Deutscher Bundestag – 14. Wahlperiode
Drucksache 14/5555
– 81 –
der Karte – dem sog. Schattenkonto – geführt werden
müssen. Dort bleiben sie aus handels- und steuerrechtlichen Gründen dann mit Datum, Uhrzeit, Betrag, Akzeptanz und ggf. einer Kennung zur Unterscheidung mehrerer Kassenterminals eines Akzeptanten noch für
mindestens sechs Jahre gespeichert. Sie weisen damit einen mehr oder minder großen Teil des Ausgabeverhaltens
des Nutzers nach.
Diese wenig datenschutzfreundliche Lösung wurde für
die sog. GeldKarte (mit großem „K“) des deutschen Kreditwesens gewählt, und Millionen von Bankkunden haben
schon seit Jahren in ihrer Geldautomaten-Karte einen
Chip mit dieser Funktion. Weil die Banken es unterlassen
hatten, die Kunden über die Datenverarbeitung zu informieren, die dem Bezahlen mit der GeldKarte folgt, habe
ich das in meinem 17. TB (Nr. 9.2.1) erläutert.
Um wenigstens eine Abkürzung der unverhältnismäßig
langen Speicherungsdauer der einzelnen Nutzungsdaten
zu ermöglichen – etwa bis zum Ende der notwendigen
Prüfungen auf Korrektheit des Ablaufs – hatte ich mich an
das BMF gewandt (s. 17. TB Nr. 9.2.2). Auch in seiner
Antwort auf mein zweites Schreiben hält das BMF daran
fest, dass die Daten über alle Einzelzahlungen als Grundlage der Ermittlung der steuerpflichtigen Einnahmen
nicht früher gelöscht werden dürfen.
Beim Informationsverhalten der Bankenseite gab es beinahe ebenso wenig Neues. Noch immer wird den Kunden
nicht erläutert, welche Verarbeitungen personenbezogener Daten durch den Einsatz der GeldKarte angestoßen
werden. Mitunter wird auch einfach bestritten, dass ein
Schattenkonto zu jeder GeldKarte geführt wird, und besonders betont, dass lediglich ein Schattensaldo gespeichert werde, um dem Kunden bei einem Defekt seiner
Karte den nicht genutzten Betrag auszahlen zu können.
Die angesichts der Sachlage verständliche Scheu, hier
Klartext zu bieten, führt in der Diskussion zwischen dem
Zentralen Kreditausschuss (ZKA) und den Aufsichtsbehörden der Länder, die sich im Rahmen ihrer datenschutzrechtlichen Zuständigkeit um Klarheit bemühen,
gelegentlich zu schwer nachvollziehbaren Äußerungen.
So steht in einer Stellungnahme des ZKA vom September
2000: „Bei den einzelnen Evidenzzentralen werden nur
Schattensalden geführt, die lediglich Auskunft über den
noch auf der Karte bestehenden Geldwert, aber nicht über
einzelne Nutzungsvorgänge geben“. Und schon im nächsten Satz wird angemerkt, „dass die Evidenzzentrale mit
der GeldKarte getätigte Transaktionen entsprechend den
gesetzlichen Vorgaben über einen längeren Zeitraum
nachweisen kann“.
Hinsichtlich der Darstellung der Fakten ist das zwar ein
gewisser Fortschritt. Bedenkt man aber, dass der Nachweis der getätigten Transaktionen das ist, was ein Konto
ausmacht, und dass die einzelnen Nutzungsvorgänge
nichts anderes als Transaktionen sind, so wird deutlich,
dass bis zu für jedermann verständlichen und zugleich zutreffenden Erklärungen wohl noch ein weiter Weg ist.
Möglicherweise gibt die zu erwartende Umsetzung der
Transparenzforderungen der Datenschutzrichtlinie der
EU (s. o. Nr. 2.1) hier einen neuen Impuls, diesen Weg zu
gehen. Vielleicht ist das aber auch nicht mehr nötig. Denn
mit gut fünf Jahren ist das System der GeldKarte – gemessen am Entwicklungstempo der Informationstechnik –
schon recht alt, und sein bisheriger Erfolg war jedenfalls
nicht so groß, als dass man nicht über ein verbessertes Design nachdenken könnte, das dann hoffentlich mehr Rücksicht auf den Datenschutz für die Nutzer nimmt.
9.3
Ein digitaler Dienstausweis für
die Bundesbediensteten
In der 83. Sitzung des Ausschusses für Organisationsangelegenheiten (AfO) der obersten Bundesbehörden am
10. August 1998 wurde ein Vorschlag des BMI zur einheitlichen Gestaltung neuer Dienstausweise in der Bundesverwaltung angenommen. Diese Dienstausweise in
Form einer Chipkarte sollen unterschiedliche Funktionalitäten enthalten, wobei bestimmte Funktionen optional
sind. Ein beim BMI eingerichteter Arbeitskreis, dem auch
Vertreter des BSI, BKA und BVA angehörten, erarbeitete
bis Dezember 1998 hierzu ein Konzept; ich war beratend
beteiligt.
Nach Fertigstellung des Konzeptes wurde das BVA vom
BMI beauftragt, das Muster eines neuen Dienstausweises
zu entwickeln und die Dienstausweisregelung zu überarbeiten. Angesichts der hohen Anforderungen an die Sicherheit der Lösung wurde das BSI mit der technischen
Umsetzung des Konzeptes beauftragt.
Der digitale Dienstausweis soll für folgende Funktionen
genutzt werden können:
n
n
n
n
n
Herkömmliche Ausweisfunktion mit Lichtbild, Personalien, äußere Sicherheitskennzeichen;
Speicherung der Merkmale für die Prüfbarkeit der
Echtheit des Ausweises;
Erzeugung digitaler Signaturen unter Speicherung und
Anwendung des privaten Signaturschlüssels;
Authentisierung, z. B. beim Zugang zu Rechnern;
Speicherung der Schlüssel zum Ver- bzw. Entschlüsseln von Daten;
n
„Elektronische Geldbörse“ und
n
Berechtigungsnachweis für bestimmte Leistungen.
Für die Bediensteten wird kein Zwang bestehen, sämtliche angebotenen Funktionen zu nutzen. Welche Funktionen tatsächlich benötigt werden, hängt vom Einzelfall ab.
Ressortspezifisch können weitere Angaben (z. B. der
Dienstgrad im Bereich des BMVg) hinzugefügt werden.
Besonders folgende Vorteile sind mit der Einführung dieser multifunktionalen Chipkarte verbunden:
n
n
Praktisch vollständige Fälschungssicherheit für die
herkömmliche Ausweisfunktion sowie einfache und
zuverlässige Nachprüfbarkeit der Echtheit des Ausweises über die digitale Signatur;
Zuverlässige Identifikation und Authentisierung des
Inhabers der Ausweiskarte, auch über Kommunikationsnetze.