der grundsätzlichen Anerkennung der Videoidentifizie‑
rung ein falsches Signal für mögliche weitere Anwen‑
dungsfälle der Videoidentifizierung gesetzt.
Bereits in meinem 25. TB hatte ich der Bundesregierung
empfohlen, für die Identifizierung von Kunden nach
dem Geldwäschegesetz auf die Möglichkeiten einer
Videoidentifizierung zu verzichten. Schon damals war
nicht sichergestellt, dass die anfallenden personenbezo‑
genen Daten datenschutzkonform verarbeitet werden.
Diese Aussage hat weiterhin Bestand.
Die Videoidentifizierung weist nicht das gleiche Sicher‑
heitsniveau auf, wie die Identifizierung unter Anwesen‑
den. Eine Dokumentenprüfung ist nach dem heutigen
Stand der Technik in einem Videokanal nicht vollum‑
fänglich möglich. Daher kann bei einer Videoidentifizie‑
rung noch schlechter als bei der Identifizierung vor Ort
unterschieden werden, ob ein Ausweisdokument echt ist
oder eine Fälschung vorliegt (vgl. hierzu auch unter Nr.
6.1.2). Da die Integrität der zur Identifizierung herange‑
zogenen Daten maßgeblich für jedwede sichere Identifi‑
zierungsmethode ist, bei der Videoidentifizierung aber
nicht erfüllt werden kann, lehne ich diese Identifizie‑
rungsmethode ab.
Datenschutzrechtlich problematisch ist zudem, dass
durch die Aufnahme und Speicherung von Videosequen‑
zen komplette Kopien der Ausweisdokumente angefer‑
tigt werden. Diese sehr umfänglichen Aufzeichnungen
von personenbezogenen Daten entsprechen nicht dem
für die Verarbeitung personenbezogener Daten gelten‑
den Grundsatz der Erforderlichkeit und der Datenspar‑
samkeit, da mehr Daten gespeichert werden, als für
eine Identifikation erforderlich wären. Auch dies spricht
gegen die Videoidentifizierung.
Unbestreitbar ist durch die zunehmende Digitalisierung
in der Zukunft eine sichere Methode für die Identifi‑
zierung unter Abwesenden unverzichtbar. Ein sicheres
Verfahren bietet hier die eID-Funktion des Personal‑
ausweises bzw. des elektronischen Aufenthaltstitels.
Anstelle der Videoidentifizierung sollten diese Funktio‑
nen genutzt werden.
15.2.2 Akkreditierung – eine neue Aufgabe
Die DSGVO sieht in Artikel 43 eine Akkreditierung von
Zertifizierungsstellen vor. Das Akkreditierungsverfahren bildet eine wesentliche Grundlage für zuverlässige
und vertrauenswürdige Datenschutzzertifizierungen
und kann somit ganz erheblich zu einem gestärkten
und europaweit einheitlichen Datenschutz beitragen.
Jetzt kommt es auf die effektive nationale Ausgestaltung
der hierfür notwendigen Verfahren an.
104
Tätigkeitsbericht zum Datenschutz für die Jahre 2017 und 2018
Zertifizierungen sind eine Möglichkeit, wie Unterneh‑
men oder Behörden freiwillig nachweisen können,
dass sie bei Verarbeitung personenbezogener Daten die
datenschutzrechtlichen Vorgaben der DSGVO einhalten.
Artikel 42 DSGVO enthält die dafür wesentlichen Rege‑
lungen, auf deren Grundlage die Mitgliedstaaten aktuell
in enger Zusammenarbeit die geforderten Mechanismen
und Kriterien entwickeln. Erste Grundlagenarbeit dazu
wurde bereits in der Artikel‑29‑Gruppe geleistet. Die
Finalisierung entsprechender Richtlinien findet aktuell
im Europäischen Datenschutzausschuss (EDSA) statt.
Entscheidende Voraussetzung für ein effektives Zerti‑
fizierungsverfahren ist, dass nur solche Stellen Zerti‑
fizierungen gemäß Artikel 42 DSGVO erteilen dürfen,
die im Hinblick auf das hierfür notwendige Fachwissen
überprüft und anschließend förmlich akkreditiert
worden sind. Artikel 43 DSGVO sieht deshalb eine Ak‑
kreditierung von Zertifizierungsstellen als Schnittstelle
zwischen staatlichem und privatem Handeln vor, die
dem Zweck der Konformitätsprüfung und der Qualitäts‑
sicherung dienen soll.
Im Zuge der nationalen Umsetzung des Akkreditie‑
rungsprozesses hat sich auch für die deutschen Daten‑
schutzaufsichtsbehörden ein zentraler neuer Aufga‑
benbereich ergeben. Nach § 39 BDSG soll die Deutsche
Akkreditierungsstelle (DAkkS) die Entscheidung über
eine Akkreditierung im Einvernehmen mit der jeweils
zuständigen Aufsichtsbehörde treffen. Die weiteren
Regelungen dazu sind im Akkreditierungsstellengesetz
(AkkStelleG) festgelegt.
Vor Beginn des eigentlichen Akkreditierungsprozesses
sind gemäß Artikel 57 Absatz 1 Buchstabe p) DSGVO ent‑
sprechende Kriterien für die Akkreditierung festzulegen
und zu veröffentlichen. Auf nationaler Ebene arbeiten
die Datenschutzaufsichtsbehörden des Bundes und der
Länder seit einiger Zeit intensiv an der Entwicklung der
entsprechenden Vorgaben. Diese müssen anschließend
zur Genehmigung an den EDSA übermittelt werden und
sind eng an die Vorgaben der dort bereits verabschiede‑
ten Leitlinien zu Akkreditierung angelehnt.
Der Ablauf des anschließenden Akkreditierungspro‑
zesses kann grob wie folgt skizziert werden (vgl. hierzu
auch Schaubild zu Nr. 15.2.2):
Am Beginn steht die Antragsphase für die Programm‑
prüfung, die zunächst von der DAkkS koordiniert wird,
bei der die zuständige Aufsichtsbehörde bereits die
Information über den Eingang eines Antrags und alle
eingereichten Unterlagen erhält. Das Zertifizierungspro‑
gramm enthält die zentralen Vorgaben für den Zertifi‑
zierungsprozess. Qualitativ hochwertige Zertifizierungs‑
kriterien sind eine fundamentale Voraussetzung für den