Bürgerkarte und elektronische Signatur arbeitundtechnik@gpa.at
Inhalt Bürgerkarte und elektronische Signatur...Seite 5 Was ist eine sichere elektronische Signatur? (Grundlage: Signaturgesetz)...Seite 5 Was ist die Bürgerkarte? (Grundlage: e-government Gesetz)...Seite 7 Ideen zur Bürgerkarte...Seite 7 Anwendungsziele der Bürgerkarte...Seite 8 Generelle Probleme der Bürgerkarte...Seite 8 Mögliche Folgen für ArbeitnehmerInnen...Seite 9 Anwendungsbeispiele elektronischer Signatur...Seite 10 Impressum Herausgeber: Gewerkschaft der Privatangestellten, Alfred-Dallinger-Platz 1, 1034 Wien Autor: Walter Peissl, Institut für Technikfolgenabschätzung, Österreichische Akademie der Wissenschaften Redaktion: Beirat für Arbeit und Technik der GPA, Paul Kolm Layout: GPA-Marketing, DVR: 0046655, Fotos: Bilderbox September 2005 2
»Wer gestalten will, muss zunächst informiert sein.«wolfgang Katzian Vorsitzender der GPA 3
Arbeit und Technik Beratung für BetriebsrätInnen und Gewerkschaftsmitglieder Arbeitsorganisation Rationalisierung Flexibilisierung Qualitätsmanagement Managementinstrumente - Bewertung Zielvereinbarung MitarbeiterInnengespräch(-beurteilung) Personalentwicklung Entgeltfindung Leistungs- und erfolgsbezogene Entgeltsysteme Arbeitszeitgestaltung Gleitzeit Sabbatical Neue Formen der Arbeitszeit Technologie - Kontrollsysteme - Datenschutz Personaldatenverarbeitung Arbeitszeiterfassung Telefonsysteme Internet - Intranet - email Elektronische Signatur - Bürgercard Call Center Telearbeit CSR (Corporate Social Responsibility) = Gesellschaftliche und soziale Verantwortung von Unternehmen Verhaltenskodizes Soziale Kriterien für CSR Soziales Audit Soziologie/Theorie Angestelltentätigkeit: Unselbständige Selbständige, Typisch Atypische Mitbestimmung: BürgerInnenrechte im Betrieb Kontakt: GPA Arbeit und Technik, Martina Tossenberger, Telefon: 05 0301, email: martina.tossenberger@gpa.at 4
Bürgerkarte und elektronische Signatur Die flächendeckende Einführung der Sozialversicherungs-Chipkarte betrifft alle ArbeitnehmerInnen durch den Wegfall des Krankenscheines direkt. Daher ist es wichtig, verstärkt gesellschafts- und sozialpolitische Folgen der Anwendung einer Bürgerkarte im Umgang mit dem Staat oder in Unternehmen zu diskutieren. Die Bürgerkarte kann ihre Wirksamkeit über rein administrative Vorgänge hinaus insbesondere in Verbindung mit einer sicheren elektronischen Signatur entfalten. Die elektronische Signatur kann für ArbeitnehmerInnen allerdings auch unabhängig vom Konzept der Bürgerkarte neue Unsicherheiten und ein Mehr an Kontrolle und Überwachung mit sich bringen. Vor diesem Hintergrund ist zunächst Information über Gestaltung und Funktionsweise der Systeme notwendig. Dann können für ArbeitnehmerInnen einerseits die direkten Folgen des Einsatzes am Arbeitsplatz und andererseits in ihrer Rolle als StaatsbürgerInnen und KonsumentInnen problematisiert werden. Was ist eine sichere elektronische Signatur? (Grundlage: Signaturgesetz) Die sichere elektronische Signatur (Unterschrift) ist ausschließlich dem/der UnterzeichnerIn zugeordnet, ermöglicht die Identifizierung des/der UnterzeichnerIn, wird unter Kontrolle des/der UnterzeichnerIn erstellt, 5
ist mit den Daten (zb Dokumenten, Texten,) auf die sie sich bezieht so verknüpft, dass jede nachträgliche Veränderung der Daten festgestellt werden kann, beruht auf einem qualifizierten Zertifikat durch ein signaturausgebendes Unternehmen. Konkret geht man bei der Signierung so vor, dass ein so genannter Hash-Wert gebildet wird. Dieser Hash-Wert ist ein mathematisch abgeleiteter»elektronischer Fingerabdruck«der ursprünglichen Datei. Dieser wird dann mit Hilfe des geheimen privaten Schlüssels des/der UnterzeichnerIn, der auf einer Chipkarte gespeichert ist, verschlüsselt und bildet die digitale Signatur. Diese wird dem Originaldokument angehängt und gemeinsam mit dem unverschlüsselten Datei-Inhalt (Text, Bild etc.) an den Adressaten übertragen. Der kann dann aus einem öffentlichen Verzeichnis den öffentlichen Schlüssel des Absenders downloaden und mit diesem die Signatur entschlüsseln und so den Hash-Wert ermitteln. Aus der übersandten Datei kann ebenfalls ein Hash-Wert erstellt werden. Durch den Vergleich der beiden»elektronischen Fingerabdrücke«kann festgestellt werden, ob das Original verändert wurde. 6
Was ist die Bürgerkarte? (Grundlage: e-government Gesetz) Die Bürgerkarte ist in der Regel eine Verbindung von Chipkarte (aktuell wird das in den meisten Fällen die Karte der Sozialversicherung sein), sicherer elektronischer Signatur, Personenbindung über ein Personenkennzeichen, zb mit einer Stammzahl, die aus der ZMR (Zentrales Melderegister)-Zahl generiert wird,»datenhandtasche«/»infoboxen«(zb mit Gesundheitsdaten). Ideen zur Bürgerkarte e-card (der Sozialversicherung) Bankomatkarte Reisepass Personalausweis EU-Reisedokument StudentInnen Card Dienstausweis Führerschein 7
Anwendungsziele der Bürgerkarte elektronischer Identitätsnachweis Zutritt (Autorisierung) zu realen oder virtuellen Räumen, Arbeitsplätzen, Systemen Sicherheit im e-mail Verkehr elektronischer Behördenweg, e-government e-banking e-commerce Generelle Probleme der Bürgerkarte Die Entwicklung ist technologiegetrieben; zum Teil werden Anwendungen ohne wirkliche Nachfrage gepusht. Multifunktionskarten - also Karten die sehr unterschiedliche Zwecke auf einem Medium vereinen - erhöhen das Sicherheitsrisiko für die/den AnwenderIn. Es entstehen Kosten für die Karte und die Zertifizierung, um sie signaturfähig zu machen. Wer trägt die Kosten? 8
Es besteht berechtigter Grund zur Annahme, dass die schon vorhandene kulturelle Kluft zwischen AnwenderInnen und NichtanwenderInnen von Informations- und Kommunikationstechnik vergrößert wird (digital divide). Es wird notwendig sein, für lange Zeit eine kostenintensive Parallelstruktur aufrecht zu erhalten, um die Diskriminierung bestimmter gesellschaftlicher Gruppen hintan zu halten. Die Personenbindung schränkt (gewünschte) Anonymität ein. Die eindeutige Identifizierung mag für Fälle des e-government argumentierbar sein, allerdings ist nicht einzusehen, warum bei jeder Aktivität im virtuellen Raum mit dem»elektronischen Ausweis«gewachelt werden muss. Einkaufen im Netz soll sicherer werden, sich jedoch jedes Mal bei Betreten des e-shops ausweisen zu müssen, scheint sehr hoch gegriffen. Mögliche Folgen für ArbeitnehmerInnen Der sich vollziehende sozio-kulturelle Umbruch erfordert viel Vertrauen in komplexe Systeme, die häufig für die/den»normalbürgerin«undurchschaubar sind. Bei ungleichen Machtverhältnissen - wie sie für die Arbeitswelt charakteristisch sind - ist aber Transparenz und Eindeutigkeit in der Zielsetzung von besonderer Bedeutung. Die elektronische Signatur am Arbeitsplatz in Verbindung mit einer Bürgerkarte erhöht die Kontrollmöglichkeiten des Arbeitgebers im Hinblick auf Arbeitsvorgänge, Bewegungen im Unternehmen und mögliche Geldfunktionen. Auswirkungen auf Autonomie, Flexibilität, Verantwortung und Überwachung werden in unterschiedlichem Verhältnis zueinander stehen. Die Praxis wird zeigen, ob die Bestimmungen der Arbeitsverfassung ( 96 und 96a ArbVG) ausreichen, um das Gefahrenpotential zu beherrschen. Wo es keinen Betriebsrat gibt, bleibt Vieles grundsätzlich offen. 9
Anwendungsbeispiele elektronischer Signatur Zwei Beispiele aus Betrieben, die mit der Anwendung einer elektronischen Signatur arbeiten, die (derzeit noch) nicht den Anforderungen des Signaturgesetzes entspricht: Siemens Business Services Bereits vor einigen Jahren wurde konzernweit eine»public Key Infrastructure«eingeführt. Ursprünglicher Zweck war die Möglichkeit der Verschlüsselung und auch der Signierung von Dokumenten und Nachrichten. Das Verfahren ist nicht mit einer Chipkarte verbunden, sondern in die persönlichen User-Accounts integriert. Die Qualität der elektronischen Signatur entspricht nicht einem»qualifizierten Zertifikat«( 5 SigG), sondern ist für den internen Gebrauch bestimmt. Genutzt wurde die elektronische Signatur von Beginn an kaum, mangels verfügbarer Applikationen und sinnvoller Einsatzgebiete hat sich das auch kaum geändert. Unter Beachtung der bisher gemachten Erfahrungen wird daran gearbeitet, das Verfahren mit einem neuen MitarbeiterInnenausweis in Form einer Chipkarte zu kombinieren. Dieser Ausweis kann zusätzlich zu den Leistungsmerkmalen im Zusammenhang mit der elektronischen Signatur dann für den Zutritt zum Firmengelände und - abhängig von Berechtigungen - in bestimmte gesicherte Bereiche und auch als elektronische Geldbörse genutzt werden. Inwieweit die elektronische Signatur damit zum Leben zu erwecken ist, wird von der Automatisierung von Prozessen abhängen. Wenn das Bestreben, vom Papier wegzukommen ernsthaft betrieben wird, kann dieses Verfahren hilfreich sein. Nach wie vor besteht aber großes Misstrauen bei den AnwenderInnen über die Sicherheit (vor allem gegen Manipulation) und Zuverlässigkeit des Systems. Die Herausforderung für den Betriebsrat ist es, die für die MitarbeiterInnen durchaus vorhandenen Vorteile, zb in Form von administrativen Vereinfachungen, mit den Erfordernissen des Datenschutzes abzugleichen, und einen entsprechenden Schutz gegen Missbrauch der anfallenden Daten, zb zur Intensivierung von Kontrollaktivitäten, sicherzustellen. Bisher sind sämtliche Aktivitäten auf diesem Gebiet in Abstimmung mit dem Betriebsrat erfolgt. Friedrich Spinka (Betriebsratsvorsitzender) 10
Novartis Pharma GmbH Mit der Umstellung auf eine neue Betriebssystemumgebung wurden alle Notebook-BenutzerInnen in unserem Unternehmen in das Public Key Infrastructure (PKI)- System integriert. Ca. 50 % unserer Beschäftigten sind im Außendienst tätig, ein weiterer großer Teil unternimmt oftmals pro Jahr Auslandsdienstreisen. Mit dem PKI-System soll der Schutz von vertraulichen Daten, insbesondere bei Diebstahl von Notebooks, sichergestellt werden. Der Betriebsrat wurde nur sehr allgemein über diese Einführung informiert, eine detaillierte technische Beschreibung lag anfänglich nicht vor. Auf Grund der vielen Systemumstellungen in den letzten Jahren ist der Betriebsrat zunächst auch gar nicht auf mögliche Probleme, die das PKI mit sich bringen könnte, aufmerksam geworden. Erst als vereinzelt Kolleginnen und Kollegen im Rahmen ihres Authentifizierungsprozesses beim Betriebsrat nachgefragt haben, ob diese Initiative mit den arbeits- und datenschutzrechtlichen Bestimmungen in Einklang steht, haben wir uns näher damit beschäftigt. PKI funktioniert auf Basis eines lokal gespeicherten Zertifikates. D.h. die Kolleginnen und Kollegen werden authentifiziert und es werden Passwörter vergeben, welche für die Verschlüsselung von Daten zur Anwendung gebracht werden können. Die zertifizierende Stelle ist in der Personaladministration angesiedelt. Die IT- Abteilung wurde für diese Aufgabe nicht beauftragt, damit ein missbräuchlicher Datenzugriff ausgeschlossen wird. Die aktive Anwendung des PKI-Systems ist bislang jedoch nur vereinzelt gegeben. Diese Thematik in einer Betriebsvereinbarung zu regeln ist aus unserer Sicht sehr komplex, zumal die Schutzwürdigkeit der Beschäftigten noch nicht klar herausgearbeitet werden konnte. Der Betriebsrat hat daher verabredet, die Erfahrungen aus der Anwendung zu beobachten und eine anlassbezogene Regelung anzustreben. Ingrid Stipanovsky (Betriebsratsvorsitzende) 11
Es gibt vieles, für das es sich lohnt, organisiert zu sein. www.gpa.at Arbeit und Technik, Gewerkschaft der Privatangestellten, Alfred-Dallinger-Platz 1, 1034 Wien, Telefon 05 0301, email: arbeitundtechnik@gpa.at