SCHWERPUNKT
Jan Schallaböck
Datenschutzkontrolle durch Open-Source Die Free Software Foundation macht in ihrer Definition des Begriffes „Freie Software“ den Zugang zum Quellcode zu einer Grundbedingung. Ziel ist, die Software eigenen Bedürfnissen anzupassen. Dieser Aufsatz beleuchtet eine andere Qualität von Open-Source-Software: die Durchschaubarkeit von Prozessen.
1 Überblick Angesichts zunehmend geäußerter Sorge vor einer privaten1 und staatlichen2 Überwachungsgesellschaft, einer Vielzahl von Datenschutzskandalen3 und dem damit 1 So drückte der Vorsitzende des Bundesverfassungsgerichtes Hans-Jürgen Papier erst kürzlich seine Sorge davor aus, dass wir zu einer privaten Überwachungsgesellschaft würden. Siehe: http://www. heise.de/newsticker/Verfassungsrichter-Staat-mussBuerger-staerker-vor-Datenmissbrauch-schuetzen--/meldung/120468 . (20.1.09). Ob diese Entwicklung – wie Papier annimmt – weitgehend freiwillig verläuft, erscheint allerdings zweifelhaft. 2 Anders als Papier, warnt die Gesellschaft für Informatik vor dem Überwachungsstaat, siehe: http://www.gi-ev.de/no_cache/aktuelles/meldungsdetails/meldung/gi-kritisiert-bsi-gesetzentwurf-tiefgreifende-schwachstellen-mssen-beseitigt-werden-204/ (27.1.2009). Gegen die Einführung der Vorratsdatenspeicherung hat sich zudem nach Einschätzung des Politologen Ralf Bendrath eine veritable Protestbewegung in Deutschland entwickelt: Bendrath, Ralf, This was the Founding Moment of a Social Movement on Privacy, verfügbar unter: http:// bendrath.blogspot.com/2008/10/this-was-founding-moment-of-social.html (28.1.09) 3 Mangels einer vereinheitlichten Statistik in diesem Bereich ist anzunehmen, dass die grade erscheinenden Tätigkeitsberichte der Länder und des Bundes eine aufschlussreiche Quelle darstellen werden. Die Tagesschau jedenfalls stellte im Jahr 2008 mehr als 200 Filmbeiträge mit Themenbezug „Datenschutz“ online, verglichen mit nur 33 im Jahr
Jan Schallaböck Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD), Sekretär der Arbeitsgruppe „Identitätsmanagement und Datenschutztechnologien“ des ISO/ IEC JTC 1/SC 27. E-Mail: Jan.Schallaboeck@ datenschutzzentrum.de DuD t Datenschutz und Datensicherheit
DuD_309.indb 161
einhergehenden Vertrauensverlust4 erscheint ein Nachdenken über die Grundlagen des Datenschutzes geboten. Zumal absehbar ist, dass die beschriebene Entwicklung noch zunehmen wird.5 In diesem Aufsatz sollen die Potenziale der Verarbeitung personenbezogener Daten in quellcodeoffenen Systemen diskutiert werden. Nachfolgend wird nach einem Problemaufriss (1.1) und einer Skizzierung des Lösungsansatzes (1.2) dargestellt, welche Anhaltspunkte für eine „Prozesstransparenz“ in gesetzlichen Regelungen enthalten sind (2). Anschließend wird die Umsetzung eines technischen Schutzsystems mit quellcodeoffener Software am Beispiel der „Sperrmerkmalsklausel“ des Kabinettentwurfs zum Gesetz zur Einführung des elektronischen Personalausweises kurz erläutert (3). Schließlich werden einige Grenzen des bechriebenen Ansatzes erörtert (4).
1.1 Problem „Accountability may be more important than privacy,“ so das Mantra des US-amerikanische Bürgerrechtlers und Gründers der NRO “Electronic Frontier Foundation” John Gilmore unlängst bei einem Vor-
2007. Für die USA liegt eine Übersicht bei Identity Theft Ressource Center(Hrsg.), ITRC Breach Report vor, verfügbar unter http://www.idtheftcenter.org/ BreachPDF/ITRC_Breach_Report_2008_final.pdf (28.1.2009). 4 Widmann, Studie: Google verliert Vertrauen der Anwender, 2008; Galdy, Kein Vertrauen in Datenschutz von Unternehmen, 2008; gute Übersicht schon bei Fuhrmann, Vertrauen im Electronic Commerce, Dissertation 2001. 5 A. Roßnagel. Datenschutz in einem informatisierten Alltag. Friedrich-Ebert Stiftung, 2007, 204.
