Hannover, den 27.8.1996
Pressemitteilung

Datenschutzprobleme im Internet

anläßlich des Pressegesprächs am 27. August 1996

Probleme und Risiken

Das Internet wird teils überschwenglich gepriesen (US-Vizepräsident Al Gore: Entstehung einer großen länderübergreifenden Gemeinschaft), teils vernichtend kritisiert (Prof. Weizenbaum: Modische Verrücktheit). Angebracht sein dürfte eine realistische Betrachtungweise Bei der Diskussion über die gesellschaftlichen Risiken des Internets wird bisher viel über die Verbreitung von Kinderpornografie und Mordserien sowie über rechtsradikale Inhalte im "Netz der Netze" geredet. Weniger Aufmerksamkeit finden dagegen die Gefahren, die das Internet für den Schutz des Persönlichkeitsrechts, für den Datenschutz darstellen. Dabei ist das verführerische Medium Internet inzwischen in alle Lebensbereiche eingedrungen; Werbung, Handel und Unterhaltung dominieren die gegenwärtigen Anwendungen. Internet-Nutzer greifen, ohne sich Gedanken über mögliche Datenspuren zu machen, auf die verschiedenen Dienste, sie senden unbekümmert vielfältige persönliche und intime Dokumente, ja selbst Kreditkartennummern werden unverschlüsselt ins Netz gespeist. Im Internet entstehen auf diese Weise vielfältige Konsumentendaten, aus denen sensitive Datensammlungen werden: so z.B. Bestandsdaten bei den Internet-Providern, Verbindungsdaten in allen passierten Knotenrechnern, Entgelt- und Inhaltsdaten bei Internet- sowie Content-Providern.

Dem Internet ist bis heute eine anonyme Nutzung fremd. Jeder Nutzer weist sich durch seine IP-Nummer bzw. E-mail-Adresse aus, jeder Tastendruck hinterläßt Datenspuren. Daraus lassen sich universelle Auswertungen durch die vermittelnden Stellen entwickeln; so kann z.B. der Internet-Provider feststellen, wer wann welche Information abgerufen hat und wer mit wem elektronische Nachrichten ausgetauscht hat. Darauf können umfassende Nutzungs- und Kommunikationsprofile erstellt werden. Ein elektronischer Brief ist ungeschützt wie eine offene Postkarte, Nachrichten in Newsgroups kommen einer Veröffentlichung in der Weltpresse gleich. Leistungsstarke Suchmaschinen erstellen Autorenprofile über elektronische Nachrichten. Paßworte zur Absicherung der Identität und Kreditkartennummern zum Bezahlen von Internetdiensten werden abgehört und mißbraucht. Es ist ohne Aufwand möglich, unter fremden Namen zu kommunizieren, ohne daß die Empfänger merken, daß ein Pseudonym benutzt wurde bzw. es sich um Fälschungen handelt. Über derartige Maskeraden können Personen unter falscher Flagge Nachrichten untergeschoben werden.

Einige Beispiele aus meiner Prüfpraxis

• Mit "deja news" lassen sich Autorenprofile über in der Vergangenheit eingestellte News erstellen. Hobbies und intime Neigungen in versteckten Nachrichtenbrettern werden auf diese Weise für jedermann sichtbar.
• "Center of democracy and technology" beweist in Sekundenschnelle, daß jeder Internet-PC "Gläsern" ist.
• Auf dem Benutzer-PC hinterläßt der Internet-Browser Protokolldaten über Zielserver und WWW-Seiten (sog. "cookies") mit unverhältnismäßig langer Speicherdauer (Ende 1999), die von Content-Providern zu Werbezwecken genutzt werden.
• Internetdienste finanzieren sich immer stärker aus Werbeanzeigen. Deshalb überrascht es nicht, daß z.B. auf eine Suchanfrage bei "lycos" zuerst eine gezielte Werbung folgt, ehe die gestellte Suchanfrage beantwortet wird.
• Ein Hochschulangehöriger beobachtete über das Universitätsnetz den Bildschirm einer Kollegin, um sie über elektronische Nachrichten oder nach Arbeitsschluß zu belästigen. Mit den UNIX-Funktionen "finger", "who" und "last" gelangte er an die Anwesenheitsdaten.
• Mehrere niedersächsische Hochschulen wollten das Verzeichnis aller Mitarbeiter und das komplette Vorlesungsverzeichnis über Internet verfügbar machen. Was als Abdruck in einem Vorlesungsverzeichnis sinnvoll sein kann, ist elektronisch aufbereitet und weltweit verfügbar ein Risiko. Voraussetzung hierfür wäre die schriftliche Einwilligung der Betroffenen.
• In einer "c-box" finden sich Kunstschaffende unter der Überschrift "Kreativ-Teams", z.B. Maler und Grafiker, mit Name, Adresse, Telefon- und Fax-Nr. sowie Art der Beschäftigung, ohne vorher gefragt worden zu sein. Die Folge: Ein Bombardement mit Werbung, teilweise aus fernen Ländern. Werden solche Listen im Ausland gespeichert, gibt es keinerlei Handhabe gegen solche Belästigungen.
• Die "Food and Drug Administration" (FDA), eine US-Behörde, listet vollständig die Versendung von Medikamenten, die in den USA nicht zugelassen sind, im Internet mit genauer Angabe des versendenden Apothekers und des Datums auf. Über einen Arzt aus Niedersachsen fand sich ein mehrseitiger Steckbrief. Der behördliche "Pranger" zeigte Folgen: Bei den auf der Internet-Liste aufgeführten Apothekern meldete sich jemand aus Holland, der diesen anbot, ihre Medikamentenversendung illegal an der FDA vorbei zu übernehmen Nach deutschem Datenschutzrecht wäre die Veröffentlichung derartiger "schwarzer Listen" unzulässig, nicht jedoch in den USA.

Das weltweite Internet ist bisher ein System ohne organisierte Verantwortlichkeit und ohne Kontrolle. Auch noch so gute nationale Regelungen bleiben wirkungslos, da sie umgangen werden können. Der beginnende Weg in die Informationsgesellschaft muß jedoch rechtlich geordnet sowie technikspezifisch und risikoadäquat gesichert werden. Hierfür ist eine internationale Zusammenarbeit erforderlich, um so eine Rechtsvereinheitlichung auf befriedigendem Datenschutzniveau zu erreichen (insbesondere Abschluß von Abkommen)

Empfehlungen

Der gegenwärtige rechtliche und technische Schutz des informationellen Selbstbestimniungsrechts im Internet ist unzureichend. Ich empfehle daher jedem Internet-Nutzer folgende Sofortmaßnahmen:

• Informieren Sie sich über die Risiken des Netzes.
• Wählen Sie Verfahren zur anonymen Internet-Nutzung (z.B. Verwendung von Proxy-Servern, "anonymous remailer").
• Halten Sie sich bei der Vernetzung sensitiver Anwendungen zurück.
• Schützen Sie das eigene Unternehmens- bzw. Behördennetz durch Firewall.
• Verwenden Sie Verschlüsselungsverfahren zur Wahrung der Vertraulichkeit und der Integrität der übermittelten Informationen (Pretty Good Privacy)
• Verwenden Sie Einmal-Paßwörter als Schutz gegen Ausforschung.
• Benutzen Sie die Option "Network: Preferences: Protocols" gegen "cookie"-Protokolle.
• Benutzen Sie die Funktion "x-no-archive: yes" gegen Autorenprofile.
• Prüfen Sie Daten aus dem Netz grundsätzlich auf Virenbefall.

Versuche mit selbstbestimmten Verhaltensregeln ("Netiquette") sollten beachtet und weiterentwickelt werden, auch wenn solche Anstandsregeln nicht ausreichen können. Erforderlich sind Kontrollinstitutionen auf nationaler und internationaler Ebene. Für die Akzeptanz der Informationsgesellschaft wird die Sicherung des Datenschutzes von entscheidender Bedeutung sein.

Dr. Gerhard Dronsch