Drucksache 17/13000
64 ––
–– 64
Insbesondere sehe ich die behördlichen Datenschutzbeauftragten neben dem Datenschutzbeauftragten der BIT
in der Pflicht, nach der IT-Konsolidierung den Datenschutz der einzelnen Fachanwendungen zu gewährleisten.
Da weiterhin noch ungeklärte Fragen zum Datenschutz
bestehen bzw. einige wichtige Aspekte nicht ausreichend
berücksichtigt und mit meinem Einvernehmen umgesetzt
wurden, werde ich die Konsolidierung im Geschäftsbereich des BMI weiterhin sehr kritisch beobachten.
K a s t e n z u N r. 4 . 3
Deutscher Bundestag – 17. Wahlperiode
an der Entwicklung von Standards zu beteiligen, um
größtmöglichen Einfluss auf das Ergebnis zu nehmen.
Auf nationaler Ebene wirke ich derzeit im Rahmen der
Aktivitäten des DIN (Deutsches Institut für Normung)
unter anderem bei der Erarbeitung und Überarbeitung der
Normen
– Vernichtung von Datenträgern (DIN 66399) (vgl.
Nr. 4.6)
– Karten und persönliche Identifikation (NA 043-01-17
AA) und
– Biometrie (NA 043-01-37 AA)
Bei der IT-Konsolidierung besonders wichtige schriftlich festzulegende Vorgaben (vgl. § 11 Absatz 2
BDSG):
– Den Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen.
– Die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen.
– Die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten
des Auftragnehmers.
– Die mitzuteilende Verstöße des Auftragnehmers oder
der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen.
– Den Umfang der Weisungsbefugnisse, die sich der
Auftraggeber gegenüber dem Auftragnehmer vorbehält.
– Die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten
nach Beendigung des Auftrags.
4.4
Technische Standardisierung immer
wichtiger
Neben Rechtsvorschriften werden technische Standards
für den Datenschutz immer wichtiger. Ich beteilige mich
an deren Ausarbeitung.
Der Standardisierung von technischen Architekturen und
Prozessen als Grundlage für technische Anforderungen
an den Datenschutz kommt eine immer höhere Bedeutung
zu. Auch im Entwurf der Datenschutz-Grundverordnung
(vgl. Nr. 2.1.1) finden sich zahlreiche Verweise auf die
Festlegung technischer Standards. Neben der Mitwirkung
auf nationaler Ebene beteilige ich mich daher vermehrt an
Standardisierungsvorhaben im internationalen und nationalen Bereich.
In vielen Bereichen der IT-Sicherheit haben sich technische
Standards etabliert. Durch die unmittelbare Verknüpfung
mit dem technologischen Datenschutz tangieren diese
zwangsläufig datenschutzrechtliche und -technische Aspekte. Daher ist es umso wichtiger, sich bereits frühzeitig
BfDI 24. Tätigkeitsbericht 2011-2012
mit (vgl. 23. TB Nr. 5.3).
Neben der Unterstützung der Interoperabilität und des
Datenaustausches zwischen Anwendungen und Systemen
geht es bei „Karten und persönliche Identifikation“ und
„Biometrie“ vor allem auch um das Einbringen von nationalen Interessen in die internationale Normung. Durch
meine Mitwirkung in diesen Gremien des DIN strebe ich
an, die datenschutzrechtlichen Aspekte – z. B. zum
Schutz der Privatsphäre in der Biometrie – besser in diesen Technologie zu verankern. Dabei arbeite ich eng mit
dem Bundesamt für Sicherheit in der Informationstechnik
(BSI) zusammen. Auch neue Vorhaben, die erst in die
Normung eingebracht werden sollen, werden von mir mit
beraten. Hierzu zählt beispielsweise die Erarbeitung von
Standards zur Datenlöschung (vgl. Nr. 4.5).
Im Zuge der Reform des europäischen Datenschutzrechtes (vgl. Nr. 2.1) und der zunehmenden Akzeptanz von
datenschutzfreundlichen Konzepten wie Privacy by Design oder der Datenschutzfolgen-Abschätzung (Privacy
Impact Assessment, PIA) gewinnt die internationale
Standardisierung immer mehr an Gewicht. Auf internationaler Ebene wurde innerhalb der ISO (International
Organization for Standardization) eine Arbeitsgruppe gegründet, welche sich ausschließlich mit den Themen
„Identitätsmanagement“ und „technologischen Datenschutz“ beschäftigt und unter anderem Standards zu den
Themen PIA oder Cloud Computing erarbeitet. Die Normung des Datenschutzes auf globaler Ebene gestaltet sich
dabei sehr schwierig. Das liegt zum Teil daran, dass die
Normung nicht nur die regionalen deutschen (bzw. europäischen) datenschutzrechtlichen Anforderungen berücksichtigen muss, sondern darüber hinaus eine Vielzahl von
Wünschen anderer Staaten und Regionen. Meine grundsätzliche Haltung sieht deshalb vor, dass ISO-Normen nur
solche Fragen und Inhalte ansprechen und normieren sollten, die übergeordnete Datenschutzfragen betreffen. Erste
Ansätze werden im Rahmen des Projektes der ISO 29100
(„Privacy Framework“) erarbeitet.
Hier sehe ich Möglichkeiten, grundsätzliche Prinzipien
und eine Rahmenarchitektur für den technologischen Datenschutz zu standardisieren.
Allerdings plädiere ich dafür, diese so allgemein wie
möglich zu halten und Aspekte des europäischen Datenschutzes innerhalb der Europäischen Normungsorganisationen zu bearbeiten. Hier wäre eine Norm unter dem