Datenschutz im Umgang mit digitalen Identitäten



Ähnliche Dokumente
Vertrauenswürdige Identitäts- Infrastrukturen

Safer Surf Datenschutz im Internet. Dr. Thilo Weichert. Friedrich Naumann Stiftung für die Freiheit 16. Juli 2009 Wissenschaftszentrum Kiel

Die digitale Signatur. Einführung in die rechtlichen Grundlagen der elektronischen Signatur

Die Online Ausweisfunktion

Datenschutz und D

Freier Informationszugang über das Internet. Dr. Thilo Weichert. Dataport-Hausmesse Oktober 2009, Messehalle Hamburg- Schnelsen

Die digitale Welt und wie hilft IT-Grundschutz?

Alle unter Generalverdacht

Vorteile für Unternehmen durch Datenschutz-Zertifizierung

Datenschutzrechtliche Probleme in der sektorenübergreifenden Qualitätssicherung

Datenschutz in Deutschland Beurteilung aus behördlicher Perspektive

Unterschrift unterwegs

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

Gesundheitsdatenpolitik Datenschutz und/oder Datenqualität

Informationelle Fremdbestimmung durch große Internetanbieter

Der beschwerliche Weg des Datenschutzes im Internet. Dr. Thilo Weichert, Leiter des ULD

Rechtsfolgen der Digitalen Identität

Das E-Government-Gesetz des Bundes

Medizinische Telematik und Datenschutz

Zielkonflikte zwischen Funktionalität, Sicherheit und Datenschutz econique, Mainz, 13. September 2006

E-Government-Forum der öffentlichen Verwaltung in Schleswig-Holstein E-Government und Datenschutz

61a - 61h Unterabschnitt 1 Erfassung und Übermittlung von Antragsdaten zur Herstellung von Dokumenten

Halle 5 / Stand E 38. Selbstbestimmter Datenschutz: Lösungen für mehr Transparenz in Webshops und

Bundesgesetz über elektronische Signaturen (Signaturgesetz - SigG) (Auszug)

Schwachstellen im Datenschutz wo drückt der Schuh?

Informationstag "Elektronische Signatur" Gemeinsame Veranstaltung von TeleTrusT und VOI Berlin,

Der Personalausweis mit Online-Ausweisfunktion auf einen Blick

Aktuelle Herausforderungen im Datenschutz

Effektive Reaktion auf illegalen Datenhandel. Thilo Weichert

Datenschutz und Kreditgeschäft - Scoring, Bonitätsprüfung, Verkauf

Grundsätze der elektronischen Kommunikation mit der Verbandsgemeinde Offenbach

Cloud Computing - und Datenschutz

Grundsätze der elektronischen Kommunikation mit der Verbandsgemeindeverwaltung

Prof. Dr. Rainer Erd. Rechtliche Aspekte des egovernment

Open Data - Aspekt Datenschutz

IMMANUEL DIAKONIE. Datenschutz Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt ist.

Datenschutz bei Handwerkskammern

Mobil ohne Kartenleser? QeS to go

Telekom D . Ohne Brief, aber mit Siegel.

Intelligente Energieversorgung und Datenschutz

1 D -Dienste. 2 Zuständige Behörde

Grundsätze der elektronischen Kommunikation mit der Verbandsgemeindeverwaltung

Ansätze für datenschutzkonformes Retina-Scanning

Digitale Signaturen. im Kontext der Biometrie. Thomas Kollbach

Grundsätze der elektronischen Kommunikation mit der Verbandsgemeindeverwaltung Glan-Münchweiler

Datenschutz der große Bruder der IT-Sicherheit

Michael Butz Geschäftsführer

Teil II Hardy Hessenius

Telekom D Ohne Brief, aber mit Siegel. Information für Datenschutzbeauftragte

BSI Technische Richtlinie

Kommunaler Datenschutz

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

Informationsveranstaltung Camping- und Wassersporttourismus

Information der Ärztekammer Hamburg zum earztausweis. Beantragung und Herausgabe des elektronischen Arztausweises

Orientierung ja, Überwachung nein Location Based Services auf dem Prüfstand

BSI Technische Richtlinie

Die Verbandsgemeindeverwaltung Rengsdorf eröffnet unter den nachfolgenden Bedingungen einen Zugang zur Übermittlung elektronischer Dokumente.

-Verschlüsselung viel einfacher als Sie denken!

Kommunaler Datenschutz

Der neue Personalausweis. Informationen zur Online-Ausweisfunktion

Grundsätze der elektronischen Kommunikation mit der Gemeindeverwaltung Neuhofen

D DATENSCHUTZ-NACHWEIS

##" $ % & #" $ -./0*10.1 % 2./0*10* $ +, +$ '# #6 $ # 78 0(! 298 : ;$<;=,0&0! ><8 ( */.4, -..<.?0. % 2..<.?0. 304! -. / ... !

Prüfungsbericht für den Datenschutz-Nachweis nach 18 Abs. 3 Nr. 4 D -Gesetz

Gesünder mit Apps und Co? Datenschutzrechtliche Anforderungen

Akteneinsichts- und Auskunftsansprüche. militärischen Bereich ausweitbar?

Ärztliche Untersuchungen an Bewerbern und Beschäftigten

Authentizität mittels Biometrie im elektronischen Rechtsverkehr

Welche technischen Voraussetzungen sind für die Nutzung von Zertifikaten notwendig?

Grundsätze der elektronischen Kommunikation mit der Verbandsgemeindeverwaltung Kaiserslautern-Süd Stand Mai 2015

Nutzung von Kundendaten

Datenschutz und Meinungsfreiheit Regulierung von Medieninhalten durch das BDSG?

Datenschutz, was heißt das eigentlich?

Akzeptanz von Portallösungen durch Datenschutz Compliance Meike Kamp Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

AGENDA. 1 Rechtliche Rahmenbedingungen 2 Umsetzung 3 Produkte 4 Governikus Signer 5 Ausblick 6 Diskussion

Grundsätze der elektronischen Kommunikation mit der Kreisverwaltung Cochem-Zell

Datenschutz im E-Commerce

Datenschutz. im Rahmen der Diskussionsreihe Die Gegenwart der Zukunft. Thilo Weichert, Leiter des ULD

Antrag auf Anerkennung als sachverständige Prüfstelle. durch die EuroPriSe GmbH

Der elektronische Rechtsverkehr in der

Der neue Personalausweis notwendiges Infrastrukturmedium für einen sicheren Internetverkehr

Rechtsbehelfe im Datenschutz Die Rolle der Datenschutzbeauftragten

Fit für den neuen Personalausweis Wie Städte und Gemeinden die Online-Ausweisfunktion einsetzen

Die Telematikinfrastruktur als sichere Basis im Gesundheitswesen

Datenschutz und IT-Sicherheit

Grundsätze der elektronischen Kommunikation mit der Stadtverwaltung Andernach

Er hat das praktische Format einer Scheckkarte und er bietet Ihnen darüber hinaus neue Funktionen und viele Einsatzmöglichkeiten in der Online-Welt.

D und Datenschutz

Seit dem 1. November 2010 gibt es einen neuen elektronischen Bundespersonalausweis mit neuen Funktionen.

Elektronisches Abfallnachweisverfahren (eanv): die qualifizierte elektronische Signatur (qes)

Elektronische Kommunikation mit der Verbandsgemeindeverwaltung Zell (Mosel)

Was ist sigmail.de? Sigmail ist der -Server auf www. signaturportal.de. Eine Adresse auf signaturportal.de lautet

Datensicherheit und Datenschutz. Datenschutz. Datensicherheit. Schutz von Personen. Schutz von Daten. (setzt Datensicherheit voraus)

SuisseID Risiken und Haftungsfragen

D , neue Perspektiven für die elektronische Kommunikation

Contra Cloud. Thilo Weichert, Leiter des ULD. Landesbeauftragter für Datenschutz Schleswig-Holstein

Einführung von D im Land Bremen

Datenschutz in Arztpraxen/MVZ

Wenn Sicherheit praktikabel wird: Sicher Authentifizieren, Signieren, Versiegeln und Zustellen anhand eidas konformer Praxisbeispiele

Transkript:

Datenschutz im Umgang mit digitalen Identitäten Thilo Weichert, Leiter des ULD Landesbeauftragter für Datenschutz Schleswig-Holstein 15. Ministerialkongress 2010 Innovation und Wandel Gestalten ohne Finanzen? Berlin, 09.09.2010 Unabhängiges Landeszentrum für Datenschutz ULD Inhalt Datenschutz Neuer Personalausweis De-Mail Elektronische Signatur Weitere elektronische Verwaltungsverfahren Ministerialkongress Berlin 9.9.2010 - Datenschutz u. digitale Identitäten Folie 2 1

Unabhängiges Landeszentrum für Datenschutz Kontrolle Beratung Ausbildung inkl. DATEN- SCHUTZ- AKADEMIE IT-Labor Modell- Projekte Gütesiegel Audit Primäre Adressaten: Verwaltung Wirtschaft Bürger Wirtschaft, Wissenschaft, Verwaltung Ministerialkongress Berlin 9.9.2010 - Datenschutz u. digitale Identitäten Folie 3 ULD-Aktivitäten zum ID-Management 1999-2002 BioTrust Seit 2001 Anonymisierungsdient AN.ON 2002 EU-Workshop Digitale Identität 2003 Studie Identity Management Systems (IMS) Identification and Comparison Study 2004-2008 PRIME Privacy and Identity Management for Europe (19 Partner) 2004-2008 FIDIS Future of Identity in the Information Society (23 Partner) 2007 Studie Verkettung digitaler Identitäten 2008-2011 PrimeLife Ab 2010 ABC4Trust (Attribute Based Credentials) Ministerialkongress Berlin 9.9.2010 - Datenschutz u. digitale Identitäten Folie 4 2

Datenschutz I Grundrecht auf informationelle Selbstbestimmung (1983) Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme (2008) - Bestimmungsrecht, wer was wann bei welchen Gelegenheit - Zweckbindung - Verbot von umfassenden Persönlichkeitsprofilen/Personenkennzeichen (lebenslang, bereichsübergreifend) - Transparenz - Verbot der Rundumüberwachung - Informationstechnische Privatsphäre - Datenvermeidung/Datensparsamkeit - Technisch-organisatorische Datensicherheit Ministerialkongress Berlin 9.9.2010 - Datenschutz u. digitale Identitäten Folie 5 Datenschutz II Eric Schmidt (Google): "I don't believe society understands what happens when everything is available, knowable and recorded by everyone all the time." He predicts, apparently seriously, that every young person one day will be entitled automatically to change his or her name on reaching adulthood in order to disown youthful hijinks stored on their friends' social media sites (Wall Street Journal). Zunehmende digitale Verfügbarkeit individueller Lebensäußerungen Lebenslange Verkettungsmöglichkeit über unterschiedliche Identifikatoren (Name, Geburt, Wohnung, Geolokalisierung, Steuer-ID, Verwaltungs-Nrn.) Ministerialkongress Berlin 9.9.2010 - Datenschutz u. digitale Identitäten Folie 6 3

Funktionen Abruf biometrischer Daten qualifizierte elektronische Signatur elektronischer Identitätsnachweis Datensicherheit Sperrmerkmale Zugangsnummer Festlegung von Verarbeitungszwecken PIN Datenübermittlungen zwischen Behörden Neuer Personalausweis (npa) Datenübermittlungen an Diensteanbieter und Berechtigungsvergabe Erforderlichkeitsprüfung bei Berechtigungsvergabe Ministerialkongress Berlin 9.9.2010 - Datenschutz u. digitale Identitäten Folie 7 npa-biometrie Biometrische Merkmale nur für berechtigte Behörden Keine Speicherung der Unterschrift (wg. hohem Missbrauchsrisiko) Freiwillige Speicherung der Fingerabdrücke (anders epass) Abruf von Lichtbild (und Fingerabdrücken) nur durch berechtigte Behörden Ministerialkongress Berlin 9.9.2010 - Datenschutz u. digitale Identitäten Folie 8 4

npa Qualifizierte Signatur Bestätigt (nur) Identität des Absenders sowie Herkunft und Integrität des Textes Keine Sicherung der Vertraulichkeit (keine Verschlüsselung) npa als Signaturkarte sowie zur Erstellung einer sicheren Signatur Kartenlesegerät (ab 60 Euro) Zertifikat für Signatur (ca. 40 Euro pro Jahr) Ministerialkongress Berlin 9.9.2010 - Datenschutz u. digitale Identitäten Folie 9 NPA Elektronischer Identitätsnachweis Elektronischer Nachweis der Identität ab 16 Jahren gegenüber öffentlichen und nicht-öffentlichen Stellen Missbrauch = OWi 32 I Nr. 5 PAuswG Verschlüsselung in allgemein zugänglichen Netzen Datensatz: Sperrmerkmal, Gültigkeit, Namen, Vornamen, Dr., Geburtstag, Geburtsort, Anschrift, Dokumentenart, dienste- und kartenspezifische Kennzeichen, D für BRD, über/unter Alter, Wohnortabgleich, Ordens-/Künstlername Ministerialkongress Berlin 9.9.2010 - Datenschutz u. digitale Identitäten Folie 10 5

npa Datensicherheit I Sperrmerkmale (BVA führt Liste mit allgem. Sperrmerkm., diensteanbieterspezifische Sperrmerkmale bei Zertifizierungsdiensteanbieter) Zugangsnummer (sechsstellig, nicht als Geheimnummer, zum Abruf von Daten aus Speichermedien, Bedienung Rücksetzähler) Nutzung für berechtigte Behörden (Identität des Ausweisinhabers, Echtheit des Dokuments), Nutzen der Biometriemerkmale für Polizei, Zoll, Steuerfahndung, Perso- Pass- u. Meldebehörden (Auslesen, Erheben, Abgleichen) Ministerialkongress Berlin 9.9.2010 - Datenschutz u. digitale Identitäten Folie 11 npa Datensicherheit II PIN (Änderung der PIN über Bürgerclient, Dokumentation der Nutzung/Protokollierung: welche Stelle, wann, was) Datenübermittlung zw. Behörden u. durch Bürger (telefon. Sperrantrag mit Sperrkennwort, Komm. zw. Personalausweisbehörden, Übermittlung nach Sperrantrag bei Sperrnotruf, Übermittlung von örtl. an ausstellende Beh.) Datenübermittlung an Diensteanbieter (gegenseitige Identifizierung, Nutzerzentrierung, Beschränkung auf erforderliche Daten durch vorlaufende Prüfung durch BVA) Ministerialkongress Berlin 9.9.2010 - Datenschutz u. digitale Identitäten Folie 12 6

Berechtigungsvergabe an Diensteanbieter Keine geschäftsmäßige Datenübermittlung ( 29 BDSG) Erfüllung der Anforderungen an Datensicherheit und DS Nur erforderliche Daten für rechtmäßigen Einsatzzweck (kein bloßes Auslesen od. Bereitstellen für Dritte) - Problem: Zweckfestlegung zu weit>zu viel Daten; zu eng>zu viele Zertifikate/Kosten Zweck muss sich auf ein konkretes Verfahren beziehen - Problem: Erforderlichkeit bzgl. Zweck incl. evtl. nötiger Rechtsverfolgung Einrichtung v. Kundenkonto genügt nicht, evtl. pseudonym Ministerialkongress Berlin 9.9.2010 - Datenschutz u. digitale Identitäten Folie 13 Erforderlichkeit Informationsabruf keine Daten, anonyme Nutzung möglich Nutzung spezifischer Dienste Merkmalsnachweis z.b. zu Alter oder Wohnort genügt (z.b. Jugendschutz, Kommunale Dienstleistung, Kureinrichtung) Kontoführung mit Nutzerkommunikation nicht verkettbare Zuordnung per Pseudonym (auch Prepaid-Dienstenutzung) Personenbezogene Dienstleistung Identifikation (kreditorisches Risiko bei Austauschverträgen, Datenschutz-Selbstauskunft, Anträge und Bescheide öffentliche Verwaltung), evtl. Verzicht auf Wohnadresse Ministerialkongress Berlin 9.9.2010 - Datenschutz u. digitale Identitäten Folie 14 7

De-Mail - allgemein Ausgangslage: Signaturen gegen keine Auskunft über Ein- und Ausgang, Zeitstempel von Drittinstanz genügt nicht für Zugangsbest., E-Mail weit verbreitet, Signaturen nicht Ziel: Einfache sichere elektronische Erreichbarkeit mit Zugangsbestätigung - sichere Absenderidentität (gegen Spam und Phishing) - digitaler Zugangsnachweis (gem. ZPO, VwVfG) - sichere Authentisierung (mit Token z.b. npa od. mobiletan; Passwort genügt bei Einschreiben nicht, 2 Merkmale) - elektronisches Postfach Funktionalitäten: Postfachdienst Versanddienst, elektronisches Einschreiben Dokumentensafe Authentisierungsdienst evtl. Zusatzdienste der Wettbewerber Identitätsbestätigung gegenüber Dritten Ministerialkongress Berlin 9.9.2010 - Datenschutz u. digitale Identitäten Folie 15 De-Mail - Akkreditierung Akkreditierung von Dienstleistern auf Antrag - IT-Grundschutz/ISO27001/spezifische Anforderungen - Datenschutzanforderungen - Zuverlässigkeit und Fachkunde - Funktionalität Zweistufiges Verfahren: BSI-zertifizierte Prüfstelle erstellt Gutachten, Prüfung durch BSI (Technik) und BfDI (Datenschutz) Ministerialkongress Berlin 9.9.2010 - Datenschutz u. digitale Identitäten Folie 16 8

De-Mail Risiken u. Kritik Ende-zu-Ende-Verschlüsselung nicht vorgesehen Freie Beweiswürdigung der Gerichte bei nicht signierter Mitteilung Auskunftsanspruch zur Aufdeckung von Pseudonymen nicht eindeutig geklärt Erhebung Staatsangehörigkeit bei Kontoeröffnung Löschpflicht für Verkehrsdaten und Kontrolle (u.a. Versandund Eingangsbestätigung) Ministerialkongress Berlin 9.9.2010 - Datenschutz u. digitale Identitäten Folie 17 Signaturgesetz (SigG) von 1997, Reform 2001 Elektronische Signatur Zweck: Ersatz der Schriftform im Rechtsverkehr Arten: - Einfache elektronische Signatur - Fortgeschrittene elektronische Signatur (eindeutige Identifikation des Schlüsselinhabers) - Qualifizierte elektronische Signatur (qualifisiertes Zertiifikat, erzeugt mit Signaturerstellungseinheit), ersetzt Unterschrift ( 126a BGB) Ministerialkongress Berlin 9.9.2010 - Datenschutz u. digitale Identitäten Folie 18 9

Elektronische Verwaltungsverfahren Elektronischer Reisepass (epass) Elektronische Steuererklärung (ELSTER) Elektronische Gesundheitskarte (egk) mit Telematik- Infrastruktur für medizinische Kommunikation, Abrechnung Elektronischer Leistungsnachweis (ELENA) in Sozialverfahren Ministerialkongress Berlin 9.9.2010 - Datenschutz u. digitale Identitäten Folie 19 Datenschutz im Umgang mit digitalen Identitäten Dr. Thilo Weichert Unabhängiges Landeszentrum für Datenschutz Schleswig- Holstein (ULD) Independent Center for Privacy Protection Schleswig-Holstein (ICPP) Holstenstr. 98, D- 24103 Kiel mail@datenschutzzentrum.de https:// Ministerialkongress Berlin 9.9.2010 - Datenschutz u. digitale Identitäten Folie 20 10

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback