Die aktuell eingestellte Nutzungsart wird dem Nutzer gegenüber in einem Icon auf dem Desktop transparent dargestellt

3. Datenschutz durch Technikgestaltung und -bewertung

Web.Punkte

Über meine Prüfung von Web.Punkten berichtete ich bereits im letzten Jahresbericht (vgl. 24. JB, Ziff. 3.5). Web.Punkte sind besondere Internet-Cafes an Schulen, die außerhalb des Unterrichts auch interessierten Bürgern und schulexternen Organisationen zur Verfügung stehen. Bei der Prüfung im letzten Jahr hatte ich festgestellt, dass die Accounts der einzelnen Arbeitsplätze der Web.Punkte nicht gegeneinander abgeschottet sind, was eine unzulässige Einsichtnahme durch andere Nutzer innerhalb des Web.Punktes ermöglichte. Ich habe mich daraufhin an den für die Betreuung verantwortlichen Schul-Support-Service e. V. (S 3) gewandt und diesen aufgefordert, die festgestellten Mängel in allen Web.Punkten zu beseitigen. S 3 hat daraufhin die Grundkonfigurationen aller von ihm betreuten Web.Punkte entsprechend meinen Anforderungen angepasst und die Mängel somit beseitigt. Von den insgesamt 19 in Bremen installierten Web.Punkten sind die Maßnahmen bei 14 Web.Punkten bereits umgesetzt. An zwei Schulen sind die Web.Punkte aufgrund von baulichen Maßnahmen zeitweilig außer Betrieb. S 3 hat zugesichert, dass bei Wiederinbetriebnahme die Konfigurationen dieser Web.Punkte ebenfalls angepasst werden. Drei Schulen betreiben ihre Web.Punkte eigenverantwortlich. Ich beabsichtige, diese Schulen im Jahr 2003 einer datenschutzrechtlichen Prüfung zu unterziehen.

Software P-Switch Innerhalb des Bremischen Verwaltungsnetzes (BVN) soll Mitarbeiterinnen und Mitarbeitern neben der dienstlichen Nutzung des Internetzugangs auch die private Nutzung erlaubt sein. Dabei ist zu beachten, dass hinsichtlich der dabei zulässigen Protokollierung der Nutzung, je nachdem ob privat oder dienstlich im Internet gesurft wird, unterschiedliche Rechtskontexte (generell zu diesem Thema vgl. die Konferenzentschließung unter Ziff. 15.3 dieses Berichts) gelten. Ich hatte daher eine klare Trennung dieser beiden Bereiche vorgeschlagen. Um diesem Umstand nachzukommen sollen, ähnlich der bestehenden Regelung beim Telefonieren, Nutzerinnen und Nutzer aktiv zwischen dienstlicher und privater Internet-Nutzung umschalten können. Dazu ist von der datenschutz nord eine Erweiterung für den Internet Explorer von Microsoft entwickelt worden. Diese Erweiterung, die den Namen P-Switch trägt, ist ein Programm, dass die Systemeinstellungen des Internet Explorer verändert. Es wird, je nachdem, ob der Nutzer auf private oder dienstliche Nutzung umschaltet, der vom Internet Explorer zu nutzende zentrale Proxy-Server umgeschaltet. Im Bremer Verwaltungsnetz sind zu diesem Zweck zwei verschiedene Proxy-Server im Einsatz, die unterschiedliche Konfigurationen zur Protokollierung der Internet-Nutzung haben. Die bei der dem Standort der Proxy-Server, durchgeführte zentrale Protokollierung der Internet-Nutzung hat den Vorteil, dass nur an einer Stelle darüber gewacht werden muss, was nach welchen Regelungen protokolliert wird. Der Switch (Schalter) eignet sich natürlich auch für den Einsatz in Unternehmen. Dort gibt es vergleichbare Probleme hinsichtlich der privaten Nutzung des Internets und auch der haftungsrechtlichen Fragen, wenn eine klare Trennung nicht erkennbar ist.

