Schneller, kleiner, billigere Leistung, vernetzter: Die seit Jahren vermeldeten Trends halten unvermindert an: Neue Generationen von Prozessoren haben die Verarbeitungsgeschwindigkeit der Rechner auch für "Otto Normalverbraucher" in einer Weise verbessert, daß es schwieriger für ihn wird, überhaupt Verwendungen zu finden, die diese Kapazitäten nutzen können. Der Heim-PC wird zum Spielgerät für Computerspiele mit hochaufgelösten komplexen Graphiken, die die Präzision guter Videobilder oder Filme längst übertreffen. Übliche praktische Anwendungen im privaten Haushalt wie Textverarbeitung, Tabellenkalkulation, Datenverwaltung und darauf aufsetzende konkretere Anwendungen können auch bei hohen Ansprüchen an die graphische Oberfläche nur Bruchteile der Kapazität solcher Rechner in Anspruch nehmen. Im kommerziellen Bereich können solche Leistungsdaten dann von Nutzen sein, wenn die Rechner von vielen Benutzern gleichzeitig in Anspruch genommen werden können, wenn sie also als Server vielfältigen Anforderungen parallel genügen müssen. Notebook-Computer gehören wie Handies zur Standardausstattung des modernen Handelsreisenden. Die Chipkartentechnologie regt die Phantasie der Anwendungsdesigner in dem Maße an, in dem die Leistungsstärke der Kartencomputer anwächst und komplexe multifunktionale Anwendungen möglich macht. Systeme werden zunehmend vernetzt. Der Zugriff auf gemeinsame Ressourcen, vor allem Datenbestände, der Austausch von Nachrichten, der Abruf von Informationen, der betriebsinterne Workflow erzwingen die Kopplung der Systeme. Vom häuslichen Computer geht es auf ferne Datenreisen über das Internet. Organisationsinterne Netze passen sich in den verwendeten Standards zunehmend dem Internet an. Die aus dem Internet gewohnte Darstellung und Strukturierung der Informationen im HTML-Format findet sich auch in den Intranets wieder. Vom Client-Server-System zum Network Computing - die Aufhebung von Zeit und Raum Waren noch vor wenigen Jahren die Mehrplatzsysteme mit zentralem UNIX-Server und "dummen" Terminals die Standardarchitektur für die Datenverarbeitung in Büro und Verwaltung, so sind es heute die Client-Server-Systeme. In ihnen wird unterschieden zwischen dezentralen Arbeitsplatzrechnern bzw. Workstations (Clients) und zentralen Servern. An Clients arbeiten Menschen an ergonomisch ausgerichteten Benutzeroberflächen und führen die Informationsverarbeitung durch. Sie nehmen dabei verschiedene Dienstleistungen, Hilfsmittel und Datenbestände in Anspruch, die zentral zur Verfügung gestellt werden. Diese zentralen Dienstleistungen können von den Servern bereitgestellt werden: Datenhaltung, Druckersteuerung, Massendrucken, Bereithaltung von Massenspeichern (z.B. CD-Server), externe Kommunikation, zentrale Datensicherung, zentrale Softwareversorgung usw. Je nach Umfang dieser zentralen Dienstleistungen und der Anzahl der zu bedienenden Clienten können die Server kleine PCs oder Hochleistungsrechner sein und können eine Standard- oder eine Spezialausstattung haben. Diese Arbeitsteilung und die unterschiedlichen Ausstattungen und Einsatzbedingungen von Clients und Servern führen zu unterschiedlichen Anforderungen an den technischen und organisatorischen Datenschutz. In unserer neuen Broschüre "Datenschutz und IT-Sicherheit bei PCs" werden Empfehlungen zur Erarbeitung von IT-Sicherheits- und technisch-organisatorischen Datenschutzkonzepten für diese, heute verbreitete Einsatzform moderner Informationstechnik gegeben. Daß Client-Server-Systeme für die aufkommende Informationsgesellschaft noch nicht die letzte Weisheit sind, beweisen die neueren Entwicklungen, die unter dem Stichwort "Netzwerk-Computer" die Schlagzeilen der Fachpresse füllen. Diese Netzwerk-Computer sind Clients, deren lokale Ausstattungen "abgespeckt" werden: Interne Massenspeicher werden nicht mehr gebraucht. Alles, was für die Verarbeitung benötigt wird, wird aus dem Netz gezogen, denn irgendwo steht ein Server, der den jeweils gewünschten Dienst leisten kann. Der Netzwerkcomputer stellt die Benutzeroberfläche, dahingehend ist er optimiert. Woher die Dienstleistung gezogen wird, ist für den Benutzer und für die Anwendung völlig unbedeutend. Sie kann aus dem Serverraum nebenan, von irgendeinem Server im abteilungs-, firmen- behörden-, landesweiten Intranet, letzten Endes auch von irgendwoher aus dem globalen Internet abgerufen werden. Seit 1995 wird das Ziel verfolgt, derartige Computer zu entwickeln, die unabhängig von der Hard- und Software der Netzumgebung den Zugang zu den Anwendungen eines Netzes ermöglichen. Zur Umsetzung des Zieles existieren inzwischen Lösungsansätze von verschiedenen Anbietern. Dabei wird auch deutlich, daß es noch keine scharfen Vorstellungen darüber gibt, wie solche Netzwerk-Computer beschaffen sein sollen. So gibt es Firmenkonsortien, die sich um plattformunabhängige Standards bemühen, aber auch Unternehmen, die ihre proprietären Ansätze weltweit durchsetzen möchten. Jedoch kristallisieren sich folgende Eigenschaften von Netzwerk-Computern im Vergleich zu normalen PCs heraus:
Netzwerk-Computer sind Clients in Client-Server-Systemen. Sie können zusammen mit herkömmlichen PC-Clients und Terminals in einem Netzwerk eingesetzt und damit Einsparungen bei der Administration von Netzwerken erzielt werden. So können Bedienungsfehler bei der Konfigurierung der Rechner vermieden, zumindest aber mit geringerem Aufwand korrigiert werden. Aus der Sicht des technischen Datenschutzes sind verschiedene Risiken zu erkennen: Netzwerk-Computer sind für einen Anschluß an das Internet vorgesehen. Eine solche Schnittstelle ist auf Grundlage einer Kommunikationsanalyse sorgfältig zu planen. Auf die "Orientierungshilfe zu Datenschutzfragen des Anschlusses von Netzen der öffentlichen Verwaltung an das Internet" des Arbeitskreises Technik der Konferenz der Datenschutzbeauftragten des Bundes und der Länder sei im Zusammenhang mit den vielfältigen internetspezifischen Risiken ausdrücklich hingewiesen. Netzwerk-Computer laden die Programme und Daten, mit denen sie arbeiten, aus dem Netz, u.U. sogar aus dem Internet heraus. Die Herkunft der Daten und Programme ist daher nicht immer genau bestimmbar, so daß Zweifel an der Authentizität der Daten angebracht sein können. Dies würde bedeuten, daß eine Nachvollziehbarkeit der Datenverarbeitungsprozesse, die für die Sicherstellung der ordnungsgemäßen Datenverarbeitung obligatorisch ist, nicht gegeben ist. Die Authentizität der Daten und Programme ist daher durch elektronische Unterschriften abzusichern. Auch die Integrität der Daten und Programme ist in Frage gestellt, wenn sie aus unbekannten Quellen stammen und/oder auf unbekannten Wegen transportiert werden. Auch hier helfen kryptographische Verfahren zur Entdeckung unautorisierter Änderungen (z.B. Checksummen-Verfahren). Außerdem sind Netzwerk-Computer als Einfallstore für Computerviren anzusehen und bedürfen daher entsprechender Schutzprogramme. Die plattformübergreifende Programmiersprache Java eignet sich sehr gut zum Aufbau von netzfähigen Systemen. Doch gerade die sog. Java-Applets oder Java-Scripts, welche in Web-Seiten enthalten sein können, lösen u.U. unerwünschte Aktivitäten bei der Ausführung auf dem Netz-Computer aus. Es könnten z.B. Programme geschrieben werden, die das unerlaubte Ausspähen personenbezogener Daten ermöglichen. Mit dem Einsatz von Netzwerk-Computern steigen die Kapazitätsanforderungen an das bestehende Netzwerk extrem an, da neben dem eigentlichen Datenverkehr auch die Anwendungen und Betriebssystemteile über das Netzwerk übertragen werden müssen. Um eine akzeptable Verfügbarkeit und Performanz des Netzes zu gewährleisten, muß die Leitungskapazität dementsprechend ausreichend ausgebaut werden. Inakzeptable Antwortzeiten stehen der Akzeptanz des Systems und der Motivation der Mitarbeiter entgegen und sind damit eine Quelle personell bedingter Sicherheitsrisiken. Ein wichtiger Nachteil des Netzwerk-Computers ist seine Abhängigkeit vom Netzwerk. Fallen entscheidende Komponenten im Netz aus, so ist auch kein lokaler Einsatz möglich. Die Stellung der Systemadministration wird mit dem Einsatz von Netz-Computern wesentlich verstärkt, denn individuelle Einstellungen im Clientbereich sind dort nicht mehr möglich. Die Verantwortung der Systemverwalter wächst in dem Umfang, in dem sie sich auch um die dezentralen Arbeitsumgebungen kümmern müssen. Viele verbreitete Netzbetriebssysteme gewähren den Systemverwaltern umfassende Befugnisse, deren Mißbrauch eine besondere Gefahr für die Funktion des Gesamtsystems bedeuten würde. Vorbeugende technische Maßnahmen gibt es dagegen häufig nicht, selbst die Protokollierung der Systemverwalteraktivitäten ergibt nur dann gegen vorsätzliches Handeln einen Sinn, wenn die Protokolle selbst nicht manipuliert werden können. Das letztgenannte Risiko zeigt, daß bestimmte Leistungsmerkmale aus der Sicht der informationstechnischen Sicherheit aber auch unübersehbare Vorteile mit sich bringen. Die zentrale Administration bietet vielfältige Vereinfachungen für den Systemverwalter (Fehler an der Konfiguration der Rechner z.B. durch Fehlbedienungen können mit geringerem Personalaufwand korrigiert werden, zentrale Einspielung und Konfiguration neuer Software usw.) und fördert damit die Verfügbarkeit und Integrität der Systeme. Der Einsatz von Netz-Computern bietet noch weitere Chancen für die informationstechnische Sicherheit und damit für den Datenschutz:
Obwohl die meisten Anwender dem Netzwerk-Computer heute eher zurückhaltend gegenüberstehen, prognostizieren die neueren Statistiken und Analysen zum Jahr 2000 einen starken Anstieg des Einsatzes dieser Technik. Im Jahr 2001 könnte demzufolge die Anzahl der heute üblichen Client-Server-Systeme erreicht und überflügelt werden. Allerdings ist bis heute das Angebot an Software für solche Systeme vergleichsweise gering. Das Konzept der Netzwerk-Computer kann nur erfolgreich durchgesetzt werden, wenn Anwendungen hinreichend verfügbar sind. Neueste Visionen zeigen die globale Vernetzung aller Kommunikations- und Computersysteme auf: In Verbindung mit einer Chipkarte soll der Anwender von einem beliebigen Computer aus unter seiner gewohnten Bedieneroberfläche und den entsprechenden Zugriffsrechten über das Internet mit dem heimatlichen System arbeiten können. Z.B. kann sich ein Mitarbeiter auf Dienstreise von einem Hotelzimmer aus bei seiner Firma einloggen und damit arbeiten, als säße er an seinem eigentlichen Arbeitsplatz. Schürfen in Banken und Warenhäusern In der aufziehenden Informationsgesellschaft ist niemand in der Gefahr, nicht hinreichend mit Daten-, Nachrichten- und Informationsmaterial versorgt zu werden. Zeitungen, Zeitschriften, Bücher, graue und grelle Literatur, Briefe, Postwurfsendungen, Telefaxe, elektronische Post, Datenströme, Datenträger, automatisierte Datenverarbeitungsprozesse, Internet und vieles anderes mehr sorgen dafür, daß jede Information, die jemanden erreichen soll, ihm zumindest physisch auch erreicht. Aber nur ein geringer Bruchteil der Informationen, die uns erreichen, kann auch real zur Kenntnis genommen werden. Es kommt also darauf an, diejenigen Informationen herauszufiltern, die man braucht. Dies gilt auch für elektronisch verfügbare Daten. Diese stehen in Behörden und Unternehmen in ungeheuren Massen zur Verfügung. Gesucht sind also Instrumente, die aus den Datenmassen gezielt die Daten bereitstellen, die gerade gebraucht werden. Diese Aufgabe ist weit schwieriger zu lösen als das Sammeln und Speichern der Daten. Bereits in den 70er Jahren ist der Versuch, unter dem Begriff "Management-Informationssysteme" Entscheidungsträgern die vermeintlich gebrauchten Informationen am Arbeitsplatz bereitzustellen, kläglich gescheitert. Das klassische Instrument der Datenhaltung und Datenerschließung ist das Datenbanksystem. Die dahinterstehenden Datenmodelle haben sich im Laufe der letzten Jahrzehnte wesentlich gewandelt. Gemeinsam ist ihnen jedoch, daß eine einheitliche Strukturierung der Daten in Tabellen, Sätzen, Feldern notwendig war. Aktuelle Datenbanksysteme arbeiten mit Tabellen, die untereinander relational zu neuen Tabellen verknüpft werden können und auf diese Weise Bezüge zwischen den Daten aufdecken können, die anders vielleicht nicht erkennbar wären. Diese relationalen Datenbanken sind heute Standard für die gezielte Datenbereitstellung. Die Erschließung unstrukturierter Datenbestände wie z.B. von Textmengen erfolgt mit Volltext-Retrievalsystemen. Heute lassen sich die Vorteile relationaler Datenbanken mit Volltext-Retrievalsystemen kombinieren, indem einzelne Felder relationaler Datenbanken mit großen Textmengen gefüllt werden, die ihrerseits mit Volltextrecherche erschlossen werden können. Mittlerweile füllen neue Begriffe die Schlagzeilen der Fachpresse: Data-Warehouses sollen mit Methoden des Data-Mining (Verfahren zur Datenverdichtung, um mit statistischen Methoden aus großen Datenbeständen neue Zusammenhänge herauslesen zu können) relevante Informationen aus den verfügbaren, mit unterschiedlichen Methoden und unterschiedlicher Intensität strukturierten, also heterogenen Datenmassen "herausgraben" und bereitstellen. Data-Warehousing soll bisher nicht erschließbare und demzufolge eben auch nicht erschlossene Daten über Konkurrenten und Kunden gezielt bereitstellen. Was dem einen die "Rasterfahndung nach dem Kunden" ist, bedeutet für Unternehmen das "Wir wollen alles über den Kunden wissen, damit wir ihn besser bedienen können". Mit den Werkzeugen des Data-Warehousing können die verschiedenen Datenressourcen eines Unternehmens zusammengeführt und analysiert werden. Diese Analysen können exakte Aussagen über das Verhalten von Mitbewerbern, vor allem aber über die Kunden eines Unternehmens treffen. Ihr Kaufverhalten kann beobachtet, vorhergesagt und damit - z.B. im Rahmen des Direkt-Marketing - beeinflußt werden. Die eigene Serviceleistung kann auf der vollständig verfügbaren Datenbasis analysiert und gegebenfalls korrigiert werden. Solche kundenbezogenen Analysen können bis zur einzelnen Person verfeinert werden und führen so zu neuen personenbezogenen Daten. Aber selbst dann, wenn die Analysen nur zu statistischen Summendaten zu bestimmten Kundenkategorien und -gruppen führen: In der Konsequenz ordnen sie individuell erfaßbare Menschen einer bestimmten Gruppe zu, ordnen ihnen damit Merkmale zu, nutzen dies zu Entscheidungen über eine individuelle Kundenbetreuung, -beratung und -umwerbung. Aus datenschutzrechtlicher Sicht ist dieses Data-Mining höchst problematisch. Die weitgefaßten Rechtsgrundlagen für die Verarbeitung personenbezogener Daten im Bundesdatenschutzgesetz erlauben die Verarbeitung personenbezogener Daten bereits dann, wenn berechtigte Interessen der Verarbeiter vorliegen und eine Abwägung ergibt, daß die schutzwürdigen Interessen der Betroffenen nicht unangemessen beeinträchtigt werden. Diese Kategorien gehen von einem bestimmten Anwendungszusammenhang oder einer bestimmten Zwecksetzung aus. Mögen die Daten in den Data-Warehouses im einzelnen in bestimmten Anwendungszusammenhängen oder für bestimmte Zwecke erhoben und gespeichert worden sein, bei der Zusammenführung dieser Daten und der Analyse zur Aufdeckung neuer, vorher unbekannter Zusammenhänge lösen sich die Daten jedoch von den ursprünglichen Zwecken und werden zur Gewinnung beliebiger neuer Erkenntnisse über Personen zusammengeführt. Dabei kann nicht mehr automatisch davon ausgegangen werden, daß die schutzwürdigen Interessen der Betroffenen den berechtigten Interessen der Verarbeiter hintanstehen können. Data Warehouses sind im Zusammenhang mit der Verarbeitung personenbezogener Daten - seien es Personen in ihrer Rolle als Kunden, als Mitarbeiter oder als Bürger - ein besonderes Risiko für die informationelle Selbstbestimmung.
Die letzten Ausführungen zum Data Warehousing mögen ein Indiz dafür sein, daß mit dem technischen Fortschritt ebenso fortschreitend Risiken für die informationelle Selbstbestimmung verbunden wären. Eine solche, in einzelnen Medien auch immer wieder angedeutete Auffassung, die Technik an sich sei eine Gefahr für die Privatsphäre und die immanenten IT-Sicherheitsrisiken der Infrastrukturen der Informationsgesellschaft seien nicht beherrschbar, trifft die Wirklichkeit nicht. Wie bereits im Vorjahr ausführlich behandelt (vgl. JB 1996, 2.2), kommt es vielmehr darauf an, die Informationstechnik für die Ziele des Datenschutzes zu nutzen. Dies bedeutet, daß nicht nur defensive Absicherungen für die Verfügbarkeit, Integrität und Vertraulichkeit der Systeme, Programme und Daten mit technischen Mittel umgesetzt werden, um Bedrohungen und Risiken für diese Sicherheitsziele entgegenzutreten, sondern daß die technischen Möglichkeiten offensiv dazu genutzt werden, solche Bedrohungen und Risiken gar nicht erst aufkommen zu lassen. In zwei umfassenden Arbeitspapieren haben sich die Datenschutzbeauftragten des Bundes und der Länder mit der Thematik der datenschutzfreundlichen Technologien befaßt, zum einen in einem allgemein auf die Informationstechnik bezogenen Ansatz ("Datenschutzfreundliche Technologien"), zum anderen speziell zur Telekommunikation ("Datenschutzfreundliche Technologien in der Telekommunikation"). Die wichtigsten Thesen sind in einem Beschluß der Konferenz der Datenschutzbeauftragten zur "Erforderlichkeit datenschutzfreundlicher Technologien" des Bundes und der Länder zusammengefaßt (vgl. Anlage 2.3.3). Die Ziele in der Entwicklung der Informationstechnik waren bisher davon bestimmt, immer mehr Daten mit immer komplexeren Strukturen verarbeiten zu können, einerseits um immer genauere und umfassendere Informationen über Gegenstände des jeweiligen Interesses (und das sind in den meisten Fällen Personen) zu gewinnen und zu nutzen, andererseits aber auch, um differenziertere und damit in der Regel gerechtere Fallunterscheidungen bei der Entscheidungsfindung zu ermöglichen. Wer heute versuchen wollte, z.B. Lohn-und Gehaltszahlungen in einem mittleren oder größeren Unternehmen so zu berechnen, daß allen rechtlichen Anforderungen genügt wird, wird sich klar werden, daß dies nur deshalb so kompliziert sein darf, weil es eben Computerprogramme gibt, die dieser Komplexität noch Herr werden können. Gäbe es die Computer nicht, müßten solche Vorgänge einfacher bearbeitet werden können. Da die Informationstechnologie Kapazitätsengpässe kaum noch kennt, die nicht mit geringem finanziellen Aufwand behoben werden könnten, sind die Planer von Anwendungsverfahren eher großzügig, wenn es darum geht, welche Daten dabei verwendet werden sollen und welche Verarbeitungen damit ermöglicht werden sollen. Auch der Gesetzgeber tendiert zur Großzügigkeit, wenn es darum geht, den Begehrlichkeiten den erforderlichen rechtlichen Rahmen zu geben. Die Diskussion um datenschutzfreundliche Technologien soll hier jedenfalls für bestimmte Anwendungsbereiche eine Trendwende initiieren. Die Informationstechnologie soll dabei helfen, daß
Diese Zielsetzungen sind von der Bundesregierung auch schon aufgegriffen worden. In dem Bericht zu "Info 2000 - Deutschlands Weg in die Informationsgesellschaft" formuliert das Bundesministerium für Wirtschaft, daß die Bundesregierung der Auffassung ist, " daß die geltenden allgemeinen Datenschutzbestimmungen und die Regelungen im Bereich der Telekommunikation vor dem Hintergrund der neuen technologischen Entwicklung eine Überarbeitung anhand folgender Erfordernisse bedürfen." Sie beginnt die folgende Aufzählung mit den Sätzen: " Die Benutzung von Multimedia-Diensten muß soweit wie möglich unter Wahrung der Anonymität des Verbrauchers erfolgen können. Soweit personenbezogene Daten verarbeitet und genutzt werden müssen, darf dies nur in dem unbedingt notwendigen Umfang geschehen." Konsequenterweise verlangen die neuen Bestimmungen des Teledienstedatenschutzgesetzes (TDDSG) und des Mediendienste-Staatsvertrags, daß Anbieter von Tele- und Mediendiensten den Nutzern die Inanspruchnahme und Bezahlung entweder vollständig anonym oder unter Verwendung von Pseudonymen ermöglichen sollen, wenn dies technisch möglich und zumutbar ist. Mit komplexen kryptographischen Verfahren lassen sich die Anforderungen an Anonymität bzw. Pseudonymität gewährende Systeme umsetzen. So geht z.B. das Konzept des Identity Protectors von der Idee aus, daß sich informationstechnische Systeme, die nicht vollständig anonym betrieben werden können, so in Einzelprozesse zerlegen lassen, daß der Personenbezug nur in den wenigsten Einzelprozessen unabdingbar ist. Mit den genannten Methoden und Verfahren lassen sich die Bereiche, die die Identität benötigen, von jenen trennen, die mit Pseudonymen auskommen. Aufgabe des Identity Protectors ist es, für diese strikte Trennung zu sorgen und die Pseudonymisierung bzw. Depseudonymisierung bei der Prozeßkommunikation zwischen den getrennten Bereichen unter genau bestimmten Bedingungen durchzuführen. Die Anwendung solcher Verfahren ist prinzipiell in allen informationstechnischen Systemen denkbar, derzeit konzentriert sich die Diskussion jedoch auf
Der Wandel der Gesellschaft zur "Informationsgesellschaft" ist eine Entwicklung, der sich gerade Berlin nicht entziehen kann. Nicht nur die bestehenden Strukturen, sondern vor allem auch die neuen Aufgaben als Bundeshauptstadt und die künftig sicherlich immer bedeutender werdende Rolle als Mittler von Waren- und Dienstleistungstransfers in den osteuropäischen Raum erzeugen einen starken Druck zur umfassenden Nutzung informations- und kommunikationstechnischer Ressourcen. Dies betrifft die Berliner Privatwirtschaft ebenso wie die öffentliche Verwaltung. Hinzu kommt, daß in unserer Stadt sowohl Forschung und Entwicklung als auch die Produktion auf dem Gebiet der Elektrotechnik im allgemeinen und der Telekommunikationstechnik im besonderen traditionell stark verankert sind. Die Medien- und Kommunikationsbranche boomt, es wird geschätzt, daß es in Berlin mindestens 6000 Unternehmen mit über 70 000 Beschäftigten in diesem Sektor gibt. Jedes Unternehmen und jede Verwaltung hat ganze Organisationseinheiten, die sich mit der Informationstechnik befassen. Das digitalisierte Berliner Telekommunikationsnetz hat inzwischen über 2 Millionen Teilnehmer, das Breitband-Kabelnetz erreicht fast drei Viertel der Bevölkerung; im Zusammenhang mit dem Regierungsumzug nach Berlin wird ein ATM-Breitband-Übertragungsnetz aufgebaut, dessen Bedeutung weit über die unmittelbare Nutzung durch die Bundesregierung reichen wird. Der Aufbau dieser Infrastruktur wird Telekommunikationstechnik in den nächsten Jahren gerade in Berlin auch in die Haushalte bringen und dort früher als anderswo zu Konsequenzen im Alltag führen. Zusammen mit der Berliner Wirtschaft hat der Senat im Sommer vergangenen Jahres die ressortübergreifende Landesinitiative "Der Berliner Weg in die Informationsgesellschaft" begründet, die sich dem Wandel "offensiv stellen" und für die ganze Stadt nachhaltige Problemlösungen entwickeln will. Die einbezogenen Projekte betreffen die Wirtschaftsförderung insbesondere auf dem Gebiet der Entwicklung von Hard- und Software, die Förderung der Informatik in Hochschulen und Schulen, die Entwicklung von Projekten zu Verkehr und Umwelt sowie die Verwaltungsreform. Die Senatsverwaltung für Wirtschaft und Betriebe hat uns mitgeteilt, daß man der "festen Überzeugung sei, daß eine wünschenswerte Entwicklung hin zur Informationsgesellschaft nur mit Blick auf Wahrung und Förderung der Persönlichkeitsrechte erreicht werden kann". Dies schließe eine "angemessene Berücksichtigung der Datenschutzrechte" ein. Wir werden darauf drängen, daß diese - recht zurückhaltende - Aussage bei der Entwicklung der einzelnen Projekte auch umgesetzt wird. Organisation des IT-Einsatzes in der Berliner Verwaltung Auch wenn die Zuständigkeit des Berliner Datenschutzbeauftragten sich seit August 1995 auch auf private Unternehmen erstreckt, kann eine Übersicht über aktuelle Entwicklungen in der Berliner DV-Szene nur für die öffentliche Verwaltung gegeben werden, da es für private Unternehmen keine generelle Informationspflicht über neue IT-Anwendungen gibt. In den öffentlichen Stellen Berlins werden alljährlich dreistellige Millionensummen in die Informationstechnik investiert. Daran ändert auch die Knappheit der öffentlichen Haushalte nichts. Im Gegenteil: Ein wesentlicher Bestandteil der Verwaltungsreform ist der verstärkte Einsatz von Informationstechnik, um Personaleinsparungen zu ermöglichen, Verwaltungsabläufe zu straffen, die Beratungskompetenz und damit den Kontakt zum Bürger zu verbessern sowie die Arbeitsumgebungen der Mitarbeiter der öffentlichen Stellen modernen Standards anzupassen. Es ist klar, daß ein so intensiver Einsatz von Informationstechnik der Koordination im Lande bedarf, um Doppelarbeit und Insellösungen zu vermeiden, um in Sammelausschreibungen günstigere Preise zu erzielen und um - wo notwendig und zulässig - die Interoperabilität der Verfahren zu ermöglichen. Dennoch hat sich die Verwaltung - federführend ist die Senatsverwaltung für Inneres - in den letzten Jahren schwer getan, verbindliche Regelungen zu schaffen und ein koordiniertes Vorgehen sicherzustellen. Inzwischen sind die Bemühungen um Koordination der Informationstechnik verstärkt worden und haben zu ersten organisatorischen Konsequenzen geführt: Ende 1996 wurde ein IT-Koordinations- und Beratungsausschuß (IT-KAB) eingerichtet, dem IT-Manager der Hauptverwaltungen, der Großverfahren, der nachgeordneten Behörden und der Bezirke angehören, in beratender Funktion auch der Berliner Datenschutzbeauftragte. Der IT-KAB soll zu den Fragen des IT-Einsatzes beraten und Stellung nehmen, wenn sie aus strategischer oder grundsätzlicher Sicht von behördenübergreifender Bedeutung sind, speziell bei gleichartigen oder ähnlichen Fachaufgaben, die in verschiedenen Behörden wahrgenommen werden, bei durchgängigen Querschnittsaufgaben wie z.B. Personal- und Haushaltswesen, bei IT-spezifischen Querschnittsaufgaben, zu denen auch die informationstechnische Sicherheit und die Aus- und Fortbildung gehören, bei der Nutzung spezifischer Infrastruktureinrichtungen (z.B. das MAN), bei Richtlinien, die in organisatorischer und technischer Hinsicht das behördenübergreifende Zusammenwirken regeln, sowie bei Grundsätzen des IT-Einsatzes in vielerlei Hinsicht, u.a. auch zu Datenschutz und Datensicherheit. Erste Zwischenergebnisse wurden mit den Entwürfen von Leitlinien zur IT-Strategie des Landes Berlin, der Richtlinie für die Organisation des IT-Einsatzes in der Berliner Verwaltung (IT-Organisationsrichtlinie), der Richtlinie für die Planung und Durchführung von IT-Projekten in der Berliner Verwaltung (IT-Projektrichtlinie) und des Rahmenkonzepts zur Gewährleistung der notwendigen Sicherheit beim IT-Einsatz in der Berliner Verwaltung (IT-Sicherheitsrahmenkonzept) vorgelegt. Die Organisationsrichtlinie wurde vom IT-KAB bereits verabschiedet und soll im ersten Quartal 1998 vom Senat in Kraft gesetzt werden. Die Geschäftsführung des IT-KAB hat ein inzwischen neu geschaffenes Referat der Service-Abteilung der Senatsverwaltung übernommen. Die offenen Fragen - so auch die Weiterentwicklung des IT-Sicherheitsrahmenkonzepts - sollen in Arbeitsgruppen weiterentwickelt werden. Vom Landesamt zum Landesbetrieb - die Umwandlung des LIT Bereits im Jahresbericht 1994 (vgl. JB 1994, 2.3) hatten wir mit datenschutzbezogenen Argumenten die Absicht begrüßt, dem Landesamt für Informationstechnik (LIT) einen anderen öffentlich-rechtlichen Status zu geben, damit es den Anforderungen eines zentralen IT-Dienstleisters für die Berliner Verwaltung flexibler nachkommen kann. Diese Umwandlung in einen Betrieb gemäß § 26 Landeshaushaltsordnung (LHO), der seine eigenen Einnahmen zu erwirtschaften hat, wurde mit Wirkung zum 1.1.1998 vollzogen. Dies erfolgte gegen das Votum des Rechnungshofes von Berlin, der erhebliche Zweifel an der Konkurrenzfähigkeit des geplanten Landesbetriebes äußerte und empfahl, zunächst nur die Verwaltungsreform im LIT konsequent umzusetzen, das Amt zu einem arbeitsfähigen Leistungs- und Verantwortungszentrum im Sinne der Verwaltungsreform zu entwickeln und eine Kosten- und Leistungsrechnung einzuführen. Die Senatsverwaltung für Inneres wies das Votum des Rechnungshofes jedoch zurück und folgte der Stellungnahme des LIT, in der die Vorhaltungen des Rechnungshofes ebenfalls im wesentlichen zurückgewiesen wurden. Der Haushaltstitel für das LIT wurde im Haushalt 1998 gestrichen und die Mittel auf die bisherigen Großkunden aus der Verwaltung mit dem Zweck verteilt, davon die Dienstleistungen des LIT zu bezahlen. Für die Dauer von zwei Jahren müssen diese Verwaltungen die Leistungen des LIT abnehmen, danach muß es auf den Wettbewerb mit anderen IT-Dienstleistern eingestellt sein und sich darin bewähren. Die Umwandlung führt dazu, daß die politische Steuerung des LIT und seine Orientierung an den Interessen des Landes in Zukunft entfällt. Statt dessen erfolgt eine Orientierung an den Interessen der Kunden des LIT. Dies können jetzt auch private Kunden sein. Die Arbeitsfelder des LIT sind wie folgt umrissen: Von besonderer Bedeutung für den Datenschutz ist die Einrichtung der "Dienste Netzsicherheit" im Geschäftsbereich "Kommunikations-, Informations- und Sicherheits-Services (KISS)", die Beratungsdienstleistungen bei Sicherheitsverlusten, zum Schutz vor Computerviren oder zur Verschlüsselung zur Verfügung stellen, aber auch selbst Aufträge etwa zur Erstellung von Risikoanalysen übernehmen. Berliner Verwaltungsnetz - MAN Bereits im Jahresbericht 1996 (vgl. JB 1996, 4.8.1) stellten wir fest, daß die zunehmende Nutzung des Berliner Verwaltungsnetzes (Metropolitan Area Network - MAN) verstärkt Sicherheitsprobleme aufwarf. Nachdem im vergangenen Jahr der Umsetzung des Datenschutz- und Datensicherheitskonzeptes für das MAN nicht immer die notwendige Priorität eingeräumt wurde, hatte sich dies zunächst entscheidend geändert. Der im letzten Jahr ins Leben gerufene Arbeitskreis "Netzsicherheit" im Landesamt für Informationstechnik, der einen koordinierten Informationsaustausch im Bereich der Netzsicherheit im gesamten Berliner Landesnetz erreichen sollte, leistete erfolgreiche Arbeit. Die regelmäßigen Treffen und die erarbeiteten Papiere halfen, das Sicherheitsniveau im Landesnetz zu verbessern. In Folge der Umstrukturierung im LIT wurde dieser Arbeitskreis leider aufgelöst. Dies sollte jedoch nicht dazu führen, daß der sehr wichtige Informationsaustausch nicht mehr im bisherigen Umfang stattfindet. Leider mußten wir jedoch feststellen, daß der Informationsfluß in signifikanter Weise unterbrochen wurde. Ein wesentlicher Schwerpunkt war und ist die sichere Anbindung des Berliner Verwaltungsnetzes an das Internet. Aus der Verwaltung wurden vermehrt Anforderungen an das LIT herangetragen, die Nutzung der Dienste des Internet endlich auch den Berliner Behörden zu ermöglichen. Zur Vorbereitung der Internet-Anbindung wurde eine Testumgebung geschaffen, die im wesentlichen das MAN nachbildete. Hier wurden drei verschiedene Firewall-Systeme getestet, um eine Möglichkeit zu schaffen, das System auszuwählen, welches den hohen Anforderungen am besten gerecht wird. Anschließend wurde mit dem Aufbau eines Grenznetzes begonnen. Dieses Grenznetz stellt den Übergang zum Internet dar und kann als ein weiteres Subnetz mit speziellen (Abgrenzungs-) Aufgaben am MAN betrachtet werden. Das Grenznetz soll im wesentlichen zwei Aufgaben erfüllen: Zum einen soll es den gesicherten Übergang zwischen dem MAN und dem Internet oder anderen Fremdnetzen realisieren und damit eine sichere Kommunikation zwischen dem Verwaltungsnetz und dem Internet ermöglichen. Zum anderen sollen Informationsserver eingebunden werden, die Informationen von allgemeinem Interesse zum Abruf zur Verfügung stellen. Dies bedeutet, daß Berliner Verwaltungen eigene Informationsangebote (WWW-Angebote) in das Internet einstellen können, ohne daß externe Internet-Nutzer auf das Verwaltungsnetz zugreifen müssen. Dieses Konzept ist aus Datenschutz- und Datensicherheitsgründen sehr zu begrüßen. Das mit diesem Grenznetz gebildete Firewall-System kann jedoch nur die Grundlage für die Sicherheit im dahinterliegenden Verwaltungsnetz bilden. Da einerseits die Anforderungen an die Nutzung von Internet-Diensten innerhalb der Berliner Verwaltung sehr unterschiedlich sind und andererseits vor allem auch der Schutz der an das Verwaltungsnetz angeschlossenen Subnetze untereinander gewährleistet sein muß, müssen verstärkt Sicherheitsmechanismen in den einzelnen Verwaltungs-Subnetzen entwickelt und realisiert werden (Gestaffeltes Firewall-System, vgl. JB 1995, 4.1). Erste Schritte in Richtung eines informationstechnischen Sicherheitskonzepts für die Berliner Verwaltung wurden mit der Entwicklung von Datenschutz- und Datensicherheitskonzepten für das MAN und der ISDN-Vernetzung der Berliner Verwaltung sowie verfahrenspezifischer Konzepte getan. Weitere sehr wichtige Schritte sind die oben bereits erwähnte Entwicklung eines Sicherheitsrahmenkonzeptes durch den IT-KAB und eines Sicherheitskonzeptes für Backbone-Netzdienste durch das LIT. Das Sicherheitsrahmenkonzept soll die Mindest- und Rahmenbedingungen zur Gewährleistung der IT-Sicherheit aus verfahrens-, behörden- und standortübergreifender Sicht festlegen und ist bei der Erstellung weiterer spezifischer Konzepte zu beachten. Das Sicherheitskonzept für Backbone-Dienste beschreibt die Verantwortungsverteilung beim sicheren Betrieb von Verfahren und Services über das Backbone-Netz des Berliner Verwaltungsnetzes und unterscheidet dabei die einzelnen Rollen für Anwender, Verfahrensverantwortliche und Infrastrukturbetreiber. Dieses Konzept verdeutlicht, daß die Sicherheit nicht an einer einzigen Stelle festzumachen ist, sondern von allen beteiligten Institutionen zusammen erbracht werden muß. Grundlagen sind in jedem Fall die Sicherheitskonzepte der einzelnen Behörden und Verfahren. Die beim Anschluß an das MAN auftretenden zusätzlichen Gefahren - insbesondere vor dem Hintergrund des Anschlusses des MAN an das Internet - werden dargestellt und können als Leitfaden für die Erstellung oder Vervollständigung der behörden- oder verfahrensbezogenen Sicherheitskonzepte verwendet werden. Die Erfahrung der letzten Jahre hat jedoch gezeigt, daß die Erarbeitung von Konzepten allein nicht ausreicht. Der relativ zügigen Umsetzung der in den Konzepten erarbeiteten Maßnahmen kommt jetzt besondere Bedeutung zu. Leider mußten wir auch diesmal wieder feststellen, daß die Erfahrung nicht trügt und die Realisierung risikoerzeugender Verwaltungsverfahren - hier die Internet-Anbindung des Berliner Landesnetzes - schneller erfolgt als die Erarbeitung und Umsetzung der dazugehörigen Datenschutz- und Datensicherheitskonzepte. Die positive Bewertung der schrittweisen Erprobung und Einführung der Internet-Anbindung des MAN muß daher relativiert werden. Wie bereits oben erwähnt, wurde der gerade in diesem Bereich sehr wichtige Informationsfluß durch die Umstrukturierung des LIT stark gestört. So wurde bereits im Oktober 1997 die bisherige Trennung des Verwaltungsnetzes vom Internet durch Inbetriebnahme des Grenznetzes und Freischaltung für mehrere Bezirksämter und Senatsverwaltungen aufgehoben. Daß wir diesen aus datenschutzrechtlicher und sicherheitstechnischer Sicht sehr wichtigen Sachverhalt erst aus dem vom LIT veröffentlichten IT-Nachrichtenmagazin "Splitter" erfahren haben, kann nicht mit organisatorischen Problemen bei der Umstrukturierung oder einer schnellen Marktpositionierung des LIT in seiner neuen Betriebsform begründet werden. Bevor eine Öffnung des MAN zum Internet realisiert wird, hätten einerseits die Erfüllung der Vorgaben aus den existierenden Datenschutz- und Datensicherheitskonzepten von einer zentralen Stelle überprüft und andererseits behörden- und verfahrensspezifische Konzepte erarbeitet oder vervollständigt werden müssen. Ein weiterer wichtiger Aspekt ist die ständige Anpassung der Datenschutz- und Sicherheitskonzepte an neue Risiken und Gefahren. Analog der Virenschutzproblematik, die darin besteht, daß im Normallfall nur bekannte Viren erkannt und beseitigt werden können, neu auftretende jedoch erst in einer neuen Version der Virenscanner beachtet werden können, treten im Kommunikationsbereich ständig neue "Sicherheitslöcher" auf, die von findigen "Hackern" ausgenutzt werden. Daher muß der ständigen Beobachtung und Aktualisierung der Maßnahmen besondere Beachtung zukommen. Ein weiteres wichtiges Ziel muß die ständige Qualifikation der Netzwerk-, System- und insbesondere Firewall-Administratoren sein. Gerade im Bereich eines komplexen, gestaffelten Firewall-Systems bestimmt die fachliche Kompetenz der beteiligten Administratoren erheblich das Maß der möglichen Sicherheit mit. Eine wesentliche Anforderung der Verwaltung ist die Möglichkeit, von außen auf das Verwaltungsnetz zugreifen zu können, zum Beispiel zum Zwecke der Telearbeit oder der Fernadministration. Die Erfüllung dieser Anforderungen stellt jedoch ein erhebliches Sicherheitsproblem dar, da hierfür auch die Kommunikation von unsicheren externen Netzen in das Verwaltungsnetz hinein möglich sein muß. Es muß daher unbedingt geprüft werden, inwieweit gesicherte Kommunikationspfade für einzelne spezielle Anforderungen geschaffen werden können. Jedoch auch bei Nutzung von solchen sicheren Kommunikationspfaden (sog. Tunneling-Verfahren) bleibt ein nicht unerhebliches Restrisiko bestehen. Für den Anschluß des Verwaltungsnetzes an unsichere externe Netze, z.B. das Internet, muß weiterhin unverändert festgestellt werden, daß dieser nur dann vertretbar ist, wenn er einerseits auf die zwingend erforderlichen Kommunikationsbedürfnisse beschränkt wird und andererseits die Gefahren durch technische und organisatorische Maßnahmen beherrscht werden können und auch die Bereitschaft besteht, die dafür notwendigen Investitionen zu tragen. Eine hundertprozentige Sicherheit gegen Angriffe aus dem Internet kann jedoch auch bei Beachtung sämtlicher Maßnahmen nicht erzielt werden. Exemplarische IT-Projekte der Berliner Verwaltung Die Automatisierung einzelner Verwaltungsbereiche schreitet weiter fort, alte Systeme werden zunehmend durch neue ersetzt. Beispiele sind die folgenden Verfahren, denen wir besondere Aufmerksamkeit gewidmet haben. Das Projekt "Integrierte Personalverwaltungverfahren - IPV" (vgl. JB 1996, 4.4.1)befindet sich in diversen Bezirksämtern in der Erprobung. Für das Pilotbezirksamt Köpenick wurde ein Konzept zur Umsetzung der Datenschutz- und Datensicherungsmaßnahmen erarbeitet, zu dem wir nur in bezug auf einige Detailfragen Verbesserungen empfohlen haben. Für die Datenübertragung im MAN sind Verschlüsselungsverfahren vorgesehen, die den anerkannten Standards entsprechen. Offen bleibt jedoch noch, inwieweit unseren Empfehlungen bisher gefolgt wurde und die vereinbarte Verschlüsselung durchgängig zum Einsatz kommt. Das "Berliner Automatisierte Sozialhilfe-Interaktions-System - BASIS", zu dem wir seit 1991 berichten, ist inzwischen in allen Bezirken eingeführt worden. Inzwischen ist bereits die Entwicklung eines Nachfolgeverfahrens BASIS II (auch unter der Bezeichnung BASIS3000 ) bei einem Konsortium aus zwei Firmen auf der Grundlage eines umfassenden Pflichtenheftes in Auftrag gegeben worden, welches im Jahr 2000 eingeführt werden soll. Auch aus datenschutzrechtlicher Sicht werden dabei Erfahrungen mit Schwachstellen umzusetzen sein, die sich aus dem praktischen Betrieb des BASIS I-Verfahrens ergeben haben. Die Neukonzeption des Automatisierten Haushaltswesens (vgl. JB 1994, 4.4) erfolgte mit dem Programmsystem PROFISKAL und ist mittlerweile in der Berliner Verwaltung weitgehend eingeführt worden. Im Bereich der Polizei wird bereits seit Jahren an der Nachfolge des veralteten Informationssystems Verbrechensbekämpfung (ISVB) gearbeitet. Zum Projekt "Polizeiliches Landessystem zur Information, Kommunikation und Sachbearbeitung - POLIKS", welches dieses leisten soll, liegt jedoch bisher noch kein Feinkonzept vor. Das Projekt wird in Zusammenarbeit mit Brandenburg durchgeführt. Mit dem Projekt DIBA - Datenerfassung in Berliner Abschnitten - soll die Informationstechnik die tagtägliche formulargestützte Routinearbeit in den Berliner Polizei-Abschnitten und - unter dem Begriff DIBA-mobil - mit dem Einsatz mobiler IT-Systeme auch in den Funkstreifenwagen unterstützen. Das Verfahren wurde bereits 1994 in einem Abschnitt erprobt und soll jetzt eine wesentliche Grundlage für das neue Polizeikonzept "Berliner Modell" bilden. Technische Schwierigkeiten haben Anfang 1998 zu beträchtlichem öffentlichem Aufsehen geführt, eine datenschutzrechtliche Überprüfung ist eingeleitet. Mit dem Projekt BIDAVIS/FABIS - Bilddaten-Verarbeitungs- und Informationssystem/Fingerabdruck-Verarbeitungs- und Informationssystem soll bei der Polizei die erkennungsdienstliche Behandlung modernisiert und deren Ergebnisse schneller und effektiver den ermittelnden Stellen zur Verfügung gestellt werden. Die langjährigen Bemühungen zur Entwicklung eines neuen IT-Verfahrens zur Abwicklung von Verkehrsordnungswidrigkeiten (BOWI II) sind eingestellt worden, da das komplexe Verfahren von der mit der Umsetzung des Konzepts betrauten Firma nicht realisiert werden konnte. Nun wird ein privater Dienstleister gesucht, der das Verfahren im Rahmen einer "Public Private Partnership" übernehmen soll. Die mit einem solchen Outsourcing in Verbindung stehenden datenschutzrechtlichen Fragen sind jedoch noch ungelöst. |
|||||||||
|
|