Datensicherheit der elektronischen Bürgerkarte

Sehr geehrter Herr Dr. Thomas,

die Fraktion DIE PIRATEN beantragt das Thema „Kostenfreier Zugang zu Kurpark und Wandelhalle (Bürgerkarte)“ von der Tagesordnung des Hauptausschuss abzusetzen.

Begründung:

Bereits am 02.02.2018 hat die Piratenfraktion eine schriftliche Anfrage zur elektronischen Bürgerkarte an den Bürgermeister gestellt. Mit bedauern müssen wir feststellen, dass die Anfrage bis zum heutigen Tag nicht beantwortet ist. Wir sehen die Sicherheit der Bürgerinnen und Bürger gefährdet und fordern Sie als Bürgermeister der Stadt Bad Salzuflen auf Ihrer Fürsorgepflicht nachzukommen und das Thema Datenschutz ernst zu nehmen.

Außerdem erweitern wir unsere Anfrage um folgende Punkte:

  1. Zu welchem Zweck möchte die Staatsbad GmbH einen Datenbestand aufbauen, wenn für die Herausgabe nur der Personalausweis erforderlich ist?
  2. Welche Daten werden für den „Datenbestand“ erhoben?
  3. Wer hat Zugang zu dem Datenbestand?
  4. Welche Sicherheitsvorkehrungen werden getroffen um einen Missbrauch des Datenbestandes zu verhindern?
  5. Wo sind die Nutzungsbedingungen zu finden (schriftlich)?

Anfrage zum Datenschutz vom 02.02.2018

 

Stellungnahme: Kommunales Rechenzentrum Minden-Ravensberg/Lippe vom 12.02.2018

Bei einem Einsatz von elektronischen Bürgerkarten handelt es sich datenschutzrechtlich um mobile personenbezogene Datenverarbeitungssysteme (bspw. Chipkarten). Diese bringen besondere Gefährdungen für die Rechte der Betroffenen mit sich, da es ihnen regelmäßig nicht möglich ist, selbst festzustellen, was in den Datenverarbeitungssystemen gespeichert ist.

Bei der Verwendung von Chipkarten ist zu beachten, welche Arten eingesetzt werden. Sogenannte Speicherkarten werden vor allem als Wert- oder Ausweiskarten eingesetzt, während Mikroprozessorkarten als „Mini-Computer“ fungieren. Die Mikroprozessorkarten sind leicht transportable Rechner mit einer hohen Speicherkapazität. Inzwischen werden vermehrt multifunktionale Chipkarten eingesetzt, die über die eigentliche Funktion hinaus zahlreiche weitere Zusatzfunktionen aufweisen, die je nach Anwendungsbereich eingeschränkt werden können.

So verschieden die Anwendungsgebiete sind, so unterschiedlich ist auch die Beurteilung der informationstechnischen Sicherheit der Chipkarte. Um konkrete Vorgaben bzw. Anforderungen machen zu können, muss vorher über die Art der elektronischen Bürgerkarte entschieden werden.

Aus der datenschutzrechtlichen Sicht sollten jedoch folgende Mindestanforderungen erfüllt sein:

  • Ausstattung des Kartenkörpers mit fälschungssicheren Authentifizierungsmerkmalen, wie z.B. Unterschrift etc.
  • Steuerung der Zugriffs- und Nutzungsberechtigungen durch die Chipkarte selbst und nicht durch andere am Interaktionsprozess beteiligte Systeme
  • Realisierung aktiver und passiver Sicherheitsmechanismen gegen eine unbefugte Analyse der Chipinhalte sowie der chipintegrierten Sicherheitsfunktionen
  • Benutzung allgemein anerkannter veröffentlichter Algorithmen für Verschlüsselungs- und Signaturfunktionen sowie zur Generierung von Zufallszahlen
  • Sicherung der Kommunikation zwischen der Chipkarte, dem Kartenterminal und dem ggf. im Hintergrund wirkenden System durch kryptografische Maßnahmen.

Weiterhin ist zu beachten, dass gemäß § 4 Abs. 1 Datenschutzgesetz Nordrhein-Westfalen (DSG NRW) eine Verarbeitung von personenbezogenen Daten nur zulässig ist, wenn ein Gesetz oder einen andere Rechtsvorschrift dies erlaubt oder die betroffene Person einwilligt.

Mobile personenbezogene Datenverarbeitungssysteme dürfen gem. § 29a Abs. 1 DSG NRW ausschließlich mit Einwilligung der betroffenen Person nach ihrer vorherigen umfassenden Aufklärung eingesetzt werden. Es ist jedem selbst überlassen, ob er angesichts des Gefahrenpotenzials für das Recht auf informationelle Selbstbestimmung beim Einsatz von bspw. Chipkarten von dieser technischen Möglichkeit Gebrauch machen will oder nicht. Der Verzicht darf jedoch zu keiner Benachteiligung der betroffenen Person führen.

Es ist zu empfehlen, die Einwilligungserklärung bereits nach den gesetzlichen Vorgaben der Datenschutz-Grundverordnung (DS-GVO) aufzusetzen. Diese kann bei Bedarf von Herrn Forner oder mir zur Verfügung gestellt werden.

Weiterhin besagt § 29a Abs. 2 DSG NRW, dass für die Betroffenen jederzeit erkennbar sein muss, ob und durch wen Datenverarbeitungsvorgänge auf dem mobilen Datenverarbeitungssystem oder durch dieses veranlasst stattfinden, welche personenbezogenen Daten der betroffenen Person verarbeitet werden und welcher Verarbeitungsvorgang im Einzelnen abläuft oder angestoßen wird. Diese Informationen sind der betroffenen Person bei Bedarf in schriftlicher Form vorzulegen.

Die ausgebende Stelle hat die betroffene Person bei der Ausgabe des mobilen Datenverarbeitungssystems zusätzlich über die ihr gem. § 5 DSG NRW zustehenden Rechte aufzuklären. Jede betroffene Person hat u.a. das Recht auf:

  • Auskunft und Einsichtnahme,
  • Widerspruch und Unterrichtung,
  • Berichtigung Sperrung und Löschung gem. § 19 DSG NRW
  • Schadensersatz etc.

Bei der technischen Absicherung der elektronischen Bürgerkarte ist zu beachten, dass die personenbezogenen Daten, die sich auf der Karte befinden, nicht einfach von allen Auslesegeräten auslesen lassen. Es darf nur den eigens dafür definierten Geräten möglich sein, die elektronische Bürgerkarte auslesen zu können. Die ausgebende Stelle hat gem. § 29a Abs. 3 DSG NRW dafür Sorge zu tragen, dass die Geräte oder Einrichtungen in angemessenem Umfang zur Verfügung stehen.

Das datenschutzrechtliche Vernichten der elektronischen Bürgerkarte und das Löschen der personenbezogenen Daten auf der Karte selbst sind ebenfalls bei der Beschaffung zu beachten.

Aus datenschutzrechtlicher Sicht ist der Einsatz einer elektronischen Bürgerkarte unter den o.g. Bedingungen zulässig. Da es sich hierbei allerdings lediglich um eine allgemeine Stellungnahme zu der Thematik von mobilen personenbezogenen Datenverarbeitungssystemen handelt, ist es zu empfehlen, bei einer positiven Beschaffungsentscheidung die Anforderungen zur informationstechnischen Sicherheit am entsprechenden Produkt festzulegen.

Es ist ratsam den Datenschutzbeauftragten der Stadt Bad Salzuflen im weiteren Prozess zu beteiligen. Bei Fragen stehe ich Ihnen gerne zur Verfügung.