3 | 2009
trag in Berlin6. „Accountability“, also etwa Nachvollziehbarkeit und Zurechnungsfähigkeit der Verarbeitung, sei demnach wichtiger als die Privatheit selbst. Nachdem er (Gimore) die Thesen von David Brin bisher kritisiert hätte, hielte er es angesichts der tatsächlichen Entwicklung zu einer Überwachungsgesellchaft insbesondere in den USA und Großbritannien für geboten, neu über die “Transparente Gesellschaft” im Brins’schen Sinne nachzudenken. Brin stellte in seinem 1999 veröffentlichen Buch „The Trasparent Society“7 der Dystopie einer totalitären Gesellschaft mit ubiquitärer Überwachungstechnologie die Utopie einer völlig transparenten Gesellschaft gegenüber, in der jeder jeden überwachen kann. Beide – Gilmore und Brin – argumentieren, dass die schlichte Verfügbarkeit von Informationstechnologie unvermeidlich in eine Überwachungsgesellschaft führen müsse. Sie sind der Ansicht, dass diesen Technologien nur mit einer neuen Offenheit entgegen zu treten sei. Gilmore räumt aber ein, dass die Gesellschaft dann eine erhebliche Anpassungsleistung vor sich habe, und eine neue Qualität der Toleranz erfordere. Ob die Gesellschaft dazu in der Lage ist, eine solche Toleranz zu entwickeln, mag man mit Zweifeln begegnen. Jedenfalls widerspricht die „Transparente Gesellschaft“ unseren Grundvorstellungen von Autonomie und Privatheit. 6 John Gilmore, “Nothing to hide?”, Vortrag auf dem 25. Chaos Communication Congress, in Fragmenten verfügbar unter http://mirror.informatik. uni-mannheim.de/pub/ccc/streamdump/saal1/ Tag1-Saal1-Slot10%3a00--Opening-INCOMPLETE. wmv (9.2.09) 7 Brin, The Transparent Society, 1999.
161
23.02.2009 00:44:11
SCHWERPUNKT
1.2 Ein Lösungsansatz Im vorliegenden Aufsatz wird Brin und Gilmore insoweit gefolgt, als dass die Entwicklung der Informationstechnologie tatsächlich eine neue Form der Transparenz erfordert. Diese Transparenz darf sich jedoch nicht auf die Inhalte der Überwachung, sondern muss sich auf die ihr zugrunde liegenden Prozesse beziehen. Es wird untersucht, ob und wie Free/Libre and Open Source Software (F/LOSS) – beziehungsweise in diesem Kontext – quellcodeoffene Software zu einer solchen Transparenz beitragen kann. Ein zentrales Problem automatisierter Datenverarbeitung ist die fehlende Kontrolle über die Datenverarbeitungsprozesse. Sind personenbeziehbare Daten einmal digital erfasst, lassen sie sich leicht vervielfältigen und der weiteren Verarbeitung unterwerfen. Der Betroffene kann meist nicht überprüfen oder im Voraus sicherstellen, dass mit den Daten nur das geschieht, wofür sie verwendet werden sollten. Dementsprechend wird der Verarbeitung personenbezogener Daten insbesondere im Internet zunehmend Misstrauen entgegen gebracht.8 Um dem zu begegnen wird der Einsatz technischer Schutzmechanismen – analog zu DRM-Verfahren – erwogen9 (nachfolgend: Personal Rights Management, PRM). Hierdurch soll die Verarbeitung von Daten jenseits eines vorher definierten Verfahrens unterbuden werden. Per „remote attestation“10, würden dabei personenbezogene Daten so verschlüsselt, dass sie nur entschlüsselt und verarbeitet werden können, wenn sich das entschlüsselnde System in einem vorher definierten Zustand befindet. Eine Entschlüsselung und Verwendung auf einem anderen System, oder auf dem selben System, aber mit 8 Widmann, s.o. 9 Lessig, Code, 1999, S. 143ff.; Mayer-Schönberger, Beyond Copyright: Managing Information Rights with DRM, in: Denver University Law Review 181 (2006); Möller, Automatisiertes Management von Datenschutzrechten in: DuD 2/2006, S. 98ff., kritisch: Böhme/Pfitzmann, Digital Rights Management zum Schutz personenbezogener Daten? in: DuD 5/2008, S. 342ff. Ermert, Persönliches DRM als Retter von Datenschutz und Privatsphäre, verfügbar unter http://www.heise.de/newsticker/meldung/ print/99163 (9.2.2009); Ben Laurie “A Good Use of the TPM?, verfügbar unter http://www.links. org/?p=530 (9.2.09) unter Verweis auf Mark Ryan, “Exploiting TPM functionality”, http://www.cs.bham. ac.uk/~mdr/research/projects/08-tpmFunc/ (9.2.09). 10 Pearson et al., “Trusted Computing Platforms: TCPA Technology in Context”, 2002, S. 125ff.
162
DuD_309.indb 162
anderer Konfiguration, wäre technisch weitestgehend ausgeschlossen. Dies setzt jedoch voraus, dass vor der Verarbeitung bereits festgelegt wird, mit welchem System, inklusive seiner Konfiguration und der laufenden Applikationen, die Daten verarbeitet werden sollen. Der Prozess der Verarbeitung und seine Umsetzung in der Software müssen also vor der Verarbeitung bekannt sein. Darüber hinaus muss das System (hinreichend) frei von Fehlern, insbesondere frei von Hintertüren („Backdoors“) sein. Die Überprüfung eines Systems, insbesondere auf absichtlich eingebaute Abweichungen von der Spezifikation, wie sie eine Backdoor darstellt, ist ausgesprochen schwierig und aufwändig. Die Korrektheit der Spezifikationskonformität ist bei Systemen nur in sehr engen Grenzen möglich11. Dementsprechend wird dies auch mit Unterstützung durch Datenschutzbehörden im Rahmen von Gütesiegelverfahren nicht erreicht werden und ist auch nicht vorgesehen12. Durch die Offenlegung des Quellcodes der Systeme wäre es demgegenüber zumindest möglich, der Öffentlichkeit Einblick in die Prozesse zu geben. In Kombination mit PRM-Verfahren mag es zwar wegen der beschränkten Überprüfbarkeit des Codes nicht möglich sein, Backdoors gänzlich auszuschließen, aber es ist zumindest erkennbar, mit welchem System die Daten verarbeitet wurden. Bei hinreichender Relevanz einer Verarbeitung dürfte die öffentliche Aufmerksamkeit auf das Verfahren zu einem Vertrauensgewinn in das Verfahren beitragen. In Anlehung an den von Linus Torvalds geprägten Satz “given enough eyeballs, all bugs are shallow”13, ist die Vermutung des Verfassers, dass bei hinreichender öffentlicher Relevanz eines Systems, die öffentliche Aufmerksamkeit auf dieses System 11 Hierfür wird gerne der Gödelsche Unvollständigkeitssatz angeführt: Kurt Gödel: Über formal unentscheidbare Sätze der Principia Mathematica und verwandter Systeme I. in: Monatshefte für Mathematik und Physik 38 (1931), S. 173 ff. Dennoch existieren freilich zahlreiche und hilfreiche Verfahren formaler Verifikation und Zertifizierung. 12 Zwar soll stets die Einhaltung der Datenschutzbestimmungen durch die Kontrollstelle überprüft werden, ausdrückliche Regelungen zur Überprüfung anhand des Quellcodes sind aber nicht vorhanden, vgl. Regelungen des BDSG-E und LDSGSH sowie die zugehörigen Materialien. 13 das so genannte “Torvalds Law”, Eric S. Raymond (1999). The Cathedral & the Bazaar. O‘Reilly, verfügbar unter: http://www.catb.org/~esr/writings/ cathedral-bazaar/cathedral-bazaar/ (3.2.2009).
so hoch ist, dass Missbrauch reduziert würde.14 Grundlegendes Element für eine solchen Vertrauensgewinn durch öffentliche Aufmerksamkeit wäre es, dass bei der Verarbeitung personenbezogener Daten nicht nur die Frage beantwortet würde, „wer was über wen weiss“15, sondern auch die Frage beantwortet wird, wie die Datenverarbeitung erfolgt. Der Transparenzgrundsatz des Datenschutzrechtes müsste sich also auch auf die Prozesse der Datenverarbeitung erstrecken.
2 Rechtliche Verankerung der Prozess-transparenz Die Transparenzprinzipien des Datenschutzrechtes umfassen im Kern stets die Nennung des Verarbeitungszweckes, des Verarbeiters und der Kategorien der zu verarbeitenden Daten.16 Von Interesse in Hinblick auf die Prozesstransparenz ist vor allen Dingen der Zweckbindungsgrundsatz (2.1). Er wird ergänzt durch Normen zu Verfahrensverzeichnissen (2.2) und Auskunftsansprüchen (2.3). Schließlich finden sich auch in bereichspezifischen Regelungen Normen, die zu einer Prozesstransparenz beitragen (exemplarisch am PAG-E: 2.4).
2.1 Zweckbindungsgrundsatz In der Umsetzung des aus der Verfassung gebotenen Gedankens der Transparenz der Verarbeitung personenbezogener Daten hat der Gesetzgeber im BDSG den Zweckbindungsgrundsatz verankert, § 14 I BDSG17. Hiernach dürfen personenbezogene Daten nur für solche Zwecke gespeichert, verändert oder genutzt werden für die sie erhoben worden sind. Regelmäßig sind die Nutzer über diese Zwecke bereits vor der Erhebung zu informieren, § 4 III Nr. 2 BDSG. Eine klare Antwort auf die Frage nach dem zulässigen Abstraktionsgrad dieser Information liefert das Gesetz allerdings nicht18. So wird nur verlangt, dass dieser eindeutig sein muss19. Ledig14 Dies wird sicherlich noch empirisch zu prüfen sein. Im Rahmen dieses Aufsatzes kann dieser Weg nur aufgezeigt werden. Zu den Grenzen der Codeüberprüfung nach dem “Torvalds Law” siehe auch unten (4.1). 15 BverfGE 65,1 (Volkszählungsurteil). 16 im dt. Datenschutzrecht bspw. § 34 I BDSG. 17 vgl. Auch Art. 6 EU-Datenschutzrichtlinie. 18 Bull, RDV 1999, S. 151. 19 Gola/Schomerus, § 14, Rn. 9.
DuD t Datenschutz und Datensicherheit
3 | 2009
23.02.2009 00:44:11
SCHWERPUNKT
lich eine grenzenlose Abstraktion der Zwecke, die der Verwendung keine Grenzen setzt, ist anerkanntermaßen unzulässig. Der Rechtsgrundlage für die Datenverarbeitung wäre dann die Grundlage entzogen, sie wäre rechtswidrig. Dem Begriff nach ist die Zweckbindung auf die Finalität der Verarbeitung, also ihr Ziel gerichtet. Der Zweckbindungsgrundsatz verpflichtet den Verarbeiter bereits vorher festzulegen, was das Ziel seiner Verarbeitung ist. Verarbeitungen, die nicht auf dieses vorher bestimmte Ziel gerichtet sind, sind unzulässig. Die Mittel hingegen, die zur Erreichung des Zweckes eingesetzt werden, müssen demgegenüber nicht bekanntgegeben werden. Eine rechtliche Wertung zugunsten eines Anspruches, den Programmcode selbst und die darin manifestierten Prozesse einsehen zu können, besteht aus dem Zweckbindungsgrundsatz nach derzeitiger Auffassung folglich nicht.
2.3 Auskunftsanspruch
§ 4e BDSG (iVm. § 4g Abs. 2 bei Vorhandensein eines Betrieblichen Datenschutzbeauftragten) schreibt vor, dass ein Verfahrensverzeichnis erstellt und zugänglich gemacht werden muss. Ein Verfahren soll dabei eine Gesamtheit an Verarbeitungen umfassen, „mit deren Hilfe eine Zweckbestimmung oder ein Bündel miteinander verbundener Zweckbestimmungen realisiert wird“.20 Neben den Zweckbestimmungen sind hier auch technisch-organisatorische Maßnahmen anzugeben, § 4e Nr. 9 BDSG. Diese müssen aber nicht der Öffentlichkeit zugänglich gemacht werden21. Damit kann aus der Norm zumindest auf das Verhältnis von Verfahren und Zwecken als einer Teilgruppe der erstgenannten rück geschlossen werden. Außerdem besteht eine Verpflichtung die Verknüpfung zwischen beiden darzulegen. Eine weitergehende Verpflichtung die Mittel einer Datenverarbeitung transparent zu machen, ergibt sich aus der Pflicht zum Führen von Verfahrensverzeichnissen jedoch ebenfalls nicht.
Demgegenüber sieht Art. 12 lit. a), dritter Spiegelstrich der EU-Datenschutzrichtlinie22 vor, dass die Mitgliedsstaaten, ihren Bürgern grundsätzlich einen Auskunftsanspruch einräumen sollen, der sich auch auf den logischen Aufbau der automatisierten Verarbeitung der sie betreffenden Daten bezieht. Rechtlich verpflichtend ist dieser Auskunftsanspruch allerdings nur in Fällen automatisierter Einzelentscheidungen im Sine von Art. 15 Abs. 1 der RL. Umsetzung findet dies in § 6a Abs. 3 BDSG. Hintergrund dieser Regelungen ist ausweislich des Erwägungsgrundes 41 der RL, dass der Betroffene in die Lage versetzt werden soll, sich von der Zulässigkeit der Verarbeitung zu überzeugen. Dieses Recht findet jedoch außerdem seine Grenze im Urheberrecht zum Schutz von Software23. Ehmann versteht dies so, dass der Verantwortliche schon nicht verpflichtet sei, das „softwaretechnische Ablaufdiagramm“, das den logischen Aufbau der automatisierten Verarbeitung darstellt, offen zu legen.24 Die Schufa ist der Ansicht, dass sie ihrer Rechtspflicht durch die dem Betroffenen allgemein ausgehändigten Informationsblätter nachkommt.25 Streng genommen kann allerdings aus dem Urheberrecht dem Einsichtsrecht in den Quellcode keine Grenze gesetzt werden. Der rechtliche Schutz vor Einsichtnahme in den Quellcode unterfällt nämlich dem Schutz als Betriebsgeheimnis26. Entsprechende Regelungen hierzu finden sich aber – obschon systemwidrig, aber wohl aus praktischen Gründen – im Urheberrecht. Die Verweisung in der Richtlinie ist aber freilich undogmatisch gemeint, so dass sie tatsächlich das Einsichtsrecht begrenzt. Relevanz kommt dieser Erwägung aber insoweit zu, als bei einem anderen gesetzlichen Wertung im Rahmen einer Grundrechtsprüfung nunmehr nicht maßgeblich auf Art. 14 GG, sondern Art. 12 GG abzustellen wäre27. Würde der Gesetzgeber also die Öffnung des Quellcodes verpflichtend machen, müsste das Recht auf informationelle Selbstbestimmung gegen das
20 BitKom (Hrsg.), Verfahrensverzeichnis und Verfahrensübersicht nach BDSG, 2007, S. 10 unter Verweis auf die Begründung der Europäischen Datenschutzrichtline. 21 Dies ergibt sich im Umkehrschluss aus § 4g Abs. 2 S. 2, wonach nur die in § 4e Nr. 1 bis 8 genannten Angaben jedermann zur Verfügung gestellt werden müssen.
22 95/46/EG. 23 RL 95/46/EG. aaO. 24 Ehmann. EG-Datenschutzrichtlinie: Kurzkommentar. 1999, Art. 12 Rn. 50. 25 Gola/Schomerus, § 6a, Rn. 18a. 26 grundlegend hierzu schon: Taeger, Softwareschutz durch Geheimnisschutz, in: CR, 1991, S. 449. 27 zuletzt wohl: BverfGE 115, 205, 220.
2.2 Verfahrensverzeichnisse
DuD t Datenschutz und Datensicherheit
DuD_309.indb 163
3 | 2009
Recht am Betriebs- und Geschäftsgeheimnis abgewogen werden.28 Auch im Kontext automatisierter Einzelentscheidungen besteht nach derzeitiger Rechtslage kein genereller Anspruch auf Einsichtnahme in den Programmcode. Der Richtliniengeber erwägt allerdings zumindest ein Einsichtsrecht in den logischen Aufbau der Verarbeitung und macht es in bestimmten Fällen auch verpflichtend. Dabei steht ein solches Einsichtsrecht in einem Spannungsfeld zum grundrechtlichen Schutz von Betriebsgeheimnissen. Es wird effektiv begrenzt durch die konkrete Ausprägung von Regelungen zum Schutz von Betreibsgeheimnissen, wie sie derzeit im Urheberrechtsgesetz Ausdruck gefunden haben.
2.4 Elektronischer Personalausweis Der Gesetzesentwurf zum elektronischen Personalausweis29 enthält innovative Regelungen zur Realisierung von Datenschutz auf technischer Ebene. Der Kabinettsentwurf deutet darauf hin, dass die Regierung erkannt hat, wie sinnvoll es ist, das Vertrauen der Nutzer in die Datenverarbeitung durch technische Maßnahmen zu stützen. Die Regelungen zum elektronischen Personalausweis sind so gestaltet, dass eine datensparsame Nutzung ermöglicht werden soll. Es sollen nur diejenigen Daten übertragen werden, die für die Nutzung eines Dienstes erforderlich sind. So soll der neue Personalausweis eine Authentisierung mittels Pseudonymen, § 18 Abs. 3 Nr. 8 PAG-E, und eine anonyme Altersverifikation, § 18 Abs. 3 Nr. 10 PAG-E, 28 Eine ausführliche Erörterung dieser Frage soll in diesem Beitrag nicht durchgeführt werden. Verwiesen sei jedoch hierzu auf Ausführungen von Taeger, der darauf hinweist, dass der Interessenschutz des Betroffenen durch seine bestehenden Auskunftsrechte hinreichend gewahrt sei, und ein weitergehender Eingriff in das Betriebs- und Geschäftsgeheimnis auf verfassungsrechtliche und europarechtliche Bedenken stoße. Taeger, Schutz von Betriebs- und Geschäftsgeheimnissen im Regierungsentwurf zur Änderung des BDSG, in: K&R 2008, S. 513-517. Die Einschätzung Taegers erscheint jedoch angesichts des bereits erwähnten weitreichenden gesellschaftlichen Wandels im Ergebnis zumindest zweifelhaft. 29 Entwurf eines Gesetzes über Personalausweise und den elektronischen Identitätsnachweis sowie zur Änderung weiterer Vorschriften, online verfügbar unter: http://www.bmi.bund.de/cln_012/ nn_122688/Internet/Content/Common/Anlagen/ Gesetze/Gesetzentwurf__ePersonalausweis,templa teId=raw,property=publicationFile.pdf/Gesetzentwurf_ePersonalausweis.pdf (27.1.2009).
163
23.02.2009 00:44:12
SCHWERPUNKT
ermöglichen. Ziel der Regelung ist es eine datenschutzfreundliche Technikgestaltung zu unterstützen. Dies erfolgt dadurch, dass bei Diensten, denen gegenüber ein Authentisierung der Identität nicht erforderlich ist, eine datensparsame Authentisierung ermöglicht wird.30 Gleichzeitig ist aber stets ein so genanntes Sperrmerkmal zu übermitteln, § 18 Abs. 3 S. 1 PAG-E. Hierdurch wird eine Verkettung über Dienste wieder ermöglicht, so dass die vorangegangene Regelung gewissermaßen konterkariert wird. Daher enthält § 19 PAG-E eine ausdrückliche Regelung, die den Prozess der Nutzung des Sperrmerkmals reguliert: Es darf nur zum lokalen Abgleich mit einer vom BSI zur Verfügung gestellten Sperrliste genutzt und muss unmittelbar anschließend wieder gelöscht werden.
2.5 Zwischenergebnis Aus der Systematik datenschutzrechtlicher Transparenzpflichten, ergeben sich bereits Ansätze zur Offenlegung der der Datenverarbeitung zugrunde liegender Prozesse. So müssen Zwecke und Verfahren offen gelegt werden. Nach der Europäischen Richtlinie muss im Grundsatz sogar die Programmlogik zugänglich gemacht werden, obschon dies nur in besonderen Einzelfällen verpflichtend ausgestaltet worden ist. Im Fall des elektronischen Personalausweises wurde aber auch gezeigt, dass in einer bereichsspezifischen Spezialregelung der Gesetzgeber unter Umständen auch sehr konkrete Vorgaben zur Gestaltung des Prozesses macht.
3 Anwendungsbeispiel Am Beispiel der Regelung des elektronischen Personalausweises lässt sich das Potential von quellcodeoffener Software besonders gut illustrieren. Die technische Möglichkeit zum Missbrauch mittels Verkettung31 bleibt aber auch nach der gesetzlichen Umsetzung eines elektronischen Personalausweises erhalten. Dazu muss der Anbieter eines Dienstes mit Altersverifikation nur einen Abgleich mit einem anderen Dienst vornehmen, der den elektronischen Personalausweis zur vollen Identifikation seiner
Nutzer einsetzt. Beide können technisch das Sperrmerkmal mit ihren Nutzern und den Informationen über das Nutzungsverhalten verknüpfen. Über das Sperrmerkmal lassen sich anschließend die beiden Datenbestände zusammenführen. Eine Identifizierung ist also nur vordergründig ausgeschlossen. Wie aber kann der Dienstanbieter dann dem Nutzer ein hinreichendes Vertrauen bieten, so dass der Missbrauch durch eine Verkettung des Sperrmerkmals nicht erfolgt? Hier könnte die Öffnung des Quellcodes sinnvoll sein. Der Nutzer hat im Regelfall keinerlei Möglichkeit, sich von der rechtmäßigen Praxis des Dienstanbieters zu überzeugen, da die konkrete softwaretechnische Umsetzung für ihn in der Regel weder einsehbar, noch überprüfbar ist. Eine Zertifizierung der korrekten Umsetzung durch Dritte wird in der Regel erfolgen. Hierfür wäre eine Überprüfung des entsprechenden Systems des Dienstanbieters erforderlich, wobei ausgeschlossen werden müsste , dass das System “backdoors” enthält. Eine grundsätzlich für einen solchen Zweck geeignete Zertifizierung nach „common criteria“ müsste dafür mindestens (auf dem nur selten erreichten) “Evaluation Assurance Level” von 4+ durchgeführt werden. Erst ab diesem Level wird eine Überprüfung jenseits reiner Funktionstests durchgeführt.32 Die Kosten für eine derartige Zertifizerung sind erheblich, und werden in der Regel ökonomisch kaum zu rechtfertigen sein. Macht der Diensteanbieter den Quellcode des (Teil)Systems, das für die Überprüfung des Sperrmerkmales eingesetzt wird, der Öffentlichkeit zugänglich, so kann sich diese selbst von dem System überzeugen. Dies könnte Vertrauensgewinne mit sich bringen, die unter Umständen sogar über das hinaus gehen, was eine Zertifizierung durch common criteria leisten kann. Durch eine Vielzahl von Überprüfungen kann die heuristische Prüfung ausreichend und unter Umständen sogar qualitativ höherwertig sein, schließlich droht demjenigen der vorsätzlich eine „Backdoor“ einbaut stets die öffentliche Entdeckung. Zudem wird der Diensteanbieter zumeist kein Alleinstellungsmerkmal in
dem Teilsystem suchen, dass für die Überprüfung des Sperrmerkmals eingesetzt wird. Er könnte sich also ohne Angst vor Konkurrenz mit Mitbewerbern die Entwicklungskosten teilen. Denkbar wäre sogar, dass eine solche Implementierung als infrastrukturelle Ergänzung und zur Unterstützung der Einführung des elektronischen Personalausweises mit Förderung der Bundesregierung entwickelt wird.
4 Grenzen PRM-Systeme sind derzeit noch nicht einsetzbar. Es gibt bisher keine technischen Implementierungen. Gleichzeitig sind bereits jetzt einige Beschränkungen erkennbar, die im Folgenden diskutiert werden sollen.
4.1 GPL V3 Für den hier dargestellten Ansatz der Prozesstransparenz ist der Lizenztyp der Software grundsätzlich irrelevant, solange er die Öffnung des Quellcodes für die Öffentlichkeit gestattet. Allerdings bestehen möglicherweies Grenzen für den Einsatz solcher Software in Kombination mit PRM, die General Public License (GPL) in seiner Version 3 (V3) lizenziert wurden. Dieser Lizenz kommt unter den freien Lizenzen traditionell eine besonder Bedeutung und breite Relevanz zu. Die GPL V3 sieht besondere Regeln vor, die bei bestimmten Konstellationen den Nutzern die Modifikation der Software ohne Funktionsbeeinträchtigung ermöglichen sollen. Ob PRM-Verfahren in Einzelfällen durch diese Regelungen ausgeschlossen werden, kann hier nicht abschließend erörtert werden. Jedenfalls beschränken sich diese Regelungen auf Produkte, die typischerweise dem privaten und familiären Einsatz genutzt werden. Insofern wäre diese Regel sehr ähnlich dem Anwendungsbereiches des BDSG, das die Anwendung im privaten und familiären Bereich ausschließt, § 1 II Nr. 3 BDSG. Zur Unterstützung des Schutzes personenbezogener Daten im Sinne des BDSG ist damit auch Software geeignet, die unter der neuen Version der GPL lizenziert ist.
4.2 Fehlerfreier Code? 30 PAG-E, aaO, Begründung zu § 18 Abs. 3, S. 39. 31 für eine ausführliche Darstellung des Begriffes: Hansen/Meissner, Verkettung digitaler Identitäten, 2007.
164
DuD_309.indb 164
32 ISO/IEC 15408, Common Criteria for Information Technology Security Evaluation - Part 3: Security assurance components, 2007, S. 32.
Klassisches DRM baut darauf auf, dass die zur Entschlüsselung von Daten verwende-
DuD t Datenschutz und Datensicherheit
3 | 2009
23.02.2009 00:44:12
SCHWERPUNKT
ten Systeme keine Entschlüsselung jenseits ihrer Spezifikation zulassen. Eine korrekte Spezifikationsimplementierung ist derzeit kaum erreichbar. Auch durch Offenlegung des Quellcodes wird dies nicht ohne weiteres erreichbar sein, wie regelmäßig durch die Dokumentation von Sicherheitslücken belegt wird.33 Eine Nutzung von Verfahren der Sicherung personenbezogener Daten in entsprechenden Systemen schreibt das Gesetz ohnehin schon vor, § 9 BDSG. Durch die Kombination von PRM und quellcodeoffenem Programmcode kann allerdings eine erhöhte Transparenz über die eingesetzten Sicherheitsverfahren hergestellt werden, die auch der technischen Sicherung der Daten zugute käme. Bisher ist die Einhaltung des § 9 BDSG praktisch nicht überprüfbar. In dem hier vorgestellten Ansatz hingegen würde unter Umständen schnell deutlich, wann ein Verarbeiter personenbezogener Daten die Verarbeitung nur unzureichend sichert.
4.3 Codetransparenz = Pseudotransparenz? Die Öffnung von Quellcodes bei der Verarbeitung personenbezogener Daten rechtfertigt kein blindes Vertrauen. Die Komplexität der Datenverarbeitungssysteme macht aber gleichzeitig oftmals eine „teilweise Blindheit“ unvermeidlich. Die Mehrzahl der Betroffenen von Verarbeitung werden kaum in der Lage sein, Quellcode auch nur ansatzweise zu verstehen. Jene mit der erforderlichen Vorbildung werden in der Regel aber auch daran scheitern, sicherzustellen, dass ein Missbrauch ausgeschlossen ist. Mittelfristig kann dieser Blindheit möglicherweise mit weiteren Maßnahmen entgegen getreten werden. Hierzu zählt neben einer konsequenten Modularisierung und Funktionstrennung auch, dass die Entwicklung von Systemen regelmäßig bestimmten Anforderungen an Transparenz unterliegt. Bereits jetzt lassen sich an vielen Stellen der Entwicklung quellcodeoffener Programm durch Versionsmanage33 statt Vieler siehe nur Florian Weimer, [SECURITY] [DSA 1571-1] New openssl packages fix predictable random number generator, verfügbar unter: http://lists.debian.org/ debian-security-announce/2008/msg00152.html(9.2.08). Hierbei wird auf eine kritische Sicherheitslücke in einem zentralen Bestandteil der Verschlüsselungsmechanismen der weithin eingestzten Debian Linux-Distribution hingewiesen, die es über fast zwei Jahre unveröffentlicht bestand.
DuD t Datenschutz und Datensicherheit
DuD_309.indb 165
Open Source Datenschutz und Identitätsmanagement-tools I: TOR/Onion Coffee und ANON Gutes Identitätsmanagement (IDM) benötigt Anonymität als Grundlage, um sicher zu stellen, dass Identifizierung nur auf dort stattfindet, wo das IDM-System sie gestattet. Zur Vermeidung von (teilweiser) Identifizierung über IP-Adressen bietet sich der Einsatz von so genannten Mix-Systemen an. Hierbei werden die Anfragen an einen Server über verschiedene Zwischenschstationen verschlüsselt übermittelt, so dass eine Identifizierung des anfragenden Rechners, bzw. seiner IP-Adresse nur in einem Zusammenwirken aller Zwischenstationen möglich ist. Die bekannteste Implementierung eines Mixes ist die Software TOR, die seit dem Jahr 2000 zunächst von der Universität Camebridge und anschließend mit Unterstützung des United States Office of Naval Research (ONR), Defense Advanced Research Projects Agency (DARPA) und der Electronic Frontier Foundation (EFF) entwickelt wurde. TOR ist unter einer BSD-Lizenz für Linux, Apple und Windows unter www.torproject.org verfügbar. Eine Reimplementierung des Clients unter Java wurde unter dem Titel OnionCoffee im Rahmen des PRIME-Projektes erstellt und kann unter http://onioncoffee.sourceforge.net/ unter einer GPL-Lizenz bezogen werden. Neben TOR existiert mit dem Java Anon Proxy (JAP) eine Implementierung eines Mixes, die von der Technischen Universität Dresden, der Universität Regensburg und dem Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein in quelloffener Lizenz entwickelt wurde (http://anon.inf.tu-dresden.de/index.html). Open Source Datenschutz und Identitätsmanagement-tools II: OpenID OpenID ist ein dezentralisierter Identifizierungsstandard, der es den Nutzern im Internet ermöglichen soll sich an mehreren Diensten unter Nutzung der selben digitalen Identität anzumelden. OpenID wird derzeit von einer Vielzahl von Anbietern unterstützt, so zB. von: Yahoo!, AOL, BBC, Google, IBM, Microsoft, MySpace, Orange, PayPal und VeriSign. OpenID selber ist streng genommen keine Software, sondern eine Zusammenstellung von Spezifikationen zur Nutzung von Identitätsmanagement mittels OpenID. Die OpenIDFoundation stellt jedoch eine Vielzahl von Bibliotheken zur Implementierung eigener OpenID-Server und –Clientsoftware in quelloffener Form (unter diversen Lizenzen) zur Verfügung (siehe: http://wiki.openid.net/Libraries). In Kritik geraten ist OpenID, weil es dem Identity Provider ermöglicht nachzuvollziehen, welche Dienste die Nutzer verwenden (Ralf Bendrath, OpenID – next big thing with lots of problems, http://bendrath.blogspot.com/2007/04/openid-next-big-thing-with-lots-of. html) Open Source Datenschutz und Identitätsmanagement-tools III: PRIME Toolbox Das im Zeitraum 2003 bis 2007 von der Europäischen Kommission geförderte Projekt „Privacy Rights and Identity in Europe“ (kurz: PRIME) hat eine Reihe experimenteller Tools zur Unterstützung von Datenschutz und Identitätsmanagement entwickelt. Neben dem JRC-Policy Workbench, der Nutzer bei der Erstellung von P3P-Policies unterstützt (http:// sourceforge.net/projects/jrc-policy-api), sind in diesem Rahmen das Anonymisierungstool OnionCoffee (s.o.), sowie das anonyme Credentialsystem „Idemix“ (s.u.) beforscht worden. Daneben hat die Forschungsabteilung von HP in Bristol, UK, einen so genannten „Obligation-Manager“ entwickelt. Dieses Tool ermöglicht es spezifische DatenschutzVerpflichtungen einzustellen und diese mit einer MySQL-Datenbank zu verknüpften (erhältlich via HP-Labs, Bristol, lizenziert unter der Eclipse-Lizenz) Open Source Datenschutz und Identitätsmanagement-tools IV: Idemix Als Teil des Higgins-Projektes wird derzeit die Veröffentlichung der von IBM, Zürich, entwickelten Idemix-Technologie unter einer Open-Source-Lizenz vorbereitet. Idemix ermöglicht unter Einsatz von so genannten Zero-Knowledge-Verfahren den Nachweis zur Nutzung einer Ressource berechtigt zu sein, ohne den Berechtigungsnachweis selber zu übermitteln. So wird es ermöglicht, Dienste zu nutzen, ohne nachverfolgbar zu sein. Idemix ist eine Implementierung der Technologien, die wohl auch für den Einsatz im elektronischen Personalausweis angestrebt werden.
3 | 2009
165
23.02.2009 00:44:12
SCHWERPUNKT
mentsysteme die Urheber von Fehlern klar identifizieren.
4.4 Umfassende Medienkontrolle? Böhme/Pfitzmann warnen vor einer umfassenden Medienkontrolle34 durch die Einführung von PRM-Systemen. So berechtigt es sein mag, vor der Einführung von „Crypto-bottles“ 35 zu warnen, so wichtig erscheint es doch zwischen der Verarbeitung urheberrechtlich geschützter Inhalte durch DRM und dem Einsatz ähnlicher Technologie im hier gezeigten Rahmen deutlich zu differenzieren. Anders als im Urheberrecht gilt bei personenbezogenen Daten eben das Prinzip der Zweckbindung, d.h. eine Verwendung jenseits vordefinierter Zwecke von personenbezogenen Daten ist nach der gesetzlichen Wertung ausdrücklich nicht erwünscht. Denn grade in der digitalen Verfügbarkeit 34 Böhme/Pfitzmann, aaO, S. 347. 35 also sinngemäß das „Einsperren von Informationen in Verschlüsselungflaschen“, zum Begriff siehe Krempel, Wrapped up in Crypto Bottles, Interview mit John Perry Barlow, verfügbar unter: http:// www.heise.de/tp/r4/artikel/14/14337/1.html (9.2.09).
166
DuD_309.indb 166
fußt das Risikopotential, das zu dieser gesetzlichen Wertung geführt hat. PRMVerfahren ist möglicherweise daher das richtige, technische Mittel, ein technisches Problem zu lösen. 36 Das –vermeintliche oder tatsächliche – soziale Problem des „Tratschen“ kann es (glücklicherweise) nicht unterbinden. 37
5. Fazit Quellcodeoffene Software kann einen Beitrag zur Erhöhung des Vertrauens die die Verarbeitungsprozesse personenbezogener Daten leisten. Es stützt die vom Gesetzgeber angestrebte Transparenz von Prozessen. Ausgerechnet in Kombination mit Technologie, die ursprünglich zum Schutz geistiger Eigentumsrechte entwi-
36 Schallaböck, „Urheberrecht und Datenschutz - ein Chiasmus?“, Thesenpapier für die Heinrich-BöllStiftung, unveröffentlicht, 2006. 37 hierzu: Solove, The Future of Reputation: Gossip, Rumor, and Privacy on the Internet, verfügbar bei SSRN: http://ssrn.com/abstract=1019177 (9.2.09).
ckelt wurde, trägt zu effektiverer zu Datenschutzkontrolle bei. Dabei müssen ökonomische Erwägungen nicht zwingend gegen den Einsatz quellcodeoffener Software sprechen. Wenn nämlich der Marktvorteil grade nicht in den Verarbeitungsverfahren personenbezogener Daten liegt, kann es sinnvoll sein, diese Verfahren abzukoppeln und offen zu legen. Gleichzeitig ist aber selbst beim Einsatz quellcodeoffener Systeme blindes Vertrauen unangebracht.
Danksagung Mein Dank gilt Franziska Vilmar für die Unterstützung beim Verfassen dieses Beitrages. Herrn Rainer Böhme und Herrn Professor Andreas Pfitzmann schulde ich Dank dafür, dass sie sich die Zeit genommen haben, sich in stundenlanger Diskussion mit dem Ansatz der PRM-Systeme auseinandergesetzt zu haben.
DuD t Datenschutz und Datensicherheit
3 | 2009
23.02.2009 00:44:13