Materialien zum Datenschutz
Homepage

Wir über Uns
Berlin
National
Europäische Union
International
Recht
T.O Maßnahmen
Aktuelles
Kontrolle
Materialien
Service
Themen

Jahresbericht 1996

4.7 Telekommunikation und Medien

4.7.1 Entwicklung des Telekommunikationsrechts

Das Telekommunikationsgesetz (TKG) (BGBl. 1996 I, S. 1120), das die letzte Stufe der Liberalisierung im Telekommunikationsbereich ("Postreform III") bildet, ist im Berichtszeitraum in Kraft getreten (vgl. JB 1995, 4.3).

Das Telekommunikationsgesetz enthält jetzt auch Regelungen zum Datenschutz, die vorher nur auf der Ebene von Rechtsverordnungen (Telekom-Datenschutzverordnung - TDSV bzw. Teledienstunternehmen-Datenschutzverordnung - UDSV) festgelegt waren. Entgegen den ursprünglichen Entwürfen ist die Wahrung des Fernmeldegeheimnisses ausdrücklich als Regulierungsziel in das Gesetz aufgenommen worden (§ 2 Abs. 2 Nr. 1 TKG). Unternehmen, die geschäftsmäßig Telekommunikationsdienste erbringen oder an der Erbringung solcher Dienste mitwirken, dürfen personenbezogene Daten ihrer Kunden, die sie für die Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses erhoben haben, für Zwecke der Werbung, Kundenberatung oder Marktforschung nur noch dann nutzen, wenn der Kunde eingewilligt hat. Die Eintragung in öffentliche gedruckte oder elektronische Verzeichnisse erfolgt nur, soweit der Kunde dies beantragt hat. Die Betroffenen können bestimmen, ob und welche Angaben in den Kundenverzeichnissen veröffentlicht werden sollen. Zusätzlich ist den Kunden endlich das bereits mehrfach in vergangenen Berichtsjahren geforderte, nach Medien differenzierte Wahlrecht zur Veröffentlichung ihrer Daten in Kundenverzeichnissen eingeräumt worden. Damit ist es möglich, die entsprechenden Angaben zwar in gedruckten, nicht aber in elektronischen Verzeichnissen veröffentlichen zu lassen (§ 89 Abs. 8 TKG).

Bei anderen Problemen konnten keine befriedigenden Lösungen erreicht werden. So ist der § 12 des Fernmeldeanlagengesetzes, der zur Erteilung von Auskünften "über die Telekommunikation" an Gerichte und Staatsanwaltschaften im Rahmen beliebiger strafgerichtlicher Untersuchungen verpflichtet, entgegen der wiederholten Forderung der Konferenz der Datenschutzbeauftragten (vgl. zuletzt JB 1994, 5.1, Anlage 2.5) weder gestrichen noch in verfassungskonformer Weise geändert worden.

Seitenanfang

nächste Seite

Neu ist auch eine Vorschrift, die Anbieter von Telekommunikationsdiensten zur Führung von Kundendateien verpflichtet, für die der Regulierungsbehörde für Zwecke der Gerichte und Staatsanwaltschaften, der Polizei, der Zollbehörden sowie der Nachrichtendienste ein automatisiertes Abrufverfahren ermöglicht werden soll (§ 90 TKG). Die Diensteanbieter müssen sicherstellen, daß ihnen Abrufe durch die berechtigten Stellen nicht zur Kenntnis gelangen. Wir hatten im Rahmen des Gesetzgebungsverfahrens insbesondere kritisiert, daß der Zugriff auf die Kundendaten für die genannten Stellen zur Erfüllung ihrer gesetzlichen Aufgaben nahezu schrankenlos zulässig ist, und eine stärkere Bindung an die Verfolgung konkreter Straftaten gefordert. Dieser Empfehlung ist der Gesetzgeber nicht gefolgt.

Dieses Verfahren schafft eine Infrastruktur, die datenschutzpolitisch das Telekommunikationsnetz in die Nähe eines Fahndungsnetzes für diese Behörden rückt. Damit verändert sich die Funktion dieses zentralen Kommunikationsnetzes, das in seiner bisherigen (analogen) Form technisch zur Fahndung nur bedingt geeignet war. Der Zweckentfremdung sind keine technischen, sondern nur noch rechtliche Schranken gesetzt. Zudem sind die Diensteanbieter, die den Zugriff der Sicherheitsbehörden auf ihre Kundendateien nicht registrieren dürfen, nicht in der Lage, die befugten Zugriffe dieser Stellen von unbefugten Zugriffen zu unterscheiden. Dies widerspricht allen bisher in anderen Rechtsbereichen vorgesehenen Sicherheitsvorkehrungen und Kontrollpflichten der datenverarbeitenden Stellen beim Online-Zugriff von außen.

Weitere Kundendaten sollen darüber hinaus im Einzelfall für die Verfolgung von Straftaten und Ordnungswidrigkeiten, zur Abwehr von Gefahren für die öffentliche Sicherheit oder Ordnung oder für die Erfüllung der gesetzlichen Aufgaben der Nachrichtendienste oder des Zollkriminalamtes den zuständigen Stellen übermittelt werden (§ 89 Abs. 6 TKG). Auskünfte an die genannten Stellen dürfen auch hierbei Kunden oder Dritten nicht mitgeteilt werden. Die Möglichkeiten zur Erhebung personenbezogener Daten bei Diensteanbietern sind damit gegenüber der vorher gültigen Bestimmung des § 10 Abs. 4 Nr.1 des Gesetzes über die Regulierung der Telekommunikation und des Postwesens (PTRegG) nochmals erweitert worden. Zumindest das Verbot der Information des Kunden über die Einzelauskunft ist verfassungsrechtlich problematisch.

Die Vorschriften über die Kontrolle des Datenschutzes wurden insofern verändert, als nunmehr der Bundesbeauftragte für den Datenschutz als zentrale Stelle für die Kontrolle der Einhaltung von Datenschutzbestimmungen bei Unternehmen, die in den Geltungsbereich des TKG fallen, zuständig ist - für Sprachtelephonie allerdings erst ab 1.1.98 (§ 91 Abs. 4 TKG). Für das Angebot von Telekommunikationsdienstleistungen durch öffentliche Stellen der Länder bleiben jedoch auch darüber hinaus weiterhin die Landesbeauftragten für den Datenschutz zuständig.

Telekommunikationsdienstunternehmen-Datenschutzverordnung (TDSV)

Noch auf der Grundlage des Post- und Telekommunikationsregulierungsgesetzes ist am 19. Juli 1996 die Telekommunikationsdienstunternehmen- Datenschutzverordnung (TDSV) in Kraft getreten (BGBl. I, S. 982). Die Verordnung ersetzt die bis dahin für die Deutsche Telekom AG gültige Telekom-Datenschutzverordnung und die Teledienstunternehmen-Datenschutzverordnung (UDSV), die für private Wettbewerber der Telekom galt. Sie enthält einige wesentliche Änderungen der bisherigen Rechtslage.

Im Regelfall ist ein Telekommunikationsunternehmen nur dazu berechtigt, die Zielnummer nach dem Ende der Verbindung um die letzten drei Ziffern gekürzt zu speichern. Etwas anderes gilt nur, wenn der Kunde sich entweder für eine vollständige Löschung oder vollständige Speicherung entscheidet. Die Deutsche Telekom AG setzt sich über diese eindeutige Rechtslage allerdings bei Auslandsgesprächen mit dem bemerkenswerten Argument hinweg, die Verordnung sei technisch überholt, und speichert hier im Regelfall vollständige Zielnummern.

Im Gegensatz zur gegenwärtigen Praxis der Deutschen Telekom AG können nunmehr nach Wahl des anrufenden Kunden Einzelverbindungsnachweise mit vollständigen Zielnummern erstellt werden, ohne daß der angerufene Kunde der Aufnahme seiner Zielnummer in die Einzelentgeltnachweise widersprechen kann (§ 6 Abs. 7 TDSV). Die Einführung einer solchen Wahlmöglichkeit für den Angerufenen, wie sie in den Niederlanden bereits praktiziert wird, hatten wir empfohlen. Durch dieses Verfahren hätte auch die Problematik der Aufnahme von Anrufen bei telefonischen Beratungsstellen in Einzelverbindungsnachweise unbürokratisch gelöst werden können. Bis zum Ende des Berichtszeitraums hat die Telekom auf die Erstellung von Einzelentgeltnachweisen mit vollständigen Zielnummern verzichtet.

Für die Eintragung in öffentliche Kundenverzeichnisse räumt die neue TDSV in Übereinstimmung mit dem TKG den Kunden ein differenziertes Wahlrecht ein. Damit können die Kunden erstmals zwar in gedruckten Teilnehmerverzeichnissen eingetragen sein, gleichzeitig aber die Aufnahme ihrer Daten in elektronische Teilnehmerverzeichnisse ausschließen. Diese Einträge sind in den gedruckten Kundenverzeichnissen gesondert zu kennzeichnen. Dadurch sollen auch Informationsanbieter, die nicht in den Geltungsbereich der TDSV fallen und lediglich elektronische Teilnehmerverzeichnisse - z. B. auf CD-ROM - anbieten, darauf hingewiesen werden, daß der Kunde eine Aufnahme seiner Daten in elektronische Kundenverzeichnisse nicht wünscht.

Der Verordnungsgeber hat nunmehr unmißverständlich klargestellt, daß das Angebot zur Unterdrückung der Anzeige der Rufnummer des Anrufers beim angerufenen Anschluß kostenfrei erfolgen muß (§ 9 Abs. 1 TDSV). Für dieses Leistungsmerkmal hatte die Deutsche Telekom AG in der Vergangenheit Gebühren erhoben.

Bei der Rufnummernauskunft sind grundlegende Änderungen eingetreten: Die Weitergabe der Rufnummer durch den Telefonauskunftsdienst ist nach Wahl des Kunden auch dann möglich, wenn er der Aufnahme seiner Daten in Teilnehmerverzeichnisse widersprochen hat. Dies war in der Vergangenheit von verschiedenen Fernmeldeämtern in der Bundesrepublik unterschiedlich gehandhabt worden.

Zukünftig können auch über die Rufnummer hinausgehende Auskünfte über in Teilnehmerverzeichnissen veröffentlichte Kundendaten gegeben werden. Während dies für Neukunden nur aufgrund ihrer Einwilligung erfolgen darf, hat der Verordnungsgeber für Kunden, mit denen zum Zeitpunkt des Inkrafttretens bereits ein Vertragsverhältnis besteht, eine Widerspruchslösung vorgesehen.

Die TDSV war bereits zum Zeitpunkt ihres Inkrafttretens wieder novellierungsbedürftig;, da sie an die neue Verordnungsermächtigung des TKG angepaßt werden muß.

Multimedia-Gesetzgebung in Bund und Ländern

Mit dem schrittweisen Inkrafttreten des Telekommunikationsgesetzes werden die rechtlichen Rahmenbedingungen für Betreiber von Telekommunikationsnetzen festgelegt. Ungeregelt ist dagegen bisher die Nutzung dieser Netze, wenn man vom Sprachtelefondienst absieht. Der Bildschirmtext-Staatsvertrag, der seit 1983 eine bestimmte Form der Nutzung des bundesweiten Telefonnetzes außerhalb des Sprachtelefondiensts regelte, muß weitgehend als technisch überholt angesehen werden. Insbesondere bereitet seine Anwendung auf Online-Dienste erhebliche Schwierigkeiten. Auch der Rundfunkstaatsvertrag Berlin-Brandenburg von 1992 (Staatsvertrag über die Zusammenarbeit zwischen Berlin und Brandenburg im Bereich des Rundfunks vom 29.2.1992, GVBl. S. 150) regelt zwar die Erprobung von rundfunkähnlichen sonstigen Diensten durch Nutzung neuer Techniken oder neuer Nutzungsformen (§ 47) im Anschluß an das Kabelpilotprojektgesetz von 1984. Auch diese Regelungen erfassen jedoch die neuen Tele- und Mediendienste nur unzureichend.

Die Datenschutzbeauftragten haben sich seit Anfang der 80er Jahre für eine datenschutzgerechte Regelung der Verarbeitung von Verbindungs- und Abrechnungsdaten nicht nur auf der Ebene der Netze, sondern auch auf der Nutzungsebene eingesetzt. Speziell Berlin hat seit dem Kabelpilotprojektgesetz von 1984 in diesem Bereich stets eine Vorreiterrolle eingenommen. Bei der jetzt anstehenden Schaffung eines neuen Regelungsrahmens für Tele- und Mediendienste, die nicht als Rundfunk im herkömmlichen Sinne zu bezeichnen sind, wird es darauf ankommen, das bisherige Schutzniveau für den Bürger beizubehalten und - soweit neue Risiken erkennbar werden - zu verbessern.

Die Datenschutzbeauftragten haben darüber hinaus in einer Entschließung zu Eckpunkten für die datenschutzrechtliche Regelung von Mediendiensten vom 29. April 1996 (Anlage 2.4) betont, daß Dienste und Multimedia-Einrichtungen so gestaltet werden müssen, daß keine oder möglichst wenige personenbezogenen Daten erhoben, verarbeitet und genutzt werden; deshalb seien auch anonyme Nutzungs- und Zahlungsformen anzubieten. Dieser Entschließung waren mehrere Anhörungen in München und Hamburg vorausgegangen, bei denen sich die Datenschutzbeauftragten von Vertretern der Online-Dienste deren Sichtweise erläutern ließen. Der Grundsatz der Datensparsamkeit bzw. Datenarmut war bereits im Bericht des Rates für Forschung, Technologie und Innovation zur Informationsgesellschaft vom Dezember 1995 (Informationsgesellschaft, Chancen, Innovationen und Herausforderungen (Feststellungen und Empfehlungen), S. 31), als Element eines modernen Datenschutzrechts gekennzeichnet worden. Nachdem der lange schwelende Streit zwischen Bund und Ländern über die Frage der Regelungskompetenz im Multimedia-Bereich Anfang Juli 1996 zumindest vorläufig beigelegt worden war, begannen Abstimmungsgespräche zwischen Bund und Ländern mit dem Ziel, zu möglichst einheitlichen Regelungen auf Bundes- und Landesebene für alle neuen Multimedia-Dienste zu gelangen. An diesen Gesprächen haben wir uns intensiv beteiligt. Der am 11. Dezember 1996 vom Bundeskabinett beschlossene Entwurf eines Gesetzes zur Regelung der Rahmenbedingungen für Informations- und Kommunikationsdienste (Informations- und Kommunikationsdienste-Gesetz) (BR-Drs. 966/96) und der wenig später von den Ministerpräsidenten der Länder gebilligte Entwurf eines Mediendienste-Staatsvertrags der Länder enthalten in ihren datenschutzrechtlichen Teilen weitgehend identische Vorschriften. Artikel 2 des Entwurfs für ein IuK-Dienste-Gesetz des Bundes beschäftigt sich ausschließlich mit dem Datenschutz bei Telediensten (Teledienstedatenschutzgesetz); demgegenüber finden sich die Datenschutzbestimmungen auf Länderseite im III. Abschnitt des Mediendienste-Staatsvertragsentwurfs.

Die jeweiligen Geltungsbereiche der bundes- und landesrechtlichen Regelungen sollen in der Weise voneinander abgegrenzt werden, daß der Bund Regelungen für Angebote im Bereich der Individualkommunikation (Teledienste, z. B. Telebanking, Datenaustausch, Angebote zur Nutzung des Internets oder weiterer Netze, Telespiele) trifft, während die Länder das Angebot und die Nutzung von an die Allgemeinheit gerichteten Informations- und Kommunikationsdiensten (Mediendiensten) regeln. Im einzelnen werden sich in der Praxis voraussichtlich Schwierigkeiten bei der Frage ergeben, ob Bundes- oder Landesrecht anwendbar ist.

Positiv hervorzuheben an beiden Entwürfen ist vor allem die Verpflichtung des Diensteanbieters, den Nutzern die Inanspruchnahme von Tele- und Mediendiensten und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen, soweit dies technisch möglich und zumutbar ist. Damit wird eine zentrale Forderung der Datenschutzbeauftragten aufgegriffen, die stets eine Option für den Bürger zur spurlosen Nutzung von Multimedia-Diensten gefordert hatten. Erstmals findet damit das Gebot der Datenvermeidung jedenfalls in Form einer zwingend vorgeschriebenen Nutzungsvariante Eingang in die deutsche Gesetzgebung (vgl. auch oben 2.2).

Positiv zu bewerten ist auch, daß der Diensteanbieter Daten über den Nutzer nur in transparenter Weise erheben darf. Dies gilt auch für die Verwendung sogenannter Cookies ("Kekse"), die von Diensteanbietern im Multimedia-Bereich zunehmend eingesetzt werden (vgl. unten 4.8.4).

Der Entwurf des Mediendienste-Staatsvertrags sieht die Einführung des "Datenschutz-Audit" vor. Dabei handelt es sich um ein Gütesiegel ("Blauer Engel" für datenschutzfreundliche Gestaltung eines Angebots), das nach dem Vorbild des Umwelt-Audits (vgl. Gesetz zur Ausführung der Verordnung (EWG) Nr. 1836/93 des Rates vom 29. Juni 1993 über die freiwillige Beteiligung gewerblicher Unternehmen an einem Gemeinschaftssystem für das Umweltmanagement und die Umweltbetriebsprüfung (Umwelt-Auditgesetz - UAG) BGBl. 1995, 1591) von zugelassenen Gutachtern vergeben werden soll. Die Einführung eines solchen Datenschutz-Audits wäre eine wichtige Ergänzung der bisherigen Möglichkeiten zur Durchsetzung und Verbesserung des Datenschutzes (auch außerhalb des Multimedia-Bereichs). Ein solches Gütesiegel könnte von den Anbietern dazu benutzt werden, um auf dem Markt Wettbewerbsvorteile durch datenschutzfreundliche Dienstleistungen zu erlangen. Dabei geht es keineswegs nur um die Einhaltung der datenschutzrechtlichen Verpflichtungen im engeren Sinn, die ohnehin bestehen. Vielmehr könnte "Datenschutz" auch zum Verkaufsargument in der Weise werden, daß ein Anbieter sich von einem unabhängigen Gutachter bescheinigen läßt, daß er über die gesetzlichen Verpflichtungen zugunsten des Nutzers hinausgeht. In diesem Zusammenhang hätte das Datenschutz-Audit auch eine wichtige Funktion bei der Sicherstellung eines hohen Datenschutzstandards im internationalen Bereich. Da Aufsichtsmaßnahmen (Untersagungsverfügungen o.ä.) gegen ausländische Anbieter ohnehin nicht verhängt werden können, kommt es darauf an, im Inland die Datenschutzfreundlichkeit eines Multimedia-Angebots verkaufsfördernd einzusetzen, so daß auch ausländische Anbieter, die in Deutschland Kunden werben wollen, gehalten sind, sich um ein entsprechendes Gütesiegel zu bemühen.

Deshalb ist es unverständlich, weshalb die Bundesregierung eine Vorschrift, die das Datenschutz-Audit auch im Bereich der Teledienste in früheren Entwürfen des IuK-Dienste-Gesetzes vorsah, gestrichen hat. In diesem Punkt haben wir uns für eine Wiederaufnahme des Datenschutz-Audits in den Bundesentwurf eingesetzt, auch um ein Auseinanderfallen der rechtlichen Standards in diesem Bereich zu verhindern.

Noch in einem weiteren Punkt weichen der Gesetzentwurf der Bundesregierung und der Staatsvertragsentwurf der Länder voneinander ab:

Entsprechend dem TKG will die Bundesregierung Diensteanbieter dazu verpflichten, Bestandsdaten auf Ersuchen an die zuständigen Stellen zur Verfolgung von Straftaten oder Ordnungswidrigkeiten, zur Gefahrenabwehr oder für die Erfüllung der Aufgaben der Nachrichtendienste und des Zollkriminalamtes zu übermitteln. Die Folgen wären hier noch gravierender als im Netzbereich. Jeder Anbieter eines Homebanking-Dienstes wäre z.B. verpflichtet, der Polizei oder den Verwaltungsbehörden ohne weitere Voraussetzungen (auch zur Verfolgung von Ordnungswidrigkeiten) Auskunft über seine Kunden zu geben. Interne Schutzregelungen der Banken und Sparkassen zum "Bankgeheimnis" der Kunden würden damit unterlaufen. Über die bisherige Rechtslage hinaus würde auch den Nachrichtendiensten ein privater Datenbestand offenstehen. Eine andere Folge dieser Regelung wäre, daß Anbieter von elektronischen Informationsdiensten (z.B. Online-Zeitungen), soweit sie in den Anwendungsbereich des IUK-Dienste-Gesetzes fallen, offenlegen müßten, welche ihrer Kunden welche Dienste z.B. mit einer bestimmten politischen Tendenz in Anspruch nehmen. Darin läge ein massiver Eingriff in die Informations- und Meinungsfreiheit des Einzelnen. Die Digitalisierung des Informationsabrufs würde einhergehen mit einer stärkeren Überwachbarkeit des Nutzerverhaltens.

Eine derartige "Verpolizeilichung" des Marktes für Teledienste ist strikt abzulehnen. In keinem anderen Wirtschaftsbereich und erst recht nicht im bisher geltenden Medienrecht sind vergleichbare Übermittlungspflichten der Anbieter von Gütern und Dienstleistungen hinsichtlich ihrer Kunden bekannt. Das geltende Strafprozeßrecht und die Polizeigesetze der Länder enthalten insoweit ausreichende Befugnisse zur Verbrechensbekämpfung auch im Bereich der Multimedia-Dienste. Ein Bedarf zur Übermittlung derartiger Daten an die Nachrichtendienste ist ohnehin nicht erkennbar.

Die Länder haben daher zu Recht die Übernahme einer entsprechenden Regelung in den Entwurf eines Staatsvertrages über Mediendienste abgelehnt. Wir haben uns dafür eingesetzt, daß auch der Gesetzentwurf der Bundesregierung auf diese pauschale Überwachungsklausel verzichtet.

Übrigens setzt sich die Tendenz zur Sicherstellung der Überwachbarkeit von Telekommunikation auch im Entwurf des Signaturgesetzes (Artikel 3 des IuK-Dienste-Gesetzes) fort. Zwar eröffnet dieser Gesetzentwurf dem Einzelnen, der ein Zertifikat für eine digitale Signatur bei der Zertifizierungsstelle beantragt, auf dem Zertifikat entweder seinen wirklichen Namen oder ein Pseudonym eintragen zu lassen. Damit erkennt die Bundesregierung an, daß ein legitimes Interesse des Einzelnen darin bestehen kann, auch bei der Verwendung elektronischer Unterschriften seine Identität nicht preiszugeben. Andererseits soll die Zertifizierungsstelle verpflichtet werden, bei einem Signaturschlüssel-Inhaber mit Pseudonym die Daten über dessen Identität an die genannten Sicherheitsbehörden zu übermitteln. Es ist nicht erkennbar, weshalb ein Bürger, der ein Zertifikat für eine elektronische Unterschrift mit Pseudonym erhalten hat, damit rechnen muß, daß seine Identität auch von den Verfassungsschutzbehörden und den Nachrichtendiensten ermittelt werden kann. Die an sich begrüßenswerte Option für den Schlüsselinhaber, ein Pseudonym zu wählen, wird durch den pauschalen Identifikationsvorbehalt der Sicherheitsbehörden praktisch entwertet. Auch wenn die Behörden durch die geplante Regelung nicht etwa ermächtigt werden, digitale Unterschriften ihrerseits zu verfälschen, was die Beweiskraft jeder elektronischen Signatur in Frage stellen würde, ist die geplante Regelung zur Aufhebung eines Pseudonyms doch geeignet, das wichtige Vertrauen in die aufzubauende Sicherheitsinfrastruktur zu erschüttern.

Sobald der Staatsvertrag und das IuK-Dienste-Gesetz in Kraft treten, wird viel von einer effektiven Kontrolle und Durchsetzung der datenschutzrechtlichen Vorschriften abhängen. Vor allem darf es nicht zu einer unterschiedlichen Auslegung der neuen Rahmenbedingungen in den einzelnen Bundesländern kommen.

Die Bundesregierung hat es zwar bei der Kontrollstruktur des Bundesdatenschutzgesetzes und damit der Zuständigkeit der Aufsichtsbehörden auch im Bereich der Teledienste belassen. Die Zuständigkeiten der Landesbeauftragten für den Datenschutz und der Rundfunkdatenschutzbeauftragten bleiben ohnehin unberührt. Allerdings werden die Länder dafür Sorge tragen müssen, daß die Datenschutzaufsicht effektiv koordiniert wird. Wir haben deshalb bereits vor dem Gesetzesbeschluß der Bundesregierung mehrere Gespräche mit den Datenschutzbeauftragten des Bundes und der Länder, den Obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich und den Rundfunkdatenschutzbeauftragten geführt, um eine solche effektive Koordinierung zu erreichen. Die Gespräche werden fortgesetzt. Die Bundesregierung hat angedeutet, daß sie einen erneuten Prüfungsbedarf zur Frage der einheitlichen Datenschutzkontrolle im Bereich der Teledienste sieht, wenn es bis zum Abschluß des Gesetzgebungsverfahrens für das IuK-Dienste-Gesetz nicht gelingt, auf Länderseite zu einer praktikablen und effektiven Koordinierung zu kommen.

Telekommunikationsdatenschutz in Europa kommt voran

Auf europäischer Ebene wurden 1996 entscheidende Fortschritte bei der Beratung des lange verzögerten Entwurfs für eine ISDN-Richtlinie (vgl. zuletzt JB 1995, 4.4) gemacht. Es ist vor allem das Verdienst der italienischen Ratspräsidentschaft, daß der Europäische Rat sich im Juni 1996 politisch auf einen Gemeinsamen Standpunkt zu diesem Richtlinienentwurf verständigte, der am 12. September 1996 formell beschlossen wurde (Gemeinsamer Standpunkt (EG) Nr. 57/96, ABlEG C 315/30).

Der Richtlinienentwurf in der Fassung des Gemeinsamen Standpunkts hat einen weitergehenden Anwendungsbereich als frühere Entwürfe. Er soll nicht mehr auf digitale Telekommunikationsnetze beschränkt sein, sondern die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der Telekommunikation allgemein regeln. Die Bundesregierung konnte sich im Rat mit ihrem Vorschlag nicht durchsetzen, den Anwendungsbereich der Richtlinie auf unternehmensinterne Netze (Corporate Networks) auszudehnen. Allerdings bestand Einigkeit im Rat darüber, daß die Mitgliedstaaten durch die ISDN-Richtlinie nicht daran gehindert werden, die Bestimmungen entsprechend anzuwenden. Im übrigen gilt für unternehmensinterne Netze in jedem Fall die allgemeine Datenschutzrichtlinie. Dies ist deshalb von Bedeutung, weil die Datenschutzbestimmung im deutschen Telekommunikationsgesetz nicht auf öffentlich zugängliche Telekommunikationsdienste beschränkt ist, sondern für alle Unternehmen gilt, die geschäftsmäßig Telekommunikationsdienste erbringen.

Was die Netzsicherheit betrifft, so enthält der Gemeinsame Standpunkt nicht mehr wie die Vorentwürfe eine Verpflichtung zum Angebot von Verschlüsselungsmöglichkeiten, wenn besondere Risiken der Verletzung der Netzsicherheit gegeben sind. In diesem Punkt haben sich offenbar diejenigen Mitgliedstaaten im Rat durchgesetzt, die jede Aussage zur Kryptographie im Interesse der Sicherheitsbehörden vermeiden wollten oder eine Richtlinienkompetenz des Rates und des Parlaments in diesem Bereich abgelehnt haben. Positiv ist zu bewerten, daß der Gemeinsame Standpunkt den Grundsatz der Vertraulichkeit der Kommunikation an den Anfang der materiell-rechtlichen Regelungen stellt und ihm einen hohen Stellenwert zuweist. Zu begrüßen ist auch die strikte Zweckbindung von Abrechnungsdaten, die der Betreiber selbst zur Vermarktung seiner eigenen Telekommunikationsdienste nur verwenden darf, wenn der Teilnehmer eingewilligt hat.

Beim Einzelgebührennachweis wird den Mitgliedstaaten jetzt ein größerer Spielraum bei der Abwägung zwischen den Interessen des Anrufers und denen des Angerufenen eingeräumt. Die Verkürzung der Rufnummer des Angerufenen, die im Vorentwurf zwingend vorgeschrieben war, wird jetzt nicht mehr erwähnt. Dadurch werden Lösungen wie etwa das holländische Modell ermöglicht, bei dem jeder Teilnehmer gefragt wird, ob er mit der Aufnahme seiner Rufnummer in etwaige Einzelgebührennachweise von Anrufern einverstanden ist oder nicht.

Beim Problem elektronischer Teilnehmerverzeichnisse bleibt der Entwuf der ISDN-Richtlinie erheblich hinter dem deutschen Telekommunikationsdatenschutzrecht zurück. Vor allem fehlt im Richtlinienentwurf ein differenziertes Widerspruchsrecht, das es dem Teilnehmer ermöglicht, die Eintragung seiner Daten auf gedruckte öffentliche Kundenverzeichnisse (Telefonbücher) zu beschränken und in elektronischen Verzeichnissen (CD-ROMs) auszuschließen.

Schließlich schränkt der Gemeinsame Standpunkt zur ISDN-Richtlinie die Verwendung von Voice-Mail-Systemen und Telefaxgeräten für die Zwecke des Direktmarketings insoweit ein, als diese nur bei vorheriger Einwilligung der Adressaten gestattet ist. Dies geht über den zwischen dem Rat und dem Europäischen Parlament noch umstrittenen Entwurf einer Richtlinie über den Verbraucherschutz bei Vertragsabschlüssen im Fernabsatz (Gemeinsamer Standpunkt (EG) Nr. 19/95 vom 29. Juni 1995 ABlEG C 288/1). Demgegenüber soll das Telefonmarketing nicht in jedem Fall von der vorherigen Einwilligung des Angerufenen abhängig gemacht werden. Allerdings müssen die Mitgliedstaaten Anrufe bei Teilnehmern, die keine derartigen Anrufe erhalten möchten, unterbinden.

Die Frage, wie der Datenschutz und die Privatsphäre im Internet effektiv gesichert werden können, tritt immer mehr in den Vordergrund. Hierzu hat die Internationale Arbeitsgruppe zum Datenschutz in der Telekommunikation nach Erörterungen in Budapest und Berlin einen Bericht mit 10 Empfehlungen (Budapest-Berlin-Memorandum) (Anlage 5.1) erarbeitet, in dem praktische Lösungsvorschläge gemacht werden. Darin wird unter anderem auf die Problematik der Nutzung des Internet zur Übermittlung medizinischer und anderer besonders sensibler personenbezogener Daten wie auch zur Veröffentlichung polizeilicher Steckbriefe und Fahndungsaufrufe hingewiesen.

4.7.2 Einzelne Dienste

Datenschutz beim Bildschirmtext (T-Online)

Ein Petent hat sich an uns gewandt und sich darüber beschwert, daß verschiedene T-Online-Anbieter, darunter auch die von uns kontrollierte Deutsche Bahn AG, in ihren Angeboten personenbezogene Daten (T-Online-Nummer) erheben, obwohl dies für die Leistung - im Falle der Deutschen Bahn AG die Fahrplanauskunft - nicht erforderlich sei.

Die Stellungnahme der Deutschen Bahn AG ergab, daß die Erhebung der T-Online-Nummer im Zusammenhang mit dem dort angebotenen "Serviceprofil" erforderlich ist. Ein solches Profil kann von jedem Benutzer der Fahrplanauskunft freiwillig angelegt werden. Dort kann der Benutzer Festlegungen z. B. über ständig wiederkehrende Buchungsmodalitäten festlegen. Darüber hinaus sei die Erhebung der T-Online-Nummer für die Abrechnung von über das System gebuchten Leistungen (Reservierungen, Fahrkarten) erforderlich. Die Deutsche Bahn AG hat jedoch mittlerweile für den Bereich der Fahrplanauskunft auch einen anonymen Zugang ohne Buchungs- und Reservierungsmöglichkeit eingerichtet, bei dem die T-Online-Nummer des Kunden nicht erhoben wird.

