Datenschutz und IT-Sicherheit

Transkript

1 IT-Sicherheitstagung Diakonie 26. Januar 2009 Datenschutz und IT-Sicherheit Dr. jur. Alexander Koch Institut für das Recht der Netzwirtschaften, Informations- und Kommunikationstechnologie

2 D a t e n s c h u t z r e c h t Verfassung: Recht auf informationelle Selbstbestimmung (1983 im Volkszählungsurteil des BVerfG in Art. 2 Abs. 1 i.v.m. Art. 1 Abs. 1 GG verortet). Allgemeines Datenschutzrecht: BDSG (sowie für den öffentlichen Bereich: DSG der Länder). Sektorspezifisches Datenschutzrecht: TKG, TMG.

3 G r u n d s ä t z e d e s D a t e n s c h u t z R Jede Verarbeitung personenbezogener Daten bedarf einer gesetzlichen Ermächtigung. Die Daten müssen erforderlich sein. Die Daten dürfen nur solange aufbewahrt werden, wie sie benötigt werden. Daten müssen technisch und organisatorisch gegen Missbrauch gesichert sein (Anlage zu 9 S. 1 BDSG!).

4 F e r n m e l d e g e h e i m n i s Verfassung: Art. 10 GG. Einfachgesetzlich: 88 TKG. Unterschiede zum Datenschutzrecht: DatenschutzR: Bezug Person zu einem Datum. Fernmeldegeheimnis: Inhalt der Fernkommunikation.

5 I T - S i c h e r h e i t. /. D a t e n s c h u t z Problem: Firewalls, IDS, Virenscanner, Spam- und WWW-Filter sind auf möglichst viele Daten angewiesen. Das Datenschutzrecht scheint dem häufig entgegenzustehen. Versöhnung zwischen IT-Sicherheit und Datenschutz ist aber möglich!

6 T K G Verhältnis zum BDSG. Verhältnis zum TMG. Anwendungsbereich: Diensteanbieter. Schutz des Fernmeldegeheimnisses: 88 TKG / 206 StGB (Mitteilen u. Unterdr.). Ermächtigung für Eingriffe: 109 TKG? Technische Schutzmaßnahmen. Norm zielt auf Schutz, gerade keine Ermächtigung. (-)

7 T K G Ermächtigung für Eingriffe: 100 Abs. 2 TKG? (-) Zugriff auf Kommunikationsinhalte. Nicht auf IP-Kommunikation übertragbar. 100 Abs. 3 TKG? Bekämpfung rechtswidriger Inanspruchnahme. Wohl keine allgemeine Ermächtigung. (-) 100 Abs. 1 TKG? Schutz von TK-Anlagen. (+)

8 1 0 0 A b s. 1 T K G Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern an TK-Anlagen, also keine Endgeräte! Bestands- und Verkehrsdaten. Keine Inhaltsdaten! D.h.: Viren- und Spamfilter (?), Firewalls (+), IDS (-).

9 L ö s u n g : E i n w i l l i g u n g! Problem: Es ist praktisch nur die Einwilligung der eigenen Angestellten, nicht aber von deren Kommunikationspartnern einholbar. Frage: Müssen beide Kommunikationspartner einwilligen?

10 S t r u k t u r d e s F e r n m e l d e G Sender Empfänger Transport(eur) Überwacher

11 E i n w i l l i g u n g u n d F e r n m e l d e G Sender Empfänger Transport(eur) Einwilligung Weiterleitung Überwacher

12 D a t e n s c h u t z h i n t e r d e m F M G Verarbeitung nicht personenbezogener D. Transport Überwachung Fernmeldegeheimnis Datenschutzrecht Verarbeitung personenbezogener D.

13 2 8 A b s. 1 N r. 2 B D S G Wahrung berechtigter Interessen, erforderlich, keine schutzwürdigen Interessen des Betroffenen.

14 T e l e m e d i e n d a t e n s c h u t z Problem insbesondere: Protokolldateien. Praktisch alle Server protokollieren in der Standardeinstellung IP-Adressen.

15 T M - D a t e n s c h u t z 12 TMG Personenbezogene Daten dürfen nur erhoben und verwendet werden, soweit das TMG oder eine andere TM-Rechtsvorschrift es erlaubt oder der Nutzer eingewilligt hat. 15 TMG Personenbezogene Daten dürfen nur erhoben und verwendet werden, um die Inanspruchnahme zu ermöglichen und abzurechnen.

16 T M - D a t e n s c h u t z 15 Abs. 8 TMG Bei zu dokumentierende[n] tatsächliche[n] Anhaltspunkte[n] einer unentgeltlichen Nutzung dürfen personenbezogene Daten über das Ende des Nutzungsvorgangs gespeichert werden. Eine hierüber hinausgehende Regelung wie 100 TKG fehlt im TMG! TMG sieht also keine Datenverarbeitung aus Gründen der Systemsicherheit vor. Wurde bereits zu Zeiten des TDG kritisiert.

17 A G B e r l i n, U r t. v Beklagte: Bundesrepublik Deutschland, vertreten durch das Bundesministerium der Justiz. Hintergrund: Das BMJ hat im WWW-Log IP-Adressen protokolliert.

18 D a s U r t e i l i m E i n z e l n e n IP-Adressen haben Personenbezug. Gilt auch für dynamische IP-Adressen. Bei IP-Adressen ist der Betroffene jedenfalls bestimmbar. Erwägungsgrund 26 der EG- Datenschutzrichtlinie: Bei der Entscheidung, ob eine Person bestimmbar ist, sollten alle Mittel berücksichtigt werden, die vernünftigerweise entweder von dem Verantwortlichen für die Verarbeitung oder von einem Dritten eingesetzt werden könnten, um die betreffende Person zu bestimmen.

19 D a s U r t e i l i m E i n z e l n e n Hilfsüberlegung: Ohne Personenbezug könnten Daten etwa an Zugangsanbieter weitergegeben werden, die die Zuordnung Nutzer-IP ohne Probleme herstellen könnten. Datenschutzrecht soll gerade auch vor Missbrauchskonstellationen schützen.

20 A G M ü n c h e n, U r t. v Das Gericht stellt in einem obiter dictum fest, dass IP-Adressen keine personenbezogenen Daten sind. Obergerichtliche Klärung steht nach wie vor aus.

21 U m g a n g m i t I P - A d r e s s e n IP-Adressen sollten nur um die beiden letzten Oktetts gekürzt gespeichert werden ( xxx.yyy). Dem Vernehmen nach soll bei der nächsten TMG-Novelle eine dem 100 TKG entsprechende Norm eingeführt werden.

22 Vielen Dank für die Aufmerksamkeit! Für weitere Informationen: IRNIK Dr. jur. Alexander Koch Postfach Bonn Tel.: / Fax: / ak@irnik.de WWW: