Deutscher Bundestag – 17. Wahlperiode
– 35 –
gen – Weitergabe an Dritte oder zur Profilbildung. Hier
halte ich mehr Transparenz für dringend geboten. Hier hat
die Idee eines Datenbriefes durchaus weiterhin Bedeutung und sollte vom Gesetzgeber aufgegriffen werden, indem die gesetzlichen Benachrichtigungspflichten entsprechend verbessert werden.
2.7
Neuer Arbeitskreis Grundsatzfragen
des Datenschutzes
Der Arbeitskreis „Grundsatzfragen des Datenschutzes“
der Datenschutzbeauftragten des Bundes und der Länder
hat seine Arbeit aufgenommen.
Alle Datenschutzbehörden sehen sich immer wieder mit
grundsätzlichen Fragen konfrontiert, deren Beantwortung
angesichts begrenzter Ressourcen große Schwierigkeiten
bereitet. Die Bürgerinnen und Bürger, aber auch die für
die Datenverarbeitung verantwortlichen Stellen erwarten
zu Recht von den Datenschutzbeauftragten in Bund und
Ländern, dass sie ihnen kompetente und abgestimmte
Antworten auf diese grundlegenden Fragen geben. Da es
bisher mangels entsprechender Strukturen zwischen den
Datenschutzbehörden dazu wenig Austausch und Abstimmung gab, hat die 79. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 17./18. März 2010
in Stuttgart einen neuen Arbeitskreis „Grundsatzfragen
des Datenschutzes“ eingesetzt.
Aufgabe des Arbeitskreises ist es, komplexe Themen intensiv zu beraten, in grundsätzlichen Fragen gemeinsame
Positionen zu finden und diese Themenstellungen für die
Konferenz der Datenschutzbeauftragten des Bundes und
der Länder aufzubereiten.
In den beiden ersten Sitzungen des Arbeitskreises hat sich
der Arbeitskreis unter meinem Vorsitz u. a. mit der Modernisierung des Datenschutzrechts (vgl. Nr. 1), den
Schlussfolgerungen aus dem Urteil des Europäischen Gerichtshofs vom 9. März 2010 zur Unabhängigkeit der Datenschutzkontrolle (vgl. Nr. 2.1), grundsätzlichen Fragen
des Umgangs mit Geodaten (vgl. Nr. 4.1) oder den Datenschutzrechten juristischer Personen befasst.
3
Elektronische Identität
„Wer bin ich – und wenn ja wie viele?“ lautet der Titel eines Sachbuchs von Richard D. Precht, das 2010 auf dem
ersten Platz der Sachbuch-Bestseller-Liste stand. Ähnlich
könnte man fragen, wenn es um unsere Identitäten im Internet, bei Behörden oder in Sozialen Netzwerken geht.
Die Menge personenbezogener Daten bei staatlichen und
privaten Stellen steigt ständig an. Durch die leichte Verknüpfbarkeit vieler Informationen können glaubwürdige,
aussagekräftige Persönlichkeitsprofile des Einzelnen erstellt werden.
Beispiele für elektronische Identitäten sind die persönliche De-Mail-Adresse (vgl. Nr. 3.3), die Steuer-Identifikationsnummer (vgl. Nr. 9.2) oder Zugangskennungen zu
einem Internet-Shop oder Sozialen Netzwerk.
Drucksache 17/5200
Werden diese und ähnliche Daten ohne entsprechende
Rechtsgrundlage verknüpft, ist das Recht auf informationelle Selbstbestimmung gefährdet. Deshalb sind Technologien erforderlich, die die Betroffenen selbst bestimmen
lässt, welche elektronischen Identitäten wo verwendet werden. In den von der Konferenz der Datenschutzbeauftragten
des Bundes und der Länder erarbeiteten Eckpunkten „Ein
modernes Datenschutzrecht für das 21. Jahrhundert“
(siehe Nr. 1) wird auf die Notwendigkeit eines datenschutzfreundlichen Identitätsmanagements hingewiesen:
„Das Identitätsmanagement sollte auf der anonymen oder
pseudonymen Nutzung von elektronischen Verfahren und
der dezentralen Haltung von Identifikationsdaten unter
möglichst weitgehender Kontrolle der betroffenen Bürgerinnen und Bürger basieren.“
Mit der Einführung des neuen elektronischen Personalausweises (vgl. Nr. 3.2) gewinnt das Thema Identitätsmanagement weiter an Bedeutung, denn Bürgerinnen und
Bürger erhalten erstmals von staatlicher Seite eine elektronische Identität. Damit ist nicht nur die Authentisierung gegenüber elektronischen Portalen der Verwaltung
und der Wirtschaft möglich, sondern auch die Nutzung
von verschiedenen anwendungsbezogenen Pseudonymen.
Zum Schutz vor Identitätsdiebstahl und unzulässiger Profilbildung wird es immer wichtiger, für Bürgerinnen und
Bürger die Möglichkeit zu einem selbstbestimmten Identitätsmanagement zuschaffen. Ein derartiges System muss
für die Nutzer einfach bedienbar und transparent sein; aus
technologischer Sicht sind standardisierte Schnittstellen
und die Möglichkeit der unabhängigen Überprüfbarkeit
zu fordern.
3.1
eID Funktion und Privacy-byDesign-Konzepte
Angesichts des rapiden technologischen Wandels gilt es,
die besonderen Erfordernisse des Datenschutzes bereits
zu einem frühestmöglichen Zeitpunkt zu berücksichtigen.
Neue technologische Systeme bergen oftmals versteckte
Gefahren, die sich nur schwer beseitigen lassen, wenn die
Grundkonzeption erst einmal feststeht. Umso sinnvoller
ist es, etwaige Datenschutzprobleme schon in der Entwicklungsphase neuer Technologien festzustellen und zu
prüfen. Dieser Ansatz wird als „Privacy by Design“ (PbD)
bezeichnet.
Der Gedanke, den technischen Datenschutz in IT-Systeme zu integrieren, ist nicht völlig neu. Im Erwägungsgrund 46 der Richtlinie 95/46 der Europäischen Union
wird z. B. darauf verwiesen, dass sowohl zum Zeitpunkt
der Planung des Verarbeitungssystems als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische
und organisatorische Maßnahmen zu treffen sind, um insbesondere die Sicherheit zu gewährleisten.
PbD ist wertvoll für alle Arten von IT-Systemen, die für
die Verarbeitung personenbezogener Daten vorgesehen sind
oder eingesetzt werden. PbD sollte eine wesentliche Anforderung sein, die durch alle Produkte und Dienstleistungen
zu erfüllen ist, welche Dritten und einzelnen Kunden zur
Verfügung gestellt werden (z. B. WiFi-Router, soziale
BfDI 23. Tätigkeitsbericht 2009-2010