GDD-Infotag 1998

Leitthema Datenschutz bei Telekommunikation und neuen Technologien

Der GDD-Informationstag fand unter dem Leitthema „Datenschutz bei Telekommunikation und neuen Technologien“ mit gleichem Programm am 17. Juni in Stuttgart und am 8. Juli in Hamburg statt. Die Veranstaltungen erfreuten sich mit insgesamt ca. 160 Teilnehmern einer positiven Resonanz. Die Tagungsleitung wurde in Stuttgart von Herrn Wolfgang Strubel, GDD-Vorstand, und in Hamburg von Herrn Bernd Hentschel, GDD-Vorstandsvorsitzender, wahrgenommen.

„Datenschutzfreundliche Technologien“ waren Gegenstand der Referate von Herrn Ernestus (Stuttgart) und Herrn Biermann (Hamburg), beide vom Bundesbeauftragten für den Datenschutz. Die Referenten gingen einleitend auf die Einführung der IuK-Techniken in nahezu allen Lebensbereichen ein und wiesen auf die damit verbundenen Gefahren für das Persönlichkeitsrecht der Nutzer von IuK-Systemen hin. Um den Gefahren wirksam begegnen zu können, müßten die Eckpfeiler der modernen IuK-Technik (klassische IT-Technik, Telekommunikation, Multimedia und Chipkarten) in die Betrachtung mit einbezogen werden. Die Referenten gaben einen Überblick über Systemelemente, bei denen üblicherweise in der klassischen IT-Technik eine Identifizierung des Benutzers möglich ist. In diesem Zusammenhang wurden die Autorisierung, die Identifikation und Authentifikation, die Zugriffskontrolle, die Protokollierung und die Abrechnung genannt. Des weiteren wurde näher auf die Möglichkeiten der Anonymisierung und der Pseudonymisierung eingegangen. Als Realisierungshilfen könnten Hashfunktionen, digitale Signaturen, biometrische Verfahren und die Schaffung von Vertrauensstellen dienen. Eine Orientierung an dem Prinzip der Datenvermeidung und Datensparsamkeit sowie der Einsatz datenschutzfreundlicher Technologien seien unerläßlich, um dem Datenschutz gerecht zu werden und die notwendige Akzeptanz in der Bevölkerung für die breite Einführung von IuK-Systemen zu fördern.

Herr Peter Schaar (Stellvertreter des Hamburgischen Datenschutzbeauftragten) behandelte auf beiden Informationstagen das Thema „Daten-schutzregelungen für die Telekommunikation“. Der Referent verdeutlichte zunächst die Anwendungsbereiche der Datenschutzregelungen im Telekommunikationsgesetz (TKG) und in der Telekommunikationsdienstunternehmen-Datenschutzverordnung (TDSV). Dabei stellte er heraus, daß die Datenschutzbestimmungen und die Regelungen zum Fernmeldegeheimnis im 11. Teil des TKG für jeden „geschäftsmäßigen Erbringer von Telekommunikationsdiensten“ einschlägig seien. Zusätzlich seien wesentliche Datenschutzvorschriften noch aufgrund der Verordnungsermächtigung nach § 89 Abs. 1 TKG zu erwarten. Der Referent erörterte die Zulässigkeit der Datenverarbeitung anhand einzelner Vorschriften aus dem Telekommunikationsrecht. Unter dem Aspekt der gesetzlichen Ausgestaltung des Selbstbestimmungsrechts wurden beispielsweise die Widerspruchsrechte der Kunden, das Erfordernis der Einwilligung und der besondere Schutz von Inhaltsdaten näher erörtert. Auch spezielle Fragestellungen zum Einzelentgeltnachweis, zur Rufnummernanzeige beim Angerufenen, zur Aufnahme in öffentliche und elektronische Verzeichnisse, zu Auskunftsdiensten und zur Datenübermittlung an Sicherheitsbehörden wurden behandelt. Abschließend wies Herr Schaar darauf hin, daß die Datenschutzaufsicht für die geschäftsmäßige Erbringung von Telekommunikationsdiensten dem Bundesbeauftragten für den Datenschutz zugeordnet worden sei. Dabei sei seine Kontrolle als Daueraufsicht ausgestaltet worden.

Die Herren Thomas Knaak (Stuttgart) und Dr. Martin Hube (Hamburg) vom Landesbeauftragten für den Datenschutz in Niedersachsen berichteten über ihre Erfahrungen beim Einsatz von Checklisten in Rahmen der Datenschutzkontrolle im nicht-öffentlichen Bereich. Die Referenten machten zunächst darauf aufmerksam, daß dem Landesbeauftragten für den Datenschutz in Niedersachsen neben der Zuständigkeit für den öffentlichen Bereich zusätzlich die Aufgabe der Aufsichtsbehörde nach
§ 38 BDSG übertragen worden sei. Die bisherigen Erfahrungen mit dieser in Deutschland noch ungewöhnlichen Konstellation seien durchweg positiv. Zur Aufgabe seiner Behörde gehöre auch die Kontrolle der Datensicherheit. Die Kontrolle einer datenschutzgerechten Konfiguration von Systemen bilde dabei einen Schwerpunkt der Arbeit der Aufsichtsbehörde. Nach Auskunft der Referenten decken die nachfolgend genannten Betriebssysteme ca. ²/3 aller Systeme ab: MVS/VM, Unix, Novell Netware und Windows NT. Seit 1992 habe ihre Behörde Checklisten und Orientierungshilfen für die vorgenannten Betriebssysteme erstellt. Mittels dieser Checklisten und Orientierungshilfen führe die Aufsichtsbehörde auch ihre Prüfungen durch. Die Listen dienten ebenfalls dazu, Entscheidungsträger, Organisatoren bei der Entwicklung eines Sicherheitskonzeptes, die betrieblichen Datenschutzbeauftragten, Administratoren und Revisoren zu unterstützen. Die Referenten schilderten den chronologischen Ablauf einer Prüfung im nicht-öffent-lichen Bereich, die unter Verwendung der vorerwähnten Checklisten erfolge. Die Funktionsweise der Checklisten wurde anhand der unterschiedlichen Betriebssysteme exemplarisch dargestellt. Die Ergebnisse der Prüfungen hätten bislang gezeigt, daß sehr unterschiedlich mit den Sicherungsmöglichkeiten der Betriebssysteme umgegangen werde. Neben ihrer Prüftätigkeit sehe die Behörde des Landesbeauftragten in Niedersachsen einen wesentlichen Schwerpunkt ihrer Tätigkeit in der Beratung und in der Kooperation mit den öffentlichen und nicht-öffentlichen Stellen. Abschließend wiesen Herr Knaak und Herr Dr. Hube auf die Internet-Präsenz des Landesbeauftragten Niedersachsen hin. Verschiedene Orientierungshilfen und die vorgenannten Checklisten seien unter www.lfd.niedersachsen.de abrufbar.

Im Rahmen der Podiumsdiskussionen zum Telekommunikationsrecht verdeutlichten die Vertreter vom Bundesbeauftragten für den Datenschutz darauf, daß ihre Behörde wegen der sehr weitreichenden Zuständigkeit (zentrale Datenschutzaufsicht für die „geschäftsmäßige Erbringung von Telekommunikationsdiensten“) einer erheblichen Arbeitsbelastung ausgesetzt sei. Datenschutzprüfungen seien zunächst bei gewerblichen Anbietern geplant.

Im Rahmen der Diskussion zum Telekommunikationsrecht verwies Herr Jaspers, Geschäftsführer der GDD, auf den aktuellen Entwurf einer Telekommunikations-Überwachungsverordnung (TKÜV), der der GDD zur Stellungnahme vorliege. Die TKÜV solle im wesentlichen die Anforderungen an die technische und organisatorische Umsetzung von Überwachungsmaßnahmen in der Telekommunikation auf Grundlage von § 88 TKG regeln. Im Rahmen der Verordnungsermächtigung bestehe aber die Möglichkeit, Ausnahmen von der grundsätzlichen Verpflichtung zur Bereitstellung von technischen Einrichtungen zur Überwachung der Telekommunikation zu regeln. Die GDD, so Jaspers, bereite eine Stellungnahme vor, in der eine Ausweitung des Ausnahmekataloges gefordert werde, um eine unverhältnismäßige Belastung von Wirtschaft und Verwaltung zu vermeiden. Die Stellungnahme wurde in den GDD-Informationen als Beilage zur RDV 4/98 veröffentlicht.