Der Bayerische Landesbeauftragte für den Datenschutz 19 ...

Der Bayerische Landesbeauftragte für den Datenschutz
19. Tätigkeitsbericht, 2000; Stand: 14.12.2000
_____________________________________________________________________________
Diskussion über die zu verwendenden Protokolle verbracht. Eine von mir angeregte Übergangslösung
für sichere e-mail auf der Basis von PGP wurde im Hinblick auf eine erwartete Dauerlösung
zunächst nicht verfolgt. Die Dauerlösung konnte aber auch noch nicht realisiert werden. Als
Ergebnis nach fünfjähriger Diskussion steht nun eine Zertifizierungsstelle im Landesamt für Statistik
und Datenverarbeitung und entsprechend meiner seit langem erhobenen Forderung ein
PGP-Server im Staatsministerium für Landesentwicklung und Umweltfragen zur Verfügung. Die
flächendeckende Einführung sicherer Verschlüsselungs- und Signaturverfahren im Bayer. Behördennetz
ist mit den grundlegenden Beschlüssen und den Anstrengungen bei der Produktauswahl
für sichere e-mail zwar einen großen Schritt weiter, aber noch nicht zum Abschluss gekommen.
Auch die sichere Abwicklung von Dialogverfahren im Client-Server-Betrieb und von
sonstigen Datenübertragungen zwischen Dienststellen darf nicht vergessen werden. Es sind noch
große Anstrengungen notwendig, wobei die heterogene technische und personelle Ausstattung
der Teilnehmer am Bayer. Behördennetz ein Hemmnis ist, aber auch die Vielzahl der mit diesen
Fragen befassten Gremien, von denen keines die Möglichkeit hat, Sicherheitsvorgaben ressort-
übergreifend festzulegen und durchzusetzen (Nr. 17.1.2).
Die umgehende Sicherstellung einer vertraulichen, authentischen und nicht manipulierbaren
Kommunikation im Bayer. Behördennetz ist zwar einige Schritte weitergekommen,
aber noch nicht umfassend gewährleistet. Meine entsprechende Forderung ist nach wie vor
offen.
Die Anwendung der Data-Warehouse und Data-Mining Verfahren ermöglicht es, in unter-
schiedlichen Datenbeständen bisher unbekannte Zusammenhänge aufzudecken und bisher nicht
gestellte Fragen, an die bei der Speicherung der Daten möglicherweise gar nicht gedacht wurde,
zu beantworten. Aus Datenschutzsicht muss an das für den Datenschutz zentrale Gebot der
Zweckbindung erinnert werden - jeder soll u.a. wissen, zu welchem Zweck seine Daten verarbeitet
werden -. Mit diesem Zweckbindungsgebot ist eine Speicherung von personenbezogenen
Daten für unbestimmte Zwecke in einem Data-Warehouse nicht vereinbar. In einer Entschließung
der Datenschutzkonferenz werden die Hersteller und Anwender deshalb u.a. aufgefordert,
durch Anonymisierung oder Pseudonymisierung die Verletzung des Zweckbindungsprinzips zu
vermeiden oder jedenfalls eine freie, spezifizierte und jederzeit widerrufliche Einwilligung des