International Working Group on Data Protection in Telecommunications:
GEMEINSAME ERKLÄRUNG ÜBER KRYPTOGRAPHIE
12.September 1997
(Die französischen Mitglieder der Arbeitsgruppe haben an der Verabschiedung dieser Erklärung nicht teilgenommen. Die britische Datenschutzbeauftragte hat Vorbehalte gegen diese Erklärung.)
Der Schutz der persönlichen Kommunikation vor willkürlichen
Eingriffen ist ein Menschenrecht (Art.12 Allgemeine Erklärung
der Menschenrechte vom 10.Dezember 1948; Art.17 des Internationalen
Paktes über Bürger- und politische Rechte; Art.8 der
Europäischen Menschenrechtskonvention). In der Informationsgesellschaft,
in der die Kommunikation überwiegend mit den Mitteln der
Telekommunikation stattfindet, bedeutet dieses Recht, daß
jeder einen Anspruch darauf hat, daß seine elektronisch
übermittelten Mitteilungen vertraulich behandelt werden und
kein Unbefugter den Inhalt wahrnehmen kann.
Auf Vorschlag der Internationalen Arbeitsgruppe Telekommunikation
und Medien hat die 7.Internationale Konferenz der Datenschutzbeauftragten auf ihrer
Sitzung in Luxemburg am 26.September 1985 in einem Beschluß
darauf hingewiesen, daß Integration und Digitalisierung
die Gefahr des unbefugten Aufzeichnens und Auswertens der übermittelten
Informationen erhöhen. Die 11.Internationale Konferenz der
Datenschutzbeauftragten hat auf ihrer Sitzung am 30.August 1989
in Berlin gefordert, Maßnahmen zur Datensicherung insbesondere
gegen den Zugang nicht autorisierter Personen, die Manipulation,
das Mithören und zur Gewährleistung der Authentizität
des Senders auf höchstem technischen Niveau und zu akzeptablen
Preisen anzubieten.
Das einzige diesen Anforderungen entsprechende Mittel ist die
Verschlüsselung der Nachrichten. Das Angebot ausreichender
Verschlüsselungsmethoden an die Teilnehmer der Telekommunikation
ist damit eine elementare Forderung zur Sicherstellung des Datenschutzes.
Es bildet darüber hinaus die Grundlage für datenschutzfreundliche
Technologien. Für den Mobilfunk hat die 12.Internationale
Konferenz der Datenschutzbeauftragten auf ihrer Sitzung in Paris
am 19.September 1990 gefordert, Netzbetreiber sollten verpflichtet
sein, den Teilnehmern wirksame Verschlüsselungsverfahren
anzubieten. Das Angebot einer end-to-end-Verschlüsselung
war eine wesentliche Forderung der Datenschutzbeauftragten bei
der Diskussion über den Entwurf einer Richtlinie des Rates
der Europäischen Union zum Schutz personenbezogener Daten
und der Privatsphäre in öffentlichen digitalen Telekommunikationsnetzen.
Die Internationale Arbeitsgruppe zum Datenschutz in der Telekommunikation
bekräftigt ihre Forderung, daß zur Sicherstellung der
Vertraulichkeit jedem Teilnehmer elektronischer Telekommunikationsdienste
ermöglicht werdenmuß, seine Nachrichten auf einem von
ihm zu frei wählenden Niveau zu verschlüsseln.
Das in einigen Ländern erörterte Verbot der Verschlüsselung
von Nachrichten widerspricht diesem Grundsatz. Es behindert die
Bürger nicht nur bei der Wahrnehmung ihres Menschenrechts
auf unbeobachtbare Kommunikation, sondern fördert den Mißbrauch
der Telekommunikation für illegale Zwecke. Es kann von denjenigen,
die über entsprechende technische und finanzielle Mittel
verfügen, jederzeit umgangen werden, so daß ein Verbot
nur den arglosen Bürger trifft.
Auch eine Beschränkung der Möglichkeiten zur Verschlüsselung
zum Beispiel durch Lizensierung der erforderlichen Software hätte
diesen Effekt. Sie ist aus den genannten Gründen insbesondere
nicht geeignet, die organisierte Kriminalität zu bekämpfen.
Die Internationale Arbeitsgruppe zum Datenschutz in der Telekommunikation
hat Verständnis für die Bedürfnisse der Sicherheitsbehörden,
bei der Gefahrenabwehr und der Strafverfolgung auch auf verschlüsselte
Nachrichten zugreifen zu können. Die 14.Internationale Konferenz
der Datenschutzbeauftragten in Sydney am 29.Oktober 1992 hat
einen ausführlichen Bericht der Arbeitsgruppe über die
Problematik des Zugriffs von Sicherheitsbehörden auf die
Telekommunikation zustimmend zur Kenntnis genommen. Die Konferenz
stimmte darin überein, daß die technische und rechtliche
Entwicklung im Bereich des Fernmeldegeheimnisses sorgfältig
beobachtet werden muß, um die Privatsphäre des Einzelnen
vor exzessiver Überwachung zu schützen.
Die Arbeitsgruppe bezweifelt, daß eine Regulierung der Verschlüsselung
zugunsten der Sicherheitsbehörden einen angemessenen Beitrag
zur Bekämpfung der schweren Kriminalität leisten kann.
Für die Bekämpfung von Straftaten geringerer Schwere
wäre ein Eingriff in das Telekommunikationsgeheimnis ohnehin
unverhältnismäßig. Alle erörterten Modelle
(Lizensierung der Software, Ex- und Importbeschränkungen,
Schlüsselhinterlegung, hardwareseitige Hintertüren wie
"clipper chip") führen zu einem schwächeren
Schutz, da diese Lösungen auch unbefugt genutzt werden können.
Die Durchsetzung gesetzlicher Verpflichtungen, nur bestimmte,
lizensierte Schlüssel zu benutzen, würde das Verhältnis
von genereller Vertraulichkeit und ausnahmsweise gesetzlich erlaubtem
Zugriff umkehren. Da alle entsprechenden gesetzlichen Verpflichtungen
mit ausreichenden technischen und finanziellen Mitteln (z.B. durch
Verbergen der Verschlüsselung - Steganografie) umgangen werden
können, würde dies zu einer unverhältnismäßigen
und letztendlich nutzlosen Überwachung des Einzelnen führen.
Daher gibt es einen Unterschied zwischen Eingiffen in traditionelle
Formen der Korrespondenz und deren elektronischer Übertragung:
Eingriffe in die erstgenannte Form der Kommunikation können
legal sein, wenn es "... in einer demokratischen Gesellschaft
zur Bekämpfung von Störungen der öffentlichen Ordnung
und Verbrechen notwendig ist ..." (Art.8 Abs.2 Europäische
Menschenrechtskonvention); Eingriffe in die elektronische Kommunikation
zur Durchsetzung der Limitierung von krypografischen Methoden
können zur Abschaffung vertraulicher elektronischer Kommunikation
insgesamt führen.
Die Internationale Arbeitsgruppe zum Datenschutz in der Telekommunikation
begrüßt sowohl die OECD-Leitlinien über Kryptographie-Politik
vom 27.März 1997 als auch die Gemeinsame Erklärung
der Europäischen Ministerkonferenz (Bonn, 6.-8.Juli 1997),
in denen die Bedeutung vertrauenswürdiger kryptographischer
Methoden zur Erreichung des Vertrauens der Benutzer in verläßliche
Informations- und Kommunikationssysteme betont wird. Die OECD-Leitlinien
betonen darüber hinaus das Prinzip, daß die freie Auswahl
des Benutzers hinsichtlich kryptographischer Methoden nicht durch
neue Gesetzgebung eingeschränkt werden sollte (Prinzip 2
der OECD-Leitlinien). Nationale Gesetzgebung, die einen gesetzmäßigen
Zugriff erlaubt, soll dieses Prinzip im größtmöglichen
Ausmaß reflektieren (Prinzip 6). Die Arbeitsgruppe mißt
den Konsquenzen für den Datenschutz, die durch die Nutzung
kryptographischer Methoden zur Sicherung der Integrität von
Daten in elektronischen Transaktionen ausgelöst werden, besondere
Bedeutung zu (Prinzip 5). Die Speicherung personenbezogener Daten
und die Schaffung von Systemen zur persönlichen Identifikation
in Verbindung mit der Nutzung solcher Methoden erfordern spezielle
Maßnahmen zum Datenschutz.
|