Privatsphäre durch die Delegation von Rechten

"1 Privatsphäre: Eine Frage des Vertrauens? (S. 1)

Allein im deutschen Wirtschaftsraum erheben 65,2% der Unternehmen persönliche Daten ihrer Nutzer, und über die Hälfte dieser Unternehmen planen diese Erhebung auszuweiten [SS05]. Die Unternehmen erreichen damit eine personalisierte Ansprache (57,0%), die Individualisierung von Verkaufsgesprächen (53,8%) und die individuelle Anpassung ihrer Produkte bzw. Dienstleistungen (47,4%).

Ferner vernetzen sich Unternehmen über das Internet, um Kosten zu senken und externe Dienstleistungen in die eigenen Geschäftsprozesse zu integrieren. Damit entstehen neue technische Datendienste, welche die erhobenen Daten verwalten, sie an andere Dienste weitergeben und ggf. selbst personalisierte Dienstleistungen anbieten.

So nehmen Diensteanbieter nicht nur die Rolle eines Datenkonsumenten sondern auch die eines Datenanbieters ein. Sie können Profile über Nutzer erstellen, zu denen sie Daten erhoben oder von einem Datendienst erhalten haben. Die Anwendungsfälle der Erhebung persönlicher Daten und ihrer Weitergabe unterscheiden sich zudem in der Kommunikationsbeziehung eines Nutzers.

Bei der erstmaligen Erhebung persönlicher Daten kommuniziert ein Nutzer direkt mit dem Datenkonsumenten. Der Informations.uss der Daten erfolgt in einer 1:1 Beziehung. Bei der Weitergabe persönlicher Daten erhält der Datenkonsument die Daten nicht direkt vom Nutzer, sondern der Datendienst gibt die Daten als Datenanbieter weiter.

Es besteht eine 1:n Beziehung. Beispiele für Anwendungen dieser Art eines Informationssystems sind Kundenbindungsprogramme (Customer Relationship Management - CRM) [Lau04], behördliche Dienstleistungen unter Verwendung der Bügerkarte bzw. JobCard [SH04] und medizinische Dienstleistungen unter Verwendung der Gesundheitskarte und der elektronischen Patientenakte [Bun04]. Die Abbildung 1.1 stellt dieses Modell der Datenerhebung und Weitergabe in Anlehnung an [PHB06] dar.

1.1 Alles oder nichts

Die europäischen Datenschutzdirektiven [Eur95, Eur02], das „Volkszählungsurteil"" des Bundesverfassungsgerichts [Bun83] und die nationalen Datenschutzgesetze [Bun97, Bun01] fordern die informationelle Selbstbestimmung, d.h. für eine Erhebung und Weitergabe persönlicher Daten ist eine zweckbezogene Einwilli- gung des betroffenen Nutzers nötig.

In der Praxis müssen Nutzer den Diensteanbietern vertrauen, dass sie persönliche Daten nach den vereinbarten Datenschutzregeln erheben sowie weitergeben und es zu keinem Missbrauch dieser Daten kommt. In der Praxis willigen Nutzer generell zu allen Regeln einer Datenschutzerklärung ein bzw. lehnen alle Regeln durch den Widerruf ihrer Einwilligung ab.

Eine Einwilligung zu einer Datenweitergabe im Einzelfall und somit zu einer bestimmten Profilbildung ist nicht möglich. Nutzer müssen die allgemeinen Geschäftsbedingungen akzeptieren und geben den Diensteanbietern damit eine Vollmacht für die Nutzung ihrer Daten.

Auch mit technischen Mitteln können Nutzer die vereinbarten Regeln nicht durchsetzen. Mit den existierenden technischen Sicherheitswerkzeugen zum Schutz der Privatsphäre können sie sich sich zwar vor einer unerwünschten Profilbildung bei der Erhebung ihrer Daten schützen. Im Fall derWeitergabe persönlicher Daten bieten sie jedoch keinen Schutz, so dass Nutzer weiterhin den Diensteanbietern vertrauen müssen.

Auf der anderen Seite ist einem Nutzer jede seiner Transaktionen eindeutig von den Diensteanbietern zurechenbar. Das aktuelle, einseitige Vertrauensmodell zeigt die Abbildung 1.2. Technisch gesehen entspricht die Einwilligung eines Nutzers einem transaktionsbezogenen Zugriffsrecht auf seine Daten.

Die Delegation eines Rechts für den Zugriff auf persönliche Daten wird durch die Delegation von Berechtigungsnachweisen erreicht. "