Content

Teil 5: Ausgewählte Fragestellungen in:

Thomas Warnecke

Identitätsmanagement und Datenschutz, page 315 - 332

Verantwortung für einen datenschutzgerechten Zugang zu transaktionsbezogenen E-Government-Anwendungen unter besonderer Berücksichtigung der De-Mail-Dienste und des neuen Personalausweises

1. Edition 2019, ISBN print: 978-3-8288-4055-3, ISBN online: 978-3-8288-6925-7, https://doi.org/10.5771/9783828869257-315

Series: Wissenschaftliche Beiträge aus dem Tectum Verlag: Rechtswissenschaften, vol. 118

Tectum, Baden-Baden
Bibliographic information
Ausgewählte Fragestellungen In diesem Teil sollen nun mit den oben gefundenen Ergebnissen ausgewählte Fragestellungen untersucht werden, die sich auf die Umsetzung eines datenschutzgerechten Zugangs zu transaktionsbezogenen E-Government-Anwendungen beziehen. Ein wichtiger Bereich ist in diesem Zusammenhang das De-Mail-Konzept. Es können hier aber nicht alle erdenklichen Einzelprobleme angesprochen werden, da dies den Rahmen dieser Arbeit sprengen würde. Jedenfalls sollen hier auch infrastrukturelle Bedingungen wie Datensicherheit erwähnt werden, die zur Verwirklichung eines effektiven Datenschutzes beitragen. Regelung einer Ende-zu-Ende Verschlüsselung im De-Mail-Gesetz oder separat? In der bisherigen Arbeit wurde bereits erwähnt, dass eine verpflichtende Ende-zu-Ende-Verschlüsselung im De-Mail-Gesetz nicht erfolgt ist. Der Gesetzgeber hat sich bei der Frage des Sicherheitsstandards aus Gründen der simplen Handhabbarkeit des Dienstes für den Nutzer dagegen entscheiden2141. Dies ist im Rahmen der Ermessenserwägungen der Umsetzung der staatlichen Schutzpflicht auch zulässig. Kritisch wurde es insbesondere auch im Hinblick auf die zu erreichenden Schutzziele der IT-Sicherheit gesehen2142. Die Ende-zu-Ende-Verschlüsselung ist gegenwärtig wieder stärker in den rechtspolitischen Fokus gerückt2143. Insbesondere der Schutz gegen ein Mitlesen elektronischer Kommunikation durch Dritte ist im Zuge der Enthüllungen von Edward Snowden aktuell geworden. Fraglich ist, an welcher Stelle möglicherweise eine Ende-zu-Ende-Verschlüsselung gesetzlich geregelt werden kann. Adressaten einer solchen Regelung müssten in jedem Fall die Diensteanbieter sein, weil diese die technischen Voraussetzungen hierfür schaffen müssen, die sie dem Nutzer zur Verfü- Teil 5: A. 2141 BT-Drs. 17/3630, S. 21; Heckmann/Seidl/Maisch, Sicherheitsniveau bei der elektronischen Kommunikation, S. 71; für das sächsiche E-Government-Gesetz gibt es eine Verschlüsslungspflicht: Vgl. Albrecht/Schmid, AnwZert ITR 11/2014 Anm. 3; zum Verhältnis von Datenschutz und Verschlüsselung: Stiemerling/Hartung, CR 2012, 60 (60 ff.). 2142 Lechtenbörger, DuD 2011, 268 (268) mit Verweis auf Bedner/Ackermann, DuD 2010, 323 (323); kritisch auch Roßnagel, NJW 2011, 1473 (1475). 2143 Vgl. hierzu den Koalitionsvertrag zwischen CDU, CSU und SPD: „Deutschlands Zukunft gestalten“, S. 104, zu finden unter: http://www.bundesregierung.de/Content/DE/_Anlagen/2013/2013 -12-17-koalitionsvertrag.pdf?__blob=publicationFile (letzter Abruf: 08.11.2015), sowie das Interview mit den Staatssekretären Gerd Billen und Ulrich Kelber aus dem Bundesministerium für Justiz und Verbraucherschutz mit iRights.info, zu finden unter: http://irights.info/artikel/wir-muesse n-bei-jeder-regelung-mit-bedenken-ob-sie-auch-im-digitalen-raum-passt/23367 (letzter Abruf: 08.11.2015); zu einem möglichen Anspruch des Bürgers auf Verschlüsselung: Petersen, Die Rechtsprobleme des Electronic Government, S. 94 ff. 315 gung stellen. Auch der Nutzer müsste sich technisch auf diese Form der Verschlüsselung einstellen. Für die Sicherheit der elektronischen Kommunikation in der Breite wäre es sinnvoll und notwendig, wenn die Ende-zu-Ende-Verschlüsselung nicht nur im De-Mail-Gesetz, sondern an anderer Stelle mit weiterem Geltungsbereich geregelt werden würde. Im transaktionsbezogenen E-Government kommt nicht nur De-Mail als Infrastruktur in Betracht. Praxisbeispiel: E-Government-Anwendung iKfz Auf der Ebene der Umsetzung von transaktionsbezogenem E-Government soll nun im Folgenden eine bereits angebotene Anwendung als Praxisbeispiel vorgestellt werden, um die zuvor in dieser Arbeit erörterten Fragen bei der praktischen Umsetzung zu illustrieren. Das Projekt iKfz Das Projekt internetbasierte Kfz-Anmeldung (iKfz) stellt ein Beispiel der föderalen Zusammenarbeit im E-Government dar. Dieses Projekt dient dazu, die analoge Zulassung von Kraftfahrzeugen an der Kfz-Zulassungsstelle medienbruchfrei in die Online- Welt zu transferieren. Grundsätzlich sind Träger der Zulassungsstellen in Deutschland im Wesentlichen die Kreise und kreisfreien Städte. Das Projekt iKfz wird vom Bundesministerium für Verkehr und digitale Infrastruktur in der projektbezogenen Aufbauphase geleitet. Für den Wirkbetrieb ist eine föderale Zusammenarbeit zwischen dem Kraftfahrtbundesamt (KBA), u. a. dem Land Niedersachsen, der kommunalen Gebietskörperschaften mit Kfz-Zulassungsstelle sowie IT- und anderen Dienstleistern eingeplant. Das Projekt ist also durch eine Multi-Stakeholder-Struktur mit einer Vielzahl von Akteuren gekennzeichnet. Das Projekt besitzt mehrere Ausbaustufen: 1. Stufe: internetbasierte Außerbetriebsetzung, 2. Stufe: internetbasierte Wiederzulassung, 3. Stufe: Konzeption eines Gesamtverfahrens zur internetbasierten Fahrzeugzulassung und 4. Stufe: Realisierung dieses Gesamtverfahrens2144. Bisher befindet sich dieses in der ersten Ausbaustufe, der internetbasierten Außerbetriebsetzung auf Basis des Projektes DOL Kfz-Wesen. Bei iKfz handelt es sich um eine gesetzlich verpflichtende E-Government-Anwendung, die jede Kfz-Zulassungsstelle in Deutschland umsetzen muss und die somit dem Trend der Steuerung des E-Governments durch Recht folgt2145. B. I. 2144 Bundesministerium des Innern (Hrsg.), E-Government-Initiative für De-Mail und den Personalausweis, S. 25. 2145 Die Prozess-, Ablauf- und Organisationsveränderungen durch E-Government müssen zwangsläufig ein rechtliches Thema sein: Vgl. Schliesky, DVP 2013, 420 (420). Teil 5: Ausgewählte Fragestellungen 316 Das NAVO-Portal mit dem nPA als Identitätsmanagement-Infrastruktur In Niedersachsen hat das Land mit dem sog. NAVO-Portal eine Single-Sign-On-Lösung als Identitätsmanagement-Infrastruktur geschaffen. NAVO steht für niedersächsische Antragsverwaltung online und bietet ein Bürgerkonto an, welches von Landesbehörden und von Kommunen für ihre Verfahren genutzt werden kann2146. Als Basisfunktionalitäten stehen hier eine Identifizierungskomponente, eine Postfach-Funktionalität und ein temporärer Dokumentensafe zur Verfügung2147. Das NAVO bietet auch die Möglichkeit von Schnittstellen zur Verfahrenssoftware, um Daten für eine medienbruchfreie Bearbeitung einfach und automatisch übernehmen zu können2148. Für die kommunalen Gebietskörperschaften in Niedersachsen, die Träger von Kfz- Zulassungsstellen sind, besteht die Möglichkeit, sich dort anzumelden und das Portal als Identitätsmanagement-Infrastruktur gegenüber dem Bürger zu nutzen. Der Bürger kann sich ebenfalls dort anmelden, um die Funktionalitäten der Single-Sign-On- Lösung zu nutzen. Nutzerverantwortlichkeit Auch in dieser E-Government-Anwendung stellt sich die Frage der Reichweite der Eigenverantwortung des privaten Nutzers in einem Umfeld mit vielen verschiedenen Akteuren. Grundsätzlich greift auch hier, dass den Nutzer bezüglich seiner individuellen Infrastruktur Selbstschutzobliegenheiten treffen. Im Zuge der Einführung von iKfz waren die kommunalen Gebietskörperschaften, die Träger von Kfz-Zulassungsstellen sind, gezwungen, Nutzungsbedingungen für diese E-Government-Anwendung zu definieren. Für die Nutzung der Anwendung muss der private Nutzer einen Vertrag zur Nutzung des NAVO-Portals schließen. Angesichts der Vielzahl von Akteuren, der föderalen Zusammenarbeit und auch unterschiedlicher Herrschaftssphären ist dies nicht trivial. Beispielhaft sollen hier die Nutzungsbedingungen des Landkreises Osterode herausgegriffen werden2149. Die Ziffer 5 ist überschrieben mit „Pflichten des Nutzers“ und regelt, dass der Nutzer dafür Sorge zu tragen hat, dass sein Kartenlesegerät und das Endgerät gegen Benutzung durch Unbefugte und Beeinflussung durch Schadsoftware geschützt sind. Der Nutzer hat die ordnungsgemäße Funktion seines Systems zu überprüfen. Darüber hinaus wird der Nutzer auf die Einhaltung der rechtlichen Vorschriften und die Unterlassung von Beeinträchtigungen der Anwendung verpflichtet. Die Formulierung zum Kartenlesegerät nimmt die Regelungen aus § 27 Abs. 3 PAuswG auf und statuiert sie im Binnenverhältnis zwischen Nutzer und Ver- II. III. 2146 Vgl. hierzu www.navo.de. 2147 IT-Planungsrat (Hrsg.), Erfahrunsgberichte zum Einsatz von Bürgerkonten, S. 27. 2148 Bundesministerium des Innern (Hrsg.), E-Government-Initiative für De-Mail und den Personalausweis, S. 6. 2149 Vgl. hierzu die Nutzungsbedingungen des Landkreises Osterode am Harz : http://www.landkreisosterode.de/media/custom/103_18554_1.PDF?1424940957&La=1 (letzter Abruf: 08.11.2015). B. Praxisbeispiel: E-Government-Anwendung iKfz 317 waltung. Die Formulierung in den Nutzungsbedingungen könnte als Obliegenheit für die individuelle Infrastruktur aufgefasst werden. Penetrationstests der Anwendung durch die Verwaltung und Audits als Umsetzung der Schutzpflicht Für das Projekt iKfz sind im weiteren Verlauf auch verwaltungsseitig durchgeführte Penetrationstests für die Anwendung geplant, um die Datensicherheit zu testen. Verwaltungsseitig durchgeführte Penetrationstests können als faktische Umsetzung der staatlichen Schutzpflicht für die informationelle Selbstbestimmung des Nutzers eingeordnet werden. Sie stellen eine Schwachstellenanalyse dar und folgen der Grundprämisse, dass es keine absolute Sicherheit in der IT geben kann. Dies setzt voraus, dass diese Tests nicht nur einmal stattfinden, sondern institutionalisiert werden, damit fortlaufend Schwachstellen aufgedeckt werden. Wie sehr solche Tests notwendig sind, zeigt ein Angriff von Cyberkriminellen auf Kfz-Zulassungsstellen in Hessen und Rheinland-Pfalz am 22.06.20152150. De-Mail als Rückkanal für Bescheide Im Zusammenhang mit iKfz ist an den Einsatz der De-Mail als Rückkanal für den Bescheid an den Bürger gedacht. Maßgeblich hierfür ist § 14 Abs. 4 Fahrzeugzulassungsverordnung (FZV). Bei den beteiligten Akteuren war in diesem Zusammenhang streitig, ob die kommunalen Gebietskörperschaften, die Träger einer Kfz-Zulassungsstelle sind, aus § 14 Abs. 4 FZV verpflichtet sind, dem Bürger den Rückkanal über De-Mail zu ermöglichen2151. Maßgeblich ist in diesem Kontext, dass nach § 2 Abs. 1 S. 2 des Bundes-EGovG Bundesbehörden De-Mail verpflichtend anbieten müssen, kommunale Gebietskörperschaften nur dann, wenn dies explizit landesgesetzlich geregelt ist2152. Das bedeutet, dass Kfz-Zulassungsstellen in Niedersachsen Bescheide nach wie vor auf papierschriftlichem Wege zustellen können. Damit wären nicht alle Transaktionen rund um die Kfz-Zulassung vollelektronisch medienbruchfrei abzuwickeln. Verantwortliche Stelle Die komplexe Multi-Stakeholder-Struktur in dieser E-Government-Anwendung und die nicht minder komplexen Interaktionsbeziehungen der Akteure führen zu der Fra- IV. V. VI. 2150 Vgl. http://www.swr.de/landesschau-aktuell/rp/cyberangriff-in-rheinland-pfalz-hacker-legen-zula ssungsstellen-lahm/-/id=1682/did=15712540/nid=1682/1butqwn/index.html (letzter Abruf: 08.11.2015). 2151 Vgl. hierzu das Rundschreiben des Niedersächsischen Landkreistages Nr. 376/2015. 2152 Das ist in Niedersachsen derzeit noch nicht der Fall; vgl. aber § 4 NDiG-E, LT-Drs 18/1598, S. 6. Teil 5: Ausgewählte Fragestellungen 318 ge, wer hier eigentlich die verantwortliche Stelle ist. Dies hat unter anderem auch deswegen Relevanz, weil sich danach bestimmt, ob weitere datenschutzrechtliche Erfordernisse wie z. B. die Erstellung einer Verfahrensbeschreibung erfüllt werden müssen. Die zuständigen Fachbereiche der kommunalen Gebietskörperschaften bleiben Herr der Fachaufgabe. Jedoch werden mit der NAVO-Lösung in Niedersachsen und der zentralen Serverkomponente beim KBA auch in verschiedenen anderen Herrschaftssphären personenbezogene Daten verarbeitet. Gegenwärtig ist dies noch unklar. Besondere Bedeutung von Bezahldiensten Besondere Bedeutung erlangen bei dieser E-Government-Anwendung Bezahldienst- Komponenten, die meistens von externen Dienstleistern erbracht werden. Das Schadenspotenzial ist in diesem Bereich auch für den Nutzer der Anwendung besonders groß. Die Verwaltung muss bei den Bezahldienst-Komponenten insbesondere die Anschlussfähigkeit an ihre Finanzbuchhaltungs-Systeme im Blick behalten. In den meisten Fällen haben die Dienstleister von Bezahldiensten eigene umfangreiche AGB, denen sich auf der einen Seite die Verwaltung und auf der anderen Seite gerade auch der private Nutzer unterwerfen muss. Dies führt dazu, dass der Nutzer ein weiteres vertragliches Konstrukt wählen und dieses auch kognitiv durchdringen muss. Insoweit steigen auch hier wieder die Anforderungen an die Eigenverantwortung des Nutzers. Bei gewerblichen Nutzern von iKfz wie Autohäusern ist hier ein großzügiger Maßstab möglich. Fazit: Komplexe Vertragslandschaft für den Nutzer Als Fazit aus dem Praxisbeispiel iKfz lässt sich festhalten, dass die Anforderungen an den Nutzer hoch sind, da er zur Nutzung dieser Anwendung mehrere Verträge abschließen muss, die ihm datenbezogene Selbstschutzobliegenheiten abverlangen. Deutlich wird auch, dass in so komplexen transaktionsbezogenen E-Government-Anwendungen wie iKfz die Frage, welcher Akteur mit welchem anderen vertragliche Verbindungen eingeht, nicht leicht zu klären ist. Darüber hinaus besteht die Frage nach Verantwortlichkeitssphären und die Frage, welcher Akteur nun genau datenverarbeitende Stelle ist. Auch hier dürfen die Anforderungen an den privaten Nutzer durch AGB und Nutzungsbedingungen nicht überspannt werden. Wichtig ist auch hier das Leitbild eines mündigen, medienkompetenten Nutzers. Anonyme und pseudonyme Nutzung von Diensten Im Zusammenhang mit der Frage der Eigenverantwortung des Nutzers und unter dem Stichwort Selbstdatenschutz ist vielfach die anonyme und die pseudonyme Nutzung von Diensten diskutiert worden. In vielen Zusammenhängen wird bei der Nut- VII. VIII. C. C. Anonyme und pseudonyme Nutzung von Diensten 319 zung von Webdiensten deutlich, dass die klassische datenschutzrechtliche Rollenaufteilung zwischen den beteiligten Akteuren an ihre Grenzen stößt2153. Anonymisierung und Pseudonymisierung werden als Bestandteile des Selbstdatenschutzes und als Kennzeichen einer sinnvollen rechtlichen Einhegung der Nutzung von Identitäten gesehen2154. Diese dienen dem Persönlichkeitsschutz2155 und sind auch Manifestation der Eigenverantwortung des Nutzers, der zugunsten seiner informationellen Selbstbestimmung handelt. Es beruht nämlich in der Regel auf einem Willensentschluss des Nutzers, ob er Dienste anonym oder unter Pseudonym nutzt. Elemente des Selbstschutzes des Nutzers finden sich, wie bereits erwähnt, in § 13 Abs. 6 TMG, indem diese Regelung dem Diensteanbieter die Pflicht aufgibt, die Nutzung von Telemediendiensten anonym oder unter Pseudonym zu ermöglichen2156. Bereits das BVerfG hat im Volkszählungsurteil am Beispiel der Statistik einen grundsätzlichen Anspruch auf Anonymisierung, verbunden mit Vorkehrungen gegen die Deanonymisierung, angenommen2157. Nach § 3 Abs. 6 BDSG a. F. war Anonymisieren das Verändern personenbezogener Daten derart, dass die Einzelangaben über persönliche oder sachliche Verhältnisse nicht mehr oder nur mit einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft einer bestimmten oder bestimmbaren Person zugeordnet werden können. In dieser Vorschrift wurden die Fälle der tatsächlichen Anonymisierung geregelt, die gegeben ist, wenn der Personenbezug nicht mehr hergestellt werden kann, und der faktischen Anonymisierung, die vorliegt, wenn der Personenbezug nur mit einem unverhältnismäßig großen Aufwand wiederhergestellt werden könnte und daher nicht zu erwarten ist2158. Nach § 3 Abs. 6a BDSG a. F. war Pseudonymisieren das Ersetzen des Namens und anderer Identifikationsmerkmale durch ein Kennzeichen zu dem Zweck, die Bestimmung des Betroffenen auszuschließen oder wesentlich zu erschweren. Dieses Kennzeichen kann durch den Betroffenen selbst, einen vertrauenswürdigen Dritten oder die für die Datenverarbeitung verantwortliche Stelle vergeben werden2159. Bei der Pseudonymisierung kann derjenige, der das Pseudonym vergibt, den Personenbezug wiederherstellen (relative Bestimmbarkeit)2160. Nunmehr definiert Art. 4 Nr. 5 DS- GVO den Begriff der Pseudonymisierung und die Erwägungsgründe 26 ff. der DS- GVO treffen Aussagen zur Pseudonymisierung. 2153 Schaar, in: Schmidt/Weichert (Hrsg.), Datenschutz, 363 (364). 2154 Schneider, in: Borges/Schwenk, Daten- und Identitätsschutz in Cloud Computing, E-Government und E-Commerce, 21 (32); Schweighofer, in: Benedek/Pekari (Hrsg.), 257 (268); ein allgemeines Recht auf Anonymität wird abgelehnt: Vgl. Brunst, Anonymität im Internet – rechtliche und tatsächliche Rahmenbedingungen, S. 197; zum Verhältnis von Personenbezug und Anonymität: Kühling/Klar, NJW 2013, 3611 (3613 ff.). 2155 Rose, K&R 2011, 439 (444). 2156 In diesem Kontext ist immer wieder die Klarnamenpflicht in den Nutzungsbedingungen von Facebook in der Diskussion, die den einschlägigen Vorschriften des TMG widerspricht. 2157 BVerfGE 65, 1; Az BvR 209/83 u. a.; Rn 49; Schaar, in: Schmidt/Weichert (Hrsg.), Datenschutz, 363 (368 f.). 2158 Eßer, in: Auernhammer, § 3 BDSG, Rn. 67. 2159 Eßer, in: Auernhammer, § 3 BDSG, Rn. 68. 2160 Eßer, in: Auernhammer, § 3 BDSG, Rn. 68 (Hervorhebung im Original). Teil 5: Ausgewählte Fragestellungen 320 Anonymisierung und Pseudonymisierung unterscheiden sich dadurch, dass bei einer Anonymisierung die Daten zumindest für eine logische Sekunde personenbezogen sind, dieser Zustand aber sofort im System geändert wird, sodass dann kein Personenbezug mehr möglich ist2161. Es gibt kritische Stimmen in der Literatur, die darauf hinweisen, dass die Möglichkeiten für Pseudonymisierung und Anonymisierung im geltenden Datenschutzrecht defizitär sind und es zur weiteren Förderung einer Abkehr vom Verbotsprinzip im Datenschutzrecht bedürfe2162. Dies kann hier nicht weiter erörtert werden. Beide Verfahren sind jedenfalls nur Teilelemente des Selbstdatenschutzes. In § 5 Abs. 2 De-Mail-Gesetz ist eine Regelung enthalten, wonach der akkreditierte Diensteanbieter Nutzern auch auf Verlangen pseudonyme E-Mail-Adressen zur Verfügung stellen kann, wenn es sich beim Nutzer um eine natürliche Person handelt. Die Inanspruchnahme eines Dienstes unter Pseudonym durch den Nutzer muss Dritten gegenüber erkennbar sein. Diese Kennzeichnung in der De-Mail-Adresse durch die Buchstabenkombination „pn“ soll der Verhinderung von Identitätsmissbrauch dienen2163. Über diese Möglichkeit kann der Nutzer von De-Mail frei entscheiden. Im Bereich des transaktionsbezogenen E-Governments sind den Möglichkeiten der Anonymisierung und Pseudonymisierung aber auch Grenzen gesetzt. Sollen im transaktionsbezogenen E-Government Fachverfahren vollelektronisch abgewickelt werden, so sind z. B. die Identitätsdaten des Antragstellers erforderlich. Hier ist der Begriff der numerischen Identität i. S. e. Identifizierbarkeit einer natürlichen Person, der dieser Arbeit zugrunde liegt, heranzuziehen. Bei transaktionsbezogenen E-Government-Anwendungen kommt es im Gegensatz zu E-Government-Anwendungen auf den Interaktionsebenen Information und Kommunikation eben gerade darauf an, dass die Identifizierbarkeit der natürlichen Person erhalten bleibt. Zur Sicherheit im elektronischen Rechtsverkehr ist die Identifizierbarkeit hier erforderlich. Insoweit kann die anonyme und pseudonyme Nutzung als Manifestation der Eigenverantwortung des Nutzers nur begrenzt eingesetzt werden. Die Rolle der datenschutzrechtlichen Einwilligung im E-Government Die datenschutzrechtliche Einwilligung ist eine weitere fundamentale Manifestation der informationellen Selbstbestimmung des Nutzers und markiert die Eigenverantwortung des Nutzers2164. Sie macht den Kern des Inhalts des Grundrechts auf informationelle Selbstbestimmung aus und ist gelebte Grundrechtsausübung und kein D. 2161 Schaar, in: Schmidt/Weichert (Hrsg.), Datenschutz, 363 (368). 2162 Härting, NJW 2013, 2065 (2069). 2163 BT-Drs. 17/3630, S. 29. 2164 Für eine wirksamere Ausgestaltung der Einwilligung zum Schutz des „Kernbereichs der Persönlichkeit“ im Rahmen der Datenschutz-Grundverordnung: Schneider/Härting, CR 2014 306 (309) (Hervorhebung im Original); in der Praxis fallen Lesen, Verstehen und Handeln bei der Einwilligung häufig auseinander: Vgl. Arnold/Hillebrand/Waldburger, DuD 2015, 730 (730 ff.). D. Die Rolle der datenschutzrechtlichen Einwilligung im E-Government 321 Grundrechtsverzicht2165. Jeder soll grundsätzlich selbst über die Verwendung und Preisgabe seiner persönlichen Daten bestimmen können2166. Bei der Einwilligung wird also die Eigenverantwortung des privaten Nutzers am deutlichsten. Die Einwilligung soll auf einfachgesetzlicher Ebene „genuiner Ausdruck“ des Grundrechts auf informationelle Selbstbestimmung des Betroffenen sein2167. Deswegen kommt es gerade auch auf die freiheits- und selbstbestimmungskonforme Ausgestaltung elektronischer Kommunikation an2168. Die Regelungen zur Einwilligung werden als Schlüssel zur Datensouveränität gesehen, die den bisherigen Zustand der im Wege der Einwilligung nur simulierten Selbstbestimmung verbessern soll2169. Grundsätzlich ist das Datenschutzrecht durch das Verbotsprinzip bzw. das präventive Verbot mit Erlaubnisvorbehalt gekennzeichnet2170. Die Ausnahme davon ist ein gesetzlicher Erlaubnistatbestand oder die Einwilligung des von der Datenverarbeitung Betroffenen. Bei der Datenverarbeitung öffentlicher Stellen sind die meisten Datenverarbeitungskontexte durch formellgesetzliche Rechtsgrundlagen legitimiert, dennoch kann es Konstellationen geben, in denen öffentliche Stellen auf die Einwilligung zurückgreifen müssen. Nach der nunmehr geltenden Regelung in Art. 7 Abs. 4 DS-GVO ist die Einwilligung nur wirksam, wenn sie auf der freiwilligen Entscheidung des Betroffenen beruht, und sie ist nach Art. 7 Abs. 3 DS-GVO frei widerruflich. Das bedeutet, dass an die Begleitumstände der Einwilligung entsprechende Anforderungen zu stellen sind. Häufig wird dem Nutzer ein bestimmter Kontext zur Verarbeitung seiner Daten vorgegaukelt, der bei verschiedenen Diensten die dahinter stehende tiefere Geschäftsidee verschleiert und den Nutzer glauben lässt, er habe eine bewusste, verantwortungsvolle Entscheidung getroffen2171. Problematisch unter dem Gesichtspunkt der Kenntnis des Ausmaßes der Einwilligung sind sog. Blankoeinwilligungen2172. Ein grundsätzliches Dilemma für den Datenschutz überhaupt besteht darin, dass der Nutzer als juristischer Laie die Einwilligungserklärungen in ihrer Reichweite nicht versteht, sie aber vielfach formaljuristisch betrachtet korrekt sind2173. Rechtsdogmatisch betrachtet schließt die Einwilligung nur dann den Eingriff in das Grundrecht auf informationelle Selbstbestimmung aus, wenn der Einwilligende die Tragweite seiner Entscheidung absehen kann2174. Vielfach agieren aber kommerzielle Anbieter so, dass sie das Ver- 2165 BVerfG, 1 BvR 2027/02 – 23.10.2006; Simitis, in: Ders. (Hrsg.), § 4a BDSG, Rn. 2. 2166 BVerfGE 65, 1 (Volkszählungsurteil 1. Leitsatz). 2167 Roßnagel/Pfitzmann/Garstka, Modernisierung des Datenschutzrechts, S. 72. 2168 Gusy, DuD 2009, 33 (35). 2169 Maas, DuD 2015, 579 (579). 2170 Hierzu grundlegend: Karg, DuD 2013, 75 (75 ff.); den Hinweis, dass das Verbot mit Erlaubnisvorbehalt von der Einwilligung unterlaufen werde, geben: Kamp/Rost, DuD 2013, 80 (83). Für eine generelle Aufgabe des Verbotes mit Erlaubnisvorbehalt und stattdessen für explizit geregelte Verbote plädiert: Petersen, Grenzen des Verrechtlichungsgebotes im Datenschutz, S. 155. 2171 Heckmann, K&R 2010, 770 (772). 2172 Becker/Becker, MMR 2012, 351 (354). 2173 Heckmann, in: Schmidt/Weichert (Hrsg.), Datenschutz, 265 (270); ders., NJW 2012, 2631 (2631 ff.); von „asymmetrischer Erwartungssicherung“ spricht: Knabe, in: Schünemann/Weiler (Hrsg.), E-Government und Netzpolitik im europäischen Vergleich, 277 (292). 2174 Kunig, JURA 1993,595 (601). Teil 5: Ausgewählte Fragestellungen 322 trauen der Nutzer missbrauchen2175. Die Einwilligung ist daher ein problematisches Instrument. Die Einwilligung muss durch den Betroffenen grundsätzlich freiwillig erfolgen2176. Dies wird bei wirtschaftlich ungleichen Machtpositionen, bei übermäßigen Anreizen oder dann, wenn eine echte Wahlfreiheit nicht gegeben ist, verneint2177. Es besteht eine jederzeitige Widerrufsmöglichkeit bei der Einwilligung, die von jetzt an für die Zukunft gilt2178. Eine elektronisch erteilte Einwilligung muss eindeutig dem Betroffenen zuzuordnen sein, sie darf nicht verändert werden können und muss protokolliert werden, sodass sie grundsätzlich vom Betroffenen jederzeit nachvollzogen werden kann2179. Diese Voraussetzungen beabsichtigen grundsätzlich, dass sie für den Betroffenen eine kalkulierbare Schutzwirkung vermitteln2180. Fraglich ist aber häufig, ob diese Schutzwirkung in der Realität besteht. Die Einwilligung des privaten Nutzers in verschiedenste Datenverarbeitungsvorgänge spielt auch im transaktionsbezogenen E-Government eine große Rolle. E-Government-Anwendungen sind dadurch gekennzeichnet, dass die Kommunikationsprozesse in vielerlei Hinsicht durch private Diensteanbieter abgewickelt werden, sodass sich die Notwendigkeit für die Einwilligung des Nutzers ergibt. Bei der Einwilligung im Kontext elektronischer Angebote werden sog. Opt-in- und Opt-out-Lösungen unterschieden2181. Bei Opt-in-Lösungen muss der private Nutzer durch aktives Tun, z. B. durch Setzen eines Häkchens in einer Bildschirmmaske, seine Einwilligung in die Datenverarbeitung kundtun. Bei Opt-out-Lösungen gehen die Grundeinstellungen von einer Einwilligung des Nutzers aus, und er kann erst durch aktives Tätigwerden verhindern, dass eine Datenverarbeitung stattfindet. Das Opt-out-Verfahren ist datenschutzrechtlich problematisch, weil es von einer falschen Grundvoraussetzung ausgeht. Beim Opt-in-Verfahren wird die Einwilligung des Nutzers häufig durch das sog. Double-Opt-in-Verfahren eingeholt, bei dem der Nutzer eine Bestätigungs- E-Mail erhält, die einen Link enthält, den der Nutzer dann noch einmal bestätigen muss2182. Diese Art der Lösung schafft insgesamt für den Nutzer mehr Sicherheit. Ein Beispiel für die Einwilligung im E-Government ist die Ausnahme vom datenschutzrechtlichen Grundsatz der Direkterhebung in § 5 EGovG bei der Einreichung elektronischer Nachweise2183. Die Einwilligung soll hier durch eine einfache E-Mail erfolgen können, was dem Nutzer zusätzlichen Aufwand ersparen soll2184. Darüber hinaus gibt es im transaktionsbezogenen E-Government die unterschiedlichsten Kon- 2175 Heckmann, K&R 2010, 770 (772). 2176 Volle, Datenschutz als Drittwirkungsproblem, S. 62 f. 2177 Kramer, in: Auernhammer, § 4a BDSG, Rn. 3 m. w. N. 2178 Hartge, in: Schmidt/Weichert (Hrsg.) Datenschutz, 280 (282). 2179 Hartge, in: Schmidt/Weichert (Hrsg.) Datenschutz, 280 (282); Petersen, Grenzen des Verrechtlichungsgebotes im Datenschutz, S. 191 ff. 2180 Kamp/Rost, DuD 2013, 80 (82). 2181 Lindhorst, Sanktionsdefizite im Datenschutzrecht, S. 58 ff; Lübking/Zilkens, Datenschutz in der Kommunalverwaltung, 2. Aufl., 2008, Rn. 166 ff.; Hanloser, CR 2008, 713 (715). 2182 Schreibauer, in: Auernhammer, § 13 TMG, Rn. 36. 2183 Müller-Terpitz/Rauchhaus, JurPC Web-Dok. 96/2012, Abs. 19. 2184 Hintergrundpapier des BMI zum EGovG-E, S. 4; BR-Drs. 557/12, S. 55. D. Die Rolle der datenschutzrechtlichen Einwilligung im E-Government 323 texte, in denen der Nutzer in die Datenverarbeitung einwilligen muss. Auch hier ist auf die Umstände, unter denen die Einwilligung erteilt wird, zu achten. Die Einwilligung ist insgesamt ein Instrument, welches anfällig ist für fremdbestimmende Einflüsse. Die Effektivität der Einwilligung als Instrument zur Gewährleistung der informationellen Selbstbestimmung ist daher vielfach in Zweifel gezogen worden2185. Das, was heute als Einwilligung eines Nutzers im digitalen Umfeld stattfindet, wird deswegen auch nur als die Anwendung von „Vertrauen“ im Sinne eines Mechanismus zur Reduktion von Komplexität bezeichnet, weil der Nutzer das Ausmaß nicht mehr durchschaut2186. Es wird vielfach eine nur noch untergeordnete Rolle der datenschutzrechtlichen Einwilligung angenommen, da diese im Rahmen elektronischer Datenverarbeitung ihre Steuerungswirkung verliert2187. Vielfach sind, wie in dieser Arbeit bereits skizziert wurde, Konstellationen von Machtasymmetrien vorhanden, bei denen die Einwilligung nicht das beste Mittel zum Schutz der informationellen Selbstbestimmung ist, da die Macht der Institutionen, welche die Einwilligung beim Nutzer einholen, verschleiert wird2188. Die Einwilligung wird teilweise auch als Datenschutzrisiko für den Betroffenen und die Allgemeinheit gesehen2189. Die Einwilligung kann vielfach ihre rechtfertigende Wirkung nicht erfüllen2190. Das datenschutzrechtliche Instrument der Einwilligung ist insbesondere auch im transaktionsbezogenen E-Government dennoch wichtig. Für den Schutz der informationellen Selbstbestimmung des Nutzers reicht es aber nicht aus, sich auf dieses Instrument allein zu verlassen, weil es faktische Entwicklungen gibt, welche die Steuerungskraft der Einwilligung mindern. Auch hier ist wieder die Grenzlinie zwischen der Eigenverantwortung des privaten Nutzers und der Umsetzung der staatlichen Schutzpflicht betroffen. Bei der Umsetzung von transaktionsbezogenem E-Government sollte der Einwilligung des privaten Nutzers ein Höchstmaß an Transparenz seitens der E-Government anbietenden Verwaltung und der Diensteanbieter vorausgehen. Die oben genannten Transparenzpflichten des Verantwortlichen gegenüber dem Betroffenen gehen diesbezüglich in die richtige Richtung. Daneben können andere datenschutzrechtliche Grundsätze wie der Zweckbindungsgrundsatz auf anderer Ebene bei konsequenter Umsetzung bereits eine stärkere Steuerungswirkung entfalten als die Einwilligung2191. Die Einwilligung ermöglicht zwar die Eigenverantwortung des Nutzers, ist jedoch kein Allheilmittel für den optimalen Schutz der informationellen Selbstbestimmung des Nutzers. Im Umfeld der Einwilligung sind Informationen des Nutzers und die Kenntnisnahme der Reichweite der Einwilligung notwendig. Das bedeutet, der Einwilligung muss etwas vorausgehen, was den mündigen Nutzer ent- 2185 Buchner, DuD 2010, 39 (39 ff.); ders., Informationelle Selbstbestimmung im Privatrecht, S. 231 ff; Schaar, Datenschutz im Internet, Rn. 552 ff.; Iraschko-Luscher, DuD 2006, 706 (706 ff.). 2186 Heckmann, K&R 2010, 770 (776) mit Verweis auf Luhmann, Vertrauen, 4. Aufl. 2000, S. 27 ff. (Hervorhebung im Original). 2187 Roßnagel, APuZ 5-6/2006, 9 (12). 2188 Rost, DuD 2013, 85 (86). 2189 Kamp/Rost, DuD 2013, 80 (83). 2190 Heckmann, K&R 2010, 770 (776). 2191 Forgó/Krügel/Rapp, Zwecksetzung und informationelle Gewaltenteilung, S. 110. Teil 5: Ausgewählte Fragestellungen 324 scheidungsfähig macht, und es darf nicht ausschließlich auf die Einwilligung allein gesetzt werden. Datenschutzakteure im E-Government Bei der praktischen Umsetzung von datenschutzgerechtem transaktionsbezogenem E-Government kommt einigen Akteuren eine entscheidende Rolle zu. Hier haben diese Akteure wie z. B. der Datenschutzbeauftragte die Rolle, auf die Umsetzung der Schutzpflichtdimension der kommunikationsbezogenen Grundrechte zu achten und neben der Überwachung der Einhaltung des Datenschutzrechts auch faktische Maßnahmen zum Schutz der informationellen Selbstbestimmung anzustoßen. Im Zuge der Entwicklung im Bereich des transaktionsbezogenen E-Governments haben sich die Aufgaben der Akteure auch ausgeweitet. Ausschuss De-Mail-Standardisierung In § 22 De-Mail-Gesetz ist ein Ausschuss De-Mail-Standardisierung geregelt worden, der die Aufgabe hat, die technischen und organisatorischen Anforderungen an die Pflichten nach den §§ 3 bis 13 De-Mail-Gesetz unter Beteiligung der akkreditierten Diensteanbieter weiterzuentwickeln. Diesem Ausschuss gehören alle akkreditierten De-Mail-Diensteanbieter, das Bundesamt für Sicherheit in der Informationstechnik (BSI), die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), ein vom IT-Planungsrat beauftragter Vertreter der Länder sowie ein Vertreter des Rates der IT-Beauftragten der Bundesregierung an. Dieses Gremium folgt der Logik, dass es in Sachen Datenschutz und Datensicherheit einer stetigen Weiterentwicklung bedarf, um die Schutzpflichtdimension der kommunikationsbezogenen Grundrechte zu erfüllen. Das Zusammenwirken der Akteure in diesem Gremium dient letztlich der informationellen Selbstbestimmung des privaten Nutzers. Neben Datenschutz und Datensicherheit soll das Gremium auch prospektiv die Interoperabilität sichern. Weiterentwicklung technischer und organisatorischer Anforderungen Die Weiterentwicklung technischer und organisatorischer Anforderungen ist in einem dynamischen Handlungsfeld wie der IT besonders wichtig, um Datenschutz und Datensicherheit sicherstellen zu können2192. Diese Anforderungen müssen in tatsächlicher Hinsicht entwickelt werden und konkretisieren dann das Datenschutzrecht wie z. B. § 9 BDSG a. F. bzw. nunmehr Art. 32 DS-GVO, der die technischen und organisatorischen Maßnahmen regelt. Die hierfür einschlägigen Regelwerke müssen E. I. II. 2192 Petersen, Grenzen des Verrechtlichungsgebotes im Datenschutz, S. 181 ff. E. Datenschutzakteure im E-Government 325 ständig aktualisiert werden. Darüber hinaus ist auch eine Orientierung in der Praxis an den sog. Best Practices geboten2193. Die Informationssicherheit ist nach Art. 5 Abs. 2 DS-GVO von der Rechenschaftspflicht umfasst, sodass hier insbesondere auch das neu gefasste BSI-Grundschutz-Kompendium besondere Bedeutung erlangt2194. Grundrechtsschutz durch den Datenschutzbeauftragten Bei der Umsetzung der Schutzpflichten für die informationelle Selbstbestimmung sowie bei der Befähigung des Nutzers zum informationellen Selbstschutz haben die Datenschutzbeauftragten in Bund und Ländern eine besondere Bedeutung. Die Institution des Datenschutzbeauftragten ist als Schranken-Schranke für den Eingriff in das Grundrecht auf informationelle Selbstbestimmung zu sehen2195 und bewirkt damit Grundrechtsschutz2196. Die Aufgaben und Befugnisse sind nun in den Regelungen der Art. 37, 38 und 39 DS-GVO unter Entwicklung der Hinwirkungspflicht zu einer Überwachungspflicht geregelt worden. Primär war die dessen Kontrollfunktion des Datenschutzbeauftragten insbesondere auch im Volkszählungsurteil2197 eigentlich für den Bereich öffentlicher Stellen genannt. Angesichts der multipolaren Kommunikationskontexte mit verschiedenen Akteuren und der deshalb notwendigen Verantwortungsteilung der Akteure ist es aber zu rechtfertigen, dass die Datenschutzbeauftragten auch auf gesetzlicher Grundlage Zuständigkeiten für den nicht öffentlichen Bereich haben. Der Gesetzgeber muss im Rahmen seiner Schutzpflicht neue organisationsrechtliche Strukturen schaffen, um den entstehenden Grundrechtsgefährdungen auf angemessene Art und Weise entgegenzutreten2198. Diese Schutzpflicht ist bei der Kontrolle des nicht öffentlichen Bereiches gerade angesprochen. Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) soll durch gesetzliche Änderung eine eigenständige Behörde und politisch unabhängiger werden und ausschließlich parlamentarischer und gerichtlicher Kontrolle unterstehen2199. Neben den Sanktionsbefugnissen der Datenschutzaufsichtsbehörden bei Verstößen gegen das Datenschutzrecht2200, die nunmehr nach Art. 58 DS-GVO massiv ausgeweitet worden sind, gewinnt im Bereich des E-Governments die frühzeitige Einbindung der Datenschutzbeauftragten immer mehr an Bedeutung. Der oben genannte Ausschuss De-Mail-Standardisierung und die vielfaltigen Stellungnahmen zu E-Government-Projekten machen dies deutlich. Die Rolle, die der Datenschutzbeauftragte nach deutschem Verständnis bis heute erreicht hat, wird durch die Entwicklun- III. 2193 Vgl. hierzu: Lensdorf/Mayer-Wegelin, CR 2009, 545 (552). 2194 Vgl. hierzu: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/ itgrundschutzKompendium_node.html (Letzter Abruf: 30.09.2018). 2195 Siehe oben unter: Teil 3, C., II., 6 b), hh). 2196 Fraenkel/Hammer, DuD 2011, 887 (889). 2197 BVerfGE 65, 1 (60). 2198 Thomé, in: Kutscha/Thomé, Grundrechtsschutz im Internet, S. 116. 2199 Deutscher Bundestag, Innenausschuss, DuD 2015, 70; DuD 2014, 797; zum Äußerungsrecht der Datenschutzaufsichtsbehörden: Weichert, DuD 2015, 323 (323 ff.), ders., DuD 2015, 397 (397 ff.). 2200 Vgl. hierzu Kamp/Thomé, in: Schmidt/Weichert (Hrsg.), Datenschutz, 298 (306). Teil 5: Ausgewählte Fragestellungen 326 gen in der Rechtsprechung des EuGH und der DS-GVO gefährdet bzw. infrage gestellt2201. Dennoch ist das Aufgabenportfolio des Datenschutzbeauftragten groß. Dieser kann repressiv tätig werden. Wenn technisch-organisatorische Maßnahmen nicht vorhanden waren, lieferte der § 44 Abs. 1 Nr. 7 BDSG a. F. Möglichkeiten zur Sanktionierung2202. Unter dem Regime der DS-GVO steht vor allem das Berichtswesen an die sog. „höchste Managementebene“ nach Art. 38 Abs. 3 S. 3 DS-GVO im Vordergrund. Auch im Bereich der IT-Sicherheit kommt dem Datenschutzbeauftragten eine Rolle zu2203. Im Zusammenhang mit dem nPA können z. B. auch die entsprechenden Berechtigungszertifikate durch Intervention der Datenschutzaufsichtsbehörde entzogen werden2204. Daneben gibt es aber auch ein präventives Tätigwerden des Datenschutzbeauftragten. So gibt es eine Handreichung des BfDI zum datenschutzgerechten Umgang mit besonders schützenswerten Daten beim Versand mittels De-Mail2205. Damit ist der Nutzer von De-Mail als Versender sensibler personenbezogener Daten auch Adressat der Beratungsfunktion der Datenschutzaufsichtsbehörden. Insoweit ist der Datenschutzbeauftragte auch Berater des mündigen Nutzers zur Erlangung des notwendigen Datenschutzbewusstseins und von Medienkompetenz. Die E-Government umsetzende Verwaltung ist die natürliche Zielgruppe der Datenschutzaufsichtsbehörden2206. Hier sind insbesondere die technisch-organisatorischen Vorkehrungen in der Verwaltung sowie datenschutzrechtliche Instrumente wie die Vorabkontrolle sowie Verfahrensbeschreibungen von Anwendungen besonders relevant. Hier gewinnen die behördlichen Datenschutzbeauftragten eine starke Rolle zur Einhaltung dieser Vorgaben. Bei groben Verstößen kann der Datenschutzbeauftragte auch zum Mittel der Beanstandung greifen. Datenschutzaufsichtsbehörden führen als Stellvertreter für den Nutzer sachkundige Prüfungen durch und veröffentlichen ihre Ergebnisse, sodass das Vertrauen des Betroffenen in die Organisation, die Kompetenz, Transparenz und Integrität der Aufsichtsbehörden besondere Bedeutung hat2207. Die unabhängige Datenschutzaufsicht ist neben weiteren Institutionen eine wichtige Instanz bei der Beratung des Nutzers von transaktionsbezogenem E-Government und bei dessen Befähigung zum Selbstschutz. Insoweit kann auf der Ebene der Umsetzung der Selbstschutzobliegenheiten des Nutzers die Stärkung der unabhängigen Datenschutzaufsichtsbehörden als eine wichtige Voraussetzung betrachtet werden2208. 2201 Ziebarth, CR 2013, 60 (60 ff.) 2202 Hierzu Schaar, in: Bäumler (Hrsg.), E-Privacy, 69 (71). 2203 Lensdorf/Mayer-Wegelin, CR 2009, 545 (551). 2204 Roßnagel/Hornung, DÖV 2009, 301 (304). 2205 Zu finden unter: http://www.bfdi.bund.de/SharedDocs/Publikationen/Sachthemen/DEMail/DeMa ilHandreichung.pdf?__blob=publicationFile (letzter Abruf: 08.11.2015). 2206 Reinermann (Hrsg.), Datenschutz im Internet – Internet im Datenschutz, S. 14. 2207 Kamp/Rost, DuD 2013, 80 (83). 2208 Zu dem Konkurrenzverhältnis der „Stiftung Datenschutz“ zu den Datenschutzaufsichtsbehörden: Wagner, DuD 2012, 825 (828 ff.). E. Datenschutzakteure im E-Government 327 Systemdatenschutz als Aufgabe der Gremien Besondere Bedeutung auf der Ebene der Umsetzung des Datenschutzes hat der Systemdatenschutz. Dieser hat einen Blickwinkel auf die technische Seite des Datenschutzes. Der Systemdatenschutz kommt dem mündigen Nutzer elektronischer Kommunikation zugute. Die Entwicklung des Systemdatenschutzes kann aber logischerweise nicht dem privaten Nutzer aufgebürdet werden. Hierzu sind Gremien berufen wie z. B. der Ausschuss De-Mail-Standardisierung und weitere Institutionen. Adressiert werden müssen hierbei insbesondere Telekommunikations- und Telemediendiensteanbieter. Systemdatenschutz bedeutet auch, dass die Infrastrukturen und Dienste, die zur Kommunikation eingesetzt werden, die technischen Voraussetzungen für die Ausübung von Betroffenenrechten aufweisen2209. Auch beim Systemdatenschutz sind Datenvermeidung und Datensparsamkeit wichtige Systemkomponenten, die technisch umgesetzt werden sollten2210. Eine herausragende Bedeutung hat hier das bereits oben erwähnte Standard-Datenschutzmodell (SDM). Wirksame Durchsetzung datenschutzrechtlicher Bestimmungen Für ein hohes Datenschutzniveau bei der elektronischen Kommunikation ist eine wirksame Durchsetzung des Datenschutzrechts notwendig. Materielle Verhaltensnormen, die an die handelnden Akteure gerichtet sind, bedürfen wirksamer Durchsetzungsmechanismen2211. Die Befugnisse der Aufsichtsbehörden insbesondere in Art. 58 Abs. 2 DS-GVO sind neben der strengeren Haftung des Verantwortlichen ein wichtiger Pfeiler bei der wirksamen Umsetzung des Datenschutzrechts. Die Datenschutzaufsichtsbehörden sollen die wirksame Durchsetzung datenschutzrechtlicher Bestimmungen sicherstellen. Da aber Vollzugsdefizite auch im Bereich des Datenschutzrechts nicht auszuschließen sind, bedarf es ergänzender Anstrengungen zur Vollzugsoptimierung des Datenschutzrechts. Das Bundesamt für Sicherheit (BSI) in der Informationstechnik als „Warnungs- und Beratungsinstanz“ Aufgaben des BSI nach dem BSIG Im Bereich der praktischen Umsetzung von IT-Sicherheit gewinnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) besondere Bedeutung. Das BSI kann als Beratungs- und Warnungsinstanz zu Fragen der IT-Sicherheit bezeichnet werden, welche wiederum Voraussetzung für einen wirksamen Datenschutz ist. Die Kompe- IV. V. VI. 1. 2209 Dix, in: Schmidt/Weichert (Hrsg.), Datenschutz, 290 (296). 2210 Schaar, in: Schmidt/Weichert (Hrsg.), Datenschutz, 363 (366). 2211 Gurlit, NJW 2010, 1035 (1040). Teil 5: Ausgewählte Fragestellungen 328 tenzen des BSI sind im Laufe der Zeit stetig erweitert worden. Auf der Ebene der Umsetzung staatlicher Schutzpflichten lässt sich die Tätigkeit des BSI in den Bereich von Informations- und Beratungspflichten an die handelnden Akteure einordnen2212. Von großer Bedeutung in der Praxis bei der Umsetzung von IT-Sicherheit sind die BSI- Grundschutzkataloge und die BSI-Standards2213. Im aktuellen Entwurf eines IT-Sicherheitsgesetzes ist das BSI in § 1 BSIG als Behörde für die Informationssicherheit auf nationaler Ebene der Bundesrepublik Deutschland benannt2214. Durch das IT-Sicherheitsgesetz wurde dem BSI eine Zuständigkeit für die Anerkennung und Überprüfung der Einhaltung der Mindeststandards durch die Betreiber Kritischer Infrastrukturen, die Aufgabe der Sammlung, Auswertung und Analyse der Meldungen von Sicherheitsvorfällen gegeben, um ein IT-Lagebild fortzuschreiben und die Betreiber hierüber zu unterrichten2215. Darüber hinaus soll das BSI an das Bundesministerium des Innern (BMI) über die laufende Tätigkeit berichten, was der Sensibilisierung der Öffentlichkeit für das Thema IT-Sicherheit dienen soll, indem der Bericht die fachlichen Informationsangebote des BSI ergänzt2216. Insbesondere sieht der Gesetzgeber diese Sensibilisierung der Öffentlichkeit als wichtig an, weil ein großer Teil von Cyberangriffen bereits durch Basismaßnahmen abgewehrt werden könnte2217. Somit ist der mündige private IT-Nutzer als Teil der zu sensibilisierenden Öffentlichkeit auch Adressat dieses Berichtes des BSI. Das BSI prüft und bewertet auch technische Systeme auf ihre IT-Sicherheit, die als individuelle Infrastruktur des Nutzers eingesetzt werden können. So soll sich z. B. der Nutzer des nPA nach § 27 Abs. 3 PAuswG beim Kauf von Lesegeräten und weiterer individueller Infrastruktur an BSI-Zertifizierungen orientieren2218. Das BSI kann daher als Institution angesehen werden, die dem mündigen Nutzer von transaktionsbezogenem E-Government hilft, seine digitale Verantwortung wahrzunehmen. Darüber hinaus ist das BSI auch Berater der E-Government umsetzenden insbesondere auch kommunalen Praxis. Diese ist Adressat sowohl des BSI-Grundschutzes als auch der bestimmten Standards und Technischen Richtlinien. Vor diesem Hintergrund wird auch eine bisher nicht stattfindende formale, institutionalisierte und strukturierte Einbindung der Kommunen und Länder in die Erarbeitung der Regelwerke des BSI gefordert2219. Das Nationale Cyber-Abwehrzentrum beim BSI Zur behördenübergreifenden Abwehr von Gefahren für die IT-Sicherheit ist am 16.06.2011 das Nationale Cyber-Abwehrzentrum (NCAZ) beim BSI gegründet worden2220. Die Einrichtung dieses Zentrums ist Bestandteil der Cyber-Sicherheitsstrate- 2. 2212 Heckmann, in: Käfer-FS, 129 (151). 2213 Warnecke, in: Schliesky (Hrsg.), Technikgestütztes Identitätsmanagement, 215 (221). 2214 BT-Drs. 18/4096, S. 9. 2215 Roos, MMR 2014, 723 (728). 2216 BT-Drs. 18/4096, S. 32. 2217 BT-Drs. 18/4096, S. 32. 2218 Borges u. a., Identitätsdiebstahl und Identitätsmissbrauch im Internet, S. 287. 2219 Vgl. hierzu das Rundschreiben des Niedersächsischen Landkreistages Nr. 600/2015, S. 2. 2220 Linke, DÖV 2015, 128 (129). E. Datenschutzakteure im E-Government 329 gie der Bundesregierung2221. Im Cyber-Abwehrzentrum arbeiten Mitarbeiter des BSI mit Mitarbeitern der Bundesämter für Bevölkerungsschutz und Katastrophenhilfe (BBK) und für Verfassungsschutz (BfV) zusammen und sind mit Mitarbeitern von Bundeskriminalamt (BKA), Bundespolizei (BPol), Zollkriminalamt (ZKA), Bundesnachrichtendienst (BND) sowie Bundeswehr einschließlich des Militärischen Abschirmdienstes (MAD) assoziiert, um einen Informationsaustausch über Sicherheitslücken in Hard- und Software, abstrakte Täterbilder und sonstige Risiken für die IT und für die Vertraulichkeit von Daten zu gewährleisten2222. Alle genannten Behörden arbeiten im NCAZ unter Wahrung ihrer jeweiligen Aufgaben und Befugnisse kooperativ zusammen2223. Nach eigenen Angaben hat das NCAZ in der Zeit zwischen April 2011 bis März 2013 ca. 900 nationale und internationale IT-Sicherheitsvorfälle bewertet, von denen viele kriminell motiviert waren2224. Das NCAZ ist damit eine Institution, die hauptsächlich Informationen zur IT-Sicherheitslage sammelt und diese entsprechend weitergibt. Operative Kompetenzen hat es dagegen nicht. Im aktuellen Koalitionsvertrag wird die Absicht geäußert, das NCAZ weiter zu stärken2225. Eine aktive Beratungstätigkeit gegenüber dem privaten Nutzer hat das NCAZ nicht. Nichtsdestoweniger wirkt sich eine auch durch das NCAZ gestärkte IT-Sicherheitslage auch positiv für den privaten Nutzer aus. Vollzugsoptimierung und -ergänzung durch Datenschutzaudits Wie bereits bei der Einwilligung gezeigt werden konnte, ist die Steuerungswirkung der klassischen datenschutzrechtlichen Elemente sehr unterschiedlich ausgeprägt. Daher geht der Blick in die Richtung von Maßnahmen, die den Vollzug des Datenschutzrechts ergänzen können. In der Praxis des Datenschutzes können Datenschutzaudits als Vollzugsoptimierung und -ergänzung für den Datenschutz gesehen werden2226. Ein Audit ist ein Untersuchungsverfahren für einen vorher genau festgelegten Untersuchungsgegenstand, der auf das Vorliegen vorher bestimmter Voraussetzungen überprüft wird2227. Hierbei kann eine auditierende Stelle einer anderen Stelle die Datenschutzkonformität einer Anwendung bescheinigen. In Schleswig-Holstein führt das Unabhängige Landeszentrum für Datenschutz (ULD) ein Datenschutzauditverfahren F. 2221 Vgl. BT-Drs. 17/6793, S. 7. 2222 Linke, DÖV 2015, 128 (129). 2223 Vgl.: http://www.bmi.bund.de/DE/Themen/IT-Netzpolitik/IT-Cybersicherheit/Cybersicherheits strategie/Cyberabwehrzentrum/cyberabwehrzentrum_node.html (letzter Abruf: 08.11.2015). 2224 Vgl.: http://www.bmi.bund.de/DE/Themen/IT-Netzpolitik/IT-Cybersicherheit/Cybersicherheits strategie/Cyberabwehrzentrum/cyberabwehrzentrum_node.html (letzter Abruf: 08.11.2015). 2225 Koalitionsvertrag „Deutschlands Zukunft Gestalten“ zwischen CDU, CSU und SPD, 2013, S. 103; zu finden unter: http://www.bundesregierung.de/Content/DE/_Anlagen/2013/2013-12-17-koalitionsvertrag.pdf?__blob=publicationFile (letzter Abruf: 08.11.2015). 2226 Kühling, Die Verwaltung 44 (2011), 525 (558 ff.); teilweise werden Datenschutzaudits auch als Alternative zur Verrechtlichung im Datenschutz gesehen: Petersen, Grenzen des Verrechtlichungsgebotes im Datenschutz, S. 174 f. 2227 Bock, in: Schmidt/Weichert (Hrsg.), Datenschutz, 310 (315); zu den einzelnen Schritten: Bizer, DuD 2006, 5 (5 ff.). Teil 5: Ausgewählte Fragestellungen 330 ausschließlich für öffentliche Stellen nach dem Landesdatenschutzgesetz SH durch2228. Datenschutzaudits sollen nach außen hin die Datenschutzkonformität einer Anwendung dokumentieren. Dabei soll das Audit-Zertifikat einen Qualitätsstandard verbriefen und damit Vertrauen schaffen2229. Die Notwendigkeit, Vertrauen in die Datenschutzkonformität von Anwendungen und Verfahren zu schaffen, wurde oben bereits erörtert. Diese Rolle der Datenschutzaudits passt grundsätzlich zum Leitbild eines medienkompetenten Nutzers mit einem Datenschutzbewusstsein, der im Rahmen seiner Eigenverantwortung eine Auswahl bezüglich seiner Infrastrukturen trifft. Dieser kann das Vorhandensein eines Datenschutzaudits im Rahmen seiner eigenen Erwägungen zu den ihn treffenden Selbstschutzobliegenheiten einbeziehen. Darüber hinaus kann ein Datenschutzaudit das notwendige Vertrauen der Nutzer in Datenschutz und Datensicherheit einer Anwendung schaffen. Datenschutzaudits helfen dabei, die staatliche Schutzpflicht für die informationelle Selbstbestimmung an den Stellen umzusetzen, an denen andere Umsetzungsmöglichkeiten nicht funktionieren2230. Datenschutzaudits können bei der Erreichung von Datenschutz-Schutzzielen helfen2231. Unterschieden werden kann zwischen Prozess- und Verfahrensaudits, die bestätigen, ob eine Institution ein Verfahren so, wie in der Verfahrensbeschreibung angegeben, durchführt und Datenschutz-Gütesiegeln, welche die Qualität eines Produktes bestätigen2232. Wenn sowohl Prozess- und Verfahrensaudits für transaktionsbezogene E-Government-Anwendungen durchgeführt werden als auch Datenschutz-Gütesiegel für eingesetzte Komponenten vergeben werden, hat der private Nutzer einen Vertrauensanker bei der Auswahl der Anwendung. Eine Regelung zum Datenschutzaudit gab es bisher in § 9a BDSG a. F. Es handelt sich aber hier letztlich nur um eine politische Absichtserklärung ohne normativen Inhalt2233. Es gab in früherer Zeit einen Entwurf für ein Datenschutzauditgesetz, welches dann aber nicht in Kraft getreten ist2234. Stattdessen ist die Idee, eine „Stiftung Datenschutz“ zu schaffen, weiter vorangetrieben worden. Zum Januar 2013 wurde die Stiftung Datenschutz durch den Bund als rechtsfähige Stiftung bürgerlichen Rechts in Leipzig eingerichtet2235. Kritisch wurde diese insbesondere im Hinblick auf das institutionelle Gefüge des Datenschutzes gesehen2236. Nennenswerte Beiträge zur Förderung der Eigenverantwortung des privaten Nutzers sind aber bisher von der Stiftung Datenschutz nicht bekannt. Als Zweck nennt § 2 Abs. 1 S. 1 der Satzung die Entwick- 2228 Vgl. § 4 Abs. 2 LDSG SH; zu den Leitüberlegungen und zum Konzept: Bäumler, DuD 2004, 80 (80 ff.); zu den praktischen Erfahrungen eines unabhängigen Gutachters: Schläger, DuD 2004, 459 (459 ff.); zur Einbettung in das Projekt EuroPriSe: Bock, DuD 2007, 419 (410). 2229 Bock, in: Schmidt/Weichert (Hrsg.), Datenschutz, 310 (315); Roßnagel, in: Hill (Hrsg.) E-Transformation, 79 (92). 2230 Lindhorst, Sanktionsdefizite im Datenschutzrecht, S. 113 ff.; ein Hinweis auf staatlich erleichterte oder unterstützte Selbstregulierungsmodelle bei: Schweighofer, in: Benedek/Pekari (Hrsg.), Menschenrechte in der Informationsgesellschaft, 257 (263). 2231 Rost/Pfitzmann, DuD 2009, 353 (357). 2232 Bock, in: Schmidt/Weichert (Hrsg.), Datenschutz, 310 (316). 2233 Hornung, in: Auernhammer, § 9 a BDSG, Rn. 2. 2234 Vgl. hierzu BT-Drs. 16/12011. 2235 Hornung, in: Auernhammer, § 9 a BDSG, Rn. 20. 2236 Vgl. hierzu die Kritik von Wagner, DuD 2012, 825 (827 ff.). F. Vollzugsoptimierung und -ergänzung durch Datenschutzaudits 331 lung des Datenschutzaudits sowie eines Datenschutzauditverfahrens. Damit ist das Schicksal der Entwicklung eines Datenschutzaudits i. S. d. § 9a BDSG a. F. in die Hände der Stiftung gelegt worden. Nach dem Koalitionsvertrag von CDU/CSU und SPD aus dem Jahr 2013 soll die Stiftung Datenschutz in die Stiftung Warentest integriert werden2237. Insgesamt bleibt festzuhalten, dass Datenschutzaudits eine sinnvolle Vollzugsoptimierung und -ergänzung des Datenschutzrechts bieten. Daneben ist es aber ebenfalls wichtig, dass die klassischen datenschutzrechtlichen Instrumente ihre Wirksamkeit behalten. Vollzugsoptimierung durch Aufklärung Wichtig für den selbstverantwortlichen Nutzer ist die Aufklärung, die in den rechtlichen Grundlagen enthalten ist und die diesen sensibilisieren soll2238. Eine Aufklärung über IT-Sicherheitsrisiken kann helfen, die informationelle Selbstbestimmung des Nutzers zu stärken2239. Eine systematische und möglichst flächendeckende Aufklärung der privaten Nutzer muss ein Element staatlicher Anstrengungen bei der Umsetzung der staatlichen Schutzpflicht sein. Insoweit können hier die staatliche Schutzpflicht und die Eigenverantwortung des Einzelnen ineinandergreifen. Für die Aufgabe der Aufklärung der Nutzer sind neben den Datenschutzaufsichtsbehörden die Schulen und auch andere öffentliche Institutionen gefragt. Auch das Informationsangebot des BSI fällt in den Bereich der Aufklärung des Nutzers. Im schulischen Bereich ist vor allem die Initiative „Datenschutz geht zur Schule“ bekannt2240. G. 2237 CDU/CSU und SPD, Koalitionsvertrag „Deutschlands Zukunft gestalten“, 2013, S. 88; zu finden unter: http://www.bundesregierung.de/Content/DE/_Anlagen/2013/2013-12-17-koalitionsvertrag. pdf?__blob=publicationFile (letzter Abruf: 08.11.2015). 2238 Vgl. hierzu die Aufklärung durch öffentliche Stellen wie bei: www.hannover-botfrei.de (letzter Abruf: 08.11.2015). 2239 Petersen, Grenzen des Verrechtlichungsgebotes im Datenschutz, S. 178 ff. 2240 Spaeing/Spaeing, in: Schmidt/Weichert (Hrsg.), Datenschutz, 249 (249). Teil 5: Ausgewählte Fragestellungen 332

Chapter Preview

References

Zusammenfassung

Der Autor geht der Frage nach, welchen Verantwortungsbeitrag im Hinblick auf den Datenschutz jeder einzelne Nutzer bei transaktionsbezogenen E-Government-Anwendungen zu tragen hat. Dabei wird den mehrpoligen Akteurskonstellationen aus öffentlicher Hand, privatem Diensteanbieter und privatem Nutzer Rechnung getragen. Die De-Mail und der neue Personalausweis stehen hier als durch die E-Government-Gesetzgebung besonders geregelte Infrastrukturen im Fokus. Nicht zuletzt wird durch die flankierenden gesetzlichen Vorgaben durch das Onlinezugangsgesetz, welches Bund, Länder und Kommunen dazu zwingt, einem Portalverbund beizutreten, das mehrpolige Verhältnis von öffentlicher Hand, Diensteanbieter und privatem Nutzer an Bedeutung gewinnen.