Kreditkarte
Problematisch ist auch, dass diese biometrischen Daten gesammelt werden, ohne dass dadurch eine hohe Rechtssicherheit erreicht würde. Eine Prüfung der Unterschrift ist im Konzept des Arbeitsablaufes nicht vorgesehen, im Gegenteil: Die Prüfung ist nur bei Vorlage des sicher aufzubewahrenden Entschlüsselungsschlüssels also mit hohem organisatorischen Aufwand manuell möglich. Bei kryptographischen digitalen Signaturen (z.B. der qualifizierten digitalen Signatur) ist die Prüfung der Signatur fester Bestandteil der Einsatzvorgaben und jeder Person möglich, der das Dokument vorliegt.
Auch kann die Technik nicht sicherstellen, dass eine Unterschrift wirklich zu dem vorliegenden Dokument geleistet wurde, da unter Verwendung des Entschlüsselungsschlüssels der einer der Vertragsparteien zugänglich ist prinzipiell die entschlüsselte biometrische Unterschrift problemlos unter jedes andere Dokument gesetzt werden könnte.
Um dies zu verhindern, haben wir angeregt, dass eine oder einer der Sparkassenbeschäftigten den Zeitpunkt und den Vorgang des Unterzeichnens mit einer qualifizierten digitalen Signatur als Zeugin oder Zeuge bestätigt.
Umsetzung der EU-Dienstleistungsrichtlinie in Berlin
Die für die Umsetzung der Dienstleistungsrichtlinie in Berlin notwendigen gesetzlichen Regelungen sind rechtzeitig am 28. Dezember 2009 in Kraft getreten.128 Wesentliches Element der landesrechtlichen Umsetzung ist das Gesetz über den Einheitlichen Ansprechpartner (EA-Gesetz Berlin). Es regelt die Aufgaben und die Zuordnung dieser Stelle in der Berliner Verwaltung. Danach gibt es in Berlin anders als in anderen Bundesländern nur einen einzigen Einheitlichen Ansprechpartner. Er ist bei der für die Wirtschaft zuständigen Senatsverwaltung eingerichtet und soll auf Wunsch eines Unternehmens als Verfahrensbegleiter die mit der Aufnahme und Ausübung von Dienstleistungstätigkeiten verbundenen Verfahren und Formalitäten koordinierend abwickeln.
Daneben ist er Kontakt- und Informationsstelle für Unternehmen und Empfangende von Dienstleitungen.
Bereits im letzten Jahr haben wir ausführlich über die datenschutzrechtlichen Fragestellungen bei der Tätigkeit des Einheitlichen Ansprechpartners berichtet.129 Wir hatten gefordert, für den Umgang mit personenbezogenen Daten durch den Einheitlichen Ansprechpartner eine normenklare gesetzliche Grundlage zu schaffen, die die zentralen Grundsätze der Erforderlichkeit, Zweckbindung und Transparenz der Datenverarbeitung berücksichtigt. Im Falle einer Übermittlung sind die betroffenen Personen darüber zu unterrichten.
Die Senatsverwaltungen für Wirtschaft, Technologie und Frauen sowie für Inneres und Sport haben bei der Erarbeitung der rechtlichen Rahmenbedingungen für den Einheitlichen Ansprechpartner eng mit dem Beauftragten für Datenschutz und Informationsfreiheit zusammengearbeitet. Die enge Zusammenarbeit wird bei der Realisierung des IT-Fachverfahrens Dienstleistungsrichtlinie fortgesetzt.
Für die Wahrnehmung der Betroffenenrechte schafft die Vorschrift eine bemerkenswerte Verfahrenserleichterung. In den Fällen, in denen der Einheitliche Ansprechpartner als Informationsstelle oder Verfahrensbegleiter tatsächlich in Anspruch genommen wird, nimmt er Anträge der betroffenen Dienstleistungserbringer auf Auskunft und Akteneinsicht, Berichtigung und Löschung sowie Widersprüche gegen die Datenverarbeitung nach den §§16 ff.
Berliner Datenschutzgesetz entgegen. Soweit erforderlich leitet der Einheitliche Ansprechpartner diese Anträge zur Bearbeitung an die mit ihm kooperierenden zuständigen Stellen in der Verwaltung weiter. Der Dienstleistungserbringer kann damit auch bei der Geltendmachung seiner Datenschutzrechte die Vorteile einer zentralen Anlaufstelle nutzen.
FAZIT
Die gesetzlichen Grundlagen für eine datenschutzkonforme Arbeit des Einheitlichen Ansprechpartners wurden geschaffen. Jetzt gilt es, sie bei der technischen und organisatorischen Gestaltung der zugrunde liegenden Verfahren zu berücksichtigen.
Wir werden auch diesen Prozess aufmerksam begleiten.
JB 2008, 11.5. Im Paket waren Mikrofiches, die den Namen und die Adresse der Kundin oder des Kunden enthielten, außerdem Kreditkartennummer, Kundennummer und Kreditkartenabrechnungen mit sämtlichen Buchungen. Die Daten stammten aus dem Jahr 2008. Die polizeilichen Ermittlungen ergaben, dass zwei Kurierfahrer ein Paket an die Frankfurter Rundschau öffneten und den Inhalt einen Stollen verzehrten. Als Ersatz für das Stollenpaket etikettierten sie ein anderes Paket um. Hierbei wählten sie zufällig eines aus, das von einem technischen Dienstleistungsunternehmen an die Landesbank Berlin geschickt wurde. Dieses hatte von der Landesbank Berlin die o. g. Kundendaten mit dem Auftrag erhalten, sie zu verfilmen und die Mikrofiches zur Archivierung an die Bank zurückzusenden. Hierzu bediente sich der Dienstleister eines Logistikunternehmens, das den Auftrag allerdings an den Kurierdienst weitergab.
Mikrofilme können nachträglich nicht manipuliert werden und sind aufgrund ihrer Haltbarkeit für Archivierungszwecke besonders geeignet, haben allerdings den Nachteil, dass eine Verschlüsselung nicht möglich ist. Wenn man diese Technologie nutzt, muss man die Sicherheit auf dem Transportweg erhöhen. Daten dürfen nicht wie Weihnachtsgebäck als normale Paketsendung, sondern müssen wie Bargeld verschickt werden, also in verschlossenen Containern und mit lückenlosen Versendungsnachweisen.
Das bei dieser „Stollenaffäre" zutage getretene Kernproblem besteht darin, dass Unternehmen, die mehrere Auftragnehmer und Subunternehmer einsetzen, die Verantwortung für diese Verarbeitungsketten entweder bewusst oder fahrlässig vernachlässigen, weil sie der irrigen Auffassung sind, Verantwortung für den Datenschutz ließe sich „outsourcen".
So enthielt der Vertrag der Landesbank Berlin mit dem Dienstleister zur Auftragsdaten-verarbeitung verschiedene Mängel. Insbesondere wurden der datenschutzgerechte Transport und die Einsetzung der Subunternehmer nicht geregelt. Auch hat es die Landesbank Berlin versäumt, ihre nach §11 BDSG bestehenden Kontrollpflichten bei den Auftragsdatenverarbeitern zu erfüllen.
Die Landesbank Berlin hat sofort reagiert. Die Mikrofilme werden nun von Beschäftigten der Landesbank Berlin in sicheren Behältnissen transportiert.