Aus Linux-Magazin 03/2003

Die Trusted Computing Platform Alliance und der Datenschutz

Mit TCPA und Palladium wird der eigene Rechner zur Datenbank für Fremde. Was soll da eigentlich auf unseren Festplatten gespeichert werden? Und was sagt der Datenschutz dazu?

In der Trusted Computing Platform Alliance (TCPA)[1] haben sich Hard- und Softwarehersteller zusammengeschlossen, um ein neues Verfahren im Markt durchzusetzen, das dem Anwender mehr Sicherheit bieten soll. Daten werden dabei schon auf der Hardware-Ebene verschlüsselt. Um Sicherheit beim Datenaustausch zu gewähren, ist aber gar kein Verfahren nötig, das auf einer Ebene unterhalb des Betriebssystems ansetzt. Der einzige Sinn eines solchen Systems bleibt damit der Einsatz als Digital Rights Management (DRM). Wer bei der TCPA Mitglied ist, weiß keiner genau; die führenden Hard- und Softwarehersteller sind aber alle dabei.

Der Kernpunkt ist, dass auf TCPA-konformen Systemen Speicherbereiche verschlüsselt und vollständig der Kontrolle des Benutzers entzogen werden. Das bedeutet: Er kann auf seinem Rechner nicht mehr machen, was er will, dort werden Daten gespeichert, die er nicht kontrolliert.

Fremdbestimmt

Postings in der Linux-Community[2] sahen darin einen unzulässigen Eingriff in Bürgerrechte. Von einem Angriff auf die freie Meinungsäußerung war die Rede. Ob das formell wirklich so ist, scheint zweifelhaft. Das Recht auf freie Meinungsäußerung verpflichtet andere nur die Äußerung zu dulden, aber nicht, dem Äußernden ein bestimmtes Medium zur Verfügung zu stellen.

Die verborgenen Daten dagegen haben unter bestimmten Voraussetzungen rechtliche Konsequenzen. Die Grundfragen lauten: Wer speichert diese Daten? Und: Sind es personenbezogene Daten im Sinne des Bundesdatenschutzgesetzes (BDSG)? Das BDSG verpflichtet den, der solche Daten über einen anderen speichert, dies dem Betroffenen unentgeltlich mitzuteilen.

Wer aber den Vorgang kontrolliert, der ist es im Grunde, der die Daten speichert. Der Benutzer ist es nicht, auch wenn er die Knöpfe drückt. Er ist nur ein Werkzeug. Das gilt zumindest für die Daten, die er nicht wenigstens im Groben bewusst ausgewählt hat. Für die Frage, wer die Daten speichert, ist also wichtig, was das für Daten sind.

Hard- und Softwarehersteller, die auf TCPA setzen, müssen zumindest Schlüsseldaten abspeichern. Da immer wieder bekannt wird, dass bestimmte Programme, so genannte Spyware[3], Benutzerdaten unbemerkt per Internet versenden, wächst die Furcht, auch TCPA könnte einen ausspionieren.

Das Bundesverfassungsgericht hatte bereits 1983 (!) erkannt, dass die Möglichkeiten der modernen Datenverarbeitung, die weithin nur noch für Fachleute durchschaubar sind, die Furcht vor einer unkontrollierbaren Persönlichkeitserfassung auslösen können[4]. Das Gericht hat auch den Grundsatz aufgestellt, dass nicht wirksam anonymisierte und unbeschränkt verfügbare personenbezogene Daten die Menschen zum Gegenstand fremder Willensausübung und Kontrolle machen würden.

Personenbezogene Daten

Vor diesem Hintergrund muss weit ausgelegt werden, was eigentlich personenbezogene Daten sind. Sie beschränken sich nicht auf Name oder Sozialversicherungsnummer: In einer vernetzten Welt können aus überall verteilten kleinsten Informationen vollständige Personenprofile generiert werden. Daher müssen auch Daten als personenbezogen klassifiziert werden, die es auf den ersten Blick nicht sind. So wie beim Telefonanschluss die gesamten Gesprächs- und Verbindungsdaten als personenbezogen gelten, sollten das auch alle Daten sein, die per Computer gehalten oder versandt werden.

Der Grundsatz muss daher lauten: Je weniger Kontrolle jemand darüber hat, wie und welche Daten mit irgendeinem persönlichen Bezug gespeichert werden, desto höher ist sein berechtigtes Auskunftsinteresse. Verkaufs- oder Lizenzbedingungen, die er unterschrieben oder gar nur weggeklickt hat, dürfen das nicht ändern, denn Datenschutz kann ebenso wenig wie Verbraucherschutz einfach ausgehebelt werden.

Die aktuellen Thinkpad-Notebooks von IBM sind zum Teil bereits mit TCPA-Hardware ausgestattet.

Die aktuellen Thinkpad-Notebooks von IBM sind zum Teil bereits mit TCPA-Hardware ausgestattet.

Auskunftspflicht der Hersteller?

Aus diesem Grundsatz folgt zum Beispiel ein Auskunftsanspruch gegen die eigene Bank bezüglich der Daten auf der Bankomat-Karte. Noch höher wäre das berechtigte Interesse vieler Kunden, welche Daten etwa die Schufa (Schutzgemeinschaft für Absatzfinanzierung und Kreditsicherung, 1927 gegründet) über sie speichert.

Bei einem automatisierten elektronischen (TCPA-)System, das ohne eigenes Zutun und ohne jede Eingriffs- oder Kontrollmöglichkeit Daten auf dem eigenen Rechner speichert und ständig elektronisch Daten aus den geschützten Speicherbereichen online an Unbekannte übermittelt, muss das berechtigte Auskunftsinteresse noch viel höher, ja weit überwiegend sein.

Das Datenschutzgesetz und der dort enthaltene Auskunftsanspruch gegen alle, die Daten auf diese Weise speichern, ist extensiv auszulegen; ebenso weit muss der Kreis derjenigen sein, die zur Auskunft verpflichtet sind. In Betracht kommen dafür zumindest jene Mitglieder der Alliance, deren Hard- oder Software der Betroffene konkret einsetzt.

Die Rechtsfolge ist eine umfassende Auskunftspflicht der Hersteller über alle auf dem Computer verborgenen Daten. Das könnte das TCPA-Konzept stark behindern, müsste doch nach dem derzeitigen Datenschutzrecht der Betriebssystemhersteller dem Käufer mitteilen, ob und welche personenbezogenen Daten auf der Festplatte gespeichert werden.

Selbst wenn immer nur negative Auskünfte erteilt werden, wäre der potenzielle Aufwand immens – der Benutzer kann seinen Anspruch bei jedem berechtigten Interesse geltend machen. Das wäre jedes Mal, wenn der TCPA-Chip neue Daten speichert, also praktisch bei jeder Benutzung. Ein paar Dutzend verkaufte Rechner genügten, die deutsche Niederlassung eines TCPA-Unternehmens lahm zu legen. Daher wird es wohl nicht lange dauern, bis die TCPA-Mitglieder versuchen, die deutschen oder europäischen Datenschutzgesetze abändern oder durch abweichende Auslegung aushöhlen zu lassen.

Die Lobbyisten stehen in den Startlöchern

Den Versuch, TCPA wie in den USA durch Rechtsänderungen abzusichern, sollten europäische Datenschützer mit Misstrauen beobachten. Funktioniert das TCPA-System, wenn auch nur als DRM, ist eine geschützte MP3-Datei auch nur über eine Soundkarte abspielbar, die sich TCPA-konform angemeldet hat. Mit einer nicht-konformen Karte läuft gar nichts: Man kann weder digitale Signale auslesen noch verbotene Kopien anfertigen. Warum solche Hardware also verbieten?

Als einziges Motiv für eine entsprechende Rechtsänderungen bleibt nur noch das Bestreben, die vollständige Kontrolle über alle PCs zu erlangen, Konkurrenz auszuschalten oder sogar den gesamten elektronischen Datenverkehr zu kontrollieren. Das wäre aber ein Fall für die Kartellbehörden oder den Staatsanwalt.

Infos

[1] TCPA: [http://www.trustedcomputing.org/tcpaasp4/index.asp]

[2] Linux-Community: [http://www.linux-community.de/Neues/story?storyid=6082]

[3] Links und FAQ zu Spyware: [http://www.trojaner-info.de/faq/]

[4] BVerfGE 65,1: [http://www.datenschutz-berlin.de/gesetze/sonstige/volksz.htm]

LINUX-MAGAZIN KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS Readly Logo
E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben