Johann Bizer

Modernisierung des Datenschutzes: Vier Säulen des Datenschutzes

ZusammenfassungAuf Einladung des Innenausschusses des Deutschen Bundestages fand am 5. März 2007 eine öffentliche Anhörung zum Thema der Modernisierung des Datenschutzes statt. Gegenstand waren Entschließungsanträge der Fraktionen der FDP sowie von Bündnis90/Die Grünen zum Datenschutzaudit sowie zum Scoring und zu Auskunftspflichten bei Datenschutzpannen. Stellung genommen hat für das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein Johann Bizer. Das ULD ermöglicht bereits heute die Zertifizierung von Gütesiegeln und Auditverfahren.

Datenschutz in die Prozesse

Die Gewahrleistung der informationellen Selbstbestimmung in Verwaltung und Wirtschaft ist kein Selbstzweck, sondern von Verfassungsund Gesetzes wegen Rechtspflicht der Daten verarbeitenden Stellen. Verfassungsrechtlich ist der Staat verpflichtet, die informationelle Selbstbestimmung seiner Burger zu schutzen und zu fordern. Im Rechtstaat kommt der Gesetzgeber dieser Verpflichtung mit Hilfe gesetzlicher Regelungen nach, in denen er den Betroffenen Rechte auf ihre informationelle Selbstbestimmung einraumt, den Daten verarbeitenden Stellen Pflichten auferlegt und fur wirksame Kontrollmechanismen sorgt. Mit den Datenschutzprinzipien der Verantwortlichkeit, Zweckbindung, Erforderlichkeit, Transparenz, Datensicherheit und Kontrolle lassen sich die masgeblichen Datenschutzprinzipien zusammenfassen.

Elektronische Ummeldung des Kfz

ZusammenfassungDie elektronische Unterstützung des Prozesses der An- und Ummeldung von Kraftfahrzeugen (KfZ) zählt für die Deutschland-Online-Initiative von Bund und Länder zu den herausgehobenen Projekten. 3,15 Mio. Neuzulassungen und 7,11 Mio. Besitzumschreibungen bei den Privat-Kfz im Jahr 2007 deuten auf ein Massenverfahren mit einem Rationalisierungspotenzial hin.

Datensicherheit im eGovernment

Die Bürgerinnen und Bürger erwarten, dass ihre Daten von der öffentlichen Verwaltung und ihren IT-Dienstleistern sicher und regelkonform verarbeitet werden. Für die elektronische Datenverarbeitung gilt nichts anderes als für die Papierakte auch: Zu lesen bekommt sie nur, wer im Rahmen seiner Zuständigkeit mit dem Vorgang befasst ist. Die Akte liegt nicht ungesichert herum und gehört nach Dienstschluss in den verschlossen Aktenschrank. Während die Papierakte aber physisch zu greifen und damit auch zu schützen ist, sind die elektronischen Daten flüchtig: Wer den Bildschirm ausschaltet, hat die Akte noch nicht verschlossen.

Betriebliches bzw. Behördliches Eingliederungsmanagement

Arbeitgeber sind nach § 84 Abs. 2 SGB IX zu einem betrieblichen Eingliederungsmanagement verpflichtet, wenn „Beschäftigte innerhalb eines Jahres länger als sechs Wochen ununterbrochen oder wiederholt arbeitsunfähig“ sind. Aufgabe des betrieblichen Eingliederungsmanagements ist die Klärung, „wie die Arbeitsunfähigkeit möglichst überwunden werden und mit welchen Leistungen oder Hilfen erneuter Arbeitsunfähigkeit vorgebeugt und der Arbeitsplatz erhalten werden kann“. Zu klären ist also wie die Arbeitsunfähigkeit überwunden und damit Fehlzeiten verringert werden können, mit welchen Hilfen und Leistungen einer erneuten Arbeitsunfähigkeit vorgebeugt werden kann und wie der Arbeitsplatz erhalten, die Fähigkeiten des Arbeitnehmers weiter genutzt und eine erhöhte Einsatzfähigkeit und Produktivität sichergestellt werden können. Die Verpflichtung zum Eingliederungsmanagement gilt für private und öffentliche Arbeitgeber gleichermaßen, so dass von einem betrieblichen bzw. behördlichen Eingliederungsmanagement zu sprechen ist. Das Eingliederungsmanagement beschränkt sich nicht nur auf behinderte und schwerbehinderte Beschäftigte, sondern gilt gleichermaßen auch für nichtbehinderte Beschäftigte.

Modernisierung des Datenschutzes

Fur den 5. Marz 2007 hatte der Innenausschuss des Deutschen Bundestages zu einer offentlichen Anhorung zum Thema Modernisierung des Datenschutzes eingeladen. Weitere Fragenkreise waren das Datenschutzaudit, Scoring und die Meldepflicht von Datenschutzpannen durch die verantwortliche Organisation. Die Beitrage der meisten der geladenen Sachverstandigen sind in diesem Heft dokumentiert. Ist die Modernisierung des Datenschutzes ein aktuelles Thema der Politik? Mein Eindruck ist negativ: Weder ist die Umsetzung des Gutachtens von Rosnagel/Pfitzmann/Garstka aus dem Jahr 2001 fur die Abgeordneten ein Thema noch scheinen die weiteren Vorschlage zur Vereinfachung des Datenschutzrechts auf Interesse zu stosen. Warum auch? Der Gesetzgeber musste ernsthaft in eine komplexe und zersplitterte Gesetzgebungslandschaft eine klarende Schneise schlagen. Dies bedeutet Arbeit und ist politisch unattraktiv, weil sie die Zustandigkeiten zahlreicher Ausschusse betreffen wurde: Schon der Wirtschaftsausschuss hat Schwierigkeiten, die Vereinheitlichung von Telemediendatenschutz und TK-Datenschutz voranzutreiben. Eine Vereinfachung des Datenschutzes betrifft daruber hinaus so komplizierte Themenfelder wie den in sich schon heterogenen Sozialdatenschutz und den seit Jahren nicht regulierten Arbeitnehmerdatenschutz. Wo der politische Wille fehlt, da fehlt naturlich auch der Einsatz der Ministerialburokratie. Man konnte auch umgekehrt vermuten, dass die beratenden Ministerialburokraten kein durchschlagendes Interesse haben, sich mit der Vereinfachung einer Materie zu befassen, die mehrere Personen eine Weile intensiv beschaftigen durfte. Das Schicksal einer an sich notwendigen Neustrukturierung einer komplexen Materie teilt das Datenschutzrecht ubrigens mit vergleichbaren Reformwerken wie der

Datenschutz durch Prozessmanagement

Die Uberschrift „Datenschutz durch Prozessmanagement“ fasst eine neue Entwicklung des Datenschutzes zu einem neuen Paradigma einer modernen Datenschutzpolitik zusammen. „Datenschutz durch Prozessmanagement“ versteht sich als eine Erganzung der bisherigen Paradigmen: Datenschutz durch Recht, Datenschutz durch Technik und Datenschutz durch Wettbewerb. „Datenschutz durch Prozessmanagement“ ist fur einen erfolgreichen Datenschutz in Betrieb und Verwaltung von erheblicher strategischer Bedeutung. Es geht um die Umsetzung der Anforderungen des Datenschutzes in die Prozesse der fur die Verarbeitung personenbezogener Daten verantwortlichen Stelle. Der Datenschutz soll wirtschaftlich werden, indem er in die Aufbau und Ablauforganisation der Organisationen integriert wird („Prozessmanagement“).

Schüler ID zur Analyse von individuellen Bildungsverläufen

Die Kultusministerkonferenz (KMK) sieht eine Umstellung der Schulstatistik auf Individualdaten vor. Mit Hilfe der im Kerndatensatz (KDS) festgelegten Daten soll die Statistik auf die Sammlung von Daten der einzelnen Schüler umgestellt werden, um Bildungsverläufe, aber auch Bildungsbrüche nachzeichnen zu können. Anzustreben sei eine „übergreifende personenbezogene Bildungskennziffer möglichst vom Kindergarten bis hin zur Berufsbildung bzw. zum Hochschulbereich, ggf. auch für den Weiterbildungsbereich“. Diese Schüler ID wird nach den Planungen angereichert um die in dem KDS angegeben und sehr detaillierten Informationen über den Bildungsverlauf eines Schülers bzw. einer Schülerin. Eine erste Umsetzung dieser Pläne ist in Schleswig-Holstein mit § 30 Abs. 4 Satz 2 SchulG erfolgt. Danach können zur „Erstellung von Bildungsverlaufsanalysen auf wissenschaftlicher Grundlage (...) Daten auch in pseudonymisierter Form“ unter näher definierten Bedingungen erhoben und verarbeitet werden. Dem Vorhaben stehen gravierende datenschutzrechtliche Bedenken entgegen.

Microsoft erhält für Updateverfahren Datenschutz-Gütesiegel: „Privacy Inside“ aus Kiel für Redmond

Am 16. Februar 2007 hat das Unabhängige Landeszentrum für Datenschutz SchleswigHolstein an die Microsoft Corporation aus Redmond, USA, ein Datenschutz-Gütesiegel für das Updateverfahren von Microsoft Windows verliehen. Die Verleihung des Gütesiegels wurde durch Ministerpräsident Carstensen (CDU) in der Landesvertretung Schleswig-Holstein in Berlin vorgenommen. Entgegengenommen wurde das Gütesiegel neben Vertretern von Microsoft Deutschland von Peter Cullen, dem Konzernbeauftragten für den Datenschutz für Microsoft weltweit. Das Gütesiegel ist für die Produkte Microsoft Update Service 6.0 und Windows Server Update Service 2.0 verliehen worden. Diese Systeme dienen dazu, Computer, die mit dem Betriebsystem Windows XP oder Windows Server ausgestattet sind, einfach und effizient mit aktuellen Updates zu versorgen und sie so sicherer zu machen. Aus Sicht des Datenschutzes muss dabei nicht nur verhindert werden, dass unautorisierte Software eingespielt wird, sondern auch, dass das System personenbezogene oder firmeninterne Daten an Microsoft übermittelt, ohne dass der Nutzer derartige Prozesse steuern kann. Die Begutachtung durch die beim ULD anerkannten Prüfstellen TÜV Informationstechnik GmbH (Technik) sowie dem Unternehmen 2B Secure (Recht) hat ergeben, dass diese Voraussetzungen erfüllt sind.

Fachkunde des Datenschutzbeauftragten

Voraussetzung der Bestellung eines betrieblichen Datenschutzbeauftragten durch die verantwortliche Stelle ist, dass er die „zur Erfüllung seiner Aufgaben erforderliche Fachkunde“ besitzt (§ 4 f Abs. 2 Satz 1 BDSG). Ist der Beauftragte bestellt, dann ist er „in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes“ weisungsfrei (§ 4 f Abs. 3 Satz 2 BDSG). Seine Qualifizierung muss ihn also befähigen, fachlich eigenverantwortliche Entscheidungen zu fällen. Die Bedeutung der Fachkunde des Beauftragten wird dadurch unterstrichen, dass er von der Aufsichtsbehörde abberufen werden kann, „wenn er die zur Erfüllung seiner Aufgaben erforderliche Fachkunde“ nicht besitzt (§ 38 Abs. 5 Satz 3 BDSG). Welche Fachkunde als Voraussetzung seiner Bestellung erforderlich ist, ist funktional aus seinen gesetzlichen Aufgaben zu bestimmen.