8         Modellprojekte und Studien

Neben seiner Prüf- und Beratungstätigkeit beteiligt sich das ULD an drittmittel­finanzierten Projekten und Studien mit besonderem Datenschutzbezug. Ziel ist es, über das gesetzlich notwendige Mindestmaß an Datenschutz hinauszugehen und besonders „datenschutzfördernde Technik“ zu entwickeln, die den Bürgerin­nen und Bürgern in Schleswig-Holstein zugutekommt. Auch im vergangenen Jahr ist das ULD an einer Reihe von Projekten und Studien beteiligt gewesen, die durch Drittmittel finanziert wurden (Tz. 8.1 bis Tz. 8.7).

Koordiniert werden solche Projekte inner­halb unseres Innovationszentrums Daten­schutz & Datensicherheit (ULD-i), das interessierten schleswig-holsteinischen Un­ternehmen und Hochschulen für die Imple­mentierung von Datenschutz und Daten­sicherheit in ihre Projekte und Produkte zur Verfügung steht.

http://www.uld-i.de/

Im Dezember 2010 wurde das Virtuelle Datenschutzbüro als gemeinsames Internetportal der Datenschutzaufsichtsbehörden zehn Jahre alt. Die Geschäfts­leitung wird auch weiterhin beim ULD liegen. Als Projekt gestartet, ist es heute mit etwa 3.000 Beiträgen und Artikeln eine der wichtigsten Informationsquellen zum Datenschutz im deutschsprachigen Raum. Täglich besuchen das Portal inzwischen mehr als 3.400 Nutzerinnen und Nutzer.

https://www.datenschutz.de/

Identitätsmanagement
Identitätsmanagement  ist ein von den Menschen seit Jahrhunderten einge­übtes Handeln: Man verhält sich je nach Situation oder Rolle verschieden und gibt unterschiedliche Informatio­nen von sich preis.Im Internet ist ein solches instinktives Management seiner verschiedenen Teilidentitäten schwierig. Hierbei können Identitäts­managementsysteme unterstützen, die z. B. pseudonyme Kennungen für ver­schiedene Anbieter vorsehen. Wichtig ist, dass die Nutzer die Kontrolle über ihre Daten und deren Verwendung ausüben können.

8.1         PrimeLife  – Identitätsmanagement  im Fokus

Das von der EU geförderte Projekt PrimeLife verfolgt das Ziel, Men­schen in ihrer informationellen Selbstbestimmung durch nutzerge­steuertes Identitätsmanagement zu unterstützen. Wie dies geht, zeigen erste Prototypen.

Während 2004 bis 2008 mit ULD-Beteiligung im durchgeführten Vorgän­gerprojekt „PRIME – Privacy and Identity Management for Europe“ an einem umfassenden Prototyp mit mög­lichst viel Funktionalität gearbeitet wurde, konzentriert sich das PrimeLife-Projekt auf einzelne Module und Tools, die in Kombination mit existierenden Systemen und Anwendungen zum Einsatz kommen können. Unsere Rolle besteht in der datenschutzrechtlichen Analyse und Konzeption von rechtskonformen und gleichzeitig praktikablen sowie bedienfreundlichen Lösungen (32. TB, Tz. 8.2).

Ein Schwerpunkt von PrimeLife liegt im Bereich der sozialen Netzwerke. Mit dem Prototyp „Clique“ wurde ein eigenes soziales Netzwerk mit beson­derer Datenschutzfunktionalität entwickelt. Insbesondere er­möglicht es den Nutzern, unter ihren Profilen mehrere Teiliden­titäten anzulegen und jeweils zu bestimmen, wer auf die Daten Zugriff hat, seien es Freunde, Familie, Arbeitskollegen oder Geschäftskontakte. Da aller­dings auch bei diesem System der Betreiber des sozialen Netz­werks in seiner zentralen Sicht den „sozialen Graphen“, d. h. wer mit wem in welcher Beziehung steht, ermitteln kann, wird zusätzlich an dezentralen Lösungen gearbeitet.

Bereits jetzt einsetzbar ist die Browsererweiterung „Scramble!“, mit der sich Inhalte in sozialen Netzwerken ver- und entschlüsseln lassen. Nur wer im Besitz des passenden Schlüssels ist, sieht dann Klartext in den Profilfeldern einer Person. Ebenso können Nachrichten verschlüsselt und digital signiert werden.

Nützlich für jedes Surfen im Internet ist das ebenfalls als Browsererweiterung realisierte „Privacy Dashboard“ von PrimeLife. Damit können Nutzer nachvoll­ziehen, welche ihrer Nutzungsdaten vom Webseitenanbieter oder Dritten gesam­melt werden (z. B. über verschiedene Arten von Cookies), und den Umgang mit Cookies oder das Ausführen von Scripts auf einfache Weise konfigurieren. Auf diese Weise kann der Nutzer ungewollter Profilbildung oder Aufzeichnung des Nutzungsverhaltens entgegenwirken und zugleich die Möglichkeiten der Verkett­barkeit verringern. Diese und weitere PrimeLife-Tools stehen als Open-Source-Software zum Download auf der Webseite des Projekts zur Verfügung.

http://www.primelife.eu/results/opensource/

Was ist zu tun?
PrimeLife stellt mit seinen Prototypen unter Beweis, dass in heutigen Anwen­dungen mehr Datenschutzfunktionalität machbar ist. Anbieter von Internet­diensten sollten prüfen, inwieweit sie mit PrimeLife-Tools oder eigenen Ent­wicklungen mehr Datenschutz in ihren Anwendungen realisieren können.

8.2         ABC4Trust  – Pilot für eine vertrauenswürdige digitale Identifikation

Seit November 2010 läuft das von der Europäischen Union für vier Jahre geförderte Projekt „ABC4Trust – Attribute-Based Credentials for Trust“. Ziel ist die praktische Erprobung von datensparsamen Berechtigungsnach­weisen in der digitalen Welt.

Das gesetzlich festgeschriebene Gebot zur Datensparsamkeit ist in der Praxis manchmal schwer umzusetzen, wenn zugleich ein Mindestmaß an Sicherheit erforderlich ist. Beispielsweise enthalten die zur Legitimation eines Kunden verwendeten Dokumente zumeist mehr Daten, als für den konkreten Zweck preis­gegeben werden müssten. So erfährt ein Händler bei Vorlage einer Studien­bescheinigung neben der Eigenschaft „Person ist Student“ oft auch Name, Adresse, Geburtsdatum und Studienfach als quasi aufgedrängte Informationen. Besteht bei einem Ausweis in Papierform noch die Möglichkeit, einzelne Felder beim Kopieren zu schwärzen oder beim Vorzeigen abzudecken, ist dies online mit vom Aussteller digital signierten Nachweisen, also von Zertifikaten, bisher nicht möglich: Bei einmal vom Aussteller erteilten Zertifikaten kann der Inhalt nicht variiert werden, denn herkömmliche digitale Signaturen verlieren ihre Gültigkeit, sobald auch nur ein Teil der signierten Informationen entfernt oder geändert wird.

Anders ist dies bei attributbasierten Nachweisen, den „Attribute-Based Creden­tials“, die es ermöglichen, einzelne Attribute zu bescheinigen, z. B. Name, Studenteneigenschaft oder Geburtsdatum. Nutzer können dann die erforderlichen Angaben selbst in einem neuen Zertifikat zusammenstellen und dieses übermit­teln. Die Signatur und damit die Bescheinigung des Ausstellers, dass die Angaben korrekt sind, bleibt erhalten, sogar für durch Berechnungen abgeleitete Eigen­schaften wie das aus dem aktuellen Datum und dem Geburtstag zu errechnende Alter einer Person. Attribute-Based Credentials erlauben es so, datensparsam bestimmte Eigenschaften gegenüber Dritten nachzuweisen, ohne die eigene Iden­tität zu offenbaren.

Das Projekt ABC4Trust wird die beiden bereits bestehenden Software-Implemen­tierungen von Attribute-Based Credentials, namentlich IBM Identity Mixer (Idemix) und Microsoft U-Prove, im Rahmen zweier Piloten erproben. In einem Piloten werden Schüler, Eltern und Kollegium einer weiterführenden Schule in Schweden die Technologie verwenden, um sich gegenseitig auf der schulinternen Kommunikationsplattform zu authentifizieren. Im zweiten Piloten nutzen Studen­ten der griechischen Universität Patras die Technologie zur Bewertung der Lehre. Als Teilnehmer von Veranstaltungen erhalten sie Credentials, um später nur die Vorlesungen bewerten zu können, an denen sie teilgenommen haben.

Da die bestehenden Credential-Systeme Idemix und U-Prove auf unterschied­lichen kryptografischen Algorithmen beruhen, kann man sie nicht einfach zusam­menschalten. Ziel des ABC4Trust-Projekts ist die Entwicklung einer Architektur, die es ermöglicht, Credentials interoperabel einzusetzen. Wir legen dabei den Fokus auf die datenschutzrechtlichen Aspekte. Das Projektkonsortium besteht neben dem ULD aus Partnern aus Industrie – IBM, Microsoft, Nokia Siemens Networks −, Wissenschaft und Pilotanwendern. ABC4Trust wird vom Lehrstuhl für Mobile Business & Multilateral Security an der Universität Frankfurt geleitet.

http://www.abc4trust.eu/

Was ist zu tun?
Innovative datenschutzfördernde Technologien schützen die Privatsphäre von Nutzern und Geschäftspartnern, wenn sie bestimmte Berechtigungen nachwei­sen müssen. Bei der Planung und Inbetriebnahme neuer Verfahren sollten diese Techniken berücksichtigt werden.

8.3         TClouds  – auf dem Weg zum vertrauenswürdigen Cloud Computing

„TClouds – Trustworthy Clouds“ heißt ein Projekt, in dem unter Beteiligung des ULD eine sichere und datenschutzgerechte Cloud-Computing-Infrastruk­tur entwickelt werden soll. Das Projekt startete im Oktober 2010 und wird für die Dauer von drei Jahren von der Europäischen Union gefördert.

Cloud Computing
Cloud-Computing-Infrastrukturen sind ein Angebot von bedarfsgerechten informationstechnischen Dienstleistun­gen, die über das Internet in Form von Speicher- oder Rechenleistung, Entwicklungsumgebungen, Anwen­dungssoftware oder sogar vollständi­gen Arbeitsumgebungen bereitgestellt werden. Die Daten der Anwender werden hierbei nicht lokal im eigenen Verfügungsbereich gespeichert und verarbeitet, sondern in einer soge­nannten „Datenwolke“, auf die die Anwender über das Internet zugreifen. Für die Anwender bleibt dabei unklar, was genau mit ihren Daten geschieht.

„Cloud Computing lässt sich überset­zen mit „Datenverarbeitung in der Wolke“. Diese „Wolke“ beschreibt eine für die Anwender fremde, zumeist uneinsehbare informationstechnische Infrastruktur, in die sie eigene Daten­verarbeitungsprozesse über das Internet auslagern können. Die Nutzung dieser fremden Ressourcen erlaubt es, nach der tatsächlichen Nutzung von Rechen­leistung und -zeit abzurechnen und somit Kosten für das Bereithalten und die Pflege einer eigenen technischen Infrastruktur einzusparen.

Cloud Computing wird bereits von zahlreichen Firmen genutzt, um ganze Arbeitsprozesse in die Cloud auszula­gern oder um Bedarfsspitzen abzu­decken, mit denen die eigene technische Infrastruktur überfordert wäre. Auch Privatleute haben die Möglichkeit, Angebote aus der Cloud zu nutzen.

Aus Sicht der Anwender findet die eigentliche Datenverarbeitung in der Cloud intransparent statt: Sie haben in der Regel keine Kenntnis davon, wo genau sich ihre Daten in der „Wolke“ befinden, wer Zugriff auf diese hat, wo sie physisch gespeichert werden und ob die Datenschutz- und Datensicherheitsmaßnahmen des Cloud-Anbieters den gesetzlichen und ihren eigenen organisationsinternen Anfor­derungen entsprechen. Da viele Anbieter von Cloud Computing international agierende Unternehmen mit Servern außerhalb Europas sind, stellt dies insbeson­dere für europäische Anwender ein Hindernis dar, die ihrer Verantwortung für die Datenverarbeitung gemäß dem EU-Rechtsrahmen nachkommen müssen.

