Der „bayerische Weg" in der Datenschutzaufsicht

In den Anfängen der Datenschutzaufsicht wurde die Aufsicht über die Verarbeitung im öffentlichen und nicht-öffentlichen Bereich in den Ländern zum ganz überwiegenden Teil durch unterschiedliche Behörden ausgeübt. Diese Zweiteilung der Aufsicht (das sog. „Trennungsmodell“) findet sich heute nur noch in Bayern. Sowohl die Gründe, die zum Zusammenführen der Aufsicht geführt haben, als auch die Frage, ob das Trennungsmodell gegenüber dem sog. Einheitsmodell vorzugswürdig ist, werden geprüft. Damit zusammenhängend wird untersucht, ob die Datenschutzaufsicht im nicht-öffentlichen Bereich einer Reform bedarf. Mit Blick auf eine mögliche Zentralisierung der Aufsicht im nicht-öffentlichen Bereich könnte sich das Trennungsmodell schlussendlich durchsetzen

Der „bayerische Weg" in der Datenschutzaufsicht

In den Anfängen der Datenschutzaufsicht wurde die Aufsicht über die Verarbeitung im öffentlichen und nicht-öffentlichen Bereich in den Ländern zum ganz überwiegenden Teil durch unterschiedliche Behörden ausgeübt. Diese Zweiteilung der Aufsicht (das sog. „Trennungsmodell“) findet sich heute nur noch in Bayern. Sowohl die Gründe, die zum Zusammenführen der Aufsicht geführt haben, als auch die Frage, ob das Trennungsmodell gegenüber dem sog. Einheitsmodell vorzugswürdig ist, werden geprüft. Damit zusammenhängend wird untersucht, ob die Datenschutzaufsicht im nicht-öffentlichen Bereich einer Reform bedarf. Mit Blick auf eine mögliche Zentralisierung der Aufsicht im nicht-öffentlichen Bereich könnte sich das Trennungsmodell schlussendlich durchsetzen

Datenschutz für Verbraucher : 99+1 Beispiele und viele Tipps zum Bundesdatenschutzgesetz

Datenschutz ist seit den Anfängen der Verbraucherarbeit und verstärkt mit den zunehmenden Digitalisierung unser Gesellschaft ein wesentliches Verbraucherthema. So hat uns etwa der Handel mit Kundenadressen beschäftigt, dem zum Beispiel durch Eintrag in Sperrlisten begegnet werden konnte. Heute werden solche Gegenmaßnahmen und damit schließlich der Selbstschutz des Verbrauchers immer schwieriger, denn es wird selbst für Experten zunehmend undurchschaubarer, wo durch wen welche Daten erhoben, verarbeitet und weitergegeben werden. Im Gegensatz zur Offline-Welt wird in der Online-Welt jede Lebensregung Datenspuren erzeugen. Mit den damit verbundenen unkontrollierbaren Datenströmen nimmt potentiell die Einflussmöglichkeit der Verbraucher ab. Bei steigendem Wert personenbezogener Daten und deren wachsender Bedeutung für die Informationswirtschaft als weitere Einnahmequelle müssen hier Verbraucherpolitik und Verbraucherschutz ansetzen, um die dadurch entstehenden nachteiligen Entwicklungen zu begrenzen. Es geht um nicht und nicht weniger als Chancen- und Waffengleichheit zwischen Verbrauchern als „Datenträger“ und Anbietern als „Datenjäger und -sammler“ herzustellen

Design-Prinzipien und Umsetzung personalisierter Assistenzsysteme unter Berücksichtigung des Datenschutzes

