Drucksache 16/12600
– 88 –
aber seit vielen Jahren die Angebote und Nutzungszahlen
bei der elektronischen Signatur nicht vorangekommen, so
dass diese Infrastruktur bis heute nicht in ausreichender
Breite zur Verfügung steht.
K a s t e n zu Nr. 6.6
Bürgerportalgesetz
Ziel des Entwurfs eines Gesetzes zur Regelung von
Bürgerportalen und zur Änderung weiterer Vorschriften
ist,
– einen Rechtsrahmen zur Einführung vertrauenswürdiger Bürgerportale im Internet zu schaffen, der für
Diensteanbieter Rechtssicherheit schafft und es ihnen ermöglicht, die Rechtsqualität der als Bürgerportaldienste erfassten Dienste im Internet zu steigern,
– für die elektronische Kommunikation im Rechtsund Geschäftsverkehr vertrauenswürdige Lösungen
zu schaffen, bei denen sich die Teilnehmer der Sicherheit der Dienste, der Vertraulichkeit der Nachrichten und der Identität ihrer Kommunikationspartner sicher sein können,
– die Rechtssicherheit im elektronischen Rechts- und
Geschäftsverkehr durch verbesserte Beweismöglichkeiten zu stärken,
– die Möglichkeiten elektronischer Kommunikation
fortzuentwickeln, indem eine Zustellung und eine
Bestätigung des Zugangs auch für elektronische Erklärungen ermöglicht wird,
– den (freiwilligen) Eintrag einer elektronischen Bürgerportaladresse in ein Melderegister zu ermöglichen und dadurch eine Möglichkeit der elektronischen Zugangseröffnung für alle Behörden zu
schaffen.
Im weiteren Gesetzgebungsverfahren sind folgende wichtige Punkte noch zu verbessern:
1. Die Feststellung der Identität der Nutzer und die Verwendung und Aufdeckung von Pseudonymen sind
nicht eindeutig geregelt. Der Eintrag einer De-MailAdresse ins Melderegister und die Folgen müssen für
Bürger und Bürgerinnen erkennbar sein. Niemand darf
benachteiligt werden, wenn er den Dienst nicht in Anspruch nimmt.
2. Da der Nachweis des Absenders nur durch die Anmeldung am Bürgerportal erfolgt, kann der Absender einer De-Mail nicht sicher bestimmt werden. So wäre
die Versendung von De-Mail ohne Einwirken einer
Person allein durch einen Trojaner, der sich auf dem
PC des Nutzers eingenistet hat, möglich. In gleicher
Weise könnten auch die Daten im De-Safe gelöscht
oder verändert werden. Hier müssen geeignete Gegenmaßnahmen vorgesehen werden.
BfDI 22. Tätigkeitsbericht 2007-2008
Deutscher Bundestag – 16. Wahlperiode
3. Der Entwurf sieht keine Ende-zu-Ende-Verschlüsselung vor. Zwar werden die Diensteanbieter zertifiziert
und ihre Kommunikation untereinander soll verschlüsselt erfolgen, dennoch ist ein Mitlesen der Nachrichten
bei den Anbietern weiterhin möglich. Hier müssen
(mindestens optional) sichere Verschlüsselungsverfahren angeboten werden, so dass eine vertrauliche Endezu-Ende-Kommunikation zwischen Sender und Empfänger möglich ist.
4. Die Prüfung der Anbieter setzt Regelungen zur Gewährleistung eines hohen Datenschutzniveaus bei den
Anbietern voraus. Die Mindestanforderungen für das
Audit müssen einheitlich für alle Anbieter vorgegeben
werden. Von daher bietet sich eine Verzahnung mit
dem Entwurf zum Datenschutzauditgesetz an (s. auch
unter Nr. 2.4).
Die Bundesregierung verfolgt weitere E-GovernmentProjekte mit ähnlichen Zielen. Z. B. laufen bei der Justiz
Projekte zu „Elektronischen Gerichts- und Verwaltungspostfächern“. Andere Projekte sehen die Ausgabe von
Chipkarten mit Authentisierungs- und Signaturfunktionen
vor. Zudem soll auch der elektronische Personalausweis
(E-Personalausweis) eine sichere Identifikation bei Internet-Diensten ermöglichen (s. auch o. Nr. 6.3.2). Alle
diese Maßnahmen müssen eng miteinander verzahnt
werden, um Sicherheitsrisiken zu reduzieren und eine
Doppelerfassung von Daten zu verhindern.
6.7
RFID (Radio Frequency Identification)
Immer noch fehlt eine wirksame Selbstverpflichtung der
Wirtschaft oder eine gesetzliche Regelung zum Einsatz
von Funkchips.
Im letzten Tätigkeitsbericht (21. TB Nr. 4.3) habe ich bereits ausführlich über die RFID-Technologie, ihre Gefahren für die Persönlichkeitsrechte und die rechtlichen
Möglichkeiten ihrer Begrenzung berichtet.
Im Januar 2008 hat die Bundesregierung auf Aufforderung des Deutschen Bundestages einen Bericht über die
Aktivitäten, Planungen und den möglichen gesetzgeberischen Handlungsbedarf in Bezug auf die datenschutzrechtlichen Auswirkungen der RFID-Technologie
vorgelegt (Bundestagsdrucksache 16/7891). Die Bundesregierung erkennt darin an, dass der Einsatz von RFID im
Verbraucherbereich Gefahren für das Recht auf informationelle Selbstbestimmung in sich birgt. Sie hält es für erforderlich, den Gefährdungen präventiv zu begegnen.
Dies könne auf gesetzgeberischer Ebene durch Ergänzung des BDSG oder über eine bereichsspezifische Vorschrift zum Umgang mit der RFID-Technologie erfolgen.
Die Bundesregierung würde aber einer verbindlichen
Selbstverpflichtung der Wirtschaft und einer Förderung
datenschutzfreundlicher Technologien den Vorzug geben.
Nur für den Fall, dass eine solche Selbstverpflichtung
nicht oder nicht zufrieden stellend zustande kommt, zieht
sie gesetzgeberische Maßnahmen in Betracht. Das BMI
hat zudem das BSI beauftragt, „Technische Richtlinien
für den RFID-Einsatz“ zu erstellen.