1. Grundprobleme von Datenschutz und Datensicherheit
1.3 Datenschutz als gesellschaftliches Problem
Was gibt es zu verbergen?
»Noch niemals zuvor wurden so viele personenbezogene Daten so
systematisch gesammelt, verarbeitet und verwertet. Der aus der Netznutzung
zu ziehende Umfang personenbezogener Daten und die nach ihrer
Zusammenführung aus ihnen gewinnbare Informationsqualität haben eine
neue Dimension erreicht.«
[14. Datenschutzbericht der Landesbeauftragten für den Datenschutz
Nordrhein-Westfalen (1998)]
Verbreiteter Irrtum: »Ich habe nichts zu verbergen!«
- Ärger über unerwünschte Werbung.
- Unschuldig im Fahndungsraster hängen geblieben.
- Versehentliche Speicherung falscher Daten.
- Verfolgung duch verfeindete Nachbarn, rachsüchtige Ex-Ehegatten, ...
- Jugendsünden, peinliche Vorfälle.
- Durch Massendatensammlungen werden auch harmlose Daten sensibel.
Wer glaubt er habe nichts zu verbergen, sollte:
- in einem Glashaus wohnen,
- und sein Haus immer offen stehen lassen.
Der gläserne Bürger oder Kunde
... entsteht durch:
- Persönlichkeitsprofile (s. u.) - Schlüsse auf Lebensumstände,
die in den Daten explizit nicht enthalten sind,
durch Zusammenführung von Daten und
Datenabgleich,
erleichtert durch zunehmende Vernetzung.
- Datensammlung verschiedener öffentlicher Stellen (s. u.).
- Krankenkassen, Institutionen der »Sozialverwaltung« (s. u.).
- Krebsregister und andere
Krankheitsregister (s. u.).
- Speicherung von Daten elektronischer Vorgänge wie
Bestellungen und Kommunikation,
z. B. Verbindungsdaten bei Telekommunikation.
- Personaldaten in Betrieben, verstärkte Überwachung,
Personal-Informationssysteme, Identitäts- und Zugangskontrollen durch
Überprüfung
»biometrischer« (anthropometrischer) Merkmale (s. u.).
- Bewegungsprofile durch Magnetkarten-Überwachung ... (s. u.)
- Speicherung von Kundendaten bei Händlern und
Kreditauskunfts-Organisationen.
- Datenraffgier im WWW (z. B. Aufzeichnung der Surf-Historie)
(s. u.).
- Adressenhandel
und Werbeflut (»Spam«).
- Privatwirtschaftliche Datensammlungen -
etwa von Handelsauskunfteien oder
Versicherungsunternehmen
(»Warndateien«).
- Die globale Überwachung.
»Wir basteln uns da eine Gesellschaft zusammen, die sozusagen
`Dictatorship ready' ist. Da muss dann nur noch einer den Schalter umlegen,
und schon hat er den schönsten Überwachungsstaat.«
(Christoph Weber-Fahr in de.org.ccc, 11. November 1994)
Die globale Überwachung
Die Überwachungstechniken sind nur zum Teil informatisch. Sie werden aber
in jedem Fall durch Informationstechnik erst richtig effizient.
- Überwachung der Telekommunikation
- Aufzeichnung des Surfverhaltens im Netz, des Nutzerverhaltens in Anwendungen -
Web Tracking mit Server Logs, Cookies, Web-Bugs, ...
- Aufzeichnung des Kaufverhaltens (Customer Relation Management = CRM)
[iX 7/2001: Der nackte Kunde]
- Data Mining
- Spionagesatelliten, kommerzielle Luftaufnahmen
- GPS - Global Positioning System
- Geographische Informationssysteme mit hoher Auflösung
[Computerzeitung 4. 10. 2001]
- Handy-Tracking
- Die Ubiquität von Kreditkarten-Nummern und (in USA) der Social Security
Number.
- Überwachungskameras an allen Ecken, Gesichtserkennungs-Software
[Heise,
2. 11. 2001]
- Etikettensysteme (Transponder - Chips in Kleidung und Gebrauchsgegenständen)
[Computerzeitung 4. 10. 2001]
- Online-Registrierung von Hard- und Software
Große Datensammlungen
- Meldedaten:
- Einwohnerverzeichnisse,
- Telefonverzeichnisse.
- Polizei, Verfassungsschutz, Ermittlungsbehörden (s. u.).
- Justiz.
- Sozialleistungsbereich:
- Gesundheitswesen (s. u.).
- Krankenkassen [GSG §301]
- Versicherungen,
- Wer die Klausel nicht unterschreiben will, daß er seine
früheren, gegenwärtigen und zukünftigen Ärzte
von ihrer Schweigepflicht entbindet, braucht erst gar keinen Antrag
auf Lebensversicherung zu stellen. Das Datenschutzgesetz bietet
gegen solche Sammlungen kaum Handhaben, nicht
einmal Kontrollmöglichkeiten.
- Sozialverwaltung (s. u.).
- Finanzverwaltung.
- Kreditgewerbe.
- u. v. a., zunehmend im privatwirtschaftlichen Bereich,
international.
Beispiel Gesundheitswesen
Alle wollen Daten:
- die Apotheker: alle Medikationsdaten (Vorwand: Lipobay-Skandal),
- die Kassen: alle Patientendaten (Vorwand: Anwalt des Patienten),
vorgeblich zum Wohle des Patienten, in Wirklichkeit zum eigenen Machtgewinn,
zur Stabilisierung der eigenen Position.
Die Selbstbestimmung des Patienten wird dabei annulliert. Dazu wird ein
Vertrauensverhältnis postuliert, das überhaupt nicht existiert.
(»Der Arzt als Anwalt des Patienten«)
Das Gesundheitswesen leidet aber nicht an zu wenig Daten, sondern an zu
wenig Zeit. Und Zeit ist auch das, was man zum Aufbau eines Vertrauensverhältnisses
braucht.
Beispiel Ermittlungsbehörden
Überhaupt alle Daten wollen die Ermittlungsbehörden, und zwar vorsorglich.
Das wollten sie zwar schon immer, wurden aber bisher von Datenschützern
und Bürgerrechtlern gebremst. Die Terroranschläge vom 11. September 2001
haben die Bremsleitungen durchtrennt.
Die Sicherheitspolitiker sind von allen guten Geistern verlassen,
wollen unbedingt etwas Spektakuläres durchziehen. Siehe »Big Brother Awards:
Schily siegt«
[Heise
27.10.2001]
Die USA, einige europäische Länder (UK, Frankreich, Niederlande, ...) und
auch Deutschland (»Otto-Katalog«) haben im Eilverfahren
Ermächtigungsgesetze durchgepeitscht, die den Ermittlungbehörden und Geheimdiensten
Stasi-Vollmachten gewähren.
[Heise 12.10.2001]
[Heise 21.10.2001]
[Heise 25.10.2001]
[Heise 26.10.2001]
[Heise 26.10.2001]
[Heise 26.10.2001]
Dabei ist völlig unwahrscheinlich, dass die Datensammelei die Terroranschläge
verhindert hätte oder künftige verhindern wird - wie denn auch?
Ermittlungsbehörden und andere staatliche Organe sind nicht
vertrauenswürdig, nicht die Polizei - erst recht nicht die kaum
kontrollierten Geheimdienste -
- weder der Gesamtapparat
- noch 100% der einzelnen Mitglieder,
wie die zahlreichen Skandale der letzten Jahre gezeigt haben.
Z. B. [iX 8/2001, S. 26]
[Risks 21.73]
[aaa]
Misstrauen ist ein Grundprinzip der Demokratie.
Daher der Grundsatz der Gewaltenteilung:
Es dürfen keine unkontrollierbaren Machtmonopole entstehen.
Vertrauen fordert nur der Diktator oder Monarch.
Beispiel Sozialverwaltung
In den Datenbanken der Sozialversicherung sind sowohl personenbezogen als auch
lückenlos erfasst:
- Name, Anschrift, Bankverbindung, Beitragsgruppe, Versicherungszeiten,
Beitrags-, Ersatz- oder Ausfallzeiten (u. a. Zeiten des Wehr- oder
Zivildienstes), Beitragsgruppe und Staatsangehörigkeit.
- Angaben zu Größe und Gewicht,
Art und Schwere von ärztlich behandelten oder einem Gutachter
bekannt gewordenen Erkrankungen,
Diagnosen, Befunde (u. a. EKG, Röntgen, nuklearmedizinische
Untersuchungen),
psyschologische und psychiatrische Testergebnisse,
Datum und Stelle der Untersuchung,
Krankheitsverläufe,
Abhängigkeiten von Suchtmitteln,
Geschlechtskrankheiten,
Daten zur Klinikeinweisung und -entlassung,
behandelnder Arzt,
Therapien,
Arznei- und Heilmittelverbrauch,
Art einer Behinderung,
Wohnverhältnisse bei Kranken und Behinderten,
Maßnahmen der Eingliederung,
Grad der Erwerbsfähigkeit,
Gewährung von Kuren, Massagen u. ä.,
medizinische Hilfsmittel,
vertrauensärztliche Gutachten,
Klinikentlassungsberichte.
- Schul- und Berufsausbildung (einschließlich Abschlüsse und Praktika),
Arbeitsstätten, Betriebsnummer,
Krankenversicherung,
Verdienst, Arbeitszeiten, Arbeitsunterbrechungen und Fehlzeiten,
Art und Ausmaß von Arbeitsunfällen,
Stellenwechsel,
Teilnahme und Art der Berufsförderungsmaßnahme,
Bezug von Vorruhestandsgeld, Rente, Arbeitslosigkeit.
- Empfang von Sozialleistungen (wie Sozialhilfe, Wohngeld, Arbeitlosengeld
oder -hilfe).
- Straftatbegründende Unfallzusammenhänge, Haftstrafen.
- Familienstand, Datum der Eheschließung, Name des Ehepartners,
Ehescheidung, Versorgungsausgleich, Kinderzahl, Kindschaftsdaten,
Höhe der Unterhaltszahlung.
- Schwangerschaftberatung oder -abbruch, Drogenberatung.
- Sterbedaten.
Beispiel: Kontrolle von Mitarbeitern
- Zugangskontrollen über persönliche (»biometrische«) Merkmale -
- Fingerabdrücke, Netzhautbilder, genetische Muster,
- Speicherung dieser Merkmale:
medizinische Diagnosen?
Abgrenzung zu polizeilichen Ermittlungsmethoden?
informationelles Selbstbestimmungsrecht?
- IT-Systeme immer sensibler -
immer strengere Sicherheitsmaßnahmen, da lebensnotwendige soziale
Funktionen, Eigendynamik in Richtung totale Überwachung,
Personal muss sorgfältig ausgesiebt werden:
- Prüfung der politischen Einstellung bis hin zum faktischen
Berufsverbot.
(Gehört er dieser oder jener Partei an? Demonstriert er?)
- Kontrolle des Lebensstils. (Trinkt er? Hat er Schulden?)
- Überprüfung persönlicher Kontakte.
(Hat er dubiose Bekannte? Reist er ins Ausland?)
- Ausleuchtung der Vergangenheit.
(Ist er erpressbar?
Ist er als ehemaliger Hacker als zuverlässig einzustufen?
Hat er sich als Student politisch betätigt?)
- Überwachung am Arbeitsplatz -
Beispiel Epidemiologie: Daten für die Forschung
Epidemiologie: Erforschung von Krankheiten im
Bevölkerungsbezug, z. B. Erkennen von Risikofaktoren. Dazu braucht man
Daten zu Umwelteinflüssen und Lebensführung.
Krebsregister in Deutschland dienen der Epidemiologie
der Krebserkrankungen:
- Kinderkrebsregister
am IMBEI in Mainz. Wichtige
Forschungsergebnisse u. a.:
- Kernkraftwerkstudien,
- Spätfolgestudien.
- DDR-Krebsregister.
- Länderkrebsregister:
Anforderungen an epidemiologische Register:
- Personenbezug interessiert eigentlich nicht, wird aber für
Langzeitstudien oft benötigt und muss daher unter besonderen,
kontrollierten Umständen herstellbar sein.
- Erfassungsgrad muss deutlich über 90% liegen,
um valide Aussagen zu gewinnen.
- Datenqualität muss hoch sein, daher sind während
der Datenerfassung oft Rückfragen nötig.
- Verwendung der Daten nur für Forschungszwecke unter
Kontrolle und mit strengen Auflagen.
Welche Lösungen oder tragbaren Kompromisse gibt es für die
Zielkonflikte? Welche Sicherheitsziele sollen umgesetzt werden?
Siehe auch:
Persönlichkeitsprofile
Durch Zusammenführen von Datensammlungen entstehen:
- Bewegungsprofile
- aus Daten der Verkehrsüberwachung, Handy-Tracking, GPS,
Ausweiskontrolle und sonstigen »elektronischen Spuren«.
- Käuferprofile
- aus Daten von bargeldlosen
Zahlungsvorgängen und Surfgewohnheiten.
- Interessenprofile
- aus Surfverhalten im WWW.
- Benutzerprofile
- an Informationssystemen.
- Kommunikationsprofile
- aus Verbindungsdaten verschiedener
Kommunikationseinrichtungen.
- Mitarbeiterprofile
- an IT-Arbeitsplätzen durch
Zugangsregistrierung und Logdateien.
Zielkonflikte
Der Datenschutz kollidiert sehr oft mit anderen berechtigten
Interessen.
- Datenschutz vs. Informationsfreiheit
(z. B. Pressefreiheit, Diskussion von Sicherheitsprobleme)
- Datenschutz vs. Verbrechensbekämpfung
- Datenschutz vs. Forschung (z. B. Epidemiologie)
- Datenschutz vs. Datenschutz (z. B. Kontrolle von Mitarbeitern in
datenschutzkritischen Bereichen)
- Anonymität vs. Verbindlichkeit
- Vertraulichkeit vs. Verfügbarkeit
- Informationsfreiheit vs.
Jugendschutz
- Datenschutz vs. Verbraucherschutz
- Sicherheit vs. Freiheit
Wer die Freiheit um der Sicherheit willen aufgibt, wird am Ende beides
nicht haben.
Mit der Verfügbarkeit der Daten steigt auch ihre Verwundbarkeit.
Schlagzeilen
- »Umwelt - Gläserne Bürokratie«
- »Die Ganoven schützt der Datenschutz«
[AZ, 17.5.1991]
- »Polizeiarbeit wird behindert«
- »Einstellung des Anonymisierungsdienstes AN.ON droht«
[Heise,
17.10.2001]
- »Falsch verstandener Datenschutz behindert die Forschung«
- »Das Kreuz mit dem Krebs«
Problembereiche des Datenschutzes
- gesellschaftlich:
- Politik: globale Überwachung
- Behörden
- Privatwirtschaft: ungesteuerte, ungehemmte, unkontrollierte
Datensammelei
- elektronischer Kommerz (e-Business)
- Medizin
- ...
- technisch:
Der Datenschutz ist gefährdet durch ...
- fehlendes Datenschutzbewusstsein bei Verantwortlichen,
- mangelhafte rechtliche Regelungen,
insbesondere die Subsidiarität der Datenschutzgesetze,
- organisatorische Mängel bei Behörden und Systembetreibern,
- Datenspuren,
- die universelle Sammelwut (»Nix wegwerfen!«)
- lückenhafte IT-Sicherheit, insbesondere in offenen Systemen.
Die Anforderungen des Datenschutzes müssen bei der Modellierung,
Konzeption und Implementation von Informationssystemen mit besonderer
Dringlichkeit berücksichtigt werden.
Die Gefahren d. und f. lassen sich durch informatische Ansätze mildern
(»Datenschutz durch Technik«).
Vorlesung Datenschutz und Datensicherheit,
Johannes-Gutenberg-Universität Mainz
Autor: Klaus Pommerening, 31. März 1999,
letzte Änderung: 25. Dezember 2001.
E-Mail an
Pommerening@imsd.uni-mainz.de.