Freiheit statt Angst: Am Samstag werden Tausende in Berlin gegen die ausufernde Überwachung protestieren. Doch wie steht es eigentlich um den Schutz persönlicher Daten bei der sensiblen Beratung zu HIV? Wir haben Corinna Gekeler gefragt.
Seit 2005 gibt es eine gemeinsame Online-Beratung der deutschen Aidshilfen. Diese webbasierte Beratung wurde eingeführt, weil die Kommunikation per E-Mail eine große Sicherheitslücke darstellt. Corinna Gekeler ist seit Beginn zuständig für die Qualitätsentwicklung und damit auch für den Bereich Datenschutz bei www.aidshilfe-beratung.de.
Frau Gekeler, die Online-Beratung der Aidshilfen wirbt mit dem Spruch „Vertraulich. Verlässlich. Kompetent“. Wie stellen Sie sicher, dass die Beratung wirklich in einem geschützten Rahmen stattfindet und dass keine Daten abgegriffen werden?
Da sind zunächst einige technische Punkte zu nennen. Eine ganz wichtige Grundlage ist, dass wir webbasiert beraten. Das heißt, alle Beratungsvorgänge finden nicht auf einem PC statt, sondern es wird auf einen Server zugegriffen, auf dem die Daten gespeichert werden. Der Server wird von einer Agentur bereitgestellt, die auf Beratungssoftware spezialisiert ist. Praktisch läuft es so ab, dass der_die Ratsuchende einen Benutzernamen und Passwort anlegt und sich damit in das Beratungsnetz einloggt. Beim Ausloggen aus der Beratung sind dann keine Daten auf dem eigenen PC gespeichert.
Kommunikation über einen Datentunnel
Die Kommunikation, die dann in der Online-Beratung läuft, findet über eine SSL-Verschlüsselung statt. Das ist eine Art Datentunnel, durch den die Fragen und Antworten direkt an den Server geschickt werden.
Außerdem speichern wir keine IP-Adressen der Nutzer_innen, die ja eine Identifizierung ihrer PCs ermöglichen könnten. Alle Vorgänge, die bei uns eingehen, werden vollständig anonymisiert und zu rein statistischen Zwecken gespeichert. Wir können also niemals einen Personenbezug herstellen. Auch wenn ein Nutzer die Möglichkeit wählt, per E-Mail über den Beratungsstand informiert zu werden, wird die angegebene E-Mail-Adresse separat vom Nutzernamen gespeichert. Für die_den Berater_in erscheint nur der Benutzername, die Mail-Adresse ist nicht erkennbar.
Neben dieser technischen Infrastruktur geben wir Hinweise an die User_innen, wie sie selbst den Schutz ihrer persönlichen Daten erhöhen können. Zum Beispiel raten wir, einen Nickname statt dem Klarnamen als Benutzernamen zu wählen und sorgsam mit dem Passwort umzugehen. Und auf dem eigenen PC sollten eine Firewall und ein Virenschutz installiert sein.
Gibt es überhaupt so etwas wie Sicherheit für die Beratung im Netz, was ja gerade für so ein sensibles Thema wie HIV sehr wichtig ist?
Bei dem, was heutzutage technisch an Überwachung möglich ist, kann von vollkommener Sicherheit eigentlich nicht gesprochen werden. Unsere Formulierung lautet daher, eine „möglichst datensichere“ Beratung zu gewährleisten.
aidshilfe-beratung.de hat hohe Datenschutzstandards
Jeder Anbieter, der mit personenbezogenen Daten umgeht, sollte Standards im Datenschutz haben. Gerade bei Daten, die die Gesundheit betreffen, ist ein besonders sensibler Umgang elementar. Daher haben wir für die Online-Beratung Datenschutzstandards eingeführt, die wir immer wieder prüfen und aktualisieren und die eben eine höchstmögliche Datensicherheit gewährleisten.
Wenn sich aber die NSA oder der BND für Daten interessieren sollte, wäre es eine Illusion zu denken, die könnte man ganz raushalten. Denen machen wir es mit unseren Sicherheitsstandards höchstens etwas schwerer.
Was uns gefreut hat, war ein Lob von hoher Datenschutzstelle. Unser Koordinationskreis hatte kürzlich ein Treffen mit dem Datenschutzbeauftragten des Landes Schleswig-Holstein. Der lobte unsere technische Infrastruktur und insbesondere die Transparenz unserer Leitlinien für den Datenschutz. Wir verlassen uns bei der Entwicklung unserer Datenschutzstandards also nicht nur auf das eigene Know-how, sondern lassen sie auch extern prüfen.
Corinna Gekeler
Werden die Berater_innen zum Thema Datensicherheit geschult? Was wird ihnen beigebracht?
Unsere Standards für den Datenschutz haben wir gemeinsam im Beraterteam entwickelt, weil das Thema allen Berater_innen ein wichtiges Anliegen ist. Es identifizieren sich also alle sehr damit, weshalb auch die Umsetzung gut läuft. Auch die Auflagen, die die Berater_innen betreffen, haben wir gemeinsam entwickelt.
Dazu gehört, dass es für die Online-Beratung einen geschützten Raum geben muss. Also einen passwortgeschützten Rechner bzw. einen eigenen passwortgeschützten Bereich auf dem PC für die Beratung. Und diese Rechner müssen in Zimmern stehen, die abgeschlossen werden können und von einem eingegrenzten Personenkreis genutzt werden.
Die Berater_innen identifzieren sich mit dem Datenschutz
Natürlich dürfen keine Beratungsvorgänge auf den PC kopiert werden. Alles bleibt auf dem Server.
Wegen der Gefahr von Diebstahl oder Verlust dürfen für die Beratung keine mobilen Endgeräte genutzt werden. Also auch wenn ehrenamtliche Berater_innen von zu Hause aus arbeiten, dürfen sie das nicht per Laptop im Park machen.
Und alle Berater_innen müssen für die Online-Beratung eine gesonderte Schweigepflichterklärung unterzeichnen, in der all diese Verpflichtungen festgehalten sind.
Wie sieht es denn auf der Seite der Nutzer_innen aus? Gibt es hier häufig Fragen nach der Sicherheit ihrer persönlichen Daten?
Hier gibt es tatsächlich wenig erkennbares Interesse an dem Thema. Fragen, die den Schutz ihrer persönlichen Daten betreffen, kommen von Nutzer_innen selten. Es passiert eher andersherum. Zum Beispiel werden ab und zu doch Fragen per E-Mail gestellt oder es wird darum gebeten, eine Anfrage per E-Mail beantwortet zu bekommen. Was ja bei uns eben aus Datenschutzgründen gar nicht möglich ist! Hier informieren wir dann zum Thema.
Am Samstag demonstrieren in Berlin wieder viele Menschen unter dem Motto „Freiheit statt Angst“ gegen Überwachung. Wie lautet Ihre Forderung zu diesem Anlass?
Erst einmal bin ich sehr froh, dass – auch dank dieser Initiative – die Vorratsdatenspeicherung endlich vom Tisch ist. Das war für uns ein ganz wichtiges Thema, das wir von der Online-Beratung in die Aidshilfen eingebracht haben, die sich dann dazu engagiert haben.
Augen auf im Netz!
Aktuell würde ich mir wünschen, dass Deutschland die Datenschutzgesetze in der EU nicht weiter blockiert. Wir brauchen einfach gute Gesetze für den Schutz der User_innen. Zum Beispiel eine klare Regelung, wem die Daten gehören und wer darauf Zugriff hat. Hier könnte die deutsche Politik konstruktiver vorgehen.
Gleichzeitig sollten aber auch die User_innen auf Qualität achten, wenn sie im Netz unterwegs sind. Augen auf! heißt die Devise. Es gibt ja zum Beispiel Kontaktbörsen, wo man angeben kann, ob man HIV-positiv ist. Wie die Anbieter mit den Daten verfahren, ist höchst zweifelhaft. Hier sollte man sich also keine Naivität erlauben.
Die Fragen stellten Lisa Fedler und Holger Sweers.
Links:
Die Datenschutzbestimmungen der Online-Beratung können in den Nutzungsbedingungen nachgelesen werden (auch ohne Einloggen möglich): http://aidshilfe-beratung.de/
Tipps und Informationen zum Thema Datenschutz für User_innen bietet die Webseite „Surfer haben Rechte“ vom Verbraucherzentrale Bundesverband : https://www.surfer-haben-rechte.de