,

  • die vorgegebene Form der Einwilligung des Nutzers, beispielsweise mit digitaler Signatur, und

  • daß die Erbringung von Diensten nicht davon abhängig gemacht werden darf, daß der Nutzer Daten über sich preisgibt.

Dies haben wir auch in die Richtlinien für Anbieter und Programmierer einfließen lassen, damit die Standardeinstellungen in den P3P-Produkten (z. B. installiert in verschiedenen Web-Browsern) möglichst datenschutzfreundlich ausgestaltet werden.

Der P3P-Standard sollte bereits in der ersten Jahreshälfte 1998 zum Einsatz kommen. Doch haben die großen Browser-Firmen, obwohl sie an der Erstellung des Standards mitwirkten, noch keine Implementierungen in ihren Programmen vorgesehen. Auch hat der amerikanische Enthusiasmus abgenommen, nachdem sowohl die EU als auch die Fachverbände deutlich gemacht haben, daß die Selbstregulierungslösung mit technischer Unterstützung in der geplanten Form nicht ausreicht, sondern auch Mechanismen eingeführt werden müssen, um Nutzern gegebenenfalls zu ihrem Recht zu verhelfen und Verfehlungen von Anbietern zu ahnden. Zu einer Verbesserung haben das Projekt und die internationale Datenschutzdiskussion jedoch schon geführt: Viele Anbieter beschreiben in einer "Privacy Policy" auf ihrer Webseite, welche Daten sie wozu verarbeiten wollen.

Was ist zu tun?
Den Wünschen der Internet-Nutzer nach mehr Datenschutz muß Rechnung getragen werden. Dies kann durch technische Mechanismen unterstützt werden. In jedem Fall muß aber die tatsächliche Datenverarbeitung nicht nur in Deutschland kontrolliert werden.

7.1.5

Jugendschutz im Internet - Möglichkeiten und Grenzen

Die Schulen sollen ans Netz - vielleicht auch schon bald die Kindergärten? Das Internet ist ein Riesen-Pool mit Informationen. Nicht alle Inhalte sind jugendfrei. Leider werden auch illegale Inhalte transportiert, selbst wenn der Anteil, gemessen an den vielen nützlichen Informationen, gering ist. Die Verfolgung der Kinderpornographie im Internet ist ein wichtiges Anliegen, für das die allgemeinen gesetzlichen Vorschriften gelten.

In letzter Zeit wurde in den Medien intensiv über die Möglichkeit, per Internet kinderpornographische Bilder zu übertragen, berichtet. Sowohl die Verbreitung als auch der Besitz derartiger Bilder sind strafbar, d. h. jeder Abruf, jedes Speichern und jede Weitergabe, egal ob elektronisch oder auf Papier. Wir haben an der Erstellung eines Faltblattes, herausgegeben von den Kieler Organisationen Widerspruch e. V., dem Jugendamt und dem Präventionsbüro Petze, mitgewirkt, das Tips gibt, was man tun kann und sollte, wenn man mit solchen Inhalten in Berührung kommt.

Ein Ansatz zur Bekämpfung illegaler Inhalte besteht in der Meldung bei Polizeidienststellen oder über Hotlines, von denen mehrere zum Schwerpunkt Kinderpornographie im Jahr 1998 mit dem Ziel eingerichtet wurden, eine "aufmerksame Internet-Nachbarschaft" zu schaffen und eine vertrauensvolle Zusammenarbeit zwischen Internet-Nutzern, Providern und Polizei zu fördern: Hinweise können auch anonym eingehen, die Hinweisgeber müssen nicht mit einer Strafverfolgung rechnen. Damit soll jedoch keine Bürgerwehr aufgebaut oder zur Denunziation oder Selbstjustiz aufgerufen werden.

Die Initiative der Bundesländer "Jugendschutz.net" durchsucht per Programm die Webseiten im Internet anhand von Stichwörtern und Signaturen und wertet anschließend manuell die Ergebnisse - durchschnittlich 100 Treffer täglich - durch in diesem Bereich erfahrene Personen aus. Die Anbieter von jugendgefährdenden Inhalten mit Sitz in Deutschland, die für Minderjährige zugänglich sind, werden von der Initiative aufgefordert, die Angebote herauszunehmen oder gegebenenfalls wirksame Zugriffsbeschränkungen vorzusehen. Falls dies nicht geschieht, droht eine Weitergabe an die Ermittlungsbehörden. Bislang war dies jedoch nicht nötig.

Im Dezember 1998 lud das Bundeskriminalamt Provider und Vertreter von Ministerien, Ermittlungsbehörden und Datenschutzbeauftragten zu einem Workshop "Bekämpfung der Kriminalität im Internet" ein. Nach den Multimediagesetzen haben die Provider keine Verpflichtung, eine umfassende Überprüfung der Internet-Inhalte vorzunehmen. Dies wäre wegen der riesigen Menge und des erforderlichen juristischen Spezialwissens in vielen Fällen auch nicht möglich. Allerdings müssen sie auf Hinweise reagieren und Inhalte nach Möglichkeit entfernen oder die Meldungen an Ermittlungsbehörden weitergeben. Die Provider stellten klar, daß sie durchaus die Polizei unterstützen und Daten in der benötigten Weise herausgeben würden, vorausgesetzt, es liegt der gesetzlich vorgesehene richterliche Beschluß bzw. - bei Gefahr im Verzuge - eine staatsanwaltschaftliche Entscheidung vor.

Der Polizei reicht das nicht. Gerne würden die Ermittler auch ohne diese Voraussetzungen auf solche Daten zugreifen und die Provider zu einer Art "Hilfssheriffs" im Internet verpflichten. Zur rechtlichen Begründung wird auf eine Vorschrift aus dem Telekommunikationsdatenschutzrecht zurückgegriffen, nach der bei "Störung und Mißbrauch von Telekommunikationseinrichtungen" bestimmte Datenerhebungen und -verarbeitungen zulässig sind. Die betreffende Norm, § 7 Telekommunikationsdienstunternehmen-Datenschutzverordnung (TDSV), kann jedoch keine Rechtsgrundlage für Inhaltskontrollen sein, die in das Fernmeldegeheimnis eingreifen, da sie sich wie das gesamte Telekommunikationsrecht nur auf die Ebene der Übertragungsleitungen, nicht auf die Inhalte bezieht. Wir hoffen, daß die Aspekte des grundrechtlichen Fernmeldegeheimnisses bei der Arbeitsgruppe Berücksichtigung finden, in der der Informationsaustausch fortgesetzt werden soll.

Wenn es nicht um illegale Inhalte, sondern darum geht, zu Hause oder in der Schule keine jugendgefährdenden Webseiten anzuzeigen, können sich Eltern und Lehrer von Filtersoftware unterstützen lassen. Solche Programme bieten die Möglichkeit, den Abruf von als ungeeignet eingestuften Inhalten zu versperren und die Online-Zeit zu begrenzen. Häufig werden die Inhalte über die Adresse im Internet identifiziert: Statt Negativlisten für zu sperrende Webseiten lassen sich auch Positivlisten für ausgewählte kinderfreundliche Angebote einstellen. Dies bietet sich insbesondere für jüngere Altersgruppen an. Andere Methoden basieren auf vorgegebenen Suchwörtern oder anderen automatisiert auswertbaren Kriterien. Differenzierter kann man beim Abgleich mit an die Webseite angehängten Bewertungen arbeiten.

Leider hat sich bei all diesen Verfahren gezeigt, daß sie auch mißbraucht werden können, um unliebsame Inhalte, z. B. kritische Stimmen, zu unterdrücken, und daß ungewollt auch unbedenkliche Inhalte ausgefiltert werden. Bedingung für einen sinnvollen Einsatz dieser Programme ohne einen Anstrich von "Zensur" ist eine transparente und konfigurierbare Arbeitsweise unter der Kontrolle des Nutzers. Die Programme stellen keine perfekte Lösung dar, denn es gibt immer Möglichkeiten, die Sperrungen zu umgehen.

Jugendschutz bedeutet auch Schutz der personenbezogenen Daten der Kinder, die im Internet Spuren hinterlassen. Gute technische Lösungen sind durch Mix-Systeme (vgl. Tz. 7.1.1) erreichbar; auch P3P (vgl. Tz. 7.1.4) sieht spezielle Kindereinstellungen vor, die vor der Übermittlung der Nutzungsdaten schützen sollen.

Was ist zu tun?
Die Diskussion über illegale oder jugendgefährdende Inhalte im Internet sollte von allen Beteiligten sachlich geführt werden. Maßnahmen gegen den Transport von kinderpornographischen Inhalten im Internet müssen sich am Maßstab des grundrechtlich geschützten Fernmeldegeheimnisses messen lassen.

7.2

Biometrie datenschutzgerecht gestalten

Legitimation per Daumenabdruck - was bis jetzt vor allem aus Hochsicherheitstrakten und James-Bond-Filmen bekannt ist, soll immer mehr Einzug in das alltägliche Leben halten: die Biometrie. Nun kommt es darauf an, daß diese Technologie für den Datenschutz der Menschen und nicht für deren Überwachung eingesetzt wird.

Um sich gegenüber einem Bankautomaten oder Computersystem zu identifizieren, werden heutzutage hauptsächlich Mechanismen wie Paßwort und PIN ("Wissen") oder Chipkarten ("Besitz") verwendet. Hier besteht des Problem des "Vergessens" bzw. des Verlusts. Biometrische Verfahren, die auf Charakteristika des individuellen Menschen ("Sein") beruhen, haben demgegenüber den Vorteil, daß sie nicht einfach gestohlen oder ausgespäht werden können und häufig komfortabler zu bedienen sind. Damit können sie zu einer besseren Datensicherheit beitragen. Typische Einsatzbereiche liegen in der Zugangs- oder Zugriffskontrolle. Doch auch bei der Abgabe von Willenserklärungen, z. B. im Zusammenhang mit der digitalen Signatur (vgl. Tz. 7.6), können biometrische Verfahren zur Freischaltung eines privaten Schlüssels dienen. Für Verfahren nach dem Signaturgesetz ist zur Zeit geregelt, daß biometrische Merkmale zusätzlich zu einer Identifikation des Inhabers durch Besitz und Wissen nutzbar sind (§ 16 Abs. 2 SigV).

Damit ein biometrisches System eine Person erkennen kann, müssen die Informationen, mit denen später ein Abgleich erfolgen soll, in einer Referenzdatenbank gespeichert werden. Dazu werden die ausgewählten Merkmale der Person von biometrischen Sensoren erfaßt, digitalisiert und nach bestimmten Regeln zu komprimierten Referenzdaten umgewandelt. Bei einer späteren Identifizierung vergleicht das System die Informationen, die aktuell von den Sensoren gemeldet werden, mit den abgespeicherten Datensätzen und meldet gegebenenfalls eine Übereinstimmung. Hierbei lassen sich Fehler nicht vollständig ausschließen: Es können Nutzer fälschlich zugelassen wie auch fälschlich zurückgewiesen werden. Diese beiden Fehlerraten sind voneinander abhängig, d. h., wenn die eine steigt, sinkt die andere. Daher muß man für ein hohes Sicherheitsniveau das System so konfigurieren, daß möglichst keine Person fälschlich akzeptiert wird, man jedoch berechtigten Nutzern gegebenenfalls mehrere Versuche zumutet, bis sie erkannt werden.

