TO-Maßnahmen
Homepage

Wir über Uns
Berlin
National
Europäische Union
International
Recht
T.O Maßnahmen
Aktuelles
Kontrolle
Materialien
Service
Themen

Orientierungshilfe

"Datenschutzrechtliche Aspekte beim Einsatz optischer Datenspeicherung"

Arbeitskreis "Technische und organisatorische Datenschutzfragen"
der ständigen Konferenz der Datenschutzbeauftragten
des Bundes und der Länder

Die optische Datenspeicherung entwickelt sich in zunehmendem Maße zu einer Alternative für herkömmliche Datenträger und Speicherungsmedien wie Magnetplatte, Diskette und Magnetband. Der Begriff der "optischen Datenspeicherung" ist abgeleitet vom zugrundeliegenden Aufzeichnungsverfahren mit Hilfe eines Laserstrahls. Auch bei der optischen Datenspeicherung können ähnlich wie bei der Mikroverfilmung, dem ältesten optischen Aufzeichnungsverfahren, Papierdokumente, Bilder und Graphiken optisch erfaßt, gespeichert und durch automatisierte Verfahren ausgewertet werden. Es kann daher nicht überraschen, daß auch für die optische Datenspeicherung Anwendungsmöglichkeiten einer papierlosen Datenverarbeitung und einer aktenlosen Verwaltung überlegt und erprobt werden.

Der Arbeitskreis "Technische und organisatorische Datenschutzfragen" der ständigen Konferenz der Datenschutzbeauftragten des Bundes und der Länder hat die datenschutzrechtlichen Aspekte einer Verarbeitung und Archivierung mit optischen Datenspeichern untersucht und Empfehlungen für einen datenschutzgerechten Einsatz dieser neuen Medien erarbeitet, die im folgenden dargestellt sind.

Empfehlungen zum Einsatz optischer Datenspeicherung

Beim Einsatz der optischen Datenspeicherung ist zu unterscheiden zwischen Datenträgern, die nur einmal beschreibbar, aber beliebig oft lesbar sind (z. B. CD-ROM, WORM, MO als WORM), und anderen Datenträgern, die mehrfach beschreibbar und lesbar sind (z. B. MO).

Aufgrund der fehlenden Löschbarkeit von Daten bei den nur einmal beschreibbaren, optischen Datenträgern und unter Berücksichtigung der Löschungs-, Sperrungs- und Berichtigungsvorschriften der Datenschutzgesetze des Bundes und der Länder ist nach folgenden Regeln zu verfahren:

Seitenanfang
  1. Grundsätzlich sind wiederbeschreibbare, optische Datenträger einzusetzen. Diese können wie Magnetplatten behandelt werden.
  2. Es können optische Datenträger verwendet werden, die nur einmal beschreibbar sind, wenn die gesetzlichen Regelungen es zulassen, daß an Stelle der Berichtigung oder Löschung von Daten eine Sperrung tritt. Die Sperren sind dabei besonders zu kennzeichnen. Spätestens nach dem vollständigen Beschreiben des Datenträgers sind die Datenbestände durch Umkopieren auf einen neuen Datenträger zu bereinigen. Der Ursprungsdatenträger ist unverzüglich und vollständig zu löschen, wozu der Datenträger vernichtet werden muß.
  3. Werden Daten gesichert oder langfristig archiviert, können ebenfalls optische Datenträger verwandt werden, die nur einmal beschreibbar sind. Dabei sollten möglichst nur Daten mit gleichen Löschungsfristen auf dem gleichen Datenträger abgelegt werden.
  4. Sind Daten auf einem nur einmal beschreibbaren Datenträger zu löschen oder zu berichtigen, muß unter Verwendung des alten Datenträgers ein neuer Datenträger beschrieben werden, der die zu löschenden Daten nicht mehr enthält. Der ursprüngliche Datenträger ist unverzüglich und vollständig zu löschen, wozu der Datenträger vernichtet werden muß.
  5. Das vollständige Löschen von Daten auf einem nur einmal beschreibbaren, optischen Datenträger (d. h. dessen Vernichtung) ist mit angemessenen technisch-organisatorischen Maßnahmen unter Beachtung der DIN 32757 vorzunehmen. Dazu sind Verfahren wie Ätzen, Einschmelzen, Verbrennen, Zerkratzen oder Schreddern unter Berücksichtigung von Sicherheits- und Umweltverträglichkeitsaspekten anzuwenden.

Erläuterung der Abkürzungen:

CD-ROM = Compact Disk Read Only Memory (im Preßverfahren erstellter bzw. einmal beschreibbarer und mehrfach lesbarer, optischer Datenträger im CD-Format)

WORM = Write Once Read Many (einmal beschreibbarer und mehrfach lesbarer, optischer Datenträger)

MO = Magnetic-Optical (optischer Datenträger auf der Basis magnetischer Beschichtung), als

WORM-MO (nur einmal beschreibbar, mehrfach lesbar) und als

ROD-MO (Rewritable Optical Disc, mehrfach wiederbeschreib- und lesbar)

Sachverhalt

Zur Technik der optischen Speicherung

Bei der optischen Speicherung unterscheidet man derzeit zwischen CD-ähnlichen Datenträgern und einer Speicherung auf magnetisch-optischer Basis; weitere Techniken werden erprobt, sind aber noch nicht marktreif.

Bei CD-ähnlichen Datenträgern gibt es folgende Formen:

CD-ROM (Compact Disc Rad Only Memory) in den Formen:

  • CD-DA (Digital-Audio), gemeinsamer Standard der Firmen Philips und Sony von 1982 für Ton-Aufzeichnung: "Red book", maximal 99 logische Stücke (Tracks = 1 Lied), die wieder in Sektoren von 1/75 Sekunden aufgeteilt sind, max. 74 Minuten Musik, 5 1/4 Zoll
  • CD-Standard der Firmen Philips und Sony von 1985 für Programme, Texte und Grafiken: Norm: ISO 9660, "Yellow-book", 5 1/4 Zoll, 15 % der Nutzdaten sind für Zwecke der Fehlererkennung und -korrektur reserviert, in den Varianten: Mode 1 = max. 682 MB, Mode 2 = max. 778 MB
  • CD-ROM/XA (1991, XA = Extended Architecture), 5 1/4 Zoll, Daten, Ton-, Bild- und Videodaten auf getrennten Spuren, analog der Photo-CD der Fa. Kodak von 1992, Aufzeichnung von Einzelbildern, zum Abspielen ist ein spezieller JPEG-Dekoder (JPEG = Joint Photographic Expert Group) erforderlich, der die komprimierten Daten auswertet,
  • CD-Video (bis zu 72 Minuten Videofilme), in den beiden Varianten:
    CD-I (1988, Fa. Philips, Compact Disc Interaktive, für Interaktion bei Multimedia-Anwendungen, Norm: "Green-book", entspricht Mode 2 des "Yellow-book", der um Audio und Video ergänzt wurde),
    CD-DV (1993, Compact Disc Digital Video) zum Abspielen der Filme ist ein spezieller MPEG(= Motion Picture Expert Group)-Dekoder erforderlich, der die komprimierten Daten auswertet
  • CD-R (CD-Recordable) beschreibbare CD, Norm "Orange-book", max. 60 Minuten als Tonträger

und CD-ROM-Sonderformen wie:

  • Mega-CD (Spiele und Sound, Fa. Sega)
  • CD-TV (Commodore Dynamic Total Vision, eine Norm der Fa. Commodore; ähnlich CD-I).
  • EB-ROM (Sony 1990, Electronic Book Read Only Memory, 3 1/4 Zoll Minidisk, ca. 200 MB).

Neue Entwicklungen bei CD-Datenträgern sind:

  • Pippin-CD-ROM der Fa. Apple für Multimedia (Video, Interactive) und Spiele
  • CD der Firmen Sony und Philips gemeinsam mit 3M "Multimedia-CD", Einführung geplant 1996, 3,7 GB Daten, High-Density-CD, 5 1/4 Zoll, 135 Minuten Video mit MPEG-2-Dekodierung, mit möglicher Kapazitätsverdopplung durch 2. Schicht (l. Schicht transparent) auf der gleichen Seite
  • CD der Firma Matsushita (mit Töchtern JVC, Toshiba, Thomson, Telefunken, Saba, Nordmende) mit Film und Medienkonzern Time Warner "SD-DVD = Super Density Digital Video Disc", 4,8 GB Daten, Super-Density-Standard, 5 1/4 Zoll, 142 Minuten Video mit MPEG-2-Dekodierung, mit möglicher Kapazitätsverdopplung durch 2. CD-ROM mit Schicht auf der Rückseite (Sandwich), Markteinführung noch offen

Alle diese genannten Speicherungsverfahren arbeiten mit einer schallplattenähnlichen Produktionstechnik (Herstellung einer Masterplatte, Erzeugung von vielen Kopien im Plattenpreßverfahren), deren Produkte in der Regel vom Anwenden nur gelesen werden. Am Markt sind inzwischen allerdings auch Geräte verfügbar, die die individuelle Erstellung von CD-ROM's erlauben (Preis der Laufwerke ca. 2.000 DM); bei der Photo-CD ist dies selbstverständlich.

Bei magnetisch-optischen Datenträgern gibt es derzeit folgende Formen:

WORM (Write Once Read Many, Norm: ISO 91711/2 bei 5 1/4 Zoll, CD 13403/CCS-Speicherung oder WI 1.23.02.2/SSF-Speicherung bei 12 Zoll, DIS 108 8 5 bei 14 Zoll, Norm: "Orange-book") mit einmaliger Datenspeicherung (ablativ, bubble/pit melted alloy, phase change) und beliebig häufiger Lesemöglichkeit (Hard-WORM)

MO-Disc (MO = mit magneto-optische Speicherung, Norm: ISO 10090 bzw. ECMA 154 oder ECMA 201 bei 3 ½ Zoll, Orange-book) als:

  • WORM-MO: hier wird durch eine Plattenmarkierung der WORM-Status dokumentiert und durch Firmware (firmenspezifische Soft- oder Hardware-Programme im Laufwerk zur Sicherstellung der Basis-Funktionen) ein Wiederbeschreiben verhindert (Soft-WORM)
  • ROD-MO (Rewritable Optical Disc): d. h. eine mehrfach wiederbeschreibbare optische Disk. Diese erscheint aufgrund der beliebigen Beschreibbarkeit für eine gesicherte Langzeitarchivierung nicht geeignet und dürfte eher als Konkurrenz zu magnetischen Laufwerken (Magnetplatten, -disketten, -bänder, oder -kassetten) anzusehen sein; eine neuere Variante ist die Mini-Disk der Fa. Sony zur Aufzeichnung von Audio-Daten
  • WORM-MO nach Norm ISO 11560 oder ECMA 153 bei 5 1/4 Zoll,
  • Mini-Disc (MD-Data) Sony, 2 ½ Zoll, ca. 140 MB, Transferrate ca. 150 KB/s, ca. 70 Minuten Musik, Texte, Grafiken, Tabellen, 3 Formate: ROM, mehrfach beschreibbar, hybride Aufzeichnung.

Neuere Entwicklungen:

Es gibt auch neuere Entwicklungen, die nicht auf Magnetisierung, sondern Phasenwechseltechnik basieren, aber noch nicht als Standard eingeführt sind:

  • wiederbeschreibbare optische Disk der Fa. Toshiba, 3 ½ Zoll, 2 Platten in Sandwich-Bauweise a 650 MB = 1,3 GB, 5 mm Dicke, max. 40 Minuten Video mit MPEG-2-Dekodierung, durch Phasenwechseltechnik wird Trägermaterial von amorphem in kristallinen Zustand umgeschaltet und umgekehrt, keine Magnetisierung, hohe Transferrate von 9,8 16,4 Megabit/s, Laufwerk mit 26 mm Bauhöhe auch für Laptops geeignet; nach gleicher Technik sind auch 5 1/4 Zoll Disks mit ca. 12 GB geplant

Optische Datenträger gibt es in den Formaten 2 Zoll, 2 ½ Zoll, 3 1/4 Zoll, 3 ½ Zoll, 5 1/4 Zoll, 12 Zoll und 14 Zoll. Die Kapazitäten reichen derzeit von ca. 0,2 bis ca. 10 Giga-Bytes = Milliarden Zeichen pro Medium. Die Daten können entweder als CI- (Coded Information, aus EDV-Systemen) oder als NCI- (Non Coded Information; Bitmap = grafische Bildpunktinformationen von Seiten über Scanner eingelesen) Dokumente abgelegt sein. Pro Giga-Byte sind damit bei NCI-Dokumenten ca. 20.000 DIN-A4-Seiten und bei CI-Dokumenten ca. 400.000 DIN-A4-Seiten gespeichert.

Datenschutzprobleme bei der optischen Datenspeicherung

Bei der Verarbeitung personenbezogener Daten sind die verfassungsrechtlichen Grundsätze der Verhältnismäßigkeit, Erforderlichkeit, Zweckbindung und informationellen Gewaltenteilung zu beachten, unabhängig davon, auf welche Weise (Akte, Kartei, Datei, Groß-DV, Mehrplatzsystem, PC usw.) die Datenverarbeitung geschieht. Beim Einsatz moderner Informations- und Kommunikations-Technologie sind insbesondere die materiellen Zweck und Aufbewahrungsbestirnmungen der Datenverarbeitung durch technische Maßnahmen zu gewährleisten. Auch die Betroffenenrechte der Datenschutzvorschriften - z.B. die Ansprüche auf Akteneinsicht, die Rechte auf Auskunft, Berichtigung und Löschung - müssen zu jeder Zeit erfüllbar sein.

Insbesondere die Löschungspflicht der Datenschutzgesetze könnte der optischen Datenspeicherung entgegenstehen. Während bei mehrfach beschreibbaren, magnetisch-optischen Systemen die technischen Möglichkeiten mit denen der herkömmlichen Magnetplatten bzw. -disketten weitgehend übereinstimmen, ist das Löschen von Daten bei CD-ROM bzw. WORM-Datenträgern nicht ohne weiteres erfüllbar.

Das Bundesdatenschutzgesetz und die meisten Landesdatenschutzgesetze definieren das Löschen als "das Unkenntlichmachen gespeicherter Daten" (die entsprechende Formulierung im Berliner DSG lautet: "Beseitigen"). Personenbezogene Daten werden dann als unkenntlich angenommen, wenn die Informationen nicht länger aus den ursprünglich gespeicherten Daten gewonnen werden können.

Auernhammer führt aus....... daß die Löschung, da sie eine Beseitigung der Daten bewirkt, im Gegensatz zur Sperrung einen absoluten Nutzungsausschluß zur Folge hat." (Auernhammer, Kommentar zum BDSG, 3. Auflage 1993, § 20, Rdnr. 13).

Simitis, Darnmann u. a., Kommentar zum BDSG, 4. Aufl. 92, äußern sich wie folgt: "Der Begriff Unkenntlichmachen trifft auf jede Handlung zu, die irreversibel bewirkt daß eine Information nicht länger aus gespeicherten Daten gewonnen werden kann" (§ 3, Rdnr. 180). "Um eine Gefährdung der Rechte der Betroffenen zu vermeiden, sind in diesem Fall an die Unmöglichkeit (der Wiedergewinnung) strenge Anforderungen zu stellen. Die schlichte Aufwand-Zweck-Relation des § 9 und die Unverhältnismäßigkeit im Sinne der Anonymisierungsdefinition des Abs. 7 genügen nicht" (§ 3, Rdnr. 187). "Um ein Löschungsgebot zu erfüllen, genügt es nicht, die Datenorganisation so zu verändern, daß ein gezielter Zugriff auf die betreffenden Daten ausgeschlossen wird" (§ 3, Rdnr. 188). Die Löschung soll im Gegensatz zur Sperrung die Information zum Verschwinden bringen, nicht nur ihre Verwertbarkeit einschränken. "Unkenntlich (und damit gelöscht) sind Daten nur dann, wenn die Kenntnisnahme ihres Informationsgehalts... unmöglich ist" (§ 3, Rdnr. 189).

Schaffland/Wiltfang, Kommentar zum BDSG, Stand: Februar 95, definieren wie folgt: "Unter Löschen von Daten ist das Unkenntlichmachen der gespeicherten Daten zu verstehen. Dies kann dadurch erfolgen, daß der Datenträger (z. B. Karteikarten, Lochkarten) vernichtet oder daß die Daten neu (mit anderen Daten) überschrieben werden (z. B. Magnetband). Jedenfalls dürfen die Daten, die zu löschen sind, nicht mehr lesbar sein."

Bergmann/Möhrle/Herb, Kommentar zum BDSG, Stand: März 1994, definieren zu § 3 in Rdnr. 99 wie folgt: "Durch das Löschen werden Daten unkenntlich gemacht, so daß eine weitere Verarbeitung nicht mehr möglich ist." Und in Rdnr. 100: "Löschen verlangt das tatsächliche Unkenntlichrnachen der Daten (physisches Löschen) Sie dürfen nicht mehr lesbar sein...... Und weiter in Rdnr. 105: "Die Auslagerung von Datenbeständen, andere organisatorische oder technische Maßnahmen, die verhindern, daß Daten verarbeitet oder genutzt werden können, reichen nicht aus. Diese Daten stehen weiterhin zur Verfügung und können zumindest von DV-Fachleuten wieder aktiviert werden."

Nach § 20 Abs. 3 Nr. 3 und § 35 Abs. 3 Nr. 3 BDSG kann an die Stelle der "Löschung" eine "Sperrung" treten, wenn "eine Löschung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßigem Aufwand möglich ist". Hierin könnte eine Rechtsgrundlage für den Einsatz neuerer technischer Lösungen, wie z. B. die optische Datenspeicherung, gesehen werden (vgl. Auemhammer, Kommentar zum BDSG, 3. Aufl. 1993, § 20, Rdnr. 27). Nur wenige Landesdatenschutzgesetze lassen derzeit eine ähnliche Lösung zu (z. B. die Länder Brandenburg, Rheinland-Pfalz, Sachsen, Sachsen-Anhalt und Thüringen).

Ein weiteres Datenschutzproblem kann bei der optischen Datenspeicherung dann entstehen, wenn auf die Aufbewahrung von Originaldokumenten in Verfahrensakten verzichtet und an deren Stelle ausschließlich eine digitale Aktenführung treten soll. Dabei kann es Probleme bezüglich der gerichtsverwertbaren Reproduktion von Akten geben. Gesetzliche Regelungen, die klarstellen, ob bei optischer Datenspeicherung auf einen Aktennachweis in Papierform verzichtet werden kann, fehlen weitestgehend. Die Forderung des Papieraktenrückhalts läßt sich nicht allgemein begründen, sondern ist differenziert für jedes einzelne Rechtsgebiet zu untersuchen und an anderer Stelle auszuführen.

Löschung von Informationen bei CD-ROM bzw. WORM

Nach derzeitigem Stand der überwiegenden Zahl der Landesdatenschutzgesetze bestehen bezüglich der Löschung von Datensätzen bei CD-ROM bzw. WORM-Datenträgern erhebliche datenschutzrechtliche Bedenken, da den Forderungen nach Löschung personenbezogener Daten, wenn ihre Speicherung unzulässig ist oder ihre Kenntnis für die speichernde Stelle zur Aufgabenerfüllung nicht mehr erforderlich ist oder eine Löschung im Rahmen der Berichtigung erforderlich ist, nicht ausreichend Rechnung getragen wird.

Bei CD-ROM bzw. WORM-Systemen kann die Löschung von Daten aufgrund der technischen Spezifikationen nur durch Löschen von Verweisdaten erfolgen, die in den separat betriebenen, den Zugriff steuernden EDV-Systemen in einem Datenverwaltungssystem gehalten werden. In der aktuellen Indexdatei bzw. Datenbank sind dann die alten Verweise auf die zu löschende Information nicht mehr enthalten (logische Löschung), obwohl die Nutzdaten auf dem optischen Speichersystem noch physikalisch und im Volltext vorhanden sind. Ohne die Kenntnis dieser Verweisdaten sind die auf der CD-ROM bzw. WORM (gestreut) abgelegten Nutzinformationen nicht gezielt verwertbar.

In einigen Archivierungsystemen werden diese Verweisdaten in der jeweils aktuellen Form für eventuelle Notfall-Restaurierungen ebenfalls auf dem optischen Datenträger abgelegt so daß mit Hilfe älterer Verweisdaten die nur logisch gelöschten Nutzdaten für einen potentiellen Angreifer leicht lesbar sein könnten.

Das Sperren von Einzeldaten oder Datensätzen kann durch das Setzen und Abfragen von entsprechenden Kennzeichen in den separat geführten Verweisdaten vorgenommen werden.

Aufgrund der oben genannten Definitionen und ihrer Auslegungen und unter Berücksichtigung der technischen Gegebenheiten ist bei einer Nutzung von CD-ROM bzw. WORM-Datenträgern eine faktische Löschung nicht möglich, da lediglich durch Software (Verweisdaten), die geändert werden kann, der Zugriff auf die auf der CD-ROM bzw. WORM weiterhin vollständig vorhandenen Daten unterbunden (logische Löschung) ist. Es ist zudem denkbar, daß u. a. der Anbieter der CD-ROM bzw. WORM-Platte und des Laufwerks über das Wissen und die Möglichkeit verfügt, auf derart "logisch" gelöschte Daten zuzugreifen.

Die gesetzlichen Berichtigungs- und Löschungsansprüche von Betroffenen können bei CD-ROM bzw. WORM-Speicherung dadurch gelöst werden, daß unverzüglich ein neuer Datenträger aus dem alten erzeugt wird, wobei nur noch die gültigen Daten übernommen und die Daten auf dem ursprünglichen Datenträger gelöscht werden.

Eine vollständige Löschung der auf CD-ROM bzw. WORM-Platten enthaltenen Informationen ist derzeit nur möglich durch Zerstörung der Speicherfläche (Ätzen, Zerkratzen) oder durch physikalische Vernichtung des gesamten Datenträgers ( Einschmelzen, Verbrennen, Schreddern); analog der Behandlung von Magnetdatenträgern und Mikrofilmen. Die Grundsätze der DIN 32757 "Vernichtung von Informationsträgern" können nicht ohne weiteres übernommen werden, da diese Speichermedien bisher unübliche, hochkapazitäre Datenablagen bieten (ca. 1000 Seiten pro Quadratzentimeter, ca. 300.000 Schreibmaschinenseiten bei einer WORM mit 5 1/4 Zoll = 12 Zentimeter-Durchmesser) und eine damit verbundene Gefahr der Entwendung bzw. Wiedergewinnung höchst umfangreicher und sensibler Datenbestände besteht. Es muß mit der Möglichkeit gerechnet werden, daß eine Rekonstruktion erfolgen kann.

Nach Aussage der Fa. Siemens als Anbieter optischer Speichersysteme ist es bei WORM-Datenträgern mit besonderem Aufwand möglich, den durch Firmware gesicherten Schreibschutz belegter Bereiche (sogenannter "Blank-Check") zu umgehen und beschriebene Bereiche nachträglich zu überschreiben (wird aber nicht softwaremäßig unterstützt). Eine Veränderung der vorhandenen Daten ist dabei allerdings nicht möglich. Systembedingt gilt der überschriebene Bereich als zerstört und die Neuinformation wird in einen Ersatzspurbereich übernommen, der nur über eine beschränkte Kapazität (ca. 1 MB) verfügt. Nach relativ geringen Änderungen würde dieser Bereich überlaufen und eine weitere Ablage auf dem Datenträger verhindern. Diese Umgehungsmöglichkeit auch im positiven Sinne zu nutzen, um Daten zu löschen, ist aus diesen Gründen nicht sinnvoll. Eine diesbezügliche Forderung zur Realisierung in der Software würde die Änderung internationaler Normen erfordern.

Zuletzt geändert:
am 16.02.97

mail to webmaster