Deutscher Bundestag – 17. Wahlperiode
– 67 –
K a s t e n b zu Nr. 5.9
RFID-Logo zur Kennzeichnung von Pässen
5.10
THESEUS – neue Technologien
für das Internet der Dienste
Im Rahmen des vom BMWi geförderten Kooperationsprojekts THESEUS zur Erforschung neuer Internettechnologien konnte ich datenschutzrechtliche Verbesserungen erreichen.
Im Rahmen des IT-Gipfels 2006 beschloss die damalige
Bundesregierung, das Forschungsprogramm THESEUS
zu fördern. Ursprünglich startete das mittlerweile größte
deutsche IT-Forschungsprogramm im Bereich semantischer Suchmaschinen mit dem Ziel der Entwicklung
neuer Suchtechnologien für das Internet. Unter semantischen Suchmaschinen versteht man Suchmaschinen, die
die Bedeutung der Eingabe analysiert und in einem Datenbestand nach passenden Antworten sucht. Mittlerweile
hat sich der Schwerpunkt hin zur Bereitstellung und Vernetzung von Daten und Wissen sowie der Entwicklung
neuer Internet-Dienstleistungen verlagert.
Ich begleite das THESEUS Programm bereits seit 2007.
Im Jahre 2008 wurde mir ein erster Bericht vorgelegt, in
welchem die datenschutzrechtliche Ausgestaltung des
Projektes dargestellt werden sollte. Der Bericht nahm sich
des Themas jedoch nur peripher ohne ein schlüssiges Konzept an und warf stattdessen neue datenschutzrechtliche
Fragen auf. Er beschrieb verschiedene Anwendungsszenarien, unter anderem die Analyse medizinischer Daten oder
den Entwurf neuartiger Internet-Plattformen. Auf mein
Drängen und nach einigen Koordinationsschwierigkeiten
wurden schließlich im Jahr 2010 ausführliche Gespräche
mit Vertretern des BMWi und der Industrie geführt.
Innerhalb der Diskussionen konnte ich die Projektleitung
davon überzeugen, dass gerade bei medizinischen Daten
ein hoher Datenschutzstandard gewährleistet sein muss.
Bisher existiert allerdings keinerlei Überblick, ob und
welche personenbezogenen Daten in den verschiedenen
Anwendungsszenarien erhoben und verarbeitet werden.
Als ein Ergebnis der Gespräche wurde auf meinen Vorschlag ein Fragenkatalog zum Thema „Datenschutz in
THESEUS“ erstellt und den verschiedenen Industriepartnern zugeleitet. Dessen Auswertung führte zu einer Identifikation von aus datenschutzrechtlicher Sicht relevanten
Anwendungsszenarien.
Drucksache 17/5200
Aus meiner Sicht sind in vielen Anwendungsszenarien inzwischen ausreichende Datenschutzmaßnahmen vorgesehen. So beschäftigen sich die im medizinischen Bereich
angesiedelten Teilprojekte MEDICO und RADMINING
mit der Analyse radiologischer Daten und Befunde. Hier
werden Pseudonymisierungsverfahren für personenbezogene Daten eingesetzt, eine strikte Zugangsregelung für
sensible Daten vorgenommen und in Zusammenarbeit mit
innerbetrieblichen Datenschutzbeauftragten und den beteiligten Ärzten auf die Einhaltung des Datenschutzes und
der ärztlichen Schweigepflicht strikt geachtet.
Allerdings haben sich auch einige kritische Punkte gezeigt. Dazu zählen die unnötige Zwischenspeicherung sensibler Daten vor der Pseudonymisierung oder die fehlende
Zweckbindung bei der Speicherung von Verkehrsdaten der
Telekommunikation. Die größten Bedenken habe ich beim
Anwendungsszenario ALEXANDRIA, in dem eine Internet-Plattform zum Austausch von Wissen entwickelt wird.
Hier besteht noch erheblicher Nachbesserungsbedarf, um
Profilbildungen, Missbrauch von Daten, den externen Zugriff auf Daten zu unterbinden. Das hier vorgesehene Konzept der Selbstregulierung halte ich nicht für ausreichend
und habe deshalb Verbesserungen gefordert.
Ich werde das THESEUS-Programm, auch im für 2011
und 2012 anvisierten Echtbetrieb, weiterhin begleiten und
gegebenenfalls den Umgang mit personenbezogenen Daten datenschutzrechtlich überprüfen.
5.11
Sichere mobile Kommunikation
in der Bundesverwaltung
Das BSI hat Sicherheitsstandards und Schutzprofile für
die IT-Infrastrukturen in der Bundesverwaltung, insbesondere beim Einsatz mobiler Geräte entwickelt. Sie sollen die IT-Sicherheit gewährleisten und können auch zu
einem besseren Datenschutz beitragen.
Im beruflichen Einsatz ist die Kommunikation mittels
mobiler Endgeräte, sogenannter Smartphones bzw. PDA,
bereits gang und gäbe. Auch in der Bundesverwaltung
wird – neben der SMS und der klassischen Telefonie –
der mobile Zugriff auf E-Mails, den Terminkalender oder
das Internet immer wichtiger, denn sie bringen für die
Nutzer viele Vorteile.
Parallel zu der stärkeren Verbreitung der mobilen Datenkommunikation entstehen aber auch immer neue Bedrohungen für die IT-Sicherheit und den Datenschutz: Mobile
Endger��te sind lohnende Angriffsziele für Cyberkriminelle, die die teilweise unterentwickelten Sicherheitsstandards dieser Systeme ausnutzen. Zu den Gefahren gehören
das Mitlesen der E-Mail-Kommunikation oder der Kurznachrichten, das Infizieren des mobilen Gerätes durch
Schadsoftware oder die unerlaubte Nutzerortung (vgl.
Nr. 6.2).
Ein vom BSI entwickeltes Schutzprofil soll den genannten
Gefahren bei dem mobilen Datenaustausch begegnen.
Dieses Schutzprofil beinhaltet das Konzept der durchgängigen Verschlüsselung sowie weitere integrierte Sicherheitsmassnahmen. Die Firma T-Systems verwendete das
Schutzprofil bereits bei der Entwicklung des Systems
SiMKo2 („Sichere Mobile Kommunikation“). Infolgedes-
BfDI 23. Tätigkeitsbericht 2009-2010