2.18.1 Vorsicht beim komfortablen Telefonieren
Bei Kontroll- und Informationsbesuchen habe ich festgestellt, daß inzwischen in vielen öffentlichen Stellen digitale Telekommunikationsanlagen (TK-Anlagen) eingesetzt werden. Es handelt sich dabei in den meisten Fällen um ISDN-Anlagen, die noch wesentlich leistungsfähiger als herkömmliche digitale TK-Anlagen sind. ISDN steht für Integrated Services Digital Network (digitales diensteintegrierendes Netz) und gilt als digitales Kommunikationsnetz der Zukunft. ISDN integriert die Übertragung von Sprache, Text, Bild und Daten in einem Netz. Für alle Dienste werden einheitliche Rufnummern, Gebühren und Schnittstellen zur Verfügung gestellt. Zahlreiche nützliche Funktionen vereinfachen die Kommunikation.
Gefährdungen beim Einsatz von ISDN-TK-Anlagen
Werden ISDN-TK-Anlagen nicht datenschutzgerecht eingesetzt, so ist unter Umständen die Anonymität der Kommunikation gefährdet. Kommunikationsprofile einzelner Beschäftigter könnten erstellt, das Verhalten und die Leistung von Beschäftigten überwacht oder gezielt Gespräche abgehört oder aufgezeichnet werden.
Die Steuerung des gesamten Kommunikationsvorganges und der Gebührenabrechnung der einzelnen Gespräche erfolgt durch die TK-Anlagensoftware. Dazu werden auch personenbezogene Daten in der ISDN-TK-Anlage gespeichert. In ISDN-TK-Anlagen können drei Gruppen von gespeicherten Daten unterschieden werden:
- Bestandsdaten: zum Beispiel Art des Endgerätes, Einträge im
elektronischen Telefonbuch, nutzbare Funktionen
- Verbindungsdaten: zum Beispiel Kommunikationspartner, Zeit und Dauer
des Gespräches, Gebühreninformationen
- Inhaltsdaten: zum Beispiel Gesprächsinhalte, Texte, Daten.
Im folgenden werden einige datenschutzrechtlich relevante Eigenschaften von ISDN-TK-Anlagen kurz beschrieben:
Gesprächsdatenerfassung
Zur ordnungsgemäßen Abrechnung der Kosten kann man zu jedem
Kommunikationsvorgang Gesprächsdaten (Nebenstellennummer, Zielnummer,
Gesprächsdauer usw.) speichern. Werden diese Daten zweckentfremdet
verwendet, wäre es durchaus möglich, Kommunikationsprofile zu
erstellen und beispielsweise Mitarbeiter zu überwachen.
Rufnummernanzeige
Findet ein Kommunikationsvorgang zwischen zwei ISDN-fähigen
Nebenstellen statt, kann die Telefonnummer des Anrufenden auf einem
Display beim Angerufenen angezeigt werden. Durch uneingeschränkte
Nutzung dieses Merkmals wird die Anonymität der Kommunikation gefährdet,
da auch Personen, die am Gespräch unbeteiligt sind, den Gesprächspartner
allein schon durch einen Blick auf das Display feststellen können.
Noch einfacher geht das bei den ISDN-TK-Anlagen, die darüber hinaus
noch die Anzeige des Namens des Anrufers gestatten. Einrichtungen, denen
gegenüber der Anrufer anonym bleiben möchte, sollten die
Rufnummernanzeige ständig abschalten; dies betrifft beispielsweise
Beratungsstellen.
Konferenzschaltung
Eine Konferenzschaltung ermöglicht, daß mehr als zwei Gesprächspartner
gleichzeitig miteinander kommunizieren. Zu Beginn und Ende einer Konferenz
ertönt ein Signal. Ist den Beteiligten die Bedeutung dieses Signals
nicht bekannt, können Gespräche ohne Wissen der Teilnehmer
mitgehört werden.
