25. Tätigkeitsbericht (2003)

9

Modellprojekte zur Weiterentwicklung des Datenschutzes

9.1

Virtuelles Datenschutzbüro ausgebaut

Das Virtuelle Datenschutzbüro bleibt auf Erfolgskurs. Im deutschsprachigen Raum dürfte es mittlerweile die erste Anlaufadresse sein, wenn es um Datenschutzfragen geht. Dies soll auch nach dem Auslaufen der Förderung im Jahr 2003 so bleiben.

Das Virtuelle Datenschutzbüro ist eine gemeinsame Einrichtung der meisten Landesbeauftragten und des Bundesbeauftragten für den Datenschutz in Deutschland sowie verschiedener nichtstaatlicher und ausländischer Datenschutzkontrollinstanzen. Es wurde bis zum Ende des Jahres 2002 gefördert durch die Initiative Informationsgesellschaft Schleswig-Holstein. Zu dem Service gehört vor allem die Portalseite www.datenschutz.de Externer Link, die den Zugang zum deutschsprachigen Datenschutzwissen bietet. Daneben gibt es einen ”Newsticker”, in dem im Durchschnitt jeden Tag eine Neuigkeit gemeldet wird, einen Presseverteiler, eine Suchmaschine, die die Seiten des Virtuellen Datenschutzbüros sowie der angeschlossenen Projektpartner durchsucht, sowie verschiedene Mailinglisten und weitere Foren zum Informationsaustausch.

Im Jahr 2002 wurden die Möglichkeiten zur Meldung von Beiträgen bzw. Links in das Virtuelle Datenschutzbüro wesentlich vereinfacht. Dies hatte die Folge, dass die Projektpartner intensiver Inhalte meldeten, die auf ihren oder anderen Seiten im Internet veröffentlicht sind. Mittlerweile gibt es über 1000 gemeldete Artikel, das entspricht einer Steigerung innerhalb des Jahres 2002 um ca. 40 %. Auch die Zahlen der Abrufe zeigen weiter nach oben. Wir schätzen, dass täglich zwischen 500 und 800 Nutzer die Seite ansurfen. Die Bedeutung des Portals www.datenschutz.de zeigt sich auch daran, dass bei der Suche nach dem Begriff ”Datenschutz” in der am meisten benutzten Suchmaschine ”Google” als erster Treffer das Virtuelle Datenschutzbüro erscheint.

Eine wesentliche Neuerung war der Umstieg auf ein neues Content-Management-System. An die Stelle des bisherigen Systems ist am 03.02.2003 eine auf der Platform Zope programmierte Software getreten. Zope hat die Vorteile, die Open-Source-Software generell bietet. Für die Seite sind auch für die Zukunft mehrere Erweiterungen geplant. So soll vor allem ein interner Bereich für den Austausch von Informationen unter den Projektpartnern geschaffen werden, in dem z. B. die Geschäftsverteilungspläne und andere interne Informationen zur Verfügung gestellt werden.

Nachdem im Jahr 2002 die Förderung ausgelaufen ist, muss sich das Projekt ohne Fördergelder ”über Wasser” halten. Die meisten Projektpartner haben zugesagt, für das Jahr 2003 einen finanziellen Beitrag zu leisten. Es wird sich zeigen, inwieweit es auf dieser Grundlage möglich ist, neben der bloßen Aufrechterhaltung des Betriebs zusätzlich weitere Verbesserungen vorzunehmen.

Künftig werden in verstärktem Maße auch externe Kooperationspartner aufgenommen. Dies können unabhängige Datenschutzexperten sein, aber auch Organisationen, Unternehmen oder Privatpersonen, die Produkte oder Dienstleistungen im Bereich Datenschutz anbieten. Mittelfristig könnte die Zusammenarbeit mit diesen Kooperationspartnern eine zusätzliche Basis zur Refinanzierung des Projekts bilden.

Nach dem Auslaufen der Förderung bietet es sich an, Bilanz zu ziehen und zu untersuchen, ob die ursprünglich angestrebten Ziele erreicht wurden. Die Schaffung eines Kontaktpunktes für die Nutzer dürfte gelungen sein. Das Virtuelle Datenschutzbüro bietet ein One-Stop-Shopping an, das es den Nutzern ermöglicht, an wichtige Datenschutzinformationen zu gelangen, ohne die Seiten der vielen unterschiedlichen Instanzen einzeln absurfen zu müssen. Die große Zahl von gemeldeten Artikeln und die ständige Veröffentlichung von News, die zum Teil noch nicht vorher in anderen Medien gemeldet wurden, tun ein Übriges dazu. Allerdings muss konstatiert werden, dass die ursprünglich erwartete Beteiligung auch von nicht deutschsprachigen Projektpartnern weit hinter den Erwartungen zurückgeblieben ist. Gerade mit den reduzierten Ressourcen, die nach dem Auslaufen der Förderung vorhanden sind, ist es für die wenigen Mitarbeiter im ULD nicht möglich, ohne Hilfe eine vollständige englischsprachige Datenschutzseite zu etablieren und ständig aktuell zu halten.

Die angestrebte bessere Arbeitsteilung und der leichtere Informationsaustausch werden durch das Virtuelle Datenschutzbüro realisiert. Dazu dienen u. a. die einschlägigen Mailinglisten, mit deren Hilfe sich verschiedene Arbeitskreise der Konferenz der Datenschutzbeauftragten schon gegenwärtig austauschen. Das Ziel, ein Versammlungsort für Datenschutzexperten außerhalb der Datenschutzdienststellen zu werden, wird dann weiter realisiert werden, wenn mehr Kooperationspartner gefunden worden sind, die Beiträge zum Virtuellen Datenschutzbüro liefern. Das Interesse ist groß, wie erste Anfragen zeigen.

Was ist zu tun?
Alle Beteiligten im Virtuellen Datenschutzbüro müssen ihre Anstrengungen aufrechterhalten, um dieses sinnvolle und viel genutzte Instrument auch nach dem Ende der Förderzeit am Leben zu erhalten.

9.2

AN.ON


Nachdem der Anonymisierungsdienst AN.ON vor knapp zwei Jahren den Betrieb aufgenommen hat, konnte er sich mittlerweile fest etablieren. Untersuchungen zeigen stetig steigende Nutzungszahlen.

Bereits im 23. und 24. Tätigkeitsbericht (jeweils unter Tz. 9.2) wurde über das seit Anfang 2001 bei uns in Kooperation mit der Technischen Universität (TU) Dresden sowie der Freien Universität Berlin durchgeführte und vom Bundesministerium für Wirtschaft und Arbeit bis Ende 2003 geförderte Projekt ”AN.ON - Anonymität online” berichtet.

Die von der Technischen Universität Dresden entwickelte Client-Software JAP kann von jedermann kostenlos aus dem Internet heruntergeladen werden. Mithilfe dieses Tools wird die anonyme Nutzung von Diensten im World Wide Web ermöglicht. Bei Verwendung des JAP wird der Kontakt zu den Webservern nicht, wie normalerweise üblich, unmittelbar aufgenommen, sondern für den Nutzer unsichtbar über eine Kette von Verschlüsselungsservern (so genannte ”Mixe”) geleitet. Diese sorgen dafür, dass niemand Kenntnis von der IP-Adresse des Nutzers erlangen kann. Hierin besteht die Besonderheit des AN.ON-Dienstes gegenüber anderen Anonymisierungsdiensten. Der AN.ON-Dienst garantiert Anonymität und Unbeobachtbarkeit nicht nur gegenüber dem Anbieter der angesurften Webseite sowie dem eigenen Serviceprovider, sondern auch gegenüber den Betreibern des Anonymisierungsdienstes selbst.

