Rüdiger Dierstein, Leiter des Rechenzentrums Oberpfaffenhofen der Deutschen Forschungs- und Versuchsanstalt für Luft- und Raumfahrt e.V.

(DFVLR)

"Datenschutz ist in". Auch Nicht-DV-Fachleute haben mit einiger Betroffenheit bemerkt, daß Information etwas ist, das man nicht wie Käse oder Baumwolle dem freien Markt von Angebot und Nachfrage überlassen kann, ohne Gefahr zu laufen, Grundprinzipien unserer noch immer freien Gesellschaft aufs Spiel zu setzen. Man beeilt sich in aller Weit mit unterschiedlichem Erfolg, so schnell es die Mühlen der Gesetzgebung nur zulassen, Dämme gegen die steigende Flut aufzuwerfen, um in letzter Minute die einmal erkannte Gefahr aufzuhalten und den Informationsfluß unter Kontrolle zu bekommen, Datenschutzgesetze schießen wie Pilze aus dem Boden, und der beunruhigte Bürger gibt sich der Hoffnung hin, die Maßnahmen der Legislative seien das geeignete Mittel, ihn vor der Allmacht und Allgegenwart des großen Bruders Datenverarbeitung zu schützen. Juristen vergleichen Gesetze und Entwürfe verschiedener Länder, bemerken Lücken in der Rechtsprechung des einen Staates, bemühen sich, die Löcher in ihren eigenen Entwürfen so gut wie möglich zu stopfen. Der Bundesbürger, aufgeschreckt durch Berichte über Mißbrauch von Informationen mit Hilfe von DV-Anlagen, verunsichert durch Stichworte wie Einbruch in die Privatsphäre, Informationsungleichgewicht, Zweckentfremdung personenbezogener Daten atmet erleichtert auf, wenn er erfährt, daß nach ° 4 des Bundesdatenschutzgesetzes jeder, "der personenbezogener Daten verarbeitet, die erforderlichen und zumutbaren technischen oder organisatorischen Maßnahmen gegen Mißbräuche bei der Datenverarbeitung zu treffen hat".

Die Weit ist also wieder in Ordnung. Der, der die Informationen gesammelt hat, wird dafür Sorge tragen, daß mit der Informationsflut, die sich bei ihm aufgestaut hat, nichts geschieht, was dem Bürger zum Nachteil gereichen könnte. Für den DV-Fachmann bleibt nur eine kleine Frage offen: was ist denn eigentlich für den DV-Anwender zumutbar, was ist erforderlich? Der Teufel liegt, wie so häufig, auch hier im Detail. Und die Antwort auf die Frage, was erforderlich oder zumutbar ist, wird ganz verschieden ausfallen, je nachdem ob der Hersteller sie gibt oder der Gesetzgeber oder der Anwender. Doch damit nicht genug: selbst wenn wir hinreichend genau wüßten, welche Maßnahmen in einem DV-System zu ergreifen sind, um einen dort gespeicherten Datenbestand hinreichend gegen Mißbrauch zu schützen bleibt die Frage offen, wie solch eine Sicherung mit den heute vorhandenen Hard- und Softwaresystemen technisch zu realisieren ist.

Die Weitergabe von Daten - schreibt der Gesetzgeber vor - ist zu kontrollieren. Welches Betriebssystem, so ist zu fragen, ist heute in der Lage, Auskunft zu geben, wann und wohin welche Daten von welchen Programmen an welche Benutzer weitergegeben worden sind? Welches Betriebssystem führt darüber Buch, welche Daten für welchen Verwendungszweck im Rahmen welches Anwenderprogramms ausgewertet wurden? Der Gesetzgeber unterscheidet zwischen freien und schutzbedürftigen Informationen. Werden Informationen nicht erst durch die Kombination von Daten und Verwendungszweck schutzbedürftig? Und wenn dem so ist, in welchem DV-System kann heute kontrolliert werden, für welchen Verwendungszweck ein Datum verwendet wurde oder verwendet werden soll?

Die subtilsten Überlegungen der Juristen und der beste Gesetzestext sind nutzlos, wenn ihnen nicht in der Praxis technische Möglichkeiten gegenüberstehen, mit denen die Anforderungen des Gesetzgebers in die DV-Wirklichkeit umgesetzt werden können. Alle unsere DV-Systeme sind bis heute unter dem alleinigen Gesichtspunkt der Flexibilität konstruiert worden; mit dem Ziel, möglichst vielen Benutzern, möglichst vielseitige Leistungen an möglichst vielen Orten zur Verfügung zu stellen. Die Forderungen des Datenschutzes lassen sich mit diesen Zielen oft nur schwer vereinbaren, ja laufen ihnen zuweilen stracks zuwider: vorgegebene Datenmengen dürfen nur für ganz bestimmte Zwecke von ganz bestimmten Anwendern benutzt werden.

Es kann unmöglich Sache der Anwender sein, Betriebssysteme zu entwickeln, die diesen zusätzlichen Forderungen genügen. Niemand wird auf den Gedanken kommen, die Prüfung der konstruktiven Sicherheit eines Kraftfahrzeugs dem Fahrer zu überlassen. Für diese Aufgabe gibt es eine Kraftfahrzeugzulassungsstelle und Technische Überwachungsvereine. Die Zeit ist reif, etwas Analoges auf dem Gebiet der Datenverarbeitung zu fordern. Wir brauchen Richtlinien, die festlegen, welchen Anforderungen ein "sicheres" DV-System zu genügen hat. Und wir brauchen ganz analog sachkundige Stellen, die in der Lage sind zu prüfen, ob ein in Betrieb genommenes DV-System diesen Forderungen auch tatsächlich genügt. Sichere Kraftfahrzeuge wurden konstruiert, nachdem der Gesetzgeber dies verlangte. Denn solche Konstruktionen kosten Geld. Sichere Betriebssysteme zu konstruieren, kostet viel Geld. Sollen wir darauf vertrauen, daß die Hersteller von sich aus beginnen, diese Mittel zu investieren? Vertrauen ist gut, ...