Das Eckpunktepapier der Bundesregierung zur deutschen Kryptopolitik ist ein wichtiger Schritt
Folgende Forderungen im Einzelnen wurden vorgetragen:
- Alle Telekommunikationsanbieter sind bei der Geschäftsabwicklung zu Datensparsamkeit und Datenvermeidung zu verpflichten. Optionen für anonyme und pseudonyme Nutzungen sind zur Verfügung zu stellen.
- Verschlüsselung ist als kostenlose Standardleistung anzubieten. Das Eckpunktepapier der Bundesregierung zur deutschen Kryptopolitik ist ein wichtiger Schritt in die richtige Richtung.
- Ein Mediennutzungsgeheimnis ist einzuführen: Wie Zeitung, Buch oder Fernsehen müssen auch die Neuen Medien unkontrolliert genutzt werden können.
- Die Mitwirkungspflichten bei Abhörmaßnahmen sind auf lizenzpflichtige Unternehmen (z. B. Telefongesellschaften) zu begrenzen. Nebenstellenanlagen in Hotels, Betrieben oder Krankenhäusern sind auszunehmen.
- Die Anwendung der Überwachungsbefugnisse muss regelmäßig von unabhängiger Seite evaluiert werden.
- Datenschutzfreundliche Techniken sind zu fördern. Sie müssen erforscht und entwickelt sowie kundenfreundlich auf dem Markt angeboten werden.
- Berufliche Schweigepflichten z. B. von Ärzten oder Anwälten sind besonders wirksam zu schützen.
- Der bestehende strafrechtliche Schutz des Kommunikationsgeheimnisses muss endlich ernst genommen werden. Stärkere polizeiliche Prävention, Beendigung des freien Verkaufs von Abhörtechnik, Effektivierung der Strafverfolgung sowie Straffreiheit für die Aufdeckung von Sicherheitslücken (ethical hacking) müssen der Bagatellisierung von Straftaten gegen den Schutz der Privatsphäre ein Ende setzen.
Die Pressekonferenz hatte ein breites, in der Mehrzahl zustimmendes Medienecho.
Die Datenschutzbeauftragten werden genau verfolgen, ob und wenn ja, welche rechtspolitischen Reaktionen dieser Forderungskatalog auslösen wird.
3. Datenschutz durch Technikgestaltung und -bewertung
Nachdem sich die Hansestadt Bremen beim Städtewettbewerb Multimedia bereits 1998 unter den letzten zehn förderungswürdigen deutschen Städten platzieren konnte, gelang es nun in einer weiteren Phase, sich zusammen mit der Stadt Esslingen und der Region Nürnberg gegenüber den noch verbliebenen Mitbewerbern als Gesamtsieger erfolgreich durchzusetzen. Dies ist aus datenschutzrechtlicher Sicht insofern erfreulich, als das MEDIA@Komm-Projekt u. a. die Möglichkeit bietet, Verschlüsselungsverfahren und insbesondere digitale Signaturen in unterschiedlichen Bereichen ausgiebig zu testen und unter Beteiligung meiner Dienststelle zu evaluieren (zur grundsätzlichen Bedeutung des Projekts vgl. Ziff. 1.4.).
Zur Koordinierung des Projekts wurde eigens die Projektgesellschaft Bremen Online Service (BOS) gegründet, die im Herbst 1999 Ihre Arbeit aufgenommen hat.
Vorrangiges Ziel des Projekts ist es, eine Plattform für rechtsverbindliche und vertrauenswürdige Internettransaktionen aufzubauen, die sowohl den Bürger als auch Unternehmen im digitalen Umgang mit Behörden und anderen öffentlichen Stellen unterstützt. Die Plattform soll, soweit im Verfahren erforderlich, in Verbindung mit einem Trust Center die Identität des Bürgers bzw. des Unternehmens prüfen, Anträge entgegennehmen und an die jeweils zuständigen Stellen weiterleiten, sowie ggf. die Abrechnung der Dienstleistungen übernehmen. Darüber hinaus ist geplant, die BOS-Plattform als Datenbank-Plattform für verschiedene Fachgebiete zu benutzen. Beispielsweise würden Anfragen an einzelne Ämter nicht an deren Server weitergeleitet, sondern bereits von der BOS-Plattform bearbeitet. Dies setzt jedoch voraus, dass die jeweiligen Verwaltungs-Server in kurzen Abständen mit der Datenbank der BOS-Plattform synchronisiert würden. der Anfangskontakt zu BOS kann jedoch über einen Standard-Browser erfolgen. Der Browser wird so konfiguriert, dass nur zertifizierte aufgerufen werden können. Das Nachladen von Java-Klassen erfolgt über ein spezielles Interaktions-Applet.
Die Authentisierung des Bürgers gegenüber der BOS-Plattform erfolgt durch ein Challenge-Response-Verfahren. Der hierfür clientseitig benötigte Schlüssel wird auf einer speziellen Chipkarte langfristig ist eine Erweiterung der EC-Karte vorgesehen gespeichert, so dass sich der Bürger lediglich mittels PIN gegenüber dem entsprechenden Chipkarten-Modul authentisieren muss. Diese PIN ist nicht mit der PIN identisch, die bei der Benutzung von Geldautomaten oder Electronic Cash eingegeben werden muss. Nach erfolgreicher Authentisierung wird ein Sitzungsschlüssel mit einer Länge von 128 Bit erzeugt, mit dem die übertragenen Daten verschlüsselt werden.
Die Verbindung zwischen dem Personalcomputer eines Bürgers bzw. eines Unternehmens und der Server-Plattform von BOS soll auf einem eigens von BOS spezifizierten Standard (OSCI, Online Services Computer Interface) basieren, der im Wesentlichen auf HBCI (Home Banking Computer Interface) aufbaut. Während HBCI nur zur Abwicklung von Bankgeschäften dient, deckt OSCI auch andere Geschäftsvorfälle ab. Neben der BOS-Plattform existiert noch ein Formular-Server, der allerdings ohne Nutzung des OSCI-Protokolls kontaktiert werden kann.
MEDIA@Komm ist, wie im Vorwort dargestellt, ein Projekt mit weitreichenden Folgen. Meine Kontakte und Beteiligungsmöglichkeiten sind im bisherigen Verlauf als gut zu bezeichnen. Ohne auf die vielfältigen datenschutzrechtlichen, technischen und rechtlichen Fragen im Einzelnen einzugehen, lässt sich folgendes sagen.
Aus Datenschutzsicht ist es notwendig, bei der Gestaltung der Datenbank-Plattform nicht nur zwischen öffentlichem und nicht-öffentlichem Bereich zu trennen, sondern auch Verfahren öffentlicher Stellen gegeneinander abzuschotten. Hierfür würde es ausreichen, die Trennung auf Datenbankebene zu vollziehen. Anstelle einer fachübergreifenden Datenbank und eines Datenbank-Administrators, der fachübergreifend auf sämtliche Daten zugreifen kann, werden für zusammenhängende Lebensbereiche eigene Datenbanken mit jeweils der Fachbehörde zugeordneten Datenbank-Administratoren eingerichtet.
Darüber hinaus sollte soweit wie möglich versucht werden, die auf der BOS-Plattform gespeicherten personenbezogenen Daten einzelner Fachanwendungen zu pseudonymisieren. Anstelle des Namens und der Adresse des Bürgers würden auf der Ebene der BOS-Plattform lediglich ein Pseudonym gespeichert, möglicherweise die Karten-Nummer. Durch die Pseudonymisierung ließen sich die bei einem verfahrensübergreifenden Zugriff entstehenden Datenschutzprobleme erheblich reduzieren.
Mit MEDIA@Komm wird der Schritt unternommen, unter Einbringung von privaten Firmen als Entwickler wie auch als User und dem Bürger, Verwaltungsverfahren über das Internet abzuwickeln. Mein Ziel ist es durch intensive Befassung und Beratung die vielfältigen sich immer weiter entwickelnden technischen Möglichkeiten zu einem datenschutzverträglichen Einsatz zu verhelfen.
Bremisches Verwaltungsnetz (BVN)
Neben elektronischer Post wird das Bremische Behördennetz (BVN) zunehmend für Anwendungen genutzt, bei denen sensible personenbezogene Daten verarbeitet werden, beispielsweise Personaldaten im Rahmen von PUMA. Der Aufbau einer behördenübergreifenden Netzinfrastruktur setzt daher gleichzeitig die Schaffung einer Sicherheitsinfrastrukur voraus. Hierzu hat es im Berichtszeitraum weitere Aktivitäten gegeben:
- Im Rahmen der Projekte PUMA und SEKT (vgl. Ziff. 12.2.) wird eine Infrastruktur aufgebaut zur Verschlüsselung von elektronischer Post (vgl. Ziff. 3.4.).
- Im November 1999 hat sich die bereits seit längerem angekündigte Arbeitsgruppe Sicherheit im BVN konstituiert. Die Arbeitsgruppe, die sich aus Vertretern der SKP, der des Gesamtpersonalrats, des Rechnungshofs und des Landesbeauftragten für den Datenschutz zusammensetzt, wird auf der Basis einer detaillierten Ist-Analyse mögliche sicherheitstechnische Schwachstellen zunächst konzeptionell analysieren. Hierauf aufbauend sollen einzelne Netzkomponenten einem gezielten Sicherheitstest unterzogen werden. Geplant sind zudem konkrete Handlungsanleitungen zu den Themen Telearbeit, Fernwartung und Protokollierung.
- Vom des Senators für Finanzen sind so genannte herausgegeben worden, die Vorgaben zum Aufbau, zur Installation und zu Sicherheitseinstellungen von und -Workstation enthalten. Die Richtlinie geht u. a. detailliert auf zu vergebene Zugriffsrechte für einzelne Systemverzeichnisse ein und benennt Parameter für Benutzerkonten und zur Protokollierung von Datei- und Objektzugriffen. Die NT-Guidelines sollen in Kooperation mit der Arbeitsgruppe Sicherheit des BVN regelmäßig aktualisiert und auf Servern der bremischen Verwaltung öffentlich zur Verfügung gestellt werden.
- Zusammen mit dem Hamburgischen Datenschutzbeauftragten habe ich im Januar 2000 eine Broschüre herausgegeben, die Sicherheitsmaßnahmen für Windows NT sowohl für die öffentliche Verwaltung als auch für Unternehmen beschreibt. Die Broschüre richtet sich an Administratoren und behördliche und betriebliche Datenschutzbeauftragte sowie an Personal- und Betriebsräte, die sich mit Windows NT aus Sicht des Arbeitnehmerdatenschutzes beschäftigen.
Den weiteren Ausbau des bremischen Verwaltungsnetzes, insbesondere die Umsetzung von sensiblen Client-Server-Anwendungen werde ich konstruktiv im Interesse des Datenschutzes begleiten.
Privatisierung der ID Bremen Daten der bremischen Verwaltung wurden bislang entweder von den Behörden selbst oder in deren Auftrag von der Informations- und Datentechnik Bremen (ID Bremen) verarbeitet, einem Eigenbetrieb der Stadtgemeinde Bremen. Das bisherige Prinzip, dass Daten öffentlicher Stellen auch nur durch öffentliche Stellen verarbeitet werden, wird nunmehr durch die Gründung einer Gemeinschaftsgesellschaft Gesellschafter sind das Land Bremen und das debis Systemhaus erstmals in Bremen durchbrochen. Zwar wird das Gemeinschaftsunternehmen, dem ein Großteil der bislang von der ID Bremen wahrgenommenen Aufgaben übertragen werden soll, sämtliche personenbezogenen Daten zunächst auch weiterhin am jetzigen Standort des ID Bremen verarbeiten. Es ist jedoch in keiner Weise auszuschließen, dass Verwaltungsdaten in einigen Jahren auch außerhalb Bremens beispielsweise beim debis-Standort in Hamburg gespeichert werden.
Da mit der Gründung der Gemeinschaftsgesellschaft zahlreiche Datenschutzfragen verbunden sind, wurde ein umfangreiches Datenschutzkonzept erarbeitet, das nicht nur den bisherigen Sicherheitsstandard des ID Bremen für die Gemeinschaftsgesell