– 41 –
dem Risiko auszusetzen, dass seine Daten verknüpft und
zu einem Profil zusammengeführt werden. Das Identitätsmanagement beschreibt einen Ausweg aus diesem Dilemma.
Ein datenschutzfreundliches Identitätsmanagement muss
sichere Prozesse zur Authentifizierung und Übermittlung
der Daten des Nutzers zur Verfügung stellen. Nur dadurch
wird die Vertraulichkeit von Mitteilungen erreicht und
beiden Seiten wird die Identität der Gegenseite verlässlich mitgeteilt. Dabei sollen nur die für diesen Vorgang
notwendigen personenbezogenen Daten verarbeitet werden.
Am Schalter einer Behörde ist die Sicherheit für den Betroffenen leicht zu erkennen und zu bewerten (so kann er
feststellen, ob sich andere Klienten in Hör- oder Sichtweite befinden). Bei der Kommunikation über das Internet ist das nicht so. Daher sind hier IT-Sicherheitsmaßnahmen erforderlich – etwa Maßnahmen zur
Verschlüsselung, die eine unberechtigte Kenntnisnahme
durch Dritte ausschließen.
Es gibt heute zwar kein allgemein anwendbares Konzept
zu einem datenschutzfreundlichen Identitätsmanagement, aber einige Grundregeln:
– Nur in den Fällen, in denen eine Identifizierung erforderlich ist, sollten Identifizierungsdaten überhaupt erhoben werden. So ist bei einem reinen Informationsdienst eine persönliche Identifizierung der Nutzer im
Regelfall entbehrlich.
– Wenn ein Personenbezug auf Dauer nicht notwendig
ist, kann durch nachträgliche Anonymisierung der
Daten die Zuordnung zu einer Person unterbunden
werden.
– Durch Verwendung unterschiedlicher Identitäten
– etwa verschiedener Pseudonyme für unterschiedliche Verfahren – kann eine unberechtigte Verknüpfung
von Datenbeständen verhindert werden.
– Temporäre Identitäten – etwa zur Abwicklung einer
einmaligen Bestellung – vermeiden die Übermittlung
nicht notwendiger Daten und die Missbrauchsgefahr.
– Kryptographische Verfahren können die Sicherheit bei
der Erzeugung und Nutzung von unterschiedlichen
Identitäten unterstützen oder den Diebstahl einer Identität (Identity Theft) verhindern. Insbesondere bei der
Nutzung unsicherer Netze (Internet) können Nutzer
durch Verwendung dieser Technologien die Hoheit
über ihre Daten behalten bzw. zurückgewinnen.
– Der Nutzer sollte weitgehend selbst kontrollieren können, mit welchen Identitäten er welche Leistungen in
Anspruch nimmt. Die dabei verwendeten Daten sollten verschlüsselt, etwa auf einer Chipkarte, gespeichert werden. Hilfreich ist auch eine nutzerseitige
Protokollierung der jeweils durchgeführten Transaktionen.
Zu den konkreten Problemen bei der Vergabe elektronischer Identitäten vgl. insbesondere Nr. 4.1.1.1 (JobCardVerfahren) oder Nr. 17.1.3 (einheitliche Krankenversichertennummer).
4.1.1.1 Elektronische Identitäten – Die Identifizierung im JobCard-Verfahren
Im JobCard-Verfahren muss sichergestellt werden, dass
der Betroffene sowohl bei der Meldung als auch beim Abruf der Daten eindeutig identifiziert werden kann. Identifizierungsverfahren dürfen jedoch nicht zu einer verfahrensübergreifenden Registrierung der Betroffenen führen.
Das Problem der elektronischen Identifizierung einer Person wird dringender, wenn in immer mehr Verfahren
nicht mehr konventionelle Ausweis- oder Berechtigungspapiere durch einen Sachbearbeiter geprüft werden. Dabei geht es nicht allein darum, Verwechselungen (etwa
aufgrund von Namensgleichheit) zu vermeiden; vielmehr
müssen auch wirksame Mittel gefunden werden, die einen Missbrauch von elektronischen Identitäten ausschließen. Von zentraler datenschutzrechtlicher Bedeutung ist
dabei, dass die Identifizierungsverfahren nicht zu einer
umfassenden Verknüpfung unterschiedlicher Datenbestände führen.
Sei es für die Gewährung von Leistungen der Arbeitsagenturen oder im Bereich der Krankenversicherung
(vgl. hierzu auch Nr. 17.1.3), überall ist die technisch eindeutige Identifizierung des Betroffenen ein wesentlicher
Teil des Verfahrens. Gleiches gilt auch im JobCard-Verfahren (vgl. auch Nr. 15.2). Die Nutzung der dort gespeicherten Daten setzt eine einwandfreie Identifizierung des
Betroffenen voraus und damit die Einführung eines eindeutigen Ordnungsmerkmals. Ursprünglich war geplant,
hierzu die Rentenversicherungsnummer zu nutzen.
Nach der Rechtsprechung des Bundesverfassungsgerichts
würde die Einführung und Verwendung eines allgemeinen
Personenkennzeichens, das eine Zusammenführung aller
Daten eines Menschen ermöglichen würde, dem Grundgesetz widersprechen. Eine Kennummer darf daher nur bereichspezifisch vergeben und genutzt werden. Die derzeitige
gesetzliche Regelung ist eindeutig: § 18f SGB IV verbietet es, die Rentenversicherungsnummer (§ 147 SGB VI)
außerhalb der gesetzlichen Aufgabe des Sozialgesetzbuches als Ordnungskriterium zu verwenden. Genutzt
werden darf sie darüber hinaus nur von den in
§ 18f SGB IV genannten Sozialleistungsträgern. Bei der
einzigen derzeit vorgesehenen Ausnahme im Steuerrecht
(§ 90 Einkommenssteuergesetz) handelt es sich um eine
steuerliche Regelung zur Nutzung der Rentenversicherungsnummer als „Zulagennummer“ bei der sog. „Riesterrente“. Dem Gedanken, die Nutzung der Rentenversicherungsnummer für weitere Zwecke – insbesondere im
JobCard-Verfahren – zu öffnen, habe ich mich entgegengestellt, weil ich die Gefahr sehe, dass aus der Rentenversicherungsnummer ein verfassungsrechtlich unzulässiges
allgemeines Personenkennzeichen wird. Es konnte eine
Lösung gefunden werden, die ich aus Datenschutzsicht
mittragen kann:
Das eigentliche Ordnungsmerkmal soll die Kartennummer der vom Arbeitnehmer im JobCard-Verfahren angemeldeten Signaturkarte (Unique-ID) werden. Die UniqueID besteht im Modellprojekt aus der Seriennummer
des Zertifikats und wird im Wirkbetrieb zur Sicherstellung der Eindeutigkeit noch um die Kennung des Trust
Centers ergänzt. Gleichwohl ist es notwendig, eine
BfD
20. Tätigkeitsbericht
2003–2004