Ohne Zweifel bringt die explosionsartige Ausbreitung des Internet die gravierendsten Änderungen der technischen Rahmenbedingungen mit sich: Die kommerziellen Nutzungen des Netzes haben seit Jahren diejenigen im Hochschulbereich überstiegen, von wo der Siegeszug des Internet seinen Ausgang nahm. Aber auch mehr und mehr private Teilnehmer verschaffen sich einen Internetzugang, über den inzwischen jedermann auch WWW-Angebote einstellen kann. Konsequenterweise wird im e-Commerce der wesentlichste Wirtschaftszweig in den nächsten Jahrzehnten gesehen. Die sprunghaften Anstiege der Aktienkurse der Technologie-Unternehmen unterstreichen dies eindrucksvoll.

Zwei Entwicklungslinien zeichnen sich ab, die künftig durchaus zu unterschiedlichen Bewertungen führen können. Zum einen nutzen mehr und mehr Unternehmen die Möglichkeiten des Internet, um Geschäfte abzuwickeln, aber auch um unternehmensintern zu kommunizieren (Intranet), wobei diese internen Dienste durchaus auch anderen Unternehmen zur Verfügung gestellt werden können (Extranet). Dieser Nutzung des Internet im Rahmen des B-to-B-Commerce steht die Nutzung durch den einzelnen Teilnehmer gegenüber, der aus dem Netz nicht nur Informationen abrufen, sondern als Verbraucher (Consumer) die verschiedensten Dienstleistungen in Anspruch nehmen (Banken, Versandhandel, Reisebuchungen usw.) oder sogar selbst aktiv werden kann (z. B. bei elektronischen Versteigerungen). In diesem B-to-C-Commerce sieht die Wirtschaft das eigentliche künftige Geschäftsfeld. Auch die öffentliche Verwaltung kann sich diesem Trend nicht verschließen und wird künftig sowohl untereinander als auch mit den Bürgerinnen und Bürgern über das Netz in Verbindung stehen ("interaktive Verwaltung").

Unmittelbar bevor steht zusätzlich die Mobilisierung der Technik. Während bisher das Internet fast ausschließlich über feste Anschlüsse genutzt werden konnte, steht mit einer neuen Mobiltelefontechnik (Wireless Application Protocol - WAP-) nunmehr die Möglichkeit zur Verfügung, über ein Handy den unmittelbaren Zugang zum Netz herzustellen.

Ermöglicht wurden all diese Entwicklungen dadurch, dass der bereits in den Vorjahren beschriebene Trend zur Entwicklung schnellerer, kleinerer, über größere Speicherkapazitäten verfügender Informationstechnik bei gleichzeitiger Verbesserung des Preis-/Leistungsverhältnisses ungebrochen ist.

Eine Fortsetzung der im Jahresbericht 1998[26] erstmals vorgestellten Tabelle der vor Weihnachten angebotenen Komplettsysteme der gehobenen Leistungsklasse belegt dies eindrucksvoll:

Diese außerordentlichen quantitativen Fortschritte bewirken, dass auch die Software zunehmend weniger Rücksicht auf Kapazitätseinschränkungen nehmen muss. Optimierungsmaßnahmen zum Umgang mit hardwarebedingten Engpässen verlieren die Rolle, die sie in früheren Zeiten einmal gespielt haben. Sparmaßnahmen beim Speicherplatz, die die Ursache für die befürchteten Probleme beim Übergang ins Jahr 2000 darstellten, verlieren für die moderne Softwareerstellung ebenso an Bedeutung wie die strenge Strukturierung von Datenmodellen und die Zeitoptimierung von Algorithmen. Warum sollen Sachverhalte in syntaktisch streng definierte Datensätze korsettiert werden, wenn Textretrievalsysteme den verbal beschriebenen Sachverhalt genauso schnell und viel genauer erschließen können?

Vier Themen aus dem Berichtsjahr geben Anlass zur Sorge um die zukünftige Informationsgesellschaft, denn sie manifestieren die zunehmende Abhängigkeit der Gesellschaft von informationstechnischen Systemen. Die Gefahr, dass die Grenzenlosigkeit der kommunikativen Beziehungen undemokratischen Machtstrukturen und Machtinstrumenten Vorschub leistet, ist nicht von der Hand zu weisen. Die Grundrechte geraten in Gefahr - nicht, weil die Technik dies bedingt, sondern ihre Potenziale dazu ausgenutzt werden, Abhängigkeiten zu erzeugen.

Kaum ein Thema hat im vergangenen Jahr die Fachwelt so beschäftigt wie die Jahr-2000-Problematik (Year 2 Kilo -Y2K-, Millennium-Bug). Zum Jahresende 1999 war das Thema auch in der Presse Hauptthema. Die offenkundige Anfälligkeit und Angreifbarkeit informationstechnischer Systeme einerseits und die Abhängigkeit der gesellschaftlichen Infrastrukturen von der Verfügbarkeit dieser Strukturen machten die Gefährdungen der IT-Sicherheit zu einem Medienereignis.