Biometrische Daten sind nicht nur personenbezogen, sondern meist auf Dauer personengebunden und daher besonders sensibel. Biometrische Sensoren können unter Umständen mehr Informationen aufnehmen und analysieren als für die Identifikation der Person benötigt werden (z. B. bestimmte Krankheiten oder die momentane Stimmung der Person). Auch Überwachungstechnologien profitieren von der Biometrie. So gibt es Videoüberwachungssysteme, die es ermöglichen, einzelne Personen anhand ihrer Gesichter selbst in großen Menschenmengen zu erkennen und auf ihrem Weg zu verfolgen. In China werden mit derartigen Methoden noch heute Teilnehmer an den Demonstrationen auf dem Platz des Himmlischen Friedens identifiziert, anschließend verurteilt und jahrelang in Arbeitslager gesteckt.

Die gespeicherten Referenzdaten der Personen können ausgewertet werden. Dies ist besonders bedenklich, wenn sie unmittelbar die Identität des Betroffenen offenbaren. Dadurch könnte z. B. das polizeiliche System der erkennungsdienstlichen Sammlungen geradezu revolutioniert werden. Statt entsprechend den rechtsstaatlichen Vorschriften eigene Sammlungen aufzubauen, könnte die Polizei auf die biometrischen Datenbanken in privater Hand zurückgreifen.

Von der Ausgestaltung der Verfahren hängt ab, ob sich die Biometrie zu einer datenschutzfeindlichen oder datenschutzfreundlichen Technologie entwickelt. Zu den Datenschutzanforderungen gehört beispielsweise, daß

  • das Verfahren eine aktive Mitwirkung des Nutzers benötigt, damit keine Daten unerkannt erhoben werden,

  • die gespeicherten Daten unter der Kontrolle des Betroffenen stehen und z. B. in seinem Verfügungsbereich auf einer Chipkarte o. ä. gespeichert sind und

  • die Daten verschlüsselt im System so abgelegt sind, daß für einen Zugriff im Klartext eine aktive Freischaltung durch den Nutzer erfolgen muß.

Diese Ideen bringen wir in ein Pilotprojekt zum Electronic Banking ein, das von Biometrie-Herstellern des TeleTrusT e. V. unter Mitwirkung von Verbraucherschutz und Datenschutz ab 1999 durchgeführt werden soll. Hier sollen verschiedene biometrische Verfahren für eine Zugangskontrolle im Bankenbereich, an Geldautomaten und beim Homebanking erprobt und geprüft werden. Schon im Vorfeld wird die Bereitschaft der Hersteller deutlich, die Anforderungen des Daten- und Verbraucherschutzes möglichst gut in ihren Systemen umzusetzen. Wir haben die Einladung angenommen, durch die Begleitung des Projektes konstruktiv zur datenschutzgerechten Technikgestaltung bei biometrischen Verfahren beizutragen.

Was ist zu tun?
Gerade bei so sensiblen Technologien wie der Biometrie sollten Hersteller und Anwender Datenschutzexperten von Anfang an einbinden, um die Verfahren nicht nur (datenschutz)rechtlich einwandfrei zu realisieren, sondern mit ihnen sogar einen besseren Datenschutz erreichen zu können. Nur so läßt sich eine Akzeptanz bei den Nutzern erreichen.

7.3

Data-Warehouse und Data-Mining heben Zweckbindung auf

Neue Werbebotschaften der Softwareindustrie zum Data-Warehouse und zu Data-Mining kündigen eine grundlegende Veränderung in der Datenverarbeitung an. Es geht um die Entdeckung, daß in den umfangreich gespeicherten Daten weitaus mehr Erkenntnisse stecken können als auf den ersten Blick erkennbar ist. Der Zweckbindungsgrundsatz setzt Data-Warehouse und Data-Mining Grenzen.

Um das gesamte Wissenspotential zu erschließen, sollen die in Unternehmen oder sonstigen Organisationen verstreut gespeicherten Datenbestände zusammengeführt werden, so daß alle Informationen wie in einem Warenlager einheitlich geordnet zur Verfügung stehen. Aus diesem Data-Warehouse sollen dann sämtliche Informationen für jederzeitige und beliebige Auswertungen genutzt werden können. Die Daten stehen also nicht mehr nur im Zusammenhang des Zwecks, zu dem sie ursprünglich erhoben wurden, sondern sie dienen darüber hinaus allen weiteren Informationswünschen, die gerade bestehen oder zukünftig bestehen könnten. Dabei wird die Schutzfunktion der begrenzten Nutzung von Informationen, die Zweckbindung, schlicht aufgehoben.

Aus den zusammengeführten Daten lassen sich Informationen gewinnen, die vorher nicht erkennbar waren. Beim Data-Mining (engl. Daten-Bergbau) wird durch den Datenberg des Warehouse gegraben, um wissenswerte Zusammenhänge aufzuspüren. Grundidee des Data-Mining ist es, den Computer selbständig nach unbekannten oder verborgenen Mustern oder Trends suchen zu lassen, um auf diese Weise zu neuen Erkenntnissen zu gelangen, die dem Eigentümer des Warehouse nutzen könnten.

Wissen ist Macht - zumindest kann es einen geldwerten Vorteil bedeuten. Eine Handelskette, die - aus Datenbeständen abgeleitet - weiß, daß Väter gern Bier mitnehmen, wenn sie im Supermarkt Windeln für die Kleinen kaufen, kann ihr Sortiment strategisch plazieren und den Absatz steigern. Mag dieses Beispiel auch ein vielzitierter EDV-Mythos sein - mit der Harmlosigkeit solchen Wissens über Menschen ist es jedenfalls schnell vorbei, wenn der Kunde als identifizierbares Wesen unter die Lupe genommen und bewertet wird. Die Analyse seines Verhaltens führt zu Erkenntnissen, welchen Nutzen er dem Unternehmen bisher gebracht hat bzw. welcher für die Zukunft zu erwarten ist.

Wenn die automatisierte Auswertung der über ihn angehäuften Fakten zu seinen Ungunsten ausfällt, kann er von einem auf den anderen Tag in "Ungnade" fallen, weil man sich keinen ausreichenden Gewinn mehr von ihm verspricht. Wie sein "Kundenwert" im einzelnen bestimmt wird, erfährt er nicht. Vielfach wird er nicht einmal bemerken, daß sich das Verhalten eines Unternehmens auf gespeicherte Daten gründet, die mit bestimmten Annahmen verbunden als Rechenergebnis vom Computer geliefert wurden.

Das kundenorientierte Sammeln von Daten im Data-Warehouse bedeutet nichts anderes als das Anlegen von Dossiers über Menschen. Nun liegt es Unternehmen fern, ihre Kunden umfassend bespitzeln und somit beherrschen zu wollen. Ausschlaggebend ist zumeist nur die Hoffnung auf ein verbessertes Geschäftsergebnis. Dennoch ist das Horten von vermeintlichem oder zutreffendem Wissen über den unmittelbaren Geschäftszweck hinaus in einem übergreifenden Datenbestand nicht unproblematisch. In Verbindung mit personenbezogenen Daten bedeutet das Konzept des Data-Warehouse und des Data-Mining geradezu die Umkehrung des Datenschutzgedankens. Wo Informationen aus unterschiedlichsten Sinnzusammenhängen entnommen und von ihren ursprünglichen Zwecken entfernt werden, um ein übergreifendes und für beliebige Ziele verwendbares Datenlagerhaus zu schaffen, sind Menschen, um deren Daten es geht, nicht mehr in der Lage, zu überblicken, woher die Einzelinformationen stammen. Wird das Datenlagerhaus mit den Methoden des Data-Mining durchforstet, entsteht zusätzliches "Wissen", das vorher aus den gesammelten Einzelinformationen nicht zu ersehen war. Dies können Erkenntnisse sein, die sogar den betroffenen Menschen überraschen würden, sofern er denn davon erführe.

Nach dem Datenschutzrecht sind Data-Warehouse und Data-Mining mit personenbezogenen Daten enge Grenzen gesetzt, weil Daten nur im Rahmen ihrer ursprünglichen Zweckbestimmung verarbeitet werden dürfen. Auch eine Einverständniserklärung des Betroffenen scheidet aus, weil der Verwendungszweck der Daten des Warehouse eben nicht feststeht, sondern sich je nach Bedarf verändert. Wirtschaftsunternehmen sollten sich über die Gesetzeslage also rechtzeitig informieren, bevor sie mit großem Aufwand ein Data-Warehouse aufbauen.

Was derzeit in der Privatwirtschaft diskutiert wird, findet über kurz oder lang auch in der öffentlichen Verwaltung Nachahmung. Im Hinblick auf personenbezogene Daten wird zweifellos auch hier das Wunschbild nach übergreifenden Datenbeständen und -recherchen entstehen. Was bisher vor allem im Bereich der Sozialverwaltung unter dem Stichwort des Datenabgleichs diskutiert wurde, könnte zukünftig über den Begriff des Data-Warehouse als neuartige Problemlösung für die Verwaltung entdeckt werden: die Zusammenführung unterschiedlichster bereits vorhandener Daten zur Aufdeckung bisher übersehener (sozialstaatlicher) Einsparmöglichkeiten mittels Data-Mining. Die Neukonzeption des polizeilichen Datenverarbeitungssystems unter der Bezeichnung INPOL-neu ist ein Schritt in diese Richtung (vgl. Tz. 4.2.2).

Was ist zu tun?
Wer ein Data-Warehouse oder vergleichbare Lösungen in der Datenverarbeitung einsetzen will, muß zunächst die Vereinbarkeit mit den Zweckbindungsvorschriften prüfen. Für die öffentliche Verwaltung scheiden derartige Konzepte schon deswegen regelmäßig aus.

7.4

Krypto aktuell

Den jährlichen Bericht über die Entwicklung möglicher Kryptoregulierungen kann man schon als ständige Rubrik betrachten. Das Thema ist nach wie vor aktuell und noch lange nicht vom Tisch. Es hat sich geradezu ein Wettlauf zwischen den Verfechtern des Schutzes der Privatsphäre durch Verschlüsselung und Angriffen auf die Verschlüsselung ergeben. Hier also die Krypto-News von 1998.

Anfang des Jahres zeigte die amerikanische Datenschutzorganisation Electronic Frontier Foundation (EFF), daß man in 2 ½ Tagen einen 56-Bit-Schlüssel des Data Encryptionstandards (DES) knacken kann. Diese Verschlüsselungsmethode haben die deutschen Banken bis Ende 1997 eingesetzt. Die EFF-Mitglieder bauten für den "Knackwettbewerb" eine Maschine, die aus 1 800 parallel arbeitenden Spezialchips names "Deep Crack" besteht. Die Kosten für diesen Prototyp betrugen knapp 250 000 US­$; bei der Produktion von mehreren derartigen Maschinen würde der Preis deutlich sinken. Baupläne für den Nachbau des DES-Cracker sind in Buchform erschienen. Mittlerweile liegt der Knack-Weltrekord für DES bei nur noch 22 Stunden. Bei kürzeren Schlüsseln, z. B. mit einer Länge von 40 Bit, wie sie Anfang 1998 in der Regel in der Exportsoftware aus den USA erlaubt war, braucht die Maschine nur etwa 6 Sekunden.

Kurze Zeit später führte der Mathematiker Ronald L. Rivest ein Verfahren vor, das zwar auf jede Form der Verschlüsselung verzichtet, aber dennoch Nachrichten gegen unberechtigte Mitleser schützen kann: "Chaffing and Winnowing" (deutsch etwa: "die Spreu vom Weizen trennen"). Dabei wird die zu übermittelnde Botschaft in kleine Blöcke (man stelle sich beispielsweise vor, in der Länge von einem Buchstaben) unterteilt, die gemischt mit vielen anderen bedeutungslosen Blöcken transportiert werden. Nur Absender und Empfänger wissen, welche Blöcke zur eigentlichen Nachricht gehören, und können die Botschaft wieder zusammensetzen. Das Zumischen von sinnlosen Blöcken kann auch durch einen Dritten automatisiert erfolgen. Man kann diese Methode als eine Form der Steganographie auffassen, die sich durch eine Kryptoregulierung nicht verhindern läßt (vgl. 20. TB, Tz. 7.3.1; 19. TB, Tz. 7.6).

Vor diesem Hintergrund haben die USA mehrfach die Exportbestimmungen für Kryptoprodukte geändert. Dennoch besteht weiterhin die Pflicht, daß in fast allen Bereichen wirksame Kryptographie nur ausgeführt werden darf, wenn es möglich bleibt, bei Bedarf die verwendeten Schlüssel zu rekonstruieren (Key Recovery). Immer wieder wurden außerdem Versuche der Vereinigten Staaten bekannt, diese Politik auch in anderen Ländern, z. B. in Europa, durchzusetzen. Die Auswirkungen des Wassenaar-Abkommens, die kurz vor Weihnachten beschlossen wurden, sind noch nicht völlig klar. Aus dem Bundesausfuhramt verlautete immerhin schon, daß mindestens Software für den Massenmarkt wie "Pretty Good Privacy (PGP)" (vgl. Tz. 7.1.3) nicht unter eine Exportrestriktion falle.

Kompromittierende Strahlung ist heute zu einem Sicherheitsproblem auch ziviler Computernutzung besonders für Unternehmen geworden. In einigen Ländern, u. a. in den USA, ist geplant, einen "Großen Computerlauschangriff" zu legalisieren, bei dem kompromittierende Abstrahlung ausgewertet und Trojanische Pferde eingesetzt werden. Auch hier zeigt sich, daß der Schutz von Daten einen zunehmenden technischen Aufwand erfordert.

Von der neuen Bundesregierung gibt es noch keine eindeutigen Aussagen, zu einer möglichen Kryptoregulierung. Wir fördern weiterhin den Einsatz von Verschlüsselungsprogrammen und beraten auch laufend Bürger und Verwaltung. Im Entwurf des neuen Landesdatenschutzgesetzes haben wir für bestimmte Fälle eine Verschlüsselungspflicht vorgesehen.

Was ist zu tun?
Kryptographie muß frei bleiben, damit jeder die eigenen Daten wirksam schützen kann. Die Landesregierung sollte dies deutlich unterstützen und etwaigen Plänen zur Einschränkung der Kryptographie entgegentreten.

7.5

Auf dem Weg zum praktischen Einsatz der digitalen Signatur

Der praktische Einsatz der digitalen Signatur bedarf umfangreicher Vorbereitungen. Mit digitalen Signaturen ist in größerem Umfang ab 1999 zu rechnen.

Im 19. Tätigkeitsbericht (Tz. 7.7) und im 20. Tätigkeitsbericht (Tz. 7.2) hatten wir über die digitale Signatur, ihre möglichen Anwendungsbereiche und die im Jahr 1997 neu geschaffenen Rechtsvorschriften zu ihrem Einsatz berichtet. Seit dem Frühjahr 1998 wartet die Fachwelt darauf, daß erste Verfahren der digitalen Signatur nach dem Signaturgesetz in der Praxis angeboten werden. Allerdings erwiesen sich gerade die hohen Sicherheitsanforderungen, deren Einhaltung das Vertrauen in das Verfahren gewährleisten soll, als Bremse bei der schnellen Markteinführung. Selbst für große Anbieter war es nicht einfach, die geforderten Sicherheitsstandards in kurzer Zeit umzusetzen.

Um die vom Signaturgesetz vorgeschriebene zweistufige Infrastruktur der Zertifizierungsstellen in die Praxis umzusetzen, war zunächst die technische Einrichtung des Trust-Centers der Regulierungsbehörde für Telekommunikation und Post (RegTP) als Wurzelinstanz erforderlich. Diese Arbeit wurde von der auf Fragen der Kommunikationssicherheit spezialisierten Telekom-Tochter Telesec ausgeführt. Ende September 1998 konnte das fertige Trust-Center an die Regulierungsbehörde übergeben werden.

Inzwischen liegen bereits mehrere Anträge auf Zulassung als Zertifizierungsstelle nach dem Signaturgesetz bei der RegTP vor. Als erstes Unternehmen wird die Telekom ab Anfang 1999 die Ausgabe von Signaturzertifikaten anbieten. In den T-Punkt-Läden ist für 50 DM eine Signatur-Chipkarte mit einem Schlüsselpaar zu erwerben; weitere 100 DM werden als jährliche Gebühr für die Trust-Center-Dienstleistungen fällig. Das erforderliche Kartenlesegerät zusammen mit weiteren Sicherheitskomponenten kostet 300 DM. Es ist damit zu rechnen, daß bald weitere Genehmigungen erteilt und Zertifikate für Zertifizierungsstellen ausgegeben werden. Dies führt dann wohl zu einer für Endverbraucher akzeptablen Preissenkung. Erst dann werden die Bürger von der im Signaturgesetz vorgesehenen datenschutzfreundlichen Möglichkeit Gebrauch machen, im elektronischen Geschäftsleben auch unter Pseudonymen und mit mehreren Signaturschlüsselzertifikaten aufzutreten.

Weitere Informationen zu diesen Themen sind zu finden unter:

www.bsi.de/aufgaben/projekte/pbdigsig/index.htm
www.trustcenter.de/html/Infos/Law/405.htm
www.iid.de/iukdg/wissensforum/boerse.html

und unter der Textziffer 8.

7.6

Erstmalig Datenschutzanforderungen in den Common Criteria

Nachdem der Begriff "datenschutzfreundliche Technologien" (Privacy-Enhancing Technologies, PET) inzwischen zu einem Qualitätsmerkmal geworden ist, hat der Datenschutz mittlerweile auch Eingang in die neuen Standards zur Sicherheitszertifizierung gefunden.

"Common Criteria for Information Technology Security Evaluation 2.0" heißt der neueste Sicherheitsstandard, der im Mai 1998 fertiggestellt wurde. Er soll in Kürze zum internationalen Standard (ISO) für die Sicherheitszertifizierung von IT-Produkten und -Systemen werden. Erstmals sind darin Anforderungen zum Schutz der Privatsphäre der Nutzer formuliert. Die Rubrik "Privacy" enthält die Grundsätze zur Datensparsamkeit, Anonymität, Pseudonymität, Unverkettbarkeit und Unbeobachtbarkeit und geht damit deutlich über die bisherigen Sicherheitsziele hinaus, die sich hauptsächlich an den Interessen des Systembetreibers orientierten. Mit den Common Criteria wird eine Vergleichbarkeit der Bewertung verschiedener datenschutzfreundlicher Technologien möglich.

Die Erfüllung von abstrakten IT-Sicherheitskriterien allein garantiert jedoch noch keine sicheren Systeme - ebensowenig wie ein Gütesiegel dies kann. Immer ist die Einbindung in das gesamte automatisierte Verfahren und die organisatorischen Gegebenheiten zu berücksichtigen. Diese müssen ständig dem technologischen Fortschritt angepaßt werden. Zusammen mit dem Arbeitskreis Technik der Datenschutzbeauftragten des Bundes und der Länder haben wir einen externen Experten damit beauftragt, uns über aktuelle Entwicklungen im Bereich der Zertifizierungsstandardisierung auf dem laufenden zu halten und die Interessen des Datenschutzes in den Normungsgremien in enger Abstimmung mit uns zu vertreten.

Was ist zu tun?
Inzwischen werden die ersten Zertifizierungen nach den Common Criteria vorgenommen. Inwieweit von den betroffenen Produkten die Privacy-Kriterien erfüllt werden, kann in diesen Fällen gut überprüft werden.

7.7

Umfangreiche Abhörbestimmungen in Vorbereitung

Auf Betreiben der Sicherheitsbehörden verfolgte die alte Bundesregierung das Ziel, die Telekommunikation lückenlos überwachbar zu machen. Die aktuellen Regelungsvorhaben legen allerdings die Fragwürdigkeit dieses Ansatzes offen.

Mit dem Telekommunikationsgesetz (TKG) wurde 1996 der letzte Schritt zur Liberalisierung des Telekommunikationsmarktes unternommen. Zugleich wurden die Regelungen zum Fernmeldegeheimnis und zum Datenschutz in diesem Bereich an die neue Lage angepaßt, weil die Telekommunikationsdienste nicht mehr eine staatliche Stelle erbringt, sondern private Unternehmen. Allerdings gab das TKG den Sicherheitsbehörden auch neue Befugnisse zum Zugriff auf die Daten über die Kundinnen und Kunden von Telekommunikationsunternehmen (vgl. 19. TB, Tz. 7.3.1). Die Pflicht zur Mitwirkung bei Überwachungsmaßnahmen traf bis dahin allerdings nur die Unternehmen, die Telekommunikationsdienste für die Öffentlichkeit anboten.

Mit dem Anfang 1998 in Kraft getretenen Begleitgesetz zum Telekommunikationsgesetz wurden die Mitwirkungspflichten auch auf die "geschäftsmäßigen Erbringer von Telekommunikationsdiensten" ausgedehnt. Erfaßt waren damit sämtliche Telekommunikationsanlagen (neben Telefon- auch Computernetze), deren Betreiber Dritten entgeltlich oder unentgeltlich die Benutzung erlauben oder die für unternehmensinterne Zwecke genutzt werden (vgl. 20. TB, Tz. 7.4). Damit besteht z. B. die Pflicht für Krankenhaus- und Hotelbetreiber, die ihren Patienten bzw. Gästen ein Telefon zur Verfügung stellen, die Überwachung dieser Einrichtungen zu ermöglichen und dabei mitzuwirken. Das gleiche gilt für Computernetze. Der Nachweis, daß ein Telekommunikationssystem überwacht werden kann, ist eine der gesetzlichen Voraussetzungen für dessen Betriebszulassung. Aufgrund dieser Vorschriften wäre es möglich, Telefonnebenstellenanlagen, die diesen Anforderungen noch nicht genügen, stillzulegen.

Diese umfangreichen gesetzlichen Verpflichtungen zur Mitwirkung tragen dazu bei, daß in Deutschland im internationalen Vergleich besonders viele Telekommunikationsvorgänge überwacht werden. Dennoch kam es anläßlich des Inkrafttretens des TKG nicht zu größerem Protest der betroffenen Kreise; diesen war nämlich in Aussicht gestellt worden, daß die Verpflichtungen in der nach dem TKG zu erlassenden Telekommunikationsüberwachungs-Verordnung (TKÜV) zumindest teilweise wieder zurückgenommen würden.

Dies war allerdings bislang nicht der Fall. Die vorgelegten Entwürfe hätten vielmehr dazu geführt, daß beispielsweise eine einzige E-Mail-Nachricht an eine überwachte Person nicht weniger als dreimal an die überwachende Behörde zu übermitteln gewesen wäre:

  • Das Eintreffen der E-Mail beim Internet-Provider hätte zur ersten Übermittlung geführt, weil der Provider alle Daten, die in Zwischenspeichern abgelegt werden, unverzüglich an die überwachende Behörde zu liefern hätte.

  • Der Anruf der überwachten Person per Telefonleitung bei ihrem Internet-Provider würde die Überwachung dieses Datenverkehrs auslösen. Dabei würde die E-Mail vom Telekommunikationsunternehmen ein zweites Mal an die überwachende Behörde geliefert.

  • Der Internet-Provider schließlich wäre zur Übermittlung aller Datenpakete von der überwachten Person bzw. an diese verpflichtet, sobald diese Verbindung mit dem Provider aufnimmt. Gleichzeitig mit den vom Telekommunikationsunternehmen übermittelten Daten der überwachten Telefonleitung würde die überwachende Behörde auf getrenntem Wege dieselben transportierten Datenpakete vom Internet-Provider erhalten.

Bürgerinnen und Bürger müßten umfangreiche Einschränkungen des grundrechtlich geschützten Fernmeldegeheimnisses befürchten, ohne daß dies durch irgendeinen Sicherheitsvorteil aufgewogen würde. Für die Sicherheitsbehörden würden durch die Mehrfachüberwachung desselben Kommunikationsvorgangs die gleichen Daten mehrfach anfallen, ohne daß daraus ein Vorteil für die polizeiliche Arbeit folgen könnte. Die unnötige Belastung der Sicherheitsbehörden durch überflüssige Auswertung von doppelt und dreifach erlangtem Material würde vielmehr Arbeitskraft binden, die an anderer Stelle sinnvoller eingesetzt werden kann.

Bei den verpflichteten Unternehmen entstünden erhebliche Kosten, die in ihrer Gesamtheit nach ersten Berechnungen die Schäden um ein Mehrfaches übersteigen, die durch die organisierte Kriminalität entstehen, mit deren Bekämpfung die Gesetze begründet wurden. Viele kleine Telekommunikations- und Internet-Dienstleistungsunternehmen ohne eigene Infrastruktur würden durch die mit den Überwachungsauflagen verbundenen Kosten in ihrer Existenz bedroht. Die Kosten des Grundrechtseingriffs stehen hier in keinem Verhältnis zum Nutzen. Die einzig richtige Konsequenz kann nur die substantielle Verkleinerung des Kreises von Mitwirkungspflichtigen sein. Das TKG sollte dahin geändert werden, daß nur noch die Unternehmen, die Inhaber von Lizenzen sind, zur Mitwirkung bei der Überwachung verpflichtet sind.

Nach Presseveröffentlichungen zum TKÜV-Entwurf führten Proteste von Verbänden und Datenschützern dazu, daß das zuständige Bundeswirtschaftsministerium den Verordnungsentwurf und die Technische Richtlinie Internet zurückzog, bevor eine dazu geplante Anhörung stattfand. Die TKÜV steht in diesem Jahr erneut zur Beratung an.

7.8

Von der Europäischen Union zur Europäischen Überwachungsunion?

Ende 1998 schien es, als würden die extremen deutschen Vorstellungen zur Überwachung der Telekommunikation auch auf europäischer Ebene auf Akzeptanz stoßen. Im September beriet der EU-Ministerrat darüber, die Regelungen zur Überwachung der Telekommunikation EU-weit einheitlich an die Bedingungen im Internet und in globalen Satellitenkommunikationssystemen anzupassen.

Ein Anlaß war der Startschuß für das Satellitenkommunikationssystem IRIDIUM, über das Kunden überall auf der Welt mit einem Handy-ähnlichen Gerät kommunizieren können. Der globale Charakter des Systems bedingt, daß nicht mehr in jedem Staat überwachbare Satellitenbodenstationen existieren. Mit der sogenannten ENFOPOL-Entschließung sollten Verfahren für solche Länder etabliert werden, die rechtmäßige Überwachungsersuchen nur in Kooperation mit Staaten abwickeln können, in denen solche Basisstationen vorhanden sind.

Zugleich wurden Vorgaben für die Überwachung des Internet formuliert. Darin ist beispielsweise vorgesehen, auch das Paßwort und die Bankverbindung des Überwachten zu übermitteln. Sie gehen sogar über das deutsche Recht hinaus, weil ausdrücklich auch die mit Prepaid-Karten abgewickelte Telekommunikation in die Überwachung einbezogen werden soll. In der Konsequenz würde das bedeuten, daß jeder, der eine Chipkarte der Telekom kauft, seine Personalien angeben müßte.

Offensichtlich zielt die Regelung darauf ab, jedes verfügbare Datum für eine Überwachung nutzbar zu machen. Unbeachtet blieben auch hier die bereits angeführten Konsequenzen, die das Auseinanderfallen von Dienste- und Infrastrukturanbieter für die Überwachung haben.

Mit der ENFOPOL-Entschließung werden zwar zunächst keine die Mitgliedstaaten bindenden Rechtsvorschriften geschaffen. Die freiwillige Umsetzung der Entschließung würde aber die schon dargestellte Mehrfachüberwachung eines Kommunikationsvorgangs durch eine überwachende Behörde bewirken. Dies unterstreicht nur noch einmal, wie dringend eine den technischen und organisatorischen Veränderungen im Telekommunikationssektor angepaßte Neuregelung der Telekommunikationsüberwachung ist. Diese Neuregelung hat Eingriffe in das Fernmeldegeheimnis zu minimieren. Dies liegt im Interesse des Grundrechtsschutzes wie im Interesse einer effektiven Arbeit der Sicherheitsbehörden und nicht zuletzt der Wettbewerbsfähigkeit der deutschen Unternehmen.

Das Internet und andere neuen Formen der Telekommunikation führen dazu, daß heute deutlich sensiblere Daten über Telekommunikationsnetze verschickt werden - man denke allein an die Daten, die bei Telebanking oder Telemedizin anfallen. Dem Schutz des Fernmeldegeheimnisses kommt dadurch erheblich größere Bedeutung zu. Diese gesteigerte Bedeutung aber hat bislang nicht zu einer entsprechenden Stärkung des Fernmeldegeheimnisses geführt (vgl. Tz. 2.1).

Was ist zu tun?
Die Landesregierung sollte sich dafür einsetzen, daß in einer Novellierung des TKG die Überwachung der Telekommunikation vor dem Hintergrund der Entwicklungen auf dem Telekommunikationssektor grundlegend neu bewertet wird.

7.9

Set-Top-Boxen datenschutzgerecht gestalten!

Die neuen Medien wie Internet und die herkömmlichen wie Fernsehen und Hörfunk nähern sich technisch immer mehr an. Damit entstehen auch vergleichbare datenschutzrechtliche Problemlagen. Erfreulicherweise zeichnet sich die Übernahme der vorbildlichen Multimedia-Regelungen auf den Rundfunkbereich ab.

Bei der Nutzung des Internet und von Online-Diensten sind sich viele Nutzer inzwischen der datenschutzrechtlichen Risiken bewußt. Der Gesetzgeber hat bereits im Jahr 1997 darauf reagiert und vorbildliche Regelungen zum Datenschutz im IuKDG und im Mediendienste-Staatsvertrag erlassen (vgl. 20. TB, Tz. 7.1).

Allerdings wird vielen Bürgern noch gar nicht bewußt geworden sein, daß ähnliche Probleme künftig auch im Bereich der herkömmlichen Medien Fernsehen und Hörfunk entstehen können. Der Grund dafür ist, daß auch diese Medien in absehbarer Zeit vollständig in digitalisierter Form übertragen werden sollen. Schon jetzt gibt es entsprechende Angebote der öffentlich-rechtlichen und der privaten Rundfunkveranstalter.

Zum Empfang des digitalisierten Rundfunks wird ein Empfangsgerät benötigt. Mit dieser Set-Top-Box besteht grundsätzlich auch die Möglichkeit, daß die Rundfunkveranstalter über einen Rückkanal Daten darüber sammeln, wer welche Sendungen abgerufen hat. Diese Informationen sollen beim sog. Pay-TV zur nachträglichen Bezahlung der abgerufenen Sendungen verwendet werden. Gleichzeitig würde sich auch ein detailliertes Informationsprofil des Nutzers ergeben.

Die Inanspruchnahme des Rückkanals zu Abrechnungszwecken ist allerdings keineswegs zwingend. Die Abrechnung für die digitalen Fernsehprogramme ist auch anonym mit im voraus bezahlten Prepaid-Karten möglich. Auch die Inhaber von Verwertungsrechten können durch zertifizierte Zähleinrichtungen oder den Einsatz von Pseudonymen in datenschutzgerechter Weise einen Nachweis über die zahlenmäßige Inanspruchnahme ihrer Sendungen erreichen.

Bei der anstehenden vierten Änderung rundfunkrechtlicher Staatsverträge, die voraussichtlich in der ersten Jahreshälfte 1999 erfolgen wird, ist auch die Aufnahme entsprechender Regelungen vorgesehen. Die Regelungen lehnen sich an die vorbildlichen Vorschriften des Informations- und Kommunikationsdienste-Gesetz des Bundes und den Multimedia-Staatsvertrag der Länder vom August 1997 an. Sie enthalten ebenso wie diese Regelungswerke das Gebot der Datensparsamkeit und die Verpflichtung für Rundfunkveranstalter, die Nutzung und Bezahlung von Rundfunkangeboten anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Daten über die Inanspruchnahme bestimmter Sendungen dürfen nur gespeichert werden, wenn dies für die Erstellung eines Einzelnachweises erforderlich ist. Schließlich ist auch die Möglichkeit eines Datenschutz-Audits der Rundfunkveranstalter vorgesehen. Hersteller und Anbieter von Set-Top-Boxen müssen sich rechtzeitig auf diese Rechtslage einstellen und ihre Produkte entsprechend gestalten. Diese Regelungen könnten der Gefahr entgegenwirken, daß der "Gläserne Fernsehkonsument" in wenigen Jahren Wirklichkeit wird.

Was ist zu tun?
Das Land Schleswig-Holstein sollte nachdrücklich die geplanten datenschutzrechtlichen Bestimmungen im Rundfunkänderungsstaatsvertrag unterstützen. Hersteller von Set-Top-Boxen müssen sich rechtzeitig auf die Rechtslage einstellen.


Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel