Deutscher Bundestag – 14. Wahlperiode
– 67 –
Drucksache 14/5555
fühl haben, durchschaut zu werden“, wie kürzlich aus der
Branche zu vernehmen war. Diese Erklärung kann aber
wohl kaum die Heimlichkeit rechtfertigen, in der man
Nutzer mit Hilfe von cookies und web-bugs ausforscht
oder das Herunterladen von Daten an den Hersteller des
benutzten Multimedia-Programms melden lässt. Vor allem nicht, wenn man ihr die Ergebnisse aus Nutzer-Umfragen gegenüberstellt, die belegen, dass die nur verhaltene Teilnahme am E-Commerce in erheblichem Maße
auf ein Defizit in der Vertrauensdisziplin „Datenschutz“
zurückzuführen ist.
schrift, Kreditkartenzahlung) im Netz verwendet, wobei
aber – was ein gewisser Fortschritt ist – die Zahlungsinformationen zunehmend über eine sichere Verbindung
(SSL) übertragen werden. Aber was nutzt das dem Nutzer,
wenn der Empfänger der Daten ein Betrüger ist oder die
Daten missbraucht!
Möglicherweise macht eben wegen des von vielen Bürgern geäußerten Unbehagens in den USA die Strategie des
marketing by permission Schule, die ganz bewusst auf
eine offene Handhabung setzt, indem sie dem Kunden die
Entscheidung über das Ob und Wie der Verwendung seiner Daten für Werbezwecke überlässt, und sich so – das
sollte kaum überraschen – zur erfolgreichsten Form des
Marketing entwickelt hat. Wenn sich dort jetzt noch die
Erkenntnis durchsetzt, dass man sich an die Entscheidung
des Kunden und damit an sein eigenes Versprechen stets
halten muss, wird der Erfolg nicht nur dauerhaft, sondern
auch noch größer werden.
Im Bezahlsystem paybox der Firma paybox.net wird der
Zahlungsauftrag per Mobiltelefon erteilt. Nachdem der
Händler den Kaufbetrag und die angegebene Mobiltelefonnummer an paybox übersandt hat, holt paybox durch einen automatischen Rückruf beim Nutzer die Bestätigung
des Auftrags ein, wobei dieser durch Eingabe seiner persönlichen paybox-PIN ein Lastschriftverfahren „freischaltet“. paybox.net zieht dann den Betrag vom Konto des
Nutzers ein und leitet ihn an den Händler weiter. Dieses
System wird auch in der „realen“ Welt von mobilen
Dienstleistern (z. B. Taxifahrern) eingesetzt.
Diese Strategie entspricht den Vorschriften des TDDSG
und geht sogar, soweit unter Pseudonym erstellte Nutzerprofile verwendet werden, darüber hinaus. Zu hoffen ist,
dass das novellierte Gesetz durch die klarstellenden Formulierungen auch an dieser Stelle die nötige Transparenz
vor allem für die „Datensammler“ schafft. Fraglich bleibt
aber, ob die bestehenden Vorschriften auch weitere noch
nicht abzusehende, aber im Interesse der Nutzer zu richtende Entwicklungen in diesem Bereich abdecken können. Deshalb habe ich mich beim Bundestagsausschuss
für Wirtschaft und Technologie dafür eingesetzt, dass die
Erfahrungen im Zusammenhang mit der Anwendung und
Umsetzung des TDDSG weiterhin beobachtet und in einem erneuten Evaluierungsbericht der Bundesregierung
vorgestellt werden. Hierzu lag bis Redaktionsschluss
noch kein Votum des Ausschusses vor.
8.4
Auf dem Prüfstand: Zahlungssysteme im Internet
Keines der im Markt angebotenen Systeme für die Bezahlung im Internet hat sich bis heute durchsetzen können. Auch dem einzigen anonymen System eCash, über
das ich in meinem 17. TB (Nr. 8.3) berichtet habe, blieb
der große Durchbruch bisher versagt. Allerdings bieten
ca. 50 Firmen über das eCash-Portal der Deutschen Bank
auch die Bezahlung mit den digitalen Münzen an, und
– anders als in der Pilotphase – wird eCash inzwischen zunehmend – auch vom „normalen“ Nutzer – eingesetzt. Zur
weiteren Akzeptanz und Verbreitung dieses datenschutzfreundlichen Systems kann sicherlich die Werbe-Kampagne beitragen, die an 18 deutschen Universitäten durchgeführt wurde und damit in einem Bereich angesetzt hat,
in dem viele – technikoffene – Kunden zu gewinnen sind.
Aber noch ist alles beim alten: immer noch werden die
konventionellen Zahlungsverfahren (Nachnahme, Last-
Inzwischen werden auch Systeme angeboten, die solche
konventionellen Verfahren mit anderen Kommunikationstechniken so kombinieren, dass keine Konto-Informationen über das Internet übertragen werden müssen:
Mit dem Verfahren net900 der Deutschen Telekom AG
kann das Abrufen kostenpflichtiger Inhalte im Internet
über die Telefonrechnung bezahlt werden. Dabei trennt
eine spezielle Software für kurze Zeit die bestehende Modemverbindung zum Internetanbieter und baut über eine
0190er-Rufnummer eine Verbindung zu den kostenpflichtigen Inhalten auf, über die diese Inhalte übertragen und
„bezahlt“ werden. Nach der Übertragung wird die ursprüngliche Verbindung zum Internetanbieter wieder hergestellt. net900 eignet sich aber wohl eher für Kleinbeträge
und ist von Rechnern ohne Modem (z. B. in Firmennetzen)
oder außerhalb von Deutschland nicht einsetzbar.
Die Datenschutzbeauftragten werden sich eingehend mit
der datenschutzrechtlichen Bewertung von Zahlungssystemen beschäftigen und die Anbieter verschiedener
Systeme zu einer Anhörung im Februar 2001 einladen.
Bei der Bewertung steht die Frage im Vordergrund, inwieweit ein System anonymes oder pseudonymes Bezahlen ermöglicht. Da aber nur ein sicheres System dies leisten kann, spielen auch die technischen Maßnahmen eine
entscheidende Rolle, mit denen die Integrität und Verbindlichkeit und nicht zuletzt die Vertraulichkeit der Zahlungsvorgänge sichergestellt werden.
Eines lässt sich schon jetzt sagen: Auf Dauer werden sich
gerade im Internet nur solche Systeme durchsetzen, die
dem Nutzer – bei ausreichender Transparenz des Verfahrens – das sichere Gefühl geben, dass seine Daten in keinen oder zumindest in guten Händen sind.
8.5
Mit Kryptographie mehr Sicherheit
8.5.1
Es wird immer noch unzureichend
verschlüsselt
Bei meinen Kontrollen musste ich leider feststellen, dass
sogar bei hochsensiblen personenbezogenen Daten (z. B.
Gesundheitsdaten) kein ausreichender Schutz gegen