Kasten b zu Nr. 5.14.1
Das Standard-Datenschutzmodell
Verfügbarkeit:
Es ist zu gewährleisten, dass personenbezogene Verfahren und Daten zeitgerecht zur
Verfügung stehen und diese ordnungsgemäß angewendet werden können.
Vertraulichkeit:
Es ist zu gewährleisten, dass nur befugt auf personenbezogene Verfahren und Daten
zugegriffen werden kann.
Integrität:
Es ist zu gewährleisten, dass Daten aus personenbezogenen Verfahren unversehrt,
zurechenbar und vollständig bleiben.
Transparenz:
Es ist zu gewährleisten, dass die Erhebung, Verarbeitung in personenbezogenen Verfahren und die Nutzung mit zumutbarem Aufwand nachvollzogen, überprüft und bewertet werden können.
Zweckbindung:
Es ist zu gewährleisten, dass personenbezogene Verfahren so eingerichtet sind, dass
deren Daten nicht oder nur mit unverhältnismäßig hohem Aufwand für einen anderen als den ausgewiesenen Zweck erhoben, verarbeitet und genutzt werden können.
Intervenierbarkeit:
Es ist zu gewährleisten, dass personenbezogene Verfahren so gestaltet werden, dass
sie dem Betroffenen die Ausübung der ihm zustehenden Rechte wirksam ermöglichen.
5.14.2 Arbeiten im DIN-/ISO-Umfeld
Auch im Berichtszeitraum habe ich wieder in verschiedenen Arbeitsgruppen (Fachbeirat der Koordinierungsstelle IT-Sicherheit (KITS), Karten und persönliche Identifikation, Identitätsmanagement und Datenschutz-Technologien, Biometrie und Vernichten von Datenträgern) zur Standardisierung von Technologien mitgewirkt. Mein Blick richtet sich dabei insbesondere auf die Schlüsseltechnologien wie Chipkarten und datenschutzfreundliche Technologien (Privacy Enhanced Technology - PET).
Die Arbeiten gestalten sich immer dann besonders schwierig, wenn es bereits gängige Standards gibt und entsprechende Technik schon im Einsatz ist, beispielsweise bei Chipkarten. Hier konzentriert sich meine Mitwirkung in den Arbeitsgruppen (Karten und persönliche Identifikation, Identitätsmanagement und Datenschutz-Technologien, Biometrie) darauf, dass bei zukünftigen Entwicklungen datenschutzrechtliche Aspekte
besser in die Standards einfließen. Im ISO-Umfeld (ISO - Internationale Organisation für Normung) ist dies
aber nur im begrenzten Maße möglich, da in den Gremien viele Länder vertreten sind, deren Verständnis vom
Datenschutz auf anderen rechtlichen und kulturellen Grundlagen beruht. Ich sehe deshalb meine Aufgabe darin,
frühzeitig extreme Gefährdungen für den Datenschutz durch die Standardisierung zu verhindern.
Im Bereich der Norm und Standardisierung von Datenschutzprozessen liegen derzeit keine Standards vor. Ich
beabsichtige aus deutscher Sicht, die Schutzziele des Standard-Datenschutzmodells (vgl. Nr. 5.14.1) in die Gremien einzubringen und einer Normung zuzuführen. Da andere Länder bis jetzt keine eigenen Vorschläge eingebracht haben, hoffe ich hier die Schutzziele des Modells in eine weltweit gültige Norm einbringen zu können.
Der Prozess ist gerade erst angelaufen, sodass ich noch keine abschließende Wertung abgeben kann. Im entspre chenden DIN-Ausschuss (DIN - Deutsches Institut für Normung) arbeite ich in diesen Punkt gut mit dem BSI
BfDI 25. Tätigkeitsbericht 2013-2014
– 101 –