– 43 –
A b b i l d u n g 3 (zu Nr. 4.3)
4.4
Identitätsmanagement und
elektronische Signaturverfahren
Identitätsmanagement und Signaturverfahren sind für
den Datenschutz in der Informationsgesellschaft von zunehmender Bedeutung.
Die Frage, wie bei elektronischen Diensten die Identität
der Beteiligten festgestellt werden kann und welche Daten dabei offenbart werden, gewinnt weiter an Bedeutung.
Sie betrifft sowohl die Kommunikation zwischen den
Bürgerinnen und Bürgern mit staatlichen Stellen als auch
kommerzielle Transaktionen. Datenschutzfreundliche Lösungen müssen einerseits die eindeutige Authentifizierung sicherstellen und andererseits gewährleisten, dass
dabei möglichst wenig personenbezogene Daten preisgegeben werden (vgl. auch 20. TB Nr. 4.1.1). Schließlich ist
darauf zu achten, dass die „informationelle Gewaltenteilung“ bestehen bleibt, also die Trennung zwischen den
von verschiedenen Verwaltungsbereichen für unterschiedliche Zwecke erhobenen Daten.
In letzter Zeit hat die Zahl so genannter „Identitätsdiebstähle“ deutlich zugenommen. Davon betroffen sind insbesondere elektronische Bankdienstleistungen, bei denen
massenweise der Versuch unternommen wird, durch
„Phishing“-Attacken Zugangsdaten (Benutzerkennung,
Passwörter, PIN) und Transaktionsnummern (TAN) zu erschleichen. Sind die Daten erst einmal in die falschen
Hände gelangt, dauert es häufig nur noch Minuten oder
Stunden, bis das Konto leer geräumt ist.
Vor diesem Hintergrund begrüße ich es, dass sich die
Bundesregierung im Rahmen ihrer „eCard-Strategie“
auch der Frage einer sicheren Authentifizierung im Internet stellen will. Neben der Datensicherheit muss dabei allerdings auch der Datenschutz gewährleistet bleiben. So
muss jeweils hinterfragt werden, ob eine namentliche
Identifizierung des Betroffenen für die Wahrnehmung eines bestimmten Dienstes wirklich erforderlich ist. Ähnlich wie bei der Anfang 2007 eingeführten Altersfeststellung an Zigarettenautomaten (vgl. Nr. 4.4.3) muss es auch
im Internet weiterhin möglich sein, die Berechtigung zur
Teilnahme an einem Verfahren oder zur Inanspruchnahme
bestimmter Leistungen und Dienste nachzuweisen, ohne
dass dabei der Name und die Adresse des Betroffenen registriert werden.
Eine sichere Authentifizierung ist nicht nur seitens der
Nutzer erforderlich, sondern auch seitens der Stellen, die
elektronische Dienste anbieten. Phishing-Attacken bedienen sich zum Beispiel in vielen Fällen gefälschter
Web-Sites, bei denen den Nutzern vorgegaukelt wird, sie
seien mit einer Bank oder mit einer Behörde verbunden.
Deshalb müssen sowohl öffentliche Stellen als auch Unternehmen dafür sorgen, dass die Nutzer die Echtheit
ihres Online-Angebots überprüfen können. Die entsprechenden Verfahren stehen seit längerer Zeit zur Verfügung; sie müssen allerdings auch eingesetzt werden, was
immer noch in vielen Fällen nicht geschieht.
Ein gutes Identitätsmanagement setzt auch einen bewussten Umgang der Nutzerinnen und Nutzer mit den elektronischen Diensten und ihre Vorsicht bei der Offenbarung
persönlicher Daten voraus. Die Anbieter müssen die erforderlichen Informationen über einen sicheren Umgang
mit ihren Diensten zur Verfügung stellen. Außerdem
müssen Sie ihnen reinen Wein über die Folgen von
unachtsamem Umgang mit ihren Daten und über unvermeidliche Restrisiken einschenken. Nur so kann das
erforderliche Vertrauen in die Zuverlässigkeit von Online-Angeboten gewonnen und erhalten werden (s. auch
Kasten zu Nr. 4.4).
K a s t e n zu Nr. 4.4
Identitätsmanagement bezeichnet den zielgerichteten und bewussten Umgang mit Identität, Anonymität und Pseudonymität. Es wird hier verstanden als die Verwaltung von Benutzerdaten, die einzelnen Personen zugeordnet sind.
Datenschutzrechtlich bedeutsam ist vor allem die Zuordnung mehrerer Rollen zu einer Person. Das Identitätsmanagement verhindert damit die Möglichkeit einer Profilbildung über mehrere Lebensbereiche hinweg, z. B. als
Kunde, Versicherter, Patient und Arbeitnehmer. Durch die Einführung umfassender elektronischer Verfahren wie
ELENA (s. u. Nr. 4.6), der Gesundheitskarte (s. o. Nr. 4.1) und des ePasses (s. u. Nr. 4.5.3) ist ein geeignetes Identitätsmanagement in den Mittelpunkt von datenschutzrechtlichen Anforderungen an die Technik gerückt.
Elektronische Signaturen sichern elektronische Dokumente, insbesondere ihre Authentizität und Integrität. Ausschließlich die qualifizierte elektronische Signatur ist durch rechtliche Regelungen der eigenhändigen Unterschrift
in weiten Bereichen gleichgestellt und dient dem Nachweis der Echtheit elektronischer Dokumente.
R
e
BfDI 21. Tätigkeitsbericht 2005-2006