Der Betrieb eines Anonymisierungsdienstes wirft die Frage auf, ob er nicht zu kriminellen Zwecken missbraucht werden kann. Grundsätzlich lässt es sich nicht ausschließen, dass ein Anonymisierungsdienst auch missbräuchlich genutzt wird. Wir haben im Rahmen des Projektes die Aufgabe übernommen, den Betrieb des Anonymisierungsdienstes rechtlich zu betreuen. Beschwerden, in denen missbräuchliche Nutzungen des Dienstes beklagt werden, werden von uns beantwortet. Wie bereits im letzten Tätigkeitsbericht beschrieben (24. TB, Tz. 9.2), wandten sich sowohl die Polizei und die Staatsanwaltschaften als auch Privatpersonen und Firmen an uns. Die Anfragen der Strafverfolgungsbehörden betreffen in erster Linie laufende Ermittlungsverfahren bei Vorliegen eines strafrechtlichen Anfangsverdachts. Es ging hierbei z. B. um Verdachtsfälle auf Kreditkarten- und Bestellbetrug. In zwei Fällen ging es um Straftaten im Zusammenhang mit Kinderpornografie. Bei den Anfragen von Privaten bzw. Firmen handelte es sich z. B. um Beschwerden über Störungen von Diskussionsforen, beleidigende Äußerungen oder Hackerangriffe auf Internet-Angebote. Da es zum Wesen des Anonymisierungsdienstes gehört, keine Verbindungsdaten zu speichern, die eine spätere Identifizierung einzelner Nutzer zulassen, ist eine Auskunftserteilung grundsätzlich nicht möglich. Dieser Verzicht auf die Verarbeitung personenbezogener Nutzungsdaten entspricht der aktuellen Gesetzeslage. Die Erhebung und Speicherung derartiger Daten ist nach den Vorschriften des Teledienstedatenschutzgesetzes (TDDSG nämlich nur dann erlaubt, wenn dies erforderlich ist, um die Inanspruchnahme des Dienstes zu ermöglichen oder abzurechnen. Diese Voraussetzungen liegen jedoch nicht vor, da die Inanspruchnahme des Dienstes anonym und kostenlos erfolgt. Die Vorgaben des TDDSG werden von uns also strikt eingehalten.

Im Übrigen hat der Gesetzgeber den Anbietern von Telediensten in § 4 Abs. 6 TDDSG die Verpflichtung auferlegt, dem Nutzer die Inanspruchnahme von Telediensten und ihre Bezahlung anonym oder unter Pseudonym zu ermöglichen. Das anonyme Surfen ist damit nicht nur zulässig, sondern rechtlich geboten. Ziel des Projektes ist es, diesem gesetzgeberischen Auftrag nachzukommen. Interessant ist, dass der Gesetzgeber auch im Rahmen der jüngsten Novellierung des TDDSG Anfang 2002 diese Vorschrift unverändert gelassen hat und die Möglichkeit zur anonymen Nutzung des Internets offenbar weiterhin als wichtiges Anliegen betrachtet. Den Bestrebungen auf europäischer Ebene, die Möglichkeit anonymer Nutzung von Internet-Diensten durch Einführung einer Pflicht der Diensteanbieter zur Vorratsdatenspeicherung einzuschränken, erteilen wir eine klare Absage (vgl. hierzu Tz. 8.5).

Nach Ablauf der Hälfte der Projektlaufzeit wurde im Sommer 2002 eine erste Bilanz der Anzahl der Nutzungen des Anonymisierungsdienstes gezogen. Da keine personenbezogenen Daten über die Nutzer erhoben und gespeichert werden, verfügen wir nur über statistisches Material zu den Nutzungszahlen. Die Anzahl der Downloads der Software JAP von der Webseite der Projektpartner der TU Dresden ist sicherlich nicht ohne weiteres zur Ermittlung von Nutzungszahlen geeignet, allerdings lässt sich daraus der Schluss ziehen, dass die Verbreitung des Tools JAP zunimmt. Daneben wurde das Tool mittlerweile über CD-ROM durch mehrere einschlägige Computerzeitschriften verbreitet. Die Anzahl der Nutzer innerhalb der Anonymitätsgruppe wird vom so genannten Infoservice ermittelt und den Nutzern angezeigt. Hierbei handelt es sich um Daten, die keinerlei Personenbezug ermöglichen. Seit Januar 2002 sind statistisch mindestens 600 Nutzungen pro Stunde nachweisbar. Im Juli 2002 waren es 800, und im August 2002 ließen sich mindestens 1000 Nutzungen pro Stunde feststellen. Die Anzahl von über 2000 Nutzungen wurde erstmalig Mitte August 2002 überschritten.

Für uns war es von besonderem Interesse, diese ermittelten Nutzungszahlen ins Verhältnis zur Anzahl der Missbrauchsfälle zu setzen. Häufig wird nämlich in den Medien der Eindruck erweckt, als werde das Internet überproportional häufig für kriminelle Zwecke genutzt. Gerade bei garantierter Anonymität liegt eine derartige Annahme nahe. Wir wurden aber vom Gegenteil überrascht. Unsere im August 2002 vorgenommene Auswertung bezog sich auf den Zeitraum vom Beginn des Online-Betriebes des JAP bis Juli 2002. Nach vorsichtiger und überaus restriktiver Schätzung haben wir für diesen Zeitraum durchschnittlich ca. 5000 Nutzungen täglich zugrunde gelegt und sind von ca. 1,2 Millionen Nutzungsfällen insgesamt ausgegangen. Dieser Zahl stehen im gleichen Zeitraum 17 Anfragen deutscher Strafverfolgungsbehörden gegenüber. Außerdem wurden 15 Anfragen von Privatpersonen bzw. Firmen an uns gerichtet, in denen missbräuchliche Nutzungen des JAP beklagt wurden. Setzt man diese Zahlen ins Verhältnis zu den ermittelten Nutzungszahlen, ergibt sich ein verschwindend geringer Promillesatz, der auf missbräuchliche Nutzungen des Anonymisierungsdienstes hindeutet. Die ermittelten Zahlen über die Nutzung des JAP lassen insoweit bei aller Vorsicht den Schluss zu, dass offenbar die überwältigende Anzahl der Nutzungen gerade nicht zu kriminellen Zwecken erfolgt. Dieses Ergebnis wird von uns als sehr positives Signal gewertet und bestärkt uns in unserem Bestreben, den Anonymisierungsdienst weiter auszubauen.

AN.ON wird offenbar zunehmend auch von deutschen Firmen und Organisationen mit ausländischen Dependancen für Internet-Recherchen genutzt. Mit AN.ON ist es nämlich möglich, auch aus Ländern mit beschränktem Internet-Zugriff einen freien Informationszugang zu erlangen. Vereinzelt wurde der Zugriff auf Anonymitätsserver aus solchen Ländern, die über keine demokratische Staatsform verfügen, unterbunden. Darauf haben die Projektpartner ihrerseits reagiert. In einigen Fällen konnte eine Lösung gefunden werden, um die Sperrung des Zugriffs zu umgehen.

Seit August 2002 betreiben auch wir einen eigenen Mix-Server. Da die Kosten einer Internet-Leitung für den Betrieb eines solchen Servers sehr hoch sind, wird unser System in den Räumlichkeiten der TU Dresden unter Nutzung der dortigen Internet-Leitung betrieben. Der Rechner befindet sich physikalisch getrennt von den dort betriebenen Servern in einem speziellen PC-Tresor, der lediglich von unseren Mitarbeitern geöffnet werden kann. Zugriffe auf die Administrationsebene des Rechners sind ebenfalls ausschließlich durch uns möglich, sodass ein hoher Grad an Unabhängigkeit gewährleistet werden kann.

Die alljährlich von uns veranstaltete Sommerakademie stand im Jahr 2002 unter dem Motto ”Unser Recht auf Anonymität”. Die Vorstellung des Projektes ”AN.ON - Anonymität online” nahm in diesem Zusammenhang eine zentrale Rolle ein. Das Thema wurde von Experten unterschiedlicher Disziplinen eingehend beleuchtet.

Außerdem haben wir zwei Veröffentlichungen zum Thema Sicherheit im Internet herausgebracht. Aus der Reihe ”Safer Surfen” ist ein neues Faltblatt erhältlich, das praktische Tipps und Hinweise zur Installation und Nutzung des JAP enthält. Außerdem haben wir eine 48-seitige Broschüre mit dem Titel ”Sicherheit im Internet durch Anonymität” herausgegeben, die Informationen zum technischen, rechtlichen sowie soziologischen Hintergrund des Projektes ”AN.ON - Anonymität online” enthält. Beide Publikationen können bei uns kostenlos bestellt werden. Im Internet stehen sie unter

www.datenschutzzentrum.de/download/anonheft.pdf

www.datenschutzzentrum.de/download/safeanon.pdf

zum Download zur Verfügung.

Weiter gehende Informationen zum Projekt befinden sich im Internet unter:

www.anon-online.de Externer Link

www.datenschutzzentrum.de/anon/

Das Projekt ”AN.ON - Anonymität online” wird gefördert durch das

Was ist zu tun?
Der Anonymisierungsdienst AN.ON ist weiter auszubauen. Es gehört zu unseren wichtigsten Zielen, weitere Betreiber von Mix-Servern zu gewinnen. Damit können wir die Nutzer bei der effektiven Wahrnehmung ihres gesetzlich garantierten Rechts auf Anonymität im Internet unterstützen. Bestrebungen auf EU­Ebene zur Einführung einer Vorratsdatenspeicherung ist eine klare Absage zu erteilen.

9.3

Datenschutz-Schul-CD fertig gestellt

Beim Projekt einer multimedialen Lern-CD zum Datenschutz in Aus- und Weiterbildung, das vom Bundesministerium für Bildung, Wissenschaft, Forschung und Kultur gefördert wurde, oblag uns vor allem die Erstellung des Moduls ”Datenschutz in der Schule”.

Wir haben auf der CD den Tagesablauf von Schülerinnen und Schülern in Situationen dargestellt, die teilweise von hoher datenschutzrechtlicher Relevanz sind: Ein Lehrer plaudert aus der Zeugniskonferenz, Videokameras werden auf dem Pausenhof zur Schülerüberwachung installiert, im PC-Unterricht liest der Lehrer heimlich die aufgerufenen Seiten und E-Mails mit, die Polizei führt in der großen Pause eine Drogenrazzia auf dem Schulhof durch, Zeugniskladden usw. finden sich im Altpapiercontainer. Solche realitätsnahen Lebenssachverhalte sind uns aus Beratungsgesprächen, Eingaben und Prüfungen bekannt. Die Praxisbeispiele werden auf der CD sowohl hinsichtlich ihrer Auswirkungen auf die Betroffenen wie der rechtlichen Bewertung erläutert.

Über elf Geschichten erfolgt ein Einstieg in die technischen und rechtlichen Fragestellungen. Die Geschichte einer Freistunde erzählt von zwei Schülern im PC-Raum ihrer Schule, die sich per Hacking-Angriff den Entwurf einer Mathearbeit beschaffen, die ihr Lehrer auf seinem PC abgespeichert hat. Erklärt wird, was Hacking ist, welche Unterschiede zwischen Crashing und Ausspionieren von Daten aus straf- und datenschutzrechtlicher Sicht bestehen. Bei dieser Gelegenheit werden den Nutzern verschiedene Formen von Internet-Viren erläutert und Tipps gegeben, wie sie sich vor ihnen schützen können. Über kleine Rechtsfälle zum Computerstrafrecht wird z. B. erklärt, wann man strafmündig ist und wie eine Jugendstrafverhandlung abläuft.

Außerdem werden auf der CD allgemeine und aktuelle datenschutzrechtliche Fragen gestellt und Antworten gegeben. Sie führt in die Grundbegriffe des Datenschutzes ein und vermittelt über einen hierarchisch aufgebauten Clickstream mit Sprungmöglichkeiten und Querverweisen die Vertiefung der Kenntnisse anhand der multimedial in Text, Bild und Ton präsentierten Fälle.

Die CD wurde im Rahmen der Media-Tage Nord Schülerinnen und Schülern sowie Informatiklehrern und Interessierten vorgestellt und im Hinblick auf Ansprache, Verständlichkeit und Lerneffekte evaluiert. In den oberen Gymnasialklassen war die Resonanz durchweg positiv. Auch zunächst weniger an datenschutzrechtlichen Fragestellungen Interessierte konnten erkennen, welchen Nutzen der Datenschutz z. B. bei ihren vielfältigen und umfangreichen Internet-Ausflügen hat (vgl. 24. TB, Tz. 9.5).

9.4

EU-Projekte zu Datenschutzaudit und Gütesiegel

Die EU und das Wirtschaftsministerium des Landes Schleswig-Holstein fördern im Rahmen des Programms ”e-Region” die Verbreitung von Datenschutzaudits und -Gütesiegeln nach schleswig-holsteinischem Datenschutzrecht. Die Mittel der EU stammen aus den innovativen Maßnahmen des Europäischen Fonds für Regionale Entwicklung (EFRE) der Generaldirektion Regionalpolitik.


Ein Programm des Ministeriums für Wirtschaft, Technologie und Verkehr SH und der Technologiestiftung SH - gefördert von der EU aus den Innovativen Maßnahmen des Europäischen Fonds für regionale Entwicklung (EFRE) der Generaldirektion Regionalpolitik

  • Gütesiegel

Eine finanzielle Förderung aus dem Programm ”e-Region Schleswig-Holstein” zur Erlangung eines Gütesiegels konnte vorrangig von schleswig-holsteinischen KMU beantragt werden, die ein IT-Produkt herstellen oder vertreiben, das zur Nutzung in öffentlichen Stellen des Landes Schleswig-Holstein geeignet ist. Insgesamt sind bei uns 18 Anträge auf Förderung eingegangen, von denen 15 die Voraussetzungen für eine Förderung erfüllten. Unternehmen, die die Förderkriterien erfüllen, erhalten einen Zuschuss zu den Gutachterkosten. Der Eigenanteil des Unternehmens liegt bei mindestens 50 %. Darüber hinaus erbringen wir unsere an sich gebührenpflichtigen Dienstleistungen kostenfrei. Insgesamt stehen Fördermittel in Höhe von 50.000 Euro zur Verfügung. Kriterium für die Entscheidung über die Förderung war das Innovationspotenzial des IT-Produkts hinsichtlich datenschutzfördernder Eigenschaften im Sinne der Datenschutzauditverordnung (DSAVO). Eine wichtige Rolle spielte auch die prospektive Wirkung auf dem IT-Markt, auf die primäre Zielgruppe des Datenschutz-Gütesiegels (öffentliche Stellen in Schleswig-Holstein) sowie allgemein der grenzübergreifende Charakter des Produkts wie z. B. die Zusammenarbeit des Herstellers mit Firmen anderer EU-Mitgliedstaaten. Die geförderten Produkte sind im Internet aufgeführt unter:

www.datenschutzzentrum.de/material/themen/presse/standort.htm

  • Audit

Gegenstand des Projekts Datenschutzaudit ist die gebührenfreie Durchführung eines Auditverfahrens für öffentlich geförderte IT-Projekte. Neue IT-Verfahren sollen so von vornherein auf ihre dauerhafte Übereinstimmung mit den datenschutzrechtlichen Bestimmungen geprüft werden. Zu diesem Zweck werden die 12 Projektpartner des e-Region-Programms in den jeweiligen Bewilligungsbescheiden vom Wirtschaftsministerium aufgefordert, Kontakt mit uns aufzunehmen, um die Möglichkeit eines Datenschutzaudits prüfen zu lassen. Im Berichtszeitraum wurde bereits eine Vereinbarung über ein solches gefördertes Audit mit dem Kreis Segeberg geschlossen (vgl. Tz. 10.2 dieses Berichtes).

9.5

P3P - Datenschutz für Internet-Surfer

Das World Wide Web bietet viele Möglichkeiten, Nutzerdaten zu sammeln. Nutzer, die es interessiert, was die Anbieter mit ihren Daten machen, wie lange sie sie aufbewahren und welche Rechte ihnen zur Verfügung stehen, finden Antworten in den Datenschutzerklärungen der Anbieter. Doch angesichts der kurzen Verweildauer auf Websites werden diese seitenlangen, zuweilen fremdsprachigen Texte nur selten gelesen. Hier hilft P3P.

Die P3P-Technik gleicht die Datenschutzvoreinstellungen des Internet-Surfers in seinem Browser mit den Datenschutzerklärungen der Anbieter auf ihren Websites ab und gibt das Ergebnis kurz zusammengefasst in der Sprache des Browsers aus. So kann der Surfer auf einen Blick feststellen, ob die Erhebung, Nutzung und Aufbewahrung seiner personenbezogenen Daten für ihn akzeptabel ist, ob er seine Gestaltungsrechte ausüben oder ob er von dem Besuch der Website gänzlich absehen sollte.

P3P ist ein universeller technischer Standard, der dem Internet-Surfer in der Praxis mehr Transparenz und Kontrolle über seine Daten ermöglicht. Das World Wide Web Consortium (W3C) hat den Standardisierungsprozess für die P3P-Version 1.0, an der auch wir mitgewirkt haben (vgl. 21. TB, Tz. 7.1.4; 22. TB, Tz. 9.3; 23. TB, Tz. 8.6), im April 2002 abgeschlossen. Seitdem ist eine erste Version von P3P in ersten Browsern verfügbar, und eine zunehmende Anzahl von Webanbietern stellt - wie wir schon seit längerem (vgl. 23. TB, Tz. 8.6) - Datenschutzerklärungen für ihre Inhalte bereit.

Anbieter, die Daten in Deutschland verarbeiten oder über die Verarbeitung von Daten in Deutschland entscheiden, sind an deutsches Datenschutzrecht gebunden. Dies muss sich auch in den P3P-Datenschutzerklärungen widerspiegeln. Für Anbieter aus dem europäischen Ausland gelten insoweit die datenschutzrechtlichen Vorschriften ihrer Länder, als Mindeststandard jedoch die Vorgaben der Europäischen Datenschutzrichtlinie.

Um zur Verbreitung von P3P und damit zu einer erhöhten Transparenz und Kontrolle für den Internet-Surfer beizutragen, erarbeiten wir im Rahmen eines vom Wirtschaftsministerium des Landes geförderten Modellprojektes rechtskonforme Datenschutzpolicies für datenintensive Webdienste (z. B. E-Commerce-Anwendungen) und stellen diese zum Download bereit.

www.datenschutzzentrum.de/p3p/

Anbieter können diese Vorlagen für ihre Websites übernehmen, sie müssen jedoch sicherstellen, dass die angegebenen Schutzstandards auch tatsächlich eingehalten werden. Eine gesetzeskonforme Datenverarbeitung liegt auch im eigenen Interesse des Anbieters, lässt sie sich doch als werblich verwertbares Seriositätsmerkmal dem fehlenden Vertrauen der Nutzer in Internet-Firmen entgegensetzen.

siehe hierzu Fortbildungsangebot der DATENSCHUTZAKADEMIE Schleswig-Holstein

Viele Nutzer übernehmen die Voreinstellungen ihres Browsers unverändert. Damit entscheidet die Standardeinstellung in einem P3P-fähigen Browser wesentlich darüber, welche Schutzstandards die Internet-Surfer künftig von WWW-Anbietern verlangen werden. Für Internet-Surfer haben wir Anleitungen zur Nutzung und Konfiguration solcher P3P-Software zur Verfügung gestellt unter:

www.datenschutzzentrum.de/selbstdatenschutz/p3p/

Was ist zu tun?
Anbieter im Internet sollten sich mit datenschutzrechtskonformen Datenschutzerklärungen, die sie bei uns testen lassen können, um das Vertrauen ihrer Kunden bemühen.

9.6

Identitätsmanagement


Vom Recht auf informationelle Selbstbestimmung ist in der digitalen Welt oft kaum etwas zu sehen, denn weder haben die Nutzer eine echte Kontrolle darüber, was mit ihren Daten passiert, noch wissen sie auch nur annähernd, wer was wann über sie weiß. Identitätsmanager könnten die Situation der Nutzer entscheidend verbessern. Wir arbeiten an der Entwicklung solcher Programme mit.

Bei jeder Verwendung des Internets hinterlassen die Nutzer Spuren, wenn sie nicht spezielle Anonymisierer benutzen (vgl. Tz. 9.2). Auf der anderen Seite mangelt es an Authentizität: Es kann z. B. passieren, dass Personen unter falschem Namen im Internet agieren und dabei Unheil anrichten, das dann einem anderen zugerechnet wird. Dieser so genannte ”Identity Theft” ist inzwischen ein ernst zu nehmendes Phänomen geworden, über das international viele Websites informieren (z. B. http://www.idtheftcenter.org oder http://www.identitytheft.org). Schon mehrfach hatten sich betroffene Petenten an uns gewandt, doch zurzeit gibt es keine zuverlässige technische Abhilfe.

Für Anonymität und Authentizität in verschiedenen Abstufungen zu sorgen ist Aufgabe von Identitätsmanagementsystemen (vgl. 23. TB, Tz. 10.6; 24. TB, Tz. 8.5). Die aktuell verfügbaren Identitätsmanager sind noch nicht besonders effektiv. Sie beschränken sich meist auf kleine Funktionsbereiche wie eine Passwortverwaltung für alle möglichen Internet-Accounts (Single-Sign-On). Einige umfangreichere Systeme wie Microsoft Passport oder der Liberty-Alliance-Standardisierungsversuch wollen dem Nutzer bequeme Möglichkeiten für das Einkaufen im Web bieten, ohne dass jedes Mal die Nutzerdaten erneut eingegeben werden müssen; gleichzeitig werden die Daten für eine Weiterverarbeitung in Firmendatenbanken in einem einheitlichen Format bereitgehalten.

Die meisten Systeme erfordern, dass der Nutzer dem Anbieter die eigenen Daten anvertraut - und damit aus der Hand gibt. Datenschutzgerechte Identitätsmanagementsysteme, die Wert auf mehr Selbstbestimmung und Kontrollmöglichkeiten der Nutzer legen und auf Anonymitätstools aufsetzen, werden mittlerweile an einigen Universitäten und in Forschungslabors von Firmen entwickelt. Zusammen mit der Technischen Universität Dresden, dem IBM-Forschungslabor Zürich und der Universität Karlstad in Schweden arbeiten wir an einem Prototyp. Weitere europäische Partner haben ihr Interesse angemeldet.

In dem Berichtsjahr haben wir in Kooperation mit dem italienischen Notariat ”Studio Notarile Genghini” eine Ausschreibung zur Erstellung der Studie ”Identity Management Systems (IMS): Identification and Comparison Study” gewonnen, die von der Gemeinsamen Forschungsstelle der Generaldirektionen der Europäischen Kommission, Institut für technologische Zukunftsforschung, Sevilla initiiert wurde. In dieser Studie geht es darum, den Stand der Technik zu Identitätsmanagementsystemen darzustellen. Die einzelnen Kapitel beschäftigen sich zunächst mit den Grundlagen wie Definition, Anforderungen, Mechanismen und Design. Es folgt ein Testbericht von einer ganzen Reihe von Identitätsmanagern. Ein Fokus wird auf die europäische Sicht bei der Entwicklung und Einführung solcher Systeme gelegt. Schließlich runden die Ergebnisse einer Expertenbefragung, die wir durchführen, diese Studie ab. Fertigstellungstermin ist im Herbst 2003. Wir werden im nächsten Tätigkeitsbericht angeben, wie das europäische Institut für technologische Zukunftsforschung unsere Ideen zu Identitätsmanagement aufgenommen hat und wo man die Studie beziehen kann.

Unser Ziel ist es, den Weg für tatsächlich datenschutzfreundliche Identitätsmanagementsysteme zu bereiten. Schließlich geht es hier um ein wichtiges Datenschutztool der Zukunft, das uns allen den selbstbewussten, situationsadäquaten und sozial verträglichen Umgang mit unserer Identität erleichtern kann. Unsere Beiträge zu diesem Projekt können abgerufen werden unter:

www.datenschutzzentrum.de/idmanage/

Was ist zu tun?
Hersteller von Identitätsmanagern sollten Datenschutz in ihre Systeme einbauen. Wirtschaft und Verwaltung sollten prüfen, wie sie in ihren Bereichen ein datenschutzförderndes Identitätsmanagement unterstützen oder sogar selbst anbieten können. Nutzer und Anwender sollten die Vorteile von Identitätsmanagement bewusst gemacht werden.

9.7

Zuarbeit für ein Datenschutzauditgesetz des Bundes

Gemeinsam mit der Deutschen Hochschule für Verwaltungswissenschaften Speyer sind wir an einem Projekt des Bundesministeriums des Innern zur Vorbereitung eines Datenschutzauditgesetzes des Bundes beteiligt. Wir haben in diesem Rahmen einen Bericht über die Erfahrungen mit den Instrumenten Datenschutzaudit und IT-Gütesiegel in Schleswig-Holstein erstellt.

Ziel dieses Projektes ist, dem Bundesministerium des Innern für den im Jahr 2003 zu erstellenden Gesetzentwurf für ein Datenschutzauditgesetz des Bundes eine umfassende Informationsgrundlage zur Verfügung zu stellen. Während unser Beitrag in der Auswertung der in Schleswig-Holstein gewonnenen Erfahrungen besteht, führt die ebenfalls am Projekt beteiligte Hochschule für Verwaltungswissenschaften Speyer eine Gesetzesfolgenabschätzung durch. Im Rahmen dieses Projektbeitrags fand im September 2002 in Speyer ein Workshop statt, an dem Experten aus Wirtschaft, Wissenschaft und Verwaltung - darunter auch Vertreter des ULD - teilnahmen. Hierbei wurden unterschiedliche Modelle einer Regelung sowohl für ein Verfahrensaudit als auch für ein Produktaudit gegenübergestellt, von den Experten diskutiert und auf ihre möglichen Folgen untersucht.

Wir haben dem Bundesinnenministerium zum Jahresende unseren Bericht übergeben, der unsere Erfahrungen in der praktischen Anwendung der Regelungen über Audit und Gütesiegel systematisch auswertet.

Was ist zu tun?
Die Instrumente Audit und Gütesiegel können ihre Wirkung erst voll entfalten, wenn Gültigkeit und Voraussetzungen im gesamten Bundesgebiet einheitlich geregelt sind. Ein Bundesgesetz zum Datenschutzaudit sollte daher schnellstmöglich erlassen werden.


Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel