Datenschutz im Electronic Government

Transkript

1 Nuriye Yildirim Datenschutz im Electronic Government Risiken, Anforderungen und Gestaltungsmöglichkeiten für ein datenschutzgerechtes und rechtsverbindliches egovernment Deutscher Universitäts-Verlag

2 Inhaltsverzeichnis 1. Einführung 1 2. Begriff und Entwicklung des egovernment Das Neue Steuerungsmodell Ziel des Neuen Steuerungsmodells Elemente des Neuen Steuerungsmodells Neues Steuerungskonzept ] Aufbau einer konzernähnlichen Organisationsstruktur Modifiziertes Steuerungsinstrumentarium Modernes Personalmanagement Auswirkungen des Neuen Steuerungsmodells Begriff und Bedeutung des egovernment Rationalisierung durch egovernment Bürger- und Kundenfreundlichkeit Effizienzsteigerung Kostenersparnis Flexibilität der Behördenmitarbeiter Neustrukturierung der Verwaltung Demokratie Stand der Entwicklung Auf der Bundesebene Elektronische Steuererklärung (Elster) Digitales Antragsverfahren (DIGANT) Elektronische Vergabe Auf der Landesebene Auf der Ebene der Kreise, Städte und Gemeinde Media@Komm-Projekte Bremen Esslingen Region Nürnberg/Fürth Die übrigen Projekte Virtuelles Rathaus Hagen Strafanzeige Köln Sperrgutabholung Bayreuth Hundesteuer Krefeld Briefwahlunterlagen über das Internet Hamburg Auf der internationalen Ebene Niederlande USA 40

3 Xll Inhaltsverzeichnis Japan Finnland Umbau in der Verwaltung Verwaltungshandeln Ubiquität der Verwaltung Papierlose" Verwaltungshandlung Transparenz Verwaltungsorganisation Zugang Organisationsstrukturen Intermediäre Prozessstrukturen Bürgerbeteiligung Herausforderungen des egovernment für den Datenschutz Generelle Bedrohungen des Internet Internet als körperloser und grenzenloser Raum Vertraulichkeit und Integrität Technisch-organisatorische Maßnahmen Intransparenz der Datenverwendung Spezifische egovernment-bedrohungen Zunahme personenbezogener Daten Anfall personenbezogener Daten im Internet Inhaltsdaten Verbindungsdaten Bestandsdaten Nutzungsdaten Abrechnungsdaten Signaturdaten Datenbanken und Aktenfindungssysteme Kontrolle für den Datenschutz Rechtsrahmen des egovernment Datenschutzrecht Internationales Recht Europarat 76

4 Inhaltsverzeichnis XIII Datenschutzkonvention des Europarates von Empfehlung zum Schutz personenbezogener Daten im Internet von Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) Vereinte Nationen Europäische Union Europäische Grundrechtecharta Europäische Datenschutzrichtlinie Richtlinie für den Schutz personenbezogener Daten und der Privatsphäre in der elektronischen Kommunikation Richtlinie für den elektronischen Geschäftsverkehr Richtlinie für elektronische Signaturen Verfassungsrechtlicher Rahmen Recht auf informationelle Selbstbestimmung Herleitung Schutzbereich Einschränkung Grundsatz der Verhältnismäßigkeit Gebot der Zweckbindung Gebot der Normenklarheit Verbot der Datensammlung auf Vorrat und von Persönlichkeitsprofilen Schutzpflichten des Gesetzgebers Fernmeldegeheimnis Datenschutzgesetze Anwendbarkeit des deutschen Datenschutzrechts im Internet TDDSG und MDStV Transaktionsebene: Abgrenzung Teledienst - Mediendienst Inhaltsebene: Abgrenzung zum BDSG Transportebene: Abgrenzung zum TKG Schichtenmodell BDSG LDSG Signaturrecht Notwendigkeit der elektronischen Signatur Funktionsweise elektronischer Signaturen Arten der elektronischen Signatur Sonstige elektronische Verfahren Qualifizierte Signaturverfahren Akkreditierte Signaturverfahren Rechtliche Unterschiede der elektronischen Signatur Sonstige Signaturverfahren Qualifizierte Signaturverfahren 124

5 XIV Inhaltsverzeichnis Akkreditierte Signaturverfahren Erforderliche Sicherheitsstufe Gestaltungsmöglichkeiten bei der Zertifikatsbeschaffung Inhalt des Zertifikats Pflichtangaben Freiwillige Angaben Pseudonyme in Zertifikaten Langzeitsicherung elektronischer Signaturen Verwaltungsverfahrensrecht Europa-und Verfassungsrecht Vertragsrecht: Gesetz zur Anpassung privatrechtlicher Formvorschriften Verwaltungsverfahrensrecht Formungebundenes Verwaltungsverfahren Förmliches Verwaltungsverfahren Formgebundenes Verwaltungsverfahren Bekanntgabe des Verwaltungshandelns Verwaltungshandeln mit Anwesenheitspflicht Akteneinsichtsrecht des Beteiligten im Verwaltungsverfahren Kommunalrecht Kommunales Wirtschaftsrecht Kommunalordnung Datenschutzrechtliche Anforderungen des BDSG und TDDSG Datenschutzrechtliche Relevanz der anfallenden Daten Personenbezogene Daten Einzelangaben über natürliche oder sachliche Verhältnisse Bestimmte oder bestimmbare Person Anonyme Daten Pseudonyme Daten Selbstgenerierte Pseudonyme Referenz-Pseudonyme Einweg-Pseudonyme Keine Anwendbarkeit der Datenschutzgesetze auf anonyme und pseudonyme Daten Gegenmeinung: Anwendbarkeit der Datenschutzgesetze Begründung der Nicht-Anwendbarkeit Zulässigkeit der Datenverarbeitung Rechtsgrundlage für die Datenverarbeitung Einwilligung in die Datenverarbeitung Datenschutzrechtliche Bedeutung der Einwilligung 160

6 Inhaltsverzeichnis XV Wirksamkeitsvoraussetzungen der Einwilligung Einsichtsfähigkeit des Erklärenden Zeitpunkt der Einwilligung Einwilligung nach 3 Abs. 3 i. V.m. 4 Abs. 2 TDDSG Formgerechte Einwilligung nach 4a BDSG i.v.m. 126 BGB Formulareinwilligung Freiwillige Einwilligung Kopplungsverbot Informierte Einwilligung Grenzen der Einwilligung Erforderlichkeit Datenerhebung Speicherung, Veränderung und Nutzung Datenumfang Zeitliche Geltung Zweckbindung Zweckfestlegung Zweckänderung Rechte des Betroffenen Auskunfts- und Einsichtsrecht Auskunft Inhalt der Auskunft Form und Verfahren Akteneinsicht Berichtigung, Löschung, Sperrung und Widerspruchsrecht Unterrichtung Unterrichtung nach dem BDSG Unterrichtung nach 4 Abs. 3 BDSG Unterrichtung nach 19a Abs. 1 BDSG Unterrichtung nach dem TDDSG Zeitpunkt der Unterrichtung Inhalt der Unterrichtung Schadensersatz BDSG BDSG Selbstdatenschutz: Grundsatz der Datenvermeidung und der Datensparsamkeit Notwendigkeit von Selbstdatenschutz Möglichkeiten des Selbstdatenschutzes Technisch-organisatorische Maßnahmen 205

7 XVI Inhaltsverzeichnis 7. Ausgewählte datenschutzrechtliche Probleme im egovernment Intermediäre im egovernment Typische Funktionen des Intermediäre im egovernment Nachrichtenübermittlung Virtuelle Poststelle Signaturprüfung 2! Generierung eines Laufzettels Beschreibung der Funktionen am Beispiel von Governikus (BOS) Datenschutzrechtliche Voraussetzungen der Datenweitergabe an den Intermediär Datenweitergabe im Wege der Auftragsdatenverarbeitung Datenweitergabe im Wege der Funktionsübertragung Datenweitergabe im Wege der behördlichen Nutzung von Tele- bzw. Mediendiensten Datenschutzrechtliche Einordnung der Datenweitergabe an den Intermediär Nachrichtenübermittlung Virtuelle Poststelle Signaturprüfung Generierung eines Laufzettels Fazit Elektronische Veröffentlichung der Mitarbeiterdaten Virtuelle Bürgerakte Personenidentifizierung und Personenauthentifizierung Qualifizierte elektronische Signatur Identifikationsdaten in zentralen Verzeichnissen Elektronischer Personalausweis Anonymes und pseudonymes Handeln im egovernment Verwaltungsverfahren Zulässigkeit von Pseudonymen nach 3a Abs. 2 VwVfG Beteiligten- und Handlungsfähigkeit nach 11, 12 VwVfG Bestimmtheitsgebot nach 37 VwVfG Untersuchungsgrundsatz nach 24 VwVfG Verwaltungsvollstreckung Registerabfragen Ohne Zugangsvoraussetzungen Mit Zugangsvoraussetzungen Online-Wahlen 242

8 Inhaltsverzeichnis XVII Fazit Anonymes und pseudonymes Bezahlen im egovernment Secure Electronic Transaction Beschreibung Datenschutzrechtliche Bewertung Geldkarte Beschreibung Datenschutzrechtliche Bewertung Paybox Beschreibung Datenschutzrechtliche Bewertung Datenschutzgerechte Gestaltung des Internetangebots - am Beispiel der einfachen Melderegisterauskunft bei der Landeshauptstadt Hannover Vorhaben der Landeshauptstadt Hannover Datenschutzrechtliche Bewertung Zu berücksichtigende Rechtsbereiche Anzuwendende Rechtsregeln Verwaltungsdatenschutzrecht Online-Datenschutzrecht Telekommunikationsdatenschutzrecht Verwaltungsrechtliche Zulässigkeit Konkretisierung der datenschutzrechtlichen Anforderungen hinsichtlich der einfachen Melderegisterauskunft Szenario I: Zulassung zum automatisierten AbrufVerfahren Szenario II: Bereitstellen des Angebotes Szenario III: Nutzer trifft Auswahl zum Abruf der Auskunft Szenario IV: Aufforderung zur Identifizierung Szenario V: Eingabe der Suchkriterien Szenario VI: Erhalt der Auskunft Szenario VII: Gebührenabrechnung und- bezahlung Szenario VIII: Rechte der Betroffenen Technikgestaltung und Technikfortbildung Techniksteuerung durch normative Vorgaben Technikgestaltung 283

9 XVIII Inhaltsverzeichnis 9.3 Methode einer Technikgestaltung Grenzen rechtlicher Technikgestaltung Datenschutzfördernde Technologien Bedeutung datenschutzfördernder Technologien Rechtliche Einordnung Transparenz Datenvermeidung und Datensparsamkeit Erforderlichkeit Zweckbindung Betroffenenrechte Datensicherheit Beispiele für PET Public Key Infrastruktur Anonymisierungstechniken P3P Biometrie Identitätsmanager Weiterentwicklung des Rechts Grundsatz der Zweckbindung Problemstellung Begriff der Zweckbindung Datenverarbeitung mit Personenbezug Datenverarbeitung ohne Personenbezug Transparenzgebot Aufdeckungsanspruch Fazit Fazit und Ausblick 327 Literaturverzeichnis 333