Tätigkeitsbericht 1993
Startseite

Wir über uns und Impressum
Berlin
Deutschland
Europa
International
Recht
Technisch-Organisatorische Maßnahmen
Aktuelles
Adressen von Datenschutzbehörden
Materialien
Service und Verweise
Datenschutz nach Themen

Jahresbericht 1992
des Berliner Datenschutzbeauftragten

Zur Einleitung Einleitung


Zur Inhaltsübersicht

2.  

TECHNISCHE RAHMENBEDINGUNGEN

(...)

Zur Inhaltsübersicht

2.3

Chipkarten - nur Trümpfe für den Datenschutz?

Plastikkarten gehören heute einfach dazu - ob man an der Kaufhauskasse mit Kreditkarten bezahlen möchte, ob man an der Tankstelle unterschriftslos mit der Eurocheque-Karte das Benzin begleichen will, ob man bargeldlos telefonieren möchte. Hier vollzieht sich derzeit ein entscheidender Wandel: Die bisher gebräuchlichen Magnetstreifenkarten werden abgelöst von Chipkarten ("smart-cards").

Magnetstreifenkarten enthalten einen Magnetstreifen, der wie ein Magnetband beschrieben, überschrieben, gelöscht und abgespielt bzw. gelesen werden kann. Sie sind billig, aber ihr Inhalt ist leicht verfälschbar, da Geräte zum Lesen, Kopieren und Überschreiben von Magnetkarten frei erhältlich sind.

Bei den Chipkarten wird die Möglichkeit genutzt. Halbleiterspeicherchips und/oder Prozessorchips in Plastikkarten der Größe und Dicke der Magnetstreifenkarten unterzubringen. In den Speicherchips gespeicherte Daten können zur Weiterverarbeitung gelesen und verändert werden, die Prozessoren in den "intelligenten" Chipkarten können mit dem Lesegerät interagieren und Daten aus den eigenen Speicherchips oder aus dem Lesegerät verarbeiten. Viele Anwendungen der Chipkarte, so auch für Sicherheitszwecke, machen es sich zunutze, daß Chipkarten auch mit nicht beschreibbaren Speicherchips (ROM - Read Only Memory, u. a. für die Aufnahme des Chipkarten-Betriebssystems) oder gar mit Speicherchips ausgestattet werden, die nur vom Prozessor auf der gleichen Chipkarte gelesen werden können (etwa zur Speicherung geheimer Schlüssel).

 

Eine sehr verbreitete Anwendung der Chipkarte ist die bekannte Telefonkarte, die als Sammlerobjekt dabei ist, den Briefmarken beinahe den Rang abzulaufen. Es handelt sich dabei um eine Chipkarte recht einfacher Technologie, denn sie enthält nur einen Speicherchip, auf dem ein Guthaben gespeichert ist. Dieses Guthaben wird bei einem Telefonat mit dem Kartentelefon automatisch reduziert. Die Vorteile liegen zum einen in der höheren Sicherheit für die öffentlichen Telefone, denn es gibt in ihnen kein Bargeld mehr, für das es sich lohnen würde, die Apparate aufzubrechen, und zum anderen in den zinslosen Krediten, die die Benutzer der Telekom durch die Vorauszahlung gewahren. Die Vorteile für den Kunden liegen in der Unabhängigkeit vom sonst nötigen Münzgeld. Für den Datenschutz gibt es bei solchen Wertkarten (Prepaid-Karten) keine Risiken, denn der gesamte Zahlungsverkehr läuft anonym ab.

Anders ist es bei den Kreditkarten (Postpaid-Karten). Wenn man mit ihnen bezahlt, wird eine Datenspur gelegt, deren Umfang für kaum einen Kunden durchschaubar ist: Der Kreditgeber will wissen, in . welcher Höhe wann die Kreditkarte in Anspruch genommen wurde und wer der Begünstigte ist (wo die Karte also zum Bezahlen genutzt

wurde), damit die Einhaltung des Kreditrahmens und die Identität des Karteninhabers geprüft werden können (Autorisierung) und die Buchungen in richtiger Weise erfolgen (Clearing). Der Benutzer von Kreditkarten nimmt also hin, daß er beim Einsatzder Karte Daten über sein Kaufverhalten preisgibt.

Keiner wird bestreiten, daß die Prepaid-Karte zumindest bei höheren Zahlbeträgen keine sinnvolle Konkurrenz zur Postpaid-Karte sein kann. Die vorauszuzahlenden Beträge würden eine Höhe erreichen müssen, die ihre Akzeptanz in Frage stellen würde. Anders ist dies aber bei den kleineren Zahlbeträgen, wie sie beim Telefonieren, bei der Taxinutzung, bei der Nutzung des öffentlichen Personennahverkehrs, beim Eintritt in Museen, Ausstellungen, Kinos usw. anfallen. Aus den oben für die Telefonkarte genannten Gründen könnten diese Wcrtkarten eine Alternative zum Bargeld darstellen.

Einige Kommunen denken gleichwohl darüber nach, den elektronischen Zahlungsverkehr mit Postpaid-Karten auch für Kleinbeträge einzurühren, insbesondere für die Nutzung des öffentlichen Personennahverkehrs. Entsprechende Pläne gibt es in einigen Städten wie z. B. in Kiel und Hamburg. Die Gefahren für die informationelle Selbstbestimmung bei der Nutzung solcher Zahlungsverfahren, die unter Umständen Bewegungsprofile für einzelne Personen ermöglichen, haben die Konferenz der Datenschutzbeauftragten des Bundes und der Länder veranlaßt, in einer Entschließung vor solchen kartengestützten Zahlungssystemen im öffentlichen Nahverkehr zu warnen und sich für Prepaid-Systeme einzusetzen56.

 

 

Es ist zu begrüßen, daß die Berliner Verkehrsbetriebe (BVG) in Zusammenarbeit mit der Studiengesellschaft Verkehr mbH und mit Förderung des Bundesministeriums für Forschung und Technologie und der Senatsverwaltung (für Verkehr und Betriebe eine Pilotanwendung der "elektronischen Geldbörse' erprobt, die als Prepaid-Chipkarte realisiert wird. Von allen möglichen kartenunterstützten Varianten des elektronischen Zahlungsverkehrs wird diese Wertkarte den Anforderungen des Datenschutzes am meisten gerecht, da die einzelnen Zahlungsvorgänge weder für die Autorisierung der Zahlungen noch für das spätere Clearing zentral gespeichert werden müssen. Somit kann die Gefahr technisch ausgeschlossen werden, daß die Daten für personenbezogene Kauf- oder Verbraucherprofile, in diesem Falle Bewegungsprofile zweckentfremdet werden können.

Während der Pilotphase sollen Name und Anschrift der Teilnehmer bei der BVG festgehalten werden, da die BVG das Eigentumsrecht an den Chipkartcn behalten will. Für die Datenverarbeitung bedarf es der Einwilligung der Betroffenen.

Es ist ferner auf Dauer vorgesehen, alle Datentransfers, die im Zuge der Chipkartenanwendungen anfallen (Aufbuchung, Abbuchung beim Fahrausweiscrwerb, Chipkarten-Kontoführung usw.), mit der Seriennummer zentral zu speichern, um bei eventuellen Einwendungen der Kunden die Benutzung der Karte prüfen zu können. Dagegen bestehen wegen der Anonymität der Datensammlungen keine Bedenken.

Es wurde uns bestätigt, daß sichergestellt ist, daß Name und Anschrift der Teilnehmer nicht in Verbindung mit der Chipkarten-Seriennummer gespeichert werden, weil dies wegen der seriennummernbezogenen Speicherung der Datentransfers zur oben beschriebenen Gefahr von personenbezogenen Bewegungsprofilen führen würde.

Bei der Benutzung der Chipkarte in einem entsprechend ausgerüsteten Bus wird sowohl fahrer- als auch fahrgastseitig auf einer LCD-Anzeige das aktuelle Kartenguthaben dargestellt.

Die fahrgastseitige Anzeige dient dem Fahrgast zur Kontrolle seines Guthabens und ist rechtlich unbedenklich. Allerdings ist dringend darauf zu achten, daß Dritte (also die, die sich hinter dem Fahrgast in die Warteschlange einreihen oder Fahrgäste, die in der Nähe sitzen oder stehen) keinen Einblick in die fahrgastseitige Anzeige erhalten können. Anderenfalls bestehen nicht nur Risiken hinsichtlich der Wahrung der informationellen Selbstbestimmung, sondern auch hinsichtlich seiner persönlichen Sicherheit. Es wurde uns versichert, daß die Anzeige zum Fahrgast entsprechend plaziert ist.

Die fahrerseitige Anzeige des Guthabens ist allerdings überflüssig und daher unzulässig. Für den Fahrer ist von Bedeutung, ob das Guthaben ausreicht, um die gewünschten Fahrausweise zu bezahlen, nicht jedoch dessen Höhe. Eine Modifizierung der Technik wird vorgenommen.

 

Ein grundsätzliches Risiko der Prepaid-Cards ist, daß im Falle der unbefugten Verwendung der Karte nach Verlust oder Diebstahl dem Inhaber ein Schaden in Höhe des Restguthabens droht. Da die Guthabenhöhe bis 999 DM betragen kann, sind Risiken für den Kunden und Anreiz für Geselzesbrecher nicht unerheblich. Wir empfahlen eine Prüfung, ob für die Nutzung der Chipkarte nicht auch die Eingabe eines geheimen Paßwortes erforderlich sein sollte oder ob nicht bereits bei der Zahlung per Chipkarte im Bus eine Prüfung ermöglicht werden kann, ob die Karte gesperrt ist oder nicht.

Dem steht gegenüber, daß der Aufwand dafür sehr erheblich ist und die Akzeptanz beeinträchtigen würde. Die Abfertigungsdauer würde sich verlängern. Andererseits kann wegen der frei wählbaren Guthabenhöhe auf der Karte das Verlustrisiko in den gleichen Grenzen gehalten werden wie bei einer Geldbörse voller Bargeld. Da auf der Chipkarte ein Verfalldatum gespeichert wird, wird das Verlustrisiko reduziert. Nach dem Datum ist eine unbefugte Nutzung nicht mehr möglich, so daß die Chance besteht, daß der Kunde noch ein Restguthaben zurückbekommen kann. Diese Argumente wurden von uns akzeptiert.

Aber nicht nur bei Zahlungsverfahren soll die Speicherfähigkeit der Chipkarte genutzt werden.

Nach § 291 Sozialgesetzbuch V (SGB V) sind bis 1995 alle gesetzlich krankenversicherten Personen mit einer Krankenversichertenkarte auszustatten. Diese soll zum Nachweis der Berechtigung zur Inanspruchnahme von Kassenleistungen und Abrechnung mit den Leistungserbringern den Krankenschein ersetzen. Mit der Karte erhofft man sich Einsparungen im Gesundheitsbereich durch die Automatisierung der Datenflüsse und der verbesserten Auswertbarkcit der Datenbestände, eine Rationalisierung der Krankenscheinerstellung, Mißbrauchverhinderung und Verbesserung der Transparenz des Leistungsgeschehens.

Der Gesetzgeber hat keine Vorgaben zur Kartentechnologie gemacht. Die Tendenz geht dahin, Chipkarten einzusetzen. Auch in Berlin sollen ab dem l. Januar 1995 solche Chipkarten für alle bei der AOK, den Betriebs- und den Innungskrankenkassen Versicherten eingeführt werden.

Nach § 291 Abs. 2 SGB V ist es zulässig, in der Chipkarte die Bezeichnung der ausstellenden Krankenkasse, den Familien- und Vornamen des Versicherten, das Geburtsdatum, die Anschrift, die Krankenversichertennummer, eine Angabe zum Versichertenstatus, Beginn und Ablauf des Versicherungsschutzes zu speichern.

Es muß sichergestellt werden, daß keine darüber hinausgehenden Daten auf der Karte gespeichert werden und daß über die in § 291 Abs. 2 SGB V genannten Zwecke hinaus keine weitere Nutzung der Karte möglich ist. Die Aufnahmekapazität des Chips muß also auf die Aufnahme der zulässigen Daten beschränkt sein. Tatsächlich verfügen die Chips über mehr Speicherkapazität. Die nicht benötigten Speicherplätze werden allerdings mit einem definierten Zeichen belegt und können nicht in manipulativer Absicht beschrieben werden. Die Lesegeräte dürfen nur den zulässigen Bereich lesen können. Zur Absicherung dieser Anforderung dürfen nur Lesegeräte von Ärzten und sonstigen Leistungserbringern eingesetzt werden, die vom Bundesamt für die Sicherheit in der Informationstechnik (BSI) zertifiziert worden sind. Diese Anforderung ist nach ersten Prüferfahrungen außerhalb Berlins nicht immer eingehalten worden.

Nur schwach ausgeprägt sind die Maßnahmen gegen Fälschung der Karten und Mißbrauch gestohlener oder verlorener Karten.

Die Empfehlung des Bundesbeauftragten für den Datenschutz, mit Hilfe eines kryptografischen Verfahrens die Chipkarte zu versiegeln, wurde auch hier aus Kostengründen abgelehnt. Eine Authentifizierung des Versicherten gegenüber der Karte (z. B. mit Hilfe einer geheimen Identifikationsnummer) findet nicht statt. Erste Prüferfahrungen bei Versicherungen in anderen Bundesländern, die bereits Chipkarten ausgeben, haben darüber hinaus ergeben, daß die Ersterfassung von Daten keineswegs immer so sicher erfolgt, daß die Verwendung von Identifikationsmerkmalen der Versicherten in anderen Chipkarten ausgeschlossen werden kann.

Es wurde zugesichert, daß jeder Versicherte jederzeit den Inhalt der auf der Karte über ihn gespeicherten Daten bei der Krankenkasse oder gar bei einem Arzt lesen und überprüfen kann. Auch die Beachtung dieser Vereinbarungen konnte bei den genannten Prüfungen nicht immer bestätigt werden.

Die Krankenversicherungs-Chipkarte stellt nur die Oberfläche einer umfassenden informationstechnischen Infrastruktur im Gesundheitswesen dar. Während des Datenflusses zwischen den Arztpraxen, den kassenärztlichen Vereinigungen und den Krankenkassen werden Patientendaten aus der Chipkarte angereichert mit diversen Daten, u. a. auch zum Gesundheitszustand des Patienten. Dies bedeutet: Nicht die Karte selbst ist der eigentliche datenschutzrechtliche Risikofaktor, sondern die dahinterstehende Vernetzung zur Kontrolle des Gesundheitsverhaltens des Versicherten und des Verschreibungsverhaltens der Ärzte.

Aus gesundheitspolitischen Erwägungen ist auch die zusätzliche Einführung einer Chipkarte mit medizinischen Daten der Patienten angeregt worden. Eine solche Karte könnte z. B. für den Notfall wichtige Daten wie Blutgruppe, besondere gesundheitliche Risiken, Allergien, Infektionen (z. B. mit HIV) usw. enthalten, die dem Arzt dann die richtige Behandlung ermöglichen könnten. Eine solche Karte bedürfte der Einwilligung der Versicherten und umfassenderer Sicherheitstechnik. Jedoch müßte in diesem Falle verhindert werden können, daß Patienten bei Gelegenheiten zur Preisgabe der Daten veranlaßt werden, für die die Karte nicht bestimmt ist (z.B. im Rahmen einer Bewerbung um einen Arbeitsplatz).

Die beschriebenen Anwendungsmöglichkeiten der Chipkarte nutzen die Speicherkapazitäten von Chips und zeigen, daß für den Datenschutz Chancen und Gefahren mit dieser Technik dicht beieinander liegen:

Wenn die Bürger die sie betreffenden Datensätze für verschiedene Nutzungen auf Chipkarten mit sich herumtragen, wird einerseits ihre informationelle Selbstbestimmung dadurch gewahrt, daß sie - abgesehen von Notfallsituationen, in denen sie keine Willenserklärung mehr abgeben können - selbst über den Datenträger verfügen und darüber entscheiden können, wie sie ihn einsetzen. Andererseits wird sie jedoch dadurch gefährdet, daß die Verwendung dieser Daten unabhängig von Zugriffsberechtigungen auf Informationssysteme zu jeder Zeit möglich ist, insbesondere dann, wenn in irgendeiner Weise, ob durch die Ausnutzung von Notlagen (z. B. Arbeits- oder Wohnungssuche) oder mit psychischem Druck auf den Betroffenen Zwang ausgeübt wird, seine Daten auch ohne rechtlichen Grund preiszugeben. Ferner zeigt das Beispiel der Krankenversicherungskarte, daß der Bürger zwar die Verfügungsgewalt über seine Chipkarte hat, mit ihrer Nutzung jedoch komplexe Datenflüsse auslöst, die er nicht mehr überschauet kann.

Neben den beschriebenen Speicherchipkarten gibt es auch Chipkarten, die zusätzlich mit Prozessoren ausgestattet sind. Sie werden von den Lesegeräten mit Energie versorgt und können Datenverarbeitungsprozesse selbst oder in Interaktion mit den Geräten durchrühren. Bisherige Entwicklungen solcher Chipkarten dienen meist der informationstechnischen Sicherheit bzw. der Umsetzung technischer Maßnahmen zum Datenschutz.

So können Prozessorchipkarten die Authentinzierung von Benutzern von Informations- und Kommunikationssystemen, bei Zugangskontrollsystemen oder an Geldautomaten sicherer machen, in dem sie eine Berechtigungsprüfung durchrühren und dem System den Nachweis erbringen, daß die Nutzung berechtigt erfolgt.

 

56.) vgl. Anlage 2.8

Seitenanfang
Zum nächsten Kapitel 3. Grundsatzprobleme
 Letzte Änderung:
 am 15.03.1999
E-Mail an den Berliner Datenschutzbeauftragten