Bonn, den 27. Februar 2007
Pressemitteilung 07/2007
Vertrauenswürdige Informationstechnik fördern – Schaar lehnt Nutzerüberwachung ab
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Peter Schaar, begrüßte auf einem vom Bundesministerium des Innern durchgeführten Workshop zum Trusted Computing
am 26. Februar 2007 in Bad Godesberg, dass sich die Bundesregierung im Rahmen der deutschen EU-Präsidentschaft für vertrauenswürdige Informationstechnik einsetzt. Er wies bei dieser Gelegenheit darauf hin, dass Forderungen nach der Ermöglichung von Online-Durchsuchungen
dieser Zielsetzung widersprechen.
Von der Industrie forderte Schaar eine datenschutzfreundliche Gestaltung von Trusted Computing Modulen.
Schaar sagte: Trusted Computing (TC) soll zur Gewährleistung des Urheberrechts beitragen. TC kann auch sicherstellen, dass keine virenverseuchte Software und keine Trojaner die Vertrauenswürdigkeit der Datenverarbeitung beeinträchtigen. Es kann damit einen wichtigen Beitrag zur Verbesserung der IT-Sicherheit leisten. TC-Systeme müssen datenschutzgerecht gestaltet werden und dürfen nicht mit verstärkter Nutzerüberwachung einhergehen oder Hintertüren für heimliche Zugriffe enthalten. Die Programme sollten so gestaltet werden, dass die Sicherheit und die Integrität eines IT-Systems - etwa bei der Nutzung digitaler Inhalte - auch offline möglich ist, also ohne Registrierung auf irgendwelchen Servern. Ansonsten würde das Nutzungsverhalten weitgehend registrierbar, etwa das Hochfahren von Computern oder das Ausführen von Programmen. Zudem würden die mit derartigen Prozessen verbundenen Kommunikationsvorgänge damit auch bei den Internet-Zugangsprovidern erfasst. Dieses Problem würde sich durch die geplante Vorratsdatenspeicherung von Internetdaten noch verschärfen.
Der wichtigste Baustein beim Trusted Computing (TC) ist das Trusted Platform Module (TPM). Es stellt im Prinzip eine sichere Chipkarte dar, die fest mit der Hardware eines PC oder eines Mobiltelefons verbunden ist. Das TPM ermöglicht die Überprüfung der Integrität der Hardware und - etwa durch Kontrolle des Boot-Vorgangs - auch die der Software. Digital Rights Management (DRM) ist ein Verfahren, mit dem die Verbreitung und Verwendung digitaler Medien kontrolliert wird. Es wird heute bereits eingesetzt, z.B. beim Download von Musik. DRM passt besonders gut zum TC, weil durch TC die Sicherheit einer Plattform geprüft und damit die Verbreitung und Verwaltung von Nutzungsrechten abgesichert werden kann.
Schaar: Grundsätzlich sollten die Systeme so ausgestaltet werden, dass die Identitätsdaten des Nutzers auf DRM-Servern nicht erfasst werden. Auch sind die Anbieter von DRM-Systemen aufgefordert zu prüfen, ob eine anonyme oder pseudonyme Nutzung möglich ist. Eine persönliche Identifizierung von Nutzern sollte sich auf solche Fälle beschränken, in denen dies zur Erbringung des Dienstes unabdingbar ist, etwa beim Online Banking oder bei Bestellungen über das Internet. Auch in diesen Fällen muss der Datenschutz durch umfassende Information der Nutzer, strikte Zweckbindungs- und Löschungsregeln gewährleistet werden. Der Grundsatz, Daten nicht zur personenbezogenen Registrierung von Mediennutzungsgewohnheiten und zur Erstellung persönlicher Nutzungsprofile zu verwenden, muss weiterhin gewährleistet sein.