In den 60er und 70er Jahren mussten die Programmierer so sehr mit dem Speicherplatz geizen, dass sie bei den Datumsangaben für die Jahreszahl nur die letzten beiden Stellen vorsahen. In diesem Format wurden auch die arithmetischen Operationen, die üblicherweise mit Jahreszahlen erfolgen - vor allem Subtraktionen zur Ermittlung eines abgelaufenen Zeitraums -, programmiert. Jedem Programmierer dürfte klar gewesen sein, was dies bei einem Jahrhundertwechsel bedeutet, aber offensichtlich bestand angesichts des auch damals schon dramatisch schnellen Fortschritts der Informationstechnik die Erwartung, dass die Programme die Jahrhundertwende nicht erleben würden. Die Entwicklung moderner Programme baut jedoch auf alten Programmen auf. Manches Programmmodul aus den 70er Jahren ist noch Bestandteil von Programmen der 90er Jahre und so erklärt sich, dass selbst für einige Programmversionen, die vor drei Jahren neu auf den Markt kamen, eine 2000-Garantie nicht gegeben werden mochte.

Eine weitere Gefahr wurde darin gesehen, dass in vielen technischen Systemen technische Bauteile eingesetzt sind, die zeitliche Steuerungen bewirken sollen, aber nicht als 2000-fähig angesehen wurden (sog. Embedded Chips). Dies hätte z. B. bei wartungsbedürftigen Systemen dazu führen können, dass diese plötzlich "erkennen", dass sie seit fast 100 Jahren nicht gewartet wurden, und sich daher sicherheitshalber ausschalten müssten.

Der Presse war zu entnehmen, dass für die Herstellung der 2000-Fähigkeit bei informationstechnischen oder informationstechnisch gesteuerten Systemen 500 - 1000 Milliarden Dollar weltweit investiert werden würden. Kritisch war ebenfalls zu vernehmen, dass ausgerechnet die sonst so ordentlichen Deutschen nur mühsam aus ihrer Gelassenheit zu wecken waren. Da waren Kassandrarufe nicht mehr zu vermeiden: Ein sommerliches Expertenforum der Süddeutschen Zeitung beschrieb "die Nacht, in der die Welt aus dem Takt geraten wird", auf die "mindestens 10 % aller Firmen nicht vorbereitet sind"[27]. Wenigstens ein Fragezeichen leistete sich die Computerwoche beim Thema der 29. Woche: "Führt das Jahr-2000-Problem

350 000 Firmen in die Pleite?"

Wir können inzwischen auf die Silvesternacht 1999/2000 zurückblicken und zurückfragen: War was? Jedenfalls fiel das angekündigte Millennium-Desaster aus. Einige Meldungen über Marginalstörungen wurden verbreitet, die in anderen Nächten keine Nachricht wert gewesen wären. Das eine oder andere Systemprotokoll zeichnete seine ordnungsgemäße Funktion mit einer merkwürdigen Codierung der Jahreszahl 2000 auf, manch ein unangepasster Alt-PC war in das Jahr 1980 zurückgefallen und musste mit ein paar Kommandos wieder in das richtige Zeitalter gebracht werden.

Ob der ruhige Verlauf der Millenniumsnacht nun auf die kostspieligen und sorgfältigen Vorbereitungen zurückzuführen ist oder alles nur Panikmache war, die der IT-Industrie mächtige Zusatzgewinne einbrachte, weil der von ihr selbst in die Welt gesetzte Computerfehler weltweit einen Schub von Systemmodernisierungen und Beratungsaufträgen bewirkte, wird man wohl nie genau sagen können. Einerseits dürfte sicher sein, dass einige wichtige Maßnahmen dem Zusammenbruch wichtiger Infrastrukturen entgegengewirkt haben. Andererseits wurde vor dem Jahreswechsel die unterschiedliche Intensität der Vorbereitungen in den verschiedenen Ländern beklagt, die sich aber offensichtlich nicht in einer Unterschiedlichkeit der Folgen auswirkte. Dies lässt darauf schließen, dass auf bestimmten weniger wichtigen Ebenen Gelassenheit eher angebracht war als hektischer Aktionismus.

Die Jahr-2000-Problematik wird die Entwicklung der Informationstechnik in zweierlei Hinsicht vorantreiben: Zum einen hat sie - hoffentlich nicht nur für den Augenblick - der breiten Öffentlichkeit, aber auch den öffentlichen Stellen und privaten Unternehmen in Berlin deutlich gemacht, dass die Sicherheit der Informationstechnik mehr ist als die Spielwiese von angeblich den Fortschritt hemmenden Datenschützern. Zum anderen haben die Anpassungsarbeiten weltweit einen überdurchschnittlichen Modernisierungsschub bei den informationstechnischen Systemen und Anwendungen erbracht.

Die Verletzlichkeit der Informationsgesellschaft, die uns mit dem beschriebenen Jahr-2000-Problem eindrucksvoll geschildert, zum Glück aber nicht vorgeführt wurde, gilt inzwischen auch als Aspekt einer modernen Kriegsführung. Seit dem Irak-Krieg im Jahre 1991, besonders intensiv aber im Zusammenhang mit dem Kosovo-Konflikt, wird offen darüber diskutiert, ob nicht durch Hacking oder Schadsoftware wie Computerviren, Logische Bomben, Trojanische Pferde oder Trapdoors die Steuerungssysteme von Informationsgesellschaften effizienter ausgeschaltet werden können als durch Bombardements[28]. Auch werden spezielle Sprengwaffen diskutiert, mit denen gezielt empfindliche Informationstechnologie ge- oder zerstört werden kann[29] ("Information Warfare").

Die Spekulationen bewegen sich vor einem realen Hintergrund: Nach wie vor werden erfolgreiche Hackerangriffe und Verbreitungen von Computerviren bekannt. Sie treffen nach wie vor und weltweit verbreitet auf Leichtsinn und Verantwortungsträger, die den Schutz ihrer Informationstechnik für zweitrangig halten. Werden diese Angriffsformen weiter professionalisiert, dann können auch militärisch unterlegene Parteien mit Information Warfare den überlegenen, von Informationskanälen abhängigen Gegner empfindlich treffen. Eine vom Präsidenten der USA eingesetzte Kommission zur "Absicherung kritischer Infrastrukturen" beschäftigt sich seit 1998 mit dieser Problematik, weil gerade in der Verwundbarkeit im "Cyber War" große Risiken für das Land gesehen werden[30].

Die unbegrenzten Möglichkeiten zur Informationsverarbeitung erlauben die weltweite heimliche Beobachtung der Kommunikationsvorgänge und ihrer Inhalte sowie die Nutzung der Ergebnisse zum Nachteil der Betroffenen und zur Durchsetzung nationaler oder anderweitig einseitiger politischer und wirtschaftlicher Interessen. Die globale Telekommunikationsüberwachung durch die US-amerikanische Sicherheitsbehörde NSA mit ECHELON war Gegenstand unserer Ausführungen an dieser Stelle im Vorjahr[31]. Dass die Sicherheitsinteressen von Staaten und die Aufrechterhaltung von Sicherheit und Ordnung in einem Staat der informationellen Selbstbestimmung Grenzen auferlegen, ist anerkannt. Dass für diese Ziele auch die neuesten Entwicklungen in der Informationstechnik eingesetzt werden, ist selbstverständlich. Welche Grenzen dort zu setzen sind, nimmt in den Tätigkeitsberichten der Datenschutzbeauftragten auf der Welt einen namhaften Raum ein. Die "Kinder von Orwells Großem Bruder" sollten ursprünglich den nationalen Sicherheitsinteressen dienen. Am Beispiel von ECHELON wird allerdings deutlich, dass dann, wenn die politische Entwicklung bestimmte Sicherheitsinteressen überflüssig gemacht hat, die Überwachungssysteme auf neue Ziele ausgerichtet werden, z. B. auf nationale wirtschaftliche Interessen.

In der Privatwirtschaft bemühen sich die Unternehmen um ihre Kunden, um ihre Konkurrenzfähigkeit sowohl im Inland als auch im Ausland zu sichern. Kundenbindung wird immer wichtiger, und diese ist umso besser, je genauer man den Kunden kennt. Um die Daten der Kunden zu erhalten, ist kaum ein Aufwand mehr unwirtschaftlich. Kunden- und VIP-Karten, verbunden mit Einkaufsvergünstigungen, verlocken dazu, persönliche Details zu offenbaren, die der Direktmarketing- und Direktwerbung die informationelle Basis liefern. Es ist sicher praktisch, die Kunden bei Bargeschäften namentlich zu kennen, aber nötig ist es nicht. Wenn man genügend Details über die Verhaltens- und Konsummuster der unterschiedlichen Kundenkategorien kennt, kann die Betreuung, Beratung und Umwerbung ebenfalls recht zielgenau erfolgen.

Im Jahresbericht 1997[32] haben wir über das Data Mining in Data Warehouses berichtet, also über die modernen Datenverwaltungs- und -recherchesysteme, die auf der Grundlage relationaler Datenbankkonzepte und unter Ausnutzung des technischen Fortschritts heterogene Datenbestände nach allem durchforschen, was der Steuerung von Unternehmen dient, hauptsächlich Angaben über Kunden, Kundengruppen und Geschäftspartner.

In diesem Jahr erfinden wir unser Szenario nicht selbst. Wir zitieren einen Anbieter fortgeschrittener Warehouse- und Datenanalysesysteme[33]:

Man sieht, in welche Lebensbereiche derartige Systeme eindringen - zunächst ohne Rücksicht auf den Willen der Betroffenen.

Alle Beispiele belegen die Gefahr, dass die Rahmenbedingungen der Informationstechnik die Tendenz fördern, den Menschen zum Objekt fremder Einflussnahme zu machen. Für den Datenschutz ergeben sich hier ganz neue Aufgabenstellungen.

Die Datenschutzbeauftragten des Bundes und der Länder nahmen sich des Themas an[34]. Dabei monierten sie, dass die Entwicklung der Informationstechnik zu Industriestandards und Produkten führt, die selbst von Fachleuten kaum noch sicher durchschaut werden können. Die Firma Intel bedauerte, dass gerade ihr Produkt zum Gegenstand einer solchen Entschließung gemacht wurde. Tatsächlich kommt dem Marktführer das Verdienst zu, das Thema in der Öffentlichkeit vertreten zu haben.

Gegenstand der Entschließung war auch eine Meldung, die wenig später weltweit für Aufregung sorgte. Amerikanische Fachleute hatten entdeckt, dass der Software-Marktführer Microsoft bei der Online-Registrierung des Betriebssystems WINDOWS 98 jedem Kunden eine weltweit eindeutige Nummer (HWID - Hardware Identifikationsnummer) zuordnet und auf dem Kundenrechner abspeichert. Die Nummer kann aus dem Rechner abgefragt werden.

Auch dieses Hilfsmittel sollte nur einem guten Zweck dienen: Mit der Identifizierung der Software könne man dem Nutzer besser bei der Lösung von Problemen helfen, keinesfalls wolle man jedoch das Nutzerverhalten zu Marketingzwecken verfolgen. Vor allem aber würden die Daten nur dann übertragen, wenn der Benutzer bei der Online-Registrierung ausdrücklich wünscht, dass seine Systemdaten übertragen werden. Dass dies dann nicht stimmte und damit auch gegen den Willen der Nutzer die Daten übertragen wurden, führte Microsoft auf einen Programmierfehler zurück, der mit dem nächsten Service-Pack beseitigt werden solle. Außerdem wolle man alle Daten in den eigenen Datenbanken löschen, deren Übermittlung gegen den Willen der Kunden geschah.

Nachdem entdeckt wurde, dass eine eindeutige Nummer auch mit Dokumenten versandt wird, die mit Hilfe des Microsoft-Produkts Office 97 erzeugt werden, erläuterte Microsoft der zuständigen Datenschutz-Aufsichtsbehörde in Deutschland, dass es sich dabei um eine Nummer handele, die mit der HWID nichts zu tun hätte, sondern eine GUID, die ein Dokument dem Rechner zuordnen kann, in dem es entstanden ist. Diese Nummer diene der Zuordnung von Dokumenten, die in einem Netz zirkulieren, und soll damit die Zusammenarbeit der Netzteilnehmer erleichtern.

Microsoft wies darauf hin, dass die GUID im Unternehmen nicht gespeichert würde, und kündigte an, Programmberichtigungen auf ihrer Website zugänglich zu machen, die verhindern würden, dass neuen Dokumenten die GUID angehängt wird, ferner ein Löschprogramm für die GUIDs bestehender Dokumente dort anzubieten und last but not least in Office 2000 auf die GUID ganz zu verzichten. Obwohl die Gerüchte in der Fachpresse nicht ganz verstummten, Microsoft habe diese Versprechungen nur zur Beruhigung der deutschen Datenschutz-Aufsichtsbehörden abgegeben, ist von der Ernsthaftigkeit der Absichten des Marktführers auszugehen.

In der Folge gab es immer wieder Meldungen über heimliche Hard- und Softwaremerkmale, die auf die informationelle Selbstbestimmung der Benutzer abzielen:

- Ein kleines und offenbar gern benutztes Spaßprogramm der Softwarefirma Comet Systems übertrug heimlich GUIDs der Nutzer an die Firma, angeblich nur für die Abrechnung mit den eigenen Kunden[35].

- Ein Programm zur Musikwiedergabe soll über längere Zeit heimlich Identitätsnummern an den Software-Hersteller RealNetworks übermittelt haben[36].

- Der Schlüssel "NSAKEY" in den WINDOWS-Betriebssystemen von Microsoft wirft die Frage auf, ob das ein Generalschlüssel für den amerikanischen Geheimdienst NSA zum Lesen verschlüsselter Nachrichten ist oder - wie Microsoft behauptet - ein Mittel, das es dem NSA ermöglicht, die Einhaltung amerikanischer Exportbedingungen für Verschlüsselungssoftware zu überwachen?[37].

All diese Meldungen und Mutmaßungen haben einen realen Hintergrund: Hersteller bauen heimlich unbekannte Funktionen und Leistungsmerkmale in Hard- und Software ein, die sich in bestimmten Zusammenhängen gegen die Interessen der Benutzer richten - auch wenn das Gegenteil beteuert wird. Daten über Kunden und deren Verhalten sind in der künftigen Informationsgesellschaft Dinge, für die hohe Preise bezahlt werden, wenn dem nicht durch hinreichende Maßnahmen begegnet wird.

Natürlich bleibt Berlin von den globalen Entwicklungen in der Informationstechnik und ihren Anwendungen nicht unberührt. Dies zeigen vielfältige Aktivitäten in der Stadt: Viele private Unternehmen beschäftigen sich mit der Herstellung von Soft- und Hardware, entwickeln Anwendungen der Informations- und Kommunikationstechnik und bieten Dienstleistungen der Datenverarbeitung an. Ein Blick auf die Unternehmen, die an der Berliner Börse [LINK]gehandelt werden, zeigt, dass es auch in Berlin Unternehmer gibt, die neue Ideen für das weltweite Datennetz wirtschaftlich erfolgreich umsetzen können. Im Register der in Berlin tätigen und nach § 32 Bundesdatenschutzgesetz meldepflichtigen Dienstleistungsunternehmen in der Datenverarbeitung finden sich auch die wichtigsten Marktführer wieder.

Erhebliche Anstrengungen unternimmt der Senat, allen voran die Senatsverwaltung für Wirtschaft und Betriebe, die Entwicklung der Informationstechnik in Berlin zu fördern. So bündelt die Landesinitiative "Projekt Zukunft - Der Berliner Weg in die Informationsgesellschaft" eine Reihe öffentlicher und privater Projekte. Unser Vorschlag, in diesen Projekten die Bedeutung des Datenschutzes als Qualitätsmerkmal deutlich zu machen, hat auch im Berichtsjahr kaum Resonanz gefunden.

Auch in der Berliner Verwaltung, über deren Aktivitäten wir aufgrund der gesetzlichen Aufgabenzuweisung und bestehenden datenschutzrechtlichen Transparenzgeboten einen genaueren Überblick haben, ist die technische Entwicklung trotz der finanziellen Engpässe im Berliner Staatshaushalt nicht stehen geblieben. Es ist längst erkannt, dass ohne intensiven Einsatz der Informationstechnik eine moderne Verwaltung nicht ökonomisch funktionieren kann. Es ist ferner erkannt, dass sich auch die öffentliche Verwaltung der weltweiten Dynamik und Faszination des Internet nicht entziehen kann.

Mit dem Stadtinformationssystem Berlin.de [LINK]befindet sich eine umfangreiche Webpräsentation des Landes im kontinuierlichen Aufbau. Wichtige Informationen für Berlins Bürger und potenzielle Besucher werden zur Verfügung gestellt und ersparen ihnen die häufig zeitraubenden Erkundigungen. Interaktive Bürgerdienste, die über die reine Bestellung von Informationsmaterial und dem Downloaden von Formularen hinausgehen, werden allerdings noch nicht angeboten. Für verbindliche und formelle interaktive Kontakte zwischen Bürger und Verwaltung fehlt es noch an den technischen Voraussetzungen zur Gewährleistung der Authentizität und Verbindlichkeit auf dem Netz.

Wir haben im letzten Jahresbericht ausführlich zu den datenschutzrechtlichen und IT-sicherheitstechnischen Fragestellungen dieses Projektes Stellung genommen[38]. Das Projekt Berlin.de hat in der Zwischenzeit auch Kritik erfahren müssen, die nichts mit dem Datenschutz zu tun hat. Kritisiert wurden die umständlichen Suchmöglichkeiten, die es dem Bürger schwerer als nötig machten, das im Angebot zu finden, was er sucht. Es fehlt eine Suchmaschine und vor allem ein Verwaltungsführer, der die verschiedenen Angebote verknüpft. Daraufhin kündigte der Senat eine bessere Koordination und die baldige Realisierung von interaktiven Verwaltungsdiensten und der elektronischen Unterschrift an.

Die datenschutzrechtliche Relevanz der interaktiven Bürgerdienste im Rahmen von Berlin.de veranlasste uns zu einer Umfrage in den Haupt- und Bezirksverwaltungen nach dem jeweiligen Realisierungsstand solcher Dienste. Das Ergebnis machte deutlich, dass die Bezirke in Berlin.de keine interaktiven Dienste anbieten. Einige Bezirke haben eigene Angebote aufgebaut, teilweise mit einfachen interaktiven Elementen wie z. B. E-Mail. In der Hauptverwaltung besteht offenkundig mehr Akzeptanz zu Berlin.de, jedoch werden interaktive Dienste ebenfalls kaum angeboten. Im Geschäftsbereich der Senatsverwaltung für Wissenschaft, Forschung und Kultur werden interaktive Dienste im Bereich der Hochschulen und einigen kulturellen Einrichtungen bereits angeboten, jedoch nicht im Rahmen der zentralen Darstellung Berlins im Internet.

Mit dem VeZuDa-Projekt soll eine Infrastruktur im Berliner Landesnetz geschaffen werden, die die einheitliche und verfahrensübergreifende Verwendung von Grunddaten zu Personen bzw. Grundstücken zum Ziele hat. Einmal von einer besonders dafür ausersehenen Behörde erfasst, sollen diese Grunddaten allen anderen Verfahren als aufrufbare Objekte zur Verfügung gestellt werden, sobald sie erhoben werden sollen. Kommt ein Bürger also in eine Behörde, so genügt seine sichere Identifizierung, etwa durch Vorlage des Personalausweises, und schon können die im Melderegister verfügbaren Grunddaten in Form einer "Datenkapsel" über das Netz zur Verfügung gestellt werden. Aufwendige und fehleranfällige Zweiterfassungen können unterbleiben. Dies führt zu Datenbeständen, die zueinander konsistent und mit größerer Wahrscheinlichkeit als zuvor auch richtig sind. Dies ist aus datenschutzrechtlicher Sicht zu begrüßen. Folgende datenschutzrechtliche Problemfelder sind jedoch zu beachten:

Nach § 10 Abs. 1 BlnDSG sind die Daten grundsätzlich beim Betroffenen mit seiner Kenntnis zu erheben. Bei Nutzung von VeZuDa-Datenkapseln werden die Daten beim Quellverfahren abgerufen, also nicht beim Betroffenen erhoben. Dies ist nur dann zulässig, wenn der Aufruf der entsprechenden Datenobjekte mit Kenntnis der Betroffenen erfolgt und mit diesen auf Richtigkeit geprüft werden kann.

Bei dem VeZuDa-gestützten Zugriff handelt es sich um ein automatisiertes Abrufverfahren, für das nach § 15 BlnDSG eine gesetzliche Ermächtigung und eine Verordnung für nähere Festlegungen existieren muss. Für den Zugriff auf Eigentümerdaten im Automatisierten Liegenschaftsbuch liegt mit der Liegenschaftskataster-Abrufverordnung (LiKa-AbrufVO) eine solche Rechtsverordnung vor.

Es ist datenschutzrechtlich geboten, dass sich der Umfang der Grunddaten auf das Erforderliche beschränkt. Entweder werden also die Datenkapseln auf die einzelnen Erfordernisse des abrufenden Verfahrens angepasst oder aber es wird eine einheitliche Datenkapsel definiert, die jedoch nur die Durchschnittsmenge der erforderlichen Daten enthalten darf, weil anderenfalls viele Verwaltungsverfahren mehr Daten erhalten, als sie benötigen.

Die Zugriffsbeschränkung auf das jeweils Erforderliche ist durch technische Maßnahmen sicherzustellen. Der Zugriff auf solche Datenkapseln darf nur erfolgen können, wenn ein konkreter Bearbeitungsfall vorliegt. Wenn dieses nicht durch andere technische Maßnahmen abgesichert werden kann, muss eine Protokollierung erfolgen, die auch den Abfragegrund, z. B. durch Aufzeichnung des Aktenzeichens im Anwendungsverfahren, aufzeichnet.

Eine Verschlüsselung der personenbezogenen Daten bei der Übertragung im Berliner Landesnetz ist erforderlich.

Eine weitere Frage war die Nutzung personenbezogener Echtdaten bei der Erprobung der VeZuDa-Funktionalitäten. Dazu haben wir empfohlen, die für den Testbetrieb erforderlichen Testdaten von zwei Verfahren durch eine Einwegverschlüsselung nach dem Vorbild von UNIX-Passwörtern zu verschlüsseln. Dies führt dazu, dass nicht rekonstruierbare Pseudonyme entstehen, die jedoch für gleiche Ausgangsnamen gleich sind, so dass der gegenseitige Zugriff realistisch nachvollzogen werden kann.

Nähere Ausführungen zu den Fachverfahren, bei denen wir beteiligt wurden, finden sich an anderen Stellen dieses Berichts:

- Integrierte Personalverwaltung (IPV)[39]

- Sozialhilfeverfahren BASIS I und BASIS II[40]

- Datenerhebung Jugend+Sucht[41]

- Querschnittscontrolling beim Programm "Integration durch Arbeit" - IdA[42]

- Elektronisches Ticketing bei der BVG[43].

Unsere Aufmerksamkeit fanden weiterhin u. a. die Verfahren Neues Einwohnerwesen (EWW-neu), Neues Berliner Rechnungswesen (NBR), Handelsregister (HAREG), Elektronisches Grundbuch (SOLUM STAR), Verbund der Öffentlichen Bibliotheken Berlins (VÖBB), IT-Verfahren der Hochschulbibliotheken (ALEPH 500), IT-Verfahren Justizvollzugsanstalten (BASIS 2000).

Anfang Januar 1999 ist die IT-Sicherheitsrichtlinie des Landes veröffentlicht worden und damit offiziell in Kraft getreten, nachdem auf Beschluss des IT-Koordinations- und Beratungsausschusses (IT-KAB) die Anwendung der Richtlinie bereits vorher vereinbart worden war. Über die Regelungen der IT-Sicherheitsrichtlinie haben wir bereits im Jahresbericht 1998 ausführlich berichtet[44].

Die IT-Sicherheitsrichtlinie stellt der Verwaltung zur Aufgabe, methodische Überlegungen zur Gewährleistung der informationstechnischen Sicherheit und - damit stets untrennbar verbunden - zur Umsetzung der technisch-organisatorischen Maßnahmen zum Datenschutz nach § 5 Abs. 3 BlnDSG anzustellen. Eine solche Herangehensweise ist offenkundig neu für viele Bereiche der Verwaltung, denn die nach der IT-Sicherheitsrichtlinie geforderten IT-Sicherheitskonzepte auf der Grundlage anerkannter Methoden, die auf einer Risikoanalyse aufbauen, sind noch sehr rar.

Die IT-Sicherheitsrichtlinie beschreibt nicht nur die Grundsätze der Sicherheitspolitik für die im Lande in den Einsatz kommenden informations- und kommunikationstechnischen Systeme, Infrastrukturen und Anwendungen und weist auch nicht nur die Verantwortung auf bestimmte Funktionsträger zu, sondern macht auch Vorgaben zum methodischen Vorgehen und zur Umsetzung.

Logisch, organisatorisch und räumlich zusammengehörende Bereiche, die einheitlichen Sicherheitsanforderungen zu genügen haben, sind als Sicherheitsdomäne auszuweisen. Für diese Sicherheitsdomänen sind Sicherheitskonzepte zu erarbeiten und umzusetzen. Es hängt vom Schutzbedarf ab, ob es ausreicht, das IT-Grundschutzhandbuch des Bundesamtes für Sicherheit in der Informationstechnik (BSI) [LINK]anzuwenden, oder ob ganz oder teilweise das komplexere Verfahren nach dem IT-Sicherheitshandbuch des BSI anzuwenden ist.

Die Sicherheitskonzepte müssen den Anwendungsbereich exakt beschreiben und eine Risikoanalyse enthalten, die die konkreten Rahmenbedingungen der Sicherheitsdomänen im Einzelfall beschreibt und die daraus folgenden Risiken für die informationstechnische Sicherheit benennt. Die Maßnahmen zur Verringerung der Risiken auf ein tragbares Maß sind zu beschreiben und es ist im Rahmen einer Restrisikoanalyse zu bewerten, ob damit alle untragbaren Risiken auf ein tragbares Maß verringert worden sind. Es müssen ferner die Verantwortlichen für die Umsetzung benannt und ein Umsetzungsplan erstellt werden, der Prioritäten benennt sowie Fristen und Kosten.

Explizit benannt werden die Sicherheitskonzepte für die zentrale IT-Infrastruktur (z. B. Berliner Landesnetz, Sicherheitsrechenzentrum), die vom Landesbetrieb für Informationstechnik verantwortlich betreut wird, die behördenbezogenen Sicherheitskonzepte, die für jede Behörde, ggf. aber auch für abgrenzbare Behördenteile, anzufertigen sind, sowie die verfahrensspezifischen Sicherheitskonzepte, die sich auf die besonderen Bedingungen eines IT-Verfahrens beziehen.

Wenn wir über neue IT-Verfahren unterrichtet werden, beschränken sich häufig die Angaben zu den technisch-organisatorischen Maßnahmen auf die Zitierung einschlägiger, aber natürlich allgemein und pauschal gehaltener gesetzlicher Vorschriften oder - wenn es hochkommt - auf die Kurzbeschreibung der durch die Betriebs- und Standardsoftware bzw. Standardrechner bereitgehaltenen Werkzeuge mit Sicherheitsrelevanz. Sicherheitskonzepte, die den oben beschriebenen Anforderungen nahe kommen, sind selten und müssen in unseren ersten Stellungnahmen zu den Verfahren grundsätzlich angemahnt werden. Rückfragen, die wir auf solche Forderungen erhalten, machen deutlich, dass die notwendigen methodischen und inhaltlichen Kenntnisse für die Erstellung von Sicherheitskonzepten dünn gesät sind. Deshalb ist es erstaunlich, dass entsprechende Schulungsangebote der Verwaltungsakademie so zurückhaltend angenommen werden, dass Kurse mangels ausreichender Meldungen vom Programm genommen zu werden drohen.

Mit unserer Broschüre "Datenschutz und informationstechnische Sicherheit beim PC-Einsatz", die auf dem IT-Grundschutzhandbuch des BSI beruht, liegt den IT-Fachleuten der Berliner Verwaltung eine weitere Unterlage zur Erstellung von Sicherheitskonzepten zur Verfügung, die in mindestens 95 % aller IT-Anwendungen des Landes einschlägig sein dürfte.

In der IT-Sicherheitsrichtlinie ist auch festgelegt worden, dass unter der Leitung der Senatsverwaltung für Inneres eine ständige Arbeitsgruppe IT-Sicherheit des IT-KAB unter Beteiligung des Rechnungshofs von Berlin und des Berliner Beauftragten für Datenschutz und Akteneinsicht eingerichtet wird. Diese Arbeitsgruppe berät zu allen Fragen des sicheren Einsatzes von Informationstechnik, die von behördenübergreifender Bedeutung sind. Hauptschwerpunkte sind die Erarbeitung eines jährlichen Sicherheitsberichtes und eines dazugehörigen Umsetzungsplanes. Des Weiteren soll die IT-Sicherheitsrichtlinie und deren operationalisierbare Ausgestaltung ständig fortgeschrieben werden.

Der jährliche Sicherheitsbericht soll Aussagen über die Wirksamkeit von Sicherheitsmaßnahmen, eine Analyse neuer Risiken und darauf aufbauende Maßnahmevorschläge beinhalten. Der Sicherheitsbericht ist die Basis für einen durch den IT-KAB zu beschließenden Umsetzungsplan. Dem Umsetzungsplan muss dabei besondere Bedeutung zukommen. Die Erfahrung hat gezeigt, dass die Erarbeitung von Datenschutz- und IT-Sicherheitskonzepten zwar an vielen Stellen bereits durchgeführt wird, eine Umsetzung jedoch nur sehr zögerlich und bruchstückhaft erfolgt. Das Ergebnis des Sicherheitsberichtes hinsichtlich der Umsetzung der IT-Sicherheitsrichtlinie stellt sich sehr unterschiedlich dar: Positive Entwicklungen gibt es bei der Erarbeitung und Umsetzung behördenspezifischer Sicherheitskonzepte und für den Einsatz von gestaffelten Firewalls[45] beim Anschluss an das Berliner Landesnetz. Die hierzu erforderlichen Maßnahmen wurden in vielen Behörden bereits umgesetzt oder sind bis zum Ende des Jahres 1999 geplant. Voraussetzung hierfür ist jedoch, dass auch bei der bekannt kritischen Haushaltslage die benötigten finanziellen Mittel bereitgestellt werden.

Auch die Arbeitsgruppe beklagt die unbefriedigende Situation bezüglich der Sicherheit von IT-Verfahren. So verfügen kleinere bzw. dezentrale IT-Verfahren noch nicht über ein Sicherheitskonzept und bei den IT-Großverfahren bestehen teilweise erhebliche Mängel in der Umsetzung einzelner Regelungen der IT-Sicherheitsrichtlinie bzw. der IT-Sicherheitsstandards. Dringender Handlungsbedarf besteht insbesondere beim Einsatz von behörden- und verfahrensübergreifenden Verschlüsselungslösungen und dem Virenschutz beim Datenaustausch über das Berliner Landesnetz.

Ein weiterer Schwerpunkt der Arbeitsgruppe IT-Sicherheit war die Fortschreibung der IT-Sicherheitsstandards für die Berliner Verwaltung, die eine genauere Ausprägung der in der IT-Sicherheitsrichtlinie definierten Regelungen enthalten. Wesentliche Neuerungen bzw. Änderungen betreffen die Anforderungen an Verschlüsselungsalgorithmen und die Verbindung zu Fremdnetzen. Die IT-Sicherheitsstandards fordern den unbedingten Einsatz von Verschlüsselungsverfahren bei der Übertragung von Informationen, die hinsichtlich der Vertraulichkeit, der Nachweisbarkeit und der Integrität besonderen Sicherheitsanforderungen unterliegen. Die eingesetzten Verfahren müssen dem Stand der Technik entsprechen, dieses sind derzeit Verschlüsselungsalgorithmen wie Triple-DES oder IDEA. Die zur Verschlüsselung verwendeten Produkte dürfen keine Möglichkeiten der Schlüsselaufdeckung enthalten, die einen unbefugten Zugriff Dritter auf die verschlüsselten Daten ermöglicht ("Key Escrow"[46]).

Obwohl zwischen der Senatsverwaltung für Inneres, dem IT-KAB und dem Landesbetrieb für Informationstechnik von Anfang an Einigkeit darüber herrschte, dass die Übertragung personenbezogener Daten auf dem Berliner Landesnetz grundsätzlich verschlüsselt werden sollte, haben allerdings praktische Probleme bei der Auswahl eines geeigneten Verfahrens zu erheblichen Verzögerungen bei der Umsetzung dieses Plans geführt. Im Berichtsjahr scheint die Suche nach einem geeigneten Verschlüsselungsverfahren von Erfolg gekrönt worden zu sein[47].

Auch für die Anbindung an Fremdnetze wurden Festlegungen getroffen, die wir schon seit mehreren Jahren fordern. Eine Verbindung zu Fremdnetzen setzt voraus, dass einerseits ein schlüssiges Sicherheitskonzept vorliegt, und andererseits, dass dieses auch konsequent umgesetzt wird. Fremdnetze sind alle IT- und TK-Netzinfrastrukturen außerhalb des Geltungsbereiches der IT-Sicherheitsrichtlinie des Landes Berlin wie z. B. Internet, Firmennetze, Verbundnetze wie TESTA, IVBB, Netze von TK-Carriern und Internet-Service-Provider, Mehrwertdienste wie X.25, X.400 und X.500 oder auch das Stadtinformationssystem "Berlin.de".

Zusammenfassend kann man feststellen, dass die IT-Sicherheitsstandards nunmehr viele verbindliche Festlegungen von Sicherheitsmaßnahmen definieren, die wir bereits seit mehreren Jahren empfehlen.

[26] JB 1998, 2.1

[27] Süddeutsche Zeitung v. 17./18.7.1999, S. 13

[28] DER SPIEGEL 37/1999, S. 288 ff. [LINK]

[29] vgl. z. B. A. Baumann: Bitskrieg - Information Warfare: Krieg im

Informationszeitalter, c't 1998, Heft 18, S. 80 ff.

[30] Die Welt v. 17.3.1998, S. 7

[31] JB 1998, 2.1, vgl. 5.1

[32] JB 1997, 2.1

[33] E-Business - Kundenbeziehungen verbessern - Ein Whitepaper, erstellt von MicroStrategy (Incorporated) [LINK], 1999, S. 6

[34] Entschließung zu "Transparente Hard- und Software", Anlagenband "Dokumente

zum Datenschutz 1999", Teil A I

[35] Berliner Morgenpost v. 17.12.1999, S. 15

[36] PC-Magazin, Januar 2000, S. 23

[37] Handelsblatt v. 8.9.1999, S. 55

[38] JB 1998, 2.2

[39] vgl. 4.4.1

[40] vgl. 4.4.3

[41] vgl. 4.4.3

[42] vgl. 4.4.3

[43] vgl. 4.6.3

[44] JB 1998, 2.2

[45] JB 1995, 4.1; JB 1997, 2.3; JB 1998, 2.2

[46] JB 1996, 3.4

[47] vgl. 4.8.2