Dies steht im Einklang mit den auf Bundes- und Länderebene geplanten Regelungen für Tele- und Mediendienste, in denen die Anbieter solcher Dienste verpflichtet werden, mindestens alternativ auch einen anonymen Zugang zu ihren Angeboten vorzusehen, soweit dies technisch und der Art des Dienstes nach möglich ist.

Datenschutz bei der Vermittlung und Abrechung digitaler Fernsehsendungen

Die Markteinführung des digitalen Fernsehens hat begonnen. Zusätzlich zu einem deutlich ausgeweiteten Programmvolumen eröffnen sich damit für die Anbieter derartiger Dienste neue Möglichkeiten für die Vermittlung und Abrechnung von Sendungen. Systeme, bei denen die Kunden für die einzelnen empfangenen Sendungen bezahlen müssen, sind mit besonderen Gefährdungen für das informationelle Selbstbestimmungsrecht der Benutzer verbunden. Je nach Ausgestaltung der Systeme besteht hier die Gefahr, daß Mediennutzungsprofile einzelner Nutzer erstellt werden, die Auskunft über individuelle Vorlieben, Interessen und Sehgewohnheiten geben.

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat in einer Entschließung zum Datenschutz bei der Vermittlung und Abrechnung digitaler Fernsehsendungen die Anbieter und Programmlieferanten aufgefordert, den Nutzern mindestens alternativ auch solche technischen Lösungen anzubieten, bei denen keine personenbezogenen Daten über einzelne empfangene Sendungen registriert werden können (vgl. Anlage 2.7). Die technischen Voraussetzungen für solche anonymen Zugangslösungen sind grundsätzlich gegeben.

Pilotprojekt "Interaktive Videodienste" in Berlin

Das am 15. Februar 1995 in Berlin gestartete Multimedia-Pilotprojekt "Interaktive Videodienste Berlin" der Deutschen Telekom AG, dessen Laufzeit ursprünglich auf ein Jahr befristet werden sollte, ist verlängert worden und wird nach wie vor angeboten. Immer noch ist das Berliner Pilotprojekt das einzige der ursprünglich insgesamt sechs in Deutschland geplanten Pilotprojekte, das tatsächlich den Betrieb aufgenommen hat. Die Funktionen des eingesetzten Systems und die dort angebotenen Dienste hatten wir bereits im letzten Jahresbericht beschrieben (JB 1995, 4.2).

Geprüft wurde, welche personenbezogenen Daten über die Inanspruchnahme einzelner Dienste im Berliner Pilotprojekt, an dem neben öffentlichen Einrichtungen auch Privatpersonen teilnehmen, erhoben und verarbeitet werden. Daten über die Nutzung der - nach wie vor ausnahmslos kostenfrei angebotenen - Dienste durch die Teilnehmer werden in der Betriebszentrale des Pilotprojekts verschlüsselt erfaßt. Der Schlüssel für die Zuordnung der Nutzungsdaten zu den einzelnen Teilnehmern ist nur einem begrenzten Personenkreis bekannt. Eine Auswertung des Nutzerverhaltens erfolgt nur für die mit dem Pilotprojekt verfolgten Zwecke. Eine Weitergabe von Nutzerdaten an Dritte ist grundsätzlich ausgeschlossen.

Die Verarbeitung und Nutzung personenbezogener Daten der Teilnehmer ist nur auf Grundlage und im Rahmen von deren Einwilligung möglich, die einschlägigen Vorschriften der §§ 47, 58 des Staatsvertrages über die Zusammenarbeit zwischen Berlin und Brandenburg im Bereich des Rundfunks (GVBl. 1992, S. 151 ff.) erlauben eine Verarbeitung personenbezogener Daten über die Nutzung einzelner Angebote nicht. Die Einwilligung ist bei den am Pilotprojekt teilnehmenden Privatpersonen von der Telekom eingeholt worden.

Die ursprünglich im Rahmen der Pilotprojekte geplante Erprobung von anonymen Nutzungsformen hat bislang nicht stattgefunden. Insgesamt muß die Zukunft der Pilotprojekte "Interaktive Videodienste" als ungewiß bezeichnet werden. Dies gilt insbesondere, nachdem das technisch ambitionierte Stuttgarter Pilotprojekt, für das die Beteiligung einer wesentlich größeren Anzahl von Nutzern als im Berliner Pilotprojekt geplant war, gescheitert ist. Darüber hinaus hat es den Anschein, als seien einige der angebotenen Dienste - insbesondere der Video-on-demand-Dienst, bei dem einzelne Angebote von einem Video-Server abgerufen werden können - technisch noch nicht bis zur Marktreife gelangt. Auch die gleichzeitige Einführung des digitalen Fernsehens dürfte die Marktchancen von interaktiven Videodiensten für die nahe Zukunft schmälern.

4.8 Informationstechnische Verfahren und Informationssicherheit

4.8.1 Informationstechnische Infrastruktur

Die moderne Kommunikationsinfrastruktur der Berliner Verwaltung ist zunächst im Rahmen zweier getrennter Projekte, den Projekten zum Aufbau des Metropolitan Area Networks (MAN) für die Datenkommunikation und des ISDN-Vernetzungskonzeptes für die Fernsprechkommunikation, entwickelt worden.

Zu Beginn des Jahres wurden die beiden Einzelprojekte in einem neuen gemeinsamen Projekt "Berliner Landesnetz (BeLa)" zusammengefaßt. Entgegen der ursprünglichen Planung soll das BeLa als integriertes Daten- und Fernsprechnetz realisiert werden und damit eine gemeinsame Nutzung der Lichtwellenleitungen des MAN und des ISDN-Netzes erfolgen. Die damit verbundene Aufhebung der bisherigen physikalischen Trennung der Netze bringt sicherheitstechnische Auswirkungen auf die bisherige Konzeption mit sich. Für die bisher geplanten Netze wurden jeweils eine Risikoanalyse und ein darauf aufbauendes Datenschutz- und Datensicherheitskonzept zur Minimierung der Risiken erarbeitet, zu denen wir uns in früheren Jahresberichten auch schon geäußert haben (JB 1994, 2.2, JB 1995, 2.2).

Nun muß geprüft werden, inwieweit die Datenschutz- und Datensicherheitskonzepte an die neuen Rahmenbedingungen angepaßt werden müssen und insbesondere, ob durch die Integration neue, bisher nicht beachtete Risiken entstehen. Hierbei muß vor allem die Abschottung der Datenkommunikation von der Fernsprechkommunikation beachtet werden. Dabei ist zu berücksichtigen, daß durch die Integration zwar Kommunikationswege zwischen verschiedenen Stellen für die Fernsprechkommunikation geöffnet werden müssen, zwischen denen aber eine Datenkommunikation unzulässig ist und daher mit technischen Mitteln zu unterbinden ist.

Aufgrund der derzeitigen Haushaltslage des Landes Berlins wurde der Schwerpunkt auf das Teilprojekt "ISDN" gelegt, dessen oberste Priorität die Kostensenkung der Fernsprechdienste der Berliner Verwaltung darstellt.

Noch immer Löcher im Berliner Verwaltungsnetz

Die zunehmende Nutzung des Berliner Verwaltungsnetzes (MAN) durch die einzelnen Verwaltungen und Verfahren zeigt verstärkt Sicherheitsprobleme innerhalb des Verwaltungsnetzes auf. Die anfängliche Euphorie, eine einfache, kostengünstige und schnelle Kommunikation zwischen den Verwaltungen und innerhalb der Verfahren zu erhalten, weicht zunehmend der Erkenntnis, daß die Sicherheit des Netzes erheblich mehr Aufwand und Kosten verursacht, als zunächst von den meisten angenommen wurde.

Das Datenschutz- und Datensicherheitskonzept für das MAN schlägt eine große Anzahl von Maßnahmen vor, die insgesamt ein ausreichendes Sicherheitskonzept ergeben. Jedoch wurde der Umsetzung dieser Sicherheitsanforderungen keineswegs die Priorität eingeräumt, die ihr angemessen ist. Demgegenüber scheint der Umsetzung von sicherheitsbedürftigen bzw. risikoerzeugenden Verwaltungsverfahren auf dem MAN mehr Bedeutung zugemessen zu werden. So wird zum Beispiel beabsichtigt, mit der Senatsbibliothek einen ersten Pilotversuch zur Nutzung des Internet über das MAN durchzuführen. Auch wenn es sich dabei nur um Anfragen zu verfügbaren Werken - und damit noch nicht um die datenschutzrechtlich hochrelevante Ausleihe - handeln sollte, wird das MAN dadurch zum Internet geöffnet. Voraussetzung dafür sollte es jedoch sein, daß einerseits vorher das Datenschutz- und Datensicherheitskonzept vollständig umgesetzt ist und andererseits ein gestaffeltes Firewall-System realisiert wurde, das den hohen Sicherheitsanforderungen entspricht. Allerdings kann auch ein solches optimales Firewall-System keine hundertprozentige Sicherheit gegen Angriffe aus dem Internet erzeugen, da ständig neue und unerwartete Angriffsformen aus dem Internet bekannt werden, die bei Firewall-Systemen erst im Nachherein Brücksichtigung finden können.

Die Erfahrungen dieses Jahres haben jedoch gezeigt, daß die Mindestvoraussetzungen für die Sicherheit im MAN nicht gegeben sind.

So traten innerhalb eines Großverfahrens erhebliche Sicherheitsprobleme auf, weil nicht ausgeschlossen werden konnte, daß man über das Network File System (NFS) von beliebigen UNIX-Servern im MAN aus unbefugt auf die Verfahrens-Server zugreifen konnte. Dabei ist aus der Fachliteratur bekannt, daß NFS aufgrund seiner bekannten Sicherheitsproblematik nur innerhalb von lokalen Netzen und nicht über deren Grenzen hinweg eingesetzt werden sollte. Hinzu kam, daß Konfigurationsmöglichkeiten für die Nutzung von NFS, die die Risiken zumindest hätten vermindern können, innerhalb des MAN nicht realisiert worden waren. Als die Sicherheitslücke bekannt wurde, wurde umgehend eine Arbeitsgruppe im LIT eingesetzt, die konkrete Maßnahmen zur Lösung des Problems ausarbeiten und umsetzen sollte.

Aus diesem Beispiel wird die eigentliche Problematik ersichtlich: Das MAN wird als transparentes Transportmedium angesehen, d.h. es überträgt, was ihm zur Übertragung übergeben wird, und setzt nur wenige formale Rahmenbedingungen voraus. Die datenschutzrechtliche Verantwortung für die Übertragung personenbezogener Daten im MAN liegt bei den Anwendern. Dieses bedeutet, daß der Netzbetreiber LIT zwar Sicherheitsmechanismen anbieten kann, ihre Nutzung und eventuelle Ergänzung aber um zusätzliche Sicherheitsmaßnahmen von den Verantwortlichen der angeschlossenen Teilnetze und den Verfahrensbetreibern erfolgen müssen. Die Verfahrensbetreiber und damit die Nutzer des MAN werden sich dieser Verantwortung hierfür jedoch erst jetzt langsam bewußt.