Aufschalten
Durch Aufschalten ist es möglich, ein bestehendes Gespräch
mitzuhören. Auch hier erfolgt eine Signalisierung durch einen
entsprechenden Ton, dessen Bedeutung den Nutzern der ISDN-TK-Anlage
bekannt sein muß, um einen Mißbrauch weitgehend auszuschließen.
Raumüberwachung
Endgeräte moderner ISDN-TK-Anlagen verfügen oft über
Freisprecheinrichtungen, die ein Telefonieren bei aufgelegtem Hörer
gestatten. Diese Einrichtung kann unter bestimmten Voraussetzungen auch
dazu benutzt werden, einen Raum akustisch zu überwachen und die dort
geführten Gespräche mitzuhören.
Der datenschutzgerechte Einsatz von ISDN-TK-Anlagen ist nur dann gewährleistet, wenn zumindest die im § 17 Abs. 2 DSG MV geforderten technisch-organisatorischen Maßnahmen umgesetzt worden sind. Dabei sind folgende Grundschutzmaßnahmen vorzusehen:
- Durch geeignete bautechnische Maßnahmen sind die ISDN-TK-Anlage
und die Bedienplätze vor unberechtigtem Zugang zu schützen. Dazu
sind Zutrittsregelungen und -kontrollen notwendig.
- Voreingestellte Paßwörter sind sofort nach der
Inbetriebnahme der Anlage zu ändern.
- Auf die Nutzung von Fernwartungszugängen ist nach Möglichkeit
zu verzichten.
- Alle Administrationsaktivitäten sind zu protokollieren.
- Durch genaue Buchführung der Anlagenkonfiguration ist die
Revisionssicherheit zu gewährleisten.
Ich empfehle, die Hinweise des BSI zu berücksichtigen, die im Band
1 der "Schriftenreihe zur IT-Sicherheit" (Sicherheitsmaßnahmen
beim Betrieb von digitalen Telekommunikationsanlagen) veröffentlicht
wurden.
Dienstvereinbarungen über die Nutzung von ISDN-TK-Anlagen
Der Abschluß einer Dienstvereinbarung zwischen Personalvertretung und Behördenleitung gehört zu den grundlegenden organisatorischen Maßnahmen, ohne die eine ISDN-TK-Anlage nicht in Betrieb genommen werden darf. Eine solche Dienstvereinbarung sollte aus zwei Teilen - dem Hauptteil und der Anlage - bestehen.
In den Hauptteil gehören folgende allgemeingültige und für einen längeren Zeitraum geltende Regelungen:
- Grundsatzbestimmungen (Zweck, Gegenstand, Geltungsbereich),
- Nutzungsumfang (dienstlich, privat, Sprache, Text, Daten, Hinweise zu
technischen Details im Anhang),
- verarbeitete personenbezogene Daten (Art und Zweck der Verarbeitung),
- Gesprächsdatenverarbeitung (Ausnahmen der Gesprächsdatenerfassung,
Einzelheiten der Gebührenabrechnung für private und
dienstliche Gespräche),
- Betriebsführung der Anlage (Systemverwaltung, Wartung, Datenschutz
und
Datensicherheitsmaßnahmen),
- Kontroll- und Mitwirkungsrechte (Beteiligung des Personalrates und des
internen Datenschutzbeauftragten),
- Schlußbestimmungen (Inbetriebnahme, Änderungsverfahren im
Rahmen von
Fortschreibungen, Kündigungsregelungen).
Besonders sensibel sind Regelungen zur Gesprächsdatenerfassung und zur Gebührenabrechnung. Es sollte vereinbart werden, daß sowohl für Privat- als auch für Dienstgespräche nur die folgenden Gesprächsdaten erfaßt werden:
- Nebenstellennummer
- Zielnummer (mindestens um die letzten drei Ziffern gekürzt)
- Datum
- Gesprächsende
- Verbindungsdauer
- Gebühreneinheit
- Gesprächskosten.
Keine Gesprächsdatenerfassung darf z. B. für Mitglieder der Personalvertretung oder für Personen, die der ärztlichen Schweigepflicht unterliegen, erfolgen.
Die Behördenleitung darf Gesprächsdaten von Dienstgesprächen nur stichprobenweise oder aus einem konkreten Anlaß kontrollieren. Einblick in die Gesprächsdaten der Privatgespräche darf nur der Betroffene selbst erhalten. Ausschließlich zur eigenen Kontrolle von Gebühren der Privatgespräche sollte es jedem Mitarbeiter möglich sein, eine vollständige Gesprächsdatenerfassung, das heißt mit vollständiger Zielnummer, zu beantragen.
Der Anhang sollte folgende technische Details, die öfter aktualisiert werden müssen, enthalten und somit der bereits erwähnten Dokumentationspflicht genügen:
- Hardware- und Softwarebeschreibung einschließlich
Schnittstellenbeschreibung
(Standort und Typ aller Anlagenbestandteile, installierte Software,
Datenver-
bindungen und Schnittstellen zum öffentlichen Netz)
- ISDN-Dienste und Nutzungskonzepte (alle aktivierten Telekommunikations-
dienste und dazugehörige Nutzungshinweise)
- Auflistung aller verwendeten Endgeräte und deren Verteilung
- Verzeichnis aller freigegebenen Leistungsmerkmale für Teilnehmer
und
Vermittlung
- Regelung aller Wartungsaktivitäten (Zugangsberechtigte,
Wartungssoftware,
Zugriffsberechtigungen, Sicherungsmaßnahmen,
Datensicherungsregelungen)
- Art und Umfang der Protokollierung von Administrationsaktivitäten
- Umgang mit Revisionsunterlagen.
Über den Inhalt der Dienstanweisung müssen alle Mitarbeiter in
geeigneter Weise informiert werden. Es hat sich bewährt, allen
Mitarbeitern die verfügbaren Funktionen in einer kurzen Übersicht
zu erläutern und insbesondere auf die verschiedenen Signalisierungstöne
hinzuweisen.
2.18.2 Elektronische Mitteilungssysteme - e-mail um jeden Preis?
Es gibt zahlreiche Bestrebungen, die Kommunikation innerhalb oder zwischen den Behörden durch elektronische Mitteilungssysteme zu unterstützen. Der wohl am meisten genutzte Dienst solcher Bürokommunikationssysteme ist Electronic Mail (e-mail). Hierüber wird elektronische Post zwischen verschiedenen, beliebig weit voneinander entfernten Rechnern ausgetauscht. Es ist damit zu rechnen, daß in Zukunft immer mehr rechtsverbindliche Informationen und insbesondere personenbezogene Daten auf diesem Wege übermittelt werden. Als Übertragungswege werden in der Regel öffentliche (Telefon-) Leitungen benutzt. Diese Leitungen sind von den Kommunikationspartnern nicht kontrollierbar, so daß Vertraulichkeit, Integrität, Verfügbarkeit und Verbindlichkeit der übermittelten Daten bedroht sein können. Nur durch eine Vielzahl umfassender, aufeinander abgestimmter Sicherheitsmaßnahmen ist der Schutz elektronisch gespeicherter, bearbeiteter und übermittelter Daten möglich.
Die Innenministerkonferenz hat im Sommer 1993 beschlossen, ab Anfang 1995 ein elektronisches Mitteilungssystem für den Datenaustausch zwischen Bund und Ländern einzusetzen. Im Rahmen des Informationsverbundes Berlin-Bonn (IVBB) sollen ebenfalls solche Systeme verwendet werden.
Auch in Behörden Mecklenburg-Vorpommerns kommen elektronische Mitteilungssysteme als Basis für Bürokommunikationverfahren zum Einsatz. Das Landesweite Polizei Informationssystem (siehe Punkt 2.17.2) verfügt schon über entsprechende Komponenten. Zur Zeit wird der IT-Strukturrahmen, der verbindliche Festlegungen für alle Landesbehörden Mecklenburg-Vorpommerns hinsichtlich der Planung, der Beschaffung und des Betriebes informationstechnischer Systeme und Verfahren enthält, unter anderem um den Abschnitt Bürokommunikation ergänzt. Ich habe den Entwurf dieses Abschnittes dahingehend überprüft, ob er den datenschutzrechtlichen Anforderungen entspricht und im Ergebnis auf die notwendigen Sicherheitsanforderungen beim Einsatz elektronischer Mitteilungssysteme hingewiesen und entsprechende Empfehlungen gegeben:
Authentizität von Benutzern, Nachrichten und Systemmeldungen
Für den Empfänger einer Nachricht muß jederzeit die Möglichkeit
bestehen, anhand bestimmter Kriterien die Authentizität des
Absenders, der Nachricht sowie der an ihn gerichteten Systemmeldungen (zum
Beispiel Empfangs- und Weiterleitungsbestätigungen,
Sendeanforderungen, Teilnehmerkennungen, Teilnehmereinstufungen) zu überprüfen.
Vertraulichkeit von übertragenen Daten
Für alle Arten von Daten in elektronischen Mitteilungssystemen -
Nachrichten sowie Verkehrs- und Verbindungsdaten - muß die
Vertraulichkeit gewahrt bleiben. Sie ist durch geeignete Maßnahmen,
etwa kryptografische Verfahren, sicherzustellen.
Integrität von Nachrichten und Meldungen
Es ist zu gewährleisten, daß bei Speicherung und Weiterleitung
von Daten keine unbefugte, unerkannte Veränderung vorgenommen werden
kann.
Fälschungssichere Kommunikationsnachweise
Die für die Anerkennung einer elektronischen Kommunikation
erforderlichen fälschungssicheren Sende-, Empfangs- und Übertragungsnachweise
müssen dem Anwender auf Wunsch zur Verfügung stehen.
Verhindern der Bildung von Kommunikationsprofilen
Die Erstellung von Kommunikationsprofilen ist zu verhindern.
Gespeicherte Protokollierungsdaten dürfen nur zu Zwecken des
Datenschutzes und der Datensicherung verwendet werden.
Es empfielt sich, nur Produkte einzusetzen, die alle Sicherheitsfunktionen der X.400-Empfehlung aus dem Jahre 1988 beinhalten, einem international anerkannten Standard für Verfahren der "elektronischen Post".
Bei der Übertragung von personenbezogenen Daten ist eine Verschlüsselung vorzusehen, die auf einem hinreichend sicheren Verfahren basiert. Dabei muß insbesondere eine ordnungsgemäße Schlüsselerzeugung, -verwaltung und -verteilung gewährleistet sein. Verschlüsselungskomponenten sind durch technische, bauliche und organisatorische Maßnahmen vor dem Zugriff Unbefugter zu schützen.
Zur Absicherung der Integrität der Daten sind Verfahren der "elektronischen Unterschrift" zu verwenden (siehe Punkt 2.16.4), die ebenfalls auf kryptografischen Verfahren beruhen.
Die Funktion des Systemverwalters sollte von der des Verwalters des elektronischen Mitteilungssystems getrennt werden. Es ist grundsätzlich separat administrierbare Hard- oder Software - zum Beispiel in Form eines Kommunikationsservers - für das elektronische Mitteilungssystem vorzusehen.
Bei Verwendung von öffentlichen Übertragungswegen sind die vorhandenen Sicherheitsmechanismen dieser Netze, wie geschlossene Benutzergruppen, Rufnummernidentifikation und automatische Rückruffunktion zu nutzen.
