Materialien zum Datenschutz
Homepage

Wir über Uns
Berlin
National
Europäische Union
International
Recht
T.O Maßnahmen
Aktuelles
Kontrolle
Materialien
Service
Themen

Jahresbericht 1996

2. Technische Rahmenbedingungen

2.1. Tendenzen und Entwicklungen der Informationstechnik

Trends setzen sich fort

Grundsätzlich haben sich in diesem Jahr die Tendenzen weiter fortgesetzt, die bereits seit Jahren an dieser Stelle berichtet wurden:

Die Miniaturisierung der Computer schreitet weiter fort. Da die transportablen Systeme mittlerweile eine Größe erreicht haben, bei der eine weitere Verkleinerung ergonomisch keinen Sinn mehr machen würde, wirkt sich der Fortschritt in der Leistungsfähigkeit der Laptops, Notebooks und Handheld-Computer aus. In gleicher Weise wird auch die Leistungsfähigkeit von Chipkarten immer weiter ausgebaut, ohne daß sich an den genormten Größen etwas ändert. Die Verbesserung des Preis-Leistungs-Verhältnisses setzt sich ungebrochen fort. Personalcomputer, die im Frühjahr zu den High-End-Produkten zählten, definieren im Herbst des gleichen Jahres den Durchschnitt.

Bei den Bürosystemen spielen Mehrplatzsysteme mit nichtintelligenten Terminals im Vergleich zu Client-Server-Systemen keine Rolle mehr. Die reichhaltigen und flexiblen Standard-Anwendungsprogramme der PC-Welt können so mit zentraler Datenhaltung und Softwareversorgung ergänzt und optimiert werden. Herstellergebundene Großsysteme ("proprietäre Systeme") gibt es in der Berliner Verwaltung zwar noch, sie verlieren aber weiter an Bedeutung.

Auch die weiteren Trends, über die wir zuletzt (JB 1995, 2.1) berichtet hatten, setzen sich ungebrochen fort: Weiterentwicklung der multimedialen Anwendungen, vor allem bei der Telekommunikation, weitere Ausbreitung von Outsourcing, das Auslagern von IT-Dienstleistungen in spezialisierte Unternehmen. Das besondere Interesse bei den neuen technologischen Entwicklungen gilt hier jedoch der weltweiten Vernetzung über das Internet und den Chipkarten. Beide Themen stehen für die entgegengesetzten Seiten der technischen Repräsentation der globalen Informationsgesellschaft: das Internet als weltweit eng gespannte Infrastruktur und die Chipkarten als das individuelle Instrument für die effektive Nutzung der Infrastruktur.

Seitenanfang

nächste Seite

Megamaschine Internet

Während der Gesetzgeber mit dem IuK-Dienste-Gesetz das nationale Recht für den Eintritt in die Informationsgesellschaft vorbereitet, ist auch auf der technischen Seite die Entwicklung weiter vorangeschritten. Die technische Infrastruktur für die zukünftige globale Informationsgesellschaft entwickelt sich mehr und mehr zu einer weltweiten Megamaschine. Informations- und Kommunikationstechnik wachsen zusammen. Einzelsysteme werden zu lokalen Netzen zusammengesteckt, lokale Netze an übergeordnete Netze, z. B. Behördennetze, Konzernnetze, Regionalnetze angeschlossen. Alle kommunizieren über das Internet mit dem Rest der Welt. Dieses Szenario ist für viele Anwender längst Realität. Isolierte Systeme werden immer mehr zur Ausnahme. Das Problem der Zukunft ist nicht mehr, wie man sich Informationen verschaffen kann, die man für private und berufliche Zwecke braucht, sondern wie man aus den überbordenden Informationsfluten jene Informationen selektieren kann, die man benötigt, und wie man dazu sicher sein kann, nichts Wesentliches übersehen zu haben.

Die weltweite Megamaschine heißt derzeit noch Internet. Daß die zunehmende Kommerzialisierung und Professionalisierung dem Internet den anarchischen Charme der frühen Jahre nehmen wird, dürfte klar sein. Das Internet wird sich ändern, wenn höhere Anforderungen an Sicherheit und Verläßlichkeit, an Kontrollierbarkeit und Transparenz an die weltweite Kommunikation gestellt werden. Die offene Kommunikation über das Internet ist manchen Regierungen ein Dorn im Auge, ob wegen politisch unerwünschter Inhalte oder weil die jeweiligen gesellschaftlichen Toleranzgrenzen und Tabuzonen überschritten werden können.

Die Megamaschine bietet offene Kommunikationswege, die kaum zu beschneiden sind. Elektronische Post kann mit Teilnehmern in allen Ländern der Welt ausgetauscht werden, ohne daß Zensoren große Chancen besitzen, sie abzufangen oder zu unterbinden. Informationsangebote aus aller Welt können in Anspruch genommen werden, ohne daß Zensoren und Tugendwächter dem erfolgreich einen Riegel vorschieben können. Sie bietet ferner eine weltweite Bereitstellung von Ressourcen, vor allem Daten, Dokumenten, Programmen, in Einzelfällen auch Systemen. Was einmal irgendwo zur Verfügung gestellt wird, ist sofort weltweit nutzbar.

Die Megamaschine und damit eine nivellierend wirkende Infrastruktur trifft aber auf eine uneinheitliche, noch nicht vorbereitete Welt, denn sie verbindet Staaten aller gesellschaftspolitischen Formen, egal ob es sich um Demokratien unterschiedlicher Prägung, Diktaturen oder die verbleibenden sozialistischen Volksrepubliken handelt. Sie verbindet demzufolge auch Staaten, die Konflikte miteinander austragen, und läßt unterschiedliche Wertesysteme aufeinanderprallen.

Daraus ergeben sich Chancen und Risiken für eine demokratische Entwicklung von Staaten und die Sicherheit und das Wohlbefinden der in ihnen lebenden Menschen. Wesentliche Faktoren dabei sind die ungehindert Grenzen überschreitende Kommunikation, die demokratische Ideen ebenso verbreiten kann wie deren Gegenteil, die "Demokratisierung" der Computernutzung, die sich daraus ergibt, daß Computerressourcen unabhängig von ihrem Standort überall und zu jeder Zeit zur Verfügung gestellt werden können - und somit für rechtschaffene Zwecke und für deren Gegenteil bereitstehen, sowie die Angriffspotentiale, die von jedem Punkt der Welt aus über das Netz wirken können, um Datenkommunikation zu unterbinden, zu manipulieren, abzuhören, unzuverlässig zu machen, Informationen anzubieten, die die Wertesysteme anderer ins Wanken bringen sollen. Zugleich droht eine weltweite Spaltung in "informationsreiche" und "informationsarme" Länder und Bevölkerungsgruppen.

Überall bemühen sich Teilnehmer im Internet, das Netz ihren Zielen entsprechend zu nutzen, die durchaus im direkten Gegensatz zu den Zielen anderer stehen können. Es finden nicht nur bereitwillige Kommunikation und Informationsbereitstellung statt, sondern auch Angriffe auf die Sicherheit anderer Teilnehmer. (vgl. unten 4.8.2)

Durchaus riskant in dieser Hinsicht sind Neuentwicklungen im Internet, die neben den zweifelslos hilfreichen Aspekten auch erhebliche Sicherheitsaspekte aufwerfen. Zunehmend werden Techniken entwickelt, die bewirken, daß beim Aufruf von Internet-Diensten - etwa dem World Wide Web (WWW) - Programme vom Anbieter in das System des Nutzers übertragen werden. Die Programmiersprache "Java" ist speziell dafür entwickelt, die sog. "Cookies" dienen dazu, dem Anbieter Informationen über den Nutzer zu übermitteln, die diesen von Routineangaben entlasten - beides Techniken, die auch bösartige Effekte hervorrufen können (vgl. unten 4.8.4).

Internetnutzung der Berliner Verwaltung

Für die öffentliche Verwaltung Berlins bedeutet die Anbindung an offene Netze, daß sie Bürger, Klienten, Kunden besser mit Informationen versorgen, also Transparenz bewirken kann, und daß sie Dienstleistungen anbieten kann, die über die reine Informationsbereitstellung hinausgehen. Damit können Ziele der Verwaltungsreform wie Bürgernähe und rationelle, schnelle Bearbeitung von Routinevorgängen erreicht werden.

Die Anbindung an offene Netze bedeutet aber auch die Konfrontation mit den Sicherheitsproblemen. Das Problem ist also: Wie können die Dienstleistungen der öffentlichen Verwaltung möglichst ohne Einschränkung über das Internet an den Bürger gebracht werden, ohne daß andererseits die Angriffspotentiale die Dienstleistungen in vielfältiger Weise gefährden? Mit den diesbezüglichen Bemühungen der Berliner Verwaltung befassen wir uns unten. (vgl. unten 4.8.2)

Werden die im Internet verfügbaren Programme und Datenformate zur Erschließung, Bereitstellung, Strukturierung und Präsentation von Informationen in unternehmens- oder verwaltungsinternen Netzen angewendet, so wird von Intranets gesprochen. Damit wird es möglich, organisationsweit Informationen bereitzustellen, die beliebig miteinander verknüpft werden können.

Auch die Berliner Verwaltung bietet ihren an das Berliner Landesnetz angeschlossenen Behörden und deren Mitarbeitern ein Intranet an, um interne Informationen effizienter verbreiten zu können. Solange es sich hierbei um allgemeine Informationen über die Verwaltung handelt oder regelnde Informationen verwaltungsweit verbreitet werden sollen, ist aus datenschutzrechtlicher Sicht dazu nichts zu sagen, solange keine Sicherheitslücken in der informationstechnik (IT) damit aufgerissen werden. Jedoch wird eine gefährliche Tendenz verstärkt, die grundsätzlich mit einer verwaltungsübergreifenden offenen Vernetzung verbunden ist: Die verfassungsrechtlich gebotene Abschottung der Informationskanäle zwischen Behörden unterschiedlicher Aufgaben bei der Verarbeitung personenbezogener Daten (informationelle Gewaltenteilung) wird weiter in Frage gestellt, wenn immer mehr und leistungsfähigere Instrumente zur behördenübergreifenden Kommunikation bereitgestellt werden.

Chipkarten

Nur scheinbar unabhängig von der Herausbildung der Megamaschine Internet ist die zunehmende Verbreitung von Chipkarten. Diese am meisten miniaturisierte Form infor-mationstechnischer Systeme hat im letzten Jahr weitere Verbreitung gefunden, allerdings augenscheinlich noch weniger in den Taschen der Bürger, Kunden und Klienten als vielmehr als Pilotprojekte in vielen verschiedenen Lebenszusammenhängen.

Chipkarten sind miniaturisierte IT-Komponenten, meist in der genormten Größe einer Kreditkarte. Auch wenn die Zahl der Anwendungen, die bereits in den Routinebetrieb gegangen sind, noch relativ klein ist, so werden sie dennoch zunehmend an gesellschaftlicher Bedeutung gewinnen.

Die derzeit bekannteste Chipkarten-Anwendung ist die Telefonkarte, die ein Guthaben enthält, das beim Gebrauch der Chipkarte in einem Kartentelefon reduziert wird, bis das Konto erschöpft ist und die Chipkarte unbrauchbar wird. Es ist ganz offensichtlich, daß eine solche anonyme Anwendung von Chipkarten aus datenschutzrechtlicher Sicht Vorbildcharakter hat.

Ebenfalls allgemein verbreitet ist die Krankenversichertenkarte, die lediglich einen gesetzlich vorgegebenen Inhalt hat und zur Identifizierung des Patienten sowie zur Abrechnung ärztlicher Leistungen verwendet wird. Sie ist ein Beispiel für eine Chipkarte, die lediglich die dem Versicherten erkennbare Oberfläche einer umfassenden IT-Infrastruktur ist. Was unterhalb dieser Oberfläche geschieht, ist für die Betroffenen nicht transparent. Damit ist sie auch ein erstes Beispiel für die Zusammenhänge zwischen Chipkarten und vernetzten Systemen, insbesondere auch dem Internet. In diesem Falle geht es um die Weiterverarbeitung, vor allem auch den Weitertransport der auf der Chipkarte gespeicherten Daten.

Weitere neue Anwendungsbereiche sind derzeit in der Diskussion bzw. in der Erprobung, z.B. die Chipkarte im bargeldlosen Zahlungsverkehr als elektronische Geldbörse sowie Gesundheits- oder Patientenchipkarten zur Speicherung und Übermittlung medizinischer Daten.

Technisch kann man diese reinen Speicherchipkarten zur Aufnahme von Daten von solchen Karten unterscheiden, die zusätzlich Mikroprozessoren enthalten. Solche Prozessorchipkarten sind Kleinstcomputer, denen nur die Möglichkeit zur Kommunikation zwischen Mensch und System fehlt. Ihre Verwendung bedarf also zusätzlicher technischer Systeme zum Lesen der gespeicherten Daten, zum Aktivieren der Funktionen der Mikroprozessoren und zum Beschreiben der Speicher.

Derartige Chipkartensysteme gibt es bereits in vielen verschiedenen Ausprägungen, z.B.:

  • Öffentliches Telefon-Kartenterminal
  • Funktelefon (Handy)
  • PC mit externem Kartenterminal oder integriertem Kartenleser
  • Laptop mit Chipkarten-Leser
  • Geldausgabeautomat
  • Point-of-Sale-Kartenterminal (POS-Kartenterminal)
  • Versicherten-Kartenterminal in seiner Stand-alone-Ausführung (ohne PC-Anschluß)
  • Kontoauszugsdrucker
  • Airline-Check-in-Terminal
  • Customer-Service-Terminal
  • Fahrschein-/Parkticket-Terminal
  • AsylCard (vgl. unten 4.2.3)

Chipkarten werden in diesen Systemen in unterschiedlicher Weise gebraucht:

Sie sind Speicher von Daten, deren Vertraulichkeit und/oder Integrität hohen Schutz erfordern (z.B. Kontodaten, medizinische Individualdaten, Personalausweisdaten, Führerscheindaten). In diesem Falle werden die Daten gespeichert, um sie bei Bedarf in andere Systeme, in der Regel auch über umfangreiche Netze, zur weiteren Verarbeitung zu übertragen. Die Daten müssen nicht immer wieder beim Inhaber erfragt (unter Umständen mit unterschiedlichen Angaben) und per Hand erfaßt werden.

Chipkarten sind Träger elektronischen Geldes. Die Telefonkarte stellt hier ein sehr einfaches Beispiel dar. Sie kann nicht wieder aufgefüllt werden. Elektronische Geldbörsen werden sich dagegen wieder aufladen lassen und in unterschiedlichsten Situationen eingesetzt werden können. Sie bieten die Chance zur anonymen, zumindest pseudonymen Zahlweise.

Chipkarten sind aber auch Mittel zur Authentisierung ihres Trägers für die Gewährung des Zugriffs auf sicherheitsrelevante Daten und Funktionen (Kontoverfügungen, Änderung medizinischer Individualdaten). Hierfür speichern sie die Codes, die den Zugriff auf entfernte Datenbestände ermöglichen. Damit verwandt ist ihre Funktion als Mittel zur Signatur von Dokumenten (Verträge, Willenserklärungen, Befunde etc.), weil nur sie geeignet sind, die dafür erforderlichen langen Schlüssel mit dem notwendigen Schutz gegen unbefugte Nutzung zu speichern und bei Bedarf zu übertragen. Chipkarten bieten vor allem als Authentisierungsinstrumente erhebliche Chancen für die sichere Nutzung von Informationssystemen. Sie sind geeignet, Individualdaten sicher vor unbefugten Zugriffen zu bewahren, bis sie benötigt werden.

Allerdings wirft ihr Gebrauch erhebliche datenschutzrechtliche Probleme auf:

Der Umstand, daß der Inhaber der Chipkarte große Mengen an sensiblen Individualdaten bei sich trägt sowie mit den Authentifizierungsmöglichkeiten der Chipkarte erschließen kann, kann große Begehrlichkeiten erwecken. Hier liegen z.B. die Gefahren der Gesund-heitschipkarten, die Krankengeschichten enthalten oder erschließen. In vielen Fällen ist einsichtig, daß die Bereitstellung solcher Daten für den Patienten von Nutzen sein können. Sie kann sich aber auch gegen ihn richten, wenn die Zweckbindung nicht beachtet wird.

Die große Bedeutung von Chipkarten für die informationstechnische Sicherheit stellt die Frage nach der Sicherheit der Chipkarte selbst. Kann sie manipuliert, unzulässigerweise ausgelesen oder sonstwie genutzt werden, so verkehrt sich ihre Sicherheitswirkung für andere Systeme ins Gegenteil.

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat hierzu "Anforderungen zur informationstechnischen Sicherheit bei Chipkarten" ausgearbeitet.

In Berlin verläuft der Einsatz der neuen Technologie eher zögerlich:

Die Berliner Verkehrsbetriebe (BVG) haben ein Pilotprojekt für die Nutzung einer wiederaufladbaren, anonymen, elektronischen Geldbörse auf einigen Buslinien durchgeführt. Dieses Projekt, dem wir wegen der Sicherstellung der Anonymität zugestimmt hatten, ist jedoch inzwischen eingestellt worden. (JB 1993, 2.3). Inzwischen ist ein neues Projekt zur Einführung einer elektronischen Geldbörse geplant, die dann jedoch auch für andere Zwecke, etwa Museumsbesuche, genutzt werden kann (BerlinCard).

Das Projekt "Berliner Gesundheitspaß", mit dem geplant war, interessierten Berliner Bürgern eine umfassende Krankengeschichte auf der Chipkarte in die Hand zu geben, um auch die Eigenverantwortlichkeit der Patienten zu fördern, wurde mit dem Wechsel an der politischen Spitze der Gesundheitsverwaltung eingestellt.(JB 1995, 3.2.)

Es bestehen Pläne (z.B. in der Humboldt-Universität) zum Einsatz multifunktionaler Chipkarten im Universitätsbereich (UniversCard), mit denen u.a. Funktionen der Universitätsverwaltung, der Zugangskontrolle zu Räumlichkeiten und Geräten, beim Hochschulwechsel sowie der bargeldlosen Zahlung in Mensen und Bibliotheken ausgeführt werden können.

2.2 Datenschutz durch Technik

Die Informationstechnik wird heute nicht mehr nur als etwas angesehen, was Risiken für die informationelle Selbstbestimmung der Menschen heraufbeschwört und was durch zusätzliche organisatorische und technische Maßnahmen so zu gestalten ist, daß Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit der Ressourcen gewährleistet werden können. Es ist inzwischen erkannt, daß technische Verfahren und Methoden dazu dienen können, Datenschutz und Sicherheit zu produzieren. Datenschutz durch Technik und nicht Datenschutz trotz Technik sollte das Ziel sein. Es war zwar schon immer bekannt, daß die Automation stets neue Sicherheitsprobleme aufwarf, auf deren Lösung mit technisch-organisatorischen Mitteln die Datenschutzbeauftragten bestanden. Gleichzeitig konnten mit der Automation aber auch erstmals Probleme der Sicherheit gelöst werden, die bei den nicht-automatisierten Verfahren nicht beherrschbar waren.

So ermöglicht die moderne Informationstechnik den Einsatz komplizierter, aber dafür umso leistungsfähigerer kryptographischer Verfahren, so daß Vertraulichkeit auf einem Niveau erreicht werden kann, das in der nicht-automatisierten Datenverarbeitung und mit der Informationstechnik früherer Jahre nicht annähernd erreicht werden konnte (vgl. unten 3.4).

Datenschutz durch Technik weist den Weg aus drei Alternativen: Nimmt man Risiken in Kauf und lernt mit ihnen und mit den konsequenterweise eintretenden Verletzungen der informationellen Selbstbestimmung zu leben, wie von computer- und netzversessenen Zeitgenossen nicht selten erwartet wird? Oder stellt man die maschinenstürmerische Forderung nach einer Eingrenzung der Informationstechnologie zur Debatte? Oder versucht man, die Probleme mit denselben Mitteln zu lösen, mit denen sie heraufbeschworen wurden? Es ist klar, daß nur der dritte Weg in Frage kommt.

Jeder Nutzer hinterläßt immer mehr elektronische Spuren bei der Nutzung der Informationstechnik. Damit können komplexe Persönlichkeitsprofile über ihn zusammengestellt und mißbraucht werden, ohne daß er dies kontrollieren könnte, denn über Art, Umfang, Speicherort, Speicherdauer und Verwendungszweck dieser Daten kann er keine Kontrolle mehr ausüben.

Dieser Gefahr kann begegnet werden, indem die Frage nach der Erforderlichkeit personenbezogener Daten vermehrt gestellt wird und Datensparsamkeit bis hin zur Datenvermeidung angestrebt wird. Durch die Nutzung neuer Möglichkeiten der modernen Informationstechnik ist es in vielen Anwendungsfällen möglich, die Verarbeitung personenbezogener Daten vollständig auszuschließen. Datensparsamkeit und Datenvermeidung werden sich zunehmend als Wettbewerbsvorteil erweisen.

Während bei der rechtlichen Bewertung strenge Erforderlichkeitsanforderungen gestellt werden, nimmt man es mit der Erforderlichkeit personenbezogener Daten in informationstechnischen Systemen nicht so genau. Dabei geht es allerdings nicht primär um das Auftreten dieser Daten überhaupt, sondern um die Identifizierbarkeit der Personen, deren Daten in Informationssystemen auftreten.

Die Identität der Personen, deren Daten verarbeitet werden, ist für die meisten Verarbeitungsschritte unerheblich. Vielmehr gibt es eine Vielzahl von Verfahren, die völlig ohne die Identität des Betroffenen auskommen, die also mit anonymen Daten arbeiten können. In anderen Verfahren muß die Identität nur in besonderen Ausnahmefällen und dann nur außerhalb des technischen Systems festgestellt werden. Solche Systeme können dann ausschließlich mit Pseudonymen arbeiten. In vielen Verfahren ist die Identifikation des Einzelnen nur in Teilprozessen erforderlich, in anderen jedoch nicht. Das System kann dann also in bestimmten Domänen Pseudonyme aufdecken, in anderen nicht. Schließlich bleiben die Verfahren, in denen die Identifizierbarkeit überall erforderlich ist.

Bei modernen Client-Server-Systemen kann man davon ausgehen, daß selbst in allen Systemen, in denen die Identifizierbarkeit der Betroffenen eine wichtige Rolle spielt (z.B. polizeiliche Fahndungssysteme, Abrechnungs- und Zahlungssysteme, Melderegister, Patientendatensysteme), die Identität der Personen erst an den Mensch-Maschine-Schnittstellen gelüftet werden muß, an denen Entscheidungen zu den Individuen gefällt und Handlungen für oder gegen die Personen veranlaßt werden. Es reicht dann, wenn das System fast überall mit Pseudonymen arbeitet und nur der Rechner des für die Bearbeitung oder sonstige Nutzung zuständigen Mitarbeiters die Identität wiederherstellen kann.

Bei anonymen Zahlungsverfahren, z. B. bei Zahlungen mit vorausbezahlten Guthaben auf der Chipkarte, genügt stets die Arbeit mit Pseudonymen. Hier muß nur im Einzelfall, also bei einer Reklamation, nachvollzogen werden können, wer der Inhaber der Karte eigentlich ist. In diesen Fällen wäre es dann der Inhaber, der das Pseudonym lüftet. Denkbar wäre auch die Einschaltung neutraler dritter Stellen (Trusted Third Parties). Völlig anonym ist die Nutzung der Telefonkarte mit vorausbezahltem Guthaben. Hier kann das Nutzerverhalten bei der Telefonkommunikation selbst dann nicht nachvollzogen werden, wenn ein sich identifizierender Kunde sich über eine von ihm vorgelegte Karte beschwert.

Dieser Ansatz ist unter dem Begriff "Privacy-enhancing Technologies - PET" (Datenschutzfreundliche Technologien) von der Registratiekamer der Niederlande (Holländischer Datenschutzbeauftragter) und dem Privacy Commissioner for the Province of Ontario, Canada, in die internationale Datenschutzdiskussion eingebracht worden (Registratiekamer of The Netherlands, Information and Privacy Commissioner of Ontario, Canada: Privacy-enhancing Technologies - The path to anonymity, Vol. I und II , Rijswijk, 1995). Er geht davon aus, daß viele datenschutzrechtliche Probleme gelöst oder gemildert werden können, wenn die Identität der Betroffenen durch kryptographische Methoden pseudonymisiert wird, solange dies nicht im Widerspruch zu den Anwendungszielen steht. Er geht weiter davon aus, daß ein solcher Widerspruch nur in wenigen Bereichen eines Informationssystems besteht.

Die dringend erforderliche Anpassung der zehn Forderungen der Datenschutzgesetze zu technisch-organisatorischen Maßnahmen (Anlage zu § 9 BDSG) an moderne, künftig global vernetzte informationstechnische Infrastrukturen könnte hier einen Ansatz finden. Viele Schutzanforderungen relativieren sich und können billiger realisiert werden, wenn mit der Anonymisierung bzw. Pseudonymisierung der Schutzbedarf der Daten herabgesetzt wird. Dies entspricht dem Gedanken, daß die Sicherheit der Datenverarbeitung aus der sinnvollen Kombination von einander ergänzenden Maßnahmen, nicht jedoch aus der Summe teurer Einzelmaßnahmen entsteht.

Bei bestimmten Dienstleistungen wie der Wartung, Fernwartung oder Administration ist der Zugriff auf personenbezogene Daten nie erforderlich, derzeit häufig aber nicht vermeidbar. Die Vorbehalte gegen solche Leistungen, die zunehmend von Fremdpersonal erbracht werden, ließen sich mit datenschutzfreundlicher IT zurücknehmen.

Für die Überwachung des ökonomischen, sicheren, ordnungsgemäßen und datenschutzgerechten Betriebs eines IT-Systems kommt man ohne Protokollierung nicht aus. Die Protokolle erzeugen ihrerseits wieder Risiken für die informationelle Selbstbestimmung der Betroffenen (deren Daten als Objekte des überwachten Datenverarbeitungsprozesses in die Protokolle eingehen) und der Benutzer (deren Handeln protokolliert wird). Datenschutzfreundliche IT hilft hier, denn für die Routinekontrolle reichen die Pseudonyme in beiden Rollen. Eine Re-Pseudonymisierung wäre nur in regelbaren und einer besonderen Kontrolle unterworfenen Einzelfällen nötig.

Die Abrechnung von Dienstleistungen, die elektronisch gemessen, abgerechnet und zahlbar gemacht werden können, wie z.B. die Nutzung informations- und kommunikationstechnischer Dienste, soll die tatsächliche Inanspruchnahme der Dienste berücksichtigen. In vielen Fällen läßt sich dies völlig anonym gestalten. Bei Reklamationen sind jedoch Aufzeichnungen notwendig, die die Inanspruchnahme nachweisen. Diese Aufzeichnungen ermöglichen dann die "gläsernen Verbraucher" oder stehen dem Grundrecht auf "unbeobachtete Kommunikation" entgegen. Auch diese Aufzeichnungen könnten pseudonym geschehen.

Sowohl in der öffentlichen Verwaltung als auch in der Privatwirtschaft sollten künftig "Privacy-enhancing Technologies" einen hohen Stellenwert einnehmen.

Zuletzt geändert:
am 10.04.97

mail to webmaster