Content

Teil 6: Zusammenfassung der Ergebnisse von Teil 2 bis 5 in Thesen in:

Thomas Warnecke

Identitätsmanagement und Datenschutz, page 333 - 338

Verantwortung für einen datenschutzgerechten Zugang zu transaktionsbezogenen E-Government-Anwendungen unter besonderer Berücksichtigung der De-Mail-Dienste und des neuen Personalausweises

1. Edition 2019, ISBN print: 978-3-8288-4055-3, ISBN online: 978-3-8288-6925-7, https://doi.org/10.5771/9783828869257-333

Series: Wissenschaftliche Beiträge aus dem Tectum Verlag: Rechtswissenschaften, vol. 118

Tectum, Baden-Baden
Bibliographic information
Zusammenfassung der Ergebnisse von Teil 2 bis 5 in Thesen Ergebnisse Teil 2 1. Im transaktionsbezogenen E-Government ist die numerische Identität des Nutzers maßgeblich. Es kommt auf die Identifizierbarkeit anhand der Identitätsattribute an. Die digital handelnde Person muss mit einer natürlichen Person übereinstimmen. 2. Zur Erfassung gegenwärtiger und zukünftiger Anwendungsfälle im transaktionsbezogenen E-Government ist ein weiter Begriff des Identitätsmanagements geboten. 3. Das Grunddilemma im Verhältnis von Identitätsmanagement und Datenschutz liegt darin, dass die freie Gestaltbarkeit der numerischen Identität in Kommunikationsprozessen Bestandteil des Grundrechts auf informationelle Selbstbestimmung ist, gleichzeitig aber die Identifizierung und Preisgabe von Identitätsdaten zur erfolgreichen, rechtssicheren Durchführung von Transaktionen im E-Government notwendig ist. 4. E-Government stellt auf der Interaktionsebene der Transaktion die größten Herausforderungen rechtlicher und tatsächlicher Art. Im Zuge einer stetigen Entwicklung sind gesetzlich flankiert umfangreiche Basisinfrastrukturen für transaktionsbezogenes E-Government geschaffen worden. 5. Die Vielzahl der parallelen Basisinfrastrukturen für transaktionsbezogenes E-Government erschwert auch die Weiterentwicklung. 6. Die Bedrohungslagen für personenbezogene Daten privater Nutzer sind massiv und steigen stetig, sodass sich die Frage der Verantwortung für das Handeln im digitalen Raum ständig erneut stellt. 7. Bei der Entwicklung der Informationstechnologie und der elektronischen Kommunikation ist der öffentliche Sektor maßgeblich auf den privaten Sektor angewiesen. 8. Es gibt unterschiedliche Internet-Nutzertypen und dementsprechend auch eine unterschiedlich ausgeprägte digitale Verantwortungsbereitschaft. 9. Es besteht ein Widerspruch zwischen den Veröffentlichungsgewohnheiten in der virtuellen und der analogen Welt. In diesem Kontext ist eine Grenzverschiebung zwischen Öffentlichkeit und Privatheit festzustellen. 10.Daher muss der Nutzer stetig sensibilisert werden. Datenschutz ist als Bildungsaufgabe zu verstehen. Der mündige Nutzer muss mit Datenschutzbewusstsein und Medienkompetenz ausgestattet werden, um sich im digitalen Umfeld sicher zu bewegen. Teil 6: 333 11.Der Nutzer muss die Datenhoheit innehaben, verstanden im Sinne einer jederzeitigen Verfügbarkeit, einer Verfügungsbefugnis, einer vertraulichen Behandlung der Daten im jeweiligen Datenverarbeitungssystem, welches selbst auch integer ist. 12.Vertrauen in den Kommunikationspartner, den Kommunikationsmittler und die Kommunikationsinfrastruktur ist für den Erfolg von transaktionsbezogenem E-Government besonders wichtig und ein wesentlicher Akzeptanzfaktor. Vertrauen dient der Reduktion von Komplexität. Vertrauensbildung gegenüber dem Nutzer gewinnt daher eine besondere Bedeutung. 13.Die Konvergenz von Diensten und Infrastrukturen führt zu begrifflichen Schwierigkeiten. Das Internet ist mit klassischen Infrastrukturen kaum vergleichbar. 14.Transaktionsbezogenes E-Government ist durch das Multikanalprinzip gekennzeichnet. Maßgeblich kommt es auch auf die Anschlussfähigkeit der IT-Systeme in der Verwaltung an. 15. In der Ablauforganisation stecken für die Verwaltung Wirtschaftlichkeitsreserven, sodass eine Prozessanalyse und eine Prozessoptimierung notwendig sind. E-Government bedeutet damit auch ein Gebot der Selbstreflexion für die Verwaltung. 16.Das Recht hat in der Entwicklung des digitalen Umfeldes an Steuerungskraft eingebüßt. Die fehlende Steuerungskraft rechtlicher Instrumente muss durch einen eigenverantwortlich handelnden mündigen Nutzer kompensiert werden. 17. Insbesondere das Datenschutzrecht sollte als „konstruktiver Begleiter“ des E-Governments dienen. Ergebnisse Teil 3 1. Der europarechtliche Rahmen beeinflusst auch die Rechtsentwicklung im Bereich des Datenschutzes bei elektronischer Kommunikation. Dabei geraten die hohen Standards nach deutschem Datenschutzrecht unter Druck. 2. Der Schutzbereich des Grundrechts auf informationelle Selbstbestimmung erfasst ein nicht ausschließliches Datenumgangsrecht und kein eigentumsähnliches Herrschaftsrecht. Dieser Erkenntnis muss ein Verantwortungskonzept im einfachen Datenschutzrecht Rechnung tragen. Entwicklungen wie Big Data stellen die Frage danach, wem Daten „gehören“, derzeit wieder neu. 3. Das Grundrecht auf informationelle Selbstbestimmung hat eine subjektiv-abwehrrechtliche und eine objektiv-rechtliche Dimension. Da die objektiv-rechtliche Dimension ein positives Tun darstellt, kann sie schwerer als die subjektiv-abwehrrechtliche, die ein Unterlassen fordert, skizziert werden. 4. Der Eingriff in das Grundrecht auf informationelle Selbstbestimmung ist schwer zu bestimmen. Ein Eingriff liegt jedenfalls dann vor, wenn personenbezogene Daten durch den Staat oder einen Privaten gegen den Willen des Betroffenen erhoben werden. Jeder Umgang mit personenbezogenen Daten ist rechtfertigungsbedürftig. 5. Auf der Ebene der Schranken-Schranken sind beim Grundrecht auf informationelle Selbstbestimmung das Gebot der Normenklarheit, der Grundsatz der Ver- Teil 6: Zusammenfassung der Ergebnisse von Teil 2 bis 5 in Thesen 334 hältnismäßigkeit, der Zweckbindungsgrundsatz, der Grundsatz der Amtshilfefestigkeit, der Grundsatz der informationellen Gewaltenteilung, das Transparenzgebot, organisatorische und verfahrensrechtliche Vorkehrungen und die Kontrolle durch einen unabhängigen Datenschutzbeauftragten sowie der Verwendungszusammenhang als quasi Schranken-Schranke zu beachten. 6. Der Nutzer von transaktionsbezogenen E-Government-Anwendungen ist nach der Grundkonzeption des Grundrechts auf informationelle Selbstbestimmung Verantwortungssubjekt. 7. Auch das IT-Grundrecht hat eine subjektiv-abwehrrechtliche und eine objektivrechtliche Dimension. Es stellt eine weitere Leitplanke des Kommunikationsschutzes für den Nutzer elektronischer Kommunikation dar. 8. Die individuelle Infrastruktur des Nutzers transaktionsbezogener E-Government- Anwendungen ist als informationstechnisches System i. S. d. IT-Grundrechts aufzufassen. 9. Das Fernmeldegeheimnis hat für die Übertragung elektronischer Kommunikation besondere Bedeutung, da es die grundrechtliche Schutzgewährleistung während des Übertragungsvorganges sicherstellt. Es hat eine subjektiv-abwehrrechtliche und eine objektiv-rechtliche Dimension. 10.Ein adäquater Kommunikationsschutz muss sowohl die objektiv-rechtlichen als auch die subjektiv-abwehrrechtlichen Dimensionen der einschlägigen Kommunikationsgrundrechte einbeziehen. 11.Der Gesetzgeber hat insbesondere mit dem TKG einen Rechtsrahmen geschaffen, der den Verantwortungsbeitrag der Telekommunikationsdiensteanbieter konkretisiert. 12.Die Schutzbereiche des Grundrechts auf informationelle Selbstbestimmung, des IT-Grundrechts und des Fernmeldegeheimnisses aus Art. 10 GG erfassen alle schutzwürdigen Aspekte der elektronischen Kommunikation. 13.Das Schriftformerfordernis im Verwaltungsverfahren ist nach dem Grundsatz der Formfreiheit aus § 10 VwVfG eigentlich eine Ausnahme. Aufgrund der vielfach entstandenen Schriftformerfordernisse im Besonderen Verwaltungsrecht bestehen für transaktionsbezogenes E-Government bei vielen Verwaltungsdienstleistungen noch Hemmnisse. 14.Das Freiwilligkeitsprinzip bei der Nutzung von E-Government bleibt für den Nutzer bestehen. Für die Verwaltung wurde dieses durch das EGovG und einige Landes-EGovG aufgehoben, sodass nunmehr die Eröffnung eines elektronischen Zugangs verpflichtend ist. 15.Mit dem De-Mail-Gesetz ist ein wesentlicher gesetzgeberischer Schritt zur rechtlichen Einhegung des Identitätsmanagements getan worden. Der Gesetzgeber hat sich gegenwärtig gegen eine gesetzliche Pflicht zur Ende-zu-Ende-Verschlüsselung ausgesprochen und überlässt dies den Akteuren privater Nutzer und Diensteanbieter. 16.Die De-Mail-Dienste sind sowohl Telemediendienste i. S. d. TMG als auch Telekommunikationsdienste nach dem TKG mit den entsprechenden rechtlichen Konsequenzen für die Diensteanbieter. Ergebnisse Teil 3 335 17.Durch die Regelungen des PAuswG zur e-ID-Funktion des nPA werden durch den Gesetzgeber Nutzerverantwortlichkeiten in Form von Pflichten und Obliegenheiten statuiert. 18.Die gesetzlichen Instrumentarien des BDSG a. F. und der LDSGe a. F. weisen im Wesentlichen der datenverarbeitenden Stelle die Verantwortlichkeit für Datenverarbeitungsvorgänge zu. Als Träger des Grundrechts auf informationelle Selbsbestimmung ist auch der Betroffene Verantwortungssubjekt, was sich insbesondere bei der datenschutzrechtlichen Einwilligung in einen Datenverarbeitungsvorgang manifestiert. 19.Das IT-Sicherheitsgesetz verpflichtet ausschließlich Adressaten der Privatwirtschaft und nicht den Nutzer. Der private Nutzer profitiert von diesem Gesetz nur mittelbar durch die Informationen über IT-Sicherheitsvorfälle. 20.Nach dem gegenwärtigen Rechtsrahmen für elektronische Kommunikation gibt es eine Verantwortungsteilung zwischen den Akteuren Staat bzw. Verwaltung, Diensteanbieter und privatem Nutzer. Es fällt auf, dass die Verantwortlichkeiten des Nutzers am schwächsten ausgeprägt sind. Ergebnisse Teil 4 1. Aus der Menschenwürdegarantie lässt sich das Prinzip der Selbstbestimmung und Selbstverantwortung ableiten, welches umfassend für die gesamte Rechtsordnung gilt. Notwendige Folge der grundrechtlichen Freiheit ist die damit korrespondierende Verantwortung. 2. Diese Verantwortung kennzeichnet grundsätzlich auch das Handeln des Nutzers im digitalen Umfeld. Der Nutzer ist also grundsätzlich nicht verantwortungslos gestellt, wenn er elektronisch kommuniziert. 3. Das Anforderungsprogramm an den E-Government-Nutzer ist insgesamt gestiegen. Der Nutzer muss in großem Maße seine individuelle Infrastruktur einbringen und für deren ordnungsgemäße Funktion Sorge tragen. 4. In vielen Konstellationen ist der Nutzer elektronischer Kommunikation überfordert und es greifen staatliche Schutzpflichten ein. 5. Diese Schutzpflichten haben eine bestimmte Reichweite, und der Nutzer muss zum Selbstschutz befähigt werden. Für die Umsetzung staatlicher Schutzpflichten greift ein Vorbehalt des Möglichen. 6. Die Reichweite staatlicher Schutzplfichten und die der Eigenverantwortung des Einzelnen lassen sich nicht abstrakt im Sinne einer Grenzlinie bestimmen und sind immer vom Einzelfall abhängig. 7. Jedenfalls gilt bei der Umsetzung staatlicher Schutzpflichten für die Kommunikation des privaten Nutzers ein Vorbehalt des Möglichen im Sinne des Rechtsgrundsatzes „impossibilum nulla est obligatio“. 8. Angesichts einer grundsätzlichen Eigenverantwortung des privaten Nutzers sind Selbstschutzobliegenheiten die sinnvollste Möglichkeit, das Recht weiterzuentwickeln. Teil 6: Zusammenfassung der Ergebnisse von Teil 2 bis 5 in Thesen 336 9. Die Statuierung von umfangreichen Rechtspflichten für den privaten Nutzer im digitalen Raum stellt keine Alternative dar, weil es hierbei zu einer Überforderung des Nutzers kommen dürfte. 10. Insgesamt ist den Risiken der Informationsgesellschaft insbesondere auch im Hinblick auf transaktionsbezogenes E-Government mit einer gestuften Verantwortung, bei der jeder Akteur seinen Teil beiträgt, zu begegnen. Ergebnisse Teil 5 1. Die aktuell eingeführte transaktionsbezogene E-Government-Anwendung internetbasierte Kfz-Anmeldung (iKfz) setzt in starkem Maße auf die Eigenverantwortung des Nutzers bei der Anwendung selbst und das dazu notwendige Identitätsmanagement z. B. über das NAVO-Portal in Niedersachsen. 2. Die Anforderungen an den Nutzer sind hoch, weil er mehrere Verträge mit datenbezogenen Selbstschutzobliegenheiten mit unterschiedlichen Akteuren schließen muss, bevor er die Anwendung nutzen kann. 3. Für die datenschutzrechtlichen Instrumente der anonymen und pseudonymen Nutzung von Anwendungen bleibt bei anspruchsvollen transaktionsbezogenen E-Government-Anwendungen wenig Raum. 4. Das datenschutzrechtliche Instrument der Einwilligung ist die Manifestation der informationellen Selbstbestimmung eines jeden Nutzers elektronischer Kommunikation. Es ist insbesondere auch im transaktionsbezogenen E-Government besonders wichtig. 5. Für den Schutz der informationellen Selbstbestimmung des Nutzers im transaktionsbezogenen E-Government reicht es nicht aus, sich auf dieses Instrument allein zu verlassen, weil es an Steuerungskraft eingebüßt hat. 6. Auch bei diesem datenschutzrechtlichen Instrument ist wieder die Grenzlinie zwischen staatlicher Schutzpflicht und der Eigenverantwortung des Einzelnen betroffen. 7. Bei der Umsetzung von transaktionsbezogenem E-Government muss daher der Einwilligung des privaten Nutzers ein Höchtsmaß an Transparenz durch die Verwaltung und die Diensteanbieter vorausgehen. Der Nutzer muss im Zeitpunkt der Einwilligung so viele Informationen haben, dass er entscheidungsfähig ist. 8. Der Ausschuss De-Mail-Standardisierung folgt der Logik, dass es in Sachen Datenschutz und Datensicherheit einer stetigen Weiterentwicklung der Kommunikationsinfrastrukturen bedarf. 9. Der Datenschutzbeauftragte erfüllt eine wichtige Kontrollfunktion auch im transaktionsbezogenen E-Government. Er kann präventiv-beratend und repressiv-aufsichtsbehördlich tätig werden. 10. Insbesondere bei der präventiv-beratenden Funktion sind auch die privaten Nutzer die Zielgruppe des Datenschutzbeauftragten, um sie zum Selbstschutz zu befähigen. Ergebnisse Teil 5 337 11.Bei der repressiv-beratenden Funktion ist die klassische Zielgruppe für den Datenschutzbeauftragten die Verwaltung. 12.Eine besondere Rolle bei der Umsetzung staatlicher Schutzpflichten hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) inne. In der umsetzenden Praxis werden die BSI-Grundschutzkataloge, die BSI-Standards und diverse Technische Richtlinien für unterschiedliche Anwendungskontexte als Maßstab herangezogen. 13.Durch das IT-Sicherheitsgesetz hat das BSI neue Aufgaben bekommen, die mittelbar auch dem privaten Nutzer nützen. 14.Das Nationale Cyber-Abwehrzentrum (NCAZ) hat vor allem die Aufgabe, Informationen über die IT-Sicherheitslage zu sammeln. Operative Kompetenzen hat es nicht. 15.Datenschutzaudits können die klassischen datenschutzrechtlichen Elemente im Wege der Vollzugsoptimierung ergänzen. 16.Der private mündige Nutzer kann das entsprechend auditierte Verfahren als Vertrauensanker betrachten. Teil 6: Zusammenfassung der Ergebnisse von Teil 2 bis 5 in Thesen 338

Chapter Preview

References

Zusammenfassung

Der Autor geht der Frage nach, welchen Verantwortungsbeitrag im Hinblick auf den Datenschutz jeder einzelne Nutzer bei transaktionsbezogenen E-Government-Anwendungen zu tragen hat. Dabei wird den mehrpoligen Akteurskonstellationen aus öffentlicher Hand, privatem Diensteanbieter und privatem Nutzer Rechnung getragen. Die De-Mail und der neue Personalausweis stehen hier als durch die E-Government-Gesetzgebung besonders geregelte Infrastrukturen im Fokus. Nicht zuletzt wird durch die flankierenden gesetzlichen Vorgaben durch das Onlinezugangsgesetz, welches Bund, Länder und Kommunen dazu zwingt, einem Portalverbund beizutreten, das mehrpolige Verhältnis von öffentlicher Hand, Diensteanbieter und privatem Nutzer an Bedeutung gewinnen.