Digitale Assistenzsysteme stellen Beschäftigten aufgabenbezogene Informationen in ihren Arbeitsprozessen über tragbare Endgeräte wie beispielsweise Datenbrillen bereit. Durch eine Personalisierung können diese Systeme dazu befähigt werden, sich an den individuellen Arbeitsfortschritt und Wissensstand der Beschäftigten anzupassen. Die technischen Komponenten eines Assistenzsystems stellen hierzu dann nicht nur die Assistenz bereit, sondern sammeln auch personenbezogene Daten, um die Personalisierung zu ermöglichen. Die Personalisierung erfordert jedoch auch einen adäquaten Umgang mit diesen sensiblen Daten, um die Akzeptanz der Assistenzsysteme durch die Beschäftigten sowie einen rechtskonformen Einsatz der Assistenzsysteme überhaupt zu gewährleisten. Um die Akzeptanz und Rechtskonformität sicherzustellen, wurden im PersonA-Projekt insgesamt 19 Design-Prinzipien entwickelt und evaluiert, die bei der Entwicklung von personalisierten Assistenzsystemen in Produktion und Service berücksichtigt werden sollten. Diese gliedern sich in Design-Prinzipien zu generellen Funktionen von Assistenzsystemen, zur Personalisierung von Assistenzsystemen und zur Datenerhebung und -verwendung von Assistenzsystemen. Ausgehend von diesen Design-Prinzipien wurden Funktionen für ein Privatsphäre-Management für das bestehende Lösungsportfolio von TeamViewer Germany GmbH entwickelt und in Pilotprojekten bei den Anwendungspartnern Kemper GmbH und WS System GmbH zum Einsatz gebracht. Vorher-Nachher-Betrachtungen der Prozesse und Kennzahlen bei den Anwendungspartnern zeigen bemerkenswerte Verbesserungen. Darüber hinaus wurden organisationskulturelle Aspekte bei der Einführung und Nutzung der technischen Lösungen bei den Anwendungspartnern durch die nextpractice GmbH untersucht. Aus den Pilotprojekten ergaben sich praktische Handlungsempfehlungen, die auch für weitere Unternehmen eine Orientierung für ihre eigenen Projekte zur Einführung von personalisierten Assistenzsystemen bieten können

P3P und dessen Erweiterungsmöglichkeiten : Abgleich von Datenschutzpraktiken/-präferenzen am Beispiel des Lufthansa AG Intranets

Es steht ausser Zweifel, das der Schutz der Privatsphäre von Internet-Nutzern gegenwärtig unzureichend ist. Die Chance sich im Netz relativ weiträumig und frei zu bewegen, steht die Möglichkeit gegenüber allerlei Informationen über Internet-Nutzer zu sammeln und auszuwerten. Dies ist natürlich auch im Intranet möglich. Im Rahmen dieser Diplomarbeit wurden die verschiedenen Möglichkeiten überprüft, die zur Veröffentlichung von Datenschutzmassnahmen angeboten werden. Zunächst ist der OECD Privacy Statement Generator, dessen Principles Grundlage bei der Formulierung von Lufthansa Principles waren, auf Lufthansatauglichkeit untersucht worden. Dabei hat sich ergeben, dass trotz der theoretischen Übereinstimmung der Principles der Lufthansa AG mit denen der OECD, der Gebrauch des Generators bei Lufthansa in dieser Form nicht möglich ist. Da anfänglich eine Anpassung des Generators an Lufthansabedürfnisse geplant war, sind im Rahmen dieser Diplomarbeit Änderungsvorschläge gemacht worden. Die Anpassung des Codes erfolgte nicht, da dieser nur für öffentliche Stellen und nicht für Privatunternehmen zugänglich ist. Mit P3P entwickelte das W3C eine Datenschutztechnik, die für Nutzer die Kontrolle über persönliche Daten automatisiert und damit den Schutz der Privatsphäre und die Akzeptanz der User verbessert. Nach der Einführung des P3P- und APPEL-Vokabulars, mit dem man einerseits Datenschutzmassnahmen und andererseits Datenschutzpräferenzen ausdrücken kann, sollte daher geprüft werden, ob dieses Vokabular ausreicht, um Lufthansa-spezifische Aussagen zu machen und in wieweit diese erweiterbar bzw. anpassbar sind. Die Untersuchung hat ergeben, dass das Vokabular bis zu einem gewissen Masse ausreicht und es ein Element gibt, das EXTENSION Element, mit dem eine Erweiterung des P3P Standardvokabulars möglich ist. Im Rahmen dieser Arbeit wurden solche auf Lufthansa abgestimmte Erweiterungen sowohl für eine P3P Policy als auch für eine entsprechende APPEL Präferenz formuliert. Die Lufthansa AG hat somit mit P3P die Möglichkeit, Ihre Datenschutzpraktiken für den Mitarbeiter transparenter zu gestalten, da sie auch über das Standardvokabular hinausgehende Aussagen formulieren kann. In der Diplomarbeit sind ausserdem die sich zur Zeit auf dem Markt befindlichen Tools, die bei der Erstellung einer maschinenlesbaren Datenschutzmassnahme, der sog. Privacy Policy benutzt werden können, untersucht worden. Der IBM P3P Policy Editor scheint für den Gebrauch bei Lufthansa denkbar, da die Handhabung des Generators einfach ist. Der Mitarbeiter, der die Policy für seine Abteilung erstellen soll, braucht sich nicht mit den Einzelheiten des P3P Vokabulars auseinander setzten. Mit diesem Editor kann zunächst ein Basisgerüst einer Policy erstellt werden. Die mit dem P3P Element EXTENSION formulierten Erweiterungen müssen jedoch selbsterstellt werden und können nachträglich in das Basisgerüst der Policy miteingebunden werden. Zusätzlich zu der maschinenlesbaren Form einer Policy erstellt der IBM Editor auch eine menschenlesbare HTML-Version der Policy. Dies ist sehr von Vorteil, da in einem Arbeitsgang zwei Policy-Versionen erstellt werden. Im Vergleich zu dem Formulierungsentwurf des OECD Generators ist die menschenlesbare Version des IBM Editors ausserdem wesentlich kürzer und dadurch auch übersichtlicher. Im Ganzen ist es daher sinnvoller, den IBM Editor zu benutzen, als den OECD Generator neu zu programmieren und dann mit Hilfe eines anderen Tools die P3P Policy zu erstellen. Zur Erstellung einer APPEL Präferenz ist zur Zeit nur ein Hilfsmittel auf dem Markt erhältlich. Der Grund hierfür ist sicherlich, dass sich APPEL noch zu keinem Standard entwickelt hat, sondern sich noch in einem Entwurfsstadium befindet. Der APPEL Editor von JRC ist ähnlich wie der P3P Policy Editor von IBM aufgebaut. Auch hier müssen Erweiterungen selbst formuliert und in dem vom Editor erstellten Basisgerüst einer Präferenz eingebunden werden. Nachdem die grundsätzliche Erweiterbarkeit von P3P in dieser Diplomarbeit festgestellt wurde, sind die sog. User Agents behandelt worden. Von Bedeutung war neben der Funktionsweise der einzelnen User Agents ihre Handhabung des EXTENSION Elementes. Da zu erwarten ist, dass nur wenige Nutzer die Voreinstellungen ihrer Software selbst verändern und sich mit der APPEL Spezifikation auseinander setzten, wird der Standardkonfiguration eines P3P User Agents eine große Bedeutung beigemessen. Bei allen vorgestellten User Agents gab es verschiedene Sicherheitsniveaux bzgl. Datenschutz aus denen der Nutzer auswählen konnte. Entsprechend des Niveaux wurde die Präferenz des Nutzers automatisch konfiguriert. Bei allen war es ausserdem möglich, selbsterstellte APPEL Formulierungen zu importieren. Bei dem Proxy von JRC ist es möglich, Settings mit einzubinden, die das EXTENSION Element beinhalten. AT&T erlaubt dies nicht und von Microsoft fehlt hierzu jegliche Angabe. Bzgl. der Lufthansa AG erscheint es sinnvoll, den Mitarbeitern einen eigenen User Agent anzubieten, der alle zusätzlich formulierten Aspekte aufgreift und mit dem der Mitarbeiter seine Präferenzen bzgl. des Intranets leicht ausdrücken kann. Der Aufwand, den Mitarbeitern das erweiterte Vokabular für die Formulierung einer Präferenz zur Verfügung zu stellen, setzt voraus, dass jeder Mitarbeiter sich mit der Syntax und Semantik von P3P und APPEL auskennt. Dies ist im Vergleich zur Programmierung eines eigenen User Agents, der den Mitarbeitern zur Verfügung gestellt wird, aufwendiger und wahrscheinlich auch nicht realisierbar. Grundsätzlich kann durch diese Massnahmen das Vertrauen der Mitarbeiter ins Intranet und damit die Nutzung dieses Mediums gesteigert werden. Die vermehrte Nutzung des Intranets auch für private Zwecke, wie zum Beispiel der Buchung von Reisen oder die Abfrage nach Flügen etc., würde für beide Seiten auch wirtschaftlichen Nutzen bringen. Für die Mitarbeiter selbst käme es z.B. zu einer Zeitersparnis, da sie jetzt zur Buchung ihrer Reisen nicht mehr in die Reisestelle müssen. Dies hätte natürlich auch wirtschaftliche Auswirkungen, da der Aufwand, um zur Reisestelle zu kommen, wegfällt. Aber auch die Lufthansa AG hätte durch die transparentere Gestaltung ihrer Datenschutzpraktiken wirtschaftlichen Nutzen. Die Mitarbeiter z.B. in der Reisestelle würden durch das neue Vertrauen ihrer Kollegen ins Intranet und damit einhergehend die selbstständige Online-Buchungsmöglichkeit entlastet werden. Es könnten mehr Kapazitäten für andere Aufgaben frei werden. Das Ausmass der Vorteile für Lufthansa und Ihrer Mitarbeiter, die sich aus der Veröffentlichung von Datenschutzmaßnahmen ergeben und damit ist auch das vermehrte Vertrauen der Mitarbeiter ins Intranet gemeint, ist zur Zeit noch nicht in vollem Umfang erfassbar, da sich viele Intranetprojekte der Lufthansa AG noch im Entwicklungsstadium befinden. Für die Zukunft ist jedoch auch festzustellen, dass datenschutzfreundliche Technologien allein nicht die Lösung zur Sicherstellung des Datenschutzes im Inter- als auch im Intranet sein können. Vielmehr müssen die aufkommenden technischen Maßnahmen durch nationale und internationale Regelungen unterstützt und ergänzt werden. Erst durch Festlegung internationaler Konventionen, die den Datenschutz in Zusammenhang mit grenzüberschreitenden Computernetzwerken und Diensten regeln, kann ein effektiver und unabhängiger Kontrollmechanismus sowie die Möglichkeit zu Sanktionen gewährleistet werden. Die Veröffentlichung von Datenschutzmassnahmen gewährleistet leider nicht ihre Einhaltung

Bundesamt für Verfassungsschutz - Aufgaben, Befugnisse, Grenzen

Die nach Auflösung der politischen und militärischen Blöcke fortbestehende internationale Zusammenarbeit und vor allem die rasante Entwicklung der modernen Kommunikationsmittel schaffen nie gekannte Freiheiten menschlichen Miteinanders. Doch solche Möglichkeiten bergen auch das Risiko ihres Missbrauchs. Der Auftrag des Verfassungsschutzes liegt im Spannungsfeld zwischen dem Anspruch auf größtmögliche Freiheit und dem Sicherungsbedürfnis der freiheitlichen demokratischen Grundordnung in der Bundesrepublik Deutschland. Der Verfassungsschutz hat die Aufgabe, aktuelle Gefahren durch den politischen Extremismus und deren Entwicklungspotenziale einzuschätzen und so zum Schutz der freiheitlichen demokratischen Grundordnung beizutragen. Klar ist dabei aber auch: Dies kann von staatlichen Institutionen allein nicht geleistet werden. Entscheidend ist die Grundüberzeugung der Bürgerinnen und Bürger, die bereit sind, aktiv für Demokratie und Menschenwürde einzutreten

Menschenrechte - Innere Sicherheit - Rechtsstaat: Konferenz des Deutschen Instituts für Menschenrechte Berlin, 27. Juni 2005

Die Publikation dokumentiert die Beiträge einer Konferenz. Vertreterinnen und Vertreter aus Politik, Wissenschaft und Zivilgesellschaft diskutierten die Evaluation neuer Sicherheitsgesetze und die Schaffung von Datenschutzstandards für die EU-Sicherheitsbehörden. Ein Fokus wurde dabei auf die Bedeutung der demokratischen Kontrolle durch Parlamente und Parteien gelegt