Patrick Horster Dirk Fox (Hrsg.) Datenschutz und Datensicherheit
DuD-Fachbeitrage herausgegeben von Andreas Pfitzmann, Helmut Reimer, Karl Rihaezek und Alexander RoBnagel Die Buchreihe DuD-Fachbeitrage erganzt die leitschrift DuD - Datenschutz und Datensicherheit in einem aktuellen und zukunftstrachtigen Gebiet, das fur Wirtschaft, affentliehe Verwaltung und Hoehsehulen gleiehermaben wiehtig ist. Die Thematik verbindet Informatik, Reehts-, Kommunikations- und Wirtsehaftswissenschaften. Den Lesem werden nieht nur faehlieh ausgewiesene Beitrage der eigenen Disziplin geboten, sondem aueh immer wieder Gelegenheit, Blicke tiber den fachlichen laun zu werfen. So steht die Buchreihe im Dienst eines interdisziplinaren Dialogs, der die Kompetenz hinsichtlieh eines sieheren und verantwortungsvollen Umgangs mit der Informationstechnik fordem mage. Unter anderem sind erschienen: Hans-]ilrgen Seelos Informationssysteme und Datenschutz im Krankenhaus Wilfried Dankmeier Codierung Heinrich Rust luverlassigkeit und Verantwortung Albrecht Glade, Helmut Reimer und Bruno Struif (Hrsg.) Digitale Signatur & Sicherheitssensitive Anwendungen Joachim Riej3 Regulierung und Datenschutz im europaischen Telekommunikationsreeht Ulrich Seidel Das Recht des elektronischen Geschaftsverkehrs Rolf Oppliger IT-Sicherheit Hans H. Brilggemann Spezifikation von objektorientierten Rechten Gilnter Milller, Kai Rannenberg, Manfred Reitenspiej3, Helmut Stiegler VerlaBliehe IT-Systeme Kai Rannenberg lertifizierung mehrseitiger IT-Sicherheit Alexander Roj3nagel, Reinhold Haux, Wolfgang Herzog (Hrsg.) Mobile und siehere Kommunikation im Gesundheitswesen Hannes Federrath Sieherheit mobiler Kommunikation Volker Hammer Die 2. Dimension der IT-Sicherheit Patrick Horster Sicherheitsinfrastrukturen Gunter Lepschies E-Commerce und Hackerschutz Patrick Horster, Dirk Fox (Hrsg.) Datenschutz und Datensicherheit
Patrick Horster Dirk Fox (Hrsg.) Datenschutz und Datensicherheit Konzepte, Realisierungen, Rechtliche Aspekte, Anwendungen II vleweg
AIle Rechte vorbehalten Friedr. Vieweg & Sohn Verlagsgesellschaft mbh, Braunschweig/Wiesbaden, 1999 Softcover reprint of the hardcover 1st edition 1999 Der Verlag Vieweg ist ein Unternehmen der Bertelsmann Fachinformation GmbH. http://www.vieweg.de Das Werk einschlieblich aller seiner Teile ist urheberrechtlich geschutzt. Jede Verwertung auberhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlags unzulassig und strafbar. Das gilt insbesondere fur VervieWiltigungen, Ubersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen. Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten waren und daher von jedermann benutzt werden durften. Hochste inhaltliche und technische Qualitat unserer Produkte ist unser Zie!. Bei der Produktion und Verbreitung unserer Bucher wollen wir die Umwelt schonen. Dieses Buch ist deshalb auf saurefreiem und chlorfrei gebleichtem Papier gedruckt. Die EinschweiBfolie besteht aus Polyathylen und damit aus organischen Grundstoffen, die weder bei der Herstellung noch bei Verbrennung Schadstoffe freisetzen. Gesamtherstellung: Lengericher Handelsdruckerei, Lengerich ISBN-13: 978-3-322-89110-5 e-isbn-13: 978-3-322-89109-9 001: 10.1007/978-3-322-89109-9
Vorwort Die Zeitschrift "Datenschutz und Datensicherheit - DuD" begleitet seit mehr als zwei Jahrzehnten die internationale Diskussion des Datenschutzes und die Entwicklung der IT -Sicherheit. Dabei wurden schon friih Briicken zwischen Juristen und Technikern geschlagen, urnjuristische Streitfragen im Datenschutz fur den Ingenieur ebenso verstandlich zu machen wie technische Sicherheitsfragen fur den daran interessierten Juristen. Diese langjiihrige Tradition der interdisziplinaren Betrachtungsweise spiegelt sich auch im vorliegenden Band wider, der auf der Grundlage von Beitragen zur ersten Fachkonferenz "Datenschutz und Datensicherheit - DuD" entstanden ist. Fachautoren und Herausgeber der Zeitschrift haben dabei einen wesentlichen Teil zum Gelingen der Konferenz beigetragen. Welche Bedeutung das gegenseitige Verstiindnis und die gemeinsame Diskussion von Juristen und Technikern besitzt, haben die Entwicklungen der letzten Jahre eindrucksvoll aufgezeigt, in denen das Internet Fragen nach Datenschutz und IT-Sicherheit aus der Expertendiskussion in das Offentliche Interesse gehoben hat. Die intensive und immer noch andauernde Diskussion urn die staatliche Regulierung des Exports und der Nutzung kryptographischer Verfahren, der Streit urn die Frage der Verantwortlichkeit eines Providers fur strafbare oder jugendgefahrdende Inhalte im Internet, die standig wachsenden Datenmengen und damit verbundenen Informationen, die zur Profilbildung tiber einzelne Personen genutzt werden k6nnen und die Verabschiedung des Signaturgesetzes in Deutschland sind nur einige von vielen aktuellen Beispielen. Datenschutz und Datensicherheit nehmen in der sich herausbildenden Informationsgesellschaft einen zentralen Stellenwert ein. Die Aufgaben der betrieblichen und institutionellen Datenschutzbeauftragten werden komplexer und zugleich immer wichtiger. Umfangreiche Investitionen in datenschutzgerechte SicherheitsmaBnahmen fur informationstechnische Systeme (IT -Systeme) gilt es zu planen und zu realisieren. Bedingt durch die komplexen interdisziplinaren Zusammenhange ist das blinde Vertrauen in technische Sicherheitsexperten bei der Verwirklichung sicherer und datenschutzgerechter IT Systeme wenig sinnvoll. Gefragt ist vielmehr eine enge Zusammenarbeit von Datenschutzund Sicherheitsbeauftragten, Experten, Betroffenen und L6sungsanbietern, wobei dem Datenschutz in vielen Bereichen eine besonderer Rolle zukommt. Hierbei mtissen nicht nur wirtschaftliche und private Interessen beriicksichtigt werden, auch staatliche Stellen melden ihre Anspriiche an. So werden derzeit neue TK-DberwachungsmaBnahmen konzipiert und verbindlich vorgeschrieben. In vielen Bereichen ersetzt E-Mail bereits die gelbe Post. Die damit verbundenen Gefahrdungen, Schwierigkeiten und Rechtsprobleme werdenjedoch zumeist noch unterschiitzt oder sind gar nicht bekannt. Geschaftsverbindungen werden zunehmend international und verlaufen zumeist tiber Offentliche Kommunikationskanale. Daraus entstehen weitergehende Sicherheitsanforderungen - zumindest nach Vertraulichkeit und nach Verbindlichkeit. In der Informationsgesellschaft spielen Daten eine immer wichtigere Rolle, die aus unterschiedlichen GrUnden in besonderem MaBe geschtitzt werden mtissen. So sind etwa Kundenund Produktdaten gefragte Objekte der Marktforschung. Data Warehouse und Data Mining stehen fur urnfassende Datensammlungen und deren freie, fast beliebige Verkntipfung, und so neben Vorteilen auch Gefahren beinhalten.
In vielen Bereichen wunschen wir Anonymitat, die im Zeitalter des Electronic Commerce nicht so leicht zu verwirklichen ist, da zugleich auch SchutzmaBnahmen vor elektronischer Kriminalitat erforderlich sind. Es ergeben sich somit Konflikte zwischen verschiedenen Interessen und Interessengruppen, deren Forderungen durchaus widerspriichlich sein konnen. Hier sind geeignete MaBnahmen zu treffen, urn den daraus resultierenden Anforderungen - soweit erforderlich und moglich - gerecht zu werden. Die Schwerpunkte der in dieser Synopse behandelten aktuellen Themen sind die folgenden: Zunachst werden Aspekte unerwunschter E-Mail-Werbung aufgezeigt, wobei sowohl rechtliche Fragen als auch Methoden zur Abwehr behandelt werden. Die Daten der Informationsgesellschaft sind ein begehrtes Wirtschaftsgut, das es zu schiitzen gilt. Der Anonymillit und der damit verbunden Sicherheit im Data Warehouse kommt dabei eine besondere Bedeutung zu, wobei der Datenschutz eine zentrale Rolle einnehmen mull. Zudem sind rechtliche Grundlagen, wie sie sich etwa in der EG-Datenschutzrichtlinie und der aktuellen Diskussion der BDSG-Novellierung widerspiegeln, von zentraler Bedeutung. TK-UberwachungsmaBnahmen zeigen ein besonderes Spannungsfeld auf. Es werden der aktuelle Stand der Umsetzung von UberwachungsmaBnahmen sowie die Moglichkeiten und Risiken von Techniken zum Key Recovery dargestellt. Kontrovers diskutiert werden derzeit auch Techniken der Anonymisierung und der konsequente Einsatz datenschutzfreundlicher Technologien. Aullerdem werden spezielle Themen und entsprechende Aspekte des Datenschutzes beleuchtet. Dies betrifft etwa die Problemfelder Datenschutz-Audit, Inhaltfilterung und Jugendschutz im Internet, Anwendung von Mobile Code wie ActiveX und Java, sichere E-Mail und Elektronische Zahlungssysteme. Electronic Banking und Electronic Commerce stellen besondere Anforderungen an den Datenschutz, wobei ein globaler elektronischer Handel geeignete Sicherheitsinfrastrukturen erfordert. Die Umgestaltung und zunehmende Mobilisierung der Arbeitswelt verlangt zudem nach Verfahren zur Sicherheit fur Home und Office, wobei die Risiken neu entstehender Telearbeitspliitze mit der gebotenen kritischen Sorgfalt betrachtet werden mussen. Sowohl den Fragen des Datenschutzes als auch den Fragen der Datensicherheit kommt hierbei wiederum eine besondere Bedeutung zu. FUr die UnterstUtzung bei der Zusarnmenstellung dieses Bandes danken wir insbesondere den Autoren, die ihn durch ihre kompetenten Beitriige erst ermoglicht haben. Weiter danken wir dem Verlag Vieweg fur seine Unterstiitzung und der Firma Computas fur die organisatorische Gestaltung der Fachkonferenz "Datenschutz und Datensicherheit - DuD", die sie zu einem Forum regen Erfahrungs-, Wissens- und Ideenaustausches hat werden lassen. Patrick Horster pho@ifi. uni-klu. ac. at Dirk Fox fox@secorvo.de
Inhaltsverzeichnis Rechtlicher Schutz vor unerwiinschter E-Mail-Werbung Jens M Schmittmann.... Was tun gegen Spamming? Stefan Kelm... 23 Sicherheit im Data Warehouse - Profilbildung und Anonymitiit Ulrich Moncke... 30 Datenschutz im Data Warehouse Johann Bizer... 60 Corporate Networks im Spannungsfeld zwischen Datenschutz und TK-Oberwachung Peter Biittgen... 82 Stand der Umsetzung von TK-DberwachungsmaBnahmen und Auskunftersuchen Peter Ehrmann... 94 Inhaltsfilterung und Jugendschutz im Internet Marit Kohntopp. Dorte Neundorf... 113 Key Recovery - Moglichkeiten, Risiken und Empfehlungen Gerhard Week... 127 Anonymisierung in Datennetzen Thomas Roessler... 144 Anonyme TK-Dienstleistungen aus der Sicht eines Unternehmens Wolfgang Weber... 163 BDSG-Novellierung und EG-Datenschutzrichtlinie Gerd Runge... 172 Datenschutz-Audit bei der Deutschen Te1ekom Thomas Konigshofen... 180 Sicherheit in Java und ActiveX Holger Mack... 192 Einfiihrung sicherer E-Mail im Unternehmen Rainer W Gerling... 207
Elektronische Zahlungssysteme und Datenschutz Rudiger Grimm... 223 Mehr IT -SicherheitsbewuBtsein durch verteiltes IT -Sicherheitsmanagement Helmut Rhefos... 239 Datenschutzfreundliche Technologien und ihre Anwendung Walter Ernestus... 250 Sicherheit und Datenschutz fur Home und Office Stefan Schneiders... 260 Risiko Telearbeitsplatz? Thomas Klein... 271 Realisierung von Public-Key-Infrastrukturen Dirk Fox Patrick Horster... 283