3.18.6 Wenn die Festplatte defekt ist
Häufig werde ich gefragt, ob privaten Dienstleistern defekte Festplatten zur Reparatur überlassen werden dürfen, wenn sensible personenbezogene Daten darauf gespeichert sind. In diesen Fällen bestehen berechtigte Bedenken, ob die Vertraulichkeit dieser Daten gewährleistet werden kann.
Die datenschutzgerechte Reparatur wäre möglich, wenn vor Übergabe der Festplatte alle darauf befindlichen personenbezogenen Daten gelöscht werden könnten. Voraussetzung hierfür ist allerdings, daß die Daten ordnungsgemäß gesichert worden sind. Mit entsprechenden Löschbefehlen oder durch Überschreiben können defekte Platten jedoch nicht mehr gelöscht werden. Auch die Löschung mit handelsüblichen Geräten, die ein Magnetfeld zur physischen Löschung der Platte erzeugen, ist nicht ausreichend, da der eigentliche Datenträger gegen den Einfluß von Magnetfeldern üblicherweise durch die konstruktive Gestaltung der Gehäuse weitgehend geschützt ist. Selbst wenn der eigentliche Datenträger vom Magnetfeld erreicht wird, wäre eine vollständige Löschung kaum möglich. Der verbleibende Restmagnetismus reicht oftmals aus, um mit empfindlichen Spezialköpfen die Information auszulesen. Mit modernen Verfahren kann der Inhalt von so "gelöschten" Platten rekonstruiert werden.
Da für eine Reparatur also unvermeidlich personenbezogene Daten mit übergeben werden müßten, würde eine Datenverarbeitung im Auftrag im Sinne von § 4 DSG MV stattfinden. Der Auftraggeber bliebe in diesem Falle datenverarbeitende Stelle und wäre auch weiterhin für die Daten verantwortlich. Er müßte sicherstellen, daß eine mißbräuchliche Nutzung der Daten ausgeschlossen ist. Das ist mit vertretbarem Aufwand jedoch kaum möglich, da üblicherweise die defekte Festplatte lediglich gegen eine andere getauscht wird. Der Verbleib der Originalfestplatte ist nicht mehr nachvollziehbar und somit der Kontrolle des Auftraggebers entzogen. Kommt eine Reparatur aus den oben genannten Gründen nicht in Frage, muß die defekte Platte entweder im Besitz des Nutzers bleiben und gegen unberechtigte Zugriffe geschützt aufbewahrt werden, oder die Daten sind durch Vernichten der Festplatte physikalisch zu löschen.
Dem Wartungsunternehmen darf die defekte Platte nur dann überlassen
werden, wenn sensible personenbezogene Daten verschlüsselt
gespeichert sind (siehe auch Punkt 2.3). Nur unter dieser Voraussetzung
kann der Auftraggeber sicherstellen, daß eine mißbräuchliche
Nutzung dieser Daten ausgeschlossen ist, da ohne Kenntnis des Schlüssels
nicht auf die Daten zugegriffen werden kann.
3.18.7 Datenschutz durch Havarievorsorge
Die Datenverarbeitungszentrum Mecklenburg-Vorpommern GmbH (DVZ M-V GmbH) ist für zahlreiche öffentliche Stellen des Landes ein wichtiger Dienstleister. Zu ihren Auftraggebern gehören viele Landesbehörden, unter anderem das Statistische Landesamt, die Polizei und das Landesvermessungsamt, aber auch zahlreiche Kommunen.
Einige öffentliche Auftraggeber müssen sehr hohe Anforderungen an die Verfügbarkeit der von ihnen beauftragten Dienstleistungen und der auftragsgemäß verarbeiteten Daten stellen. Auch aus datenschutzrechtlicher Sicht ist die Verfügbarkeit bestimmter Datenbestände grundlegendes Schutzziel. Die DVZ M-V GmbH bietet deshalb als Absicherung gegen Schäden durch Katastrophenfälle wie Brand, Sturm, Flugzeugabstürze oder terroristische Anschläge eine Reihe von Vorsorgemaßnahmen an. Selbst im Fall schwerwiegender Schäden wird die Wiederaufnahme des Betriebes innerhalb von 48 Stunden nach solchen Ereignissen garantiert.
Voraussetzung hierfür ist zunächst eine geeignete Strategie zur regelmäßigen Sicherung der Datenbestände (Backup). Die Datenträger mit den Sicherungskopien werden in einem speziellen Sicherheitsarchiv gelagert. Außerdem werden für die hochschutzbedürftigen Anwendungen Katastrophenhandbücher erarbeitet. Diese Handbücher enthalten genaue Anweisungen, nach denen die zuständigen Fachleute handeln, um den Rechenbetrieb wieder aufzunehmen. Darüber hinaus steht der DVZ M-V GmbH ein mobiles Vorsorgerechenzentrum zur Verfügung. Dieses besteht aus mehreren Lastzügen, auf denen die Technik eines kompletten Rechenzentrums installiert ist. Die DVZ M-V GmbH hält für den Notfall lediglich einen Stellplatz mit geeigneter Infrastruktur (Anschlüsse für die Energieversorgung und Datenleitungen) bereit.
Regelmäßig werden verschiedene Katastrophenfälle geprobt. In diesem Berichtszeitraum habe ich an einer Übung teilgenommen, bei der das Automatisierte Liegenschaftsbuch (ALB) des Landesvermessungsamtes im Notfallbetrieb getestet wurde. Die Übung verlief planmäßig. An den dezentralen Arbeitsplätzen wurde nicht einmal bemerkt, daß die Umschaltung der Verarbeitung auf das mobile Vorsorgerechenzentrum erfolgt war.
Diese Art der Katastrophenvorsorge ist selbstverständlich nicht für
alle datenverarbeitenden Stellen notwendig und angemessen. Havariepläne
sollten jedoch überall dort vorliegen, wo eine Verwaltung weitgehend
auf das Funktionieren einer IT-Infrastruktur angewiesen ist. Oft lassen
sich schon mit relativ geringem Aufwand die Auswirkungen solcher Havariefälle
auf ein Minimum begrenzen. So sollten Backups immer so gelagert werden, daß
beim Verlust der Originaldatenträger (zum Beispiel Festplatten in
Servern) nicht auch die Sicherungskopien vernichtet werden. Außerdem
sollten Systembetreuer den geordneten Wiederanlauf des
Datenverarbeitungssystems planen und möglichst auch trainieren. Auf
diese Weise kann die Ausfallzeit auch bei weniger schwerwiegenden Störungen
minimiert werden, zum Beispiel nach eine Festplattenausfall (siehe auch
Punkt 3.18.6) oder nach dem Auftreten von Computerviren, welche Daten verändern
(siehe auch Punkt 3.18.4).
3.18.8 Alte Verzeichnisse auf neuen Datenträgern
In zunehmendem Maße werden CD-ROM angeboten, die Sammlungen von personenbezogenen Daten enthalten. Beispielsweise sind die seit Jahrzehnten bekannten Telefonbücher inzwischen auf CD-ROM gespeichert und im Handel erhältlich. Zumeist sind diese elektronischen Verzeichnisse umfangreicher und aussagekräftiger als die einzelnen bisher in Buchform erschienenen Datensammlungen. Es sind nicht nur Telefon- oder Adreßdaten der Bewohner eines bestimmten Ortes oder einer Region gespeichert, sondern Daten von Personen des gesamten Bundesgebietes. Hinzu kommt, daß nicht nur anhand des Namens weitere Angaben in Erfahrung gebracht werden können, sondern weitere Recherche- und Verknüpfungsmöglichkeiten zur Verfügung stehen. So kann bei einigen CD-ROM zu einer bekannten Telefonnummer durch die sogenannte Inverssuche der Anschlußinhaber problemlos gefunden werden. Selbst wenn nur Bruchstücke eines Namens, einer Telefonnummer oder einer Anschrift bekannt sind, führen Such- und Verknüpfungsmöglichkeiten zu dem aus datenschutzrechtlicher Sicht bisweilen zweifelhaften "Erfolg".
In den Datenschutzgesetzen von Bund und Ländern wird zu Recht nach der Speicherform personenbezogener Daten unterschieden. Der Gesetzgeber hat erkannt, daß in Abhängigkeit von der jeweiligen Speicherform ein unterschiedliches Gefährdungspotential für den Mißbrauch dieser Daten ausgeht. Für die automatisierte Verarbeitung personenbezogener Daten fordert er deshalb besondere technische und organisatorische Maßnahmen. Die Datenschutzbeauftragten des Bundes und der Länder sehen die Entwicklung mit Sorge. Die genannten Vorkehrungen verhindern nicht, daß mit Hilfe der verschiedenen, am Markt erhältlichen elektronischen Verzeichnisse Persönlichkeitsprofile erstellt werden können, die beispielsweise für Direktmarketingunternehmen von Interesse sind. Das bisher in vielen Bereichen geltende Widerspruchsrecht, beispielsweise gegen die Meldedatenübermittlung an Adreßbuchverlage, genügt nach bisherigen Erfahrungen nicht mehr, um die Privatsphäre Betroffener in angemessener Weise zu schützen. Auch im Telekommunikationsbereich sollte in Zukunft berücksichtigt werden, daß nicht jeder Kunde, der die Veröffentlichung seiner Daten im konventionellen Telefonbuch zuläßt, möchte, daß sie auch auf einem elektronischen Datenträger erscheinen.
Im Telekommunikationsbereich existieren bereits gesetzliche Regelungen, die zur datenschutzfreundlichen Ausgestaltung öffentlicher Kundenverzeichnisse beitragen sollen. Die Telekommunikationsdienstunternehmen-Datenschutzverordnung (siehe auch Punkt 3.10.4) erlaubt es den TK-Diensteanbietern, diese Verzeichnisse in gedruckter und elektronischer Form herauszugeben. Die Kunden haben jedoch die Möglichkeit, die Art des Eintrags in gedruckte Verzeichnisse weitgehend frei zu bestimmen, einen Eintrag vollständig abzulehnen und der Aufnahme in elektronische Verzeichnisse zu widersprechen. Das Telekommunikationsgesetz (siehe auch Punkt 3.10.2) geht noch einen Schritt weiter. Kunden können hiernach in gedruckte oder elektronische Verzeichnisse nur dann aufgenommen werden, wenn sie dies ausdrücklich beantragt haben. Da die Regelungen des später in Kraft getretenen TKG denen der TDSV vorgehen, sind Übergangsregelungen notwendig. Für einen Kunden, der beim Inkrafttreten des TKG bereits in ein Kundenverzeichnis eingetragen war, unterbleibt die Eintragung erst dann, wenn er widerspricht.
Aber selbst eine solche auf den ersten Blick datenschutzfreundlich erscheinende Lösung ist nicht unproblematisch. Fehlt der Hinweis im gedruckten Verzeichnis, daß ein Kunde gegen die Aufnahme seiner Daten in elektronische Verzeichnisse widersprochen hat, bedeutet das wegen der mangelnden Aktualität gedruckter Verzeichnisse nicht automatisch, daß er einverstanden ist. CD-ROM-Herausgeber müssen also damit rechnen, daß auch nicht besonders gekennzeichnete Kunden widersprochen haben. Darüber hinaus ist die Kennzeichnung selbst auch wieder ein personenbezogenes Datum. Der Kunde müßte deshalb ausdrücklich die Aufnahme dieser zusätzlichen Angabe im Sinne des TKG beantragen.
Die Deutsche Telekom kommt der Pflicht zur Information ihrer Kunden zu diesen schwer durchschaubaren Einwilligungs- und Widerspruchsmöglichkeiten durch Informationsschriften und durch Einrichtung einer Hotline nach. Wie andere TK-Unternehmen ihre Kunden über ihre Rechte informieren werden, bleibt abzuwarten.
Die Veröffentlichung von Adreßbüchern auf elektronischen Medien ohne angemessene Beteiligung der Betroffenen würde ebenfalls einen Eingriff in das Recht auf informationelle Selbstbestimmung darstellen. Auch deshalb ist im Landesmeldegesetz Mecklenburg-Vorpommern festgelegt, daß Meldedaten an Adreßbuchverlage nur zum Zweck der Herausgabe von Adreßbüchern in gedruckter Form übermittelt werden dürfen. Sowohl diese Beschränkung als auch die Vorschrift, daß die Daten ausschließlich in alphabetischer Reihenfolge veröffentlicht werden dürfen, sind vom Gesetzgeber vorgesehene - wenn auch recht schwache - Schutzmechanismen für diese Daten vor Mißbrauch. Denn die besondere Problematik elektronischer Verzeichnisse bleibt weiterhin bestehen, da nicht verhindert werden kann, daß Dritte Daten aus Adreßbüchern zur Herstellung solcher Verzeichnisse verwenden.
Unser Innenministerium hat bereits im Frühjahr 1996 in einem Rundschreiben darauf hingewiesen, daß sich Meldebehörden vor der Datenübermittlung an Adreßbuchverlage von der ausschließlichen Nutzung dieser Daten für die Herausgabe gedruckter Verzeichnisse vergewissern müssen. Es wurde empfohlen, die Einwohner im Rahmen der amtlichen Bekanntmachung zur Widerspruchsmöglichkeit darauf aufmerksam zu machen, daß bei einer Veröffentlichung im gedruckten Adreßbuch nicht ausgeschlossen werden kann, daß Dritte diese Daten trotzdem nutzen, um elektronische Verzeichnisse herzustellen und zu vertreiben.
Bereits im Ersten Tätigkeitsbericht, Punkt 2.3.5, hatte ich
empfohlen, die im Landesmeldegesetz formulierte Widerspruchsregelung in
eine Zustimmungsregelung umzuwandeln. Im Saarland gilt seit August 1997
diese datenschutzfreundliche Variante der Datenübermittlungsvorschrift
an Adreßbuchverlage. Dort dürfen nunmehr nur noch dann Vor- und
Familiennamen, Doktorgrad und Anschriften an Adreßbuchverlage übermittelt
werden, wenn der Betroffene dieser Datenübermittlung ausdrücklich
zugestimmt hat. Er kann dabei bestimmen, ob die Eintragung in gedruckten,
elektronischen oder beiden Verzeichnissen erfolgt.
3.18.9 Datenschutzgerechter Einsatz von Chipkartensystemen
Die Chipkartenindustrie präsentiert ein ständig zunehmendes Angebot an technischen Lösungen, beispielsweise im Bereich der elektronischen Zahlungssysteme, der Personenidentifikation oder im Gesundheitswesen. Darüber hinaus wird die Herstellung und Nutzung multifunktioneller Chipkarten untersucht.
In vielen Fällen dienen Chipkarten als Speicher sensibler personenbezogener Daten. Die Datenschutzbeauftragten des Bundes und der Länder fordern deshalb seit langem effektive Regelungen des Datenschutzes für Chipkartensysteme (siehe Zweiter Tätigkeitsbericht, 1. und 24. Anlage). Die Bundesregierung hat die Empfehlung der Datenschutzbeauftragten, Sonderregelungen zu Chipkarten in den Entwurf zur Novellierung des Bundesdatenschutzgesetzes (BDSG) aufzunehmen, bisher nicht aufgegriffen (siehe auch Punkt 2.4 und 13. Anlage). Lediglich für den Teilbereich der Krankenversichertenkarte hat der Gesetzgeber die Einführung von Chipkartensystemen geregelt (§ 291 SGB V).
Neben der Schaffung rechtlicher Rahmenbedingungen sind für den Einsatz von Chipkartensystemen geeignete technische und organisatorische Maßnahmen von grundlegender Bedeutung, um zu verhindern, daß Informationen unbefugt preisgegeben, verändert oder vorenthalten werden. Diese Gefahren sind sowohl dann zu berücksichtigen, wenn die Daten auf der Chipkarte selbst gespeichert sind, als auch dann, wenn sie in einer externen Datenbank gespeichert werden, die sich durch die Chipkarte erschließen läßt. Es ist also eine komplexe Sicherungstechnologie erforderlich.
Eine Arbeitsgruppe des AK Technik (siehe auch Punkt 3.20.1) hat dazu die Orientierungshilfe "Anforderungen zur informationstechnischen Sicherheit bei Chipkarten" erstellt, in der auch Empfehlungen zum datenschutzgerechten Einsatz von Chipkartensystemen gegeben werden. Die folgenden Hinweise orientieren sich an dieser Ausarbeitung.
Datensicherungsmaßnahmen müssen in ihrer Gesamtheit einen hinreichenden Schutz der Daten vor Mißbrauch gewährleisten. Die Vertraulichkeit, Integrität, Verfügbarkeit und Authentität der auf der Chipkarte gespeicherten Daten muß weitgehend sichergestellt werden können.
Vor der Entscheidung über den sicherheitsrelevanten Einsatz von Chipkarten-Anwendungen sollte deshalb eine projektbezogene Technikfolgenabschätzung durchgeführt werden, so wie dies Art. 20 der EU-Datenschutzrichtlinie als Vorabkontrolle fordert. Zur Auswahl geeigneter und angemessener Sicherungsmaßnahmen ist eine systematische Einschätzung der Gefahren für das informationelle Selbstbestimmungsrecht und das Recht auf kommunikative Selbstbestimmung vorzunehmen, und es sind Lösungsvorschläge für eine Sicherungstechnologie zu erarbeiten. Dabei ist zwischen den technischen Systemen (künftig vorwiegend auf Basis der Prozessorchipkartentechnologie) und den Anwendungen, die sich dieser Systeme bedienen, zu unterscheiden. Neben der eigentlichen Chipkarte und deren Herstellung, Initialisierung und Versand muß in die Betrachtungen auch das Kartenterminal (Chipkartenbasiertes Dienstleistungssystem - CDLS) einbezogen werden.
Ein Sicherungskonzept für Chipkarten sollte entsprechend des Schutzbedarfs folgende Mindestanforderungen erfüllen:
1. Grundschutzmaßnahmen
2. Erweiterte Sicherungsmaßnahmen
3. Grundsätzlich sollte zunächst die Möglichkeit in Betracht gezogen werden, daß bei der Chipkartenbenutzung Anonymität gewahrt bleiben kann. Ist dies nicht möglich, sollten Wahlmöglichkeiten anonymer Alternativen geschaffen werden (siehe auch Punkt 2.1).
4. Der Chipkarteninhaber beziehungsweise die Betroffenen sollten die Möglichkeit erhalten, auf neutralen, zertifizierten Systemumgebungen die Dateninhalte und Funktionalitäten ihrer Chipkarten einzusehen (Gebot der Transparenz).
5. Die gesamte Infrastruktur ist zu dokumentieren und die Produktion, die Initialisierung und der Versand der Chipkarten zu überwachen.
6. Für die gesamte Infrastruktur ist ein Mindestschutzniveau vorzuschreiben, das bei unbefugten Handlungen das Strafrecht anwendbar macht.
7. Alle Systemkomponenten datenschutzrelevanter Chipkartenanwendungen sind auf der Basis der Grundsätze ordnungsgemäßer Datenverarbeitung zu evaluieren.
8. Für die Informationsstrukturen sind zu Echtheits- und Gültigkeitsüberprüfungen (z. B. Abgleich gegen Sperr- und Gültigkeitsdateien) Kontrollmöglichkeiten zu schaffen.
Sicherheitsrelevante Karten (z. B. Bankkarten) sollten über den gesamten Lebenszyklus der Karte kryptographisch gesichert sein.
Der vollständige Text der Orientierungshilfe ist in meiner
Dienststelle kostenlos erhältlich.
3.18.10 Datenschutz im Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik
In zahlreichen öffentlichen Stellen wird Informationstechnik (IT) eingesetzt, um die Effizienz der Verwaltung zu erhöhen. Dieser Effekt kann jedoch nur dann eintreten, wenn die Informations- und Kommunikationssysteme störungsfrei und sicher funktionieren. Um diesen Gesichtspunkt während der Planung, der Realisierung und des Betriebs der Systeme angemessen zu berücksichtigen, sind insbesondere die Empfehlungen aus dem Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI) als Orientierungspunkte gut geeignet. Der Schutzbedarf für personenbezogene Daten war dabei bisher jedoch noch nicht ausreichend berücksichtigt worden (siehe auch Zweiter Tätigkeitsbericht, Punkt 2.16.5).
Das BSI hatte den Bundesbeauftragten für den Datenschutz (BfD) um Unterstützung für eine entsprechende Ergänzung des Grundschutzhandbuches gebeten. Unter dem Dach des Arbeitskreises "Technische und organisatorische Datenschutzfragen" wurde daraufhin eine Arbeitsgruppe gebildet, die unter Federführung des BfD Erläuterungen zu technischen und organisatorischen Aspekten des Datenschutzes im Grundschutzhandbuch ausarbeiten sollte. Dazu mußten einerseits die Bewertungskriterien für die Schutzbedürftigkeit von IT-Verfahren erweitert werden, da die Bewertung von Beeinträchtigungen des Rechts auf informationelle Selbstbestimmung bisher sehr pauschal gehalten waren. Andererseits waren aus datenschutzrechtlicher Sicht Maßnahmen erforderlich, die im Grundschutzhandbuch bisher nur als Option genannt wurden, zum Beispiel die Transportverschlüsselung personenbezogener Daten. Letztlich sind zur Umsetzung datenschutzrechtlicher Vorschriften geeignete organisatorische Maßnahmen notwendig. Beispielsweise ist darauf zu achten, daß ein Interessenkonflikt des behördlichen beziehungsweise betrieblichen Datenschutzbeauftragten mit anderen Aufgaben vermieden werden muß.
Die Ergänzung im Grundschutzhandbuch soll dazu beitragen, die Auswahl und Umsetzung datenschutzrechtlich bedingter technischer und organisatorischer Maßnahmen zu erleichtern und die Anwendung des Grundschutzhandbuches auch in diesem Zusammenhang zu ermöglichen. Auch für personenbezogene Daten kann somit ein Grundschutz sichergestellt werden. Um das Kapitel uneingeschränkt sowohl für den öffentlichen als auch für den nichtöffentlichen Bereich anwenden zu können, wird voraussichtlich auf rechtliche Erörterungen weitgehend verzichtet.
Zum Abschnitt "Datenschutz" im IT-Grundschutzhandbuch liegt ein Entwurf vor. Bis Ende 1997 konnte er von künftigen Anwendern aus der Wirtschaft und den Behörden beim Bundesbeauftragten für den Datenschutz angefordert werden, um Änderungsvorschläge zu unterbreiten und Ergänzungshinweise zu geben. Rechtzeitig eingegangene Hinweise sollen dann bei der endgültigen Formulierung berücksichtigt werden. Es ist zu erwarten, daß die endgültige Fassung in der 1998 erscheinenden Auflage des IT-Grundschutzhandbuches des BSI enthalten sein wird.