Drucksache 16/12600
– 104 –
K a s t e n zu Nr. 8.4
Das Bundeskabinett hat Anfang 2009 den Gesetzentwurf zur Stärkung der Sicherheit in der Informationstechnik des Bundes beschlossen. Mit dem Gesetz
sollen dem BSI weitere Befugnisse eingeräumt werden,
um Gefahren für die Sicherheit der Informationstechnik
des Bundes abzuwehren. Auch wenn das mit dem Gesetzentwurf verfolgte Ziel, die IT-Sicherheit zu verbessern, grundsätzlich anzuerkennen ist, bestehen erhebliche Bedenken gegen
– die Ermächtigung des BSI, die gesamte Datenkommunikation aller Unternehmen, Bürgerinnen und
Bürger mit Bundesbehörden ohne Anonymisierung
bzw. Pseudonymisierung auszuwerten,
– die vorgesehene Datenübermittlung an Strafverfolgungsbehörden, insbesondere bei nicht erheblichen
Straftaten, wenn sie mittels Telekommunikation begangen werden, und an den Verfassungsschutz übermittelt werden und
– den Verzicht auf die Verpflichtung des BSI, ihm bekannt gewordene Sicherheitslücken und Schadprogramme zu veröffentlichen und damit Unternehmen,
Bürgerinnen und Bürger vor zu erwartenden Angriffen (Spionage und Sabotage) zu warnen. Offenbar
handelt es sich dabei um eine Konsequenz der Einführung der Online-Durchsuchung nach dem BKAGesetz (vgl. Nr. 4.3.1).
8.5
Kennzeichnungspflichten –
Überlegungen zur Rückverfolgung von
personenbezogenen Daten
Verbraucher können sich nicht wirksam gegen die ungewollte Verwendung Ihrer Daten wehren, wenn sie nicht
wissen, aus welcher Quelle die Daten stammen. Unternehmen sollten dazu verpflichtet werden, die Herkunft
und somit den rechtmäßigen Erwerb der Daten durch
spezielle Kennzeichnung zu belegen.
Die Veräußerung von personenbezogenen Daten ist vor
allem für den Handel ein zunehmend lukratives Geschäft.
Unternehmen, die Kundendaten z. B. bei Bestellvorgängen vom Verbraucher erheben, geben diese oftmals gegen
Entgelt, aber ohne explizite Zustimmung der Betroffenen
(Opt-In) an andere Unternehmen weiter. Zudem werden
Daten unrechtmäßig, also durch gezielte Angriffe von
Hackern oder durch Insider entwendet. Um die zweifelsfreie Herkunft und den rechtmäßigen Erwerb von gehandelten Daten nachweisen zu können, wird darüber nachgedacht, personenbezogene Daten bereits bei ihrer
Erhebung sicher zu kennzeichnen.
Der „Arbeitskreis Technische und organisatorische Datenschutzfragen (AK Technik) der Konferenz der Datenschutzbeauftragten des Bundes und der Länder“ hat sich
im Oktober 2008 mit diesem Thema befasst (vgl. auch
Nr. 2.3). Diskutiert wurden hierbei verschiedene technische Möglichkeiten, wie personenbezogene Datensätze
BfDI 22. Tätigkeitsbericht 2007-2008
Deutscher Bundestag – 16. Wahlperiode
zukünftig zum Herkunftsnachweis und zur Nachverfolgung ihrer Verwendung mit elektronischen Kennzeichnungen versehen werden könnten. Auch wenn diese Untersuchung zum Ergebnis kommt, dass eine wasserdichte
technische Lösung des Kennzeichnungsproblems derzeit
nicht verfügbar ist, wird damit die Forderung nach der
Herkunftskennzeichnung von Daten nicht obsolet. Wenn
Unternehmen bei der Werbeansprache den Adressaten zukünftig mitteilen müssten, woher die verwendeten Daten
ursprünglich stammen, würde dies auch dann die Rechte
der Betroffenen stärken, wenn Falschkennzeichnungen
nicht sicher ausgeschlossen werden können. Die Betroffenen – aber auch die Aufsichtsbehörden – könnten sich
ohne weiteres davon vergewissern, ob die Daten tatsächlich aus der angegebenen Quelle stammen und ob die Voraussetzungen für die Weitergabe und Nutzung der Daten
zu Werbezwecken vorliegen.
Ausgangspunkt der Überlegungen des AK Technik war
die Forderung, dass für Betroffene nachvollziehbar sein
sollte, von wem die Daten erhoben wurden, auf welchem
Weg ihre Daten zu Absendern von Werbepost oder anderen Kommunikationspartnern gelangt sind und wer sich
dabei ggf. nicht auf die Einwilligung des Betroffenen
stützen kann. Dabei können selbst technisch perfekte Verfahren lediglich der Revision dienen. Auch sie können
nicht verhindern, dass bei entsprechender krimineller
Energie oder bei bewusster Missachtung von Kennzeichnungspflichten Daten unberechtigt weitergegeben werden. Unabhängig von der technischen Realisierung sind
zunächst verschiedene Verfahren denkbar:
– Der Ersterheber dokumentiert den Ursprung der Daten
und ggf. die Einwilligung des Betroffenen in die Weitergabe. Jeder weitere Nutzer der Daten vermerkt wiederum die Herkunft. Anhand der Herkunftskette ist somit nachvollziehbar, wo die Daten erhoben und an
wen sie weitergegeben wurden. Nachteilig ist, dass jeder auch nur kurzfristige Nutzer der Daten dauerhaft
Informationen zum verwendeten Datensatz speichern
muss.
– Informationen über Herkunft und Einwilligung sind
jeweils dem Datensatz beizufügen. Nachteilig ist hierbei, dass neben dem Betroffenen auch der letzte Nutzer der Daten die gesamte Herkunftskette einsehen
kann.
– Informationen zur Herkunft und Einwilligung könnten
bei einer unabhängigen und vertrauenswürdigen dritten Stelle gespeichert werden. Allerdings würde sich
bei einer solchen dritten Stelle ein sehr großer Datenbestand ansammeln und auch diese könnte zudem die
Herkunftskette nachvollziehen.
Es ist in jedem Einzelfall abzuwägen, ob es vertretbar ist,
für die lückenlose Nachvollziehbarkeit der Herkunftskette von Daten neue Datenbestände zu erzeugen.
Es sind Speicherfristen zu definieren und ggf. elektronische Kennzeichnungsmöglichkeiten, wie die Nutzung
von pseudonymen Signaturen oder andere Verfahren, zu
prüfen.