Archiv der Kategorie: Netzpolitik

Deutsche Datenbanken – ein kurzer Überblick

Langsam kommt man nicht mehr hinterher in Deutschland: Nahezu täglich gibt es neue Datenbanken, scheinbar ohne dass die Bürger es bemerken. Ich versuche hier eine kleine Übersicht zu erstellen und fortzuführen, ich freue mich jederzeit über weitere Hinweise.

Hinweis: Es gibt eine vollständige Übersicht – basierend auf der Anfrage eines Abgeordneten – die hier verlinkt ist.

  • Da wäre die Gen-Datenbank, die zunehmend auch bei einfachen Delikten mit „freiwilligem“ Material bestückt wird (Informationen),
  • die Elena-Datenbank, die Daten über die Einkommensverhältnisse aller Arbeitnehmer speichern wird (Informationen),
  • das Zentralregister in Flensburg,
  • das Bundeszentralregister,
  • das Bundesmelderegister mit der tollen neuer Steuer-Identifikation (Informationen),
  • mit Schufa und Creditreform zwei faktische Schuldnerdatenbanken, die Einblick in Vermögensverhältnisse und Vermögensverbindungen der Bürger geben,
  • ein Zahlungsprofil bei Kartenzahlung via EC-Karte bei easycash (Informationen),
  • die geplante zentrale EU-Datenbank für Fingerabdrücke, wobei noch nicht feststeht, wessen Abdrücke da drin stehen,
  • zentrale „Anti-Terror-Datei“,
  • durch die bald beschlossene Vorratsdatenspeicherung eine dezentral geführte aber zielgerichtet abfragbare Datenbank (1:n) für TK-Verbindungen aller Deutschen (Information),
  • es wird eine Datenbank angedacht, in der zentral alle Autos samt Halter, Versicherungen und TÜV geführt werden (hier bei SPON),
  • ebenfalls diskutiert wird die Einführung eines Verzeichnisses für Menschen die Ihre Religion, hin zum Islam, wechseln,
  • und ein Verzeichnis (Registerpflicht) für diejenigen die „gefährliche“ Stoffe wie Wasserstoffperoxid kaufen möchten
  • es wird eine „Einladerdatei“ angedacht: Wer einen visumpflichtigen Ausländer nach Deutschland einlädt, soll künftig in einer speziellen Datei gespeichert werden. (Hinweis bei Spitzelblog)
  • Zusätzlich wird immer stärker verlangt, biometrische Merkmale aller Bürger zentral zu speichern (Hier zu lesen)
  • Solarkastaster (Details gibt es hier)

Datenschutz und Zertifizierung

Der Europäische Datenschutz-Ausschuss (vgl. die aktuelle Verlautbarung hierzu) sieht keine rechtliche Möglichkeit für die Zertifizierung von Management-Systemen im Datenschutz (sondern hält den Zertifizierungs-Bereich auf Produkte und Dienstleistungen beschränkt).

Es besteht damit eine Angebots-Lücke bei offiziellen Zertifizierungen, da Unternehmen unter der DSGVO keine staatliche Zertifizierung für ihre Datenschutz-Prozesse erhalten können.

ISO 27001 und ISO 27552 für Groß-Unternehmen

Die ISO 27001 (IT-Sicherheit) und die darauf aufsetzende ISO 27552 (Datenschutz-Management; verfügbar ab voraussichtlich April 2019) wird zumindest für Groß-Unternehmen eine alternative Möglichkeit bieten, Datenschutz-Prozesse auf ISO-Basis einer Zertifizierung/Bestätigung durch akkreditierte Stellen zu unterziehen.

Für kleinere Unternehmen (welche sich eine teure Zertifizierung/Anerkennung nach ISO 27001/27552 nicht leisten können) ist keine Möglichkeit absehbar, ihre Unternehmen mit amtlicher Anerkennung im Datenschutz zertifizieren zu lassen.

Private Zertifizierungsangebote

Die bestehende Lücke wird derzeit von mehreren privaten Anbietern adressiert. Dies sind rechtlich gesehen also weder offizielle Zertifizierungsverfahren gem. Art. 42 (1) DSGVO, noch entsprechen diese einer ISO-Normierung.

Durch die privaten Anbieter erfolgt eine Überprüfung und Dokumentation der Einhaltung der Anforderungen der DSGVO ohne Erteilung eines staatlich anerkannten Zertifikats.

CPS: Certified Privacy Standard

Die IITR Datenschutz GmbH hat sich nach der oben zitierten Verlautbarung des Europäischen Datenschutz-Ausschusses entschlossen, unter der Bezeichnung „Certified Privacy Standard“ einen Datenschutz-Standard vorzulegen. Die Voraussetzungen sind in einem Konformitätsbewertungs-System zusammengefasst. Als Grundlage dient das im April 2018 vorgestellte Compliance-Kit der IITR Datenschutz GmbH. Dieses stellt u.a. ein Datenschutz-Management-System zur Verfügung und bildet dazu die strukturellen Anforderungen der DSGVO nach, wobei sich der Aufbau an der ISO High-Level-Structure orientiert.

Partiell vergleichbar dazu wäre die BS 10012 des BSI (British Standards Institution), soweit diese inhaltlich auf DSGVO-Bestimmungen Bezug nimmt.

Zwei Ausführungen des Certified Privacy Standard

CPS 100 für mittelständische Unternehmen

Dieser Standard sichert die Konformität mit den Bestimmungen der DSGVO zum Zeitpunkt der Überprüfung zu. Durch die im zugrundezulegenden Compliance-Kit implementierte Versionierung der jeweils aktuellen Dokumentenlage kann die Konformität fortlaufend im Compliance-Kit dokumentiert werden.

CPS 600 für kleine Unternehmen

Dieser Standard sichert die Konformität mit den Empfehlungen des Leitfadens für Kleinunternehmen des Bayerischen Landesamtes für Datenschutzaufsicht zum Zeitpunkt der Überprüfung zu. Durch die implementierte Versionierung im hierbei verwendeten Datenschutz-Kit wird zwischen den Überprüfungen der Stand der jeweils vorliegenden Dokumentenlage dokumentiert.

Auditierungen

Die Überprüfung des CPS 100 erstreckt sich auf die Dokumentenlage im Compliance-Kit der IITR Datenschutz GmbH und wird durch eine eigenständige Gesellschaft als unabhängige Stelle vorgenommen.

Die Überprüfung des CPS 600 ist auf das Datenschutz-Kit der IITR Datenschutz GmbH abgestimmt und wird durch eine eigenständige Gesellschaft vorgenommen. Die Bestätigung erfolgt durch die IITR Datenschutz GmbH.