Ein weiteres Beispiel ist das Automatisierte Haushaltswesen (AHW). Den Verfahrensbetreibern wurde klar, wie einfach es ist, mit "Netzabhörprogrammen" ("Packet Sniffer" (JB 1995 4.1)), die für wenig Geld direkt aus dem Katalog bestellt werden können, unverschlüsselte Paßwörter herauszufiltern. Beim automatisierten Haushaltswesen stehen zwar keine personenbezogenen Daten im Vordergrund, jedoch birgt der eventuell mögliche unbefugte Zugang zum eigentlichen Haushaltsverfahren des Landes ein erhebliches Risiko in sich, da mit dem unbefugten Zugriff auch Risiken für die Verfahrensintegrität gegeben sind. Die Risiken werden völlig unkontrollierbar bei einer Internet-Anbindung des MAN, da dann solche Angriffe von jedem Ort der Welt möglich sind.

Ein großes Problem ist in der unverschlüsselten Übertragung personenbezogener Daten über das MAN zu sehen. Um die Vertraulichkeit und Integrität personenbezogener Daten zu gewährleisten, dürfen diese nur verschlüsselt über das MAN übertragen werden. Die Verantwortung hierfür tragen die Verfahrensbetreiber und damit die Nutzer des MAN. Dieses stellt insbesondere die "Altverfahren" vor Probleme, da es oftmals nur bedingt möglich ist, bestehende Programme um Verschlüsselungsmechanismen zu erweitern.

Eine Lösung bieten "black boxes" an, die eine Verschlüsselung auf Netzebene ermöglichen. Trotz des finanziellen Aufwandes müssen derartige Verfahren eingesetzt werden. Für die aktuell in der Konzeptionierung und Realisierung befindlichen und allen zukünftigen Verfahren sollte eine einheitliche Sicherheitsstrategie, wie sie z.B. durch Nutzung der entsprechenden DCE-Mechanismen möglich wäre, erarbeitet und umgesetzt werden.

Sehr positiv ist zu vermerken, daß ein Arbeitskreis Netzsicherheit im LIT initiiert wurde, der die Probleme erörtert und die Lösungsmöglichkeiten koordiniert. In diesem Arbeitskreis arbeitet auch der Berliner Datenschutzbeauftragte mit.

Des weiteren wurde zur Vorbereitung der Internet-Anbindung eine Testumgebung geschaffen, die im wesentlichen das MAN widerspiegelt. In dieser separaten Nachbildung des MAN wurden verschiedene Firewalls unterschiedlicher Hersteller integriert und getestet. Durch Nutzung solcher Testumgebungen können die notwendigen Sicherheitsmaßnahmen realisiert und auch mit Hilfe externen "Hacker"-Sachverstands - ausgetestet werden.

4.8.2 Informationssicherheit in der Berliner Verwaltung

Die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in den letzten Jahren veröffentlichten Verfahren zur Erarbeitung von IT-Sicherheitskonzepten, das IT-Sicherheitshandbuch und das jährlich ergänzte und überarbeitete IT-Grundschutzhandbuch bilden auch in Berlin eine wichtige Grundlage zur Erarbeitung von Risikoanalysen und darauf aufbauenden Sicherheitskonzepten. Soweit solche Konzepte für Systeme und Verfahren in der Berliner Verwaltung entwickelt worden sind, waren sie weitgehend zufriedenstellend. Was indes meist fehlte, war die konsequente und rechtzeitige Umsetzung solcher Konzepte.

Die Senatsverwaltung für Inneres hat die Anwendung des Handbuchs in den Behörden nachdrücklich empfohlen und angekündigt, daß die sich aus den speziellen Anforderungen der Berliner Verwaltung ergebenden Konkretisierungen und Anpassungen schnellstmöglich erarbeitet werden (Rundschreiben vom 9. Januar 1996 zur Anwendung des IT-Grundschutzhandbuches).

In dem Rundschreiben wird auch der wichtige Hinweis gegeben, daß die Maßnahmenempfehlungen des IT-Grundschutzhandbuches nur für den mittleren Schutzbedarf gelten können. Wann dieser mittlere Schutzbedarf ausreichend ist und wann nicht mehr, ist im Einzelfall festzustellen. Dazu bietet das IT-Grundschutzhandbuch Handreichungen. Soweit nicht mehr vom Grundschutz ausgegangen werden kann, wäre das IT-Sicherheitshandbuch anzuwenden, mit dem differenziertere Risikobetrachtungen möglich sind und somit genauere, das heißt weniger pauschale Konzepte entwickelt werden können. Allerdings ist der Auswand für ein Verfahren nach dem IT-Sicherheitshandbuch ungleich höher.

Die Anwendung des IT-Grundschutzhandbuchs und die Umsetzung der damit erarbeiteten Sicherheitskonzepte führt im Vergleich zur bisherigen Situation zu einem befriedigenden Sicherheitsniveau. Daher ist es zu begrüßen, wenn das IT-Grundschutzhandbuch bei personenbezogenen Verfahren, die normalen IT-Sicherheitsrisiken unterliegen, regelmäßig eingesetzt wird.

Bei Großverfahren, deren Daten besonderen Amtsgeheimnissen oder anderen besonderen Sicherheitsanforderungen unterliegen oder bei denen aufgrund der eingesetzten Technik besondere Risiken anzunehmen sind, kann dagegen zwar für wesentliche Teile des Sicherheitskonzeptes ebenfalls vom Grundschutz ausgegangen werden, für andere aber nicht, so daß eine zumindest partielle Anwendung des IT-Sicherheitshandbuches angemessen ist.

Dies kann man an folgenden bereits erwähnten Verfahren zeigen:

Das Berliner Landesnetz dient dem Transport von Daten fast aller Berliner Verfahren, so daß davon ausgegangen werden muß, daß auch Daten übertragen werden, die hinsichtlich der Verfügbarkeit, Integrität und/oder Vertraulichkeit höchsten Schutzbedarf aufweisen. Daher war es auch angebracht, das IT-Sicherheitskonzept vollständig auf der Grundlage des IT-Sicherheitshandbuchs durchzuführen. Das gleiche gilt für andere Infrastrukturen, die für die Verarbeitung nicht vorher bestimmbarer Daten benutzt werden.

Das im Aufbau begriffene Integrierte Personal-Verfahren (IPV) und das Berliner Automatisierte Sozialhilfe-Interaktions-System (BASIS) arbeiten mit personenbezogenen Daten, die dem Personaldaten- bzw. Sozialgeheimnis unterliegen. Zumindest hinsichtlich der Vertraulichkeit und Integrität der Daten kann daher nicht mehr vom Grundschutz ausgegangen werden.

Das modernisierte Verfahren des Automatisierten Haushaltswesen (AHW) verarbeitet kaum Daten, deren Vertraulichkeit überdurchschnittlichen Schutzbedarf aufweist. Sie betreffen finanzielle Transaktionen, so daß besonders hohe Anforderungen an ihre Integrität zu stellen sind.

Beim Polizeilichen Einsatzleitsystem (PELZ) kommt es in erster Linie auf die Verfügbarkeit des Systems, der Programme und Daten an, so daß zumindest in dieser Hinsicht eine Orientierung am Grundschutz verfehlt wäre.

Die Beispiele zeigen, daß differenzierte Risikobetrachtungen eine zwingende Voraussetzung dafür sind, daß Sicherheitskonzepte entwickelt und umgesetzt werden, die an den jeweiligen Bedarf angepaßt sind. Dies bedeutet, daß keine teuren Maßnahmen dort ergriffen werden, wo sie keine entsprechende Auswirkung auf die IT-Sicherheit haben, aber dort gezielt investiert werden kann, wo dies zur Abwehr von Bedrohungen auch erforderlich ist. Die Risiken hängen nicht nur von der Art der Daten und Verfahren, sondern auch von den jeweiligen technischen, organisatorischen und räumlichen Verhältnissen ab, so daß stets Einzelfallbetrachtungen erforderlich sind. Pauschale Datenschutz- und IT-Sicherheitskonzepte, die sich an ebenso pauschalen Schutzstufen orientieren, halten wir daher für verfehlt.

Mittlerweile ist von der Senatsverwaltung für Inneres im Rahmen der IT-Strategie des Landes der Entwurf für ein Rahmenkonzept zur Gewährleistung der notwendigen Sicherheit beim IT-Einsatz in der Berliner Verwaltung (Sicherheitsrahmenkonzept) vorgelegt worden. Dieses Rahmenkonzept

  • definiert die Grundsätze der Sicherheitspolitik im Sinne der vom BSI herausgegebenen Handbücher,
  • beschreibt die Rollen eines dezentralen und eines zentralen IT-Sicherheitsmanagements und die Sicherheits-Verantwortlichkeiten der am IT-Einsatz beteiligten Anwender, Verfahrensverantwortlichen und Infrastrukturbetreiber,
  • definiert Sicherheitsdomänen als funktional, organisatorisch und räumlich zusammengehörige Bereiche, für die einheitliche Sicherheitsanforderungen bestehen und für die ein einheitliches IT-Sicherheitskonzept zu erstellen und umzusetzen ist,
  • verlangt als Mindeststandard für behördenbezogene Sicherheitskonzepte den Grundschutz auf der Grundlage der Anwendung des IT-Grundschutzhandbuches,
  • fordert für IT-Verfahren, für die mehr als mittlerer Schutzbedarf zu fordern ist, die Erstellung des IT-Sicherheitskonzeptes auf der Grundlage des IT-Sicherheitshandbuchs, ggf. unter Einbindung externen Sachverstands,
  • verlangt im Sinne der Ideen zu den "Privacy-enhancing Technologies" (siehe Abschnitt 2.2) die Separierung von Pseudonymitäts- und Identitätssphären sowie die Anonymisierung und Pseudonymisierung personenbezogener Daten soweit machbar,
  • verlangt bei der Übertragung von schutzwürdigen Daten die Verschlüsselung mindestens in der Stärke des DES ( vgl. 3.4),
  • verlangt insbesondere bei der Übertragung von Paßwörtern und sonstigen Authentifizierungsdaten eine Verschlüsselung,
  • verlangt bei der Nutzung des Internet die strenge Orientierung an einem restriktiv orientierten Kommunikationsbedarf, die Umsetzung eines schlüssigen Sicherheitskonzepts, die Nutzung einer zentral bereitgestellten Firewall sowie gestaffelte Firewalls zur Absicherung spezieller Sicherheitsdomänen (Dies entspricht den Anforderungen der "Orientierungshilfe zu Datenschutzfragen des Anschlusses von Netzen der öffentlichen Verwaltung an das Internet" des Arbeitskreises Technik der Konferenz der Datenschutzbeauftragten des Bundes und der Länder.),
  • fordert die Einrichtung geschlossener Benutzergruppen zur Verhinderung unbefugten Zugriffs auf IT-Verfahren,
  • verlangt das Angebot applikationsneutraler Sicherheitsdienste als Bestandteil dezentraler oder zentraler Infrastrukturdienste,
  • beschränkt die Benutzung von Programmen auf freigegebene Programme,
  • erwartet, daß die Systeme sich gegenüber ungewollter Fehlbedienung fehlertolerant verhalten,
  • verlangt geeignete Schulungsmaßnahmen zur Schaffung eines grundlegenden Sicherheitsbewußtseins bei den am IT-Einsatz beteiligten Mitarbeitern und die Berücksichtigung IT-sicherheitsrelevanter Inhalte bei allen spezifischen IT-Schulungsmaßnahmen.

Dieses Rahmenkonzept haben wir nachdrücklich begrüßt, weil es alle wesentlichen derzeit bekannten Erkenntnisse zur Gewährleistung von IT-Sicherheit in modernen IT-Infrastrukturen berücksicht.

4.8.3 PC- und Netzanwendungen

In diesem Berichtsjahr wurden verstärkt datenschutzrechtliche Kontrollen von PC- und Netzanwendungen (z.B. Novell, WindowsNT, Workgroup-Netze, Novell-lite) durchgeführt. Dabei stand die Wirksamkeit von technischen und organisatorischen Maßnahmen zur Minimierung von Risiken hinsichtlich der Vertraulichkeit, Integrität und Verfügbarkeit bei der Verarbeitung personenbezogener Daten in der öffentlichen Verwaltung und der privaten Wirtschaft im Vordergrund.

Die Auswertung der Ergebnisse ergab gravierende Unterschiede bei der Umsetzung der vom Gesetzgeber geforderten technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten. So konnten wir uns bei einigen Anwendern darauf beschränken, ergänzenden Empfehlungen hinsichtlich der Verfahrensabwicklung zu geben, während bei anderen wegen grober Mängel Beanstandungen ausgesprochen werden mußten.

Die Analysen der durchgeführten Kontrollen vermitteln ein differenziertes Bild, wenn man danach unterscheidet, ob die Verfahren auf Einzelplatz-PCs oder innerhalb einer Netzkonfiguration ablaufen. Während die Maßnahmen zum Datenschutz beim Einsatz von Einzelplatz-PC häufig als unzureichend eingeschätzt werden mußten, fiel die Bewertung bei den Netzen deutlich besser aus.

Bei der Entwicklung von Betriebssystemen für Einzelplatz-PCs wurden die Aspekte von Datenschutz und Datensicherheit nicht oder kaum berücksichtigt. Gerade das immer noch sehr verbreitete Betriebssystem MS-DOS und seine grafische Benutzeroberfläche MS-Windows weist viele Sicherheitslücken auf. Zudem wurden selbst die Optionen, die einen gewissen Schutz bieten könnten, nicht genutzt. Dies geschah zumeist aus Unkenntnis, da diese Schutzeigenschaften von den Herstellerfirmen in den Handbüchern nicht oder nur unzureichend beschrieben werden und meist entsprechenden Fachzeitschriften entnommen werden müssen. Ohne zusätzliche Sicherheitsprodukte läßt sich das System jederzeit in Betrieb nehmen und gestattet dem Nutzer unter Umständen den uneingeschränkten Zugriff auf alle gespeicherten Daten. Doch auch der Einsatz von Sicherheitstools gewährleistet keinen hinreichenden Schutz der personenbezogenen Daten, wenn deren Installation nur lückenhaft konzipiert und umgesetzt wird.

In dieser Hinsicht sind Netzbetriebssysteme wie Windows NT und Novell Netware von vornherein besser ausgestattet. Jedoch hat sich auch hier gezeigt, daß durch eine nicht ordnungsgemäß bzw. unvollständig durchgeführte Installation die in das System implementierten Schutzmechanismen nicht wirksam werden können.

Der Maßstab für unsere Kontroll- und Beratungsaktivitäten findet sich in den zehn Kontrollanforderungen, die in § 5 Abs. 3 BlnDSG bzw. ähnlich in der Anlage zu § 9 BDSG für die automatisierte Verarbeitung personenbezogener Daten festgeschrieben wurden. So soll im folgenden anhand der dort geforderten technischen und organisatorischen Maßnahmen eine Übersicht über festgestellte Mängel bzw. unsere Empfehlungen gegeben werden:

Zugangskontrolle (Ziel: Unbefugten ist der Zugang zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren): Die erforderlichen Maßnahmen (Türsicherung mit Sicherheitsschlössern, Kontrolle des Publikumsverkehrs, der Raumreinigung und der Durchführung von Wartungsarbeiten) wurden im wesentlichen eingehalten. Auch die Anforderungen hinsichtlich der Unterbringung von Servern wurden zumeist vorbildlich umgesetzt (besonders geschützte Räume in Obergeschossen, bei unumgänglicher Installation im Erdgeschoß bauliche Außensicherungen). Teilweise waren sogar Bewegungs- und/oder Glasbruchmelder installiert. Bei der Gestaltung dieser Sicherungsmaßnahmen wurde oftmals auch polizeiliche Beratung in Anspruch genommen.

Datenträgerkontrolle (Ziel: Es ist zu verhindern, daß Datenträger unbefugt gelesen, kopiert, verändert oder entfernt werden können): Die Datenträger werden zwar in den meisten Fällen ordnungsgemäß gekennzeichnet, in Boxen zwischengelagert und nach Dienstende in einem verschlossenen Schrank aufbewahrt. Die Archivierung wird jedoch oftmals vernachlässigt, so daß ein revisionsfähiger Datenträgeraustausch (Eintragung in ein Ausgangs- bzw. Eingangsbuch, Ausstellung von Begleitscheinen) nicht gewährleistet ist. Mängel wurden auch bei der Überschreitung von gesetzlich vorgegebenen Aufbewahrungsfristen sowie bei der datenschutzgerechten Vernichtung von Datenträgern und nicht mehr benötigten Ausdrucken festgestellt. Vielfach wurden auch ungesicherte Diskettenlaufwerke vorgefunden, wobei derartige Mängel insbesondere im privaten Bereich zu verzeichnen waren. Nur in Ausnahmefällen konnte von uns eine Verschlüsselung von sensiblen Daten auf den Datenträgern registriert werden. Hier besteht erheblicher Nachholbedarf.

Speicherkontrolle (Ziel: Die unbefugte Eingabe in den Speicher sowie die unbefugte Kenntnisnahme, Veränderung oder Löschung gespeicherter personenbezogene Daten zu verhindern): Es ist systemtechnisch zu sichern, daß sich die Aktivitäten der Benutzer auf solche Funktionen (Lesen, Schreiben, Löschen) beschränken, die ihrem Aufgabenspektrum entsprechen. Dazu dienen differenzierte Profile zur Bearbeitung von Dateien. Gegebenenfalls sind solche Rechte sogar bezüglich bestimmter Felder einer Datei festzulegen. Derartig fein abgestufte Nutzerprofile haben wir insbesondere bei Anwendungen auf Einzelplatz-PC in den seltensten Fällen beobachten können, da auch ein Großteil der eingesetzten Standardprogramme diese wünschenswerten Schutzmechanismen noch nicht aufweist. Selbst wenn die Fachanwendungen einen entsprechenden Schutz vorsehen, wird dieser unter Umständen dadurch wieder aufgehoben, daß dem Nutzer der Zugang auf die Betriebssystemebene nicht verwehrt wird. Beim Einsatz von Notebooks sollte wegen des hohen Diebstahlrisikos der Schutz sogar dergestalt erweitert werden, daß sensible Daten verschlüsselt auf dem jeweils eingesetzten Speichermedium abgelegt werden.

Benutzerkontrolle (Ziel: Die Benutzung von Datenverarbeitungssystemen mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte zu verhindern): Eine wirksame Kontrolle der Benutzer eines Datenverarbeitungssystems kann nur gelingen, wenn ihre Befugnisse den ihnen zugewiesenen Aufgaben entsprechend definiert und durch geeignete Identifikations- und Authentifikationsmechanismen sichergestellt werden. Von den auf dem Markt verfügbaren Prüftechniken (Paßwort, Chipkarten, Stimmenvergleich, biometrische Verfahren) haben wir bei unseren Kontrollen fast ausschließlich die weit verbreitete Methode vorgefunden, bei der mittels Nutzerkennzeichen und Paßwort befugte Benutzer ermittelt werden. Dabei wiesen die eingesetzten Prüfalgorithmen hinsichtlich ihrer Wirksamkeit bedeutende Niveau-Unterschiede auf. Während einige dieser Algorithmen umfangreiche Prüfungen des Paßwortes aufwiesen, mußten wir bei anderen immer noch deren Trivialität bemängeln. Selbst die als relativ schwach einzuschätzenden Schutzvorkehrungen durch die Benutzung vorhandener Schlüsselschalter zum Sperren der Tastatur oder von paßwortgeschützten Bildschirmschonern wurden häufig nicht genutzt.

Zugriffskontrolle (Ziel: Es ist zu gewährleisten, daß die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden personenbezogenen Daten zugreifen können): Hier ist - analog zur Speicherkontrolle - darauf zu achten, daß befugten Benutzern eines Datenverarbeitungssystems der Zugriff lediglich auf solche Daten gestattet wird, die sie für die Erfüllung der ihnen übertragenen Aufgaben benötigen. Zu diesem Zweck sind die Zugriffsrechte restriktiv zu definieren, in geeigneter Form zu dokumentieren und im System abzubilden. Zudem ist gelegentlich zu überprüfen, ob die zugewiesenen Zugriffsrechte noch den tatsächlichen Aufgaben der Benutzer entsprechen. Insbesondere stellt sich dieses Problem bei Umsetzungen bzw. beim Ausscheiden von Beschäftigten. Auch hier ist wieder zu konstatieren, daß bei den Einzelplatzanwendungen diese Schutzfunktion ohne zusätzliche Sicherheitstools kaum gewährleistet ist. Demgegenüber bieten die gängigen Betriebssysteme für Netze von sich aus bereits Möglichkeiten, Zugriffsrechte hinreichend differenziert zu vergeben und zu prüfen.

Übermittlungskontrolle (Ziel: Es ist aufzuzeichnen, an welche Stellen wann welche personenbezogenen Daten übermittelt worden sind): Während an den Arbeitsplätzen im Netz eine derartige Protokollierung im allgemeinen vorbildlich durchgeführt wird, ist diese beim Einsatz eines Modems oder einer ISDN-Verbindung am Einzelplatz zumeist unzureichend realisiert, obwohl auch hier schon spezielle Lösungen (z.B. für den medizinischen Bereich) angeboten werden.

