Drucksache 14/5555
n
n
n
– 34 –
Authentizität
Personenbezogene Daten müssen jederzeit ihrem Ursprung zugeordnet werden können.
Revisionsfähigkeit
Es muss festgestellt werden können, wer wann welche personenbezogene Daten in welcher Weise verarbeitet hat.
Transparenz
Verfahrensweisen bei der Verarbeitung personenbezogener Daten müssen vollständig, aktuell und in
einer Weise dokumentiert sein, dass sie in zumutbarer
Zeit nachvollzogen werden können.
Durch diese Regelungen kann folgendes erreicht werden:
n
n
n
n
n
n
n
n
Die Begrifflichkeiten des technischen Datenschutzes
entsprechen den der IT-Sicherheit.
Datenschutzkontrollinstanzen und Sicherheitsexperten, Entwicklungsingenieure, Systembetreiber
etc. sprechen die gleiche Sprache.
Bei einem Besuch der Bundeskunsthalle habe ich mir einen Eindruck über die Arbeitsweise der LIVE CAM verschaffen können. Hierbei habe ich erfreulicherweise feststellen können, dass die Besucher durch verschiedene
Hinweisschilder bereits vor Zutritt zur Ausstellung in angemessener Form darüber unterrichtet werden, dass in einem der Ausstellungsräume eine LIVE CAM installiert
ist. Diese Hinweise halte ich für unverzichtbar, da die Besucher nur auf diese Weise in die Lage versetzt werden
können zu entscheiden, ob sie den von der Kamera erfassten Teil der Ausstellung besuchen und die damit verbundene Möglichkeit akzeptieren wollen, dass ihr Besuch
im Internet wahrgenommen wird. Auf ausdrücklichen
Wunsch der Besucher wird die Übertragung der Bilder in
das Internet aber auch unterbrochen. Insoweit habe ich
empfohlen, diejenigen Mitarbeiter, die mit den Besuchern
in Kontakt kommen, zu unterrichten, dass sie diese – bei
Nachfrage – auf die Möglichkeit der Unterbrechung
der Internet-Übertragung hinweisen. Seitens der Bundeskunsthalle wurde mir mitgeteilt, dass dies geschehen sei.
Technologie-Unabhängigkeit der Sicherheitsziele.
Sicherheitsziele sind weltweit bekannt und haben
sich in Forschung und Praxis als stabil erwiesen.
4
Auswärtiges Amt
Das „Erfüllen“ der Sicherheitsziele erfolgt auf der
Basis von anerkannten Methoden und Maßnahmen,
da die definierten (Datenschutz-) Sicherheitsziele mit
den Zielen der IT-Sicherheit konform sind.
4.1
Auswärtiges Amt lagert
IT-Hilfstätigkeiten aus
Es gibt Methoden und Verfahren in der IT-Sicherheit,
die als Messlatte für die Sicherheit einer Anwendung
herangezogen werden können.
Die Revisionsfähigkeit eines Verfahrens wird sich an
den konkreten Sicherheitsmaßnahmen und an den
Sicherheitszielen ausrichten müssen. Auch die Frage
der Wirtschaftlichkeit (Ermessensgrundlage) wird
dadurch verbessert.
Mehr Rechtssicherheit, da die Sicherheitsziele nur
auf der Basis von methodisch anerkannten Verfahren
erreicht werden können.
Besteht ein Bedarf, die Sicherheitsziele noch durch konkrete Maßnahmen zu ergänzen, wäre es ratsam, eine Verordnungsermächtigung im BDSG vorzusehen, mit der das
zuständige Ministerium bei besonderen Gefährdungen
eingreifen kann.
3
Deutscher Bundestag – 14. Wahlperiode
Bundeskanzleramt
– LIVE CAM in der Bundeskunsthalle –
Ich bin darauf aufmerksam gemacht worden, dass in
der Kunst- und Ausstellungshalle der Bundesrepublik
Deutschland in Bonn eine „LIVE CAM“ installiert ist,
d. h. eine Kamera, die von dort regelmäßig Bilder in das
Internet überträgt. Dabei werden auch Bilder der Ausstellungsbesucher übertragen, die von der LIVE CAM erfasst
werden.
Das Auswärtige Amt (AA) hat mich frühzeitig an seinem
Vorhaben „partielles Outsourcing im IT-Bereich“ (Gestellung der IT an den Arbeitsplätzen und Aufrechterhaltung
der Betriebsbereitschaft) beteiligt. Damit werden IT-Leistungen ausgegliedert und einem privaten Auftragnehmer
übertragen. Das AA hat meine Anregungen und Empfehlungen zur Gestaltung des Vertrages mit dem Auftragnehmer übernommen. Der Vertrag enthält Bestimmungen zum
Datenschutz und zur Datensicherheit, die den gesetzlichen
Vorgaben für die Datenverarbeitung im Auftrag (§ 11
BDSG) Rechnung tragen. Ferner sieht er vor, dass sich der
Auftragnehmer verpflichtet, dem behördlichen Datenschutzbeauftragten des AA und unabhängig davon auch mir
Kontrollen der Einhaltung datenschutz- und datensicherheitsrechtlicher Vorschriften zu gestatten. Diese Kontrollbefugnisse erstrecken sich auch auf vom Auftragnehmer
eventuell beauftragte Dritte (Subunternehmer). Schließlich
sind auch Mitteilungs- und Unterrichtungspflichten sowie
die Löschungsverpflichtung des Auftragnehmers datenschutzgerecht vertraglich ausgestaltet worden.
4.2
Aufnahme jüdischer Emigranten aus
der ehemaligen Sowjetunion
Eingehend habe ich mich mit dem Verfahren zur Aufnahme jüdischer Emigranten aus der ehemaligen Sowjetunion (sog. AjES-Verfahren) auseinandergesetzt. Das
Aufnahmeverfahren geht zurück auf eine Vereinbarung,
die der Bundeskanzler im Januar 1991 mit dem Zentralrat
der Juden in Deutschland getroffen hatte. Danach sollten
jüdische Emigranten aus der ehemaligen Sowjetunion
ohne zahlenmäßige und zeitliche Begrenzung in der Bun-