I. Kemmerzell
Möglicherweise haben Sie sich - als eifrige(r) Anwender(in) von Electronic Mail - schon häufiger gefragt, unter welcher Adresse Sie Ihren Kollegen X in Y erreichen können. Hilfreich wäre dabei sicherlich ein Instrument, das den Charakter eines globalen Telefonbuches besitzt.
Natürlich wird ein derartiges Verzeichnis sinnvollerweise nicht in gedruckter Form vorliegen. Dagegen spricht neben dem enormen Papierverbrauch insbesondere die fehlende Möglichkeit zur kurzfristigen Realisierung aktueller Änderungen. Das digitale Pendant eines Adreßbuches stellen sogenannte Verzeichnisdienste dar, wobei personenbezogene Informationen dezentral in einer (möglichst) einheitlichen Form bereitgestellt werden. Den wichtigsten Standard bilden derzeit die X.500--Empfehlungen des CCITT (Comité Consultatif International de Té lé phonie et Té lé graphie).
Eine Benutzerschnittstelle für ein weltweites X.500-Verzeichnis stellen wir Ihnen unter der Rubrik "Informationssysteme" im Gopher zur Verfügung. Sie finden dort ein nach Staaten und Institutionen mehrstufig gegliedertes Schema. Wenn Sie sich dort etwas umschauen, wird Ihnen sicherlich auffallen, daß bei den meisten Organisationen keine oder nur sehr wenige Informationen zur Verfügung gestellt werden. Die wichtigsten Hintergrundinformationen dazu soll Ihnen der nachfolgend auszugsweise abgedruckte Artikel von Anja Schuhknecht vermitteln, der in der Dezember-Ausgabe der "Mitteilungen des Leibniz--Rechenzentrums" erschien.
[...]
Das Bundesdatenschutzgesetz schreibt in der Regel für die Verarbeitung von personenbezogenen Daten eine schriftliche Einverständniserklärung der betroffenen Personen vor. Die Einverständniserklärung muß gewisse Anforderungen erfüllen, so z.B. Informationen über die Art der Verarbeitung und die dabei möglicherweise auftretenden Risiken enthalten. Im Klartext heißt das, daß Antragsformulare ausgefüllt und unterschrieben werden müssen, um sie dann der eintragenden Person zukommen zu lassen. Soweit das Verfahren für Personen; nur: Wie ist vorzugehen, wenn man ganze Universitäten mit Fakultäten, Instituten und Lehrstühlen eintragen will?
[...]
Was es mit diesem Datenschutz-Gutachten (gemeint ist ein vom DFN--Verein (Verein zur Förderung eines Deutschen Forschungsnetzes) in Auftrag gegebenes Gutachten, ik) auf sich hat und wie es mit X.500 in Deutschland zukünftig weitergeht, soll im folgenden erläutert werden. Dazu muß man ein bißchen weiter ausholen. Angefangen hat alles mit dem
Dies war ein Pilot-Projekt (VERteiltes DIrectory), das der DFN-Verein drei Jahre lang sponsorte und dessen Ziel es war, ein verteiltes X.500-Directory im Wissenschaftsbereich von Deutschland aufzubauen. Dem GMD-Fokus (Gesellschaft für Mathematik und Datenverarbeitung - Forschungszentrum für Offene KommunikationsSysteme) in Berlin oblag die Durchführung des Projektes und der Betrieb des für Deutschland zuständigen DSA's mit dem wohlklingenden Namen "Puma". (Puma ist der sog 'Root'-DSA für Deutschland. Im Puma sind alle Organisationen eingetragen, die in Deutschland über einen X.500-Eintrag verfügen. Puma koordiniert durch die Haltung der Organisationseinträge die Abfrage von Daten anderer Organisationen und auch anderer Länder. Er weiß also, welcher DSA zu kontaktieren ist, wenn im Directory Daten gesucht werden. Der Benutzer des Directories merkt von diesen Vorgängen jedoch in der Regel nichts.) An diesen DSA konnten sich die DSA's der einzelnen Forschungseinrichtungen und Universitäten anschließen. Auch Organisationen, die keinen eigenen DSA betreiben wollten, konnten am Projekt teilnehmen, indem die betreffenden Daten auf Puma gespeichert wurden.
Das VERDI-Projekt ist im Juni diesen Jahres ausgelaufen und den Geldgebern im DFN-Verein war das Resultat mit insgesamt ca. 7000 Personen-Einträgen im X.500-Directory deutlich zu dünn. Das ist sicher verständlich, denn es macht kaum einen Sinn, ein Auskunftssystem zu betreiben, in dem nur ein Bruchteil der interessierenden Personen bzw. Mailadressen aufgeführt ist. Wobei an dieser Stelle sicher anzumerken ist, daß es noch eine Reihe anderer Anwendungen für das X.500-üDirectory gibt, z.B. FTAM (File Transfer Access and Management, ein genormtes Programm zum Austausch von Dateien zwischen verschiedenen Rechnern) und MHS (Message Handling System, regelt die Übermittlung von Nachrichten mittels Electronic Mail gemäß den CCITT-Empfehlungen X.400. (ik)), die sich zum Teil noch in der Entwicklung befinden. Die Anwendung als Auskunftssystem wurde jedoch als der zunächst wichtigste und am einfachsten zu realisierende Dienst angesehen.
Als Grund für die sehr geringe Zahl an Personen-Einträgen wurde die geforderte schriftliche Einwilligung in die Eintragung der Daten ins X.500-Dirctory angesehen. Aus diesem Grund gab der DFN-Verein ein Datenschutz-Gutachten in Auftrag, das klären sollte, unter welchen Umständen das Einholen dieser schriftlichen Einwilligung vermieden werden kann ...
hat den offiziellen Titel: 'Datenschutzrechtliche Probleme bei der Einrichtung und dem Betrieb von X.500-Directories im Rahmen des Deutschen Forschungsnetzes' und wurde im Februar 1993 von zwei Frankfurter Rechtsanwälten fertiggestellt.
In diesem Gutachten wird viel von 'speichernder Stelle, personenbezogenen Daten und Übermittlung von Daten im Sinne des BDSG' (Bundes-DatenSchutz-Gesetz) gesprochen, Details möchten wir Ihnen an dieser Stelle ersparen. Vielleicht nur soviel: Es gibt 16 Länderdatenschutzgesetze und ein Bundesdatenschutzgesetz, die abhängig vom Status der Organisation (öffentlich, nicht öffentlich) und vom jeweiligen Landesdatenschutzbeauftragten unterschiedlich zur Anwendung kommen und interpretiert werden.
In dem Gutachten wird jedoch festgestellt, daß die Verarbeitung eines sog. Minimalsets (unter dem 'Minimalset' an Personendaten werden die Angaben: 'Name, Mailadresse, Telefonnummer' verstanden} an Personendaten der Mitglieder des DFN-Vereins zur Erfüllung des Vereinzwecks des DFN-Vereins erforderlich ist und somit auf der Basis einer Widerspruchslösung geschehen darf. Im Klartext heißt das, der DFN-Verein darf dieses Minimalset seiner Mitglieder bzw. der Beschäftigten seiner Mitglieder ins X.500-Directory aufnehmen. Die Betroffenen müssen davon unterrichtet werden und können (per Mail!) widersprechen, wenn sie nicht einverstanden sind. Innerhalb der EG dürfen die so gewonnenen Daten im X.500-Directory dann verbreitet werden. Die Übermittlung der Daten in andere Länder bedarf allerdings der expliziten Einwilligung des Betroffenen, die dann jedoch per Mail verfaßt werden kann.
Soweit so gut. Nun ist gerade noch eine entsprechende EG-Richtlinie dabei, verabschiedet zu werden. Wenn diese ihre volle Gültigkeit erlangt hat (wahrscheinlich noch Ende 1993, spätestens wohl Anfang 1994), dürfen Daten in "Nicht-EG-Länder ohne adäquates Datenschutzrecht" (Diese Adäquatheit muß von Fall zu Fall von den zuständigen Behörden geprüft werden. Bisher haben nur die EG-Länder, USA und Kanada ein anerkannterweise "adäquates Datenschutzrecht" ...) selbst dann nicht transferiert werden, wenn die Betroffenen zugestimmt haben. Dieser Datentransfer zwischen zwei Institutionen, z.B. zwischen dem DFN-Verein und dem DSA-Betreiber des Landes "xyz" im Rahmen von X.500, muß dann explizit von der zuständigen Datenschutz-Behörde genehmigt werden.
Dies wird weitreichende Auswirkungen nicht nur für den X.500-Bereich
haben. Da momentan sehr viele - um nicht zu sagen, fast alle - Länder
dieser Erde als Länder ohne adäquaten Datenschutz gelten, müssen
dann Maßnahmen eingeführt werden, diesen Ländern den Zugang zu
diversen Informationssystemen (z.B. auch Gopher und World Wide
Web (Neben Gopher ist World Wide Web (WWW) ein weiteres rechnergestütztes
verteiltes Informationssystem. Über ein Hypertextsystem, das die
Integration verschiedenartiger Objekttypen ermöglicht, bietet es
eine recht elegante Benutzerschnittstelle, so daß es in kürzester
Zeit relativ starken Zuspruch gefunden hat. An der KUE wird WWW
derzeit nicht angeboten. (ik))
zu sperren. Für X.500 könnte es z.B. zur Folge haben, daß nur
noch eingetragene Personen das Directory benutzen dürfen. Für die
vielen anderen Informationssysteme jedoch, die bisher über keine
Möglichkeit verfügen, das Herkunftsland ihres Auskunft suchenden
Benutzers zu validieren, könnte das Inkrafttreten dieser
EG--Richtlinie leicht das 'Aus' bedeuten. Es sei denn, man entschließt sich,
die gesamte internationale Kommunikation auf die EG zu beschränken.
... Was das zu bedeuten hätte, kann sich sicher jeder leicht ausmalen!
Aber dies alles ist momentan noch Zukunftsmusik, wenn auch
nicht allzu ferne ...
Bleiben wir bei den direkten - bereits absehbaren - Folgen für X.500. Auf der Basis dieses Datenschutz-Gutachtens wurde ein Projekt ins Leben gerufen (finanziert vom DFN-Verein) mit dem Ziel der Aufnahme von Mail-Benutzern Ins X.500-Directory, das von der Universität Tübingen durchgeführt wird. (Der Puma wird übrigens inzwischen nicht mehr von den Berlinern, sondern von der TU Chemnitz betrieben, wo das sog. ISODE-Referenzzentrum (ISODE steht für ISO Development Environment (ISO = International Standardiziation Organisation) und ist eine standardisierte Entwicklungsumgebung für OSI-Applikationen (OSI = Open System Interconnection), mit der auch die X.500-Software in der Public-Domain Version entwickelt wurde.) beheimatet ist. Im Rahmen von AMBIX-D sollen die Mailbenutzer, deren Adressen man in den sog. Mail-Gateways (Mail-Gateways sind Rechner, die die verschiedenen Standards, die beim Austausch von Mitteilungen verwendet werden, konvertieren. Sie dienen quasi als Übersetzer und bleiben für den Benutzer i.d.R. transparent. (ik)) findet, in das X.500-Directory eingetragen werden. Dieses Projekt wird in nächster Zeit anlaufen, denn innerhalb des nächsten halben Jahres müssen 80 - 90 % der aktiven Mail-Benutzer im DFN-Bereich ins Directory aufgenommen worden sein, sonst tritt der DFN als Sponsor des X.500-Directories zurück! Wundern Sie sich also nicht, wenn Sie in nächster Zeit in dieser Hinsicht vom DFN-Verein angemailt werden.
Die im Rahmen von AMBIX-D gewonnenen Daten werden allerdings nicht direkt unter der entsprechenden Organisation im Directory-Baum eingetragen, sondern es wird hierzu unter einem neuen Teilbaum (wahrscheinlich mit dem Namen 'DFN') die Organisationsstruktur - ähnlich wie sie bisher unter 'DEutschland' existiert - nochmals abgebildet. Wenn also jemand gesucht wird, so kann er entweder unter seiner Organisation im DE-Baum oder unter seiner Organisation im DE/DFN-Baum zu finden sein, wenn's blöd läuft, in beiden. Noch nicht geklärt ist, ob die einzelnen Organisationen strukturiert eingetragen werden können. (Dies könnte etwa bedeuten, daß alle Mitarbeiter(innen) der KUE unter der Organisation Kath. Universität Eichstätt eingetragen werden. ik)
[...]