Seminar: Informatik und Gesellschaft im WS 1996/97 an der FAU Erlangen-Nürnberg

Vortrag: Datenschutz

Autor: Björn Reimer

Termin: 11.11.1996

Gliederung

0. Abstract

1. Datenschutz als gesellschaftliches Problem

2. Grundbegriffe

3. Gesetze zum Datenschutz

3.1. Bundes- und Landesgesetze

3.2. Der Staat und meine Daten

3.3. Privatunternehmen und meine Daten

3.4. Strafandrohungen zum Thema Datenschutz

4. Datensicherheit in der Praxis

4.1. Was ist Datensicherheit?

4.2. Sicherheitsprobleme in Rechnersystemen

4.3. Wie läßt sich Datensicherheit erreichen?

4.4. Kryptographie und Kryptologie als Mittel zum Datenschutz

5. Resümee

5.1. Die 6 fundamentalen Sicherheitsprinzipien

5.2. Datenschutzprinzipien

6. Quellen und weitere Links zum Thema

Abstract

Datenschutz? Ist das ein Problem? Was hat das mit Informatik zu tun?

Datenschutz begegnet uns eigentlich überall, aber kaum einer nimmt ihn wirklich ernst. Zwar hat wohl schon jeder mal etwas von einem Datenschutzgesetz gehört, oder von einem Datenschutzbeauftragten, aber hat sich auch schon mal jemand bewußt gemacht, welch e potentiellen Gefahren sich für uns ergeben, wenn die falschen Leute an unsere Daten kommen? Welche Versicherungsgesellschaft würde einem todkranken eine Lebensversicherung verkaufen? Was, wenn sie die Daten der Krankenversicherung hätte?

Und genau das ist das Problem. Unsere Daten können für andere Menschen Kapital sein.

Damit mit unseren Daten kein Mißbrauch betrieben wird, müssen wir ein Bewußtsein für die Probleme erlernen, die sich beim Umgang mit persönlichen Daten ergeben, als auch genau Bescheid wissen, was andere mit unseren Daten machen dürfen und was nicht!

Weiter ist ein Mindestmaß an Sorgfalt und technischen Überlegungen bei der Implementierung von IT-Systemen, die personenbezogene Daten verarbeiten sollen, unabdingbar.

Datenschutz als gesellschaftliches Problem

Zuerst muß geklärt werden, wo Datenschutz in der Gesellschaft überhaupt ein Problem ist oder sein kann und was Datenschutz eigentlich ist:

Was ist bisher passiert (nach [3])

Eine kleine Auswahl, Quellen:

News: comp.risks

News: comp.security.misc

DER SPIEGEL

DIE ZEIT

Stern

Wir treffen überall auf Probleme mit dem Datenschutz:

• In gesellschaftlichen Bereichen
  • Behörden: Sie verwalten unsere Daten, die nur uns (und eventuell die Behörden) etwas angehen sollten
  • Privatwirtschaft: Es werden Daten bei Bestellungen und Einsendung von Registrierkarten erfaßt und ausgewertet
  • elektronischer Kommerz: Die Bank weiß, wo wir einkaufen!
  • Medizin: ein breites Spektrum in Bezug auf Krankenakten, das hier aber nicht behandelt werden kann.
  • Es gibt kaum Bereiche, in denen Datenschutz kein Thema wäre, dementsprechend ist diese Liste in keinem Fall vollständig!
• In technischen Bereichen
  • Datenbanken sollen Daten so speichern, daß sie nicht jeder wieder lesen oder gar verändern kann
  • In vernetzten Umgebungen werden Daten übertragen, die über verschiedenste Rechner laufen können
  • In Chipkarten sind Daten gespeichert, die z.B. beim Arzt oder bei der Bank ausgelesen werden
  • Auch dieser Bereich ist hier nur exemplarisch charakterisiert.

