Nichts Neues von Brunnstein?
Oder
Datenschutz ist eben doch kein rein technisches Problem!
Der Hamburgische Datenschutzbeauftragte Dr. Hans-Hermann
Schrader hatte fuer den Abend des 4ten Juni zu einer weiteren
Vortrags- und Diskussionsveranstaltung in das Auditorium des
Hamburger Verlagshauses Gruner + Jahr eingeladen. Vor dies-
mal nur etwa vierzig Zuhoererinnen und Zuhoerern sprach Prof.
Dr. Klaus Brunnstein zum Thema "Auswirkungen der aktuellen
Rechnersicherheitsprobleme auf den Datenschutz".
Dr. Schrader sprach Kennern aus dem Herzen, als er einlei-
tend darauf hinwies, dass Brunnstein zwar als scharfer Kriti-
ker unsicherer informationstechnischer Systeme bekannt sei,
jedoch selbst bisher kaum Vorschlaege zu einer Verbesserung
der Situation gemacht habe.
Selbstverliebt wie immer begann Brunnstein seinen Vortrag,
dessen Folienwechselfrequenz am Overhead-Projektor beein-
druckend war. Die Wirtschaft wird immer abhaengiger von Infor-
mationen, seien es nun personenbezogene Daten oder sonstiges
Wissen ueber Maerkte, Produkte und Dienstleistungen. Von der
Verfuegbarkeit solcher Daten haengen die saemtlichen Arbeits-
plaetze, ja unser ganzer Wohlstand ab. Brunnstein ist der
Ueberzeugung, dass genau diese Datenbestaende eines Unterneh-
mens heute wie personenbezogene Daten einer juristischen
Person aufgefasst werden muessten, was aus den im Grundgesetz
festgelegten Persoenlichkeitsrechten jedoch nicht herleitbar
ist. Wird in Zukunft jedoch auf eine solche Definition
verzichtet, so die Ueberzeugung Brunnsteins, werden sich auch
die Rechte natuerlicher Personen aufloesen. Zu beklagen sei,
dass die Juristen diesen Zusammenhang leider nicht verstuenden
(ich auch nicht so recht :-/ ).
Statt diese Forderung genauer auszufuehren, folgte nunmehr
die bekannte und breitangelegte Beschreibung der Unsicherhei-
ten der weitverbreiteten Personal Computer: die auf dem
Konzept des Genies John von Neumann beruhende Architektur,
welche den Menschen einen Glauben an die Beherrschbarkeit
der Systeme vorgaukeln, die allgegenwaertigen Viren, die so-
gar von Softwareanbietern verbreitet wurden, die mangelnde
Qualifikation der PC-Anwender, die bei geringsten Bedienungs-
fehlern kapitulieren muessen usw. Weiterhin stelle die inter-
nationale Vernetzung von Computern eine grosse Gefahr dar,
wie der KGB-Hack gezeigt habe.
Bereits an dieser Stelle gab es eine Wortmeldung aus dem
Publikum: Herr Juergens, Referent beim Schleswig-Holsteini-
schen Datenschutzbeauftragten, wies darauf hin, dass der ge-
nannte Hack im Wesentlichen kein technisches Problem der
internationalen Vernetzung gewesen sei, sondern ein soziales
Problem innerhalb der Firma Digital Equipment, die nicht in
der Lage gewesen war, jenen beruehmten Fehler im Betriebssys-
tem der VAX auszuschalten.
Ganz nebenbei fiel die Bemerkung Brunnsteins, wonach er sich
tief getroffen gefuehlt habe, nachdem man ihm vorgeworfen
hatte, seine Warnungen vor dem Michelangelo-Virus haetten nur
als Werbung fuer die Anbieter von Virenabwehrprogrammen und
fuer die CeBIT dienen sollen. Der Chaos Computer Club habe
jedoch in der Oeffentlichkeit ein derart grossen Rueckhalt, so
Brunnstein, dass dagegen nicht anzukommen sei.
An einem Datenverarbeitungssystem sind verschiedene Gruppen
beteiligt. Da gibt es die Designer, also die Gestalter eines
Systems. Sie werden von den Realisatoren, im wesentlichen
dem Programmierer-Team, unterstuetzt. Die Anwender benutzen
schliesslich das System fuer bestimmte, etwa administrative
Zwecke. Handelt es sich um die Verarbeitung personenbe-
zogener Daten, so kommt noch die grosse Gruppe der Betroffe-
nen hinzu. Prof. Brunnstein wies nun darauf hin, dass bei der
derzeitigen Gesetzeslage (Par. 9 BDSG sowie der Anlage dazu)
bei Unstimmigkeiten zunaechst die Gruppe der Anwender in
Verdacht geraet. Die Designer und Realisatoren des Systems
hingegen werden leider vernachlaessigt. Hier kaeme es in Zu-
kunft darauf an, von dieser Gruppe den Nachweis zu verlan-
gen, dass sie ein fehlerfreies System geschaffen haben.
Weiterhin forderte Brunnstein eine Mitteilungspflicht bei
der Verarbeitung personenbezogener Daten. Jeder Betroffene
muss erfahren, was mit seinen Daten geschieht. Ein Auskunfts-
recht des Betroffenen reicht deshalb nicht aus, weil es
keine Motivation fuer ein Nachpruefen der Richtigkeit oder
Rechtmaessigkeit darstelle. In anderen Bereichen sei eine Mit-
teilung selbstverstaendlich: so bekommt jeder etwa eine Ge-
haltsabrechnung oder einen Steuerbescheid. Weiterhin muesse
es moeglich sein, dass die Betroffenen an der Gestaltung von
Datenverarbeitung beteiligt werden, indem sie die Chance
erhalten, deutlich zu machen, welche Dienstleistungen sie
fordern und welche nicht. Eine Beteiligung bei der techni-
schen Gestaltung haelt Brunnstein jedoch fuer nicht sinnvoll.
Bevor Dr. Schrader die Diskussion eroeffnete, wollte er von
Brunnstein nun doch wissen, welche Ansaetze zur Verbesserung
der Rechnersicherheit er vorzuschlagen habe. Brunnstein
sieht drei Konzepte, die derzeit verfolgt werden. Zunaechst
gebe es diejenigen, die ihre Hoffnung in neuronale Netze
legen, weil solche dem Verstaendnis des Menschen naeher lie-
gen, als das von Neumannsche Konzept. Weiterhin liessen sich
objektorientierte Maschinen bauen, deren gekapselte Bestand-
teile keine gegenseitigen Einwirkungsmoeglichkeiten haetten.
Der gegenwaertig vom Bundesamt fuer die Sicherheit in der
Informationstechnik (BSI) und auch der EG vertretene Weg ist
der der Beweisbarkeit. Systeme seien nur dann einsatzfaehig,
wenn ein mathematisches Modell ihre Funktion bestaetige.
Brunnstein sieht darin den am wenigsten sinnvollen Ansatz.
In jedem Fall aber muessen wir weiterhin mit unsicheren
Systemen leben; eine Verbreitung verbesserter Rechnerarchi-
tekturen ist fruehestens in zwanzig Jahren zu erwarten.
Der bereits erwaehnte Herr Juergens vermisste in der Wirtschaft
die verantwortlichen Informatiker, die bei der Gestaltung
von Systemen ausreichende Professionalitaet an den Tag legten
und auf diejenigen einwirken koennten, die lediglich schnell
und fahrlaessig Geld verdienen wollen. Brunnstein erwiderte,
dass er in der Lehre auf solche Fragen wert lege, man jedoch
sehen muesse, dass die Entwicklung der Informationstechnik
jener der Industriealisierung gleiche, es sich also um einen
selbstaendigen Prozess handele, der den Handelnden keine Ent-
scheidungsfreiheiten laesst. Die Konsequenz zeigt sich bereits
nach 35 Jahren der Computeranwendung. Was die Industrieali-
sierung als Umweltkatastrophe hinterlaesst, ist bei der Daten-
verarbeitung die Akkumulation von Informationsmuell. Herr Juer-
gens blieb dennoch bei seiner Ansicht, dass die Probleme
wesentlich im Sozialen laegen.
Herr Schaar, Abteilungsleiter beim Hamburgischen Datenschutz-
beauftragten, bemaengelte, dass bei den gaengigen Sicherheits-
kriterien niemals der Missbrauch der Systeme durch die Betrei-
ber selbst vorkomme. Brunnstein fuegte hinzu, dass dies umso
schlimmer sei, da gerade die Artikulationsfaehigkeit der Be-
troffenen gering ist. Gerade hier liege eine wichtige Aufga-
be der Datenschutzbeauftragten.
Der ebenfalls anwesende Geschaeftsfuehrer der Schutzgemein-
schaft fuer allgemeine Kreditsicherung (Schufa), Herr Pflug-
hoefft, konnte Brunnsteins Pessimismus im Hinblick auf die
Sicherheit der Technik nicht teilen. Die technische Verarbei-
tung der Daten habe sich in seinem Hause nicht als Schwierig-
keit erwiesen. Das gravierende Problem liege vielmehr in der
Sicherstellung, dass die Daten nicht in falsche Haende gera-
ten. Brunnstein wollte seine Position verteidigen, indem er
sagte, die Elektronik sei eine systemische Neuerung, deren
Moeglichkeit weit ueber Akten hinausgingen, so dass es sich
immer um sozio-technische Fragen handle. Pflughoefft blieb
jedoch bei seiner Position und sprach das bedeutenste Wort
des Abends: "Hier liegt immer der Fehler im Menschen!"
Autor: Frank Moeller (4./5. Juni 1992)
E-Mail: f.moeller@cl-hh.comlink.de
------------------------------------------------------------------------------
