25. Tätigkeitsbericht (2003)
9 |
Modellprojekte zur Weiterentwicklung des Datenschutzes |
|||
9.1 |
Virtuelles Datenschutzbüro ausgebaut
|
|||
|
Das Virtuelle
Datenschutzbüro bleibt auf Erfolgskurs. Im deutschsprachigen
Raum dürfte es mittlerweile die erste Anlaufadresse sein, wenn
es um Datenschutzfragen geht. Dies soll auch nach dem Auslaufen
der Förderung im Jahr 2003 so bleiben. Das Virtuelle Datenschutzbüro
ist eine gemeinsame Einrichtung der meisten Landesbeauftragten und
des Bundesbeauftragten für den Datenschutz in Deutschland sowie
verschiedener nichtstaatlicher und ausländischer Datenschutzkontrollinstanzen.
Es wurde bis zum Ende des Jahres 2002 gefördert durch die Initiative
Informationsgesellschaft Schleswig-Holstein. Zu dem Service
gehört vor allem die Portalseite www.datenschutz.de Im Jahr 2002 wurden die Möglichkeiten zur Meldung von Beiträgen
bzw. Links in das Virtuelle
Datenschutzbüro wesentlich vereinfacht. Dies hatte die
Folge, dass die Projektpartner intensiver Inhalte meldeten, die
auf ihren oder anderen Seiten im Internet veröffentlicht sind.
Mittlerweile gibt es über 1000 gemeldete Artikel, das
entspricht einer Steigerung innerhalb des Jahres 2002 um
ca. 40 %. Auch die Zahlen der Abrufe zeigen weiter nach oben.
Wir schätzen, dass täglich zwischen 500 und 800 Nutzer
die Seite ansurfen. Die Bedeutung des Portals www.datenschutz.de
zeigt sich auch daran, dass bei der Suche nach dem Begriff ”Datenschutz”
in der am meisten benutzten Suchmaschine ”Google” als
erster Treffer das Virtuelle
Datenschutzbüro erscheint. Eine wesentliche Neuerung war der Umstieg auf ein neues Content-Management-System.
An die Stelle des bisherigen Systems ist am 03.02.2003 eine auf
der Platform Zope programmierte Software getreten. Zope hat die
Vorteile, die Open-Source-Software generell bietet. Für die
Seite sind auch für die Zukunft mehrere Erweiterungen geplant.
So soll vor allem ein interner Bereich für den Austausch
von Informationen unter den Projektpartnern geschaffen werden,
in dem z. B. die Geschäftsverteilungspläne und andere
interne Informationen zur Verfügung gestellt werden. Nachdem im Jahr 2002 die Förderung ausgelaufen ist, muss
sich das Projekt ohne Fördergelder ”über Wasser”
halten. Die meisten Projektpartner haben zugesagt, für das
Jahr 2003 einen finanziellen Beitrag zu leisten. Es wird
sich zeigen, inwieweit es auf dieser Grundlage möglich ist,
neben der bloßen Aufrechterhaltung des Betriebs zusätzlich
weitere Verbesserungen vorzunehmen. Künftig werden in verstärktem Maße auch externe
Kooperationspartner aufgenommen. Dies können unabhängige
Datenschutzexperten sein, aber auch Organisationen, Unternehmen
oder Privatpersonen, die Produkte oder Dienstleistungen im Bereich
Datenschutz anbieten. Mittelfristig könnte die Zusammenarbeit
mit diesen Kooperationspartnern eine zusätzliche Basis zur
Refinanzierung des Projekts bilden. Nach dem Auslaufen der Förderung bietet es sich an, Bilanz
zu ziehen und zu untersuchen, ob die ursprünglich angestrebten
Ziele erreicht wurden. Die Schaffung eines Kontaktpunktes für
die Nutzer dürfte gelungen sein. Das Virtuelle
Datenschutzbüro bietet ein One-Stop-Shopping an,
das es den Nutzern ermöglicht, an wichtige Datenschutzinformationen
zu gelangen, ohne die Seiten der vielen unterschiedlichen Instanzen
einzeln absurfen zu müssen. Die große Zahl von gemeldeten
Artikeln und die ständige Veröffentlichung von News, die
zum Teil noch nicht vorher in anderen Medien gemeldet wurden, tun
ein Übriges dazu. Allerdings muss konstatiert werden, dass
die ursprünglich erwartete Beteiligung auch von nicht deutschsprachigen
Projektpartnern weit hinter den Erwartungen zurückgeblieben
ist. Gerade mit den reduzierten Ressourcen, die nach dem Auslaufen
der Förderung vorhanden sind, ist es für die wenigen Mitarbeiter
im ULD nicht möglich, ohne Hilfe eine vollständige englischsprachige
Datenschutzseite zu etablieren und ständig aktuell zu halten.
Die angestrebte bessere Arbeitsteilung und der leichtere
Informationsaustausch werden durch das Virtuelle
Datenschutzbüro realisiert. Dazu dienen u. a. die einschlägigen
Mailinglisten, mit deren Hilfe sich verschiedene Arbeitskreise der
Konferenz der Datenschutzbeauftragten schon gegenwärtig austauschen.
Das Ziel, ein Versammlungsort für Datenschutzexperten außerhalb
der Datenschutzdienststellen zu werden, wird dann weiter realisiert
werden, wenn mehr Kooperationspartner gefunden worden sind, die
Beiträge zum Virtuellen Datenschutzbüro liefern. Das Interesse
ist groß, wie erste Anfragen zeigen.
|
||||
9.2 |
AN.ON |
|||
Nachdem der Anonymisierungsdienst AN.ON
vor knapp zwei Jahren den Betrieb aufgenommen hat, konnte er sich
mittlerweile fest etablieren. Untersuchungen zeigen stetig steigende
Nutzungszahlen. Bereits im 23. und 24. Tätigkeitsbericht (jeweils unter
Tz. 9.2) wurde über
das seit Anfang 2001 bei uns in Kooperation mit der Technischen
Universität (TU) Dresden sowie der Freien Universität
Berlin durchgeführte und vom Bundesministerium für
Wirtschaft und Arbeit bis Ende 2003 geförderte Projekt
”AN.ON - Anonymität
online” berichtet. Die von der Technischen Universität Dresden entwickelte Client-Software
JAP kann von jedermann kostenlos aus
dem Internet heruntergeladen werden. Mithilfe dieses Tools wird
die anonyme Nutzung von Diensten im World Wide Web ermöglicht.
Bei Verwendung des JAP wird der Kontakt
zu den Webservern nicht, wie normalerweise üblich, unmittelbar
aufgenommen, sondern für den Nutzer unsichtbar über eine
Kette von Verschlüsselungsservern (so genannte ”Mixe”)
geleitet. Diese sorgen dafür, dass niemand Kenntnis von der
IP-Adresse des Nutzers erlangen kann. Hierin besteht die Besonderheit
des AN.ON-Dienstes
gegenüber anderen Anonymisierungsdiensten. Der AN.ON-Dienst
garantiert Anonymität und Unbeobachtbarkeit nicht nur gegenüber
dem Anbieter der angesurften Webseite sowie dem eigenen Serviceprovider,
sondern auch gegenüber den Betreibern des Anonymisierungsdienstes
selbst. Der Betrieb eines Anonymisierungsdienstes wirft die Frage auf,
ob er nicht zu kriminellen Zwecken missbraucht werden kann.
Grundsätzlich lässt es sich nicht ausschließen,
dass ein Anonymisierungsdienst auch missbräuchlich genutzt
wird. Wir haben im Rahmen des Projektes die Aufgabe übernommen,
den Betrieb des Anonymisierungsdienstes rechtlich zu betreuen. Beschwerden,
in denen missbräuchliche Nutzungen des Dienstes beklagt werden,
werden von uns beantwortet. Wie bereits im letzten Tätigkeitsbericht
beschrieben (24. TB, Tz. 9.2),
wandten sich sowohl die Polizei und die Staatsanwaltschaften
als auch Privatpersonen und Firmen an uns. Die Anfragen der Strafverfolgungsbehörden
betreffen in erster Linie laufende Ermittlungsverfahren bei Vorliegen
eines strafrechtlichen Anfangsverdachts. Es ging hierbei z. B. um
Verdachtsfälle auf Kreditkarten- und Bestellbetrug. In zwei
Fällen ging es um Straftaten im Zusammenhang mit Kinderpornografie.
Bei den Anfragen von Privaten bzw. Firmen handelte es sich z. B.
um Beschwerden über Störungen von Diskussionsforen, beleidigende
Äußerungen oder Hackerangriffe auf Internet-Angebote.
Da es zum Wesen des Anonymisierungsdienstes gehört, keine Verbindungsdaten
zu speichern, die eine spätere Identifizierung einzelner Nutzer
zulassen, ist eine Auskunftserteilung grundsätzlich nicht möglich.
Dieser Verzicht auf die Verarbeitung personenbezogener Nutzungsdaten
entspricht der aktuellen Gesetzeslage. Die Erhebung und Speicherung
derartiger Daten ist nach den Vorschriften des Teledienstedatenschutzgesetzes
(TDDSG nämlich nur dann erlaubt, wenn dies erforderlich ist,
um die Inanspruchnahme des Dienstes zu ermöglichen oder abzurechnen.
Diese Voraussetzungen liegen jedoch nicht vor, da die Inanspruchnahme
des Dienstes anonym und kostenlos erfolgt. Die Vorgaben des TDDSG
werden von uns also strikt eingehalten. Im Übrigen hat der Gesetzgeber den Anbietern von Telediensten
in § 4 Abs. 6 TDDSG die Verpflichtung
auferlegt, dem Nutzer die Inanspruchnahme von Telediensten und ihre
Bezahlung anonym oder unter Pseudonym zu ermöglichen.
Das anonyme Surfen ist damit nicht nur zulässig, sondern rechtlich
geboten. Ziel des Projektes ist es, diesem gesetzgeberischen Auftrag
nachzukommen. Interessant ist, dass der Gesetzgeber auch im Rahmen
der jüngsten Novellierung des TDDSG Anfang 2002 diese Vorschrift
unverändert gelassen hat und die Möglichkeit zur anonymen
Nutzung des Internets offenbar weiterhin als wichtiges Anliegen
betrachtet. Den Bestrebungen auf europäischer Ebene, die Möglichkeit
anonymer Nutzung von Internet-Diensten durch Einführung einer
Pflicht der Diensteanbieter zur Vorratsdatenspeicherung einzuschränken,
erteilen wir eine klare Absage (vgl. hierzu Tz. 8.5). Nach Ablauf der Hälfte der Projektlaufzeit wurde im Sommer
2002 eine erste Bilanz der Anzahl der Nutzungen des Anonymisierungsdienstes
gezogen. Da keine personenbezogenen Daten über die Nutzer erhoben
und gespeichert werden, verfügen wir nur über statistisches
Material zu den Nutzungszahlen. Die Anzahl der Downloads der Software
JAP von der Webseite der Projektpartner
der TU Dresden ist sicherlich nicht ohne weiteres zur Ermittlung
von Nutzungszahlen geeignet, allerdings lässt sich daraus der
Schluss ziehen, dass die Verbreitung des Tools JAP
zunimmt. Daneben wurde das Tool mittlerweile über CD-ROM durch
mehrere einschlägige Computerzeitschriften verbreitet. Die
Anzahl der Nutzer innerhalb der Anonymitätsgruppe wird vom
so genannten Infoservice ermittelt und den Nutzern angezeigt. Hierbei
handelt es sich um Daten, die keinerlei Personenbezug ermöglichen.
Seit Januar 2002 sind statistisch mindestens 600 Nutzungen pro
Stunde nachweisbar. Im Juli 2002 waren es 800, und im August
2002 ließen sich mindestens 1000 Nutzungen pro Stunde feststellen.
Die Anzahl von über 2000 Nutzungen wurde erstmalig Mitte August
2002 überschritten. Für uns war es von besonderem Interesse, diese ermittelten
Nutzungszahlen ins Verhältnis zur Anzahl der Missbrauchsfälle
zu setzen. Häufig wird nämlich in den Medien der Eindruck
erweckt, als werde das Internet überproportional häufig
für kriminelle Zwecke genutzt. Gerade bei garantierter Anonymität
liegt eine derartige Annahme nahe. Wir wurden aber vom Gegenteil
überrascht. Unsere im August 2002 vorgenommene Auswertung bezog
sich auf den Zeitraum vom Beginn des Online-Betriebes des JAP
bis Juli 2002. Nach vorsichtiger und überaus restriktiver Schätzung
haben wir für diesen Zeitraum durchschnittlich ca. 5000 Nutzungen
täglich zugrunde gelegt und sind von ca. 1,2 Millionen Nutzungsfällen
insgesamt ausgegangen. Dieser Zahl stehen im gleichen Zeitraum 17
Anfragen deutscher Strafverfolgungsbehörden gegenüber.
Außerdem wurden 15 Anfragen von Privatpersonen bzw. Firmen
an uns gerichtet, in denen missbräuchliche Nutzungen des JAP
beklagt wurden. Setzt man diese Zahlen ins Verhältnis zu den
ermittelten Nutzungszahlen, ergibt sich ein verschwindend geringer
Promillesatz, der auf missbräuchliche Nutzungen des Anonymisierungsdienstes
hindeutet. Die ermittelten Zahlen über die Nutzung des JAP
lassen insoweit bei aller Vorsicht den Schluss zu, dass offenbar
die überwältigende Anzahl der Nutzungen gerade nicht zu
kriminellen Zwecken erfolgt. Dieses Ergebnis wird von uns als sehr
positives Signal gewertet und bestärkt uns in unserem Bestreben,
den Anonymisierungsdienst weiter auszubauen. AN.ON wird offenbar
zunehmend auch von deutschen Firmen und Organisationen mit ausländischen
Dependancen für Internet-Recherchen genutzt. Mit AN.ON
ist es nämlich möglich, auch aus Ländern mit beschränktem
Internet-Zugriff einen freien Informationszugang zu erlangen. Vereinzelt
wurde der Zugriff auf Anonymitätsserver aus solchen Ländern,
die über keine demokratische Staatsform verfügen,
unterbunden. Darauf haben die Projektpartner ihrerseits reagiert.
In einigen Fällen konnte eine Lösung gefunden werden,
um die Sperrung des Zugriffs zu umgehen. Seit August 2002 betreiben auch wir einen eigenen Mix-Server.
Da die Kosten einer Internet-Leitung für den Betrieb eines
solchen Servers sehr hoch sind, wird unser System in den Räumlichkeiten
der TU Dresden unter Nutzung der dortigen Internet-Leitung betrieben.
Der Rechner befindet sich physikalisch getrennt von den dort betriebenen
Servern in einem speziellen PC-Tresor, der lediglich von unseren
Mitarbeitern geöffnet werden kann. Zugriffe auf die Administrationsebene
des Rechners sind ebenfalls ausschließlich durch uns möglich,
sodass ein hoher Grad an Unabhängigkeit gewährleistet
werden kann. Die alljährlich von uns veranstaltete Sommerakademie
stand im Jahr 2002 unter dem Motto ”Unser Recht
auf Anonymität”. Die Vorstellung des Projektes ”AN.ON
- Anonymität online” nahm in diesem Zusammenhang eine
zentrale Rolle ein. Das Thema wurde von Experten unterschiedlicher
Disziplinen eingehend beleuchtet. Außerdem haben wir zwei Veröffentlichungen zum
Thema Sicherheit im Internet herausgebracht. Aus der Reihe ”Safer
Surfen” ist ein neues Faltblatt erhältlich, das praktische
Tipps und Hinweise zur Installation und Nutzung des JAP
enthält. Außerdem haben wir eine 48-seitige Broschüre
mit dem Titel ”Sicherheit im Internet durch Anonymität”
herausgegeben, die Informationen zum technischen, rechtlichen sowie
soziologischen Hintergrund des Projektes ”AN.ON
- Anonymität online” enthält. Beide Publikationen
können bei uns kostenlos bestellt werden. Im Internet stehen
sie unter
zum Download zur Verfügung. Weiter gehende Informationen zum Projekt befinden sich im Internet
unter:
Das Projekt ”AN.ON - Anonymität online” wird gefördert durch das 
|
||||
9.3 |
Datenschutz-Schul-CD fertig gestellt
|
|||
|
Beim Projekt einer multimedialen Lern-CD zum Datenschutz in
Aus- und Weiterbildung, das vom Bundesministerium für Bildung,
Wissenschaft, Forschung und Kultur gefördert wurde, oblag uns
vor allem die Erstellung des Moduls ”Datenschutz in der Schule”. Wir haben auf der CD den Tagesablauf von Schülerinnen und
Schülern in Situationen dargestellt, die teilweise von hoher
datenschutzrechtlicher Relevanz sind: Ein Lehrer plaudert aus der
Zeugniskonferenz, Videokameras werden auf dem Pausenhof zur Schülerüberwachung
installiert, im PC-Unterricht liest der Lehrer heimlich die aufgerufenen
Seiten und E-Mails mit, die Polizei führt in der großen
Pause eine Drogenrazzia auf dem Schulhof durch, Zeugniskladden usw.
finden sich im Altpapiercontainer. Solche realitätsnahen
Lebenssachverhalte sind uns aus Beratungsgesprächen, Eingaben
und Prüfungen bekannt. Die Praxisbeispiele werden auf der CD
sowohl hinsichtlich ihrer Auswirkungen auf die Betroffenen wie der
rechtlichen Bewertung erläutert. Über elf Geschichten erfolgt ein Einstieg in die technischen
und rechtlichen Fragestellungen. Die Geschichte einer Freistunde
erzählt von zwei Schülern im PC-Raum ihrer Schule, die
sich per Hacking-Angriff den Entwurf einer Mathearbeit beschaffen,
die ihr Lehrer auf seinem PC abgespeichert hat. Erklärt wird,
was Hacking ist, welche Unterschiede zwischen Crashing und Ausspionieren
von Daten aus straf- und datenschutzrechtlicher Sicht bestehen.
Bei dieser Gelegenheit werden den Nutzern verschiedene Formen von
Internet-Viren erläutert und Tipps gegeben, wie sie sich vor
ihnen schützen können. Über kleine Rechtsfälle
zum Computerstrafrecht wird z. B. erklärt, wann man strafmündig
ist und wie eine Jugendstrafverhandlung abläuft. Außerdem werden auf der CD allgemeine und aktuelle datenschutzrechtliche Fragen gestellt und Antworten gegeben. Sie führt in die Grundbegriffe des Datenschutzes ein und vermittelt über einen hierarchisch aufgebauten Clickstream mit Sprungmöglichkeiten und Querverweisen die Vertiefung der Kenntnisse anhand der multimedial in Text, Bild und Ton präsentierten Fälle. Die CD wurde im Rahmen der Media-Tage Nord Schülerinnen und
Schülern sowie Informatiklehrern und Interessierten vorgestellt
und im Hinblick auf Ansprache, Verständlichkeit und Lerneffekte
evaluiert. In den oberen Gymnasialklassen war die Resonanz
durchweg positiv. Auch zunächst weniger an datenschutzrechtlichen
Fragestellungen Interessierte konnten erkennen, welchen Nutzen der
Datenschutz z. B. bei ihren vielfältigen und umfangreichen
Internet-Ausflügen hat (vgl. 24. TB, Tz. 9.5). |
||||
9.4 |
EU-Projekte zu Datenschutzaudit und Gütesiegel |
|||
|
Die EU und das Wirtschaftsministerium des Landes Schleswig-Holstein
fördern im Rahmen des Programms ”e-Region” die Verbreitung
von Datenschutzaudits und -Gütesiegeln nach schleswig-holsteinischem
Datenschutzrecht. Die Mittel der EU stammen aus den innovativen
Maßnahmen des Europäischen Fonds für Regionale Entwicklung
(EFRE) der Generaldirektion Regionalpolitik.
Eine finanzielle Förderung aus dem Programm ”e-Region
Schleswig-Holstein” zur Erlangung eines Gütesiegels konnte
vorrangig von schleswig-holsteinischen KMU
beantragt werden, die ein IT-Produkt herstellen oder vertreiben,
das zur Nutzung in öffentlichen Stellen des Landes Schleswig-Holstein
geeignet ist. Insgesamt sind bei uns 18 Anträge auf Förderung
eingegangen, von denen 15 die Voraussetzungen für eine Förderung
erfüllten. Unternehmen, die die Förderkriterien erfüllen,
erhalten einen Zuschuss zu den Gutachterkosten. Der Eigenanteil
des Unternehmens liegt bei mindestens 50 %. Darüber hinaus
erbringen wir unsere an sich gebührenpflichtigen Dienstleistungen
kostenfrei. Insgesamt stehen Fördermittel in Höhe
von 50.000 Euro zur Verfügung. Kriterium für die
Entscheidung über die Förderung war das Innovationspotenzial
des IT-Produkts hinsichtlich datenschutzfördernder Eigenschaften
im Sinne der Datenschutzauditverordnung (DSAVO). Eine wichtige Rolle
spielte auch die prospektive Wirkung auf dem IT-Markt, auf die primäre
Zielgruppe des Datenschutz-Gütesiegels
(öffentliche Stellen in Schleswig-Holstein) sowie allgemein
der grenzübergreifende Charakter des Produkts wie z. B. die
Zusammenarbeit des Herstellers mit Firmen anderer EU-Mitgliedstaaten.
Die geförderten Produkte sind im Internet aufgeführt unter:
Gegenstand des Projekts Datenschutzaudit
ist die gebührenfreie Durchführung eines Auditverfahrens
für öffentlich geförderte IT-Projekte. Neue IT-Verfahren
sollen so von vornherein auf ihre dauerhafte Übereinstimmung
mit den datenschutzrechtlichen Bestimmungen geprüft werden.
Zu diesem Zweck werden die 12 Projektpartner des e-Region-Programms
in den jeweiligen Bewilligungsbescheiden vom Wirtschaftsministerium
aufgefordert, Kontakt mit uns aufzunehmen, um die Möglichkeit
eines Datenschutzaudits prüfen zu lassen. Im Berichtszeitraum
wurde bereits eine Vereinbarung über ein solches gefördertes
Audit mit dem Kreis Segeberg
geschlossen (vgl. Tz. 10.2 dieses
Berichtes). |
||||
9.5 |
P3P - Datenschutz für Internet-Surfer |
|||
|
Das World Wide Web bietet viele Möglichkeiten, Nutzerdaten
zu sammeln. Nutzer, die es interessiert, was die Anbieter mit ihren
Daten machen, wie lange sie sie aufbewahren und welche Rechte ihnen
zur Verfügung stehen, finden Antworten in den Datenschutzerklärungen
der Anbieter. Doch angesichts der kurzen Verweildauer auf Websites
werden diese seitenlangen, zuweilen fremdsprachigen Texte nur selten
gelesen. Hier hilft P3P.  Die P3P-Technik gleicht die Datenschutzvoreinstellungen
des Internet-Surfers in seinem Browser mit den Datenschutzerklärungen
der Anbieter auf ihren Websites ab und gibt das Ergebnis kurz zusammengefasst
in der Sprache des Browsers aus. So kann der Surfer auf einen
Blick feststellen, ob die Erhebung, Nutzung und Aufbewahrung
seiner personenbezogenen Daten für ihn akzeptabel ist, ob er
seine Gestaltungsrechte ausüben oder ob er von dem Besuch der
Website gänzlich absehen sollte. P3P ist ein universeller technischer
Standard, der dem Internet-Surfer in der Praxis mehr Transparenz
und Kontrolle über seine Daten ermöglicht. Das World
Wide Web Consortium (W3C) hat
den Standardisierungsprozess für die P3P-Version
1.0, an der auch wir mitgewirkt haben (vgl. 21. TB, Tz. 7.1.4;
22. TB, Tz. 9.3;
23. TB, Tz. 8.6),
im April 2002 abgeschlossen. Seitdem ist eine erste Version von
P3P in ersten Browsern verfügbar,
und eine zunehmende Anzahl von Webanbietern stellt - wie wir schon
seit längerem (vgl. 23. TB, Tz. 8.6)
- Datenschutzerklärungen für ihre Inhalte bereit. Anbieter, die Daten in Deutschland verarbeiten oder über
die Verarbeitung von Daten in Deutschland entscheiden, sind an deutsches
Datenschutzrecht gebunden. Dies muss sich auch in den P3P-Datenschutzerklärungen
widerspiegeln. Für Anbieter aus dem europäischen Ausland
gelten insoweit die datenschutzrechtlichen Vorschriften ihrer Länder,
als Mindeststandard jedoch die Vorgaben der Europäischen Datenschutzrichtlinie. Um zur Verbreitung von P3P und damit
zu einer erhöhten Transparenz und Kontrolle für den Internet-Surfer
beizutragen, erarbeiten wir im Rahmen eines vom Wirtschaftsministerium
des Landes geförderten Modellprojektes rechtskonforme
Datenschutzpolicies für datenintensive Webdienste (z. B. E-Commerce-Anwendungen)
und stellen diese zum Download bereit.
Anbieter können diese Vorlagen für ihre Websites übernehmen,
sie müssen jedoch sicherstellen, dass die angegebenen Schutzstandards
auch tatsächlich eingehalten werden. Eine gesetzeskonforme
Datenverarbeitung liegt auch im eigenen Interesse des Anbieters,
lässt sie sich doch als werblich verwertbares Seriositätsmerkmal
dem fehlenden Vertrauen der Nutzer in Internet-Firmen entgegensetzen. |
||||
 |
Viele Nutzer übernehmen die Voreinstellungen ihres Browsers unverändert. Damit entscheidet die Standardeinstellung in einem P3P-fähigen Browser wesentlich darüber, welche Schutzstandards die Internet-Surfer künftig von WWW-Anbietern verlangen werden. Für Internet-Surfer haben wir Anleitungen zur Nutzung und Konfiguration solcher P3P-Software zur Verfügung gestellt unter:
|
|||
9.6 |
Identitätsmanagement |
|||
Vom Recht auf informationelle Selbstbestimmung ist in der digitalen
Welt oft kaum etwas zu sehen, denn weder haben die Nutzer eine echte
Kontrolle darüber, was mit ihren Daten passiert, noch wissen
sie auch nur annähernd, wer was wann über sie weiß.
Identitätsmanager könnten die Situation der Nutzer entscheidend
verbessern. Wir arbeiten an der Entwicklung solcher Programme mit. Bei jeder Verwendung des Internets hinterlassen die Nutzer Spuren,
wenn sie nicht spezielle Anonymisierer benutzen (vgl. Tz. 9.2).
Auf der anderen Seite mangelt es an Authentizität: Es kann
z. B. passieren, dass Personen unter falschem Namen im Internet
agieren und dabei Unheil anrichten, das dann einem anderen zugerechnet
wird. Dieser so genannte ”Identity Theft” ist inzwischen
ein ernst zu nehmendes Phänomen geworden, über das international
viele Websites informieren (z. B. http://www.idtheftcenter.org oder
http://www.identitytheft.org). Schon mehrfach hatten sich betroffene
Petenten an uns gewandt, doch zurzeit gibt es keine zuverlässige
technische Abhilfe. Für Anonymität und Authentizität in verschiedenen
Abstufungen zu sorgen ist Aufgabe von Identitätsmanagementsystemen
(vgl. 23. TB, Tz. 10.6;
24. TB, Tz. 8.5).
Die aktuell verfügbaren Identitätsmanager sind noch nicht
besonders effektiv. Sie beschränken sich meist auf kleine Funktionsbereiche
wie eine Passwortverwaltung für alle möglichen Internet-Accounts
(Single-Sign-On). Einige umfangreichere Systeme wie Microsoft Passport
oder der Liberty-Alliance-Standardisierungsversuch wollen dem Nutzer
bequeme Möglichkeiten für das Einkaufen im Web bieten,
ohne dass jedes Mal die Nutzerdaten erneut eingegeben werden müssen;
gleichzeitig werden die Daten für eine Weiterverarbeitung in
Firmendatenbanken in einem einheitlichen Format bereitgehalten. Die meisten Systeme erfordern, dass der Nutzer dem Anbieter die
eigenen Daten anvertraut - und damit aus der Hand gibt. Datenschutzgerechte
Identitätsmanagementsysteme, die Wert auf mehr Selbstbestimmung
und Kontrollmöglichkeiten der Nutzer legen und auf Anonymitätstools
aufsetzen, werden mittlerweile an einigen Universitäten und
in Forschungslabors von Firmen entwickelt. Zusammen mit der Technischen
Universität Dresden, dem IBM-Forschungslabor Zürich und
der Universität Karlstad in Schweden arbeiten wir an einem
Prototyp. Weitere europäische Partner haben ihr Interesse
angemeldet. In dem Berichtsjahr haben wir in Kooperation mit dem italienischen
Notariat ”Studio Notarile Genghini” eine Ausschreibung
zur Erstellung der Studie ”Identity Management Systems (IMS):
Identification and Comparison Study” gewonnen, die von
der Gemeinsamen Forschungsstelle der Generaldirektionen der Europäischen
Kommission, Institut für technologische Zukunftsforschung,
Sevilla initiiert wurde. In dieser Studie geht es darum, den Stand
der Technik zu Identitätsmanagementsystemen darzustellen. Die
einzelnen Kapitel beschäftigen sich zunächst mit den Grundlagen
wie Definition, Anforderungen, Mechanismen und Design. Es folgt
ein Testbericht von einer ganzen Reihe von Identitätsmanagern.
Ein Fokus wird auf die europäische Sicht bei der Entwicklung
und Einführung solcher Systeme gelegt. Schließlich runden
die Ergebnisse einer Expertenbefragung, die wir durchführen,
diese Studie ab. Fertigstellungstermin ist im Herbst 2003. Wir werden
im nächsten Tätigkeitsbericht angeben, wie das europäische
Institut für technologische Zukunftsforschung unsere Ideen
zu Identitätsmanagement aufgenommen
hat und wo man die Studie beziehen kann. Unser Ziel ist es, den Weg für tatsächlich datenschutzfreundliche
Identitätsmanagementsysteme zu bereiten. Schließlich
geht es hier um ein wichtiges Datenschutztool der Zukunft,
das uns allen den selbstbewussten, situationsadäquaten und
sozial verträglichen Umgang mit unserer Identität erleichtern
kann. Unsere Beiträge zu diesem Projekt können abgerufen
werden unter:
|
||||
9.7 |
Zuarbeit für ein Datenschutzauditgesetz des Bundes
|
|||
|
Gemeinsam mit der Deutschen Hochschule für Verwaltungswissenschaften
Speyer sind wir an einem Projekt des Bundesministeriums des Innern
zur Vorbereitung eines Datenschutzauditgesetzes des Bundes beteiligt.
Wir haben in diesem Rahmen einen Bericht über die Erfahrungen
mit den Instrumenten Datenschutzaudit
und IT-Gütesiegel
in Schleswig-Holstein erstellt. Ziel dieses Projektes ist, dem Bundesministerium des Innern für
den im Jahr 2003 zu erstellenden Gesetzentwurf für ein Datenschutzauditgesetz
des Bundes eine umfassende Informationsgrundlage zur Verfügung
zu stellen. Während unser Beitrag in der Auswertung der in
Schleswig-Holstein gewonnenen Erfahrungen besteht, führt die
ebenfalls am Projekt beteiligte Hochschule für Verwaltungswissenschaften
Speyer eine Gesetzesfolgenabschätzung durch. Im Rahmen dieses
Projektbeitrags fand im September 2002 in Speyer ein Workshop
statt, an dem Experten aus Wirtschaft, Wissenschaft und Verwaltung
- darunter auch Vertreter des ULD - teilnahmen. Hierbei wurden unterschiedliche
Modelle einer Regelung sowohl für ein Verfahrensaudit als auch
für ein Produktaudit gegenübergestellt, von den Experten
diskutiert und auf ihre möglichen Folgen untersucht. Wir haben dem Bundesinnenministerium zum Jahresende unseren Bericht
übergeben, der unsere Erfahrungen in der praktischen
Anwendung der Regelungen über Audit
und Gütesiegel
systematisch auswertet.
|
| Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |
