Die Trusted Computing Platform Alliance und der Datenschutz

In der Trusted Computing Platform Alliance (TCPA)[1] haben sich Hard- und Softwarehersteller zusammengeschlossen, um ein neues Verfahren im Markt durchzusetzen, das dem Anwender mehr Sicherheit bieten soll. Daten werden dabei schon auf der Hardware-Ebene verschlüsselt. Um Sicherheit beim Datenaustausch zu gewähren, ist aber gar kein Verfahren nötig, das auf einer Ebene unterhalb des Betriebssystems ansetzt. Der einzige Sinn eines solchen Systems bleibt damit der Einsatz als Digital Rights Management (DRM). Wer bei der TCPA Mitglied ist, weiß keiner genau; die führenden Hard- und Softwarehersteller sind aber alle dabei.

Der Kernpunkt ist, dass auf TCPA-konformen Systemen Speicherbereiche verschlüsselt und vollständig der Kontrolle des Benutzers entzogen werden. Das bedeutet: Er kann auf seinem Rechner nicht mehr machen, was er will, dort werden Daten gespeichert, die er nicht kontrolliert.

Fremdbestimmt

Postings in der Linux-Community[2] sahen darin einen unzulässigen Eingriff in Bürgerrechte. Von einem Angriff auf die freie Meinungsäußerung war die Rede. Ob das formell wirklich so ist, scheint zweifelhaft. Das Recht auf freie Meinungsäußerung verpflichtet andere nur die Äußerung zu dulden, aber nicht, dem Äußernden ein bestimmtes Medium zur Verfügung zu stellen.

Die verborgenen Daten dagegen haben unter bestimmten Voraussetzungen rechtliche Konsequenzen. Die Grundfragen lauten: Wer speichert diese Daten? Und: Sind es personenbezogene Daten im Sinne des Bundesdatenschutzgesetzes (BDSG)? Das BDSG verpflichtet den, der solche Daten über einen anderen speichert, dies dem Betroffenen unentgeltlich mitzuteilen.

Wer aber den Vorgang kontrolliert, der ist es im Grunde, der die Daten speichert. Der Benutzer ist es nicht, auch wenn er die Knöpfe drückt. Er ist nur ein Werkzeug. Das gilt zumindest für die Daten, die er nicht wenigstens im Groben bewusst ausgewählt hat. Für die Frage, wer die Daten speichert, ist also wichtig, was das für Daten sind.

Hard- und Softwarehersteller, die auf TCPA setzen, müssen zumindest Schlüsseldaten abspeichern. Da immer wieder bekannt wird, dass bestimmte Programme, so genannte Spyware[3], Benutzerdaten unbemerkt per Internet versenden, wächst die Furcht, auch TCPA könnte einen ausspionieren.

Das Bundesverfassungsgericht hatte bereits 1983 (!) erkannt, dass die Möglichkeiten der modernen Datenverarbeitung, die weithin nur noch für Fachleute durchschaubar sind, die Furcht vor einer unkontrollierbaren Persönlichkeitserfassung auslösen können[4]. Das Gericht hat auch den Grundsatz aufgestellt, dass nicht wirksam anonymisierte und unbeschränkt verfügbare personenbezogene Daten die Menschen zum Gegenstand fremder Willensausübung und Kontrolle machen würden.

Personenbezogene Daten

Vor diesem Hintergrund muss weit ausgelegt werden, was eigentlich personenbezogene Daten sind. Sie beschränken sich nicht auf Name oder Sozialversicherungsnummer: In einer vernetzten Welt können aus überall verteilten kleinsten Informationen vollständige Personenprofile generiert werden. Daher müssen auch Daten als personenbezogen klassifiziert werden, die es auf den ersten Blick nicht sind. So wie beim Telefonanschluss die gesamten Gesprächs- und Verbindungsdaten als personenbezogen gelten, sollten das auch alle Daten sein, die per Computer gehalten oder versandt werden.

Der Grundsatz muss daher lauten: Je weniger Kontrolle jemand darüber hat, wie und welche Daten mit irgendeinem persönlichen Bezug gespeichert werden, desto höher ist sein berechtigtes Auskunftsinteresse. Verkaufs- oder Lizenzbedingungen, die er unterschrieben oder gar nur weggeklickt hat, dürfen das nicht ändern, denn Datenschutz kann ebenso wenig wie Verbraucherschutz einfach ausgehebelt werden.

Die aktuellen Thinkpad-Notebooks von IBM sind zum Teil bereits mit TCPA-Hardware ausgestattet.