Sammeln, Aufbereiten und Verteilen von Informationen mit Individueller DV (IDV)
schafft nicht nur technische Probleme. Auch rechtlichen Aspekten, etwa zu Themen wie Datenschutz oder -sicherung, muß der Anwender gerecht werden. Ralf Bernd Abel, Mitglied im Gesetzgebungsausschuß für Telekommunikation, Datenverkehr und Datenschutz des
Deutschen Anwaltvereins, sondiert die juristische IDV-Umgebung.
Nach langen Jahrhunderten der Zensur ist heute grundsätzlich der Umgang mit Informationen frei. Allerdings gelten seit jeher gewisse Beschränkungen. Amts- und Geschäftsgeheimnisse dürfen Außenstehenden nicht mitgeteilt werden. Im Zahlungsverkehr ist ein weitgehendes Bankgeheimnis anerkannt. Seit dem Einsatz der EDV gibt es zudem Restriktionen durch Vorschriften über Datenschutz und -sicherung.
Datenschutz - ein mißverständlicher Terminus
Der Begriff Datenschutz ist mißverständlich. Es geht nicht um den Schutz von Daten, sondern um den Schutz des allgemeinen Persönlichkeitsrechts natürlicher Personen.
Datenschutz ist eine sogenannte Querschnittsmaterie. Das bedeutet, daß datenschützende Vorschriften nicht nur in den Datenschutzgesetzen enthalten sind, sondern auch in zahlreichen anderen Rechtsvorschriften auftauchen.
Grundlage ist das Bundesdatenschutzgesetz (BDSG) vom 1. 2. 1977. Dieses Gesetz,
das häufig auch als "Grundgesetz des Datenschutzes" bezeichnet wird, gilt überall da, wo keine spezielle, bereichsspezifische Norm (etwa das Personalaktenrecht) greift. Folgende Gesichtspunkte sind im BDSG geregelt:
1. Der erste, allgemeine Teil erläutert die vom Gesetz verwendeten Begriffe und enthält die Verpflichtung zu Datensicherungsmaßnahmen sowie den Grundsatz, daß Daten nur dann verarbeitet werden dürfen wenn der Betroffene eingewilligt hat oder eine Rechtsvorschrift dies
ausdrücklich erlaubt.
2. Der zweite Abschnitt betrifft die Datenverarbeitung im öffentlichen, Bereich.
3. Die Datenverarbeitung im privaten Bereich behandelt der dritte Abschnitt. Diese
Ausführungen gelten für Privatpersonen und Wirtschaftsunternehmen, die zur Erfüllung der eigenen Geschäftszwecke Daten verarbeiten.
4. Wenn Daten im Auftrag und/ oder für fremde Zwecke verarbeitet werden, sind die
Bestimmungen des vierten Abschnittes maßgebend. Dies ist typischerweise bei Servicerechenzentren, Handelsauskunfteien oder der Schufa der Fall, aber auch bei
bürointernen Datenverarbeitungsvorgängen innerhalb von Büro-Serviceunternehmen und Bürogemeinschaften.
5. Der fünfte Abschnitt enthält Straf- und Bußgeldvorschriften.
Das BDSG regelt - in ° 1 - ausschließlich den Umgang mit personenbezogenen Daten, also Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Jede Information, die etwas über einen Menschen aussagt, ist damit ein personenbezogenes Datum. Kunden- und Lieferantenkarteien, Schuldnerlisten, Vertragsdaten und Adreßbestände - um nur einige Beispiele zu nennen - enthalten eine Fülle personenbezogener Daten.
Nicht erfaßt werden hingegen Daten juristischer Personen. Dazu zählen Angaben über Firmen und Unternehmen - jedenfalls so lange, wie sich daraus kein Personenbezug herstellen läßt. Nicht personenbezogen sind ferner aggregierte Daten und statistisches Material, weil sich hieraus keine Informationen über bestimmte Personen ableiten lassen.
Die vier Phasen der Datenverarbeitung
Der Anwendungsbereich des BDSG beschränkt sich auf Daten, die aus Dateien
stammen, was bei DV-mäßiger Verarbeitung aber stets der Fall ist. Das BDSG regelt sogenannte . Phasen der Datenverarbeitung". Dies sind keine technischen Vorgänge, sondern Rechtsbegriffe. Das Gesetz unterscheidet dabei folgende Phasen:
- das Speichern von Daten, also das Erfassen von Daten auf einem Datenträger,
- das Verändern, nämlich das innerliche Umgestalten vorhandener Daten,
- des Löschen ist das völlige Unkenntlichmachen gespeicherter Daten, und zwar überall dort, wo diese Daten gespeichert werden, und
- das Übermitteln ist das Bekanntgeben von Daten an Dritte, also an Personen und Institutionen außerhalb der speichernden Stelle.
Die Verarbeitung personenbezogener Daten im Rahmen dieser vorgenannten vier
Phasen ist gemäß ° 3 BDSG nicht mehr frei, sondern nur noch dann erlaubt, wenn
- entweder der Betroffene (also derjenige, zu dessen Person Daten gespeichert werden) eingewilligt hat oder
- wenn das BDSG oder eine andere Rechtsvorschrift die Verarbeitung ausdrücklich erlaubt.
Die Zahl der anderen Rechtsvorschriften ist Legion. Hervorzuheben sind die Landesdatenschutzgesetze. Sie betreffen fast ausschließlich Behörden und öffentliche Dienststellen der Bundesländer. Das Sozialgesetzbuch regelt im zehnten Band unter anderem
den Sozialdatenschutz und bestimmt abschließend, wann Sozialdaten wem offenbart werden dürfen. Datenschützende Vorschriften enthalten auch die Meldegesetze, das Arbeitsrecht sowie die Zivil- und die Strafprozeßordnung, die Abgabenordnung und zahlreiche andere Vorschriften.
Keine privaten Dateien auf betriebseigenen Geräten
Diese Rechtslage hat für IC folgende Konsequenzen. Das BDSG (und - im öffentlichen Bereich - die Landesdatenschutzgesetze) finden Abwendung, sobald Daten mit irgendeinem Personenbezug verarbeitet werden. Da dies regelmäßig zumindest mit der Fall sein wird, sollte grundsätzlich die Anwendbarkeit der Datenschutz - Gesetze unterstellt werden. Dann ist zu prüfen, ob personenbezogene Daten überhaupt gespeichert werden dürfen. Das ist nicht immer selbstverständlich. Keine Probleme ergeben sich allerdings dann wenn die Datenspeicherung im Auftrage für fremde Zwecke erfolgt, was typischerweise bei Service-Rechenzentren der Fall ist. Dann nämlich ist ausschließlich der Auftraggeber für die Daten verantwortlich, was die Erlaubnis zur Speicherung einschließt. Der Auftragnehmer wird sozusagen als Teil des Auftraggebers, als sein "verlängerter Arm" angesehen.
Verarbeitet die speichernde Stelle die Daten für eigene Zwecke, ist gemäß ° 23 BDSG zu prüfen, ob die Speicherung durch Vertrag, ein vertragsähnliches Vertrauensverhältnis oder durch berechtigte Interessen gedeckt ist und ob nicht schutzwürdige Belange des Betroffenen dagegen stehen. Der Vertrag beziehungsweise das vertragsähnliche Vertrauensverhältnis muß mit dem Betroffenen selbst bestehen, nicht mit einer dritten Stelle. Das ist typischerweise beim Arbeitsvertrag der Fall.
Ein vertragsähnliches Vertrauensverhältnis wäre im Bewerbungsstadium anzunehmen.
Ist die Bewerbung erfolglos geblieben, müssen die Personaldaten wieder gelöscht werden, wie
sich aus dem Arbeitsrecht und auch aus datenschutzrechtlichen Gesichtspunkten ergibt. Daten der eigenen Arbeitnehmer dürfen aufgrund des Arbeitsvertrages gespeichert werden. Daraus folgt, daß die Speicherung insoweit nur die Daten umfassen darf, welche für die Durchführung des Arbeitsvertrages zwingend erforderlich sind. Andere Angaben dürfen nur dann gespeichert werden, wenn das schon genannte berechtigte Interesse besteht. Dies kann nur im Einzelfall unter Berücksichtigung aller Umstände entschieden werden.
Probleme ergeben sich dann, wenn Mitarbeiter eigene kleine Dateien auf "Stand-alones" einrichten und für sich nutzen. Hier ist der betriebliche Datenschutzbeauftragte gefordert. Es muß sichergestellt werden, daß keine unzulässigen Datensammlungen auf betriebseigenen Geräten erstellt werden. Dies mag durch stichprobenartige Kontrollen notfalls überprüft werden. Bei vernetzten Systemen ergeben sich dann, wenn die ursprüngliche Speicherung gerechtfertigt war, bei der weiteren Verarbeitung insoweit keine Schwierigkeiten, als lediglich berechtigte Mitarbeiter der speichernden Stelle Zugriff auf die Daten erhalten.
Schwierig wird es jedoch dann, wenn Dritte Einblick in die Datenbestände erhalten
können oder wenn innerhalb des vernetzten Systems Daten unkontrolliert an andere Stellen abfließen oder in ihrem Sinnzusammenhang verändert werden können Dies ist
datenschutzrechtlich unzulässig. Es muß von Anfang an, sowohl hardware- als auch
softwareseitig, sichergestellt sein, daß sich personenbezogene Daten im System nicht "verselbständigen", sondern daß stets die ursprünglich speichernde Stelle (Abteilung oder
andere) die Kontrolle darüber behält, was eigentlich mit den Daten geschieht, wer Zugriff erhält und in welcher Form die Daten weiterverarbeitet werden.
Die Zehn Gebote der Datensicherung
Die notwendigen Maßnahmen zur Datensicherung schreibt ° 6 des BDSG vor. Sie sind für die Ordnungsmäßigkeit der Datenverarbeitung zweckmäßig und nicht selten sogar
unerläßlich. Die Vorschriften sind über ihren eigentlichen Zweck - Persönlichkeitsverletzungen durch technische Sicherungen vorzubeugen - längst hinausgewachsen. ° 6 schreibt vor, daß die datenverarbeitende Stelle technische und organisatorische Maßnahmen zu treffen hat, die erforderlich sind, um die Vorschriften des BDSG und anderer datenschützender Gesetze einzuhalten. Allerdings muß die Verhältnismäßigkeit gewahrt bleiben. Die sogenannten "Zehn Gebote der Datensicherung" (Anlage zu ° 6) enthalten folgende Erfordernisse:
1. Die Zugangskontrolle soll verhindern, daß Unbefugte Zugang zu Datenverarbeitungsanlagen erhalten, in denen personenbezogene Daten verarbeitet werden. Dies gilt in besonderem Maße für Personal Computer und besonders für vernetzte Systeme. Es muß grundsätzlich
sichergestellt werden, daß nur der jeweilige Berechtigte Zugriff hat. Rechenzentren, die EDV-Anlagen und die DV-Räume gehören verschlossen, unbefugter Zugriff muß hard- und softwaretechnisch ausgeschlossen werden. Datenträger dürfen nicht in allgemein zugänglichen Bereichen herumliegen.
2. Die Abgangskontrolle soll sicherstellen, daß die Personen, die personenbezogene Daten verarbeiten, Datenträger nicht unbefugt entfernen. Mitarbeiter sind auf "Datenklau" zu
überprüfen. Dazu gehört auch Fernübertragung aus dem Netz heraus.
3. Die Speicherkontrolle soll verhindern, daß Unbefugte Daten in den Speicher eingeben oder gespeicherte Daten verändern oder löschen.
4. Die Benutzerkontrolle soll sicherstellen, daß nur autorisierte Personen Zugriff auf
Datenbestände haben. Es ist festzustellen, wer zur Verarbeitung welcher Daten zuzulassen ist.
5. Gleiches gilt für die Zugriffskontrolle.
6. Mit der Eingabekontrolle soll nachträglich überprüft und festgestellt werden können, welche personenbezogenen Daten wann von wem in Datenverarbeitungssysteme eingegeben worden sind. Dieser Punkt wird besonders wichtig im Hinblick auf die Verseuchung von Datenbeständen durch Computer-Viren.
7. Durch eine Übermittlungskontrolle soll überprüft werden, an welcher Stelle personenbezogene Daten weitergegeben werden oder übermittelt worden sind.
8. Die Auftragskontrolle soll gewährleisten, daß die Verarbeitung personenbezogener Daten in einem Service-Unternehmen ausschließlich entsprechend den Anweisungen des Auftraggebers erfolgt.
9. Die Transportkontrolle dient dem Schutz vor unbefugtem Lesen, Verändern oder Löschen von Daten während des Transports - was sowohl für den körperlichen wie für den elektronischen Transport gilt.
10. Die Organisationskontrolle schließlich erfordert eine innerbetriebliche Organisation, die den besonderen Anforderungen des Datenschutzes und der Datensicherung gerecht wird, zum Beispiel durch Richtlinien und entsprechende Arbeitsanweisungen.
Computerviren stoppen Gestaltungsfreiheit
Diese Anforderungen der Datensicherung sind bei der Verwendung integrierter Kommunikationssysteme und offener oder geschlossener Netze immer schwerer zu erfüllen.
Das hat zwei Ursachen. Zum einen hatte der Datenschutz - Gesetzgeber des Jahres 1976 noch die Groß-DV im Auge. Der PC befand sich seinerzeit noch in der Entwicklung. Die Vorschriften sind daher auf Rechenzentren abgestellt und müssen also inhaltlich angepaßt werden.
Zum anderen erscheint das Unterfangen fast aussichtslos, die Vielfalt heutiger DV-Vorgänge in ein Prokrustesbett rechtlicher Regelungen zwängen zu wollen. Es gibt aber zunehmend Gründe dafür. Das wird beim Einsatz von Netzen besonders augenfällig. Es
erscheint zunächst unsinnig, jeden Übertragungsvorgang protokollieren und in nachprüfbarer
Weise festhalten zu wollen. Zugangserschwernisse mögen zu Nutzungshemmnissen werden.
Das Medium lebt von Gestaltungsfreiheit, nicht jedoch von Kontrolle. Derartige Einwände gegen ein Zuviel an Datenschutz und Datensicherheit sind oft zu hören gewesen.
Erst seit dem Auftauchen der Computerviren hat ein Umdenkungsprozeß eingesetzt.
Es ist deutlich geworden, daß sowohl die Inhalte der Datenbestände als auch die Ordnungsmäßigkeit ihrer Verarbeitung nicht nur einen bedeutenden wirtschaftlichen Wert darstellen, sondern darüber hinaus von elementarer Bedeutung für die Tätigkeit der
verarbeitenden Stelle sind. Der Ausfall der DV wird durchweg zum sofortigen Stillstand jeglicher Tätigkeit von Firmen und Unternehmen führen. Die daraus resultierende Abhängigkeit gibt den "Zehn Geboten" der Datensicherung eine neue, zusätzliche Daseinsberechtigung.
Aus tatsächlichen wie aus rechtlichen Gründen kann es daher ratsam sein, größere, komplexere Einheiten zu dezentralisieren, aufzuteilen und gegebenenfalls auch Inseln zu bilden, die gegeneinander abgeschottet sind. Die Kommunikation miteinander sollte von festumrissenen, engen Voraussetzungen abhängig gemacht und ihr Vollzug entsprechend kontrolliert werden. Nur so lassen sich "Ansteckung" und Verseuchung, aber auch unbefugter Zugriff und Mißbrauch verhindern.
Neben der vertikalen Gliederung könnte auch eine horizontale Unterteilung der DV-Vorgänge in Betracht kommen. Gedacht ist jeweils an eine mögliche Zwischenebene - wie sie
mit Künstlicher Intelligenz und wohl auch dem Informationscenter zunehmend ins Blickfeld rückt. Hier ergeben sich neue Möglichkeiten, den Zugriff des Endbenutzers auf seine Benutzerebene zu beschränken und ihm die Möglichkeit zu nehmen, in die Verarbeitungsvorgänge tieferer Schichten aktiv einzugreifen.
Die Rechtswissenschaft steht an dieser Stelle noch vor ungelösten Fragen. Die seit
Jahren andauernden Novellierungsbemühungen, die eine Anpassung insbesondere des BDSG
an die neuen Verarbeitungsformen zum Ziel haben, zeigen beispielhaft die Schwierigkeiten bei
der Bewältigung der auftretenden Rechtsprobleme. Nicht weiter fortgeführt wurde der Versuch, die vorstehend erwähnte Anlage zu ° 6 BDSG neu zu fassen. Es hat sich gezeigt, daß es zur Zeit keine besseren Alternativen zu den Zehn Geboten der Datensicherung gibt, wie auch eine Umfrage der Bonner Gesellschaft für Datenschutz und Datensicherung (GDD) unter Datenschutzbeauftragten der privaten Wirtschaft eindrucksvoll belegt hat.
Verbote gemeinsam mit Schutzkonzepten
So viel ist sicher: Die rechtlichen Verbote müssen durch technische Schutzkonzepte ergänzt und abgesichert werden. Ebensowenig, wie Unbefugten der Zutritt zu Räumen,
Schränken und Tresoren gestattet wird, darf nichtautorisierten Personen der Zugriff zu PCs in
oder über Netze ermöglicht oder erleichtert weiden. Wie nahe die Mißbrauchsgefahr liegt,
beweist der erfolgreiche Coup des Hamburger Chaos Computer Clubs, dessen Mitgliedern es gelungen ist, über den wissenschaftlichen Rechnerverbund weltweit in sensible und geheime
Daten einzudringen und dort unbemerkt Programmänderungen vorzunehmen.
Dergleichen ist auf sehr viel niedrigeren Ebenen möglich, wie eine Mitteilung des Datenschutz-Beraters (Nr. 1/1988 S. I) anschaulich berichtet. So können lauffähige Programme als trojanische Pferde über ein Mailbox-System in den Briefkasten eines Empfängers gelangen, der nicht bemerkt, daß neben einer vordergründigen Prozedur, die er ahnungslos in Gang setzt, eine versteckte weitere Prozedur bestimmte Funktionen wahrnimmt. Noch ist die Frage offen, welche Regulatoren, welche Kontrollmaßnahmen und welche Sicherungen in einer Umgebung notwendig sind, die immer freizügiger von solch neuen Arbeitsmitteln wie electronic mail, Bürokommunikationssystemen und verwandten Medien Gebrauch macht. Es wird sehr sorgfältig zu überlegen sein, wie zum Beispiel die! elektronische Post gegen Nutzung von Standarddiensten des Systems (Kopie-, Transfer-, Dump- und ähnlichen Routinen) durch Unbekannte und/oder Unbefugte .immunisiert werden kann. In diesem Zusammenhang wird immer dringender die Frage gestellt, ob die Teilnehmer am Verbund wirklich völlig frei schalten und walten könnten oder ob es so etwas wie eine Art Supervisor gehen müsse (so Datenschutzbeauftragter, a. a. 0.).
Ganz ohne Kontrolle geht es offenbar nicht. In die falsche Richtung zielt sicherlich die kürzlich geäußerte Bemerkung eines Datenschutzbeauftragten, der offenbar vor der Unzahl der in seinem Unternehmen vorhandenen Personal Computer resignierte und meinte, daß man allenfalls noch die PCs zählen sollte, aber nicht mehr die darauf gefahrenen Anwendungen überprüfen könne .Das Gegenteil ist richtig.
Hersteller sind vor allem gefordert
Den bei der Vernetzung - etwa durch drohende "Verseuchung" und unerkannte Manipulation- entstehenden Problemen entsprechen die Schwierigkeiten, mit rechtlichen
Geund Verboten destruktive Handlungen, Mißbrauch und Funktionsstörungen innerhalb
vernetzter Systeme zu verhindern. Das Recht kann lediglich Rahmenbedingungen für die Sicherheit einer ordnungsgemäßen DV schaffen, indem es die Zulässigkeit der
Datenverarbeitung einschränkt, Datensicherungsmaßnahmen vorschreibt und
Zuwiderhandlungen unter Strafe stellt.
Ebenso, wie das bloße Verbot der Wegnahme fremder Sachen für sich gesehen nicht ausreicht, Diebstähle zu verhindern, wird die juristische Anweisung zu Datenschutz und Datensicherung ohne hard- und softwaremäßige Hilfestellung unzureichend bleiben. Zur
Wahrung des Datenschutzes ist sicherzustellen, daß personenbezogene Daten über die ursprünglich einspeichernde Stelle stets "unter Kontrolle" bleiben, daß sie nicht unkontrolliert durch Interne oder Externe verarbeitet und weiterbenutzt werden können. Gefordert sind
vor allem die Hersteller, ausreichende Schutzmechanismen bereits bei der Konzeption von
Netz werken und Netzfunktionen vorzusehen und strukturell zu berücksichtigen.
Literaturhinweise (Auswahl):
Abel; Peters: Hamburgisches Datenschutzgesetz. Datakontext, Köln
Bergmann; Möhrle: Datenschutz - Handkommentar. Richard Boorberg, Stuttgart, München Hannover
Damman; Gliss; Hentschel: GDD-Handtexte - BDSG Taschenausgabe, Auszüge aus den Verwaltungsvorschriften und dem Rechtsarchiv (Urteile). Datakontext, Köln
Damman; Simitis: Bundesdatenschutzgesetz mit Materialien. Nomos, Baden-Baden
Gallwas: Schneider; Schwappach; Schweinoch; Steinbrinck: Datenschutzrecht - Kommentar und Vorschriftensammlung'). W. Kohlhammer, Stuttgart, Berlin, Köln, Mainz
Gola; Hümmerich; Kerstan: Datenschutzrecht, Teil 1, BDSG, verfassungsrechtlicher
Datenschutz, internationaler Datenschutz. J. Schweitzer, Berlin
Gola; Hümmerich; Kerstan: Datenschutzrecht Teil 2, Einzelvorschriften des Bundes zum Datenschutz. J. Schweitzer, Berlin
Hentschel; Gliss; Bayer; Dierstein: Datenschutzfibel unter besonderer Berücksichtigung des Personalwesens. J. P. Bachem, Köln
Hentschel Gliss; Wronka: Vorrangige Rechtsvorschriften bei Personalinformations- um Abrechnungssystemen. Datakontext, Köln
Wronka; Hörle: Bundesdatenschutzgesetz - Auswirkungen auf Werbung und Presse. Zentralausschuß der Werbewirtschaft e. V. Bonn
Kraus: Datensicherungsmaßnahmen nach dem BDSG. Datakontext, Köln
Lindemann; Nagel; Herrmann: Organisation des Datenschutzes. Hermann Luchterhand, Neuwied
Louis: Grundzüge des Datenschutzrechts. Carl Heymanns, Köln, Berlin, Bonn, München
Zahrnt, Christoph: DV-Verträge, Rechtsprobleme, Einführung in die Vertragsgestaltung
CW-Edition, Rheinstraße 28, München
-Quelle: Handbuch der modernen Datenverarbeitung Heft 140, März 1988, 25. Jahrgang,
Forkel-Verlag GmbH, Wiesbaden.