TClouds will diese Probleme mithilfe einer transparenten und vertrauenswür­digen Infrastruktur für solche Angebote lösen. Diese soll Anwendern eine grenzüberschreitende und dennoch datenschutzgerechte und sichere Datenspei­cherung und -verarbeitung ermöglichen und zugleich die wirtschaftlichen Vorteile der bisherigen Cloud-Computing-Lösungen beibehalten.

Die TClouds-Konzepte werden im Laufe des Projekts anhand von Szenarien im Gesundheitsbereich sowie im Energiesektor erprobt. Beide Einsatzbereiche sind beispielhaft hinsichtlich der unterschiedlichen Sensibilität der zu verarbei­tenden Daten und der Anforderungen an das Sicherheitsniveau der Cloud.

  http://www.tclouds-project.eu/

Was ist zu tun?
Jeder, der personenbezogene Daten in einer Cloud verarbeiten möchte oder eine Cloud-Computing-Infrastruktur aufbaut, muss dabei die datenschutzrechtlichen Anforderungen einhalten. Dies gilt insbesondere für grenzüberschreitende Datenflüsse sowohl innerhalb als auch außerhalb der Europäischen Union.

8.4         AN.ON  – Anonymität.Online

Das ULD bietet weiterhin einen kostenlosen Anonymisierungsserver an, der zusammen mit anderen Anbietern eine Grundversorgung an Anonymität im Internet gewährleistet.

Infolge des Urteils des Bundesverfassungsgerichts vom März 2010 zur Unzuläs­sigkeit der Regelungen zur Vorratsdatenspeicherung haben wir umgehend die Aufzeichnung von Verbindungsdaten auf unserem Anonymisierungsserver abge­schaltet und die entsprechenden Protokolle gelöscht. Auch die übrigen Betreiber sind nach unserem Wissen entsprechend verfahren.

Unser Server wird weiterhin gleichzeitig von ca. 1.200 Nutzern im Rahmen von „AN.ON – Anonymität.Online“ für den anonymen Zugriff von Webseiten einge­setzt (32. TB, Tz. 8.6). Die Anfragen von Strafverfolgungsbehörden wegen Miss­brauchs sind gegenüber den letzten Jahren deutlich zurückgegangen.

http://www.anon-online.de/

Was ist zu tun?
Das ULD wird die Gesetzgebung zur Vorratsdatenspeicherung beobachten und bei Bedarf den Anonymisierungsdienst an neue Regelungen anpassen. Den Bürgern ist auch künftig im Rahmen der rechtlichen Vorgaben eine kostenlose Möglichkeit zur anonymen Nutzung des Internets zur Verfügung zu stellen.

8.5         Studie zu Datenschutz in Online-Spielen  veröffentlicht

Das Projekt „DOS – Datenschutz in Online-Spielen wurde Ende 2009 abge­schlossen. Das ULD hat nun die Studie und einen Leitfaden zur datenschutz­gerechten Entwicklung von Online-Spielen aktualisiert und veröffentlicht.

Das DOS-Projekt wurde von 2007 bis 2009 vom Bundesministerium für Bildung und Forschung gefördert (32. TB, Tz. 8.5). Hierbei haben wir Online-Spiele für PCs, Konsolen, Handhelds, Handys, Browser und soziale Netzwerke untersucht und die wichtigsten Datenschutzprobleme identifiziert. Auf der Basis unserer Analyse haben wir einen Leitfaden für Entwickler und Betreiber von Online-Spielen zusammengestellt, der Rechtsgrundlagen, Problembereiche und prakti­sche Tipps zur Umsetzung des Datenschutzes in solchen Spielen aufzeigt. Die umfangreiche Studie und der Leitfaden können kostenlos von unserer Webseite heruntergeladen werden.

  https://www.datenschutzzentrum.de/dos/

Zahlreiche Anfragen von Spielern, Jugendorganisationen, Herstellern und Betrei­bern von Online-Spielen infolge der Veröffentlichung zeigen das große Interesse an diesem aktuellen Thema. Bei vielen ist die Unsicherheit groß, wie Daten­schutz in Online-Spielen umzusetzen ist. Hier können die Studie und der Leit­faden eine Orientierung geben.

Was ist zu tun?
Das ULD wird die weiteren Entwicklungen im Bereich der Online-Spiele beob­achten. Dies gilt insbesondere für neue Techniken, z. B. die Einbindung von Videobildern und das Zusammenspiel mit sozialen Netzwerken. Für ein Fort­schreiben des Leitfadens suchen wir Kooperationspartner.

8.6         RISERid – Registry Information Service on European Residents Initial Deployment

Das Projekt zur europäischen Melderegisterauskunft RISER macht im sechsten und letzten Projektjahr vor, wie Datenschutz in einem E-Govern­ment-Verfahren erfolgreich umgesetzt werden kann.

Das seit März 2004 entwickelte und von der Europäischen Kommission im Rahmen des eTEN-Programms geförderte Verfahren zur elektronischen Melderegisterauskunft hat sich als Innovationsmotor im Bereich der Vermittlung datenschutzgerechter Melderegisterauskünfte auf europäischer Ebene etabliert. Die EU-Förderung läuft Anfang 2011 aus; das Projekt ist aber längst wirtschaftlich etabliert und erfolgreich und zeigt, dass datenschutzfreundliche Lösungen im Wettbewerb Bestand haben können.

Die datenschutzgerechte Ausgestaltung des seit 2007 von der RISERid Services GmbH betriebenen Dienstes stand immer mit im Fokus. RISER leitet elektroni­sche Anfragen an Einwohnermeldebehörden in zehn europäische Länder weiter. Bis zu 200.000 Anfragen an Meldebehörden werden bei RISER monatlich zentral angefragt und abgeholt. Slowenien und Finnland werden in Kürze hinzukommen. Die Reichweite für elektronische Anfragen in Deutschland erreichte 80 % im Jahr 2010. In Europa werden 246 Millionen Einwohner erreicht, das sind 52 % der Einwohner. Der Dienst bietet seinen Kunden einen einheitlichen Zugang zu einer sehr heterogenen und unübersichtlichen Melderegisterlandschaft in Europa. Über das Serviceportal werden Meldeanfragen als Datei- oder Einzelanfrage über das Internet an die zuständige Meldebehörde weitergeleitet. RISER übernimmt die Funktion eines Zustellers. Als Auftragsdatenverarbeiter verwendet der Dienst die personenbezogenen Daten ausnahmslos zu den vertraglich festgelegten Zwecken und verarbeitet sie nach den vertraglich festgelegten datenschutz­konformen Verfahren. Auskünfte werden ausschließlich fallbezogen für den jeweiligen Kunden verarbeitet und die Ergebnisse ausschließlich für diesen bereit­gehalten. RISER speichert keine Ergebnisse aus Melderegisterauskünften für eigene Zwecke und macht sie weder Dritten zugänglich noch überführt Adressen in einen sogenannten Treuhandpool. Damit schützt RISER Einwohnermeldedaten strenger, als dies in einigen anderen Bundesländern der Fall ist. Diese Länder erlauben die Weiterverwendung von Einwohnermeldeauskünften, die durch Anfragen für Auftraggeber im Rahmen der Auftragsdatenverarbeitung erlangt wurden. Dies ist aus Datenschutzsicht heikel, insbesondere wenn der Auftrag­geber z. B. eine Bundes­anstalt ist. Allein über die Tatsache der Anfrage durch diesen Auftraggeber besteht eine Zusatzinformation, die, wird sie dem Melde­datensatz angefügt, zu negativen Auswirkungen für den betroffenen Bürger führen kann.

Das Angebot von RISER unterscheidet sich positiv durch die strikte Zweck­bindung im Rahmen der Auftragsdatenverarbeitung von dem Angebot vieler Adresshändler und Auskunfteien. Insbesondere das Sammeln von Adressen in sogenannten Adressen- oder Treuhandpools (32. TB, Tz. 8.7) zur Weiter­verwendung ist datenschutzrechtlich problematisch und allenfalls zulässig, wenn der Addresssammler oder Treuhandpool sich seinerseits auf eine eigene Rechts­grundlage für die Datenverarbeitung berufen kann. Eine Datenverarbeitung im Auftrag liegt in diesen Fällen in der Regel nicht vor, denn der „Treuhänder“ spei­chert die Daten für eigene Zwecke. Die Einstellung der im Rahmen einer einfa­chen Melderegisterauskunft erlangten Adressdaten in den Pool erfüllt nicht mehr den vom Auftraggeber verfolgten Geschäftszweck. Der Auftraggeber hat die gewünschte Auskunft erhalten, und der Vorgang ist abgeschlossen. Die weitere Vorhaltung der Daten ist für diesen Auftrag nicht mehr erforderlich und dient ausschließlich dem Dienstleister, der aus dem Pool der gespeicherten Adressen andere anfragende Stellen beauskunftet. Die Geschäftszwecke des Auftraggebers können nicht als Rechtsgrundlage für eine Auftragsdatenverarbeitung und den Aufbau eines treuhänderisch verwalteten Datenpools herangezogen werden.

Auch das über RISER bei einer Meldebehörde anfragende Unternehmen darf die durch die Meldeauskunft aktualisierte Adresse nur dann für Zwecke der Werbung, Markt- oder Meinungsforschung nutzen, wenn diese Nutzung eben­falls durch eine Rechtsgrundlage abgedeckt und insoweit nach dem Bundes­datenschutzgesetz zulässig ist.
Bei der einfachen Melderegisterauskunft, die durch die deutschen Meldebehörden an Anfragende nur bei Nennung von Namen und Adresse oder Geburtsdatum über eine dadurch eindeutig zu identifizierende Person erteilt wird, handelt es sich um eine nicht allgemein zugängliche Quelle. Die einfache Meldeauskunft wird nicht voraussetzungslos erteilt: Der Anfragende muss im berechtigten Besitz eines Datensatzes sein, mit dem die gesuchte Person eindeutig identifizierbar ist; schutzwürdige Interessen der betroffenen Person dürfen der Auskunft nicht entge­genstehen.

Im Mai 2010 fand die 5. Konferenz für E-Services im Meldewesen in Europa im Rathaus Schöneberg in Berlin statt. 120 internationale Teilnehmer aus 21 Län­dern diskutierten über Melderecht und Datenschutz bei nationalen Melderegistern. Auf der Konferenz stellte die Organization for Security and Cooperation in Europe (OSCE) ihren Leitfaden zum Melderecht vor. Die Konferenz wird sich weiterhin als Forum für Interessenvertreter aus dem Bereich Meldewesen mit lokalen, nationalen, europäischen und insbesondere mit datenschutzrechtlichen Fragen befassen. Mit einer Veranstaltung im Februar 2011 zum Thema „Vorteil Datenschutz – Wie Unternehmen und Behörden Datenschutz zu ihrem Vorteil nutzen können“ wurde das RISER-Projekt abgeschlossen.

http://www.riserid.eu/

 

8.7         Datenschutzdiskurse im „Privacy Open Space

Das Projekt „Privacy Open Space“ – kurz „PrivacyOS“ – wurde vom ULD initiiert, um unterschiedliche Akteure aus den Bereichen IT-Entwicklung und Datenschutz zusammenzubringen und Lösungsvorschläge für drängende Probleme vorzustellen und zu diskutieren.

