|
-
Grundsätzlich sind wiederbeschreibbare, optische Datenträger
einzusetzen. Diese können wie Magnetplatten behandelt werden.
-
Es können optische Datenträger verwendet werden, die nur einmal
beschreibbar sind, wenn die gesetzlichen Regelungen es zulassen, daß
an Stelle der Berichtigung oder Löschung von Daten eine Sperrung tritt.
Die Sperren sind dabei besonders zu kennzeichnen. Spätestens nach dem
vollständigen Beschreiben des Datenträgers sind die Datenbestände
durch Umkopieren auf einen neuen Datenträger zu bereinigen. Der
Ursprungsdatenträger ist unverzüglich und vollständig zu
löschen, wozu der Datenträger vernichtet werden muß.
-
Werden Daten gesichert oder langfristig archiviert, können ebenfalls
optische Datenträger verwandt werden, die nur einmal beschreibbar sind.
Dabei sollten möglichst nur Daten mit gleichen Löschungsfristen
auf dem gleichen Datenträger abgelegt werden.
-
Sind Daten auf einem nur einmal beschreibbaren Datenträger zu löschen
oder zu berichtigen, muß unter Verwendung des alten Datenträgers
ein neuer Datenträger beschrieben werden, der die zu löschenden
Daten nicht mehr enthält. Der ursprüngliche Datenträger ist
unverzüglich und vollständig zu löschen, wozu der
Datenträger vernichtet werden muß.
-
Das vollständige Löschen von Daten auf einem nur einmal beschreibbaren,
optischen Datenträger (d. h. dessen Vernichtung) ist mit angemessenen
technisch-organisatorischen Maßnahmen unter Beachtung der DIN 32757
vorzunehmen. Dazu sind Verfahren wie Ätzen, Einschmelzen, Verbrennen,
Zerkratzen oder Schreddern unter Berücksichtigung von Sicherheits- und
Umweltverträglichkeitsaspekten anzuwenden.
Erläuterung der Abkürzungen:
CD-ROM = Compact Disk Read Only Memory (im Preßverfahren erstellter
bzw. einmal beschreibbarer und mehrfach lesbarer, optischer Datenträger
im CD-Format)
WORM = Write Once Read Many (einmal beschreibbarer und mehrfach lesbarer,
optischer Datenträger)
MO = Magnetic-Optical (optischer Datenträger auf der Basis magnetischer
Beschichtung), als
WORM-MO (nur einmal beschreibbar, mehrfach lesbar) und als
ROD-MO (Rewritable Optical Disc, mehrfach wiederbeschreib- und lesbar)
Sachverhalt
Zur Technik der optischen Speicherung
Bei der optischen Speicherung unterscheidet man derzeit zwischen
CD-ähnlichen Datenträgern und einer Speicherung auf
magnetisch-optischer Basis; weitere Techniken werden erprobt, sind aber noch
nicht marktreif.
Bei CD-ähnlichen Datenträgern gibt es folgende Formen:
CD-ROM (Compact Disc Rad Only Memory) in den Formen:
-
CD-DA (Digital-Audio), gemeinsamer Standard der Firmen Philips und Sony von
1982 für Ton-Aufzeichnung: "Red book", maximal 99 logische Stücke
(Tracks = 1 Lied), die wieder in Sektoren von 1/75 Sekunden aufgeteilt sind,
max. 74 Minuten Musik, 5 1/4 Zoll
-
CD-Standard der Firmen Philips und Sony von 1985 für Programme, Texte
und Grafiken: Norm: ISO 9660, "Yellow-book", 5 1/4 Zoll, 15 % der Nutzdaten
sind für Zwecke der Fehlererkennung und -korrektur reserviert, in den
Varianten: Mode 1 = max. 682 MB, Mode 2 = max. 778 MB
-
CD-ROM/XA (1991, XA = Extended Architecture), 5 1/4 Zoll, Daten, Ton-, Bild-
und Videodaten auf getrennten Spuren, analog der Photo-CD der Fa. Kodak von
1992, Aufzeichnung von Einzelbildern, zum Abspielen ist ein spezieller
JPEG-Dekoder (JPEG = Joint Photographic Expert Group) erforderlich, der die
komprimierten Daten auswertet,
-
CD-Video (bis zu 72 Minuten Videofilme), in den beiden Varianten:
CD-I (1988, Fa. Philips, Compact Disc Interaktive, für Interaktion bei
Multimedia-Anwendungen, Norm: "Green-book", entspricht Mode 2 des "Yellow-book",
der um Audio und Video ergänzt wurde),
CD-DV (1993, Compact Disc Digital Video) zum Abspielen der Filme ist ein
spezieller MPEG(= Motion Picture Expert Group)-Dekoder erforderlich, der
die komprimierten Daten auswertet
-
CD-R (CD-Recordable) beschreibbare CD, Norm "Orange-book", max. 60 Minuten
als Tonträger
und CD-ROM-Sonderformen wie:
-
Mega-CD (Spiele und Sound, Fa. Sega)
-
CD-TV (Commodore Dynamic Total Vision, eine Norm der Fa. Commodore; ähnlich
CD-I).
-
EB-ROM (Sony 1990, Electronic Book Read Only Memory, 3 1/4 Zoll Minidisk,
ca. 200 MB).
Neue Entwicklungen bei CD-Datenträgern sind:
-
Pippin-CD-ROM der Fa. Apple für Multimedia (Video, Interactive) und
Spiele
-
CD der Firmen Sony und Philips gemeinsam mit 3M "Multimedia-CD", Einführung
geplant 1996, 3,7 GB Daten, High-Density-CD, 5 1/4 Zoll, 135 Minuten Video
mit MPEG-2-Dekodierung, mit möglicher Kapazitätsverdopplung durch
2. Schicht (l. Schicht transparent) auf der gleichen Seite
-
CD der Firma Matsushita (mit Töchtern JVC, Toshiba, Thomson, Telefunken,
Saba, Nordmende) mit Film und Medienkonzern Time Warner "SD-DVD = Super Density
Digital Video Disc", 4,8 GB Daten, Super-Density-Standard, 5 1/4 Zoll, 142
Minuten Video mit MPEG-2-Dekodierung, mit möglicher
Kapazitätsverdopplung durch 2. CD-ROM mit Schicht auf der Rückseite
(Sandwich), Markteinführung noch offen
Alle diese genannten Speicherungsverfahren arbeiten mit einer
schallplattenähnlichen Produktionstechnik (Herstellung einer Masterplatte,
Erzeugung von vielen Kopien im Plattenpreßverfahren), deren Produkte
in der Regel vom Anwenden nur gelesen werden. Am Markt sind inzwischen allerdings
auch Geräte verfügbar, die die individuelle Erstellung von CD-ROM's
erlauben (Preis der Laufwerke ca. 2.000 DM); bei der Photo-CD ist dies
selbstverständlich.
Bei magnetisch-optischen Datenträgern gibt es derzeit folgende
Formen:
WORM (Write Once Read Many, Norm: ISO 91711/2 bei 5 1/4 Zoll, CD
13403/CCS-Speicherung oder WI 1.23.02.2/SSF-Speicherung bei 12 Zoll, DIS
108 8 5 bei 14 Zoll, Norm: "Orange-book") mit einmaliger Datenspeicherung
(ablativ, bubble/pit melted alloy, phase change) und beliebig häufiger
Lesemöglichkeit (Hard-WORM)
MO-Disc (MO = mit magneto-optische Speicherung, Norm: ISO 10090 bzw. ECMA
154 oder ECMA 201 bei 3 ½ Zoll, Orange-book) als:
-
WORM-MO: hier wird durch eine Plattenmarkierung der WORM-Status dokumentiert
und durch Firmware (firmenspezifische Soft- oder Hardware-Programme im Laufwerk
zur Sicherstellung der Basis-Funktionen) ein Wiederbeschreiben verhindert
(Soft-WORM)
-
ROD-MO (Rewritable Optical Disc): d. h. eine mehrfach wiederbeschreibbare
optische Disk. Diese erscheint aufgrund der beliebigen Beschreibbarkeit für
eine gesicherte Langzeitarchivierung nicht geeignet und dürfte eher
als Konkurrenz zu magnetischen Laufwerken (Magnetplatten, -disketten,
-bänder, oder -kassetten) anzusehen sein; eine neuere Variante ist die
Mini-Disk der Fa. Sony zur Aufzeichnung von Audio-Daten
-
WORM-MO nach Norm ISO 11560 oder ECMA 153 bei 5 1/4 Zoll,
-
Mini-Disc (MD-Data) Sony, 2 ½ Zoll, ca. 140 MB, Transferrate ca. 150
KB/s, ca. 70 Minuten Musik, Texte, Grafiken, Tabellen, 3 Formate: ROM, mehrfach
beschreibbar, hybride Aufzeichnung.
Neuere Entwicklungen:
Es gibt auch neuere Entwicklungen, die nicht auf Magnetisierung, sondern
Phasenwechseltechnik basieren, aber noch nicht als Standard eingeführt
sind:
-
wiederbeschreibbare optische Disk der Fa. Toshiba, 3 ½ Zoll, 2 Platten
in Sandwich-Bauweise a 650 MB = 1,3 GB, 5 mm Dicke, max. 40 Minuten Video
mit MPEG-2-Dekodierung, durch Phasenwechseltechnik wird Trägermaterial
von amorphem in kristallinen Zustand umgeschaltet und umgekehrt, keine
Magnetisierung, hohe Transferrate von 9,8 16,4 Megabit/s, Laufwerk mit 26
mm Bauhöhe auch für Laptops geeignet; nach gleicher Technik sind
auch 5 1/4 Zoll Disks mit ca. 12 GB geplant
Optische Datenträger gibt es in den Formaten 2 Zoll, 2 ½ Zoll,
3 1/4 Zoll, 3 ½ Zoll, 5 1/4 Zoll, 12 Zoll und 14 Zoll. Die Kapazitäten
reichen derzeit von ca. 0,2 bis ca. 10 Giga-Bytes = Milliarden Zeichen pro
Medium. Die Daten können entweder als CI- (Coded Information, aus
EDV-Systemen) oder als NCI- (Non Coded Information; Bitmap = grafische
Bildpunktinformationen von Seiten über Scanner eingelesen) Dokumente
abgelegt sein. Pro Giga-Byte sind damit bei NCI-Dokumenten ca. 20.000
DIN-A4-Seiten und bei CI-Dokumenten ca. 400.000 DIN-A4-Seiten gespeichert.
Datenschutzprobleme bei der optischen Datenspeicherung
Bei der Verarbeitung personenbezogener Daten sind die verfassungsrechtlichen
Grundsätze der Verhältnismäßigkeit, Erforderlichkeit,
Zweckbindung und informationellen Gewaltenteilung zu beachten, unabhängig
davon, auf welche Weise (Akte, Kartei, Datei, Groß-DV, Mehrplatzsystem,
PC usw.) die Datenverarbeitung geschieht. Beim Einsatz moderner Informations-
und Kommunikations-Technologie sind insbesondere die materiellen Zweck und
Aufbewahrungsbestirnmungen der Datenverarbeitung durch technische Maßnahmen
zu gewährleisten. Auch die Betroffenenrechte der Datenschutzvorschriften
- z.B. die Ansprüche auf Akteneinsicht, die Rechte auf Auskunft,
Berichtigung und Löschung - müssen zu jeder Zeit erfüllbar
sein.
Insbesondere die Löschungspflicht der Datenschutzgesetze könnte
der optischen Datenspeicherung entgegenstehen. Während bei mehrfach
beschreibbaren, magnetisch-optischen Systemen die technischen Möglichkeiten
mit denen der herkömmlichen Magnetplatten bzw. -disketten weitgehend
übereinstimmen, ist das Löschen von Daten bei CD-ROM bzw.
WORM-Datenträgern nicht ohne weiteres erfüllbar.
Das Bundesdatenschutzgesetz und die meisten Landesdatenschutzgesetze definieren
das Löschen als "das Unkenntlichmachen gespeicherter Daten" (die
entsprechende Formulierung im Berliner DSG lautet: "Beseitigen").
Personenbezogene Daten werden dann als unkenntlich angenommen, wenn die
Informationen nicht länger aus den ursprünglich gespeicherten Daten
gewonnen werden können.
Auernhammer führt aus....... daß die Löschung, da sie eine
Beseitigung der Daten bewirkt, im Gegensatz zur Sperrung einen absoluten
Nutzungsausschluß zur Folge hat." (Auernhammer, Kommentar zum BDSG,
3. Auflage 1993, § 20, Rdnr. 13).
Simitis, Darnmann u. a., Kommentar zum BDSG, 4. Aufl. 92, äußern
sich wie folgt: "Der Begriff Unkenntlichmachen trifft auf jede Handlung zu,
die irreversibel bewirkt daß eine Information nicht länger aus
gespeicherten Daten gewonnen werden kann" (§ 3, Rdnr. 180). "Um eine
Gefährdung der Rechte der Betroffenen zu vermeiden, sind in diesem Fall
an die Unmöglichkeit (der Wiedergewinnung) strenge Anforderungen zu
stellen. Die schlichte Aufwand-Zweck-Relation des § 9 und die
Unverhältnismäßigkeit im Sinne der Anonymisierungsdefinition
des Abs. 7 genügen nicht" (§ 3, Rdnr. 187). "Um ein
Löschungsgebot zu erfüllen, genügt es nicht, die Datenorganisation
so zu verändern, daß ein gezielter Zugriff auf die betreffenden
Daten ausgeschlossen wird" (§ 3, Rdnr. 188). Die Löschung soll
im Gegensatz zur Sperrung die Information zum Verschwinden bringen, nicht
nur ihre Verwertbarkeit einschränken. "Unkenntlich (und damit
gelöscht) sind Daten nur dann, wenn die Kenntnisnahme ihres
Informationsgehalts... unmöglich ist" (§ 3, Rdnr. 189).
Schaffland/Wiltfang, Kommentar zum BDSG, Stand: Februar 95, definieren wie
folgt: "Unter Löschen von Daten ist das Unkenntlichmachen der gespeicherten
Daten zu verstehen. Dies kann dadurch erfolgen, daß der Datenträger
(z. B. Karteikarten, Lochkarten) vernichtet oder daß die Daten neu
(mit anderen Daten) überschrieben werden (z. B. Magnetband). Jedenfalls
dürfen die Daten, die zu löschen sind, nicht mehr lesbar sein."
Bergmann/Möhrle/Herb, Kommentar zum BDSG, Stand: März 1994, definieren
zu § 3 in Rdnr. 99 wie folgt: "Durch das Löschen werden Daten
unkenntlich gemacht, so daß eine weitere Verarbeitung nicht mehr
möglich ist." Und in Rdnr. 100: "Löschen verlangt das
tatsächliche Unkenntlichrnachen der Daten (physisches Löschen)
Sie dürfen nicht mehr lesbar sein...... Und weiter in Rdnr. 105: "Die
Auslagerung von Datenbeständen, andere organisatorische oder technische
Maßnahmen, die verhindern, daß Daten verarbeitet oder genutzt
werden können, reichen nicht aus. Diese Daten stehen weiterhin zur
Verfügung und können zumindest von DV-Fachleuten wieder aktiviert
werden."
Nach § 20 Abs. 3 Nr. 3 und § 35 Abs. 3 Nr. 3 BDSG kann an die Stelle
der "Löschung" eine "Sperrung" treten, wenn "eine Löschung wegen
der besonderen Art der Speicherung nicht oder nur mit
unverhältnismäßigem Aufwand möglich ist". Hierin
könnte eine Rechtsgrundlage für den Einsatz neuerer technischer
Lösungen, wie z. B. die optische Datenspeicherung, gesehen werden (vgl.
Auemhammer, Kommentar zum BDSG, 3. Aufl. 1993, § 20, Rdnr. 27). Nur
wenige Landesdatenschutzgesetze lassen derzeit eine ähnliche Lösung
zu (z. B. die Länder Brandenburg, Rheinland-Pfalz, Sachsen, Sachsen-Anhalt
und Thüringen).
Ein weiteres Datenschutzproblem kann bei der optischen Datenspeicherung dann
entstehen, wenn auf die Aufbewahrung von Originaldokumenten in Verfahrensakten
verzichtet und an deren Stelle ausschließlich eine digitale
Aktenführung treten soll. Dabei kann es Probleme bezüglich der
gerichtsverwertbaren Reproduktion von Akten geben. Gesetzliche Regelungen,
die klarstellen, ob bei optischer Datenspeicherung auf einen Aktennachweis
in Papierform verzichtet werden kann, fehlen weitestgehend. Die Forderung
des Papieraktenrückhalts läßt sich nicht allgemein
begründen, sondern ist differenziert für jedes einzelne Rechtsgebiet
zu untersuchen und an anderer Stelle auszuführen.
Löschung von Informationen bei CD-ROM bzw. WORM
Nach derzeitigem Stand der überwiegenden Zahl der Landesdatenschutzgesetze
bestehen bezüglich der Löschung von Datensätzen bei CD-ROM
bzw. WORM-Datenträgern erhebliche datenschutzrechtliche Bedenken, da
den Forderungen nach Löschung personenbezogener Daten, wenn ihre Speicherung
unzulässig ist oder ihre Kenntnis für die speichernde Stelle zur
Aufgabenerfüllung nicht mehr erforderlich ist oder eine Löschung
im Rahmen der Berichtigung erforderlich ist, nicht ausreichend Rechnung getragen
wird.
Bei CD-ROM bzw. WORM-Systemen kann die Löschung von Daten aufgrund der
technischen Spezifikationen nur durch Löschen von Verweisdaten erfolgen,
die in den separat betriebenen, den Zugriff steuernden EDV-Systemen in einem
Datenverwaltungssystem gehalten werden. In der aktuellen Indexdatei bzw.
Datenbank sind dann die alten Verweise auf die zu löschende Information
nicht mehr enthalten (logische Löschung), obwohl die Nutzdaten auf dem
optischen Speichersystem noch physikalisch und im Volltext vorhanden sind.
Ohne die Kenntnis dieser Verweisdaten sind die auf der CD-ROM bzw. WORM
(gestreut) abgelegten Nutzinformationen nicht gezielt verwertbar.
In einigen Archivierungsystemen werden diese Verweisdaten in der jeweils
aktuellen Form für eventuelle Notfall-Restaurierungen ebenfalls auf
dem optischen Datenträger abgelegt so daß mit Hilfe älterer
Verweisdaten die nur logisch gelöschten Nutzdaten für einen
potentiellen Angreifer leicht lesbar sein könnten.
Das Sperren von Einzeldaten oder Datensätzen kann durch das Setzen und
Abfragen von entsprechenden Kennzeichen in den separat geführten
Verweisdaten vorgenommen werden.
Aufgrund der oben genannten Definitionen und ihrer Auslegungen und unter
Berücksichtigung der technischen Gegebenheiten ist bei einer Nutzung
von CD-ROM bzw. WORM-Datenträgern eine faktische Löschung nicht
möglich, da lediglich durch Software (Verweisdaten), die geändert
werden kann, der Zugriff auf die auf der CD-ROM bzw. WORM weiterhin
vollständig vorhandenen Daten unterbunden (logische Löschung) ist.
Es ist zudem denkbar, daß u. a. der Anbieter der CD-ROM bzw. WORM-Platte
und des Laufwerks über das Wissen und die Möglichkeit verfügt,
auf derart "logisch" gelöschte Daten zuzugreifen.
Die gesetzlichen Berichtigungs- und Löschungsansprüche von Betroffenen
können bei CD-ROM bzw. WORM-Speicherung dadurch gelöst werden,
daß unverzüglich ein neuer Datenträger aus dem alten erzeugt
wird, wobei nur noch die gültigen Daten übernommen und die Daten
auf dem ursprünglichen Datenträger gelöscht werden.
Eine vollständige Löschung der auf CD-ROM bzw. WORM-Platten enthaltenen
Informationen ist derzeit nur möglich durch Zerstörung der
Speicherfläche (Ätzen, Zerkratzen) oder durch physikalische Vernichtung
des gesamten Datenträgers ( Einschmelzen, Verbrennen, Schreddern); analog
der Behandlung von Magnetdatenträgern und Mikrofilmen. Die Grundsätze
der DIN 32757 "Vernichtung von Informationsträgern" können nicht
ohne weiteres übernommen werden, da diese Speichermedien bisher
unübliche, hochkapazitäre Datenablagen bieten (ca. 1000 Seiten
pro Quadratzentimeter, ca. 300.000 Schreibmaschinenseiten bei einer WORM
mit 5 1/4 Zoll = 12 Zentimeter-Durchmesser) und eine damit verbundene Gefahr
der Entwendung bzw. Wiedergewinnung höchst umfangreicher und sensibler
Datenbestände besteht. Es muß mit der Möglichkeit gerechnet
werden, daß eine Rekonstruktion erfolgen kann.
Nach Aussage der Fa. Siemens als Anbieter optischer Speichersysteme ist es
bei WORM-Datenträgern mit besonderem Aufwand möglich, den durch
Firmware gesicherten Schreibschutz belegter Bereiche (sogenannter "Blank-Check")
zu umgehen und beschriebene Bereiche nachträglich zu überschreiben
(wird aber nicht softwaremäßig unterstützt). Eine
Veränderung der vorhandenen Daten ist dabei allerdings nicht möglich.
Systembedingt gilt der überschriebene Bereich als zerstört und
die Neuinformation wird in einen Ersatzspurbereich übernommen, der nur
über eine beschränkte Kapazität (ca. 1 MB) verfügt. Nach
relativ geringen Änderungen würde dieser Bereich überlaufen
und eine weitere Ablage auf dem Datenträger verhindern. Diese
Umgehungsmöglichkeit auch im positiven Sinne zu nutzen, um Daten zu
löschen, ist aus diesen Gründen nicht sinnvoll. Eine
diesbezügliche Forderung zur Realisierung in der Software würde
die Änderung internationaler Normen erfordern.
|