Drucksache 17/5200
– 60 –
Das schließlich vom Deutschen Bundestag beschlossene
BSI-Gesetz (BSIG) als Artikel 1 des Gesetzes zur Stärkung der Sicherheit in der Informationstechnik des Bundes vom 14. August 2009 (BGBl. I S. 2821) trug meinen
Bedenken und Forderungen weitgehend Rechnung. Nach
dessen § 5 darf das BSI Protokolldaten und Schnittstellendaten in den Bundesnetzen zur Abwehr von Schadprogrammen und Gefahren für die Kommunikationstechnik
des Bundes speichern und auswerten. Vor Aufnahme der
Datenerhebung und -verwendung hat das BSI ein Datenerhebungs- und -verwendungskonzept zu erstellen und
für Kontrollen durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit bereitzuhalten.
Das Konzept hat dem besonderen Schutzbedürfnis der
Regierungskommunikation Rechnung zu tragen. Die für
die automatisierte Auswertung verwendeten Kriterien
sind zu dokumentieren.
Ich habe im Berichtszeitraum – zunächst gemeinsam mit
dem BSI – ein entsprechendes Konzept erarbeitet. Das Datenerhebungs- und Datenverwendungskonzept nach § 5
trägt den datenschutzrechtlichen Anforderungen Rechnung und dient der Transparenz der Verarbeitung der Daten beim BSI. Das Konzept unterliegt einer stetigen
Anpassung an die veränderten Angriffs- aber auch Analysemethoden, sowie an die technischen Erfordernisse. Derzeit arbeitet das BSI an der technischen Umsetzung des
Konzepts. Sobald es sich über einen längeren Zeitraum im
Wirkbetrieb befindet, werde ich die Umsetzung kontrollieren und gegebenenfalls auf notwendige Modifikationen
hinwirken.
5.3
Privacy Framework/technische
Standardisierung
Bei vielen technischen Vorgängen und Produkten sind datenschutzrechtliche Anforderungen zu erfüllen. Die Normung solcher Vorgänge oder Produkte muss deshalb auch
diese Anforderungen berücksichtigen.
Die Standardisierung von technischen Vorgängen hat in
den letzten Jahren an Bedeutung gewonnen. Durch die
Globalisierung der Märkte wächst auch bei Herstellern
von Geräten und Anbietern von Dienstleistung die Nachfrage nach Standards mit weltweiter Gültigkeit. Viele technische Standards berühren auch Datenschutzaspekte, die
allerdings allzu häufig erst im Nachhinein erkannt wurden.
Deshalb habe ich mich – gemeinsam mit ausländischen
Datenschutzbehörden und Landesdatenschutzbeauftragten – entschlossen, verstärkt bei ihrer Erarbeitung mitzuwirken. Dabei geht es sowohl um internationale Standards
(insbesondere der ISO) als auch um deutsche Standardisierungsbemühungen durch das DIN.
So wirke ich derzeit bei der Überarbeitung der Norm
DIN 32757 zur sicheren Vernichtung von Datenträgern
mit. Sind personenbezogene Daten auf Datenträgern gespeichert, setzt ihre wirksame Löschung die sichere Vernichtung der Datenträger voraus. Die Miniaturisierung
der Datenträger und die Zunahme der Informationsdichte
(Anzahl von Bits pro Fläche) haben dazu geführt, dass die
einschlägige DIN 32757 nicht mehr den Anforderungen
der heute gängigen Technik genügt. Da Speichermedien
BfDI 23. Tätigkeitsbericht 2009-2010
Deutscher Bundestag – 17. Wahlperiode
immer preiswerter werden, sinkt vielfach der Anreiz, Daten zu löschen. Ich habe mich deshalb entschlossen, bei
der Neuausrichtung dieser Regeln im Normenausschuss
Informationstechnik und Anwendungen (NIA) „Arbeitsausschuss Vernichten von Datenträgern“ des Deutschen
Instituts für Normung e. V. (DIN) mitzuarbeiten. Die seit
1995 bestehende DIN 32757 definiert Begriffe und legt
Mindestanforderungen an Maschinen und Einrichtungen
hinsichtlich der Vernichtung von Datenträgern in fünf Sicherstufensstufen fest. Die Sicherheitsstufen sind durch
entsprechende Schnittbreiten und Schnittlängen charakterisiert. Diese Schnittbreiten, aber auch die Schnittlängen,
orientieren sich an der Technik, die es damals am Markt
gab.
So sind die Schnittbreiten beispielsweise beim Medium
Papier an den gängigen Druckern und deren Schriftgrößen ausgerichtet. Bei den damals üblichen Matrixdruckern waren die Ergebnisse der Vernichtung durch Zerschneiden (Shreddern) gemäß den Sicherheitsstufen S1
bis S5 aus Datenschutzsicht durchaus tragbar. Dies gilt
für heutige Drucker und Schriftgrößen nicht mehr. Durch
Einsatz von kleineren besser lesbaren Schriften reduziert
sich gleichzeitig auch der Papierverbrauch, sodass diese
unter wirtschaftlichen Aspekten auch vermehrt eingesetzt
werden. Bei der Vernichtung von Papier hat dies allerdings zur Folge, dass die aus der Norm übernommen
Schnittbreiten nicht mehr den Datenschutzanforderungen
genügen. Zum Teil sind längere Abschnitte auf den verbleibenden Papierschnipseln lesbar.
Das Gleiche gilt auch bei der Speicherung auf elektronischen Datenträgern. So vervierfacht sich die Informationsdichte bei der Verwendung einer DVD im Vergleich zu
einer CD. Auch bei anderen Datenträgern führt die Miniaturisierung dazu, dass die Schnittbreiten bei der Vernichtung nicht mehr ausreichen. So hat eine klassische SD
Memory Card eine Größe von 32 × 24 mm und wird somit
noch durch die alte DIN 32757 erfasst, eine microSD mit
11 × 15 mm würde bei Verwendung der Stufen S1 bis S2
nicht mehr sicher vernichtet werden können, weil die
Schnittbreite in der Norm zu groß ist.
Diese Beispiele zeigen, dass die Überarbeitung dringend
notwendig ist, um den datenschutzrechtlichen Anforderungen schon bei der Entwicklung von Geräten Rechnung
tragen zu können. Ein weiterer Gedanke, der bei der Vernichtung von Datenträgern berücksichtigt werden muss,
ergibt sich aus der Frage des Recyclings des Vernichtungsgutes. Dabei gilt etwa folgende Regel: Je grober das
Vernichtungsgut, umso besser die Recyclingmöglichkeiten. Diese Regel läuft allerdings den Datenschutzanforderungen entgegen, da größere Teilchen auch eine größere
Informationsdichte umfassen. Einig sind sich aber alle
Vertreter im Ausschuss, dass die alten fünf Stufen nicht
mehr ausreichen und zumindest eine Stufe 6 in Zukunft
erforderlich sein wird.
Die Gespräche dauern noch an und werden voraussichtlich im Frühjahr 2011 abgeschlossen sein. Ich bin optimistisch, dass die datenschutzrechtlichen Forderungen erfüllt werden.