Gefahr: Online-Kommunikation

Unsichere Online-Beratung birgt Risiken

 

secure
web
communication

Startseite    Seite2
Risiken im Internet
Aktuelle Szenarien
Grundwissen

Sewecom-Ansatz


Zentrale Themen
eGovernment
Onlinebanking
Institutionen
Sicherheits-Links

Aktuelle Infos


Bildungsinitiative
Internetsicherheit

PC-Sicherheits-Infos

Sewecom-Standard

Sewecom-Abb.


Referenz-Links
Überblick: Sitemap
Rechtliche Hinweise
Kontakt/Impressum

 

 

 


Die Gefahr unverschlüsselter Kommunikation wurde lange Zeit unterschätzt. Im Sommer 2004 finden sich nun die unterschiedlichsten Verbände zusammen, um gemeinsam mit Datenschützern eine praktikable Lösung voran zu treiben. Die nachfolgend beschriebene Situation wird es deshalb in naher Zukunft nicht mehr geben.

 

Im November 2003 wurden die zuständigen Bundesministerien sowie die Vorsitzenden des Rechtsausschusses und des Unterausschusses Neue Medien des Deutschen Bundestages sowie Verbände und Kammern über die nachfolgend beschriebene unhaltbare aber weit verbreitete Praxis in Kenntnis gesetzt:

Bei zahlreichen Angeboten von Online-Kommunikation oder Online-Beratung werden Menschen regelmäßig dazu animiert, persönliche oder sogar personenbezogene Daten ungesichert über das Internet zu transferieren.

Es handelt sich dabei offensichtlich um eine rechtlich noch unzureichend geregelte Situation, in der Menschen z.B. von öffentlichen Stellen, Juristen, Ärzten, Psychologen usw. aufgefordert werden zum Teil intime und / oder persönliche Details in die Öffentlichkeit des Internets zu transferieren.

Das Vertrauensverhältnis beispielsweise zwischen Anwalt und Mandant, Arzt und Patient, Psychologen und Klient, Dienstleister und Kunden ist jedoch in Gefahr, wenn die Beratung regelmäßig von unbeteiligten Dritten ohne technischen Aufwand mitverfolgt werden kann und es sogar möglich ist, dass die Kommunikation von unbefugten Dritten weitergeführt wird.

Bei der gängigen Praxis (per eMail über smtp/POP3 ohne Signatur nach dem Signaturgesetz) kann ein Ratsuchender im Internet darüber hinaus nicht wissen, ob es sich wirklich um den Angehörigen einer bestimmten Berufsgruppe handelt, also um einen Arzt, einen Rechtsanwalt, einen Psychologen usw.
 

 


Bei Finanztransaktionen wurde für Abhilfe bei vergleichbaren Situationen schon seit vielen Jahren gesorgt:
Keine Bank würde finanzielle Transaktionen unverschlüsselt im Internet tätigen, wie das bei vertraulicher Online-Kommunikation (Rechtsberatung / medizinischer oder psychologischer Beratung / Kundenberatung) meist noch üblich ist.

Verdeutlichung:
Wer selbst vertrauliche Inhalte unverschlüsselt per E-Mail versendet - das gilt auch für E-Mail-Anhänge z.B. per Worddokument - verstößt damit bereits gegen die Schweigepflicht, weil die Inhalte dadurch Dritten zugänglich werden.
(Bildlicher Vergleich: als würden vertrauliche Akten im Schaufenster ausgelegt.)


Neuer Kommunikationsansatz
Die TelefonSeelsorge im Internet hat dieser unhaltbaren Situation ein praktikables Konzept entgegengesetzt und seit September 2002 realisiert. Referenz zu diesem neuartigen Konzept: Der Landesbeauftragte für Datenschutz Sachsen-Anhalt
empfiehlt diese sichere Kommunikationslösung.


Verbände können Hilfe leisten
Freiberufler können alleine kaum ein sichere Kommunikationslösung realisieren. Sie haben weder eine EDV-Abteilung noch ist ein solches Projekt fachlich, zeitlich und finanziell von einem Einzelnen zu schultern. Wie bei der Telefonseelsorge könnten dies jedoch Verbände ermöglichen:

Verbände können den Einzelnen helfen
Synergie-Effekte helfen Zeit und Geld zu sparen
Fehlende Gesamtlösungen machen es Freiberuflern schwer
 


Beratung ist in den meisten Bereichen ein vertraulicher Prozess. Vertraulichkeit gehört besonders dort untrennbar zur Beratung dazu, wo Ratsuchende (als Klienten, Mandanten, Patienten, Kunden / Verbraucher) persönliche Gegebenheiten von sich preisgegeben. In der alltäglichen Beratungspraxis - am Telefon oder im unmittelbaren Gespräch - wäre eine vergleichbare Situation, wie sie im Internet regelmäßig praktiziert wird, undenkbar:

Bei der Beratung per ungesicherter E-Mail (entsprechend bei Chat / Foren) wird die Kommunikation regelmäßig im Klartext durch das Internet transferiert. Nicht nur jeder dazwischen geschaltete Provider kann dabei den Beratungskontakt mitlesen, sondern auch eine unkalkulierbare Zahl anderer versierter Internetnutzer. Was diese Personen mit z. T. sehr persönlichen Informationen anfangen, ist nicht abzusehen. (Weitergabe, Veröffentlichung, Erpressung, Betrug?)

Um dies mit einer anderen Form der Beratung, z.B. der am Telefon, zu vergleichen: Welcher Arzt würde eine vertrauliche Beratung am Telefon durchführen, wenn er wüsste, dass gleichzeitig unzählige Leitungen aufgebaut würden, an deren Ende Geräte wären, die das Telefonat aufzeichnen können?

Ein anderes Beispiel: Welcher Rechtsanwalt würde einen Mandanten beraten, wenn er wüsste, dass hinter einem Einwegspiegel die Passanten der Fußgängerzone (vielleicht sogar der Gegner des Mandanten) mithören und zusehen können? Bei ungesicherter E-Mailkommunikation ist es darüber hinaus sogar möglich, dass sich Dritte unerkannt in den Beratungskontakt einschalten. Dabei merkt der Ratsuchende nicht einmal, dass es gar nicht (mehr) die Person ist von der er glaubt beraten zu werden.


Die Schweigepflicht der genannten Berufsgruppen und öffentlichen Stellen beginnt erst beim Eingang der Beratungsanfragen. Durch die Technik der neuen Medien entstand somit eine Lücke, die den Beratungsprozess bzw. die Kommunikation im Internet mit Bürgern, Klienten, Mandanten oder Patienten im Internet regelmäßig massiv beeinträchtigt.

Für Anbieter von Online-Beratung und den Gesetzgeber sollte die Verantwortung aber nicht erst beim Eingang der Daten beginnen, sondern bereits bei der Aufforderung zur Übermittlung der Daten.
 

Menschen, die Rat suchen, sind schließlich häufig in einer Situation, mit der sie überfordert sind und die eine Auseinandersetzung mit Risiken eher unwahrscheinlich macht. Zudem sind immer mehr Internetnutzer mit dem technischen Hintergrund überfordert. Leider ist es häufig so, dass sich die Anbieter von Online-Beratung rechtlich absichern, aber nur hinsichtlich des eigenen Haftungsrisikos. So kommt es z.B. vor, dass Anbieter von Online-Beratung von ihren Nutzern in den AGBs für eine ordnungsgemäße Bearbeitung der Beratungsanfrage fordern, dass die Ratsuchenden eine vollständige Schilderung des jeweiligen Sachverhaltes bekannt gegeben sollen.

Die Anbieter wissen in diesem Beispiel also rechtlich abzusichern. Doch wer schützt die Nutzer von Online-Beratung vor dieser gefährlichen Situation? Leider befassen sich weder Politik noch die zuständigen Verbände und Kammern in ausreichender Form damit.

Die Internetnutzer sind sich i.d.R gar nicht bewusst, was es bedeutet, vertrauliche Informationen per ungesicherter Internetkommunikation zu versenden: Das subjektive Sicherheitsgefühl des Ratsuchenden und die tatsächliche objektive Unsicherheit stehen in keinem Verhältnis:

Beratung per ungesicherter E-Mail oder ungesichertem Webformular (ohne Authentifizierung durch ein Zertifikat nach dem deutschem Signaturgesetz) bieten somit keine Basis für vertrauliche Beratung. Die Ratsuchenden vertrauen aber umgekehrt auf die Kompetenzen der Anbieter: "Wenn das so schlimm wäre, würde das ja gar nicht angeboten."

Die geltenden rechtlichen Regelungen (Strafrecht, Telekommunikations- und Medienrecht) scheinen somit nicht auszureichen, um einer gängigen Praxis - weit weg von Unbeobachtbarkeit und Vertraulichkeit - Einhalt zu gebieten und die Ratsuchenden wirksam zu schützen. Auf diese weise wird Online-Beratung insgesamt eher in Misskredit gebracht.

 

 

Pionierzeit des Internets geht zu ende

Im Grunde ist es normal, dass sich in einer Pionierzeit Vorgänge etablieren, die dauerhaft nicht vertretbar sind. So ist es bei der Entwicklung neuer Technik meist der Fall, dass sich Sicherheitsvorkehrungen erst später entwickeln und zu Beginn vor allem die Funktionalität im Mittelpunkt steht: So wurde beim Automobil zunächst die Geschwindigkeit weiter vorangetrieben. Sicherheitsgurt und Airbag wurden erst später entwickelt und die Gurtpflicht kam erst Jahre nach der Entwicklung dieser lebensrettenden Sicherungsmöglichkeit.