Die Erfahrungen von Entwicklern, Nutzern und Datenschutzbehörden zeigen, dass die Anforderungen des Datenschutzes bei E‑Services bereits in einem frühen Stadium berücksichtigt, umgesetzt und in Prozesse integriert werden müssen. Es fehlten Foren für die Beteiligten zur Diskussion aktueller und richtungsweisender Entwicklungen. Diese Lücke wurde von PrivacyOS geschlossen. Das ULD erhielt 2008 hierfür den Zuschlag im Rahmen des „ICT Policy Support Programme“ der Europäischen Kommission. Das Projekt führte Vertreter aus den Bereichen Wirtschaft, Wissenschaft, Regierung und Gesellschaft zusammen, um die Entwicklung und die Anwendung von Datenschutzinfrastrukturen in Europa zu fördern und zu unterstützen. Alle 15 Projektpartner aus 12 europäischen Ländern und das ULD als Koordinator können langjährige Erfahrungen auf dem Gebiet des Daten­schutzes aufweisen.

Der Datenschutzdiskurs auf den Konferenzen von PrivacyOS erfolgt nach der sogenannten Open-Space-Methode: Die Teilnehmerinnen und Teilnehmer brin­gen eigene Themen ein und gestalten dazu Vorträge und Diskussionen. Die Agenda eines Open Space, also eines offenen Raums, wird erst zu Beginn einer Konferenz erstellt. Jeder kann ein Datenschutzthema einbringen und bekommt in Abhängigkeit des Interesses der anderen Teilnehmer einen Zeitblock und einen Raum zugeordnet. Diese Dynamik erleichtert es, neue und aktuelle Themen zu behandeln. Ziel ist die Etablierung einer dauerhaften Zusammenarbeit und des Austausches innerhalb der Mitgliedstaaten und verschiedener EU-Projekte zum Thema Datenschutz.

PrivacyOS ist ein Diskussionsforum für Best Practices zu Themen wie Electro­nic ID-Cards, eParticipation, Datenschutz-Gütesiegel oder Kryptomechanismen. Über einen Zeitraum von zwei Jahren wurden vier Open-Space-Konferenzen parallel zu Veranstaltungen mit datenschutzrechtlicher Relevanz für Vertreter aus den Bereichen Wirtschaft, Wissenschaft, Regierung und Gesellschaft angeboten.

Nach den ersten drei PrivacyOS-Konferenzen in Straßburg (2008), Berlin und Wien (beide 2009) mit regem internationalem Zuspruch (32. TB, Tz. 8.8) fand die letzte im Rahmen des geförderten Projektes abgehaltene Veranstaltung in Oxford mit 61 Teilnehmern aus 15 Ländern statt. Vertreten waren die Organisa­tionen W3C, der Europäische Verbraucherverband (beuc), die Universitäten Frankfurt und Leipzig, Nokia Siemens, HP, die Datenschutzbehörde aus Litauen sowie Teilnehmer aus den Vereinigten Staaten und Japan. Schwerpunkte bei den 30 Vorträgen in Oxford waren die Erhöhung des Datenschutzbewusstseins und Möglichkeiten der besseren Sichtbarmachung von datenschutzrelevanten Aspek­ten bei der Online-Nutzung über Datenschutzsymbole, sogenannte Privicons, die Überwachung und Verfolgung, also das Tracking von Online-Aktivitäten durch den Staat oder private Unternehmen – z. B. beim digitalen Fernsehen, durch Google Street View, in sozialen Netzwerken – und die Steuerung im häuslichen Bereich, z. B. durch RFID.

Als Resultat der Konferenzreihe wurde ein Open-Space-Leitfaden erstellt, der die in dem Projekt gesammelten Erfahrungen für die Organisation zukünftiger Konferenzen zur Verfügung stellen soll. Die Konferenzen erwiesen sich als Motor für die Zusammenarbeit der Akteure bei der Weiterentwicklung des technischen und rechtlichen Datenschutzes. Es wird angestrebt, die aufgebauten Kontakte über eine projektbezogene Zusammenarbeit fortzuführen und den Open-Space-Ansatz bei zukünftigen Veranstaltungen als Angebot aufzunehmen.

https://www.privacyos.eu/

Was ist zu tun?
Die Vernetzung und Kommunikation unter den Akteuren ist weiter zu verbes­sern, um einen proaktiven Datenschutz in privaten und öffentlichen Organisa­tionen zu unterstützen und umzusetzen.

 

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel