|
Datenschutzfreundliche Technologien
|
4 | MÖGLICHKEITEN DER DATENVERMEIDUNG UND -REDUZIERUNG |
---|
4.1 | Schutz von Sender und Empfänger |
---|
Derzeitige Netzstrukturen (Vermittlungsnetze) basieren darauf, Nachrichten zwischen den Teilnehmern an Telekommunikationsdiensten direkt zu vermitteln. Vor Herstellung einer Kommunikationsverbindung sind die Teilnehmerstationen daher zu identifizieren. Durch Einsatz dieser Technik wird das Kommunikationsverhalten leicht beobachtbar und auch kontrollierbar. Je schwächer die Netzbündelung zum Teilnehmer ausgeprägt ist, desto geringer ist der Aufwand, mit dem die Beobachtung vorgenommen werden kann. Bei den Mobilkommunikationsnetzen kommt hinzu, daß die Lokalisierungsinformation schnell wechseln kann, für einen Verbindungsaufbau aber der Aufenthaltsort aktuell bekannt sein muß.
Ein Schutz vor der Preisgabe des Kommunikationsverhaltens sowie des Senders und Empfängers wird dann erreicht, wenn Zeitpunkt, Dauer und Ort der Kommunikation nicht bekannt sind bzw. ermittelt werden können. Es sind deshalb Verfahren und Techniken zum Schutz der Verbindungs- und Lokalisationsdaten einzusetzen. Zu nennen sind die Änderung der physikalischen Netzstruktur durch Verwendung von Verteilnetzen, der Einsatz impliziter Adressierungsarten, die Mix-Technologie sowie in drahtlosen Netzen darüber hinaus das Verhindern der Peilbarkeit und der Teilnehmerortung. Um den Grad des Schutzes von Sender und Empfänger einschätzen zu können, konzentrieren sich die folgenden Bewertungen nach dem Datensparsamkeitsmodell auf Verbindungsdaten und ggf. Verbindungsvorbereitungsdaten.
Wird insbesondere in teilnehmernahen Netzbereichen ein gleichmäßiges, kommunikationsunabhängiges Nachrichtenaufkommen erzeugt und werden die jeweiligen Nachrichten nicht direkt vermittelt, sondern in den gesamten Netzbereich eingestellt, kann ein Rückschluß auf das Kommunikationsverhalten Einzelner und den Abruf der Nachrichten nicht mehr unmittelbar erfolgen. Verteilnetze (Broadcasting) gestatten allen Teilnehmern, die Informationen aus dem Netz zu nehmen, die für sie bestimmt sind. Damit wird erreicht, daß die Empfänger vom Netz nicht mehr identifiziert werden können.
Im Gegensatz zu expliziter Adressierung, bei der die Adreßinformation zur Wegewahl im Netz verwendet wird, kann in Verteilnetzen jede Teilnehmerstation anhand bestimmter Merkmale (implizite Adresse) erkennen, welche Nachricht an sie gerichtet ist. Bei einer verdeckten Adressierung kann die Adresse nur vom Empfänger ausgewertet werden. Die Möglichkeit der Umsetzung besteht z.B. über Verschlüsselungssysteme, bei denen ein Schlüssel zwischen Kommunikationspartnern ausgetauscht wird und somit Nachrichten und Adressen nur mit Kenntnis des Schlüssels gelesen werden können. Eine andere Möglichkeit ist die Verwendung variabler Adressen, die zwischen den Partnern nach erstmaliger Verbindungsaufnahme vereinbart werden (z.B. durch Generierung mit Pseudozufallsgeneratoren).
Technisch bedeutet der Einsatz von Verteilnetzen eine ganz neue Verkabelungsstruktur in Breitbandtechnik. Die Vervielfachung des Nachrichtenvolumens auf allen Teilnehmerleitungen erfordert eine geeignete Bandbreite, um einen möglichst großen Datenstrom mit vielen Einzelnachrichten multiplexen zu können. Als beste Topologie bietet sich die Ringstruktur mit einem Tokenverfahren an, bei der die Nachrichten bei allen Teilnehmern vorbeilaufen. Aus Leistungs-, Zuverlässigkeits- und Kostengründen lassen sich für sehr viele Teilnehmer reine Verteilnetze bei Individualkommunikation nicht mehr sinnvoll einsetzen. Statt dessen bieten sich Vermittlungs-/Verteilnetze (VmVt-Netze) an, die hierarchisch organisiert sind. Solche VmVt-Netze bestehen aus Verteilnetzen im Teilnehmeranschlußbereich, die durch ein Vermittlungsnetz verbunden sind. Die Nachrichten werden dabei nicht an alle, sondern nur an hinreichend viele Teilnehmerstationen verteilt (Multicasting).
Allgemeine Mediendienste sollten wegen des Schutzes der Empfängerinformation wie bisher über Verteilnetze realisiert werden. Auch bei Individualkommunikation könnte eine derartige Netzstruktur, zumindest in unteren hierarchischen Ebenen, eingesetzt werden, wenn gleichzeitig ein Schutz der Inhalte, z.B. durch Verschlüsselung, und eine nicht direkt auswertbare Adressierung gewährleistet ist.
Unter Dummy Traffic versteht man das Einbringen bedeutungsloser Zeichenfolgen in Netze zu kommunikationsarmen Zeiten, um
ein gleichbleibendes Kommunikationsverhalten vorzutäuschen und damit
ein Ausforschen zu verhindern. Das Einbringen der Zeichenfolge sollte vom
Sender erfolgen, sie sollte von realen Nachrichten nicht unterscheidbar
sein. Denkbar ist beispielsweise das Senden aller Teilnehmer zu einem festgelegten
Zeittakt unabhängig davon, ob bedeutungsvolle Nachrichten verschickt
werden sollen oder nicht. Der Schutz des Senders besteht darin, daß
für das Netz nicht mehr entscheidbar ist, wann genau und wie viele
bedeutungsvolle Nachrichten er sendet.
Das Verfahren ist am wirksamsten, wenn das gesamte Nachrichtenaufkommen über Verteilnetze oder Ringstrukturen abgewickelt
wird, um Zuordnungen zu vermeiden. Weiterhin muß die Adressierung
verschleierbar sein.
Dummy Traffic ist ein vielfältig einsetzbares Hilfsmittel, das in Kombination mit verschleierter Adressierung eine Identifikation der relevanten Daten nicht erkennen läßt. Durch diese Methode der zusätzlichen Datenproduktion wird der Effekt der Datenvermeidung bzgl. des senderseitigen Kommunikationsverhaltens erreicht. Damit kann diese Methode der zusätzlichen Datenproduktion als eine Art der Datenvermeidung aufgefaßt werden, da Informationen über das senderseitige Kommunikationsverhalten verschleiert werden.
Die Methode des überlagernden Sendens gewährleistet in einem beliebigen digitalen Netz, daß das Senden anonym geschieht. Es kann an beliebig vielen Stellen abgehört und manipuliert werden; dennoch ist es einem Angreifer nicht möglich, die gesendeten Nachrichten einer Station zu entschlüsseln. Die Teilnehmerstationen haben paarweise einen Schlüssel miteinander ausgetauscht und diesen Wert vor den anderen geheim gehalten. Auf Basis dieser Beziehung werden über die Nachrichten (sofern die Teilnehmerstation senden will) und Schlüssel bitweise Summen modulo 2 (Überlagerung) gebildet, die zur Identifizierung und Entschlüsselung der im Netz versandten Informationen dienen. Mit einer Erweiterung des überlagernden Empfangens kann das überlagernde Senden auch zum anonymen Empfangen genutzt werden.
DC-Netze ermöglichen sowohl Sender- als auch Empfängeranonymität. Nach dem Datensparsamkeitsmodell ist das DC-Netz bei der benutzerkontrollierten Pseudonymisierung (wegen der geheimen Schlüssel der Teilnehmerstationen) oder sogar bei der Datenvermeidung (da relevante Daten für das Netz nicht erkennbar sind) einzuordnen. Allerdings sind DC-Netze aufwendig in ihrer Realisierung und nicht für die existierenden schmalbandigen Signalisierungskanäle geeignet.
Mixe sind Netzknoten, die dem Schutz der Kommunikationsbeziehung dienen, indem sie die Verkettbarkeit zwischen Sender und Empfänger
einer Nachricht verhindern. Dies wird durch das folgende, erstmals von
David Chaum entwickelte Verfahren ([Chau_81]) erreicht (übersichtliche
Darstellung in [FrJP_97]):
Um eine Zuordenbarkeit von ein- und ausgehenden Nachrichten zu verhindern, werden die Nachrichten gegebenenfalls auf gleiche Länge gebracht, z.B. in gleich große Abschnitte unterteilt oder aufgefüllt.
Das Umkodieren der Nachrichten erfolgt in der Regel mittels asymmetrischer Kryptographie: Jedem Mix ist ein Schlüsselpaar aus öffentlich bekanntem und dazugehörigem privaten Schlüssel
zugeordnet. Die Nachrichten werden mit dem öffentlichen Schlüssel
des Mixes verschlüsselt an ihn gesendet. Er entschlüsselt die
Nachrichten vor dem Weiterleiten mit seinem privaten Schlüssel. Eine
deterministische Umkodierung ist leicht von einem Angreifer auszunutzen,
der die ein- und abgehenden Nachrichten beobachtet, indem er eine vom Mix
ausgegebene Nachricht erneut mit dem öffentlichen Schlüssel des
Mixes verschlüsselt. Dies entspricht dann wieder der Eingangsnachricht.
Daher wird eine indeterministische Umkodierung gewählt: Der Nachricht
wird ein zufälliger Teil beigefügt, den der Mix nach der Umkodierung
entfernt. Hier bietet sich eine längentreue Umkodierung an.
Damit Replay-Angriffe (Wiedereinspielen derselben Nachrichten) keinen Erfolg haben, sind Wiederholungen von identischen Nachrichten zu ignorieren. Dies läßt sich beispielsweise dadurch erreichen, daß vom Mix Zeitstempel für die Nachrichten vergeben werden oder daß bereits gesendete Nachrichten über einen gewissen Zeitraum in einer Datenbank gespeichert werden.
Um die Unverkettbarkeit der ein- und ausgehenden Nachrichten zu erreichen, müssen genügend viele Nachrichten im Mixpuffer vorliegen. Ist dies nicht der Fall, kann der Mix bedeutungslose Dummy-Nachrichten (s.o.) erzeugen, die z.B. beim letzten Mix wieder aussortiert werden. Die Forderung nach genügend vielen verschiedenen Absendern, die sich nicht zu einem Angriff zusammenschließen dürfen, läßt sich technisch auch dann nicht befriedigend lösen, wenn die Absender verifizierbar wären. Doch auch hier bietet die Erzeugung von Dummies Abhilfe.
Für den Puffer des Mixes sind verschiedene Betriebsarten denkbar, z.B. der Batchbetrieb, bei dem alle Nachrichten weiterbearbeitet werden, sobald m Nachrichten im Puffer stehen, der Poolbetrieb, bei dem zufällig eine Nachricht aus dem Puffer zur Weiterbearbeitung ausgewählt wird, sobald die (m+1)-te Nachricht eintrifft, oder auch Mischformen. Daneben kann sich die Steuerung an Latenzzeiten orientieren, z.B. vom Benutzer gewählte Verzögerungen (maximale oder minimale Wartezeiten) oder eine zufällige vom Mix ermittelte Dauer.
Da das Senden beobachtbar bleibt, könnte von den Teilnehmern gefordert werden, daß sie jeweils in einem bestimmten Zeittakt senden müssen und ggf. bedeutungslose Nachrichten erzeugen. Alle Teilnehmer, die zur selben Zeit senden, bilden dann die Anonymitätsgruppe.
Für einige Bereiche der Telekommunikation existieren bereits Konzepte, wie das Mix-Verfahren zum Schutz der Kommunikationsbeziehung eingesetzt werden kann:
Mixe bieten eine benutzerkontrollierte Pseudonymisierung sowohl für den Sender als auch für den Empfänger. Der Schutz kann sich zusätzlich zu den Verbindungsdaten auch auf die Verbindungsvorbereitungsdaten erstrecken.
Für den Einsatz von Mixen reicht eine Modifikation vorhandener Netze aus; es ist also dafür nicht nötig, vollständig neue Netze zu entwerfen. In vielen Bereichen könnte der Aufbau von Mixen sukzessiv erfolgen. Untersuchungen zeigen, daß die zur Verfügung stehende Bandbreite bestehender Kommunikationsnetze für einen Mix-Betrieb ausreicht ([FJMP_97]). Konzepte für ISDN ([PfPW_89]), GSM ([FeJP_96]) und bestimmte Internet-Dienste liegen vor, eine Anpassung der Konzepte auf andere Kommunikationsnetze wie ATM und UMTS (Universal Mobile Telekom Systems) ist möglich.
Integration verschiedener Datenschutz-Maßnahmen in einem Netz (Grafik: 38 KB) |
Elektromagnetische Wellen haben die Eigenschaft, daß aufgrund ihrer Ausbreitung die Sender lokalisiert werden können. Der Aufenthaltsort mobiler Teilnehmer kann somit beim Aussenden von Nachrichten
durch Peilung festgestellt und verfolgt werden.
Will man dies verhindern, sind Verfahren einzusetzen, die eine Peilung erschweren. Da eine elektromagnetische Welle nur dann erkennbar ist, wenn sie sich aus dem vorhandenen "weißen Rauschen"
abhebt, kann man sich den Grundsatz der Nachrichtentheorie zunutze machen,
daß es zur Erkennung eines digital zu übertragenden Signals
nicht auf die Signalform, sondern auf den Energieinhalt ankommt. Wird durch
ein geeignetes Modulationsverfahren die Signalleistung so breit verteilt,
daß sie sich vom Rauschen nicht mehr abhebt, ist die Abstrahlung
von Informationen mit konventionellen Mitteln nicht mehr peilbar. Das Verfahren
wird "direkte Spreizung" genannt.
Hierbei werden die Daten wie üblich auf den Träger aufmoduliert. Das entstehende Signal wird in einem zweiten Modulationsschritt mit einer Pseudozufallszahlenfolge (PN-Code: Pseudonoise- Code) moduliert. Der PN-Code wird mittels eines PN-Generators aus dem PN-Key von Sender und Empfänger erzeugt. Das entstehende Signal hat eine geringe Leistungsdichte und ähnelt dem "weißen Rauschen". Der Empfänger multipliziert das empfangene Signal erneut mit dem nachgebildeten PN-Code, wodurch die Spreizung zurückgenommen wird und der Träger in seiner ursprünglichen Form vorliegt. Bei Verwendung von orthogonalen PN-Codes können mehrere Nutzer im selben Spektrum senden. Die Auslastung ist vergleichbar mit den bekannten Multiplexverfahren. Mit konventionellen Mitteln wie Spektrumsanalysatoren sind die direkt gespreizten Signale nicht zu entdecken. Mit einem Radiometer ist dies u.U. möglich. Eine Peilung des Signals ist mit diesem Instrument aber ausgeschlossen.
Sofern zentrale vertrauenswürdige Instanzen eingesetzt werden, kann man lediglich von einer (sonstigen) Pseudonymisierung des Senders und Empfängers nach dem Datensparsamkeitsmodell ausgehen, die sich auch auf die Verbindungsvorbereitungsdaten erstreckt. Es ist jedoch auch möglich, das Verfahren mit benutzerkontrollierten Pseudonymen zu realisieren. Die Ähnlichkeit zum "weißen Rauschen" trägt dazu bei, daß relevante Informationen nicht mehr erkennbar sind.
Das Verfahren erfordert aufgrund der Spreizung der Nutzsignale eine Bandbreitenerweiterung für die Übertragungskanäle um den Spreizfaktor (100 bis 1000). Damit ist es auf die derzeitige Netzstruktur nicht ohne erheblichen Zusatzaufwand übertragbar, wobei der Aufwand wesentlich davon abhängig ist, an welcher Stelle (in einer ortsfesten Station des Festnetzes oder in der Basisfunkstation) die Entspreizung vorgenommen wird. Bei einer Detektion im Festnetz durch vertrauenswürdige (auch verschiedene dezentrale) Instanzen bedeutet dies, daß die erforderliche Bandbreite auch im Festnetz vorhanden sein muß. Gleichzeitig ist auch das Verfahren der derzeitigen Lokalisation mittels HLR und VLR zu überarbeiten.
Der GSM-Standard erfordert es, in derzeitigen mobilen Netzen Aufenthaltsinformationen zentral in Datenbanken (HLR und VLR) aktuell vorzuhalten. Damit ist die Erstellung von Bewegungsprofilen möglich.
Einen Schutz der Aufenthaltsinformationen kann man z.B. dadurch erreichen, daß die Informationen über den Aufenthaltsort in vertrauenswürdige zentrale oder dezentrale Instanzen ausgelagert werden. Dem Netzbetreiber werden von diesen Instanzen für die Teilnehmer zeitgesteuerte Pseudonyme mitgeteilt, mit denen der Aufenthaltsort ermittelt werden kann. Zum Aufbau von Verbindungen ist es bei dieser Struktur zunächst notwendig, bei der vertrauenswürdigen Instanz das aktuelle Pseudonym zu erfragen. In einem zweiten Schritt kann dann hiermit die Netzverbindung hergestellt werden.
Sender und Empfänger sind mit zeitgesteuerten Pseudonymen ausgestattet, die je nach Ausgestaltung des Verfahrens mehr oder weniger benutzerkontrolliert sein können. Bei diesem Verfahren ist es notwendig, die GSM-Struktur in bezug auf die HLR und VLR zu ändern. Der erforderliche Aufwand des Verfahrens hängt in erster Linie vom Grad der Dezentralisierung ab.
Eine weitere Möglichkeit, die Aufenthaltsinformation zu verbergen, besteht darin, aus der IMSI mit Hilfe einer allgemein bekannten Hashfunktion eine verkürzte IMSI zu bilden, die als Gruppenpseudonym dienen kann und im Netz zur Lokalisation verwendet wird. Damit bilden sich Anonymitätsgruppen von Teilnehmern, die hinreichend groß sein müssen und in der GSM-Struktur zu verwalten sind.
Soll ein Verbindungswunsch zu einem mobilen Teilnehmer hergestellt werden, so ist zunächst dem Netz über IMSI die Gruppe des Empfängers mitzuteilen. Im Broadcastverfahren wird anschließend der gesamten Gruppe, die mit dem öffentlichen Schlüssel des Adressaten verschlüsselte IMSI übermittelt. Nur dieser kann dann durch Entschlüsselung mit seinem geheimen Schlüssel feststellen, daß er adressiert wurde, und damit die Nachricht auswerten.
Die Verbindungsdaten werden bei diesem Verfahren nicht geschützt, denn bei Kenntnis der öffentlichen Schlüssel aller in Frage kommenden Teilnehmer kann die gesendete verschlüsselte IMSI leicht abgeglichen werden. Allerdings lassen sich wegen des Broadcastverfahrens innerhalb der Gruppe nicht die Lokalisationsdaten des Empfängers ermitteln.
Dieses Verfahren beruht nicht auf einer Veränderung der GSM-Struktur, erfordert jedoch einen erhöhten Signalisierungsaufwand und eine größere Bandbreite. Nutzt man zur Aufenthaltsermitttlung mobiler Teilnehmer hierarchische Netze mit unterschiedlichen Zellradien, kann man die Aufenthaltsinformation dadurch verbergen, daß man die Signalisierung über Netze mit großen Zellradien steuert. Besonders geeignet hierzu wären Satellitennetze (z.B. LEO), die Overlayradien von ca. 2000 km abdecken könnten.
4.2 Datenminimierung bei der Entgeltabrechnung |
Im folgenden wird dargestellt, daß es auf der Ebene der Telekommunikationsdienstleistungen technisch möglich ist, den Umfang der zu Abrechnungszwecken gespeicherten Verbindungsdaten erheblich zu reduzieren oder sogar völlig auf deren Speicherung zu verzichten. Ferner kann unter Umständen auch der Umfang der gespeicherten Bestandsdaten reduziert werden.
Da immer mehr Telekommunikationsdienstleistungen mit Hilfe von Chipkarten genutzt und abgerechnet werden und unter dem Oberbegriff Elektronisches Geld verschiedene Möglichkeiten für sichere elektronische Zahlungsverfahren entwickelt wurden, mit deren Hilfe auch Telekommunikationsdienstleistungen bezahlt werden können, erfolgt zunächst eine Darstellung wichtiger chipkartengestützter Nutzungs- und Zahlungsformen sowie die Möglichkeiten des elektronischen Geldes, bevor dargelegt wird, wie sich diese Techniken dazu nutzen lassen, den Umfang der gespeicherten Telekommunikations-Verbindungsdaten zu reduzieren oder sogar deren Speicherung gänzlich überflüssig zu machen.
Die zum Bezahlen von Telekommunikationsdienstleistungen nutzbaren Chipkarten sind entweder mit einem Prepaid- oder mit einem Postpaid-Abrechnungsverfahren verbunden. Bei den Prepaid-Verfahren stellt die Chipkarte eine Guthabenkarte dar (vergleichbar mit der Telefonkarte), von der bei jeder Nutzung ein entsprechender Betrag abgebucht wird. Im Gegensatz dazu dienen die Chipkarten bei den Postpaid-Verfahren in der Regel dazu, den Benutzer gegenüber dem Anbieter der Telekommunikationsdienstleistung sicher zu identifizieren.
Bei Chipkarten, die in Verbindung mit einem Prepaid-Abrechnungsverfahren eingesetzt werden, ist zwischen Speicher-Wertkarten, Remote-Access-Karten sowie multifunktionalen Karten zu unterscheiden:
Bewertung des Chipkarteneinsatzes zur Bezahlung von Telekommunikationsdienstleistungen
Aus Sicht des Datenschutzes sind Verfahren, die auf Guthabenbasis arbeiten (Prepaid-Cards) gegenüber den Postpaid-Cards vorzuziehen, da nur die Prepaid-Cards eine anonyme Abrechnung von TK-Dienstleistungen ermöglichen. Dabei ist Systemen mit ausschließlich lokaler Speicherung der Werteinheiten auf der Chipkarte des Teilnehmers der Vorzug vor solchen Verfahren zu geben, bei denen zusätzlich oder ausschließlich eine zentrale Speicherung und Verrechnung der Werteinheiten erfolgt, denn die hierbei geführten Schattenkonten könnten, sofern die Identität des Karteninhabers aufgedeckt würde, zur Bildung persönlicher Kommunikationsprofile genutzt werden. Dieses Risiko ist bei wiederaufladbaren Karten besonders gravierend, da hier die Schattenkonten über einen längeren Zeitraum geführt werden.
Soweit die Chipkarten künftig auch zur Abwicklung intelligenter Authentifizierungsmechanismen genutzt werden, macht dies die bislang zur Authentifizierung der Karte erforderliche Übermittlung der individuellen Kartennummer an das Telekommunikationsdienstunternehmen überflüssig. Hierdurch könnte nicht nur ein abhörsicheres Authentifikationsverfahren realisiert werden, sondern das Telekommunikationsdienstunternehmen könnte bei diesem Verfahren auch auf die Speicherung der Kartennummern verzichten, die mit entsprechendem Zusatzwissen einzelnen Personen zugeordnet werden könnten.
In dem Maße, in dem offene elektronische Kommunikationsnetze wie T-Online oder Internet genutzt werden, um Waren oder Dienstleistungen zum Verkauf anzubieten, wächst auch das Interesse an Möglichkeiten
des elektronischen Bezahlens, das Käufern wie auch Verkäufern
eine ausreichende Sicherheit bietet. Dabei können mit dem elektronischen
Geld beispielsweise die über Netz bestellten Waren, aber auch Telekommunikationsdienstleistungen
bezahlt werden. Mittlerweile wurden verschiedene Varianten elektronischen
Geldes entwickelt, die sich unter anderem in folgender Hinsicht unterscheiden:
Bewertung
Aus Sicht des Datenschutzes bieten die bargeldorientierten Prepaid-Verfahren die besten Voraussetzungen für die Realisierung eines sicheren elektronischen Zahlungsverfahrens, das die gleiche Anonymität des Bezahlens erlaubt wie das Bezahlen mit Bargeld. Beispiel eines solchen Verfahrens ist E-Cash, das es gestattet, durch den Austausch elektronischer Geldstücke, sogenannte Cyberbucks, zu bezahlen. Man erhält derartige Cyberbucks auf Anforderung von seiner Bank, die den Gegenwert bar entgegennimmt oder von einem Kundenkonto abbucht. Die Cyberbucks werden anschließend elektronisch auf einen PC des Kunden übertragen und können von ihm wiederum an Händler weitergereicht werden. Die Händler können mit den eingenommenen Cyberbucks ihrerseits Waren oder Dienstleistungen bezahlen.
Sofern bargeldähnliches elektronisches Geld benutzt wird, um Telekommunikationsdienstleistungen abzugelten, eröffnet dies die Möglichkeit, diese Dienstleistung bereits während oder spätestens mit dem Ende der Telekommunikationsverbindung zu bezahlen. Vorstellbar ist, daß der Telekommunikationskunde das Entgelt für jeden neu angebrochenen Zeittakt via elektronischem Geld jeweils in Echtzeit übermittelt. Wird eine neu angebrochene Tarifeinheit nicht umgehend bezahlt, so bricht das Telekommunikationsdienstunternehmen die Verbindung wie beim Münztelefon sofort ab.
Elektronisches Geld kann auch benutzt werden, um auf Speicher-Wertkarten bargeldlos wieder ein Guthaben aufzubuchen, ohne daß man hierfür personenbezogene Angaben preisgeben müßte, beispielsweise die eigene Bankverbindung. Der Einsatz elektronischen Geldes kann allerdings nur dann zur Datensparsamkeit beitragen, wenn damit anonyme Zahlungsvorgänge möglich sind. Diese Anforderung wird nicht von allen bislang entwickelten Systemen für elektronisches Geld erfüllt.
Bereits aus verschiedenen Anlässen haben die Datenschutzbeauftragten des Bundes und der Länder darauf hingewiesen, daß vielfach auf die Speicherung unter Umständen umfangreicher Datenbestände für Abrechnungszwecke verzichtet werden kann, wenn die Bezahlung mit Hilfe von Speicher-Wertkarten erfolgt (vgl. z.B. Entschließung der Datenschutzbeauftragten des Bundes und der Länder vom 22./23.10.1996 zum Datenschutz bei der Vermittlung und Abrechnung digitaler Fernsehsendungen). Dies gilt auch für das Bezahlen von Telekommunikationsdienstleistungen. Bislang stellt allerdings lediglich die Telefonkarte ein Beispiel für bereits am Markt eingeführte und in größerem Umfang genutzte Speicher-Wertkarten zur Bezahlung von Telekommunikationsdienstleistungen dar. Diese Karten sind nicht wiederaufladbar und können bislang nur an öffentlichen Telefonen genutzt werden. Technisch wäre es aber ebenso möglich, Endgeräte für nicht-öffentliche Anschlüsse anzubieten, die ebenso wie die öffentlichen Telefone in der Lage sind, die anfallenden Telekommunikationsentgelte von einer Chipkarte abzubuchen. Bei der Gestaltung dieser Systeme ist nicht nur darauf zu achten, daß mit ihrer Hilfe zentrale Datenbestände für Abrechnungszwecke vermieden werden können, sondern auch darauf, daß die Abrechnungsmöglichkeiten manipulationssicher sind. Ferner sollten Telekommunikationsverbindungen auf Wunsch des Teilnehmers dokumentiert werden können. Die Verbindungsdaten dürfen hierbei allerdings nur in einem Umfang genutzt werden, daß Persönlichkeitsrechte Dritter, z.B. angerufener Teilnehmer gewahrt bleiben.
Ein solches System könnte wie folgt funktionieren:
Auf der Strecke Endgerät - Anschlußdose - Vermittelnder Netzknoten (VNK) (früher als "Ortsvermittlungsstelle" bezeichnet) wird zwischen dem Endgerät und der Anschlußdose
im Bereich des Teilnehmers ein Gerät zur Abrechnung von Telekommunikationsdienstleistungen
installiert, im folgenden kurz "T-Zähler" genannt. Denkbar ist auch
eine Installation direkt im Endgerät oder erst in der Anschlußdose.
Ein solcher T-Zähler enthält einen Mikrocomputer und einen Chipkartenleser.
Sobald man von einem über einen T-Zähler angeschlossenen Endgerät,
z.B. von einem Telefon- oder Telefaxgerät aus eine Verbindung zu einem
anderen Teilnehmer aufbauen will, erhält der T-Zähler ein entsprechendes
Signal. Er prüft dann zunächst, ob sich eine Speicher-Wertkarte
im Lesegerät befindet. Um eine manipulationssichere Abrechnung der
in Anspruch genommenen Telekommunikationsdienstleistungen zu ermöglichen,
sollten sich T-Zähler und Chipkarte, T-Zähler und Endgerät
sowie T-Zähler und VNK jeweils gegenseitig authentifizieren. Anschließend
wird, wie bisher, die Verbindung zum gewünschten Telekommunikationsteilnehmer
aufgebaut. Zu Beginn der Verbindung sowie mit jedem neuen Zeittakt bucht
der T-Zähler das für einen Zeittakt zu zahlende Entgelt vom Guthaben
der Speicher-Wertkarte ab. Wann jeweils eine neue Tarifeinheit beginnt,
teilt der VNK dem T-Zähler während der laufenden Verbindung mit.
Eine solche Übermittlung von Entgeltimpulsen bietet die Telekom ihren
Kunden bereits heutzutage auf Wunsch an. Alternativ ist auch eine Ausführung
des T-Zählers vorstellbar, bei der dieser anhand einer eingebauten
Uhr und den aktuellen Tarifinformationen selbst berechnet, wann ein neuer
Zeittakt beginnt. Die hierzu erforderlichen Informationen über neue
oder geänderte Tarife sowie die zu verwendenden Taktlängen teilt
der VNK hierbei dem T-Zähler jeweils bei Bedarf im Anschluß
an die Authentifizierung des T-Zählers gegenüber dem VNK mit.
Bei der Übermittlung der Tarifimpulse oder der Tarifinformationen
sind technische Maßnahmen (insbesondere Verschlüsselung und
elektronische Signatur) vorzusehen, die die Integrität, Authentizität
und Zurechenbarkeit der übertragenen Daten sicherstellen. Spätestens
nach Abschluß der Verbindung werden beim Telekommunikationsdienstanbieter
alle Verbindungsdaten gelöscht, die dazu dienten, die einzelne Verbindung
aufzubauen und aufrecht zu erhalten.
Abrechnung von Telekommunikationsdienstleistungen (Grafik: 22 KB) |
Folgende Voraussetzungen müßten erfüllt sein, soll durch einen Einsatz von Speicher-Wertkarten bei nicht-öffentlichen Telekommunikationsanschlüssen auf die Verbindungsdatenspeicherung für Abrechnungszwecke verzichtet werden:
Sind alle diese Anforderungen erfüllt, so könnte auch an nicht-öffentlichen Telekommunikationsanschlüssen die bislang übliche Speicherung der Verbindungsdaten zu Abrechnungszwecken entfallen. Sofern der entsprechende Tarif außerdem keinen monatlichen Grundpreis beinhaltet, kann auf die Speicherung von Kundendaten für Abrechnungszwecke ganz verzichtet werden.
Die bislang genannten Möglichkeiten zur Vermeidung der Speicherung von Verbindungsdaten für Abrechnungszwecke wurden am Beispiel der Telekommunikation im Festnetz erläutert. Entsprechende Möglichkeiten bestehen aber auch bei der Mobilkommunikation. In diesem Fall müßte die für jeden Mobilanschluß ausgegebene Mobilfunkkarte zugleich eine wiederaufladbare Speicher-Wertkarte darstellen und das Handy die Funktionen des T-Zählers übernehmen. Daß die Nutzung derartiger Speicher-Wertkarten bei der Mobilkommunikation technisch möglich ist, belegt das Beispiel, daß zum Jahreswechsel 1994/1995 kurzzeitig eine anfänglich mit einem Wert von 100 DM ausgestattete Prepaid-Mobilfunkkarte für das Netz D1 auf den Markt kam, bei der der Diensteanbieter nicht registrierte, an wen er diese Karten ausgegeben hat (vgl. Niederschrift der 725.Sitzung des Bundesrats-Rechtsausschusses vom 18.Juni 1997, S. 53).
Werden Telekommunikationsdienste angeboten, die keine Speicherung von Verbindungsdaten zu Abrechnungszwecken erfordern, so stellt sich die Frage, ob dies auch zu einer Reduzierung der Kunden-Stammdaten beim Telekommunikationsdienstunternehmen führen kann. Stammdaten dienen zumindest teilweise auch der Abrechnung: Offensichtlich ist dies bei der Bankverbindung. Aber auch die Anschrift dient - neben anderen Zwecken - der regelmäßigen postalischen Zustellung der Rechnungen.
Neben der Abrechnung können Stammdaten aber auch folgenden Zwecken dienen:
Der Einsatz von Speicher-Wertkarten oder bargeldähnlichem elektronischen Geld zur Vermeidung der Speicherung von Verbindungsdaten für Abrechnungszwecke ermöglicht zunächst nur eine Reduzierung
der gespeicherten Stammdaten, insoweit diese ausschließlich für
Abrechnungszwecke genutzt wurden, wie dies etwa bei der Bankverbindung
der Fall sein dürfte. Soweit Stammdaten neben der Abrechnung auch
noch einem oder mehreren anderen Zwecken dienen, ist eine Reduzierung dieser
Stammdaten nur in dem Ausmaß möglich, wie sich auch die Stammdatenspeicherung
für diese anderen Zwecke reduzieren oder vermeiden läßt.
Hierzu ist im einzelnen festzustellen:
Die in Nr. 4.2.3 und 4.2.4 dargestellten Möglichkeiten für die Minimierung von Verbindungs- und Bestandsdaten lassen sich
aus technischer Sicht auch bei Anschlüssen realisieren, die über
eine beispielsweise von einer Firma oder einer Behörde betriebenen
Nebenstellenanlage mit dem öffentlichen Telekommunikationsnetz verbunden
sind. Auch bei einer eigenen Gebührenverarbeitung kann der Umfang
der gespeicherten Verbindungsdaten durch folgende Maßnahmen erheblich
reduziert werden:
Das Bezahlen von Telekommunikationsdienstleistungen mit Hilfe bargeldähnlichen elektronischen Geldes kann zur Datenvermeidung beitragen, sofern die Bezahlung jeweils unmittelbar nach Beendigung einer Telekommunikationsverbindung erfolgt. Elektronisches Geld kann auch eine wichtige Rolle spielen, wenn es um das bargeldlose Wiederaufladen von Speicher-Wertkarten geht, ohne dabei eine Bankverbindung angeben zu müssen.
Die Verwendung von im voraus bezahlten Chipkarten (Speicher-Wertkarten) schafft die technischen Voraussetzungen für Telekommunikationsdienste, bei deren Nutzung keine Verbindungsdaten zu Abrechnungszwecken gespeichert werden müssen.
Darüber hinaus ist auch die Stammdatenspeicherung für Abrechnungszwecke überflüssig z.B. bei Verzicht auf einen Grundpreis oder bei monatlicher Abbuchung über den T-Zähler. Verzichtet der Kunde ferner darauf,
5 | HANDLUNGSEMPFEHLUNG |
---|