Eingabekontrolle (Ziel: Es ist zu gewährleisten, daß nachträglich überprüft werden kann, welche personenbezogenen Daten zu welcher Zeit von wem in Datenverabeitungssysteme eingegeben worden sind): Ein häufig festgestellter Mangel offenbarte sich in dem Verzicht auf die vom Gesetzgeber geforderte Eingabekontrolle. Die damit verbundene Protokollierung dürfte bei dem heutigen Stand der Technik eigentlich selbstverständlich sein, da es mittlerweile diverse Softwareprodukte gibt, die eine automatisierte Aufzeichnung der Eingabeaktivitäten gestatten. Meist gewährleistet bei Einzelplatzsystemen nur der Einsatz einer Sicherheitssoftware die Ordnungsmäßigkeit der Eingabekontrolle, während bei den neueren Betriebssystemen für Netzwerke wie z.B. Novell 4.xx oder Windows NT diese Funktion schon integriert ist. Allerdings mußten wir feststellen, daß diese Funktion selbst in den Fällen deaktiviert war, in denen sie vom eingesetzten System angeboten wurde.

Auftragskontrolle (Ziel: Es ist zu gewährleisten, daß personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können): Da bei unseren Kontrollen keine Auftragsdatenverarbeitung vorgefunden wurde, konnten wir vor Ort auch keine Prüfungen zur Ordnungsmäßigkeit durchführen. Zur teilweise geplanten Vergabe derartiger Aufträge wurden Empfehlungen ausgesprochen, bei denen auf die sorgfältige Vertragsgestaltung und Auswahl des Vertragspartners, stichprobenweise Kontrollen der Ausführung des Vertrages und andere Anforderungen an die Auftragsdatenverarbeitung hingewiesen wurde.

Transportkontrolle (Ziel: Es ist zu gewährleisten, daß bei der Übertragung personenbezogener Daten sowie beim Transport von Datenträgern diese nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können): Der Transport von Datenträgern wurde fast ausschließlich durch eigenes Personal in verschlossenen Behältnissen und mit Begleitscheinen durchgeführt. Dies ist ausreichend. Eine Transportkontrolle auf Datenfernübertragungswegen ist zwar grundsätzlich nur durch den Einsatz von Verschlüsselungsverfahren möglich. Davon kann aus Gründen der Verhältnismäßigkeit in lokalen Netzwerken aber abgesehen werden, wenn die Übertragungsstrecken nur über gesicherte Verkabelungen geführt werden, die vor Manipulation geschützt sind. Dies wurde bei den untersuchten lokalen Netzen meist auch vorgefunden.

Organisationskontrolle (Ziel: Die innerbehördliche oder innerbetriebliche Organisation ist so zu gestalten, daß sie den besonderen Anforderungen des Datenschutzes gerecht wird.): Die Organisation ist so zu gestalten, daß die datenschutzrechtlichen Anforderungen angemessen umgesetzt werden. Ziel der Maßnahmen im Rahmen der Organisationskontrolle ist die Unterstützung (z.B. der einzelnen Fachabteilungen) bei der Umsetzung der in den Nrn. 1 bis 9 genannten gesetzlichen Forderungen (z.B. Einrichtung der Zugriffsberechtigungen). Dabei geht es im wesentlichen um das Vorhandensein organisatorischer Regelungen, die die jeweiligen Befugnisse bei der Datenverarbeitung regeln, denn die übrigen neun Kontrollanforderungen setzen eine klare Unterscheidbarkeit zwischen befugter und unbefugter Nutzung voraus. Ferner geht es um alle Maßnahmen, die die Transparenz und damit die Kontrollierbarkeit der Datenverarbeitung bewirken. Hier wurde hauptsächlich bei kleineren privaten Unternehmen die fehlende bzw. unvollständige System- und Verfahrensdokumentation bemängelt. In der öffentlichen Verwaltung fanden wir im Gegensatz dazu häufig sogar zusätzliche Arbeitsanweisungen vor, die eine datenschutzgerechte Arbeit unterstützen.

Über die zehn Gebote hinaus ist zu empfehlen:

  • Die vorhandenen Sicherheitsoptionen, die das Betriebssystem bietet, sollten ausgenutzt werden. Dies gilt insbesondere für die Betriebssysteme für Netze, bei denen die Sicherheit schon bei der Einrichtung der Festplatte mit einem speziellen Dateisystem (z.B. NTFS) beginnt.
  • Beim Einsatz von Notebooks sollten die personenbezogenen Daten verschlüsselt werden, da hier eine Zugangskontrolle, wie sie die herkömmliche Büroumgebung (z.B. Ausstattung der Zimmertüren mit Sicherheitsschlössern) bietet, nicht immer möglich ist.
  • Da viele Betriebssysteme Sicherheitslücken aufweisen, ist oft der Einsatz einer zusätzlich zu installierenden Sicherheitssoftware notwendig. Dies trifft auch dann zu, wenn mehrere Personen an einem Einzelplatz-PC arbeiten, da z.B. MS-DOS keine Benutzerverwaltung berücksichtigt.
  • Beim Einsatz von Netzen ist als Netztopologie das Sternnetz zu bevorzugen, da hier die Daten für sämtliche Verbindungen über einen Knoten - der wie ein Server zu schützen ist - zur entsprechenden Zieladresse übertragen werden. Als Übertragungsmedium ist der Lichtwellenleiter am besten geeignet, da er eine sehr hohe Abhörsicherheit - ein Einkoppeln in den Lichtleiter ist im allgemeinen auszuschließen - ermöglicht und eine Beeinflussung durch elektrische oder elektromagnetische Störquellen ausscheidet.
  • Wenn das Diskettenlaufwerk nicht für das Verfahren benötigt wird, ist es auszubauen oder zumindest so zu deaktivieren, daß kein unkontrollierter Zugriff stattfinden kann. Der ungeschützte Zugriff über das Diskettenlaufwerk stellt das größte Risiko von PC-Anwendungen dar.

4.8.4 Neue Gefahren aus dem Netz

Mit dem Aufkommen des wichtigsten Internet-Dienstes World Wide Web (WWW) sorgte eine neue Programmiersprache Java für Aufsehen, mit der Programme (z.B. 3D-Animationen) geschrieben werden können, die in WWW-Seiten eingebunden werden. Java ist unabhängig vom Betriebssystem, mit Java geschriebene Programme können also von beliebigen Rechnern ausgeführt werden.

Beim Aufruf einer mit einem Java-Programm versehenen Seite wird das Programm automatisch auf den abrufenden Rechner geladen und ausgeführt. Die Übertragung von ausführbaren Programmen birgt jedoch erhebliche Risiken in sich. Es ist durchaus vorstellbar, daß diese Programme "bösartig" sein können und beispielsweise Dateien lesen, schreiben oder löschen können, ohne daß der Benutzer davon etwas bemerkt. Auch die Gefahr des Ladens von Computer-Viren oder "Trojanischen Pferden" ist denkbar. Bekannt geworden sind auch schon Fälle, in denen die Sicherheitsmechanismen von eingesetzten Firewalls umgangen worden sind. Insbesondere die ersten Versionen der in einigen WWW-Browsern integrierten Java-Interpreter wiesen erhebliche Sicherheitsmängel auf, die im Laufe des Jahres durch neue Versionen behoben wurden. Aber auch hier entsteht die Gefahr des "Hinterher-rennens". Ähnlich wie bei den Computer-Viren tauchen nach und nach neue Sicherheitsprobleme auf, die erst nach Bekanntwerden behoben werden können. Es ist daher unbedingt zu empfehlen, stets die neuesten Versionen der WWW-Browser zu verwenden oder aber noch besser, vorerst die Ausführung der Programme im WWW-Browser zu unterbinden.

Im Rahmen der zunehmenden kommerziellen Nutzung des Internet sind Online-Anbieter nicht mehr nur an anonymen Zugriffszahlen interessiert, sondern möchten am liebsten den gläsernen Kunden. Hierzu werden in letzter Zeit mehr und mehr sog. "Cookies" verwendet. Darunter versteht man Dateien, in denen im Rechner des Nutzers auf Veranlassung des Anbieters benutzerspezifische Informationen gespeichert werden. Eine Auswertung dieser Dateien ermöglicht die Analyse des Benutzerverhaltens.

Greift ein Benutzer über seinen WWW-Browser auf einen WWW-Server zu, kann es sein, daß dieser relativ beliebige Informationen an den WWW-Browser sendet. Auf dem Computer des Benutzers werden diese Informationen in einer Cookie-Datei abgelegt. Greift der Benutzer zu einem späteren Zeitpunkt auf die gleiche WWW-Information noch mal zu, für die bereits eine Cookie-Information beim Benutzer existiert, sendet der WWW-Browser den bisherigen Cookie zum WWW-Server. Dieser kann die Cookies dann auswerten und um neue Informationen ergänzen und zurücksenden. Tauschen nun mehrere Betreiber von WWW-Servern ihre Informationen aus, können darüber umfassende Benutzerprofile erstellt werden.

Bisher blieb es dem Benutzer vollkommen verborgen, wenn ein WWW-Server Informationen auf dem Benutzer-PC abgelegt hat. Erst die neueren Versionen von WWW-Browsern beinhalten Kontrollmöglichkeiten für den Benutzer, indem ihm eine Warnung bei einem cookie-Zugriff angezeigt wird. Hier stellt man sehr schnell fest, daß sehr viele Anbieter die Server-Besuche quittieren. Diese Kontrollmöglichkeiten sollten unbedingt genutzt werden. Aber auch bei Verwendung älterer Versionen kann der Benutzer seine Spuren verringern, indem er entweder die Cookie-Datei gegen einen schreibenden Zugriff schützt oder regelmäßig löscht.

4.8.5 Videoüberwachung

Sowohl im öffentlichen als auch im privaten Bereich gewinnt der Einsatz von Videotechniken zu den verschiedensten Zwecken immer größere Bedeutung.

Grundsätzlich ist danach zu unterscheiden, ob es sich beim Einsatz von Videotechniken um eine reine Augenblicksüberwachung ohne Aufzeichnung handelt, oder ob gleichzeitig eine Aufzeichnung der von der Videokamera erfaßten Geschehnisse erfolgt. Während eine Überwachung ohne Aufzeichnung, wenn sie offensichtlich ist oder wenn ausdrücklich darauf hingewiesen wird, im Sinne eines "verlängerten Auges" in bestimmten Bereichen hinnehmbar erscheint, stellt die Aufzeichnung einen erheblichen Eingriff in die Persönlichkeitsrechte der Betroffenen dar.

Wo und in welchem Umfang sehen sich Bürgerinnen und Bürger in ihrem Umfeld mit Videoüberwachungstechniken konfrontiert, und wie sind derartige Maßnahmen aus datenschutzrechtlicher Sicht zu beurteilen?