Die aktuell eingestellte Nutzungsart wird dem Nutzer gegenüber in einem Icon auf dem Desktop transparent dargestellt. In dem Hintergrund des Browsermenüs wird ein Wasserzeichen hinterlegt. Das Wasserzeichen stellt im Fall der dienstlichen Nutzung den eingekreisten Buchstaben D dar, während der privaten Nutzung handelt es sich um den eingekreisten Buchstaben P. Zusätzlich wird das animierte Logo des Microsoft Internet Explorer durch Logos ersetzt, die wiederum das eingekreiste D bzw. P darstellen.

Das Programm P-Switch besteht aus einer einzigen Dialogbox, die während der Internet-Nutzung immer im Vordergrund des Desktops angezeigt wird. Die Dialogbox ist von ihren Abmessungen her so klein wie möglich gehalten, um die Darstellung am Bildschirm so wenig wie möglich zu stören. Benutzer können jedoch die Dialogbox auch minimieren oder schließen, um die Anzeige gar nicht zu stören. Die Dialogbox selbst besteht aus drei Schaltflächen (eine zum Ändern des Nutzungsstatus, eine zur Anzeige eines Hilfetextes, eine um die Dialogbox zu schließen) und einer Statusanzeige, auf welchen Nutzungsmodus, dienstlich oder privat, der Internet Explorer aktuell eingestellt ist.

P-Switch arbeitet sowohl mit Einzelplatz PC, die direkt an das BVN angeschlossen sind, als auch mit den in vielen Dienststellen bereits im Einsatz befindlichen Terminalserver-Lösungen zusammen. Auch bei den Terminalserver-Lösungen kann von jedem einzelnen Nutzer oder jeder einzelnen Nutzerin individuell der Nutzungsstatus geändert werden. Dabei werden die Nutzungsstati der anderen Nutzer des Systems nicht verändert.

Mit P-Switch soll innerhalb des BVN ein in Bedienung und Installation einfach gebautes Werkzeug zum Einsatz kommen, das es ermöglicht, auf für den Nutzer unkomplizierte Weise die datenschutzrechtlichen Anforderungen der dienstlichen und privaten Internet-Nutzung am Arbeitsplatz zu erfüllen. Das Programm ist sehr einfach zu bedienen, und der Nutzungskontext wird den einzelnen Nutzern immer aktuell angezeigt. Im Zusammenspiel mit der Protokollierung der auf den Proxy-Servern im BVN ergibt das ein wirksames System, um sowohl dienstliche als auch private Nutzung des Internets an Arbeitsplätzen in der Bremer Verwaltung zu ermöglichen, als auch ein Kontroll-Instrument für die Nutzung zu haben. Die Protokollierung wird standardmäßig nicht personenbezogen (IP-adressenbezogen) erfolgen, bei konkretem Verdacht auf missbräuchliche Nutzung kann eine dann anlassbezogene, zeitlich begrenzte Vollprotokollierung durchgeführt werden, um die Gefahr einer zukünftigen missbräuchlichen Internet-Nutzung zu minimieren. Der Umfang der Protokollierung auf den beiden im BVN im Einsatz befindlichen Proxy-Servern soll in einer Internetrichtlinie (Dienstanweisung) festgehalten werden, sie wird momentan vom Senator für Finanzen mit dem Gesamtpersonalrat und mir abgestimmt.

Biometrische Verfahren

Durch die Terroranschläge vom 11. September 2001 sind so genannte biometrische Verfahren stärker in das Licht der Öffentlichkeit gerückt. So ist im Terrorismusbekämpfungsgesetz, das nach dem 11. September mit Hochdruck aus dem Boden gestampft wurde und zum 1. Januar 2002 in Kraft getreten ist, geregelt, dass in Pass und Personalausweis neben dem Lichtbild und der Unterschrift auch weitere biometrische Merkmale von Fingern oder Händen oder Gesicht des Personalausweisinhabers enthalten sein dürfen. Lichtbild, Unterschrift und weitere biometrische Merkmale können auch in mit Sicherheitsverfahren verschlüsselter Form in den Pass oder Personalausweis eingebracht werden. Welche biometrischen Merkmale in Pass und Personalausweis eingebracht werden sollen, stand zum Zeitpunkt des Inkrafttretens des Terrorismusbekämpfungsgesetzes noch nicht fest und ist auch bis zum heutigen Tage noch nicht geklärt. Ein separates Bundesgesetz soll gemäß dem Terrorismusbekämpfungsgesetz regeln, welche biometrischen Merkmale in verschlüsselter Form in die Ausweispapiere einfließen und wie sie gespeichert, verarbeitet und genutzt werden dürfen.

Die Unklarheit, welches biometrische Merkmal in die Ausweispapiere einfließen soll, resultiert aus dem derzeitigen Stand der Technik und dem derzeitigen allgemeinen Informationsstand über die Qualität von biometrischen Verfahren.

Biometrie bedeutet soviel wie Vermessung des Lebens und ist die Idee, Merkmale des Menschen zu dessen eindeutigen Identifizierung auch mit technischen Mitteln zu nutzen. Biometrische Verfahren sind somit technische Methoden, um Menschen zu identifizieren. Sie können sowohl zur Identifizierung von Personen eingesetzt werden, als auch zur Authentifizierung der Personen für bestimmte Anwendungen, wie z. B. Zutritt zu bestimmten Bereichen in Rechenzentren oder Flughäfen. Die Authentifizierung auf biometrischer Basis stellt damit eine Alternative zu konventionellen Authentifizierungsmethoden, wie der Besitz eines Schlüssels oder einer Chipkarte oder der Kenntnis eines Passwortes, dar.

Damit ein biologisches Merkmal für eine eindeutige Identifizierung oder Authentifizierung genutzt werden kann, muss es verschiedene Anforderungen erfüllen. So muss es sich eindeutig zu einer Person (auch bei eineiigen Zwillingen) zuordnen lassen, es muss eine Merkmalskonstanz aufweisen, also z. B. durch Alterung oder geänderte Frisur nicht beeinflusst werden, und es muss eine weite Verbreitung haben, da möglichst alle potenziellen Nutzer dieses Merkmal haben sollten. Das zur Identifizierung oder Authentifizierung eingesetzte Verfahren muss sich zusätzlich hinsichtlich Kosten, Dauer und Methode einer Messung eignen, und die Nutzung muss akzeptabel sein, insbesondere darf die Person, die sich dem Verfahren unterzieht, keinerlei gesundheitlichen Beeinträchtigungen ausgesetzt sein. Die Merkmale, die eingesetzt werden könnten, sind vielfältig.

Verfahren sind beispielsweise denkbar und teilweise auch realisiert für die Erkennung von Gesicht, Iris, Fingerabdruck, Handgeometrie, Venenmuster auf dem Handrücken, Ohrform, Unterschrift, Stimme, Sprechverhalten, DNA, Körpergeruch, Gang oder Sitzverhalten.

Biometrische Merkmale lassen sich in drei verschiedene Merkmalsklassen einordnen: Genotypische (in den Genen verankerte Merkmale), konditionierte Merkmale (erlernte Verhaltensweisen) oder randtypische Merkmale (zufällig entstandene). Die Verfahren werden entweder berührungslos oder mit Berührung (Person muss Sensorfläche o. ä. berühren) durchgeführt. Berührungslose Verfahren sind z. B. Gesichts- oder Stimmerkennung, Verfahren mit Berührung etwa Fingerabdruck- oder Unterschriftenerkennung.

Der Vorgang einer Identifizierung oder Authentifizierung läuft grundlegend immer in vier Schritten ab: Zuerst die Aufnahme der Daten am Sensor, danach die Vorverarbeitung der Daten zu deren Verbesserung mittels mathematischer Verfahren (Beseitigung von Störungen etc.), daran anschließend erfolgt die Merkmalextraktion zur signifikanten Beschreibung der Daten, und abschließend erfolgt die Klassifikation der Merkmale. Die klassifizierten Merkmale können dann bei einer Authentifizierung gegen eine Merkmaldatenbank laufen gelassen werden, um z. B. Berechtigungen abzuprüfen oder zur Identifikation genutzt zu werden, wenn etwa sichergestellt werden soll, das Person und zugehöriger Personalausweis auch wirklich zusammengehören.

Grundsätzlich gibt es bei biometrischen Verfahren einige Schwierigkeiten, die beachtet werden müssen. Für jede einzelne Durchführung einer Identifikation oder Authentifikation hat man mit wechselnden Qualitäten der am Scanner aufzunehmenden Daten zu tun. Bei Erkennung von Gesichtern spielen z. B. die aktuelle Beleuchtungssituation, die am Ort der Erkennung herrschende Witterung oder Änderungen des Outfits von Personen, wie z. B. Brille oder Bart eine entscheidende Rolle. Bei der Erkennung von Fingerabdrücken (und letztendlich auch allen anderen biometrischen Verfahren) treten z. B. auch Probleme wie Translation (verschobenes Aufsetzen des Fingers auf den Sensor), Rotation (verdrehtes Aufsetzen), Skalierung (Fingerabdruck erscheint durch schwachen oder starken Anpressdruck an den Sensor unterschiedlich groß), Bildqualität (bedingt z.

B. durch trockene, nasse, abgenutzte oder schmutzige Finger) auf. Die Qualität der Referenzdaten muss entsprechend hoch sein, um diesen möglichen Fehlerquellen entgegenzuwirken. Beim so genannten Roll-Out, dem Bekanntmachen einer Person gegenüber einem System, werden hierfür mehrfach die gleichen Daten aufgenommen um optimierte gemittelte Referenzdaten zu erhalten.

Letztendlich kann aber auch die Anatomie selbst eine Barriere für die Nutzung biometrischer Verfahren sein. So gibt es bei schätzungsweise zwei bis vier Prozent der Bevölkerung mangelnde Merkmalsausprägungen für die Teilnahme an biometrischer Fingerabdruckerkennung. Diese Zahlenwerte lassen sich in etwa auf alle biometrischen Verfahren übertragen.

Die Qualität der technischen Implementierungen biometrischer Verfahren lässt heute noch vielfach zu wünschen übrig. So hat ein Test einer Computerzeitschrift (ct 11/2002) gezeigt, dass bestehende Implementierungen relativ einfach ausgehebelt werden können. Zusätzlich hat die Studie die das Fraunhofer Institut für Graphische Datenverarbeitung in Darmstadt (IGD) im Auftrag des Bundeskriminalamtes (BKA) und des Bundesamtes für Sicherheit in der Informationstechnik (BSI) durchgeführt hat, gezeigt, dass die Erkennungsleistungen vieler Geräte nicht akzeptabel sind. Die Fehlerquoten sind zu hoch.

Terrorismusbekämpfungsgesetz und der Forschungs- und Entwicklungsstand zu biometrischen Verfahren zwingen zu einer Überprüfung der geeigneten Technologien. Gerade Kenntnisse im Zusammenhang mit biometrischen Massenverfahren wie Erweiterung von Pass- und Personalausweis fehlen. Die speziellen datenschutzrechtlichen Aspekte solcher Verfahren und die Einbindung in Personalausweisen und Pässen sind auch auf der Konferenz der Datenschutzbeauftragten des Bundes und der Länder behandelt worden. Die wesentlichen Ergebnisse sind in einer Entschließung zusammengefasst, die unter Ziff. 15.1 dieses Berichts zu finden ist.