Die eingesetzte Software sollte Funktionen zur Beweissicherung einer stattgefundenen Kommunikation beinhalten (zum Beispiel Zustellungs- und Empfangsnachweis).
Die 49. Konferenz der Datenschutzbeauftragten des Bundes und der Länder
hat in einer Entschließung auf die Risiken bei der Nutzung
elektronischer Mitteilungssysteme hingewiesen und entsprechende
Empfehlungen formuliert (siehe Anlage 15).
2.18.3 Internet - Gefahr und Nutzen für öffentliche Stellen
Auch in den öffentlichen Stellen unseres Landes wächst das Bedürfnis nach Zugang zu internationalen Kommunikationsdiensten, wie dem weltumspannenden Datennetz Internet. Die damit verbundenen Risiken für den Schutz personenbezogener Daten werden dabei bisweilen weit unterschätzt.
Bei der Entwicklung des Internet haben Datenschutz- und Datensicherheitsaspekte kaum eine Rolle gespielt. Schutzmechanismen müssen daher vielfach nachgerüstet werden. Ständig werden Fehler in Protokollen oder Softwarekomponenten gefunden, deren Ausnutzung das unbefugte Eindringen in fremde Netze und Rechner ermöglicht. Medienmeldungen aus aller Welt, in denen von erfolgreichen Eindringversuchen aus dem Internet in angeblich ausreichend gesicherte Netze oder in einzelne Rechner selbst in Hochsicherheitsbereichen berichtet wird, verdeutlichen die Gefahren für Vertraulichkeit, Integrität und Verfügbarkeit der elektronisch gespeicherten Daten.
Aus datenschutzrechtlicher Sicht ist der Anschluß einer öffentlichen Stelle an das Internet deshalb nur vertretbar, wenn
- ein nachweisbarer Kommunikationsbedarf mit Internet-Teilnehmern
besteht,
- der Schutzbedarf festgestellt sowie die sich aus dem Anschluß
ergebenen Risiken
eingehend analysiert wurden und
- Schutzmaßnahmen ergriffen werden, die diese Risiken soweit
reduzieren, daß
Gefährdungen für personenbezogene Daten weitgehend
ausgeschlossen werden.
Diese Anforderungen sind oft nur schwer zu erfüllen, weil allein schon aufgrund der großen Zahl von Internet-Teilnehmern auch die Gefahr des potentiellen Mißbrauchs sehr groß ist.
Wenn das Restrisiko jedoch unvertretbar hoch bleibt, sollte ein Netzwerk nicht an das Internet angebunden werden. Der Zugriff auf Internet-Dienste ist in diesem Fall auf nicht vernetzte Personalcomputer zu beschränken, auf denen keine sensiblen Daten verarbeitet werden.
Ist der Anschluß des Netzes einer öffentlichen Stelle an das Internet trotz der bekannten Risiken unbedingt erforderlich, empfehle ich, zumindest die nachfolgenden Hinweise zu berücksichtigen.
Analyse des Kommunikationsbedarfs
Für jeden Benutzer des lokalen Netzes ist festzustellen, welche Dienste des Internet genutzt und welche dem Internet angeboten werden sollen. Wird bei der Analyse des Kommunikationsbedarfes festgestellt, daß die Anbindung an das Internet notwendig ist, muß der Schutzbedarf aller im lokalen Netz zu verarbeitenden Daten bestimmt werden.
Feststellung des Schutzbedarfes und Bewertung der Risiken
In Anlehnung an die Empfehlungen des BSI-Grundschutzhandbuches sind folgende Fragen zu beantworten:
- Welche Datenpakete dürfen auf der Grundlage welchen Protokolls
bis zu welchem Rechner im Netz weitergeleitet werden?
- Welche Informationen sollen nicht nach außen gelangen?
- Wie können die interne Netzstruktur und Benutzernamen nach außen
unsichtbar gemacht werden?
- Welche Authentisierungsverfahren sollen benutzt werden; sind
benutzerspezifische Authentisierungsverfahren notwendig?
- Welche Zugänge werden benötigt (zum Beispiel nur über
einen Internet-Service-Provider)?
- Welche Datenmengen werden voraussichtlich übertragen?
- Welche Rechner mit welchen Daten befinden sich im Netz, die geschützt
werden müssen?
- Welche Nutzer gibt es im Netz, und welche Dienste sollen dem einzelnen
Nutzer zur Verfügung gestellt werden?
- Welche Aktivitäten im Netz sind zu protokollieren?
- Welche Dienste dürfen auf keinen Fall genutzt werden?
- Wird sichergestellt, daß nur die Dienste genutzt werden können,
die ausdrücklich freigegeben worden sind? (Was nicht erlaubt ist, ist
verboten.)
- Welcher Schaden kann im zu schützenden Netz verursacht werden,
wenn Unberechtigte Zugang erhalten?
- Welche Restrisiken verbleiben, nachdem die vorgesehenen Schutzmaßnahmen
realisiert wurden?
- Welche Einschränkungen würden Benutzer durch den Einsatz
geeigneter Schutzmaßnahmen akzeptieren?
Die jeweiligen Stellen sollten zunächst versuchen, genaue Kenntnisse über die Möglichkeiten und Gefährdungen der einzelnen angebotenen Dienste zu erlangen (etwa durch entsprechende Tests mit an das Internet angeschlossenen Einzelplatz-PC). Im Rahmen der empfohlenen Kommunikationsanalyse kann dann leichter beurteilt werden, welcher Nutzer welche Dienste an welchem Rechner tatsächlich benötigt.
Nachdem die Kommunikationserfordernisse analysiert und der Schutzbedarf festgestellt wurden, ist ein Sicherheitskonzept zu erarbeiten, das Bestandteil der gesamten Sicherheits- und Datenschutzpolitik der öffentlichen Stelle werden muß.
Realisierung von Schutzmaßnahmen
Ein geeignetes Mittel, um die durch eine Internetanbindung hervorgerufenen Sicherheitsrisiken zu reduzieren, ist der Einsatz einer Firewall ("Brandschutzmauer"). Eine Firewall ist eine Schwelle zwischen zwei Netzen, die überwunden werden muß, um in Systeme im jeweils anderen Netz einzudringen. So soll erreicht werden, daß nur zugelassene netzübergreifende Aktivitäten möglich sind und Mißbrauchsversuche rechtzeitig erkannt werden.
Eine Firewall läßt sich durch verschiedene Konzepte realisieren. Im wesentlichen unterscheidet man die Grundkonzepte Packet Filter und Application Gateway.
Ein Packet Filter ist ein als Router bezeichneter Rechner, der Datenpakete nach erlaubter und unerlaubter Nutzung von Kommunikationsdiensten filtert. Damit läßt sich einschränken, welche Rechner an der Kommunikation beteiligt sein dürfen und welche Kommunikationsdienste erlaubt sind. Das gilt sowohl für das zu schützende Behördennetz als auch für das unsichere Netz (zum Beispiel Internet).
Ein Application Gateway ist ein speziell konfigurierter Rechner, über den die gesamte Kommunikation zwischen dem zu schützenden und dem unsicheren Netz stattfindet. Mit dem Application Gateway findet die Kontrolle der Kommunikationsbeziehungen, anders als beim Packet Filter, auf der Anwendungsebene statt. Hierbei besteht zum Beispiel die Möglichkeit, ausführliche Protokolle zu führen und eine benutzerbezogene Authentisierung für die unterschiedlichen Dienste durchzuführen.