Zum Schutz von öffentlichen und privaten Einrichtungen und Gebäuden werden Videokameras vorwiegend zur Beobachtung der Eingangsbereiche eingesetzt. Diese Kameras sind in den meisten Fällen derart offensichtlich angebracht, daß sich hier ein ausdrücklicher Hinweis auf eine Videoüberwachung erübrigt. Soweit keine Aufzeichnung erfolgt, sind diese im öffentlichen Interesse liegenden Überwachungsmaßnahmen unproblematisch. Sollte neben der reinen Beobachtung des Geschehens allerdings auch eine Aufzeichnung erfolgen, ist dies nur bei konkreten Anhaltspunkten für eine Gefahrenlage zulässig. An den Umgang mit dem gespeicherten Datenmaterial sind dabei hohe Anforderungen hinsichtlich der Zweckbindung zu stellen. So sind die verwendeten Datenträger unverzüglich zu löschen, wenn sich aus ihrem Inhalt keine Relevanz ergibt. Eine Weitergabe (Übermittlung) an andere Stellen ist auszuschließen.

Auch in öffentlichen Verkehrsmitteln und Gaststätten ist zunehmend der Einsatz von Videoüberwachungstechniken zu beobachten. In diesem Bereich mangelt es häufig an deutlichen Hinweisen, obwohl wegen der mittlerweile weit fortgeschrittenen Miniaturisierung der Geräte nicht davon ausgegangen werden kann, daß die Videoüberwachung für die Fahrgäste in jedem Falle erkennbar ist. Das Fehlen solcher Hinweise ist auch deswegen nicht nachzuvollziehen, weil man dadurch immerhin Abschreckungseffekte bei mutmaßlichen Straftätern erzielen könnte. Soweit Aufzeichnungen erfolgen, ist für eine unverzügliche Löschung der Speichermedien zu sorgen, wenn der Zweck der Aufzeichnung erfüllt ist. Dies sollte durch eine automatisierte Technik unterstützt werden. Eine manuelle Löschsperre könnte dann lediglich bei einer gegebenen Gefahrenlage (z.B. Vandalismus, Bedrohungen) aktiviert werden.

Beim Einsatz der Videoüberwachung durch Kreditinstitute oder in Parkhäusern kommt neben der Abschreckung von möglichen Straftätern und der Sicherung von Beweismaterial für den Fall einer versuchten oder vollzogenen Straftat noch ein anderer nicht zu unterschätzender Aspekt zum Tragen. Hier kann eine Aufzeichnung sogar im Interesse der eigenen Sicherheit des Betroffenen sein, wenn er und das jeweils von der Kamera erfaßte Umfeld beobachtet und gespeichert wird. Insbesondere bei der Benutzung von Geldautomaten mit entwendeten und dann mißbräuchlich benutzten Kreditkarten hat sich dieses Verfahren bereits häufiger als hilfreich erwiesen. Aber auch hier ist die Information der Betroffenen unverzichtbar.

Selbst im häuslichen Umfeld ist mittlerweile eine Ausbreitung des Gebrauchs von Videoüberwachungseinrichtungen durch Nachbarn zu konstatieren. Solange sich die Nutzung dieser Technik auf die reine Beobachtung des Eingangsbereichs zur Wohnung, zur Garage bzw. zum Grundstück beschränkt, ohne daß Aufzeichnungen angefertigt werden, ist dies bei entsprechend deutlichen Hinweisen auf die installierten Kameras noch zu akzeptieren. Dies gilt insbesondere dann, wenn es sich bei dem Beobachtenden um eine Person handelt, für die eine normale Überwachung seines Umfelds durch eigenen Augenschein aufgrund von Behinderungen nicht oder nur erheblich eingeschränkt möglich ist. Eine völlig andere Qualität gewinnen diese Überwachungsmaßnahmen in den Fällen, in denen das Beobachtete auf entsprechenden Datenträgern aufgezeichnet wird. Hier ist in der Regel von einem erheblichen Eingriff in das informationelle Selbstbestimmungsrecht von durch diese Aufzeichnung erfaßten Personen auszugehen. Mangels eindeutiger spezialgesetzlicher Regelungen zur Datenerhebung in diesem Bereich kann sich eine Videoaufzeichnung lediglich auf die Einwilligung von Betroffenen stützen. Diese Einwilligung ist möglicherweise noch bei einem unmittelbar beteiligten Nachbarn zu erhalten, sicher aber nicht bei zufällig in das Visier der Kamera geratenen Personen. Wer sich in derartig gelagerten Fällen in der Wahrnehmung seines Persönlichkeitsrechts beeinträchtigt sieht, kann nach derzeitigem Recht nur die Unterlassung solcher ihn betreffender Aufzeichnungen fordern (vgl. Urteil des BGH v. 25.4.1995 - VI 2 R 272/94 (KG), NJW 1995, S. 1955).

Auch zur Überwachung von Mitarbeitern im privaten und öffentlichen Bereich wird in sicherheitsrelevanten Bereichen in zunehmendem Maße von Videoüberwachung Gebrauch gemacht. Hier werden neben den allgemeinen Persönlichkeitsrechten auch arbeits- bzw. dienstrechtliche Belange berührt. Der Umgang mit dem auf diese Weise gewonnenen Datenmaterial, insbesondere Aufbewahrung, Auswertung und Vernichtung (Löschung), sollte normenklar in entsprechenden Betriebs- oder Dienstvereinbarungen zwischen der Geschäftsführung bzw. der Dienststellenleitung und der zuständigen Personalvertretung unter Einbeziehung des betrieblichen bzw. behördlichen Datenschutzbeauftragten geregelt werden. Ist die Aktivierung der Videoaufzeichnung an vorgegebene Ausnahmezustände gekoppelt (z.B. an Signale von Bewegungsmeldern aus normalerweise unbesetzten Räumlichkeiten), so ist regelmäßig davon auszugehen, daß diese Aufzeichnung der Beweissicherung dient und entsprechend verwertet wird. Eine Beobachtung ohne Aufzeichnung kann bereits in solchen Fällen angezeigt sein, wenn sich in definierten Sicherheitsbereichen das Vier-Augen-Prinzip auf andere Weise nicht oder nur mit unvertretbarem personellem Aufwand durchsetzen läßt.

4.8.6 Zum täglichen Umgang mit der Informations- und Kommunikationstechnik

Obwohl die technische Entwicklung die Datenschutzbeauftragten und die informationstechnischen Sicherheitsfachleute immer wieder vor neue Herausforderungen stellt, um Sicherheit trotz oder mit Technik zu erzeugen, ist es der alltägliche und routinierte Umgang mit gewohnter Informations- und Kommunikationstechnik, der immer noch die meisten Risiken für den Datenschutz und die IT-Sicherheit erzeugt. Der alltägliche Trott führt aber häufig dazu, daß auch Fehler zur Routine werden: Paßwörter werden nicht geändert, leichtfertig ausgewählt oder offenbart, beim Faxgerät wird nicht mehr so genau hingesehen, welche Nummern man eigentlich wählt, beim PC meldet man sich nicht ab, wenn man den Arbeitsplatz verläßt, die Liste mit vertraulichen Daten verschwindet achtlos im Papierkorb. Warum sollte man auf diese Dinge auch achten, es ist ja noch nichts passiert .....

Wir wollen auch nicht, daß etwas passiert, wenn auch ein kleiner Vorfall mal eine heilsame Lehre sein kann. Ob es aber ein kleiner Vorfall ist, wenn sich ein leichtfertig in Kauf genommenes Risiko realisiert, oder ob es eine handfeste Havarie werden kann, die schwerwiegende Folgen nach sich zieht, ist meist eine Frage des Zufalls.

Um die Sicherheit der Verarbeitung und Datenschutz im Umgang mit Informationstechnik und -medien nicht dem Zufall zu überlassen, geben die Datenschutzbeauftragten auch Hinweise zu den einfachen Fragen des täglichen Datenschutzes.

Umgang mit Paßwörtern

Die meistverwendete Methode der Authentifikation eines Benutzers gegenüber einem IuK-System ist das Paßwort, mit dem dem System gegenüber der Nachweis erbracht werden kann, daß der Benutzer auch derjenige ist, als der er sich dem System gegenüber vorgestellt (identifiziert) hat. Der Benutzer authentifiziert sich mit einem Wissen, das er allen anderen Benutzern voraus hat: seinem persönlichen geheimen Paßwort.

Die Zuverlässigkeit der Authentifizierung steht und fällt mit der Geheimhaltung des Paßwortes. Wird es anderen Personen bekannt, können sie das System mit den Rechten des Betroffenen nutzen. Aber selbst die Kollegin oder der Kollege, die die gleiche Berechtigung haben, dürfen das Paßwort nicht kennen. Sie oder er könnten sonst Manipulationen an den Daten durchführen, die dann dem Betroffenen zugeordnet werden, für die sich also der Betroffene verantworten muß.

Damit die Paßwörter möglichst geheim bleiben können, sind eine Vielzahl von Regeln von Benutzern und Systemverwaltern zu beachten und Anforderungen an die Technik und die Organisation zu stellen. Wir haben daher "Empfehlungen für die Vergabe von Paßwörtern" formuliert (vgl. Anlage 6.1).

Datenschutz und Telefax

Was alles mit Telefaxgeräten angestellt werden kann, ist mehrfach in früheren Jahresberichten behandelt worden (JB 1994, 3.5: "Telefax - eine Pannengeschichte"). Die Senatsverwaltung für Inneres hat unsere Ausführungen zum Anlaß genommen, in einem Rundschreiben nachdrücklich auf die Gemeinsame Geschäftsordnung hinzuweisen, die die Übertragung vertraulicher Schreiben mit Telefax auch in Eilfällen verbietet.

Dies führt natürlich nicht von heute auf morgen zur völligen Zurückhaltung beim Versand vertraulicher Dokumente per Telefax, dämmt aber die Häufung von "Unfällen" bei der Fax-Übertragung ein. Selbstverständlich ist der leichtfertige Umgang mit Faxgeräten keine Berliner Besonderheit, sondern tritt in allen Bundesländern auf. Daher haben sich die Datenschutzbeauftragten des Bundes und der Länder in einer ausführlichen Presseerklärung dazu geäußert (vgl. Anlage 6.2). Neben den erneut wiederholten Hinweisen zur Sicherstellung der Vertraulichkeit der Faxsendungen bei der Übertragung und beim Empfang sowie zur korrekten Adressierung (Anwahl) der Kommunikationsverbindung wird auf einige Probleme hingewiesen, die mit dem Fortschritt der Telefaxtechnik verbunden sind:

Moderne konventionelle Telefaxgeräte ermöglichen die Fernwartung, ohne daß der Besitzer diese wahrnehmen kann. Seitenspeicher können so unbefugt gelesen, Rufnummern- und Parameterspeicher unbefugt gelesen und geändert werden.

Die Absendung von Dokumenten über Telefax erfolgt häufig direkt aus der Bürokommunikationsanlage des Absenders. Damit verbunden sind Risiken für die Vertraulichkeit der Sendungen, für die korrekte Anwahl und für die Sicherheit des Bürokommunikationssystems gegen Angriffe von außen über die Telekommunikationsschnittstelle.

Zuletzt geändert:
am 10.04.97

mail to webmaster