Interview zur Speicherung personenbezogener Daten in Unternehmen

Am Scheideweg – Datenschutz kontra Authentifizierung und Mitarbeiter-Überwachung

22.06.2007 | Redakteur: Peter Schmitz

Georg Reiss, Leiter der IT-Revision eines Stadtwerke-Konzerns.
Georg Reiss, Leiter der IT-Revision eines Stadtwerke-Konzerns.

Der Datenschutz ist ein hohes Gut unserer freiheitlichen Gesellschaft. Welche Zukunft hat er angesichts der immer effektiveren Methoden zur Identitäts-Speicherung und Überwachung – wie beispielsweise biometrische Verfahren zur Authentifizierung. Information Security sprach mit Georg Reiss. Er ist langjähriger Leiter der IT-Revision eines Stadtwerke-Konzerns.

Peter Schmitz: Datenschutz und Speicherung biometrischer Merkmale – wie passt das zusammen?

Georg Reiss: Gerade im Unternehmensbereich kann der Einsatz von biometrischen Erkennungsverfahren einen großen Nutzen bringen. In hochsensiblen Abteilungen bietet die Biometrie, insbesondere die Iriserkennung, eine direkt personalisierte Authentifizierung und ist damit den indirekt personalisierten Authentifizierungen mittels Zugangscode überlegen. Auch der regelmäßige Wechsel der Zugangscodes entfällt.

Aber gerade bei der Iriserkennung wird die ganze Brisanz dieses Themas deutlich. Sicher ist bereits heute, dass hierüber Erkrankungen des Inhabers abgeleitet werden können. Noch nicht gänzlich erforscht ist, ob nicht evtl. auch ethnische oder andere persönliche Merkmale ableitbar sind. Insofern ist hier die strikte Zweckbindung entscheidend für die Akzeptanz dieser Technologie.

Auch der Aspekt der technologischen Reife sollte nicht außer Acht gelassen werden. So ist z.B. bei Fingerabdrücken bekannt, dass nach intensiver Gartenarbeit oder sonstiger starker mechanischer Hautbelastung der Hände kurz danach die Erkennungsquote gemindert ist. Für diesen Fall müsste durch andere organisatorische Maßnahmen der Systemzugang sichergestellt werden.

Wie sehen Sie als Datenschutzexperte die heiß diskutierte Speicherung von biometrischen Daten in Ausweisen?

Nicht nur im Unternehmensbereich, sondern gerade im öffentlichen Leben spielen biometrische Verfahren, wie z.B. beim Personalausweis/ Reisepass, eine immer größere Rolle. Während das Aussehen des Gesichtes relativ leicht verändert werden kann, ist eine Veränderung biometrischer Merkmale umso schwieriger und bietet damit für die Verbrechensbekämpfung unbestreitbare Vorteile.

Die Rechtslage in Deutschland ist hierzu eindeutig und lässt grundsätzlich eine Vorratsdatenspeicherung nicht zu. Auf Vorrat dürfen die bei Ausweiskontrollen erhobenen Daten deshalb nicht gespeichert werden. Und eine Verwendung der Daten zu einem anderen Zweck als der Identitätsüberprüfung darf nur bei einem konkreten Verdacht vorgenommen werden.

So eindeutig der Rechtsschutz in Deutschland noch ist, so anders ist die Situation in einigen großen westlichen Ländern. Dort wird ganz offen bestätigt, dass die biometrischen Merkmale auf Vorrat gespeichert werden, um dann zu Strafverfolgungszwecken eingesetzt zu werden.

Nach meiner Auffassung sind die Vorteile der Nutzung biometrischer Daten zur Verbrechensbekämpfung und auch deren Speicherung unbestritten. Eine gesetzlich ausformulierte Abgrenzung des Anwendungsrahmens wäre aber erforderlich, und diese Regularien sollten dann auch international normiert werden.

Wer soll eigentlich geschützt werden und welche Daten?

Nach dem Bundesdatenschutzgesetz (BDSG) sind zunächst alle natürlichen Personen geschützt. Dagegen werden z.B. Vereine und Unternehmen nicht durch das BDSG geschützt, wohl aber durch andere Gesetze. Schützenswürdig sind dabei alle Daten, die einer Person direkt oder indirekt zugeordnet werden können (personenbezogene Daten).

Im besonderen Focus stehen dabei Daten zur Gesundheit, über kulturelle Gegebenheiten sowie über private Belange. Geregelt werden die Datenerhebung, die Datenverarbeitung und die Datennutzung. Wichtig in diesem Zusammenhang ist der Begriff der Datenverarbeitung, wozu u.a. auch die Weiterleitung von Daten zählt.

Was verbirgt sich hinter dem kryptischen Begriff der „Informationellen Selbstbestimmung“?

Die Informationelle Selbstbestimmung ist ein Datenschutz-Grundrecht, auch wenn es im Grundgesetz nicht normiert ist. Es leitet sich aus dem Grundrecht der Menschenwürde, der Selbstbestimmung und der allgemeinen Handlungsfreiheit ab. Es ist einer der Grundpfeiler aller deutschen Datenschutzgesetze.

Nach diesem Grundverständnis hat jede Person das Recht, selbst über die Veröffentlichung, Weitergabe und Verwendung ihrer personenbezogenen Daten entscheiden zu können. Gemäß diesem Datenschutz-Grundrecht haben die betroffenen Personen u.a. ein umfangreiches Auskunftsrecht, welche personenbezogenen Daten zu welchem Zweck gespeichert werden, aber auch bei falschen Daten ein Berichtigungsrecht.

Gelten die gleichen Gesetze auch für Angestellte in Unternehmen?

Jedes Gesetz hat seinen eigenen Anwendungsbereich. Insofern gelten nicht alle den Datenschutz berührenden Gesetze auch in Unternehmen. Das wichtigste Gesetz, das BDSG, gilt aber auch in „nicht-öffentlichen“ Stellen und damit in Unternehmen.

Die gespeicherten personenbezogenen Daten von Arbeitnehmern, die Personaldaten, stellen in der Regel eine umfangreiche Ansammlung von persönlichen Daten dar, die neben Name und Anschrift auch Daten zu Krankheitszeiten, Qualifikation und Fortbildung beinhalten. Diese Daten sind besonders schützenswert und stehen nicht nur unter dem Schutz des BDSG, sondern unterliegen auch der Mitbestimmung durch den Betriebsrat.

Gibt es beim Identity Management datenschutzrechtliche Einschränkungen?

Je komplexer eine Unternehmensstruktur ist, etwa bei transnationalen Konzernen, umso größer wird das Bedürfnis nach einem einheitlichen Identity Management. Ein typisches Einsatzgebiet sind z.B. Single-Sign-On-Verfahren, wodurch sich der Benutzer mit einer Zugangskennung an einer seiner Rolle entsprechenden Anzahl von Anwendungen anmelden kann. Es werden dafür nicht nur bei der Erstanlage des Benutzers eine Vielzahl von Merkmalen gespeichert, sondern im Laufe seiner Laufbahn im Konzern immer weitere Merkmale hinzugefügt.

Aus datenschutzrechtlicher Sicht besteht die Gefahr, dass sich mit der Zeit Daten ansammeln, die aktuell nicht mehr gebraucht werden und damit eine Vorratsdatenspeicherung erfolgt. Noch kritischer ist jedoch, dass die Daten zu anderen Zwecken als der bloßen Authentifizierung im Sinne des Datenschutzgesetzes missbraucht werden können.

Ist Datenschutz bald nur noch ein Begriff aus der Vergangenheit?

Die Diskussion um den Datenschutz entstand Ende der 70er Jahre im Zusammenhang mit der damaligen Volkszählung. Die tiefe Verunsicherung über die „neuen“ Möglichkeiten der EDV führte schließlich zu der Vielzahl der Datenschutzgesetze. Seitdem hat sich die Gesellschaft und damit auch der Umgang mit den Möglichkeiten der IT wesentlich verändert.

Wir nehmen die Segnungen der neuen Technologien inzwischen als selbstverständlich an, von der Überwachung unseres Fahrverhaltens durch ABS- und Antischlupfsysteme, über die bequemen Bezahlmöglichkeiten per Kredit- und anderer Pay-Karten bis zur Abspeicherung diverser Vorlieben und Voreinstellungen beim Einkauf im Internet.

Hinzugekommen ist ein bisher nicht gekanntes Sicherheitsbedürfnis in der Folge der Anschläge von 2001. Wir sind beruhigt, wenn Terroristen anhand von Videoüberwachungen gefasst und Mörder durch den genetischen Fingerabdruck überführt werden.

Das alles sind Strömungen und Werthaltungen, die den Datenschutz weiter zurückdrängen. Anderseits ist gerade unsere westliche Gesellschaft wesentlich über die Freiheit des Individuums definiert. Diese individuelle Freiheit, die u.a. in dem Recht auf Informationelle Selbstbestimmung mündete, ist die Triebfeder der Demokratie und wird nach meiner Auffassung auch weiterhin Bestand haben. Insofern wird es eine gesellschaftliche Herausforderung sein, das Bedürfnis nach Sicherheit mit dem Bedürfnis nach individueller Freiheit in Einklang zu bringen.

Wir befinden uns in einem Justierungsprozess, der Schwerpunkt verlagert sich derzeit mehr in Richtung Sicherheit und Überwachung. Aber der Schutz der Persönlichkeitssphäre wird meines Erachtens immer ein hohes Gut bleiben und damit auch der Schutz der persönlichen Daten.

Dieses Interview stammt aus der März/April-Ausgabe unserer Fachzeitschrift INFORMATION SECURITY. Wenn Sie Beiträge wie diesen und weitere hochklassige Analysen und Fachartikel in Zukunft regelmäßig und kostenlos nach Hause geliefert bekommen möchten, registrieren Sie sich jetzt bei Security-Insider.de (Link unten). Mit dem Experten-Know-how von INFORMATION SECURITY finden Sie dann künftig mehr Zeit für die wichtigen Dinge Ihres Jobs!

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2005601 / Authentifizierung)