Der Datenschutz ist gefährdet durch:

• fehlendes Datenschutzbewußtsein und fehlende Informationen bei Betroffenen
• mangelnde Regelungen bzw. mangelnde Umsetzung von Regelungen
• Datenspuren. Wir hinterlassen sie, manchmal, ohne es zu wollen und zu wissen, und das ist gefährlich!
  So können aus Verbindungsdaten verschiedener Kommunikationseinrichtungen (Telekom, Internet-Provider) Informationen über den Einzelnen gewonnen werden ode r durch bargeldlosen Zahlungsverkehr können Banken und Kaufhäuser Käuferprofile erstellen.
• An Rechenanlagen und elektronischen Arbeitsplätzen kann durch Zugangsregistrierung und Logdateien zurückverfolgt werden, wann wer was gemacht hat, insbesondere, ob Spiele oder ähnliches ausgeführt wurden. Das kann gegen Mitarbeiter verwendet werden!
• lückenhafte Sicherheitssysteme, wie sie sich zeigen z.B. durch unkontrollierte Paßwortvergabe oder Rechner (PCs) mit bootbarem Diskettenlaufwerk oder ungeschützter Zugang zu Rechenanlagen im Allgemeinen.
• Outsourcing: Verarbeitung von Behördendaten bei Privatfirmen
• Datenabgleich: Wie würde sich eine Versicherungsgesllschaft über Daten der Krankenversicherung z.B. freuen?
• Sammelwut von Daten:
  Es werden oft Daten gespeichert, die für die Verarbeitung nicht oder nicht mehr nötig sind, aber noch nicht gelöscht wurden.
  Ein Beispiel: Schon mal auf Alta Vista nach eigenem Namen ges ucht? Überraschung?

Zielkonflikte

Der Datenschutz kollidiert sehr häufig mit anderen berechtigten Interessen

• Datenschutz <-> Verbraucherschutz
• Datenschutz <-> Informationsfreihiet (z.B. Umweltdaten und Pressefreiheit)
• Datenschutz <-> Verbrechensbekämpfung
• Datenschutz <-> Forschung (Epidemien)

Grundbegriffe

(zitiert nach [3])

Datenschutz (juristisch):

Grundrecht, Persönlichkeitsrecht, Recht auf informationelle Selbstbestimmung [BVG-Urteil zur Volkszählung, 15.12.1983]. (Geschützt werden nicht die Daten, sondern die Persönlichkeit vor Mißbrauch ihrer Daten.)

Datenschutz (informatisch):

Schutz von Daten vor Mißbrauch, unberechtigter Einsicht oder Verwendung, Änderung oder Verfälschung. Auch Schutz der Integrität eines Systems.

Katastrophenschutz:

Schutz von Daten und Datenverarbeitungsanlagen vor Zerstörung durch äußere Gewalten oder Sabotage. Auch Schutz vor Nichtverfügbarkeit.

Datensicherheit:

Ergebnis der Verwirklichung von Datenschutz (informatisch) und Katastrophenschutz.

IT-Sicherheit:

Datensicherheit, bezogen auf Systeme der Informationstechnik (IT).

Gesetze zum Datenschutz

Bundes- und Landesgesetze

Nachdem ich kein Jurist bin, hier eine Liste von Gesetzen (nach [3]), in denen das Thema Datenschutz geregelt bzw. angesprochen wird:

• Bundesdatenschutzgesetz (BDSG).
• Landesdatenschutzgesetze. (BayDSG)
• Bundesstatistikgesetz (§11).
• Landesstatistikgesetze.
• Hochschulstatistikgesetze.
• Meldegesetz.
• Verwaltungsverfahrensgesetz (§4, §5, §30, §84).
• Bundesverpflichtungsgesetz.
• Sozialgesetzbuch (§35: Sozialgeheimnis).
• Fernmeldeanlagengesetz.
• Urheberrechtsgesetz.
• Strafgesetzbuch (§202a, §263a, §269, §303a, §303b).
• Landeskrankenhausgesetze.
• Heilberufegesetz.
• Gesundheitsreformgesetz.
• Bundeskrebsregistergesetz.
• Landeskrebsregistergesetze.
• Grundsätze ordnungsgemäßer Speicherbuchführung.
• Warenzeichengesetz.
• Gesetz über den unlauteren Wettbewerb.
• Verordnung über den Datenschutz bei Dienstleistungen der Deutschen Bundespost TELEKOM
• Telekommunikationsgesetz
• Datenschutz-Richtlinie der EU von 1995.
• ...

Grundlage des Datenschutzes in der Bundesrepublik ist das Bundesdatenschutzgesetz. Hochrangiger sind nur noch Datenschutzverordnungen der EG (EG-Richtlinien sind i.R. vom Bundesgesetzgeber in nationales bzw. vom Landesgesetzgeber in Landesrecht umzuwandeln . Dazu wird in jeder EG-Richtlinie eine Frist festgelegt, innerhalb derer dies geschehen muß. Ob Bundes- oder Langesrecht angepaßt werden muß, ist im Grundgesetz der Bundesrepublik Deutschland geregelt.)

Alle anderen Gesetze basieren auf dem Bundesdatenschutzgesetz und treffen in der Regel genauere Aussagen zum Thema Datenschutz in den kleineren Bereichen.

Die EG-Richtlinie muß bis Ende 1998 in nationales Recht umgesetzt werden. Danach kann es noch Übergangsregeln für »Altdaten« geben. Deshalb kann sich im Bereich des Datenschutzes in der nächsten Zeit noch einiges ändern, was aber i.R. das Speichern von Dat en erschwert bzw. transparenter macht.

Der Staat und meine Daten

Welche Rechte habe ich, wenn es um meine Daten geht?

Alle von mir gespeicherten Daten müssen korrekt sein. Da nur ich dieses wirklich kontrollieren kann, habe ich ein Recht, alle Daten, die von mir gespeichert wurden, einzusehen.

Dies gilt lt. Gesetz bei Behörden aber nur dann, wenn dadurch die Staatssicherheit nicht gefährdet wird. Es kann mir auch unentgeltlicher Einblick verwehrt werden, wenn damit ein erheblicher Verwaltungsaufwand verbunden wäre. Konkret sind das Einschränkung en, die einen Zugriff auf meine Daten von vornherein erschweren.

Sollte ich einen Fehler in meinen Daten finden, dann muß dieser korrigiert werden. Sollte ich für die Auskunft über meine Daten eine Verwaltungsgebühr entrichtet haben , dann ist sie in diesem Fall zurückzuerstatten!

Wenn man mir nicht glaubt, daß meine Daten falsch sind, dann sieht der Gesetzgeber vor, daß mein Datensatz gesperrt werden muß, d.h. er darf nicht mehr ausgewertet werden, bis die Lage geklärt ist. Er muß aber nicht gelöscht werden.

Ein anderes Thema, auf das ich hier nur hinweisen möchte, ist das Recht der Ordnungskräfte (Polizei) meine Daten im Zuge einer Rasterfahndung mit dem Profil eines Täters zu vergleichen. Dieses Vorgehen ist gesetzlich extra geregelt.

Privatunternehmen und meine Daten

Auch private Unternehmen dürfen Daten von mir speichern, wenn ich einwillige. Deshalb muß mir auch mitgeteilt werden, daß meine Daten elektronisch erfaßt werden, wenn ich z.B. einen Fragebogen ausfülle.

Grundsätzlich dürfen nur Daten von mir gespeichert werden, wenn sie zum Erreichen des Zwecks nötig sind, was soviel heißt, wie daß keine Daten gespeichert werden dürfen, nur weil sie verfügbar wären, wenn sie mit dem Zweck der Datenspeicherung nichts zu tu n haben.

Also darf ein Versandunternehmen meine Kontonummer z.B. nicht speichern, auch wenn sie auf einem Einzahlungsbeleg ausgewiesen ist, da das Unternehmen mein Konto nichts angeht. Dagegen darf natürlich von diesem Unternehmen meine Adresse gespeichert werden, weil bestellte Ware ja ausgeliefert werden muß.

Meine Daten dürfen auch nicht rein maschinell ausgewertet werden, wenn mir dadurch Nachteile entstehen. So darf eine Bank die Kreditwürdigkeit eines Kunde nicht nur durch einen Computer beurteilen lassen.

Wenn ich in einem Unternehmen arbeite, dann gibt es dort (bei größeren Unternehmen ab 5 Mitarbeiter, die mit schutzwürdigen Daten umgehen) einen Datenschutzbeauftragten. Dieser muß mir gegenüber auch jederzeit Auskunft über von mir gespeicherte Daten geben . (nach EG-Richtlinie) Eine Einschränkung auch in Bezug auf Geheimhaltungsinteressen des Unternehmens ist vom Bund zu regeln.

Strafandrohungen zum Thema Datenschutz

Jeder Betroffene hat grundsätzlich einen Anspruch auf Schadensersatz, wenn Daten von ihm/ihr gespeichert werden, die nicht gespeichert werden dürften bzw. anderweitig zu seinem/ihren Nachteil gegen das Datenschutzbestimmungen verstoßen wird.

Das sollte eigentlich dazu führen, daß sich Entscheidungsträger vorher überlegen, welche Daten sie speichern und welche nicht. Wie sich das in der Realität auswirkt, muß abgewartet werden.

Was heißt das konkret? (nach [5])

Mit dem zweiten Gesetz zur Bekämpfung der Wirtschaftskriminalität hielten zahlreiche Paragraphen Einzug in das Strafgesetzbuch (StGB), die Computervergehen unter Strafe stellen - bis hin zu langen Freiheitsstrafen. In den meisten Fällen ist schon der Versu ch strafbar.

Einige Beispiele:

Ausspähen von Daten

Nach §202a StGB wird mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft, wer sich (oder einem anderen) unbefugt Daten verschafft, die nicht für ihn bestimmt und gegen unberechtigten Zugriff geschützt sind.

Computerbetrug

Nach §263a StGB wird mit Freiheitsstrafe bis zu fünf (in schweren Fällen bis zu zehn) Jahren oder mit Geldstrafe bestraft, wer durch Beeinflussung des Ergebnisses eines Datenverarbeitungsvorganges das Vermögen eines anderen beschädigt, um sich selbst (oder einem anderen) dadurch einen rechtswidrigen Vermögensvorteil zu schaffen.

Datenveränderung

Nach §303a StGB wird mit Freiheitsstrafe bis zu drei Jahren oder Geldstrafe bestraft, wer rechtswidrig Daten löscht, unterdrückt, unbrauchbar macht oder verändert.

Computersabotage

Nach §303b StGB wird mit Freiheitsstrafe bis zu fünf Jahren oder Geldstrafe bestraft, wer eine Datenverarbeitung, die für einen fremden Betrieb, ein fremdes Unternehmen oder eine Behörde von wesentlicher Bedeutung ist, dadurch stört, daß er rechtswidrig Da ten löscht, unterdrückt, unbrauchbar macht oder eine Datenverarbeitungsanlage oder einen Datenträger zerstört, beschädigt, unbrauchbar macht oder verändert.

Datensicherheit in der Praxis

Was ist Datensicherheit?

• Verfügbarkeit
  Nur der darf Daten speichern, den sie was angehen bzw. der sie braucht.
• Integrität
  Daten stimmen überall mit der Realität überein.
• Verbindlichkeit
  Daten sind wahrheitsgemäß gespeichert. Zur Verbindlichkeit gehören auch die Aspekte Nichtabstreitbarkeit, Beweissicherheit, Nachweisbarkeit, Verantwortlichkeit.
• Vertraulichkeit
  Keiner hat zugang zu Daten, der sie nicht braucht. Als Ausprägung der Vertraulichkeit kann auch die Anonymität gelten: Vertraulichkeit einer Personenidentität. Dazu gehört auch die Unbeobachtbarkeit personenbezogener Vorgänge; d. h., nicht nur der Inhalt eines Vorgangs soll vertraulich sein, sondern auch die Tatsache, daß er überhaupt stattgefunden hat.

Sicherheitsprobleme in Rechnersystemen

(Quelle [1])

Als Beispiel sollen hier nur Unix- und PC-Systeme dienen. Ähnliche Listen gibt es auch für Netze im allgemeinen und andere Systeme.

Unix-Systeme

• Vorkonfigurierte Workstations ohne Paßwort oder mit Standard-Paßwörtern.
• Voreingestellte Zugriffsrechte.
• Booten über SCSI-Laufwerk.
• Systemfehler, insbesondere in suid-Programmen.
• Benutzernummern und NFS-Filesysteme.
• Vertrauen in andere Hosts (hosts.equiv, .rhosts) - aber Adressen sind manipulierbar.
• Angriff auf verschlüsselte Paßwörter.

PC-Systeme

Schwachstellen im PC-Betrieb

• Mangelnde Funktionstrennung.
• Kein physischer Schutz.
• Die Geräte sind (weg-) tragbar.
• Datendiebstahl.
• Systemkenntnisse weit verbreitet.
• Hardware und Betriebssystem offen bis zum letzten Bit.
• Das Bananenprinzip (Software reift beim Kunden, ist unfertig, hat Sicherheitslücken).

Datenträger

• Alle Daten sind für jeden lesbar.
  Beispiel: Die Festplatte muß zur Reparatur.
• Löschen von Dateien erfolgt nur in Verzeichnistabellen
• Müll am Dateiende kann Informationen enthalten.

Hardware und Schnittstellen

• Anschlüsse auf der PC-Rückseite.
• Bussysteme (System- und SCSI-Bus).
• Tastatur.
• Monitor-Abstrahlung. [siehe auch c't 6/1996]
• Booten von Diskette.
• Hardware-Paßwort.

Wie läßt sich Datensicherheit erreichen?

Um Datensicherheit zu erreichen bzw. zu verbessern ist ein ineinandergreifen verschiedener Maßnahmen erforderlich:

• Rechtlich/politisch:

• Akzeptanz des Datenschutzes als Problem!
• Gesetzliche Rahmenbedingungen, Datenschutzgesetze, auch mit massiver Strafandrohung bei Mißachtung
• Begrenzung des für den Betroffenen nicht transparenten Datensammelns durch Behörden (BND, Verfassungsschutz usw.) durch gesetzliche Rahmenbedingungen
• Organisatorisch:
  • Abwägen von Schutzanforderungen und Leistungsanforderungen, Prinzip der Verhältnismäßigkeit. [Absolute Sicherheit ist nur bei Stillstand des Systems zu erreichen.]
  • Einbindung der Datensicherheit in das allgemeine EDV-Konzept.
  • Benutzergruppen, Definition von Zugriffsrechten, Paßwort-Politik.
  • Katastrophenplanung, Checklisten, Sicherheitsnormen.
  • Personalpolitik, Betriebsklima, Überwachungssysteme.
  • Dienstvorschriften, Zuständigkeiten.
  • Sicherheitsprobleme bei Zentralisierung oder Dezentralisierung.
• Technisch
  Umsetzung der rechtlichen und politischen Anforderungen und der organisatorischen Definitionen in konkrete Maßnahmen:
  • Physische Schutzmaßnahmen und Baumaßnahmen:
    • Zugang zu Geräten und Übertragungsleitungen,
    • Abhörsicherheit.
  • Schutzmaßnahmen im Betriebssystem:
    • Erlaubnisse zur Benutzung eines Rechners,
    • Identifikationskontrolle auch während des Betriebs (z.B. Screensaver),
    • Erlaubnis zur Kommunikation über Netze,
    • Aufzeichnung von Ereignissen zur Beweissicherung, Fehlerüberbrückung.
  • Kryptographische Schutzmaßnahmen:
    • Verschlüsselung von Dateien,
    • Protokolle zur sicheren Datenübertragung,
    • Authentisierung,
    • elektronische Unterschrift,
    • Anonymität.

Die gesellschaftspolitischen und rechtlichen Forderungen nach Datenschutz und Datensicherheit sind durch organisatorische und technische Maßnahmen in der Praxis durchzusetzen.

Die gesellschaftlichen, politischen, rechtlichen, betrieblichen Rahmenbedingungen definieren die zu schützenden Daten und die Grundsätze des Umgangs mit ihnen.

Durch organisatorische Entscheidungen werden Rechte, Pflichten und Verantwortlichkeiten festgelegt und Grundsatzfragen über Aufwand, Sicherheitsniveau und Verhältnismäßigkeit geklärt.

Die technischen Maßnahmen sorgen dafür, daß Rahmenbedingungen und organisatorische Entscheidungen nicht nur auf dem Papier stehen, und erzwingen, soweit möglich, ihre Einhaltung.

Kryptographie und Kryptologie als Mittel zum Datenschutz

Dieses Thema soll hier nur als Maßnahme zum Datenschutz kurz zusammengefaßt werden. Es ist viel zu umfangreich, um damit nur einen Unterpunkt in diesem Seminarvortrag zu füllen.

Begriffe:

Kryptologie: Lehre der Geheimschriften und ihrer Entzifferung; Kryptologie schützt nicht die Verfügbarkeit.

Kryptographie: Verschlüsselung (Chiffrierung) von Daten (PGP)

Juristisches:

Verschlüsselung steht grundsätzlich unter staatlichem Schutz. Sie ist nicht, wie auch manchmal behauptet wird, gar verboten, sondern wird vom Staat gefördert. Es fehlen momentan aber klaren Rechtsverhältnisse, die unabdingbar sind, um einen sicheren Umgang mit Verschlüsselung zu gewährleisten.

Wozu?

• Vertraulichkeit: Chiffrierung dient zum Schutz vor unberechtigtem Lesen
• Echtheit und Verbindlichkeit: Sie dient dazu, die Authentizität/Integrität eines Dokuments zu erhalten bzw. nachzuweisen. Sie kann Schutz vor unberechtigtem Schreiben oder vor Verfälschung bieten und leistet damit einen Beitrag, Inhalt und Urheberschaft un bestreitbar zu machen.
• Anonymität: Geheimhaltung von Sender oder/und Empfänger.

Realisierung:

Kryptographische Verfahren können entweder durch Hardware (Chipkarten, Verschlüsselungschips) oder Software (PGP, SSL...) realisiert werden.

Resümee

Die 6 fundamentalen Sicherheitsprinzipien

Zitiert nach [3].

1. Perfektion

• Planmäßiges Vorgehen
• Einhalten von Normen und Standards
• Programmkorrektheit
• Formale Verifikation
• Vermeidung von Nebeneffekten
• Qualitätssicherungs-Maßnahmen

2. Toleranz (Fehlertoleranz)

• Konsistenz
• Redundanz (Achtung: Konsistenz sichern)
• Ausfallsicherheit
  • z. B. Fehlerüberbrückung
  • z. B. Plattenspiegelung
  • z. B. Mehrprozessorsysteme
  • sichere Rückfallposition
• Wiederanlauf
  z. B. Backups oder/ und Ausweichsysteme
• Plausibilitätskontrolle
  z. B. bei Benutzereingaben
• Katastrophenvorsorge
  z. B. Backup-Planung

3. Sparsamkeit

• Komplexitätsvermeidung (KISS-Prinzip: Keep It Small and Simple)
  • Beschränkung der Funktionalität auf Notwendigkeit (konträr zum Funktionieren - »Hauptsache es funktioniert«)
  • minimale Schnittstellen
  • TCB (Trusted Computing Base), Sicherheitskern
• minimale Rechte (keine unnötigen Rechte vergeben)
  • need to know
  • geschlossene Benutzungsoberfläche
• geschlossenes System
• Vertrauen konzentrieren (vertrauenswürdige Inseln in offener Welt)
• Wiederaufbereitung
  • Speicher vor Freigabe löschen
  • Platten sicher löschen

4. Kapselung

• Objekte
  • Selbstverwaltung von Datenobjekten
  • gegenseitiges Mißtrauen
• Modularisierung
  • Unabhängigkeit
  • Schichtung
  • Abschirmung
• Client-Server
  • Server als eigene Prozesse
  • eigene Netzstationen
  • eigene Prozessoren
• Trennung von Daten und Programmen (Achtung: Macros, PS-Code, Java, ...) (Grenzen oft verwischt)
• Funktionstrennung
• Informationsklußkontrolle

5. Bewußtheit

• Benutzerkontrolle [Hier als: Kontrolle durch den Benutzer, z. B. benutzerbestimmbarer Zugriff]
• Benutzerschulung
• Vertrauen nur bei Nachweis z. B. durch gegenseitige Authentisierung
• Gefahrenbewußtsein

6. Überwachung

• Benutzerkontrolle [Hier als: Kontrolle des Benutzers, z. B. festgelegter Zugriff]
• Revisionsfähigkeit
• Beweissicherung
• Protokollierung
  • Monitoring
  • Logging
  • Accounting
  • Auditing
• Vieraugenprinzip

  Gesichtskontrolle

Datenschutzprinzipien

Zitiert nach [3]

• informationelle Selbstbestimmung
  • Einwilligung
  • Informiertheit
  • Berichtigung und Löschung
• Recht auf Privatsphäre
  • Ungestörtheit
  • Unbeobachtbarkeit
  • Unverknüpfbarkeit
• faire Behandlung
  • Rechtssicherheit
  • Recht auf Berichtigung und Löschung
• informationelle Gewaltenteilung
  • Funktionstrennung
  • gegenseitiges Mißtrauen
• Schweigepflicht, Berufsgeheimnis
• Verhältnismäßigkeit

Quellen und weitere Links zum Thema

1. Informationshefte des Hamburger Datenschutzbeauftragten:
   • Datenschutzkonzept für PC, Hamburg 1991
   • Datenschutzkonzept für UNIX-Mehrplatzanlagen, Hamburg 1993
2. diverse Zeitschriften (u.a. c't, DFN Mitteilungen)
3. HTML-Seiten zur Vorlesung, Sommersemester 1996, Fachbereich Mathematik an der Johannes-Gutenberg-Universität Mainz (Dozent: Prof. Dr. Klaus Pommerening)
4. Der erste und zweite Vorschlag der EG-Richtlinie sind im Amtsblatt der Europäischen Gemeinschaft veröffentlicht worden (ABl. Nr. C 277 vom 5. 11. 1990, Seite 3 und ABl. Nr. C 311 vom 27. 11. 1992, Seite 28)
5. c't 3/93
6. diverse HTML-Seiten:
   • BvD Berufsverband der Datenschutzbeauftragten Deutschlands e.V.
   • Datenschutz-Informationen (German Privacy Information)
   • Willkommen beim BMBF
   • TU Berlin: Informatik und Gesellschaft

Connor's second law:

If something is confidentioal, it will be left in the copier machine.

(Last Changed BR 10.11.1996) Bemerkungen und Anregungen bitte per Mail an Björn Reimer