Deswegen wurde die Orientierungshilfe zu Cloud Computing der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie der Arbeitsgruppe Internationaler Datenverkehr des Düsseldorfer Kreises überarbeitet. Mit der nun vorliegenden Version 2.0 (Stand 09.10.2014, abrufbar auf meiner Internetseite www.datenschutz.bund.de) wird auf die Rechtsproblematik der bekannt gewordenen Zugriffe ausländischer Nachrichtendienste eingegangen (vgl. Nr. 2.1). Im Zuge dieser Entwicklungen und
Erkenntnisse könnte sich ein auf die Bundesrepublik Deutschland beschränktes Cloud-Angebot als Wettbewerbsvorteil auch für die hiesige Wirtschaft erweisen.
Dieser Standortvorteil könnte durch Datenschutzzertifizierungen von Cloud-Diensten weiter ausgebaut werden.
In dem Technologieprogramm „Trusted-Cloud“ des BMWi, in das ich eingebunden bin, arbeiten Datenschützer
sowie Vertreter der Wirtschaft und von Forschungseinrichtungen/Universitäten in einem Pilotprojekt u. a. daran,
Rechtsfragen beim Cloud Computing zu klären und Anforderungen an eine Datenschutz-Zertifizierung von
Cloud-Diensten zu definieren. Ziel ist eine Zertifizierung von Cloud-Diensten unter Datenschutzgesichtspunkten. Allerdings wird es noch einige Zeit in Anspruch nehmen, bis solche Zertifikate von unabhängigen Prüfstel len vergeben werden können.
Auch vor dem IT-Grundschutz des BSI macht Cloud Computing nicht halt. Ein neuer Grundschutz-Baustein
dazu ist so gut wie fertig gestellt und bereits in einer Vorabversion auf der Internetseite des BSI ( www.bsi.de)
veröffentlicht.
Zudem arbeitet meine Dienststelle in einer Unterarbeitsgruppe zu Cloud Computing des IT-Gipfels mit, die zuletzt auf dem IT-Gipfel im Jahr 2014 ihre Arbeitsergebnisse veröffentlicht hat. Ziel ist es dabei, über Chancen
und Risiken im Umgang mit dem Internet und bei Cloud Computing aufzuklären. Als ein Arbeitsergebnis wurde
beim IT-Gipfel eine Broschüre zum Sicherheitsprofil von CRM-Software (Customer-Relationship-Management
- Kundenbeziehungsmanagement) nach dem Software-as-a-Service-Modell (SaaS) als exemplarische
Cloud-Computing-Anwendung vorgestellt und ein Übersichtspapier über die erarbeiteten Steckbriefe hierzu
herausgegeben. Beim SaaS wird die Anwendungssoftware und die dazu notwendige Hard- und Software von einem Dienstleister betrieben. Diese Informationen wie auch das eigentliche Schutzprofil sowie zwei weitere Sicherheitsprofile für eine SaaS Collaboration Plattform und ein SaaS Archivierungssystem können auf der Internetseite des BSI im Bereich Cloud Computing bezogen werden.
8.6
Einsatz von RFID-Systemen - eine datenschutzrechtlich unbefriedigende Situation
Seit 2011 existiert auf europäischer Ebene ein Rechtsrahmen für die Durchführung von Datenschutzfolgeabschätzungen bei RFID-Anwendungen mit personenbezogenen Daten. Diese geht auf eine Empfehlung der Europäischen Kommission vom Mai 2009 zurück. Doch die Praxis sieht anders aus.
RFID-Systeme (Radio Frequency Identifications) durchdringen mittlerweile viele Bereiche und haben dabei unsichtbar für die meisten von uns bereits die Welt erobert (22. TB Nr. 6.7, 23. TB Nr. 5.9). Ob Bezahl- oder Kundenkarten, Fahrkarten für den ÖPNV oder in Textilien eingenäht: RFID-Systeme haben vielfältig Einzug gehalten, und das Taggen bei Kleidung ist heute Standard geworden. Kleidungsstücke werden dabei bereits beim
Herstellungsprozess mit den kleinen Funkchips versehen. Doch was passiert nach dem Bezahlen an der Kasse?
Werden die RFID-Systeme deaktiviert oder entfernt? Ist dies rechtlich geboten?
Diese Fragen beschäftigen derzeit den Petitionsausschuss des Deutschen Bundestages, den ich berate. Allgemein hat man in den letzten Jahren zum Umgang mit RFID-Systemen eigentlich auf eine Selbstverpflichtung
des Handels gehofft, welche jedoch nie gekommen ist. Es ist also weiterhin offen, wie der Handel mit den Tags
umgeht und ob vorgesehen wird, RFID-Systeme nach dem Bezahlen an der Kasse von mitführbaren Gegenständen und Textilien zu entfernen oder diese automatisch zu deaktivieren. Denn sind RFID-Systeme nach dem Bezahlen weiterhin aktiv, besteht die Möglichkeit der heimlichen Erstellung von Konsum- oder Bewegungsprofi-
BfDI 25. Tätigkeitsbericht 2013-2014
– 145 –