Ohne den Gründergeist von Internet-Pionieren aus unterschiedlichsten Bereichen hätte sich das Internet niemals zu der umfassenden Kommunikationsplattform entwickeln können, die sie heute ist. Mit dem permanenten Zaudern von Bedenkenträgern wäre das Internet niemals ein Raum von Kreativität und solch rasanter Entwicklungen in unterschiedlichsten Gebieten geworden.

Die Frage nach Sicherheit bei vertraulicher Kommunikation im Internet wurde in der Pionierphase verständlicherweise vernachlässigt. Das geschah dabei meist nicht aus Desinteresse oder Leichtsinn, sondern in der Regel eher aus Unwissenheit gegenüber den Gefahren der recht neuen Kommunikationsplattform Internet. Selbst Firmen, die im EDV-Bereich tätig sind, haben diese Gefahren lange unterschätzt.

Die Pionierzeit des Internets geht jedoch zu ende. Diese neue mediale Plattform ist bereits zu einem Kommunikationsort inmitten der Gesellschaft geworden. Heute muss es also vielmehr darum gehen, dass geprüft wird welche Prozesse im Internet auf welche Weise zu verantworten sind und welche eben nicht.

So wie es Richtlinien für Räume gibt (etwa für Brandschutz / Unfallvermeidung), in denen bestimmte Dienstleistungen oder Beratungsangebote erbracht werden dürfen, müssen künftig entsprechend auch für vertrauliche Kommunikation Regelungen getroffen werden wie vertrauliche "Virtuelle Räume" zum Schutze der Menschen auszustatten sind.

Bereits bestehende sichere Möglichkeiten sollten dabei in sensiblen Bereichen ausgeschöpft werden: Es gibt schließlich heute schon technische Möglichkeiten, um von vornherein für vertrauliche Kommunikation und Beratung im Internet ausschließlich geschützte Kommunikationswege zur Verfügung zu stellen.

Im nachfolgenden Artikel empfiehlt der Landesbeauftragte für Datenschutz Sachsen-Anhalt zur Abhilfe des beschriebenen Misstands das Kommunikationskonzept, das bei der Telefonseelsorge Deutschland seit September 2002 realisiert ist.


Links und Literatur zum Thema:

Der Landesbeauftragte für Datenschutz Sachsen Anhalt:
Empfiehlt Lösung für sichere Kommunikation im Internet


Sicherheitskonzept der Telefonseelsorge in Grundzügen
ANON / JAP - Anonymität im Internet
Beratung im Internet per eMail bedenklich
E-Mail- und Chatsicherheit
Neuansatz: E-Government-Mailkonzept
Berufsverbände und Politik kaum befasst mit Problematik Online-Beratung

Fehlende Gesamtlösungen machen es Freiberuflern schwer


VI. Tätigkeitsbericht des Landesbeauftragten für den Datenschutz Sachsen-Anhalt vom 01.04.2001 - 31.03.2003, Kapitel 12 Hinweise zum technischen und organisatorischen Datenschutz. 12.5 Sichere Kommunikation im Internet.

Wenzel, Joachim: Vertraulichkeit und Anonymität im Internet. Problematik von Datensicherheit und Datenschutz mit Lösungsansätzen. In: Etzersdorfer, Elmar / Fiedler, Georg / Witte, Michael (Hrsg.): Neue Medien und Suizidalität. Gefahren und Interventionsmöglichkeiten. S. 56-70.

Wenzel, Joachim: e-Mail-Management. Neues Mailkonzept für Behörden. In: Kommune21. eGovernment, Internet und Informationstechnik. Ausgabe 6/2003. S. 38.

Wenzel, Joachim: Telefonseelsorge. In: Bäumler, Helmut / Breinlinger, Astrid / Schrader, Hans-Hermann (Hrsg.): Datenschutz von A - Z. Neuwied / Kriftel 1999 (Grundwerk). Stand: Juni 2003. (7. Lfg.). Gruppe T 350. S. 1-4.

 

 

Reaktionen / Veröffentlichungen zur Thematik:

Die Bundesärztekammer reagiert
in Mail an Sewecom auf Anfrage

Der Bund Deutscher Psychologen (BDP) verweist
in Mail an Sewecom auf BDP-Online-Siegel

 

weiter:

Sichere Kommunikation im Internet ist möglich

www.sewecom.de/online-beratung (Übersicht)

 

Gefahr bei Online-Beratung ohne Sicherheitskonzept

www.sewecom.de/online-beratung/gefahr (Diese Seite hier)

 

Empfehlungen zur Auswahl von Organisationen oder Personen, die Online-Beratung anbieten

www.sewecom.de/online-beratung/empfehlungen

 

Landesbeauftragter für Datenschutz Sachsen-Anhalt empfiehlt Lösung für Sichere Kommunikation im Internet

www.sewecom.de/online-beratung/sicher

 

www.sewecom.de/online-beratung/empfehlungen