Firewalls können an verschiedenen Stellen des zu schützenden Netzes installiert werden. Aus Sicherheitsgründen empfiehlt es sich, für das entsprechende Netz nur einen zentralen Internet-Zugang einzurichten und diesen Zugang dann durch eine Firewall zu schützen. Werden innerhalb des Netzes keine weiteren Schutzmechanismen installiert, spricht man von einer zentralen Firewall. Ein Nachteil dieser Lösung ist, daß einzelne Teile des Netzes nicht differenziert nach dem möglicherweise unterschiedlichen Sicherheitsniveau geschützt werden können, so daß sich die Stärke der Firewall am schutzbedürftigsten Teil des Netzes orientieren muß. Ein weiterer Nachteil ist die komplizierte Benutzerverwaltung, da sie in diesem Fall fernab von den einzelnen Fachbereichen zentral erfolgen muß.
Eine aus datenschutzrechtlicher Sicht empfehlenswerte Lösung sind gestaffelte Firewalls. Es handelt sich dabei um eine Kombination aus zentralen und dezentralen Komponenten. Durch eine zentrale Firewall wird ein Mindestschutz für das Gesamtnetz gegenüber dem Internet realisiert. Dezentrale Firewalls in den Teilnetzen mit besonderem Schutzbedarf stellen dort das erforderliche Schutzniveau sicher. Die schon genannten Nachteile einer zentralen Firewall werden vermieden. Darüber hinaus ist mit dieser Lösung auch eine Kontrolle der verwaltungsinternen Verbindungen möglich. Da die Forderungen einzelner Nutzer besser abgebildet werden können, wird auch die Gefahr unkontrollierter (und damit sicherheitsgefährdender) Internet-Zugänge reduziert. Die Anbindung des Gesamtnetzes sollte aber auch in diesem Fall nur über ein zentrales Gateway erfolgen, das durch die zentrale Firewall geschützt wird.
Für alle Arten von Firewalls gilt, daß der personelle und sachliche Aufwand hoch ist. Es ist unverzichtbar, hochspezialisierte Fachleute einzusetzen, um gegen mindestens ebenso spezialisierte Angreifer gewappnet zu sein. Dieser Aufwand ist jedoch immer dann gerechtfertigt, wenn in den an das Internet anzuschließenden Netzen personenbezogene Daten verarbeitet werden.
Die bereits dargestellten Restrisiken können nur anwendungsbezogen aufgefangen werden. So bleibt es auch beim Einsatz von Firewalls notwendig, sensible Daten nur verschlüsselt zu übertragen. Das betrifft neben personenbezogenen Daten auch Paßwörter und sonstige Authentifikationsdaten.
Die Datenschutzbeauftragten haben im Arbeitskreis "Technische und
organisatorische Datenschutzfragen" (AK Technik) eine
Orientierungshilfe zu diesem Thema erarbeitet (siehe auch Abschnitt 2.21),
in der Sicherheitsrisiken dargestellt, Firewallkonzepte erläutert und
Empfehlungen zum Schutz gegeben werden. Die Orientierungshilfe ist in
meiner Dienststelle kostenlos erhältlich.
2.18.4 Mecklenburg-Vorpommern auf der Datenautobahn
Seit November 1995 "fährt" Mecklenburg-Vorpommern auf der Datenautobahn MVonline (Arbeitstitel), einem multimediafähigen, digitalen Netzwerk, das von den Medien als "Deutschlands erstes offenes, staatliches Regional-Informationsnetz" betitelt wurde. MVonline steht allen Bürgern, Unternehmen, Behörden, Vereinen, Schulen und Institutionen zur besseren Information und Kommunikation in Mecklenburg-Vorpommern zur Verfügung und soll die Basis für ein vom Wirtschaftsministerium gefördertes landesinternes Informationssystem sein. Beispielsweise könnten Firmen sich und ihre Produkte in diesem Netz darstellen und Bürger Informationen aus einer Vielzahl von Angeboten abrufen. Das Abschließen eines elektronischen Vertrages, um einen in MVonline angebotenen Urlaubsplatz verbindlich zu buchen, wäre nur eine von vielen denkbaren Nutzungsmöglichkeiten.
Insbesondere beim Angebot kostenpflichtiger Multimedia-Dienste wird deutlich, daß bei deren Nutzung personenbezogene Daten anfallen, die neue datenschutzrechtliche Probleme aufwerfen können.
Multimedia-Dienste stellen eine neue Qualität unter den Telekommunikationsdiensten dar. Bisher bestand nur die Möglichkeit, Informationen für eine nicht bestimmbare Anzahl von Nutzern bereitzustellen (Fernsehen, Zeitungen, Kataloge usw.). Die Inanspruchnahme solcher Angebote war kaum kontrollierbar. Müssen Nutzer nun für die Inanspruchnahme bestimmter Informationsangebote Gebühren entrichten, oder muß ein rechtsverbindlicher Nachweis für einen unter Nutzung dieser Dienste abgeschlossenen Vertrag erbracht werden, fallen personenbezogene Daten an. Durch die Speicherung dieser Daten könnte das Konsum- und Medienverhalten des einzelnen in bisher nicht bekanntem Maße kontrolliert werden. Es würden beispielsweise detaillierte Informationen darüber vorliegen, wann welcher Zeitungsartikel abgerufen oder welche Ware auf elektronischem Wege gekauft wurde.
Daher ist eine datenschutzgerechte Gestaltung von Abrechnungsverfahren unabdingbar. Im Interesse des Kunden, der Multimedia-Dienste in Anspruch nimmt, sollten solche Abrechnungsverfahren entwickelt werden, die einen anonymen Zugang zu Dienstleistungsangeboten unter Wahrung der Abrechnungssicherheit gewährleisten. Nach dem heutigen Stand der Technik kommen dafür vor allem die sogenannten Prepaid-Verfahren in Frage. Bei ihnen erfolgt eine Zahlung im voraus. Die Verwendung von Chipkarten, auf denen ein Guthaben gespeichert werden kann, bietet sich dafür an. Auf eine zentrale Speicherung von Verbindungs- und Nutzungsdaten kann auf diese Weise weitgehend verzichtet werden. Es werden also keine personenbezogene Daten gespeichert, die für die Inanspruchnahme einer Netzdienstleistung nicht erforderlich sind.
Falls es in besonderen Fällen unumgänglich ist, die Identität des Nutzers zu offenbaren, darf die Speicherung seiner personenbezogenen Daten nur in dem unbedingt notwendigen Umfang und nicht länger als erforderlich erfolgen. Eine strenge Zweckbindung ist zu gewährleisten.
Multimedia-Dienste werden besonders dann interessant, wenn Zugang zu internationalen Angeboten besteht. Das Internet bietet eine Vielzahl entsprechender Dienste, und fast jeder Dienstanbieter stellt eine Einwahlmöglichkeit zur Verfügung. Auch MVonline hat diesen Service. Neben den im Punkt 2.18.3 beschriebenen Sicherheitsproblemen spielt auch die landesspezifische Datenschutzgesetzgebung eine wichtige Rolle. Es muß sichergestellt sein, daß Anbieter von Multimedia-Diensten nicht die in ihrem Land geltenden Datenschutzregelungen umgehen, indem sie sich in Ländern ohne entsprechende Schutzgesetze oder mit Regelungen auf niedrigerem Niveau niederlassen. Hier ist die EU gefordert, die Harmonisierung der Gesetzgebung voranzutreiben.
Werden in Multimedia-Netzen Presseerzeugnisse angeboten - die Schweriner Volkszeitung ist beispielsweise weltweit im Internet zu lesen - und stehen elektronische Pressearchive zur Verfügung, wird es ein Vergessen von Informationen nicht mehr geben. Wie die Wahrung von Rechten Betroffener, etwa der Anspruch auf Gegendarstellung, in ausreichendem Maß sichergestellt werden kann, ist noch vollkommen offen.