|
Vereinheitlichung der Technikregelungen in den Datenschutzgesetzen
Arbeitskreis "Technische und organisatorischen Fragen des Datenschutzes" der Konferenz der Datenschutzbeauftragten des Bundes und der Länder (AK Technik), Sitzung 2./3. März 1999 in Schwerin
Federführung:
|
Jürgen Engels (Die Landesbeauftragte für den Datenschutz von Nordrhein- Westfalen),
Franz-Josef Wesener (Die Landesbeauftragte für den Datenschutz von Nordrhein-Westfalen).
|
Weitere Autoren:
|
Walter Ernestus (Der Bundesbeauftragte für den Datenschutz),
Hanns-Wilhelm Heibey (Berliner Datenschutzbeauftragter),
Dr. Martin Hube (Der Landesbeauftragte für den Datenschutz Niedersachsen),
Uwe Jürgens (Der Landesbeauftragte für den Datenschutz Schleswig-Holstein),
Bernd Raugust (Der Landesbeauftragte für den Datenschutz Sachsen-Anhalt),
Andreas Schurig (Der Landesbeauftragte für den Datenschutz Sachsen),
Wilfried Seiffert (Der Landesbeauftragte für den Datenschutz Niedersachsen),
Andreas Waldenspuhl (Der Landesbeauftragte für den Datenschutz Mecklenburg-Vorpommern),
|
Vereinheitlichung der Technikregelungen in den Datenschutzgesetzen
I. Regelungsziele für technische und organisatorische Maßnahmen zur Datensicherheit im künftigen Datenschutzrecht
Wie die Analyse der Erfahrungsberichte der Mitglieder des AK-Technik ergeben hat, sollten die bisherigen "10 Gebote" ersetzt werden durch allgemeine - auch für konventionelle Verarbeitungsprozesse geltende - technikunabhängige Anforderungen. Die entsprechende Vorschrift sollte inhaltlich die folgenden Punkte aufweisen:
1. Die Ausführung der Vorschriften der Datenschutzgesetze sowie anderer Vorschriften über den Datenschutz ist durch technische und organisatorische Maßnahmen sicherzustellen.
2. Es sind die technischen und organisatorischen Maßnahmen zu treffen, die nach dem Stand der Technik und nach der in einer Risikoanalyse festgestellten Schutzbedürftigkeit geeignet, erforderlich und angemessen sind. Die datenverarbeitenden Stellen haben die Verantwortlichkeiten und Berechtigungen zur Verarbeitung personenbezogener Daten so festzulegen, daß sie den besonderen Anforderungen des Datenschutzes gerecht werden. Sie haben die ordnungsgemäße Verarbeitung zu überwachen.
3. Dabei ist insbesondere zu gewährleisten,
- daß nur Befugte personenbezogene Daten zur Kenntnis nehmen können (Vertraulichkeit),
- daß personenbezogene Daten während der Verarbeitung unverfälscht, vollständig und widerspruchsfrei bleiben (Integrität),
- daß personenbezogene Daten zeitgerecht zur Verfügung stehen und ordnungsgemäß verarbeitet werden können (Verfügbarkeit),
- daß jederzeit personenbezogene Daten ihrem Ursprung zugeordnet werden können (Authentizität),
- daß festgestellt werden kann, wer wann welche personenbezogene Daten in welcher Weise verarbeitet hat (Revisionsfähigkeit),
- daß die Verfahrensweisen bei der Verarbeitung personenbezogener Daten vollständig, aktuell und in einer Weise dokumentiert sind, daß sie in zumutbarer Zeit nachvollzogen werden können (Transparenz).
Begründung zu Abschnitt I:
Die Regelungen zu den technischen und organisatorischen Maßnahmen in den Datenschutzgesetzen stammen aus den 70er Jahren und orientieren sich an der damaligen Technik und Datenverarbeitungsstruktur. Diese Zeit war bestimmt von zentral organisierten Rechenzentren, Telekommunikation und Vernetzungen spielten nur eine untergeordnete Rolle. Die Datensicherheitsüberlegungen waren deshalb geprägt von der Vorstellung einer monolithischen Großrechnerwelt und primär verbunden mit dem Schutz der Rechner, die in hermetisch abgeschlossenen Rechenzentren betrieben wurden. In einer Zeit, in der Datenverarbeitung zunehmend dezentral in weltumspannenden Rechnernetzen betrieben wird, sind solche Regelungen nur noch bedingt oder gar nicht mehr wirksam. Die nachfolgenden Beispiele sollen dies verdeutlichen:
Zugangskontrolle: Unbefugten soll mit dieser Maßnahme der physische Zugang zu Räumen verwehrt werden, in denen sich Datenverarbeitungsanlagen befinden. Heute stehen Rechner aber nicht mehr ausschließlich in besonders gesicherten Räumen eines Rechenzentrums, sondern jede Mitarbeiterin und jeder Mitarbeiter hat einen Personalcomputer auf dem Schreibtisch. Zugangskontrollen der herkömmlichen Art sind damit nicht mehr praktikabel bzw. nicht mehr ausreichend.
Datenträgerkontrolle: Die Datenträgerkontrolle konnte in Zeiten der Großrechner durch die Einrichtung von zentralen Datenträgerarchiven realisiert werden. Heute müssen jedoch Datenträger für eine große Zahl von Nutzerinnen und Nutzern dezentral verfügbar sein. Außerdem sind die verschiedenen Formen der Datenträger weitaus vielfältiger geworden (wie z. B. Festplatten, Disketten, CD-ROMs, Bildplatten, Chipkarten, Bänder usw.). Das Ziel der Regelung, ein unbefugtes Auswerten, Verändern und Entfernen der Daten auf Datenträgern zu verhindern, ist auf dem Wege der konventionellen Datenträgerkontrolle nicht mehr erreichbar.
Speicherkontrolle: Die unbefugte Eingabe von Daten sowie deren Kenntnisnahme, Veränderung und Löschung ist nicht mehr nur über die Konsole im Rechenzentrum möglich und beschränkt sich nicht mehr nur auf Speichermedien als Träger von Daten, sondern ist in einer vernetzten DV-Landschaft von jedem Endgerät aus möglich unter Einbeziehung der verbindenden lokalen Netzwerke (LAN) bzw. der Weitverkehrsnetze (WAN) selbst. Die bisherige Regelung bleibt daher weitgehend wirkungslos.
Benutzerkontrolle: Die Benutzung eines Datenverarbeitungssystems mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte soll hierdurch verhindert werden. Die Nutzung von Mechanismen zur Datenfernübertragung sind heute keine Besonderheit mehr, sondern der Regelfall. Insofern bedarf es keiner Regelung, die dies besonders hervorhebt. Allgemein muß sichergestellt werden, daß die Benutzer eines Datenverarbeitungssystems nur im Rahmen ihrer Berechtigungen personenbezogene Daten verarbeiten können, mit welchen technischen Einrichtungen ist dabei ohne Belang.
Zugriffskontrolle: Die Zugriffskontrolle soll sicherstellen, daß Benutzer ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können. Damit beinhaltet die Zugriffskontrolle die Benutzerkontrolle. Die Benutzerkontrolle ist eine redundante Regelung.
Übermittlungs- und Eingabekontrolle: Mit der Übermittlungskontrolle und der Eingabekontrolle werden zwei Maßnahmen definiert, die beide auf die Revisionsfähigkeit abzielen. Beide Maßnahmen greifen aber zu kurz, da sie nur die Verarbeitungsschritte Eingabe und Übermittlung erfassen. Alle übrigen Phasen der Datenverarbeitung werden nicht berücksichtigt und wären so einer Revision nicht zugänglich.
Die derzeit geltenden Regelungen definieren Sicherheitsmaßnahmen und haben im wesentlichen die technischen Komponenten von Datenverarbeitungsanlagen zum Gegenstand. Dadurch sind sie stark technologieabhängig und müßten ständig neueren Entwicklungen angepaßt werden. Sicherheitsmaßnahmen sind individueller Natur und abhängig von dem Schutzbedarf der zu verarbeitenden Daten, der konkreten Bedrohungslage, dem Stand der Technik, der Architektur der zu betrachtenden DV-Systeme und den Verfahren, die auf diesen Systemen zum Ablauf gebracht werden sollen. Die Festlegung der Maßnahmen, die zur Sicherung eines konkreten Systems erforderlich sind, ist erst das Ergebnis einer individuellen Sicherheitsanalyse auf der Grundlage eines Sicherheitskonzepts und läßt sich nicht in einer gesetzlichen Regelung abschließend definieren.
Nicht zuletzt bedingt durch die rasante Entwicklung der Informationstechnologie vollzieht sich ein Paradigmenwechsel im Datenschutz. Die bisherige primäre Ausrichtung des Schutzes der bei der Datenverarbeitung eingesetzten technischen Komponenten ist heute nicht mehr durchhaltbar, da nicht mehr eine zentral ausgerichtete Datenverarbeitung im Vordergrund steht, sondern dezentralisierte und verteilte Strukturen vernetzter multimedialer Systeme. Heute schwirren die Daten über Datenautobahnen und es existieren vielfältige Möglichkeiten auf diese Datenautobahnen zu gelangen, um an der globalen elektronischen Kommunikation teilzunehmen. Die möglichen Formen der Datenverarbeitung von morgen sind nicht absehbar. Die Innovationszyklen in der Informationstechnologie werden immer kürzer, Entwicklungen immer dynamischer und die Technik immer komplexer.
Damit erhält der Datenschutz eine neue Qualität. Datenschutz ist nicht nur an technischen Anlagen festzumachen, sondern auch - im eigentlichen Sinne des Wortes - an den Daten selbst. Attribute wie vertraulich, integer und authentisch sind als Eigenschaften der Daten anzusehen, die unabhängig vom aktuellen Aufenthaltsort der Daten, der Art und dem Stadium ihrer Verarbeitung und den technischen Verarbeitungskomponenten gesichert werden müssen.
Daraus resultiert, daß für die Formulierung neuer Regelungen methodisch ein anderer Ansatz zu wählen ist. Es werden nicht mehr an der Technik orientierte Sicherheitsmaßnahmen, sondern auf einem abstrakteren Niveau primär an den Daten ausgerichtete Sicherheitsziele definiert.
Damit wird folgendes erreicht:
Die verwendeten Begrifflichkeiten entsprechen denen, die in der einschlägigen Sicherheitsliteratur verwendet werden. Auch die EU-Datenschutzrichtlinie bedient sich dieser Begriffe.
Datenschutzkontrollinstanzen und die am Sicherheitsprozeß beteiligten Akteure (Entwicklungsingenieure, Softwarespezialisten, Sicherheitsexperten, Systembetreiber, Revisoren) sprechen die "gleiche" Sprache.
Die Sicherheitsziele sind technologieunabhängig und bilden einen allgemeingültigen Sicherheitsrahmen, der umfassend ist und auch bei neuen Formen der Datenverarbeitung Bestand haben wird. Die genannten Ziele haben sich in Forschung und Praxis als stabil erwiesen.
Das "Füllen" des Sicherheitsrahmens mit konkreten Maßnahmen erfolgt auf der Grundlage von Risikoanalysen. Hierzu können die gängigen Methoden (z. B. die des Bundesamtes für Sicherheit in der Informationstechnik) verwendet werden, da die definierten Sicherheitsziele mit diesen konform sind.
Die Ziele definieren eine "Meßlatte", an der die Sicherheit eines DV-Systems abgelesen werden kann.
Die vorgeschlagenen Regelungen führen zu mehr Rechtssicherheit, da sie Anforderungen definieren, die im Bereich der IT-Sicherheit "verstanden" werden, in der Praxis anwendbar sind, für jede Form der Datenverarbeitung und jede technische Architektur Gültigkeit haben und einer methodischen Vorgehensweise bei ihrer Umsetzung zugänglich sind.
Die Regelungen stellen die Kontrollierbarkeit der DV-Systeme sicher, da die zu treffenden Sicherheitsmaßnahmen im Sicherheitskonzept dokumentiert sind und damit überprüfbar werden.
Da sich in der Praxis erwiesen hat, daß vor allem aufgrund von nicht ausreichender Dokumentation die Verfahren oft weder von den mit der Datenverarbeitung befaßten Personen noch von den Kontrolleuren ausreichend nachvollzogen und damit auch den Betroffenen nicht verständlich gemacht werden können, wird der Begriff der "Transparenz" als neue Anforderung eingeführt.
Ein häufiger Mangel, der bei Kontrollen festgestellt wird, ist die unzureichende nachträgliche Feststellbarkeit einzelner Datenverarbeitungsvorgänge insbesondere mangels ausreichender Protokollierung. Dieser Mißstand führt häufig dazu, daß Ursachen und Verantwortliche nicht ermittelt werden konnten. Um dem entgegenzuwirken, wird die Forderung nach "Revisionsfähigkeit" erhoben.
II. Besondere Maßnahmen zur Datensicherheit beim Einsatz automatisierter Verfahren
Die Anforderungen nach Abschnitt I sollten speziell für automatisierte Verfahren gesetzlich, gegebenenfalls auf Verordnungsebene wie folgt konkretisiert werden:
- Der Einsatz automatisierter Verfahren zur Verarbeitung personenbezogener Daten ist von vorherigen systematischen Tests und von einer Freigabe der datenverarbeitenden Stelle abhängig zu machen. Die Verarbeitung personenbezogener Daten in nicht freigegebenen Verfahren ist zu unterbinden.
- Das Anlegen personenbezogener Datenbestände muß einer Genehmigungspflicht durch Personen unterliegen, denen von der datenverarbeitenden Stelle hierzu die Befugnis erteilt worden ist. Für ungenehmigte Datenbestände muß eine Pflicht zur unverzüglichen Löschung bzw. Sperrung bestehen. Deshalb bedarf es einer gesetzlichen Pflicht zur Dokumentation der Datenprofile und Speicherorte.
- Es sind Mindestanforderungen an die Dokumentation automatisierter Verfahren festzulegen. Zur Dokumentation automatisierter Verfahren müssen Schutzkonzepte einschließlich Risikoanalysen gehören.
- Bei Speicherung personenbezogener Daten ausschließlich in automatisierten Dateien und bei automatisierten Datenübermittlungen müssen Protokolle vorliegen, die die Revisionsfähigkeit nach I Nr. 3 Spiegelstrich 5 sicherstellen.
- Bei der Verarbeitung personenbezogener Daten auf Systemen und Datenträgern, die besonderen Gefährdungen unterliegen, z. B. mobiler Einsatz, Transport von Datenträgern, Datenübermittlungen, sind geeignete kryptographische Verfahren zu verwenden.
- Zu Testzwecken dürfen personenbezogene Daten nicht verwendet werden.
- Die Datenverarbeitung soll so organisiert sein, daß bei der Verarbeitung, insbesondere der Übermittlung, der Kenntnisnahme im Rahmen der Aufgabenerfüllung und der Einsichtnahme, die Trennung der Daten nach den jeweils verfolgten Zwecken und nach unterschiedlichen Betroffenen möglich ist.
- Die datenverarbeitenden Stellen müssen verpflichtet werden, nur bestimmten und hinreichend qualifizierten Mitarbeitern die Genehmigung zur Systemadministration zu erteilen. Die übrigen Mitarbeiter sind durch technische und organisatorische Maßnahmen daran zu hindern, diese Funktion auszuüben. Administrationstätigkeiten sind zu protokollieren oder anderweitig zu überwachen.
- Automatisierte Verfahren sind so zu gestalten, daß sie eine Verarbeitung personenbezogener Daten erst ermöglichen, nachdem die Berechtigung der Benutzenden festgestellt worden ist.
- Automatisierte Verfahren sind technisch und organisatorisch so zu gestalten, daß Betroffene ihre Ansprüche effektiv geltend machen können.
Begründung zu Abschnitt II:
Zu II 1:
Da das Datenschutzrecht offenbar auch in Zukunft von der Maxime ausgehen wird, daß allen Datenverarbeitungsprozessen eine hinreichend bestimmte rechtliche Befugnis zugrunde liegen muß (vgl. z. B. Erwägungsgründe 10, 11 und 30 und Art. 6 und 7 der EU-Datenschutzrichtlinie), bedürfen die Verarbeitungsregeln bzw. -verfahren (die Software) ausnahmslos der Freigabe durch eine hierfür zuständige Behörde bzw. Person. Dies bedeutet im Umkehrschluß, daß der Einsatz nicht freigegebener automatisierter Verfahren durch technische und organisatorische Maßnahmen unterbunden werden muß. Die hierfür erforderliche Aufbau- und Ablauforganisation ist in der Host-Welt nach einer fast 20jährigen Entwicklungsphase "Stand der Technik". In der PC-Welt fehlen äquivalente Methoden. Gleichwohl findet in der Praxis mehr und mehr automatisiertes Verwaltungshandeln in einer systemtechnischen Umgebung statt, die für die individuelle Datenverarbeitung geschaffen worden ist. An die Stelle systematischer Tests tritt zunehmend das "Prinzip Hoffnung". Die Richtigkeit und Rechtmäßigkeit der Ergebnisse wird eher empirisch als systematisch ermittelt. Man unterstellt die Richtigkeit der Ergebnisse solange, bis das Gegenteil bewiesen wird. Dies kann insbesondere bei automatisierten Datenübermittlungen Folgen haben, die nicht rückgängig gemacht werden können.
Zu II 2:
Die Anzahl der Datenbestände steigt in noch stärkerem Maße als die der Datenverarbeitungssysteme. Bei den derzeit praktizierten Organisationsformen kann jeder Benutzer de facto unbegrenzt viele Datenbestände anlegen, ohne daß die datenverarbeitende Stelle (Behördenleitung) "etwas davon merkt". Der sogenannte Infrastruktur-Ansatz bei der Hardware- und Software-Ausstattung hat dazu geführt, daß die weit überwiegende Mehrzahl der Arbeitsplätze mit einer Standard-Bürokommunikationssoftware ausgestattet ist. Die Produkte "Texteditor", "Tabellenkalkulation", "Datenbankgenerator" und "Mailing" sind bewußt so konzipiert, daß individuelle Datenbestände problemlos erzeugt, kopiert und transportiert (importiert und exportiert) werden können. Zugriffsbefugnisse werden nicht mehr durch das Behördenmanagement, sondern durch den "Eigentümer" (diejenigen, die die Datenbestände erzeugt haben) vergeben. Vielfältige Duplizierungen lassen nicht mehr erkennen, welches der Original-Datenbestand und welches eine (Teil-)Kopie ist. Damit entfällt auch die "Aktualitätsgewähr". Letztlich ist nicht mehr erkennbar, welchen Verbindlichkeitsgrad die Daten haben und ob ihnen revisionsfähige Dokumente zugrunde liegen.
Zu II 3 und 4:
Eine der wesentlichen Ursachen für die immer wieder beklagte Softwarekrise liegt in der fehlenden Revisionsfähigkeit aufgrund unzureichender Dokumentationen und Protokollierungen. Die extremen Probleme im Zusammenhang mit dem "Jahr 2000" haben dies erneut deutlich gemacht. Solange in der Verwaltung alle wesentlichen Aktivitäten auf der Basis von papierenen Unterlagen und Akten nachgewiesen wurden, hat man das Problem der EDV-Dokumentation und der Protokollierung automatisierter Abläufe verdrängen können. In dem Maße, wie die personenbezogene Datenverarbeitung ausschließlich in automatisierter Form abgewickelt wird, gewinnen diese Probleme auch unter sicherheitstechnischen Aspekten an Bedeutung. Bereits heute müßten die Revisionsinstanzen (Rechnungsprüfung, interne Revision, Datenschutzbeauftragte) in weiten Bereichen ihren Prüfungsauftrag eigentlich mit der Begründung zurückgeben, daß eine Nachvollziehbarkeit zurückliegender Verarbeitungsprozesse mangels Dokumentation und Protokollierung nicht mit dem erforderlichen Maß an Genauigkeit gegeben ist. Es ist der Zeitpunkt abzusehen, zu dem die Kontrollstellenfunktion nach Art. 28 der EU-Datenschutzrichtlinie faktisch nicht mehr wahrgenommen werden kann.
Die Kontrollpraxis lehrt, daß bei der Auswahl und Implementation von Datensicherheitsmaßnahmen oft kein methodischer Ansatz gewählt wird. Technische Mittel und auch organisatorische Vorgaben werden ad hoc festgelegt. Um dieses Defizit zu beseitigen, wird die Erstellung eines Sicherheitskonzeptes vorgeschrieben. Es dient zum "Füllen" des durch die Anforderungen der genannten Datensicherheitsziele vorgegebenen Sicherheitsrahmens mit konkreten Maßnahmen. Dafür sind die Schutzbedürftigkeit der Daten zu ermitteln, eine Bedrohungsanalyse vorzunehmen und eine Risikoabschätzung durchzuführen. Die Überlegungen dazu sind in dem Sicherheitskonzept zu dokumentieren.
Zu II 5:
In verschiedenen Einsatzfällen, wie bei der Datenübertragung über "unsichere" Netze oder beim Transport von Datenträgern können personenbezogene Daten unbefugt verändert, unterdrückt oder kopiert werden, ohne daß die verantwortliche Stelle dies bemerkt. Auch beim Einsatz mobiler Technik wie Laptop-/Notebook-Computer oder auch Chipkarten sind diese Risiken vorhanden. Ferner muß bei stationär betriebenen Datenverarbeitungssystemen oft festgestellt werden, daß Geräte oder/und Datenträger infolge mangelnder Zugangssicherung gestohlen werden oder unbefugten Zugriffen ausgesetzt sind. Um diesen Risiken zu begegnen, sind kryptographische Verfahren besonders geeignet. Mit Hilfe dieser modernen Technologie können sowohl das unbefugte Nutzen von personenbezogenen Daten verhindert als auch unerlaubte Änderungen an personenbezogenen Daten erkannt werden. Im Hinblick auf die zur Zeit und künftig verfügbaren Verarbeitungsgeschwindigkeiten von Prozessoren sind Performance-Probleme nicht mehr zu befürchten.
Zu II 6:
Werden Echtdaten zu Testzwecken eingesetzt, bestehen Gefahren für Vertraulichkeit, Integrität und Verfügbarkeit der Daten. Da diese Risiken schwer abschätzbar sind und es in der Testphase kaum möglich ist, sinnvolle Gegenmaßnahmen gegen alle oben genannten Gefährdungen zu ergreifen, ist der Testbetrieb mit personenbezogenen Daten grundsätzlich verboten. In der Regel verstoßen solche Tests gegen die in den Datenschutzgesetzen enthaltenen Vorschriften zur Zweckbindung.
Zu II 7:
Die Trennung der Daten nach Betroffenen und nach unterschiedlichen Erforderlichkeiten ist Voraussetzung, um dem Grundsatz der Zweckbindung gerecht zu werden und um die im europäischen Recht immer weiter verbreiteten allgemeinen Informationsrechte (Datenöffentlichkeit) ohne unzumutbaren Aufwand zu realisieren.
Zu II 8:
Die Anzahl der Datenverarbeitungssysteme hat sich mit der Abkehr von den Host-Konzepten zu den Client-Server-Architekturen vertausendfacht. Der Trend hält an, in einigen Behörden werden bereits auf Abteilungsebene gleich mehrere Server betrieben; auch kleine und kleinste Verwaltungseinheiten organisieren ihre automatisierte Datenverarbeitung mittels vernetzter PC selbst. Damit ist die zunächst wenigen Spezialisten vorbehaltene, sicherheitstechnisch äußerst sensible Aufgabenstellung der "Systemadministration" auf eine unübersehbare Anzahl von in der Regel nicht adäquat ausgebildeten Mitarbeitern übergegangen. Teilweise administrieren die Benutzer ihre Systeme selbst; ihr in der Regel privat erworbenes Wissen kann von der Behördenleitung mangels entsprechend ausgebildeter Vorgesetzter nicht verifiziert werden. Es sind dadurch revisionsfreie Räume entstanden.
Zu II 9:
Voraussetzung zum Betrieb sicherer, datenschutzgerechter Systeme ist die Identifikation und Authentifikation von Nutzern. Ohne sie sind die Datensicherheitsziele sowie die weitergehenden Forderungen beispielsweise nach Protokollierung und Verschlüsselung nicht umsetzbar.
Zu II 10:
Die Forderung ist Ausfluß des Transparenzgebotes, insbesondere der Pflicht zur Außentransparenz. Es ist das datenschutztechnische Pendant zu den in den Datenschutzgesetzten verankerten materiell-rechtlichen Ansprüchen der Betroffenen insbesondere auf Auskunft, Löschung, Sperrung und Berichtigung.
III. Regelungen für spezielle technische Systeme
Für technische Systeme, von denen - unabhängig von der Art der verarbeitenden personenbezogenen Daten - eine besondere Gefahr für das informationelle Selbstbestimmungsrecht ausgeht, sind spezifizierte Sicherheitsmaßnahmen normativ festzulegen. Das kommt für die nachfolgenden Systeme in Betracht:
1. Mobile Datenverarbeitungssysteme
- Informationstechnische Systeme zum Einsatz in automatisierten Verfahren, die an die Betroffenen ausgegeben werden, und die über eine von der ausgebenden Stelle oder Dritten bereitgestellte Schnittstelle Daten automatisiert austauschen können (mobile Datenverarbeitungssysteme), dürfen nur mit der Einwilligung der Betroffenen oder aufgrund einer Rechtsvorschrift eingesetzt werden.
- Es muß für die Betroffenen jederzeit erkennbar sein, ob Datenverarbeitungsvorgänge stattfinden, welche Daten dabei verarbeitet werden und welcher Verarbeitungsvorgang im einzelnen abläuft. Auskünfte sind auf Wunsch schriftlich zu erteilen.
- Die Aufklärung über die Rechte der Betroffenen hat nicht erst bei dem ersten Datenverarbeitungsvorgang mit oder auf dem System, sondern bereits bei Ausgabe des Systems bzw. bei Änderung des Verfahrens zu erfolgen.
- Die das Verfahren betreibende Stelle ist als verantwortliche Stelle zu benennen.
Begründung zu III 1:
Die vorgeschlagene Regelung zielt darauf ab, die Rechte der Betroffenen auch unter den Bedingungen des Einsatzes mobiler Datenverarbeitungssysteme zu gewährleisten. Mit dem Begriff "mobile Datenverarbeitungssysteme" werden nach dem heutigen Stand der Technik vor allem Chipkarten erfaßt. Allerdings sind schon Entwicklungen absehbar, bei denen der Chip nicht länger in Form einer Karte angewandt wird. Auch ist der Chip keine zwingende Voraussetzung für mobile Speichertechniken. Aus diesem Grund kann nicht einfach auf den Begriff Chipkarte abgestellt werden. Es ist vielmehr erforderlich, zur Regelung der Phänomene, die erfaßt werden sollen, eine Legaldefinition vorzunehmen. Wesensmerkmale dieser Phänomene sind:
- Die Systeme werden von einer Stelle an die Betroffenen ausgegeben.
- Es existieren Schnittstellen, die von den ausgebenden Stellen oder von Dritten bereitgestellt werden.
- Über diese Schnittstellen können Daten automatisiert ausgetauscht werden; dazu gehört auch, daß durch den Datenaustausch Datenverarbeitungsprozesse auf den mobilen oder den stationären Systemen angestoßen werden.
Derartige Systeme bringen besondere Gefährdungen für die Rechte der Betroffenen mit sich. Ihnen ist es regelmäßig nicht möglich, selbst festzustellen, was in den Datenverarbeitungs-systemen gespeichert wird. Bereits heute existieren Anwendungen, bei denen die Betroffenen nicht bemerken können, daß ein Datenaustausch zwischen den mobilen Systemen und einer anderen Schnittstelle stattfindet (z. B. kontaktlose Chipkarten). Aufgrund dieser Gefährdungslage sind besondere Schutzvorschriften erforderlich.
Darüber hinaus ist bei mobilen Verarbeitungssystemen die mangelnde Transparenz für die Betroffenen besonders gefährlich. Daher hat die ausgebende Stelle ein Höchstmaß an Transparenz sicherzustellen. Damit haben die Betroffenen auch einen Anspruch darauf, daß ihnen die entsprechenden Auskünfte auf Wunsch in Papierform erteilt werden. Sofern zur Wahrnehmung der Auskunftsrechte besondere Geräte oder Einrichtungen erforderlich sind, hat die ausgebende Stelle dafür Sorge zu tragen, daß diese in angemessenem Umfang zur Verfügung stehen.
2. Optisch-elektronische Überwachung und Aufzeichnung
- Die Beobachtung öffentlich zugänglicher Räume mit optisch-elektronischen Einrichtungen zur Personenerkennung ist zulässig, soweit dies zur Aufgabenerfüllung oder zur Wahrnehmung des Hausrechts erforderlich ist und keine Anhaltspunkte bestehen, daß schutzwürdige Interessen Betroffener überwiegen. Die Tatsache der Beobachtung ist durch geeignete Maßnahmen erkennbar zu machen.
- Die Speicherung von nach Absatz 1 Satz 1 gewonnenen Daten ist zulässig, wenn dies zur Erreichung der verfolgten Zwecke unverzichtbar ist. Die Tatsache der Speicherung ist durch geeignete Maßnahmen erkennbar zu machen.
Begründung zu III 2:
Der Einsatz optisch-elektronischer Überwachungs- und Aufzeichnungstechnik, etwa Videotechnik, hat auch im öffentlichen Bereich erheblich zugenommen. Soweit nicht bereichsspezifisch geregelt, fehlt es an entsprechenden Datenschutzvorschriften. Die vorgeschlagene Regelung stellt Rechtsklarheit darüber her, unter welchen Voraussetzungen optisch-elektronische Überwachungs- und Aufzeichnungstechnik zulässig ist und ggf. für welche Zwecke gespeicherte Aufnahmen genutzt werden dürfen. Insbesondere wird klargestellt, daß die betroffenen Personen ausdrücklich auf die Beobachtung und Speicherung hinzuweisen sind.
3. Wartung
- Wartung sind alle Maßnahmen zur Sicherstellung der Verfügbarkeit und Integrität von Datenverarbeitungssystemen.
- Datenverarbeitungssysteme sind grundsätzlich so zu gestalten, daß bei ihrer Wartung nicht auf personenbezogene Daten zugegriffen werden kann. Sofern dies nicht gewährleistet ist, hat die Daten verarbeitende Stelle durch technische und organisatorische Maßnahmen sicherzustellen, daß nur auf die für die Wartung unbedingt erforderlichen personenbezogenen Daten zugegriffen werden kann.
- Die Maßnahmen haben insbesondere folgende Anforderungen zu erfüllen:
Es ist sicherzustellen, daß
- nur dafür autorisiertes Personal die Wartung vornimmt,
- jeder Wartungsvorgang nur mit Wissen und Wollen der speichernden Stelle erfolgen kann,
- Dateien mit personenbezogenen Daten im Rahmen der Wartung nicht unbefugt entfernt oder übertragen werden,
- alle Wartungsvorgänge während der Durchführung kontrolliert und nach der Durchführung nachvollzogen werden können,
- bei der Wartung keine Programme unbefugt aufgerufen werden können, die für die Wartung nicht benötigt werden,
- bei der Wartung Datenverarbeitungsprogramme nicht unbefugt verändert werden können.
- Eine Wartung durch andere Stellen darf nur aufgrund schriftlicher Vereinbarungen erfolgen. Darin sind die im Rahmen der Wartung notwendigen technischen und organisatorischen Maßnahmen festzulegen. Die mit den Wartungsarbeiten betrauten Personen sind zur Wahrung des Datengeheimnisses zu verpflichten.
- Wenn bei der Wartung nur auf verschlüsselte, anonymisierte oder pseudonymisierte Daten zugegriffen werden kann, so daß der mit der Wartung betrauten Stelle eine Reidentifizierung von Betroffenen nicht möglich ist, so sind nur Maßnahmen nach Absatz 4 Satz 1 und 2 zu treffen. Ein Zugriff darf nur zweckgebunden erfolgen.
Begründung zu III 3:
Wartung, auch die für die Vertraulichkeit und Integrität besonders risikoreiche Fernwartung über Datenfernverarbeitungseinrichtungen, wurde bisher als Datenverarbeitung im Auftrag behandelt, obwohl die dafür geltenden Merkmale nicht voll erfüllt werden. So werden bei der Wartung normalerweise keine personenbezogenen Daten benötigt, ihre Offenbarung kann jedoch im Störungsfall unvermeidbar sein. Die Nutzung personenbezogener Daten ist nicht Gegenstand des Wartungsauftrages, sondern muß im Einzelfall hingenommen werden. Aus diesem Grunde wird die Offenbarung personenbezogener Daten bei der Wartung hier neben Übermittlung und Überlassung zur Auftragsdatenverarbeitung in einer dritten Fallgestaltung behandelt.
Absatz 1 definiert den Begriff "Wartung". Danach gehören zur Wartung auch die Installation, Pflege, Überprüfung und Korrektur der Software sowie Überprüfung und Reparatur oder Austausch von Hardware.
Absatz 2 verlangt, alle Möglichkeiten auszuschöpfen, daß bei der Wartung und Fernwartung auf die Offenbarung personenbezogener Daten verzichtet werden kann. Dies bedeutet auch, daß bei der Auswahl von Wartungs-, insbesondere von Fernwartungskonzepten jenen der Vorzug zu geben ist, die den Zugriff auf personenbezogene Daten ausschließen oder zumindest minimieren. Da dies nicht in jedem Fall möglich ist, ist der Zugriff auf personenbezogene Daten seitens der Daten verarbeitenden Stelle auf das erforderliche Maß zu beschränken.
In Absatz 3 werden konkrete Maßnahmen vorgegeben, die bei einer Wartung wirksam werden müssen. Diese Maßnahmen decken sich mit den Anforderungen aus der veröffentlichten Orientierungshilfe der Datenschutzbeauftragten des Bundes und der Länder. Sie sollen insbesondere die notwendige Sicherheit bei der Fernwartung ermöglichen.
Absatz 4 verlangt die vertragliche Absicherung der Wartung und der dabei zu treffenden Maßnahmen. Mit der Verpflichtung auf das Datengeheimnis wird auch eine strafrechtliche Verantwortlichkeit vorgegeben.
Absatz 5 privilegiert die Wartung von Systemen, an deren Wartungsschnittstelle nur ausreichend verschlüsselte, anonymisierte oder pseudonymisierte personenbezogene Daten auftreten können. Diese Eigenschaft der Daten führt zu keinen Einschränkungen der Wartung, wohl aber zu einer entscheidenden Sicherung der Vertraulichkeit dieser Daten.
4. Fernmeß- und Fernwirkdienste
- Öffentliche Stellen dürfen in Wohnungen oder Geschäftsräumen ferngesteuerte Messungen vornehmen (Fernmeßdienste) oder mittels einer Übertragungseinrichtung andere Wirkungen auslösen (Fernwirkdienste), wenn der Betroffene eingewilligt hat und für ihn erkennbar ist, wann ein Dienst in Anspruch genommen wird und welcher Art der Dienst ist. Die Einwilligung kann jederzeit widerrufen werden. Das Abschalten eines Dienstes durch den Betroffenen gilt im Zweifel als Widerruf der Einwilligung.
- Die Erbringung einer Leistung sowie der Abschluß oder die Abwicklung eines Vertragsverhältnisses dürfen nicht von der Einwilligung nach Absatz 1 abhängig gemacht werden. Verweigert oder widerruft der Betroffene seine Einwilligung, so dürfen ihm daraus keine Nachteile entstehen, die über die nachweisbaren Mehrkosten einer anderen Art der Datenerhebung hinausgehen.
Begründung zu III 4:
Angesichts der stark zunehmenden Nutzung von Techniken zum Fernmessen und Fernwirken auch im öffentlichen Bereich und der Schwierigkeit, auf dieses Phänomen die allgemeinen Vorschriften anzuwenden, ist es nötig, spezielle Regelungen zu treffen.
Bereits aus den allgemeinen Vorschriften über die Unterrichtung bei der Einholung der Einwilligung und bei der Datenerhebung ergibt sich, daß der Betroffene vollständig über Verwendungszweck, Art, Umfang und Zeitraum des Einsatzes des Fernmeßdienstes zu unterrichten ist. Entsprechendes gilt für Fernwirkdienste. Auch auf eine besondere Vorschrift zur Zweckbindung konnte verzichtet werden, da insoweit die allgemeine Vorschrift nach § ? Platz greift.
Satz 1 in Absatz 1 definiert die Dienste und macht ihren Einsatz von der Einwilligung des Betroffenen und der Erkennbarkeit ihrer Anspruchnahme abhängig. Dadurch wird dem Transparenzgebot Rechnung getragen und der Betroffene von einer ungewollten Erfassung seiner Daten geschützt. Die Sätze 2 und 3 ermöglichen dem Betroffenen einen jederzeitigen Ausstieg aus der telemetrischen Datenverarbeitung.
Durch Absatz 2 soll verhindert werden, daß der Betroffene aus wirtschaftlichen Gründen gezwungen ist, diese Dienste in Anspruch zu nehmen oder von einem Ausstieg aus ihrer Nutzung abzusehen.
5. Elektronische Einwilligung
Eine Einwilligung kann auch elektronisch erklärt werden, wenn sichergestellt ist, daß
- sie nur durch eine eindeutige und bewußte Handlung des Betroffenen erfolgen kann,
- sie nicht unerkennbar verändert werden kann,
- sie ihrem Urheber zugeordnet werden kann und
- die Einwilligung bei der verarbeitenden Stelle protokolliert wird.
Begründung zu III 5:
Informationen zwischen Bürgern und Verwaltung werden zukünftig auch elektronisch ausgetauscht werden. Wie im Teledienste- und Medienrecht sollte in den allgemeinen Datenschutzgesetzen die Möglichkeit vorgesehen werden, die datenschutzrechtliche Einwilligung statt in der grundsätzlich vorgeschriebenen Schriftform nach Wunsch auch elektronisch abzugeben. Eine notwendige Voraussetzung ist die digitale Signatur nach dem Signaturgesetz.
IV. Begriffsdefinitionen
1. Anonymisieren
Anonymisieren ist das Verändern personenbezogener Daten derart, daß Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig hohen Aufwand einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.
2. Pseudonymisieren
Pseudonymisieren ist das Verändern personenbezogener Daten durch eine Zuordnungsvorschrift derart, daß die Einzelangaben über persönliche oder sachliche Verhältnisse ohne Kenntnis oder Nutzung der Zuordnungsvorschrift nicht mehr einer natürlichen Person zugeordnet werden können.
3. Verschlüsseln
Verschlüsseln ist die Transformation von Daten in eine Darstellung, die ohne Kenntnis des Schlüssels und ohne unverhältnismäßig hohen Aufwand keine Rückschlüsse auf die ursprünglichen Daten erlaubt.
4. Hinweise zu weiteren Begriffsbestimmungen
Die Arbeitsgruppe hat sich mit der Frage beschäftigt, ob die Begriffe
- automatisierte Verfahren und
- Veröffentlichung
in den Datenschutzgesetzen zu definieren sind. Die Arbeitsgruppe hat davon abgesehen, weil keine Regelungsnotwendigkeit bzw. kein vorrangig technischer Schwerpunkt erkennbar waren.
V. Grundsätze
1. Datensparsamkeit
- Die Gestaltung von Verfahren und die Auswahl von informationstechnischen Produkten zum Einsatz in automatisierten Verfahren hat sich am Grundsatz größtmöglicher Datensparsamkeit zu orientieren.
- Verfahren sollen so gestaltet werden, daß personenbezogene Daten so weitgehend und früh wie möglich anonymisiert oder, falls dies nicht möglich ist, pseudonymisiert werden.
Begründung zu V 1:
Das Prinzip der Datensparsamkeit läßt sich wie folgt vom Grundsatz der Erforderlichkeit abgrenzen: Während die Erforderlichkeit als rechtliche Anforderung den Umfang der Datenverarbeitung in jedem Einzelfall beschränkt, sind die Regelungen zur Datensparsamkeit vor allem als Gestaltungsanforderungen für IT-Systeme zu verstehen, die auch mehreren unterschiedlichen Aufgaben dienen können. Im Rahmen der Deregulierung wird die Tendenz zu "offen" formulierten Generalklauseln vermutlich zunehmen. Gerade aber dort, wo die Art der zu verarbeitenden personenbezogenen Daten im Gesetz, in der Verordnung oder in der Satzung nicht explizit festgelegt ist, hat der Grundsatz der Datensparsamkeit bei der Gestaltung von Verfahren und bei der Auswahl von Produkten besondere Bedeutung. Schließlich soll er auch bewirken, daß zeitgerechte Datenlöschungen nicht durch "systembedingte" Speicherungen unterlaufen werden. Ein Beispiel für ein System, das diesen Anforderungen nicht entspricht, sind solche Datenträger, bei denen die sequentielle Löschung einzelner nicht mehr erforderlicher Daten nicht möglich ist (z. B. CD-ROM). Ein positives Beispiel sind Abrechnungssysteme, die die Bezahlung der Nutzung kostenpflichtiger öffentlicher Einrichtungen auch ohne namentliche Erfassung des Zahlungspflichtigen ermöglichen (z. B. Prepaid-Verfahren). Wichtigster Anwendungsbereich wird die Beschaffung von IT-Systemen sein. Die Vorschrift versteht sich auch als ein Signal an die Anbieter, daß sie künftig mit entsprechenden Anforderungen von öffentlich-rechtlichen Kunden rechnen müssen.
2. Hinweise zu weiteren Grundsätzen
Die Arbeitsgruppe hat sich mit den Themen Datenschutz-Audit und Vorabkontrolle beschäftigt und ist zu der Auffassung gelangt, daß hierzu keine Regelungsnotwendigkeit besteht bzw. kein vorrangig technischer Schwerpunkt erkennbar ist.
|