Datenschutz im Electronic Government

Diplomarbeit von Sigrun Fricke

Einleitung:

Als Folge der fortschreitenden Verbreitung und Entwicklung des Internet, sieht sich auch die öffentliche Verwaltung mit einer zunehmenden Veränderung der Informations- und Kommunikationsprozesse in den Institutionen konfrontiert. Dieser Umstand birgt große Potentiale für die Erhöhung der Wirtschaftlichkeit und der Dienstleistungsorientierung der administrativen Geschäfts- und Verwaltungsvorgänge, aber auch die Herausforderung und Notwendigkeit, alle betroffenen Prozesse in Einklang mit den gegebenen datenschutzrechtlichen Bestimmungen zu bringen.

Während der Bürger in der realen Welt das Rathaus betreten kann, ohne sich sogleich identifizieren zu müssen, sind in der elektronischen Welt Datenspuren kaum zu vermeiden. Und im Gegensatz zu online getätigten Transaktionen, ist sich dort der Bürger in der Regel bewusst, wann, wo und bei wem er sich ausweist.

Die zunehmende Digitalisierung der öffentlichen Verwaltung erleichtert die Erstellung von Persönlichkeitsprofilen, da die bisher auf viele Fachämter oder verschiedene Stellen verstreuten Angaben zu einer Person zusammengeführt werden können. Es stellt sich die Frage, ob das aktuelle Datenschutzrecht vor der Gefahr, dass der Mensch zum ”Gläsernen Bürger“ wird, schützen kann, oder ob die Bestimmungen ihre Aktualität verloren haben und letztendlich überarbeitet werden müssen, um den Risiken der Online-Welt wirkungsvoll entgegentreten zu können.

Gang der Untersuchung:

Die vorliegende Diplomarbeit untersucht die Relevanz von Datenschutz im und für das Electronic Government in Deutschland. Dazu werden die gegenwärtigen Risiken für den Datenschutz im Electronic Government erarbeitet und entsprechende Lösungsansätze aufgezeigt.

Nachdem im ersten Kapitel die Themenstellung erläutert wurde, wird der Begriff Electronic Government in Kapitel Zwei umfassend definiert, indem, nach einer ausführlichen Begriffsbestimmung sowie einer Zusammenfassung der geschichtlichen Entwicklung des Electronic Government, die verschiedenen Anwendungsgebiete, Akteure und Beziehungen genauer beleuchtet werden. Dabei wird auch auf den aktuellen Stand des Electronic Governments heute eingegangen.

Im dritten Kapitel wird das Thema Datenschutz detailliert behandelt.

Neben einer kurzen Erläuterung des Grundgedankens, der hinter der datenschutzrechtlichen Gesetzgebung in Deutschland steckt, wird weiterhin ein Rückblick auf die historische Entwicklung des Datenschutzrechts bis hin zum heutigen Stand der Gesetze gegeben. Die Darstellung der aktuellen Rechtsgrundlagen beinhaltet eine Beschreibung der Anwendbarkeit des deutschen Datenschutzrechts und eine Zusammenfassung der aktuellen Gesetzgebung.

Im Hauptteil, dem vierten Kapitel, wird die Bedeutung von Datenschutz für das Electronic Government behandelt. Dabei werden zunächst die durch das Internet und den Stand der technischen Entwicklung hervorgerufenen Gefahren für den Datenschutz aufgezeigt und anhand von Beispielen verdeutlicht. Im Anschluss daran, wird auf spezifische Problematiken, die sich im Umfeld des Electronic Government ergeben, eingegangen. Mit den datenschutzfördernden Technologien, den technisch-organisatorischen Maßnahmen und den Vorschlägen für die Gestaltung von Internetauftritten und Webformularen werden Lösungsansätze beschrieben, die die aufgezeigten Gefährdungen für den Datenschutz entgegenwirken und Risiken minimieren können.

Den Abschluss dieser Diplomarbeit bildet mit einem zusammenfassenden Fazit das fünfte Kapitel.

Inhaltsverzeichnis:

	Abbildungsverzeichnis	III
	Abkürzungsverzeichnis	IV
1.	Themenstellung und Aufbau der Arbeit	1
2.	Einführung in das Electronic Government	3
2.1	Begriffsbestimmung	3
2.2	Geschichte des eGovernment	4
2.3	Akteure und Beziehungen im eGovernment	5
2.3.1	Government-to-Government (G2G)	7
2.3.2	Government-to-Business (G2B)	8
2.3.3	Government-to-Citizen (G2C)	8
2.3.4	Government-to-NPO/NGO (G2N)	9
2.4	Anwendungsbereiche von eGovernment	9
2.4.1	Electronic Procurement	9
2.4.2	Electronic Organization	10
2.4.3	Electronic Administration	10
2.4.4	Electronic Assistance	10
2.4.5	Electronic Democracy	11
2.5	Die Interaktionsstufen von eGovernment	11
2.5.1	Interaktionsstufen	11
2.5.2	Information	12
2.5.3	Kommunikation	13
2.5.4	Transaktion	14
2.6	Stand heute	14
3.	Einführung in den Datenschutz	17
3.1	Grundgedanke und Bedeutung	17
3.2	Geschichte des Datenschutzrechts	18
3.3	Rechtsgrundlagen	19
3.3.1	Anwendbarkeit des deutschen Datenschutzrechts	20
3.3.2	Das Bundesdatenschutzgesetz und die Landes-Datenschutzgesetze	21
3.3.3	Die EU-Datenschutzrichtlinie	24
3.3.4	Die wichtigsten Regelungen im Onlinerecht	25
3.3.5	Betroffenenrecht	27
4.	Die Bedeutung von Datenschutz für das eGovernment	28
4.1	Datenschutzrechtliche Problematiken durch das Internet und den Stand der technischen Entwicklung	29
4.1.1	Allgemeine Problemstellungen	29
4.1.2	Beispiele	30
4.2	Datenschutzrechtliche Problematiken im eGovernment	33
4.2.1	Allgemeine Problemstellungen	33
4.2.2	Beispiele	36
4.3	Lösungsansätze	41
4.3.1	Datenschutzfördernde Technologien	41
4.3.2	Technisch-Organisatorische Maßnahmen	46
4.3.3	Gestaltung von Formularen und Internetauftritten	50
5.	Fazit	52
	Literaturverzeichnis	54
	Eidesstattliche Erklärung	63

Inhaltsverzeichnis:

	Abbildungsverzeichnis	III
	Abkürzungsverzeichnis	IV
1.	Themenstellung und Aufbau der Arbeit	1
2.	Einführung in das Electronic Government	3
2.1	Begriffsbestimmung	3
2.2	Geschichte des eGovernment	4
2.3	Akteure und Beziehungen im eGovernment	5
2.3.1	Government-to-Government (G2G)	7
2.3.2	Government-to-Business (G2B)	8
2.3.3	Government-to-Citizen (G2C)	8
2.3.4	Government-to-NPO/NGO (G2N)	9
2.4	Anwendungsbereiche von eGovernment	9
2.4.1	Electronic Procurement	9
2.4.2	Electronic Organization	10
2.4.3	Electronic Administration	10
2.4.4	Electronic Assistance	10
2.4.5	Electronic Democracy	11
2.5	Die Interaktionsstufen von eGovernment	11
2.5.1	Interaktionsstufen	11
2.5.2	Information	12
2.5.3	Kommunikation	13
2.5.4	Transaktion	14
2.6	Stand heute	14
3.	Einführung in den Datenschutz	17
3.1	Grundgedanke und Bedeutung	17
3.2	Geschichte des Datenschutzrechts	18
3.3	Rechtsgrundlagen	19
3.3.1	Anwendbarkeit des deutschen Datenschutzrechts	20
3.3.2	Das Bundesdatenschutzgesetz und die Landes-Datenschutzgesetze	21
3.3.3	Die EU-Datenschutzrichtlinie	24
3.3.4	Die wichtigsten Regelungen im Onlinerecht	25
3.3.5	Betroffenenrecht	27
4.	Die Bedeutung von Datenschutz für das eGovernment	28
4.1	Datenschutzrechtliche Problematiken durch das Internet und den Stand der technischen Entwicklung	29
4.1.1	Allgemeine Problemstellungen	29
4.1.2	Beispiele	30
4.2	Datenschutzrechtliche Problematiken im eGovernment	33
4.2.1	Allgemeine Problemstellungen	33
4.2.2	Beispiele	36
4.3	Lösungsansätze	41
4.3.1	Datenschutzfördernde Technologien	41
4.3.2	Technisch-Organisatorische Maßnahmen	46
4.3.3	Gestaltung von Formularen und Internetauftritten	50
5.	Fazit	52
	Literaturverzeichnis	54
	Eidesstattliche Erklärung	63

Textprobe:

Kapitel 4.3.1, Datenschutzfördernde Technologien:

Der Mangel an Sicherheit ist eines der wesentlichen Hemmnisse für eGovernment-Anwendungen, denn in den zuvor aufgezeigten Problemstellungen, die sich aus dem aktuellen Stand der technischen Entwicklung und dem Einsatz von Internettechnologien ergeben, wurde deutlich, dass weder die Vertraulichkeit der Kommunikation, noch ihre Authentizität und die Integrität der übertragenen Informationen ohne zusätzliche Maßnahmen gewährleistet werden können. Die genannten Problematiken sind bekannt, und so hat bereits 1995 die Konferenz der Datenschutzbeauftragten des Bundes und der Länder eine Verschlüsselung bei der Übertragung von personenbezogenen Daten gefordert”:

Bei Übertragung von personenbezogenen Daten ist eine Verschlüsselung vorzusehen. Die Verschlüsselung der Daten muss mit einem hinreichend sicheren Verschlüsselungsverfahren erfolgen. Neben der Auswahl eines effektiven Verschlüsselungsalgorithmus (zum Beispiel DES, IDEA) muß dabei insbesondere eine ordnungsgemäße Schlüsselerzeugung, -verwaltung und -verteilung gewährleistet sein. Verschlüsselungskomponenten sind durch technische, bauliche und organisatorische Maßnahmen vor dem Zugriff Unbefugter zu schützen“.

Auch das Bundesamt für Sicherheit in der Informationstechnik empfiehlt schützenswerte Informationen ausschließlich verschlüsselt und/oder signiert zu übertragen. Die Signatur einer Datei verhindert unerkannte Änderungen an diesen Daten und stellt so einen Schutz gegen Integritätsverletzungen dar, wohingegen die Verschlüsselung einer Datei vor einem Verlust der Vertraulichkeit schützt. Für die Übertragung von Daten zwischen Personen wird eine Verschlüsselung auf Anwendungssicht angeraten, um zum Beispiel die Inhalte von eMails zu schützen. Wenn die gesamte Kommunikation zwischen Rechnern oder Netzen gesichert werden soll, ist eine Verschlüsselung auf Betriebssystemebene sinnvoll, um beispielsweise eine gesicherte Verbindung zwischen einem Rechenzentrum und einer Außenstelle zu gewährleisten.

Die Wissenschaft der Verschlüsselung von Informationen, die Kryptografie, wird eingesetzt, um den Inhalt von Nachrichten für Dritte unzugänglich zu machen. Dabei wird ein Klartext mit Hilfe eines Algorithmus in einen verschlüsselten Text umgewandelt. Als Parameter für den Verschlüsselungsvorgang werden ein oder mehrere Schlüssel verwendet. Der Enschlüsselungsvorgang, also die Umwandlung von Geheimtext in Klartext, muss nicht zwingend auf dem selben Algorithmus wie die Verschlüsselung basieren und ebenso wenig müssen identische Schlüssel zum Einsatz kommen. Durch die Verbreitung des Internet hat die Kryptografie an Bekanntheit und Bedeutung gewonnen, denn kryptografische Verfahren gelten als Lösungsansatz für die Gefahren für Datenschutz und Datensicherheit, welche durch den Einsatz von Internettechnologien immanent geworden sind.

Die vier Hauptziele der modernen Kryptografie sind:

1. Vertraulichkeit der Nachricht Ausschließlich der gewünschte Empfänger soll in der Lage sein, den Inhalt einer verschlüsselten Nachricht zu lesen. Weiterhin soll es nicht möglich sein, Information über den Nachrichteninhalt zu erlangen.

2. Datenintegrität der Nachricht Der Empfänger soll feststellen können, ob die Nachricht seit ihrer Übertragung verändert wurde.

3. Authentifizierung Der Empfänger soll den Absender eindeutig identifizieren und prüfen können, ob die Nachricht tatsächlich von diesem Absender stammt.

4. Verbindlichkeit Der Absender soll nicht bestreiten können, dass die Nachricht tatsächlich von ihm versendet wurde. Jedoch erreichen nicht alle kryptografischen Systeme und Algorithmen die oben genannten Ziele. Abhängig vom technischen und fachlichen Umfeld können sich die Ziele als nicht zweckmäßig oder sogar unnötig erweisen. Außerdem können nicht in jeder Situation die benötigten rechenintensiven Algorithmen und komplizierten Protokolle eingesetzt werden.

Grundsätzlich wird zwischen der Verbindungsverschlüsselung und der End-to-End-Verschlüsselung unterschieden. Bei der Verbindungsverschl üsselung werden die Nachrichten nur auf der Leitung verschlüsselt übertragen, das heißt die Ver- und Entschlüsselung erfolgt auf den für die Vermittlung eingesetzten Knotenrechnern, den so genannten Kryptoboxen, und ist außerhalb der geschützten Übermittlung für jedermann einsehbar und änderbar. Ein typischer Anwendungsbereich für die Verbindungsverschlüsselung sind virtuelle private Netzwerke (Virtual Private Network, VPN), welche von Unternehmen und Verwaltungen eingesetzt werden, um Außenstellen oder Telearbeitsplätze mit dem zentralen Netzwerk zu verbinden. Die End-to-End-Verschlüsselung schützt den Nachrichteninhalt auf dem gesamten Weg vom Sender zum Empfänger und verhindert, dass die Nachricht an den beteiligten Vermittlungsrechnern mitgelesen werden kann. Hier erfolgt die Verschlüsselung meistens auf Anwendungsebene und setzt das Vorhandensein von zusammenpassender Sicherheitssoftware bei Sender und Empfänger voraus. Eine End-to-End-Verschlüsselung wird zumeist in den Bereichen eMail-Kommunikation, elektronischer Handel und Bezahlsysteme eingesetzt.

Als eigentliche Verschlüsselungsverfahren werden entweder symmetrische Verfahren, bei denen sich Sender und Empfänger einer Nachricht auf einen Schlüssel einigen, oder asymmetrische Verfahren eingesetzt. Bei der asymmetrischen Verschlüsselung besitzt der Ersteller einer Nachricht einen geheimen Schlüssel (private key) mit dem die Daten kodiert werden können. Zudem existiert dazugehörig der öffentliche Schlüssel (public key), mit dem der Empfänger die Daten entschlüsseln kann. Der private und der öffentliche Schlüssel bilden ein einmaliges Algorithmenpaar, erstellt von einer vertrauenswürdigen Zertifizierungsstelle.