|
Datenschutzfreundliche Technologien
|
Inhaltsübersicht: |
Datenschutzfreundliche Technologien |
1 EINLEITUNG |
Die globale Informations- und Kommunikationslandschaft des 21.Jahrhunderts gewinnt an Struktur. Die Neuordnung und Liberalisierung der Telekommunikation (TK) in Deutschland wird Ende 1997 abgeschlossen sein. Die Akteure des boomenden Telekommunikationsmarktes sind bereits heute dabei, sich ihren Marktanteil in einem harten Wettbewerb zu erkämpfen. "Mitspieler" oder besser "Betroffene" sind alle, die telefonieren, fernsehen, fernkopieren, Briefe, Texte und Dokumente über Datenleitungen schicken oder Telebanking oder Teleshopping betreiben. Moderne Telekommunikationstechnik bringt es mit sich, daß deren Benutzerinnen und Benutzer immer mehr elektronische Spuren hinterlassen ohne zu wissen, welche Daten an welchem Ort, für welche Dauer und für welchen Zweck gespeichert werden. Mit den Datenspuren wächst die Gefahr des Mißbrauchs und der Zusammenführung von Telekommunikationsdaten zu komplexen Persönlichkeitsprofilen.
"Ein konsequenter Datenschutz zählt zu den zentralen Akzeptanzvoraussetzungen der Informationsgesellschaft"ist Erkenntnis und Handlungsversprechen der Bundesregierung in ihrer Initiative "Info 2000 - Deutschlands Weg in die Informationsgesellschaft". Für die Einlösung dieses Versprechens reichen bisherige Sicherheitsansätze nicht aus. Bisher wurden Integrität, Verfügbarkeit und Vertraulichkeit der Daten zum Schutz der Hersteller und Betreiber von Informations- und Kommunikationstechnik präferiert. Zukünftig ist der Schutz der persönlichen Daten der einzelnen und damit der Schutz der informationellen Selbstbestimmung in den Vordergrund zu stellen. Dies muß bereits beim Design und bei der Entwicklung technischer Systeme geschehen. Hierbei ist Datenvermeidung und, wenn dies nicht möglich ist, weitgehende Datensparsamkeit anzustreben. Begriffe wie Anonymisierung und Pseudonymisierung werden zunehmend eine große Rolle bei der Kommunikationssicherheit spielen.
Es ist zu begrüßen, daß sowohl der Mediendienste-Staatsvertrag der Länder als auch das Teledienstedatenschutzgesetz des Bundes den Grundsatz der Datenvermeidung normieren. Damit sind zukünftig Ausgestaltung und Auswahl technischer Einrichtungen an dem Ziel auszurichten, keine oder sowenig wie möglich personenbezogene Daten zu erheben, zu verarbeiten und zu nutzen. Weitere wichtige Grundsätze sind, daß die Anonymität der Nutzerinnen und Nutzer soweit wie möglich gewahrt werden muß und daß, soweit die Erhebung und Nutzung von personenbezogenen Daten im Rahmen eines Vertragsverhältnisses erfolgt, dies nur unter strenger Zweckbindung im Rahmen des Vertragszwecks geschehen darf. Zum Schutz der personenbezogenen Daten ist im übrigen sicherzustellen, daß durch geeignete technische Maßnahmen der nicht autorisierte Zugriff auf diese Daten ausgeschlossen wird. Diese wichtigen Datenschutzgrundsätze sind auch in das allgemeine Telekommunikationsrecht zu übernehmen.
Das vorliegende Arbeitspapier versucht Kriterien für datenschutzfreundliche Technik zu definieren, es beschreibt die bei verschiedenen Telekommunikationsdiensten anfallenden personenbezogenen Daten und gibt Hilfestellung bei der Bewertung von neuen Telekommunikationslösungen. Es zeigt auf, daß datenschutzfreundliche Technologien auf dem Gebiet der Telekommunikation heute bereits zur Verfügung stehen. Die Darstellung der Lösungsmöglichkeiten beschränkt sich bewußt auf Beispiele der Datenvermeidung und Datenreduzierung. So wird z.B. das wichtigste Sicherungsverfahren zur Gewährleistung von Vertraulichkeit - die Verschlüsselung - nur erwähnt, nicht jedoch ausführlich dargestellt. Anbieter höherer Dienste (ab Schicht 5 des OSI-Modells) werden ebenfalls nicht besonders behandelt.
Das Arbeitspapier wurde von den Arbeitskreisen "Technische und organisatorische Datenschutzfragen" und "Medien" der Ständigen Konferenz der Datenschutzbeauftragten des Bundes und der Länder erstellt. Es ist als Orientierungshilfe für Datenschutzbeauftragte und Entscheidungsträger bei Systementscheidungen gedacht. Es wendet sich auch an Hersteller von Telekommunikationsanlagen, an Netzbetreiber sowie an Telekommunikationsdiensteanbieter und fordert sie auf, möglichst anonyme oder zumindest datensparsame Lösungen zu entwickeln und bereitzustellen. Weiter kann es als Information für eine datenschutzbewußte Öffentlichkeit dienen.
Das Arbeitspapier basiert auf dem veröffentlichten technischen Stand vom Frühjahr 1997. Es erhebt keinen Anspruch auf Vollständigkeit. So konnten einige Berichtsteile nicht mit der wünschenswerten Tiefe dargestellt werden, da einige angesprochene Hersteller bzw. Diensteanbieter erbetene Informationen nicht bzw. nicht ausreichend geliefert haben. Es ist beabsichtigt, das Arbeitspapier bei neuen Erkenntnissen, Entwicklungen und Erfahrungen fortzuschreiben. Änderungs- und Erweiterungsvorschläge werden gerne entgegengenommen.
2 MODELLE UND KRITERIEN |
2.1 TK-Datenmodell |
Diesem Arbeitspapier liegt die nun folgende Gliederung der Telekommunikationsdaten zugrunde. Die Beispiele zu den Datenarten dienen dabei zur Erläuterung. In vorhandenen und geplanten Telekommunikationssystemen müssen nicht alle Datenarten und nicht alle Beispieldaten anfallen.
Inhaltsdaten
Inhaltsdaten sind Daten, deren Übermittlung
der Zweck der TK-Verbindung ist. Inhaltsdaten werden immer in einer bestimmten
Codierung übermittelt. Der Codiervorgang selbst (z.B. Filterung mit
Bandpass, Modulation, Digitalisierung) ist teilweise ein Netzdienst. Inhaltsdaten können sich deshalb nur auf die Art der Kommunikation beziehen (Sprache, Daten, Kurzinformationen [Pager]). Zu unterscheiden ist, ob es sich um
eine analoge oder um eine digitale Übertragung handelt, ob eine dienstebezogene Verbindung (FAX, Mail, Internet, etc.) vorliegt oder eine transparente
Übertragung zu einem vorbestimmten Partnern genutzt wird (Datex-P,
ISDN, Satellitenfestverbindung etc.). Für die Nutzung ist es wichtig,
ob die übertragenen Daten zwischengespeichert, überprüft
oder anderweitig bearbeitet werden.
Kontextdaten
Unter Kontextdaten werden die Daten verstanden, mit denen zu Zwecken der Telekommunikation umgegangen wird, die aber von den Inhaltsdaten verschieden sind. Es wird zwischen statischen und dynamischen Kontextdaten unterschieden. Statische Kontextdaten sind die klassischen Bestandsdaten, also diejenigen Daten, die kaum veränderlich sind und sich auf das Vertragsverhältnis zwischen Kunden und TK-Dienstleister beziehen. Unter dem Begriff dynamische Kontextdaten werden die Kontextdaten zusammengefaßt, die nicht nur ausnahmsweise zeitlichen Veränderungen unterworfen sind.
Bestandsdaten
Die obige Definition von Bestandsdaten entspricht inhaltlich der in §4 TDSV. Diese Datenart läßt in digitalen Netzen teilweise Rückschlüsse auf die verwendeten Endgeräte
(z.B. durch die Festlegung der benutzbaren Dienstarten) bzw. die Benutzungsstruktur
(z.B. gewähltes Tarifmodell) zu. Als Bestandsdaten sind die Informationen
aus den Antragsformularen und Erfassungsbögen zu Grunde zu legen:
Verkehrsdaten
Verkehrsdaten sind Daten, mit denen der TK-Dienstleister umgeht, um Netzbetreuung durchführen zu können. Bereits an dieser Stelle sei angemerkt, daß Verkehrsdaten nicht personenbezogen
zu sein brauchen. Der TK-Dienstleister benötigt nur Auslastungsdaten
verschiedener Netzressourcen. Da auch Ressourcen zur Verarbeitung von Verbindungsvorbereitungsdaten
notwendig sind, kann auch diese Datenart zu Verkehrsdaten verdichtet werden.
Verkehrsdaten können nicht mehr Informationen enthalten als Verbindungsdaten
und Verbindungsvorbereitungsdaten. Zu den Verkehrsdaten können gehören:
Entgeltdaten
Entgeltdaten sind Daten, die die Ressourcenbenutzung durch einzelne Teilnehmer nach bestimmten Regeln widerspiegeln. Sie werden aus Verbindungsdaten oder Bestandsdaten abgeleitet. Es ist denkbar,
daß auch Verbindungsvorbereitungsdaten zu Entgeltdaten verarbeitet
werden. Entgeltdaten unterliegen einer größeren Veränderung
als Verkehrsdaten. Sie können nicht mehr Informationen enthalten als
Verbindungsdaten, Verbindungsvorbereitungsdaten und Bestandsdaten. Aus
diesen Informationen können die Entgeltdaten zusammengestellt werden.
Verbindungsdaten
Zu Verbindungsdaten zählen ausschließlich Daten, die zum Aufbau, zum Aufrechterhalten und zum Abbau von tatsächlich
aufgebauten Verbindungen benutzt werden. Dazu gehören insbesondere
Signalisierungsdaten, die den genannten Zwecken dienen, sowie Daten über
die gewählten Routen. Sofern der Aufenthaltsort in einem Netz zum
Routing herangezogen wird, sind die entsprechenden Lokalisationsdaten,
die anläßlich einer Verbindung verarbeitet werden, gleichfalls
Verbindungsdaten.
Verbindungsdaten können sein:
Verbindungsvorbereitungsdaten
Mit Verbindungsvorbereitungsdaten werden die Daten bezeichnet, die verarbeitet werden, um die Erreichbarkeit eines TK-Teilnehmers zu gewährleisten, ohne daß tatsächlich TK-Verbindungen
aufgebaut werden. Solche Daten sind potentiell besonders dynamisch, da
sie auch in den Zeiten Änderungen unterliegen können, in denen
der TK-Teilnehmer keine Verbindungen herstellt bzw. zuläßt.
Zu Verbindungsvorbereitungsdaten können z.B. Lokalisationsdaten und
Daten über die momentane Erreichbarkeit, wie Anrufumleitungen, Anrufbeantworter-/Faxbox-/Mailboxzustände,
Erreichbarkeit nur für bestimmte Personen etc. gehören. Die Inhalte
der Verbindungsvorbereitungsdaten setzen sich aus folgenden Informationen
zusammen:
2.2 | Datensparsamkeitsmodell Elemente anonymer Nutzung |
---|
Kriterien für die Sicherheit in der Informationstechnik umfassen traditionell keine Mechanismen, die der Datenvermeidung und Reduktion personenbezogener Daten im Verarbeitungsprozeß dienen. Nach klassischem Verständnis sind die Festlegungen über Art und Umfang der zu verarbeitenden personenbezogenen Daten vorgegeben und durch die Systemverantwortlichen nicht veränderbar. Inzwischen wurden jedoch Konzepte ausgearbeitet, die verallgemeinerbare Anforderungen zum Datenschutz aus technischer Sicht widerspiegeln. Die meisten Kriterienkataloge für den technischen Datenschutz resultieren aus einer Systemsicht, die die Betroffenen mit umfaßt ("Gesamtsystem"). Hierzu ist es sinnvoll, eine geeignete Schnittstelle zu definieren, an der eine Kommunikation zwischen dem Betroffenen und dem eigentlichen System ("Kernsystem") stattfindet. Zu betrachten wären dann die Kommunikation zwischen Betroffenem und System sowie die Datenverarbeitung innerhalb des Systems. Diese Betrachtungsweise macht deutlich, daß der Betroffene sich dem System in verschiedener - möglicherweise nicht personenbezogener - Weise präsentieren kann. Hinsichtlich des Personenbezuges der "von außen" in das Kernsystem eingegebenen Daten sowie der im Kernsystem vorgenommenen Modifikationen an diesen Daten kann daher ein Modell aufgestellt werden, das Kriterien beinhaltet, die den Grad der anonymen Nutzungsmöglichkeit beschreiben und nach absteigendem Datensparsamkeitsgrad angeordnet werden.
Datenvermeidung
Es gelangen keine personenbezogenen Daten in das Kernsystem. Auch der Betroffene kann seine eigenen Spuren im System nicht wiedererkennen.
Benutzerkontrollierte Pseudonymisierung
Der Betroffene benutzt selbstgenerierte, nur durch ihn reidentifizierbare Transaktionspseudonyme. Die drei Merkmale Selbstgenerierung, Reidentifizierung nur durch den Betroffenen, transaktionsorientierte Pseudonymgenerierung
(d.h. für jede Transaktion ein neues Pseudonym) sind konstitutiv.
Daraus folgt, daß diese Pseudonymisierung vor Eintritt in das Kernsystem
erfolgen muß. Wird auch nur auf eines von den o.g. Merkmalen verzichtet,
so ist der Grad der Datensparsamkeit einer solchen Pseudonymisierung, auch
wenn sie vorab erfolgt, lediglich so einzustufen wie der einer "sonstigen
Pseudonymisierung"(s.u.).
Anonymisierung
Darunter wird eine rücknahmefeste Prozedur verstanden, die personenbezogene Daten nach ihrem Anfallen im Kernsystem in der Weise verändert, daß sie keinen Personenbezug mehr aufweisen.
Sofern von diesen (harten) Kriterien abgewichen wird, ist kein stärkerer
Schutz als durch "sonstige Pseudonymisierung" zu erwarten. Eine Aufweichung
ist durch alle unter diesem Punkt genannten Fehler möglich. Die hier
gegebene Definition der Anonymisierung entspricht dem herkömmlichen
Verständnis dieses Begriffs.
Sonstige Pseudonymisierung
Wenn die Pseudonymisierung erst im System erfolgt,
dann kann eine Reidentifikation in Abhängigkeit von folgenden Faktoren
erfolgreich sein:
Vertraulichkeitssicherung
Sofern aus bestimmten Gründen keine, den obigen Datensparsamkeits-Kriterien entsprechende Methode angewendet werden kann, bleibt nur noch die (klassische) Vertraulichkeitssicherung
der verbliebenen personenbezogenen Daten. Diese letzte Sicherungsstufe
ist insbesondere bei Referenz- und Einwegpseudonymen notwendig; hier werden
Referenzlisten und Schlüssel von parametrisierten Einwegfunktionen
zu schützen sein.
Diese Abstufung in 5 Kategorien kann aber nicht als strenge Ordnung betrachtet werden. Sie hängt sehr stark von der Umsetzung der einzelnen Prinzipien, also der Qualität ihrer Implementierung ab. So ist z.B. eine "starke" Implementation einer nachträglichen Pseudonymisierung meist datenschutzfreundlicher als eine "schwache" Implementierung einer Anonymisierung; z.B. kann die frühzeitige, innerhalb des Kernsystems erfolgende, Vergabe kurzlebiger Pseudonyme, für die Rechte Betroffener weniger einschränkend sein, als eine Anonymisierung, die erst nach einem Jahr erfolgt. Unter gleichen Bedingungen ist jedoch die Anonymisierung der sonstigen Pseudonymisierung vorzuziehen.
2.3 | Bewertungsschema für annonyme Nutzung von TK-Systemen |
---|
Teilnehmer - Endgerät - TK-Netzkönnen die beiden ersten Elemente dem Bereich des Betroffenen und das letzte Element dem Bereich des Kernsystems zugeordnet werden. Die Schnittstelle besteht somit zwischen dem Endgerät und dem eigentlichen TK-Netz. Im Festnetz ist die Anschlußdose die definierte Schnittstelle. Im Mobil- und Satellitenfunk bildet die (erste) Luftübertragungsstrecke die Schnittstelle.
Die oben eingeführte Einteilung ist auch in der übrigen Datenkommunikation anwendbar. So ist z.B. bei dem Paketvermittlungsdienst X.25 der Übergang zwischen der Datenendeinrichtung (DTE) und der Datenverbindungseinrichtung (DCE) die Schnittstelle. Auch für TK-Systeme, die auf höheren ISO/OSI-Schichten aufbauen, kann diese Trennung durchgeführt werden. Ein Internet-Provider etwa, der einen Internet-Zugang über Wählverbindungen gestattet, läßt beim Zugriff auf den POP-Mail-Server automatisch prüfen, ob eine Zugriffsberechtigung besteht - unabhängig von der Verbindungsart (z.B. PPP direkt zum Provider oder über eine TCP-Verbindung von einem anderen Rechner aus). Hier ist also der Mail-Server die Schnittstelle.
Mit Hilfe der folgenden Matrix können Systeme in der Weise bewertet werden, daß für jede Datenart der erreichte Grad an anonymer Nutzung ermittelt wird (siehe Beispiel in Anlage 7). Je weiter links in der Tabelle die Bewertung erfolgt, desto datenschutzfreundlicher ist dieses Profil. Sind die Bewertungen für alle Datenarten in der ersten Spalte zu finden, so liegt der Idealfall einer anonymen Nutzungsform vor.
Daten- vermeidung |
Benutzer- kontrollierte Pseudony- misierung |
Anony- misierung |
Sonstige Pseudony- misierung |
Vertraulich- keitssicherung |
|
Bestandsdaten | |||||
Verkehrsdaten | |||||
Entgeltdaten | |||||
Verbindungsdaten | |||||
Verbindungs- vorbereitungsdaten |
Die Spaltenüberschriften ergeben sich direkt aus dem Datensparsamkeitsmodell. Die Zeilenbeschriftungen folgen dem TK-Datenmodell. Die Inhaltsdaten wurden nicht übernommen, da der übermittelte Inhalt von der Gestaltung des TK-Systems bis auf Codierung und Verschlüsselung nicht direkt beeinflußt wird. Insofern könnte für die Inhaltsdaten nur die Vertraulichkeitssicherung bewertet werden.
Als Ergebnis erhält man ein "Datensparsamkeitsprofil". Wenn die Matrix als Planungshilfsmittel verwendet wird, können sich für ein System, je nach Implementation, verschiedene Profile ergeben.
Ferner ist es u.U. möglich, in einer Datenart Verbesserungen auf
Kosten einer anderen zu realisieren.
Die oben beschriebene Methodik läßt sich gleichermaßen auf leitungsvermittelnde und paketvermittelnde Dienste anwenden.
3 TELEKOMMUNIKATIONSDATEN IN NETZEN UND MEDIEN |
3.1 | Zusammenhang von Kontextdaten und Nutzung |
---|
Kontextdaten entsprechend den Definitionen aus Kapitel 2.1 werden sowohl für den ordnungsgemäßen Ablauf einer Kommunikation, wie auch bei der Erstellung und Überwachung der Netze und Abrechnungen genutzt. Art und Umfang der Datensammlung, sowie deren Verteilung und Auswertung werden von den jeweiligen Netzbetreibern bestimmt.
Zusammenhang teilnehmerbezogener Daten (Grafik: 36 KB) |
Voraussetzung für die Nutzung eines TK-Netzes ist die Freischaltung der entsprechenden Ressourcen durch die Netzbetreiber. Hierzu ist im allgemeinen der Abschluß eines Vertragsverhältnisses und in der Folge daraus die Speicherung von Bestandsdaten erforderlich. Bevor es zu einer Kommunikationsverbindung zwischen den Teilnehmerinnen und Teilnehmern in einem TK-Netz kommt, laufen Funktionen ab, um die Möglichkeit der Kommunikation vorzuprüfen. Hierbei werden Verbindungsvorbereitungsdaten benötigt, die sich auf Berechtigungen, Identifizierungen und Erreichbarkeit aber auch auf technische Vorprüfungen der Verbindung beziehen können. Diese Daten können in den aktiven Kommunikationskomponenten der Netztechnik vorgehalten werden oder auch bei Bedarf über den Netzverbund zusammengestellt werden.
Wird eine Verbindung hergestellt, fallen für den Aufbau, die Aufrechterhaltung und den Abbau Verbindungsdaten an, die unabhängig von den Inhaltsdaten und den Bestandsdaten von allen und zwischen allen Beteiligten ausgetauscht werden müssen, damit eine ordnungsgemäße Kommunikation zustande kommen kann. Hierbei kann auf die Verbindungsvorbereitungsdaten zurückgegriffen werden, sodaß diese eine Teilmenge der Verbindungsdaten werden.
Zur Erstellung der Rechnungen werden Entgeltdaten ermittelt, die sich aus den Verbindungsvorbereitungs- und Verbindungsdaten ergeben. Sie werden mit den aus den Bestandsdaten erforderlichen Daten in Verbindung gebracht und in einen, den Anforderungen der Kundinnen und Kunden oder den Erfordernissen des Anbieters benötigten, Zusammenhang gestellt.
Zur Netzbetreuung werden von den TK-Dienstleistern Verkehrsdaten gesammelt. Aus ihnen ist die Auslastung der Netzressourcen ersichtlich. Die Daten werden aus den Übertragungsverfahren und Protokollen, durch einen eigenen Informationsaustausch zwischen den technischen Einrichtungen gebildet, die zum Betrieb der TK-Dienstleistung notwendig sind. Abhängig von den eingesetzten Mitteln sind diese Daten an verschiedenen Stellen oder aber an einer zentralen Stelle verfügbar.
3.2 | Integrated Services Digital Nezwork (ISDN) |
---|
Das ISDN (Integrated Services Digital Network) ist ein Netz zur transparenten Übertragung beliebiger Daten. Die Inhaltsdaten werden über sogenannte Basiskanäle (B-Kanäle) mit einer Übertragungsrate von je 64 kbit/s übertragen.
Die Verbindungen werden über miteinander kommunizierende Vermittlungseinrichtungen hergestellt, die sogenannten vermittelnden Netzknoten (VNK). An den VNK gibt es sowohl digitale Anschlüsse (ISDN-Anschlüsse) als auch analoge Anschlüsse (ANIS).
Der Verbindungsaufbau und die Steuerung der Verbindung erfolgen über einen Zeichengabe- bzw. Signalisierungskanal (D-Kanal), der beim ISDN-Basisanschluß im Zeitmultiplex-Verfahren über dieselbe Kupferzweidrahtleitung geführt wird, wie die B-Kanäle. Die Zeichengabekanäle bilden ein eigenes logisches Netz, wobei ein Zeichengabekanal für viele B-Kanäle die Steuerungsnachrichten übertragen kann. Durch die von den Inhaltsdaten getrennte Signalisierung wird es z.B. möglich, daß auch während einer bestehenden Verbindung einem Teilnehmer der Verbindungswunsch eines Dritten signalisiert wird, wobei dessen Anschlußnummer und ggf. weitere Informationen auf einem Display angezeigt werden. Die Konventionen für die Übertragung von Steuerungsinformationen im ISDN sind im sog. D-Kanal-Protokoll festgelegt, welches die drei unteren Schichten des OSI-Referenzmodells abdeckt. Neben der deutschen Variante (1TR6) unterstützt das von der Telekom betriebene ISDN auch den europäischen D-Kanal-Standard EDSS1 (European Digital Subscriber Signalling System Number One).
Beim Verbindungsaufbau von einem digitalen Endgerät des A-Teilnehmers (Anrufer) überträgt dieses über den D-Kanal eine Setup-Protokoll-Daten-Unit (PDU) an den VNK, an die der A-Teilnehmer angeschlossen ist (A-VNK). Der A-VNK schaltet - zusammen mit den übrigen beteiligten VNK - einen D-Kanal zum angewählten B-Endgerät. Sofern das B-Endgerät frei ist, wird ihm der Verbindungswunsch (die Setup-PDU) signalisiert und ein B-Kanal geschaltet, auf dem die Teilnehmer transparent Daten übertragen können.
In sämtlichen beteiligten VNK werden für die Dauer der Verbindung und bei Verbindungsversuchen die kompletten Quell- und Zielrufnummern und weitere - dienstebezogene - Verbindungssteuerungsdaten gespeichert. Soweit die Verbindungssteuerungsdaten an das Endgerät des B-Teilnehmers übertragen werden, können sie von diesem weiterverarbeitet werden - auch dann, wenn eine Verbindung nicht zustandegekommen ist, weil z.B. die verfügbaren B-Kanäle besetzt waren. Die A-Rufnummer wird von dem B-VNK nicht an den B-Teilnehmer übertragen, wenn der A-Teilnehmer für seinen Anschluß die Rufnummernanzeige ausgeschlossen hat.
In den VNK entstehen bei Nutzung bestimmter ISDN-Dienstmerkmale zusätzliche Verbindungsvorbereitungs- und Verbindungsdaten. So wird bei der Rufumleitung die Rufnummer des Umleitungsziels gespeichert. Bei Fangschaltungen werden im B-VNK die Verbindungsdaten des A-Teilnehmers gespeichert, der die Verbindung aufgebaut hat.
Für jede erfolgreiche Verbindung wird in dem für den A-Teilnehmer zuständigen VNK mindestens ein Kommunikationsdatensatz erzeugt. Wenn während einer bestehenden Verbindung ein Dienstewechsel erfolgt, wird ein weiterer Datensatz angelegt. Wenn keine Verbindung zustande kommt, wird kein Kommunikationsdatensatz angelegt; die Verbindungsvorbereitungsdaten werden gelöscht.
Der Kommunikationsdatensatz enthält folgende Informationen:
Die Kommunikationsdatensätze werden in den VNK in relationalen Datenbanken gespeichert. Die benutzte Software zur Kommunikationsdatenerfassung enthält standardmäßig Module zur bloßen Summenzählung, Rufnummernkürzung und Zuordnung zu Tarif- und Zeitzonen. Es besteht also keine technische Notwendigkeit, für Abrechnungszwecke oder für Verkehrsmessungen die vollständigen Kommunikationsdaten in den VNK zu speichern. Spätestens beim Formatieren der Daten könnten die Einzelinformationen entsprechend aggregiert oder gekürzt werden.
Die Kommunikationsdatensätze (KDS) werden mindestens einmal täglich mittels File-Transfer an ein spezielles Rechenzentrum (RZ) der Telekom übersandt; in den A-VNK sind sie somit maximal 24 Stunden gespeichert.
Aus den verarbeitungsfähigen KDS werden im RZ täglich die Verbindungsentgelte errechnet und - geordnet nach Fernmeldekontonummer (FKTO) und genutzten Diensten - in einem kumulierten Gebührenspeicher (GSP) abgelegt. Einmal monatlich wird der Inhalt des GSP per File-Tansfer oder per Magnetband an die für die Erstellung und den Versand der Telefonrechnung zuständigen Rechenzentren versandt. Unmittelbar nach Berechnung der Entgelte werden die KDS - je nach Kundenwunsch (TDSV § 6 Abs.4) - entweder gelöscht oder um die letzten drei Stellen der angerufenen Nummer gekürzt oder vollständig für weitere mindestens 80 Tage gespeichert. Die Speicherdauer von 80 Tagen liegt dann vor, wenn die KDS am Vortag vor Verschickung des GSP erzeugt, von den A-VNK übermittelt und abgerechnet wurden. KDS, die zu Beginn der laufenden Abrechnungsperiode erzeugt wurden, werden max. 80 plus x Tage gespeichert, wobei x max. 30 Tage (ein Abrechnungszyklus) betragen kann. Dies entspricht den Regelungen der TDSV, §6 Abs.3 (siehe Grafik):
Verarbeitung von Kommunikationsdatensätzen (Grafik: 35 KB) |
Nicht verarbeitungsfähige KDS z.B. bei Unplausibilitäten der Bestandsdaten, werden in der "Reste-Datei" gespeichert und einem neuen Verarbeitungszyklus zugeführt. Dies wird in der Hoffnung nach Ergänzung oder Korrektur der Bestandsdaten 120 Tage lang erneut versucht, um damit das Entgelt einem gültigen FKTO zuordnen zu können. Datensätze, die auch nach dieser Zeit noch nicht verarbeitungsfähig sind, werden in eine andere Datei (Reste-Reste-Datei) umgespeichert. In der Vergangenheit hat die Telekom die Reste-Reste-Datei nach einer angemessenen Frist, ohne die Datensätze in Rechnung zu stellen, gelöscht.
3.3 | X.25-Dienste |
---|
In paketvermittelten Netzen nach dem CCITT-X.25-Standard (hierzu gehört als wichtigster deutscher Dienst das von der Deutschen Telekom AG betriebene Datex-P) werden zwischen den Teilnehmern keine Leitungsverbindungen geschaltet; die Verbindungen sind vielmehr virtuell, d.h. die Datenpakete können auf unterschiedlichen Wegen vom Sender zum Empfänger geleitet werden.
Der Datex-P Dienst wird von der Deutschen Telekom zum Teil im Rahmen der ISDN-Infrastruktur abgewickelt (so sind z.B. in dem Vermittlungssystem S12 ISDN- und X.25-Funktionalitäten gekoppelt; der Zugang zu Datex-P ist über B- und D-Kanäle des ISDN möglich).
Die Administration von X.25-Netzen kann auf unterschiedliche Weise erfolgen. Der Datex-P Dienst der Deutschen Telekom wird zentral von einem Datennetzkontrollzentrum (DNKZ) administriert. Hier werden neben den Gebührendaten laufend System- und Statistikdaten des Netzes gesammelt und ausgewertet. Zu den Aufgaben des DNKZ gehört u.a. die Pflege von Teilnehmerkennungen und Anschlußdaten. Die Daten werden zunächst unsortiert in Datenbanken gesammelt, ohne das ein unmittelbarer Bezug zum Teilnehmer vorliegt. Ohne zusätzliche technische Maßnahmen lassen sich auch keine Kommunikationsprofile der Teilnehmer erstellen.
Die Abrechnung kann in den X.25-Diensten auf unterschiedliche Art erfolgen. Hier wird beispielhaft das bei Datex-P benutzte Verfahren beschrieben. In der X.25-Vermittlungseinrichtung wird bei jeder Verbindung ein Gebührendatensatz erzeugt und am Ende der Verbindung an das DNKZ gesendet. Die Gebührendatensätze werden zunächst chronologisch abgelegt und anschließend von einem zentralen Datensammelrechner rufnummern- bzw. kennungsbezogen (bei DATEX-P20) sortiert und in Gebührenrechenzentren der Telekom mit den Bestandsdaten der Teilnehmer (Name, Anschrift) verknüpft.
3.4 | Breitbandkommunikation |
---|
Nach allgemeinem technischen Sprachgebrauch werden unter Breitbandkommunikation diejenigen Kommunikationsverbindungen eingeordnet, die mindestens die gleiche Übertragungsgeschwindigkeit benötigen, die auch für die Übertragung eines Videobildes in Echtzeit notwendig ist (2 Mbit/s). Dabei geht man davon aus, daß künftig alle breitbandigen Übertragungsdienstleistungen im Breitband-ISDN auf der ATM-Technologie beruhen werden. Im ATM sind alle Anwendungen der vermittelten Breitbandkommunikation enthalten.
Für die weitere Betrachtung werden noch die verteilte Breitbandkommunikation (Kabelfernsehen), deren Weiterentwicklung und einige bemerkenswerte Sondernutzungen dieses Mediums erwähnt.
Bei der Nutzung digitaler Fernsehsendungen (Pay-per-View) entstehen, je nach eingesetztem Verfahren, dynamische Entgeltdaten, die zur Erstellung von Mediennutzungsprofilen geeignet sind (vgl. Entschließung "Datenschutz bei der Vermittlung und Abrechnung digitaler Fernsehsendungen" der 52.Konferenz der Datenschutzbeauftragten des Bundes und der Länder und die vorbereitete Anlage des AK Medien).
Bei den vorhandenen Kupferkoaxial-Kabeln hat die technologisch bedingte Bandbreitenbegrenzung und die Gefahr der Störung anderer Telekommunikationssysteme zunächst die Entwicklung von Sondernutzungen gebremst. Dennoch wurden in der Vergangenheit verschiedene Projekte durchgeführt, bei denen unterschiedliche Abschnitte des vorhandenen Netzes für Anwendungen des Fernwirkens und -messens, der Videoübertragung, der Telefonie oder andere Telekommunikationsdienstleistungen Verwendung fanden (Rückkanaltechniken).
Mit der Nutzung dieser Dienste fallen dann ggf. weitere Daten an, die je nach Anwendung das ganze Spektrum des Datenmodells umfassen können und danach einer eigenen Einordnung bedürfen.
Die weitere Entwicklung der Breitbandkommunikation ist derzeit schwer abzuschätzen, da der Ausbau sowie die Entwicklung neuer Technologien stark vom Bedarf und der Nachfrage abhängt. Eine mögliche Variante kann sich in Form des flächendeckenden Einsatzes von Breitbandkommunikation auf Basis von Glasfasertechnologien ergeben. Damit kann die aufwendige Umrüstung vorhandener koaxialer Netze entfallen und es stehen dem Netzbetreiber alle digitalen Techniken für ein umfassendes Diensteangebot zur Verfügung. Dabei entstehen jedoch keine neuen Strukturen der Telekommunikation und die Einordnung in das bestehende Datenmodell kann auf Basis bisheriger Überlegungen erfolgen.
3.5 | ATM |
---|
ATM steht für Asynchroner Transfer Modus und bildet die Technik, die dem Breitband-ISDN (B-ISDN) zugrunde liegt. Nutzungsmöglichkeiten sind beispielsweise Hochgeschwindigkeitsdatenübertragung, Bildtelefon, Videokonferenzen, Kabel-TV-Übertragung (CATV), Live- und Echtzeitanwendungen oder auch kombinierte Dienste. ATM bietet zur Zeit die relativ hohe Übertragungsgeschwindigkeit von 155 MBit/s, ein Ausbau auf 622 MBit/s bzw. 2,5 GBit/s ist geplant. Das ATM-Verfahren paßt sich flexibel der zu übertragenden Bandbreite an. Über eine Verbindung können Daten von verschiedenen Diensten zur selben Zeit zu unterschiedlichen Zielen geführt werden, z.B. für Multimedia-Anwendungen.
Seit 1994 werden Netzübergänge zu anderen Hochgeschwindigkeits-Netzen für verbindungslose und verbindungsorientierte Dienste aufgebaut; Netzübergänge zum Euro-ISDN und DATEX-P sind in Planung. ATM wird zumeist über Festnetze realisiert, es gibt jedoch ebenfalls ATM-Richtfunksysteme.
In bezug auf "Authentication", "Confidentiality", "Data Integrity" und "Access Control" erarbeitet das Technical Committee des ATM-Forums zur Zeit eine "Security Specification", die im Entwurf vorliegt ("Phase I ATM Security Specification (Draft)", ATM Forum BTD-Security: 01./02.April 1997). Ein Ziel ist beispielsweise die Verschlüsselung bei der Übertragung auf der Ebene des Zellstroms (alternative Header- und Nutzdatenverschlüsselung oder nur Nutzdatenverschlüsselung) oder auf der Ebene des virtuellen Kanals (Ende-zu-Ende-Verschlüsselung der Nutzdaten). Wegen der hohen Geschwindigkeit ist auch eine schnelle Verschlüsselung mit der Möglichkeit eines schnellen Schlüsselwechsels erforderlich.
Bei den Vermittlungsstellen können Telekommunikationsdaten z.B. mitgelesen, kopiert oder umgeleitet werden. Für den Benutzer ist bislang der gewählte Weg für die Zellen durch das ATM-Netz nicht beeinflußbar oder transparent. So ist es dem Benutzer nicht möglich, einen Weg über Vermittlungsstellen seines Vertrauens zu erzwingen oder bestimmte Vermittlungsstellen explizit auszuschließen.
3.6 | Zellulare Mobilfunknetze |
---|
Mobilfunknetze sind Telekommunikations-Netze, die eine drahtlose Kommunikation zwischen beweglichen Stationen (Teilnehmern) und Übergänge zu festen Stationen (Netzen) unterstützen. Sie werden heute für unterschiedliche Zwecke (z.B. Sprache, Daten, Kurznachrichten, Funkruf) benutzt. Allen Netzen gemeinsam ist die Signalübertragung mittels elektromagnetischer Wellen.
Wesentlicher Bestandteil der Mobilfunknetze ist eine Netztechnik, die eine automatische Vermittlung, eine Gebührenaufzeichnung und einen Anschluß an das öffentliche Fernsprech-Festnetz ermöglicht.
Modulare großflächige Netze sind zellular strukturiert. Das Prinzip besteht darin, daß das zu versorgende Gebiet in eine Vielzahl kleiner Zellen eingeteilt wird. In jeder Zelle wird eine Funkfeststation als Basisstation installiert. Mehrere Basisstationen werden über eine Funkvermittlungsstelle (MSC = Mobile-Switching-Center) mit dem öffentlichen TK-Netz verbunden. Die Steuerung im Netz muß dafür sorgen, daß zu jedem Zeitpunkt dem System bekannt ist, in welcher Zelle sich der mobile Teilnehmer befindet. Der hierfür erforderliche Datenaustausch der einzelnen MSCs erfolgt über Festnetze.
In Deutschland ist seit 1986 das C-Netz im Einsatz. Dieses Netz ist bereits ein zellulares Netz, arbeitet im 450-MHz-Frequenzbereich, allerdings noch mit analoger Sprachübertragung. Im C-Netz ist jeder mobile Teilnehmer über eine einheitliche Zugangskennziffer 0161 mit nachfolgender siebenstelliger Rufnummer automatisch erreichbar.
Eine weitere Stufe in der Entwicklung der Mobilkommunikation stellen sind digitale GSM-Netze (Global System Mobile) dar. Als GSM-Netze sind in Deutschland die Netze D1 der Telekom, D2 von Mannesmann-Mobilfunk eingeführt. Ein weiteres Mobilfunknetz ist mit dem GSM1800-Netz, E-plus von Thyssen aufgebaut worden.
Zugangskennziffern:
Konzept der Mobilkommunikation (Grafik: 31 KB) |
Die Speicherung der einzelnen Daten in den unterschiedlichen Mobilfunknetzen verläuft generell in gleicher Weise. Wie bei der Beschreibung der Inhalte des TK-Datenmodells ausgeführt, beruhen die Kontextdaten auf den Erfordernissen der technischen, wie organisatorischen Bedingungen der jeweiligen TK-Netze. Bei den Mobilfunknetzen wird eine Aufgabenbearbeitung und damit auch eine Verteilung und ein Abgleich von Daten in verschiedenen Komponenten des Kernsystems durchgeführt. Die Zuordnung zum TK-Datenmodell ergibt sich wie folgt:
Die Übertragung der Inhaltsdaten in den Mobilfunknetzen erfolgt transparent zwischen den beteiligten Partnern. Eine Speicherung erfolgt lediglich bei der Nutzung von erweiterten Diensten (Mailbox, Anrufbeantworter, X.400 Gateway, ...). Es liegt somit in der Hand des Teilnehmers, welche Daten er in welcher Weise über das TK-Netz versendet.
Die Daten werden nur auf einem Datenverarbeitungssystem vorgehalten. Sie werden bei der einmaligen Erstellung der SIM-Chipkarte (Subscriber Identity Module) und des dazugehörigen symmetrischen geheimen Schlüssels, der Erstellung des Benutzerprofils (IMSI = International Mobile Subscriber Identification), sowie bei Bearbeitung der Abrechnungsdaten benötigt. Eine Untermenge dieser Daten werden als Bestandsdaten in jedem MSC (Mobile-Switching-Center) in den Bereichen der HLR (Home Location Register) und VLR (Visitors Location Register) hinterlegt. Das OMS (Operating and Maintenance System) bildet und verwaltet die Bestandsdaten über das Telefonverzeichnis und die Chipkarten.
Verbindungsvorbereitungsdaten werden in der Beglaubigungsinstanz AC (Authentication Center), in den HLRs und den VLRs hinterlegt. Mit ihnen wird die Berechtigung, das Profil und der Aufenthalt jedes potentiellen Teilnehmers in bezug auf die angeforderten Dienste geprüft.
Verbindungsdaten:
In der Mobilkommunikation ist auf Grund der Flexibilität der Endgeräte ein umfangreicher Datenbestand und eine dynamische Verwaltung und Verteilung dieser Daten erforderlich.
Informationen zum Aufbau und zur Aufrechterhaltung einer TK-Verbindung müssen an die beteiligten Stellen gelangen. Von diesen sind alle zur Abrechnung erforderlichen Informationen zu sammeln und weiterzuleiten.
In der Besucherdatei VLR (Visitors Location Register) sind Daten über Teilnehmer gespeichert, die sich temporär im zugehörigen MSC (mobile switching center) -Bereich aufhalten. Es sind dies die von einer entfernten MSC übertragenen HLR-Daten.
Bei jeder Nutzung der Telekommunikationsdienstleistungen muß eine virtuelle Verknüpfung zwischen den beteiligten Instanzen gewährleistet sein. Hierzu sind die erforderlichen Verbindungs-/ Lokalisationsdaten von den Vermittlungskomponenten (MSC) zu erstellen, zwischenzuspeichern und an die Datennachverarbeitung weiterzuleiten. Hierzu muß eine Zuordnung der Teilnehmerprofile zu den Verbindungsdaten hergestellt werden.
Entgeltdaten:
Die Erstellung und Sammlung aller hierfür
benötigten Daten kann nur durch eine zentrale Bearbeitung erfolgen. Damit ist der Informationsaustausch aller hierzu erforderlichen Inhalte
über das Netzwerk notwendig. Als Datenquellen dienen Informationen aus den Kommunikationskomponenten des Kernsystems der Mobilfunknetze (AC, MSC, OMC). Es werden die notwendigen Daten aus den Bestandsdaten (Name,
Anschrift, Bankverbindung, ...), mit den Informationen aus Verbindungsvorbereitungs-
und Verbindungsdaten (Art der Verbindung, Datenvolumen, Dienstekennung, ...) zur Erstellung einer Rechnung zusammengetragen.
Verkehrsdaten:
Mit Hilfe der Betriebszentrale dem OMC (= Operation and Maintenance Center) können die Funktionen des Netzes überwacht und Fehler erkannt werden, um Reparatur- und Wartungsmaßnahmen
zu veranlassen.
Das OSS (= Operational Support System) stellt den administrativen Teil des GSM-Netzes dar und wickelt die Verwaltung der Teilnehmer und der von ihnen beanspruchten Dienstleistungen ab. Es bildet die Datennachverarbeitung.
Beide Komponenten bilden zusammen das OMS (= Operating and Maintenance System), das Betriebs- und Wartungssystem.
Aus dieser Sichtweise sind die bislang realisierten Sicherheitsfunktionen und Schutzmechanismen entstanden. So bietet die IMSI (IMSI=International Mobile Subscriber Identification) die Sicherheit, daß das Fälschen von SIM-Karten unmöglich gemacht wird und über die IMSI eine vom System generierte und nur dem System bekannte Codierung als Kriterium für den Netzzugang existiert.
Die Art ihrer Ausgestaltung und die Nutzung eventuell erweiterter Schutzmechanismen wird nicht offengelegt und scheint kein werbewirksames Leistungsmerkmal für die Betreiber zu sein.
Folgende Schutzmechanismen sind zum Teil realisiert:
3.7 | Interne Telekommunikationsanlagen |
---|
Zusätzlich zur Telekommunikation im öffentlichen Bereich werden geschäftlich interne Telekommunikationsanlagen eingesetzt,
um betriebsintern und nach außen eine effektive und wirtschaftliche
Kommunikation sicherzustellen. Die Anlagen speichern parallel zum Anbieter
öffentlicher TK-Leistungen die Verbindungsdaten aller abgehenden Gespräche
für eine eigene Gebührendatenverarbeitung. In bezug auf die Entgeltabrechnung
besitzen private TK-Anlagen im allgemeinen folgende Leistungsmerkmale:
Die meisten Hersteller von TK-Anlagen bieten ein sehr variables zweistufiges Verfahren zur Gebührendatenverarbeitung an. Bei diesem Verfahren werden in einer ersten Stufe alle Verbindungsdaten am Gesprächsende kurzzeitig in einem Verbindungsdatensatz in der TK-Anlage abgelegt. In einem zweiten Schritt werden sie dann in bestimmten Zeitintervallen - mindestens jedoch täglich - an einen separaten Gebührencomputer übermittelt und können dort in vielfältiger Weise selektiert, ergänzt und ausgewertet werden. Der Gebührencomputer speichert in der Regel für jedes abgehende dienstliche oder private Gespräch bis zum Ausgleich der Rechnung einen Gebührendatensatz, der im Grundbestand den Entgeltdaten des TK-Datenmodelles entspricht, wobei herstellerbedingte Abweichungen möglich sind.
Während der Gebührenabrechnung erfolgt in den meisten Anlagen eine Zuordnung der Gebührendatensätze zu einer Stammdatendatei (Bestandsdaten), die zum Teil auch als internes Telefonverzeichnis genutzt wird.
Wie die Gebührenabrechnungen konkret vorgenommen werden und welche Ausdrucke zulässig sind, ist in Dienstanschlußvorschriften oder Fernsprechvorschriften und Dienstvereinbarungen mit Personal- oder Betriebsräten sehr unterschiedlich geregelt. Die einzelnen Hersteller der Telekommunikationsanlagen bieten in ihrer Gebührendatenverarbeitung meist ein umfangreiches Spektrum unterschiedlicher Auswertelisten an, aus denen der Nutzer entsprechend seiner konkreten Bedürfnisse auswählen kann.
Ähnlich wie in öffentlichen Netzen können bei komplexen TK-Netzgruppen Netzwerkmanagementprodukte eingesetzt werden, die eine umfangreiche Verkehrs- und Nutzungskontrolle ermöglichen.
3.8 | DECT |
---|
DECT steht für Digital European (Enhanced) Cordless Telecommunication. DECT ist der
neueste und modernste Standard für schnurlose Telefone. Er wurde 1985
von der CEPT beschlossen und wird seit 1991, beruhend auf den entsprechenden
Standards des ETSI (European Telecommunications Standards Institute), in
vielen technical reports erläutert. ETSI hat die Entwicklung von europäischen
Telekommunikationsstandards von CEPT übernommen. DECT unterstützt
u.a. folgende Merkmale (ausführliche Darstellung im Anhang):
DECT-Systeme sind vielseitig einsetzbar. Folgende Anwendungsbereiche kommen in Betracht:
Werden DECT-Systeme im Geschäftsbereich eingesetzt,so erhält jeder Mitarbeiter "sein" Mobilteil, das durch einen Code auch so gesichert werden kann, daß nur er damit kommunizieren kann. Die im Geschäftsbereich eingesetzten DECT-Anlagen erlauben es auch in der Regel, jedem Endgerät eine eigene Nummer zuzuweisen. Die Zahl der an einer Basisstation anmeldbaren Endgeräte ist meist auf sechs bis acht beschränkt. Somit kommt ein aus nur einer Basisstation bestehendes DECT-System lediglich für kleine Firmen in Betracht.
DECT-Standard erlaubt es jedoch, mehrere Basisstationen zusammenzuschließen (siehe im einzelnen dazu die Anlage). Auf diese Weise können beliebig viele Endgeräte an eine DECT-Anlage angemeldet werden. Außerdem kann dadurch der Aktionsbereich eines Mobilteils erweitert werden, da bei Verlassen einer Zelle, welche durch die Reichweite ihres Basisgerätes bestimmt ist, das Gespräch nahtlos ("seamless") von einer anderen Zelle übernommen werden kann.
Aufgrund der stark zunehmenden Verbreitung von Mobilfunksystemen ist der Markt für Telepoints sehr klein geworden. Eine Wiederbelebung könnte der Einsatz von DECT als modernstes und flexibelstes Schnurlossystem anstelle der bisher verwendeten CT-Standards bringen. Dies kommt insbesondere bei der o.a. Integration von GSM und DECT in Betracht, da damit die jederzeitige Erreichbarkeit des Teilnehmers gewährleistet ist, gleichzeitig aber die Möglichkeit, kostengünstig über das Festnetz zu telefonieren, erweitert wird.
Welche personenbezogenen Daten bei DECT-Systemenanfallen, hängt im wesentlichen von der Art ihres Einsatzes ab.
Wird lediglich ein Einzelapparat, also ein nur aus einem Basis- und einem Mobilteil bestehendes Gerät, eingesetzt, so fallen an der Schnittstelle zum öffentlichen TK-Netz die gleichen
personenbezogenen Daten an wie bei einem herkömmlichen, an einer TAE-Dose
angeschlossenen, analogen Telefon. Auch bei einer privaten DECT-TK-Anlage
ergibt sich hierzu kein Unterschied. Innerhalb der Anlage kann die Anzahl
der vertelefonierten Einheiten bzw. die aufgelaufene Gebührensumme
je Endgerät gespeichert und angezeigt werden. Da die Endgeräte
im allgemeinen nicht bestimmten Personen zugeordnet werden und keine endgerätebezogenen,
von außerhalb anwählbaren Rufnummern vergeben werden, fallen
auch bei einer privaten DECT-Anlage nicht mehr personenbezogene Daten an
als bei einem herkömmlichen Telefon.
Geschäftliche DECT-TK-Anlagen mit mitarbeiterbezogenen Mobilteilen und endgerätespezifischen, von auswärts anwählbaren Rufnummern sind hinsichtlich der Leistungsmerkmale und des Anfalls personenbezogener Daten mit ISDN-TK-Anlagen vergleichbar. Daher werden mittlerweile auch kombinierte DECT-ISDN-Anlagen angeboten. Ein Unterschied besteht insoweit, als in einer ISDN-TK-Anlage die Endgeräte in der Regel ortsfest sind, wohingegen bei einer DECT-Anlage festgestellt werden kann, in welcher Zelle sich der Mitarbeiter aufhält. Wird das Verfahren des Anrufausrufs in jeder Zelle gewählt, kann auf die Speicherung der "Aufenthaltszelle" verzichtet werden (siehe Anlage DECT - Zellenstrukturen).
Bei einer Kopplung von GSM und DECT via Dual-Mode-Handy ist maßgeblich über welches Netz gerade kommuniziert wird. Bei DECT ist dann wiederum zu prüfen, ob es sich um ein privates oder um ein geschäftlich eingesetztes System handelt. Die Kombination dieser beiden verschiedenen Systeme hat den Vorteil, daß wegen des immer möglichen Netzwechsels Profilbildungen erschwert werden.
Der Wireless Local Loop kann durch DECT entweder mittels direkter Vergabe von Mobilteilen an die Teilnehmer oder durch schlichte Leitungsersetzung realisiert werden.
Erhalten die einzelnen Teilnehmer Mobilteile, mit denen sie direkt über die DECT-Basisstation am zugehörigen Endknoten kommunizieren können, so besteht prinzipiell die Möglichkeit, daß ein Teilnehmer mittels seines Endgerätes Informationen über die anderen, an derselben Basisstation angemeldeten Teilnehmer erhält, z.B. über die angefallenen Gesamtkosten. Man kann aber davon ausgehen, daß die im WLL-Bereich eingesetzten DECT-Anlagen über diese Merkmale ebensowenig verfügen wie über die Möglichkeit zu kostenlosen Interngesprächen. Es bleiben dann noch die bei DECT vorhandenen Lokalisationsmöglichkeiten. Insoweit besteht auch ein Unterschied zu von den Teilnehmern eingesetzten DECT-Anlagen, da die dort entstehenden Lokalisationsinformationen im Bereich des Teilnehmers bleiben und nicht von dem angeschlossenen TK-Netz ausgewertet werden können. Bis auf die Lokalisationsdaten dürften, die bei diesem Verfahren anfallenden personenbezogenen Daten, trotz unterschiedlicher Technik mit den bei ISDN anfallenden vergleichbar sein. Dies gilt auch für das Verfahren der schlichten Leitungsersetzung, bei der jeder Teilnehmer seine eigene TAE-Dose hat.
Der Einsatz von DECT in Telepoint-Anwendungen, insbesondere in Kombination mit GSM, ist hinsichtlich der entstehenden personenbezogenen Daten insgesamt ähnlich einem GSM-Netz zu bewerten, mit dem Unterschied, daß die Lokalisierbarkeit beim Einbuchen in einen Telepoint wegen dessen wesentlicher kleinerer Zelle, deutlich höher ist als bei einer GSM-Zelle; dies trifft auch im Vergleich zu GSM1800 zu, da DECT eine geringere effektiv abgestrahlte Leistung benutzt. Eine andere Beurteilung ergibt sich, wenn das Einbuchen in die Telepoints anonym erfolgen kann. Dies wird auch beim GSM-Netz diskutiert (siehe Kapitel 4.4.2 - Datenminimierung bei Entgeltabrechnungen).
Generell ist zu beachten, daß in allen beschriebenen DECT-Einsatzbereichen ein Lokalisieren des Teilnehmers durch Außenstehende über die Richtungskomponente der gesendeten elektromagnetischen Wellen möglich ist. Unbefugte können Kommunikationsaktivitäten von Teilnehmern und deren Aufenthaltsort beobachten. Wird in Anlagen nicht das Verfahren des Anrufausrufs benutzt, so ist bereits ein Informationsgewinn unter Ausnutzung der Aktivmeldungen der Mobilteile möglich. In diesen Punkten ist somit jede DECT-Anwendung genauso zu bewerten wie GSM.
3.9 | Satellitenkommunikation |
---|
Dem Einsatz von Satelliten kommt in der Telekommunikation eine ständig wachsende Bedeutung zu. Während Satelliten traditionell vor allem für Zwecke der Fernerkundung, der Verteilung von Radio- und Fernsehprogrammen und zum Herstellen von Telefonverbindungen über große Entfernungen hinweg benutzt wurden, dringen sie jetzt zunehmend auch in Bereiche vor, die bislang durch terrestrische Festnetz- oder Funkanlagen abgedeckt wurden, z.B. Mobiltelefonie und -datenübertragung. Zusätzlich wird das Angebot kontinuierlich um neue Dienste erweitert, die ohne Satelliteneinsatz bisher nicht möglich waren. Dazu gehören gegenwärtig vor allem Flottenmanagement-, Positionsbestimmungs- und Fernortungssysteme. Diese Dienste decken so unterschiedliche Bedürfnisse wie die Ortung gestohlener Fahrzeuge, Rationalisierung im Speditionsgewerbe und die Überwachung von Subventionsmaßnahmen auf EG-/EU-Ebene ab. Die Anzahl der Satellitenbetreiber, insbesondere aber die der Diensteanbieter, vergrößert sich nach wie vor ständig.
Für die Ermittlung von Informationen zur Behandlung von TK-Daten in der Satellitenkommunikation waren lediglich Grundlagen recherchierbar. Eine Auskunft von den Betreibern über die Verarbeitung von Kontextdaten konnte nicht erreicht werden.
3.10 | Internet |
---|
Das aktuell viel diskutierte Kommunikationsnetz Internet ist in seiner Ausprägung ein Sonderfall. Bei der Nutzung dieses weltweiten
Verbundes von DV-Systemen gibt es eine Zahl von Risiken, die keiner Regelung
unterliegen (Zwischenspeicherung von Daten, Cookies, Profilerstellung,
...). Jeder Nutzer muß sich dessen bewußt sein und individuell
eine mehr oder minder sichere Betriebsform wählen (nur Informationssuche,
verschlüsselter Nachrichtenaustausch, Sicherheitssperren, ...).
Im folgenden wird ein Überblick über die Daten gegeben, die im Zusammenhang mit dem Zugang zum Internet auftreten können.
In größeren Einrichtungen existiert oftmals ein eigener Internet-Anschluß, z.B. in Universitäten ein WIN-Anschluß (Wissenschafts-Netzanschluß) über das Deutsche Forschungsnetz (DFN). Hier hängen die Rechner des lokalen Netzes "direkt" am Internet, d.h. sie bilden ein Subnetz des Internets und sind damit Bestandteil des Internet. Jeder Rechner hat eine eigene IP-Adresse. Für die Kommunikation im Internet wird dementsprechend diese IP-Adresse als source address verwendet. Wird ein Rechner nur von einer Person benutzt, ist die feste IP-Adresse dieses Rechners als personenbeziehbares Datum zu sehen. Wird der Rechner von mehreren Personen genutzt (z.B. Workstation-Pools in Universitäten), ist eine eindeutige Zuordnung einer IP-Adresse zu einem Benutzer im Internet nicht mehr möglich.
Die zweite Möglichkeit ist die Nutzung über einen Service-Provider. Dies kann und ist für den "normalen" Nutzer im Normalfall ein kommerzieller Provider, der für seine erbrachte Leistung Geld verlangt. Für diesen Fall treten sowohl Bestands- als auch Abrechnungsdaten auf. Bei der Nutzung des Internet über einen Service-Provider wird dem Benutzer für die Dauer der Verbindung im Normalfall eine IP-Adresse aus einem IP-Adressenpool zugewiesen und ist daher von Verbindung zu Verbindung variabel. Durch die dynamische Zuweisung von IP-Adressen kann für die jeweiligen Nutzer z.B. kein Benutzerprofil durch Dritte auf Basis von IP-Adressen erstellt werden. Als Bestandsdaten werden der Name, die Adresse, die Kontoverbindung oder Kreditkartennummer gespeichert. Freiwillige Angaben sind die Telefonnummer und der Beruf.
Bei den Abrechnungsdaten muß zwischen verschiedenen Varianten der Service Provider unterschieden werden.
Einige Provider bieten für eine monatliche Pauschale die unbegrenzte Nutzung des Internet. Für diesen Fall sollten eigentlich keine Abrechnungsdaten anfallen.
Hier scheint es jedoch Ausnahmen zu geben. Eine Anfrage bei GlobalNet/IBM ergab, daß sie immer protokollieren, wer wann wie lange den Internet-Dienst nutzt. Für den Fall, daß eine bestimmte Stundenzahl im Pauschalbetrag enthalten ist, muß für jeden Benutzer (bzw. Account) protokolliert
werden, wie lange er den Internet-Zugang jeweils nutzt (Beginn, Ende).
Beim Überschreiten der im Pauschalbetrag enthaltenen Nutzungszeit,
werden die Mehrkosten dem Benutzer in Rechnung gestellt, d.h. dem monatlichen
Grundbetrag zugeschlagen und vom Konto abgebucht, überwiesen oder
über die Kreditkarte abgerechnet. Die Speicherungsdauer dieser Abrechnungsdaten
beträgt z.B. bei GlobalNet/IBM ein Jahr. Die Aussage mehrerer Service-Provider
war, daß die dynamisch zugeordnete IP-Adresse nicht protokolliert
wird. Es kann jedoch sein, daß dies bei einigen Providern gemacht wird.
Eine weitere Variante besteht durch Service Provider, die kein Entgelt für den Internetzugang verlangen, dafür aber das Recht beanspruchen, eine uneingeschränkte Verarbeitung und Nutzung
der anfallenden Verbindungsdaten des Kunden zu bekommen (z.B. Germany.net).
Kommunikations-Dienstleister (Grafik: 20 KB) |
Nutzung von "öffentlichen" Internet-Terminals, z.B. in Internet-Cafes. Bei dieser Nutzungsform fallen im Normalfall keine Bestands- und Abrechnungsdaten an. Der Benutzer zahlt im voraus für eine bestimmte Nutzungszeit, die dann per Systemzeitschaltuhr freigeschaltet wird. Durch den ständigen Wechsel der Nutzer ist eine Zuordnung von IP-Adressen zu Personen nicht möglich.
4 | MÖGLICHKEITEN DER DATENVERMEIDUNG UND -REDUZIERUNG |
---|