– 44 –
in der Gestaltung des Verfahrens wiederfinden. Der Verfahrensaufbau muss sich an den Prinzipien des
§ 3a BDSG orientieren und könnte wie folgt aussehen: Im
Intranet der betreffenden Behörde wird ein Mitarbeiterbefragungsportal eingerichtet. Hierzu wird ein spezieller,
nur für diese Aufgabe bestimmter (Datenbank-) Server
eingerichtet, zu dem ausschließlich Personen, die mit der
Mitarbeiterbefragung betraut wurden, direkten Zugang
haben. Über das Mitarbeiterportal werden die Fragebögen
zum Abruf bereit gehalten. Der Abruf erfolgt über einen
Internetbrowser. Die Mitarbeiter können so Fragebögen
ausdrucken, ausfüllen und anschließend abgeben. Soll die
Erhebung ebenfalls „online“ erfolgen, müssen hierfür
spezielle, keinem Mitarbeiter zugeordnete Arbeitsstationen eingerichtet werden. Hierdurch soll verhindert werden, dass über die Protokolle des Intranetservers Antworten einem Mitarbeiter zugerechnet werden können und
damit die Anonymität aufgehoben werden würde. Eine
Zusammenführung mit anderen Personaldaten ist zu unterbinden.
Ein solches Verfahren würde die Anonymität der Mitarbeiter sicherstellen. Um Mehrfachbeteiligungen derselben Person zu verhindern, könnte ein Pseudonymisierungsverfahren eingesetzt werden, bei dem eine
Vertrauensstelle anhand automatisch generierter Zufallszahlen die Pseudonyme vergibt. Es wird nicht registriert,
welchem Mitarbeiter welches Pseudonym zugeordnet
wird. Mit dem Pseudonym kann sich der Mitarbeiter an
der Befragung beteiligen, wobei jede Zufallszahl nur einmal verwendet werden kann. In der Vertrauensstelle wird
sichergestellt, dass ein Mitarbeiter nur ein Pseudonym erhält. Die Kommunikationsvorgänge des Verfahrens sollten verschlüsselt erfolgen.
Das Modell hat beispielsweise der Bundesgrenzschutz für
seine Mitarbeiterbefragung verwendet. Ich werde die Befragung dort weiterhin begleiten und die Erfahrungen in
weiteren Beratungen berücksichtigen.
4.1.2
Verschlüsselung sinnvoll einsetzen!
Verschlüsselungsverfahren zählen zu den Datenschutzbasistechnologien. Ob ein bestimmtes Verschlüsselungsverfahren eingesetzt werden kann, hängt nicht allein von seiner technischen Sicherheit, sondern auch von der
Praktikabilität der jeweiligen Lösung ab. Diese Frage
wird beim JobCard-Verfahren intensiv diskutiert.
Im Rahmen des JobCard-Projektes (vgl. hierzu Nr. 15.2)
wurden auch die Sicherheitsstandards getestet, die im
Wirkbetrieb zum Einsatz kommen sollen. Sie sollen dem
Stand der Technik entsprechen und zugleich eine nachhaltige Senkung der Kosten, eine spürbare Entbürokratisierung der Verwaltung und eine deutliche Entlastung der
Bürger etwa bei Vorlage von Bescheinigungen berücksichtigen. Aus Gründen des Datenschutzes muss sichergestellt sein, dass nur ein gesicherter elektronischer Zugriff auf die zentral gespeicherten Arbeitnehmerdaten
möglich ist. Insgesamt sollen Medienbrüche bei der Ausstellung und Verwaltung von elektronischen Verdienstbescheinigungen vermieden und eine schnelle Bearbeitung
von Anträgen/Bescheiden erzielt werden.
BfD
20. Tätigkeitsbericht
2003–2004
Ohne angemessene Sicherheit kann und wird das Verfahren keine Akzeptanz in der Bevölkerung und bei der
Wirtschaft finden. Die diskutierten Sicherheitsmaßnahmen konzentrieren sich auf die folgenden Modelle:
●
●
Zugriffsschutzmodell:
Bei diesem Modell werden alle Daten sowohl beim
Einstellen der Daten in die Zentrale Speicherstelle (ZSS) als auch beim Abruf der Daten durch berechtigte Stellen verschlüsselt übertragen. Die Speicherung in der ZSS erfolgt ebenfalls verschlüsselt.
Hierzu steht ein sog. Master-Session-Schlüssel zur
Verfügung, der von einer unabhängigen öffentlichen
Betreibergesellschaft generiert wird und nur dieser
Stelle bekannt ist. Die Daten liegen nach der Übertragung und dem Plausibilitätstest nur verschlüsselt in
der ZSS vor. Die Entschlüsselung erfolgt bei Vorlage
einer berechtigten Abfrage mit Signatur des Betroffenen und nur durch das Zusammenwirken des unabhängigen Betreibers und der ZSS. Der Schutz der Daten
konzentriert sich auf die Einhaltung der gesetzlichen
Vorgaben im JobCard-Gesetz durch ZSS und Betreibergesellschaft (beides per Gesetz öffentliche Stellen),
die Kontrolle durch den Bundesbeauftragten für den
Datenschutz sowie auf die geplante gesetzliche Verpflichtung einer regelmäßigen Überprüfung des tatsächlichen Datenschutzstandards (Datenschutzaudits).
Ende-zu-Ende-Verschlüsselungsmodell:
Beim Ende-zu-Ende-Verschlüsselungsmodell werden
die Daten mit dem öffentlichen Schlüssel des Arbeitnehmers verschlüsselt und dann an die ZSS übermittelt. Die Speicherung in der ZSS erfolgt unter der vollständigen Kontrolle des Betroffenen. Ein Abruf der
Daten kann nur dann stattfinden, wenn der Betroffene
seine JobCard zum Abruf vorlegt und die Daten dann
bei der abfragenden Stelle entschlüsselt werden können.
Datenschutzrechtlich traten bei den Modellen folgende
Fragestellungen und Probleme auf:
– Beim Zugriffsschutzmodell liegen die Daten zum
Plausibilitätstest kurzzeitig unverschlüsselt in der ZSS
vor. Dabei könnte die ZSS Kenntnis von den Daten
nehmen.
– Zwar sind in der Datenbank der ZSS die Daten verschlüsselt. Beim Zusammenwirken von ZSS und Betreibergesellschaft zur Schlüsselverwaltung könnten
jedoch alle Daten entschlüsselt und einem Dritten
übergeben werden.
– Beim Ende-zu-Ende-Verschlüsselungsmodell muss
ein Ersatzverfahren eingerichtet werden, damit bei
Verlust oder Zerstörung der Signaturkarte weiterhin
auf Daten zur Berechnung von Leistungen zugegriffen
werden kann, etwa indem alle Arbeitgeber die übermittelten Daten weiterhin speichern oder durch Hinterlegung des geheimen elektronischen Schlüssels des
Betroffenen. Die Speicherung der geheimen Schlüssel
wäre zwar technisch umsetzbar, führte aber zu einem
Register, in dem alle Verschlüsselungsschlüssel aller
Arbeitnehmer gespeichert und zum Abruf bereitgehalten würden. Auch wäre nach dem Zugriff auf das
zentrale Register eine Entschlüsselung der Daten ohne
Mitwirken des Betroffenen möglich.