Datenpolitik

Personalausweis mit USB-Schnittstelle - Recht auf Pseudonymisierung

Die Bundesregierung, die Bundesinnenministerin, die SPD-Bundestagsfraktion werden aufgefordert,

1. den Personalausweis nebst der darin schon jetzt enthaltenen Vorrichtung zum digitalen Identitätsnachweis und zum digitalen Signieren mit einer qualifizierten elektronischen Signatur (QES) gemäß § 126a BGB mit einer einfachen Chipkarten-Schnittstelle zu versehen, die mit einem bei der Aushändigung des Personalausweises mit zu überreichenden einfachen Chipkartenlesegerät mit einer USB-Schnittstelle (oder Thunderbold) verbunden werden kann.
2. Mit dieser Schnittstelle soll die Identifikation und die QES ohne weitere Vorrichtungen an einem PC oder an einem möglichst beliebigen Mobilgerät ermöglicht werden, an dem der Personalausweis angeschlossen ist. Weitere Geräte sollen ‑ abgesehen von der Wahl einer 2. Faktoridentifikation (siehe unten) ‑ nicht erforderlich sein, insbesondere nicht gesonderte Tastaturen zur PIN-Eingabe.
3. Die bisher schon bestehende NFC-Funkschnittstelle des Personalausweises soll auch für das digitale Signieren mit einer QES verwendet werden können.
4. Die QES-Funktion bedarf vor der ersten Benutzung der Freischaltung durch die Ausweisinhaberin oder den Ausweisinhaber.
5. Sofern der Ausweisinhaber nichts anderes bestimmt, soll die QES als offline-Signatur funktionieren. Alternativ dazu soll die Ausweisinhaberin oder der Ausweisinhaber wählen können, die QES kostenfrei online zu nutzen.
6. Zumindest im Falle der Wahl einer Online-Funktion ist den Ausweisinhaberinnen und den Ausweisinhabern anzubieten, die Nutzung des digitalen Identitätsnachweises und der QES neben der einzugebenden PIN zusätzlich von einer weiteren Authentifizierung entsprechend der vom Online-Banking bekannten 2-Faktor-Authentifizierung abhängig zu machen, bei der zur Nutzung zusätzlich ein Einmalkennwort (TAN) über ein anderes Gerät einzugeben ist.
7. Die Nutzung der oben geforderten Dienste erfolgt für die Ausweisinhaberinnen und Ausweisinhaber als auch für die öffentlichen und nichtöffentlichen Stellen, denen gegenüber die Nutzung erfolgt, ohne zusätzliche Kosten. Die Gebühren für den Personalausweises dürfen nicht wegen ihrer digitalen Funktionen höher bemessen werden. Sofern die digitale Funktion eines Personalausweises während seiner Gültigkeitsdauer defekt wird und hierfür keine grobe Fahrlässigkeit zu erkennen ist, soll ein Ersatz kostenfrei oder mit Gebühren höchstens im einstelligen Euro-Bereich gestellt werden.
8. Die Ausweisinhaberin und der Ausweisinhaber haben das Recht bei der Nutzung dieser digitalen Funktionen zertifizierte Pseudonyme zu verwenden, die ihnen von öffentlich-rechtlichen Datentreuhändern kostenfrei zur Verfügung gestellt werden. Per Rechtsverordnung können nicht-öffentliche und öffentliche Stellen allgemein bestimmt werden, denen gegenüber keine Pseudonyme verwendet werden dürfen. Gleiches kann aufgrund einer ‑ kostenpflichtigen ‑ Einzelfallprüfung für andere Stellen unter Bestimmung der konkreten Szenarien bestimmt werden. Zur Nutzung der Pseudonyme verweisen wir auf den Beschluss der ASJ-Bundeskonferenz 2021 ‑ Datenpolitik für alle ‑ Regelungen mit Bezug auf Private Nr. 5.
9. Ausländischen Mitbürgerinnen und Mitbürgern sind ab einer bestimmten Aufenthaltsdauer entsprechende digitale Identifikationsnachweise und QES ggf. unter Bestimmung weiterer Voraussetzungen zur Verfügung zu stellen.

Datenpolitik für Alle: Regelungen gegenüber der öffentlichen Hand

Der SPD-Parteivorstand, die SPD-Bundestagsfraktion, sowie die SPD-Landtagsfraktionen werden aufgefordert, die Verfügbarkeit von Daten seitens der öffentlichen Hand zu fördern, wobei eine gute Datenpolitik organisatorische und technische Vorkehrungen für einen wirksamen Datenschutz treffen muss.

Präambel (und zugleich Begründung):

Spätestens mit der Verbreitung des Internets hat sich unser Zusammenleben immer stärker zu einer Informations- und Wissensgesellschaft gewandelt, in der Informationen und das Wissen nebst kulturellen Bereicherungen eine immer größere Bedeutung gewinnen. Für Deutschland als das Land der Dichter und Denker sollte dies ein Heimspiel und eine Herausforderung zugleich sein.

Wissen ist Macht. In einer Demokratie, bei der die Macht dem Volke zusteht, folgt daraus, Wissen und Informationen möglichst breit, vielfältig und leicht allen Bürgerinnen und Bürgern aber auch den Unternehmen zugänglich zu machen. Freilich gilt dies nur soweit, wie der Datenschutz, der Schutz der Privatsphäre und andere Geheimnisbereiche (z.B. Betriebsgeheimnisse, Dienstgeheimnisse) dem nicht entgegenstehen. Vornehmlich sollen demnach bereits rechtmäßig veröffentlichte Informationen und Daten aus Verwaltungsvorgängen, für die es kein überwiegendes Geheimhaltungsbedürfnis gibt, den Bürgerinnen und Bürgern möglichst barrierefrei zugänglich sein. Weiterhin ist darauf zu achten, kulturelle und wissenschaftliche Daten möglichst breit zur Verfügung zu stellen, um die gesellschaftliche Teilhabe und eine Chancengleichheit für alle zu fördern. Daten für alle heißt auch Kultur und Wissen für alle.

Unseren Grundrechten liegt das Prinzip der Selbstbestimmung zugrunde und zwar insbesondere in Form der informationellen Selbstbestimmung. Daraus folgt die Macht über die Verwendung und Verbreitung der einen selbst betreffenden personenbezogenen Daten zuverlässig und wirksam grundsätzlich bei der Person selbst zu verorten. Datenpolitik muss deshalb die digitale Welt in Einklang mit unseren Grundwerten ordnen und organisatorische und technische Vorkehrungen für einen wirksamen Datenschutz und eine angemessene Wahrung der Privatsphäre treffen.

Die Europäische Union hat unter dem Stichwort „Ein Europa für das digitale Zeitalter“ den Entwurf für ein Data Governance Act[1] vorgelegt und strebt eine Erhöhung der Verfügbarkeit von Daten und die Ausschöpfung deren wirtschaftlichen und gesellschaftlichen Potenzials an.

Beschlusstext:

Aus diesen Erwägungen ergeben sich gegenüber der öffentlichen Hand die nachfolgenden Regelungen die der SPD-Bundestagsfraktion sowie der SPD-Landtagsfraktion zur Umsetzung empfohlen werden:

1. Informationsfreiheitsgesetze

Informationsfreiheitsgesetze, die jedem einen Anspruch auf Auskunft über Daten aus der öffentlichen Verwaltung verschaffen, müssen auf allen Verwaltungsebenen (nicht nur in Bund und Ländern) wirken und zwar unter Einschluss der Sondervermögen der öffentlichen Hand und der von ihr beherrschten Tochterunternehmen. Entsprechend dem Vorbild in den bereits existierenden Informationsfreiheitsgesetzen sorgt dann ein Informationsfreiheitsbeauftragter für eine möglichst reibungsfreie Durchführung dieses Anspruchs und unterstützt sowohl Bürgerinnen und Bürger als auch die öffentliche Hand und ihre Tochterunternehmen bei der Anwendung dieser Gesetze.

2. Daten für alle:

In der öffentlichen Hand befindliche Daten, die zweifelsfrei keinen Personenbezug aufweisen und deren Veröffentlichung keine wesentlichen Sicherheitsinteressen, Geheimhaltungs- oder Vertraulichkeitspflichten entgegenstehen,[2] sind digital in strukturierten Formaten, kosten- und barrierefrei und gut auswertbar über das Internet zur Verfügung zu stellen. Hierzu zählen nicht nur sämtliche Rechtsnormen[3] und öffentliche Allgemeinverfügungen[4] sondern auch technische Normen[5], meteorologische Daten, Mobilitätsdaten[6], Energiedaten[7] sowie Daten aus Landwirtschaft[8] und aus der Industrie[9]. Dabei sollte Deutschland schon jetzt über den bereits in der EU-Richtlinie über offene Daten und die Weiterverwendung von Informationen des öffentlichen Sektors (2019/1024) enthaltenen Katalog von per API-Schnittstelle verfügbaren, hochwertigen Datensätzen hinausgehen und möglichst umfassend die keinen Personenbezug aufweisenden Datensätze für entsprechende Schnittstellen definieren.

Darüber hinaus soll geprüft werden, ob auch gesellschaftlich relevante Daten wie Registerdaten (z.B. Unternehmensregister, Handelsregister, Vereinsregister) und Katasterdaten (Größe, Lage und Eigentümerschaft von Grundstücken) ebenso frei über das Internet zugänglich gemacht werden können, auch wenn diese Daten in gewissem Umfang personenbezogene Informationen (Name und Anschrift) aufweisen. Die Kundgabe von Namen und Kontaktadressen von natürlichen Personen sollen jedoch ungeprüft nur als Initialen und auf gesonderte und pseudonymisierte e Mailadressen beschränkt sein.

3. Datentreuhänder:

Weiterhin sollen öffentlich-rechtlich basierte, vom Bundesdatenschutzbeauftragten zertifizierte und kontrollierte Datentreuhänder dafür dienen, aus Datensammlungen mit personenbezogenen Daten, den Anteil nicht personenbezogener Daten zuverlässig zu extrahieren und soweit möglich die personenbezogenen Daten zu anonymisieren, um einen solchen Datenbestand ebenfalls öffentlich zur Verfügung zu stellen.

Solche Datentreuhänder sollen auch helfen, Zweifelsfälle zu klären und im Falle einer Weigerung der öffentlichen Stelle zur Datenfreigabe hierzu eine Stellungnahme abgeben. Für solche Zweifels- und Konfliktfälle ist eine Verwaltungspraxis zu etablieren, die die Datenschutznotwendigkeit sorgfältig prüft und bei negativem Ausgang dieser Prüfung als Standard[10] zu einem offenen Zugang der Daten führt (Open-Data).

4. Dezentralisierung der Datenbestände, keine Datensilos:

Zur Sicherstellung der vorgenannten Ziele bedarf es einer starken personellen Aufwertung der Datenschutzbehörden in Bund und Ländern sowie in Europa. Insbesondere gegenüber den großen Datensammlern wie Google, Apple, Facebook, Amazon und Microsoft bedarf es eines konzertierten und wirksamen Auftretens seitens der Datenschützer in Europa.

Hinsichtlich solcher und anderer Datensilos sind das Prinzip der Dezentralisierung zu verfolgen und Strukturen anzustreben, mit denen die Daten möglichst nicht in den Datensilos der Unternehmen, sondern allein in den Endgeräten der Nutzer gespeichert werden.

Ergänzende Hinweise zum Text:

[1] eur-lex.europa.eu/legal-content/DE/TXT/PDF/

[2] Zum Beispiel bei Dienst-, Betriebs- und Geschäftsgeheimnissen

[3] Mithin nicht nur Gesetze und Verordnungen sondern auch Bebauungspläne und Satzungen

[4] z.B. Verkehrszeichen

[5] z.B. DIN-Normen

[6] z.B. Regensensoren an Ampeln, Fahrzeugmaße, anonyme Verkehrsdaten

[7] z.B. Echtzeitmessung der Stromeinspeisung

[8] z.B. Stromverbrauch von Maschinen

[9] z.B. Informationen über Produkte; nicht über die Produktion oder über Geschäfte

[10] Entsprechend der Maxime in Art. 5 Abs. 2 der EU-Richtlinie 2019/1024

Datenpolitik für Alle: Regelungen mit Bezug auf Private

Der SPD-Parteivorstand, die SPD-Bundestagsfraktion, sowie die SPD-Landtagsfraktionen werden aufgefordert, für die Beziehungen unter und zu Privaten (Unternehmen sowie Bürgerinnen und Bürger) die Verfügbarkeit von Daten zu fördern und Mechanismen für die Weiterverwendung und gemeinsame Nutzung von Daten entsprechend den nachfolgenden Forderungen festzulegen, wobei eine gute Datenpolitik organisatorische und technische Vorkehrungen für einen wirksamen Datenschutz treffen muss.

Präambel (und Begründung):

Spätestens mit der Verbreitung des Internets hat sich unser Zusammenleben immer stärker zu einer Informations- und Wissensgesellschaft gewandelt, in der Informationen und das Wissen nebst kulturellen Bereicherungen eine immer größere Bedeutung gewinnen. Für Deutschland als das Land der Dichter und Denker sollte dies ein Heimspiel und eine Herausforderung zugleich sein.

Wissen ist Macht. In einer Demokratie, bei der die Macht dem Volke zusteht, folgt daraus, Wissen und Informationen möglichst breit, vielfältig und leicht allen Bürgerinnen und Bürgern aber auch den Unternehmen zugänglich zu machen. Deshalb sollen kulturelle und wissenschaftliche Daten möglichst breit zur Verfügung zu stehen, um die gesellschaftliche Teilhabe und eine Chancengleichheit für alle zu fördern. Daten für alle heißt auch Kultur und Wissen für alle.

Wissen und Informationen als Machtinstrumente dürfen auch im Bereich der Wirtschaft nicht Machtpositionen bis hin zu marktbeherrschenden Stellungen entstehen lassen und verfestigen. Eine unkontrollierte und sich selbst verstärkende Marktbeherrschung ist der Feind einer jeden Marktwirtschaft. Deshalb müssen wir auch Instrumente des Datenteilens einsetzen, um marktbeherrschenden Stellungen entgegen zu wirken. Freilich gilt dies nur soweit, wie der Datenschutz, der Schutz der Privatsphäre und andere Geheimnisbereiche (z.B. Betriebsgeheimnisse, Dienstgeheimnisse) dem nicht entgegenstehen.

Unseren Grundrechten liegt das Prinzip der Selbstbestimmung zugrunde und zwar insbesondere in Form der informationellen Selbstbestimmung. Daraus folgt die Macht über die Verwendung und Verbreitung der einen selbst betreffenden personenbezogenen Daten zuverlässig und wirksam grundsätzlich bei der Person selbst zu verorten. Datenpolitik muss deshalb die digitale Welt in Einklang mit unseren Grundwerten ordnen und organisatorische und technische Vorkehrungen für einen wirksamen Datenschutz und eine angemessene Wahrung der Privatsphäre treffen.

Beschlusstext:

Aus diesen Erwägungen ergeben sich für die Beziehungen unter und zu Privaten die nachfolgenden Maßnahmen, die der SPD-Bundestagsfraktion sowie der SPD-Landtagsfraktion zur Umsetzung empfohlen werden:

1. Datenteilung und Interoperabilität zum Aufbrechen von Monopolen:

In Anlehnung an die auch von der Europäischen Kommission in ihrem Vorschlag für ein Gesetz über digitale Märkte[1] verfolgten Ziele soll insbesondere auf datengetriebenen Märkten und in Fällen von datenbasierten Monopolstellungen eine Interoperabilität zwischen den agierenden Unternehmen und deren Nutzernetzwerke geschaffen werden. Es gilt hier die marktbeherrschende Stellung der großen Plattformen ebenso aufzubrechen, wie dies bereits im Bereich der Telekommunikations-, Gas- und Elektrizitätsnetze geschehen ist, um für alle Unternehmen eine insgesamt höhere Wertschöpfung erzielen zu können und das Innovationspotential Europas zu fördern. Grund dafür ist aber auch die immer größere Bedeutung solcher Plattformen für die öffentliche Debatte, die Verbreitung von Informationen, Meinungen und Ideen und die gesellschaftliche und politische Meinungsbildung. So können z.B. Messengerdienste wie WhatsApp unternehmens- und formübergreifend genutzt sowie aus Suchhistorien gewonnene anonymisierte und aggregierte Nutzerpräferenzen anderen zur Verfügung gestellt werden (Datenteilungspflicht).[2] Im Einzelnen kann und soll für die Datenteilung eine Vergütungspflicht vorgesehen werden.

Eine öffentliche Stelle soll die Möglichkeiten für eine Datenteilung und Interoperabilität identifizieren, koordinieren und deren Umsetzung beaufsichtigen.

2. Digitale Fernleihe über Bibliothekennetzwerk in Echtzeit:

Wir erfinden die Bibliotheken neu und digital. Digitale und digitalisierbare Werke sollen in den öffentlichen Bibliotheken möglichst breit und umfassend zur Verfügung stehen, sobald ein Zeitraum für die kommerzielle Verwertung solcher Werke zum überwiegenden Teil abgeschlossen ist. Unter den öffentlichen Bibliotheken soll hierfür ein Netzwerk entstehen, mit dem kulturelle, wissenschaftliche und informative Werke im Sinne einer digitalen Fernleihe in Echtzeit ausgetauscht werden können. Für die einzelnen Werkgruppen (wie z.B. Bücher, Musik, Filme und Bilder) sind Zeiträume zu bilden, nach denen die jeweiligen Werke im Durchschnitt am Markt kaum noch gehandelt werden. Nach diesen Zeitpunkten sollen die Werke über das Bibliothekennetzwerk für jeden Nutzer einsehbar und nur vor Ort kopierbar sein. Ähnlich der bereits bekannten Kopierabgaben sollen die Rechteinhaber hierfür volumen- und werktypabhängig entschädigt werden. So kann in den Bibliotheken für alle ein breites und umfassendes digitales Archiv angeboten werden, ohne die langen Schutzrechtszeiträume des Urheberrechts (ca. 100 Jahre) abwarten zu müssen.

3. Kultur und Informationen für alle im öffentlich-rechtlicher Rundfunk:

Zu einer quantitativ und qualitativ besseren Verbreitung von Kultur, Informationen und Meinungen soll auch der öffentlich-rechtliche Rundfunk entsprechend seiner verfassungsrechtlichen Aufgabe beitragen. Dem dürfen geistiges Eigentum und ähnliche Rechte nicht entgegenstehen.

Deshalb sollen öffentlich-rechtliche Rundfunkanstalten ein umfassendes Recht zu einer entschädigungspflichtigen Aneignung von Ton- und Videoaufnahmen jeglicher Art erhalten, um insbesondere tagesaktuelle, aber auch andere kulturelle, informative und dokumentarische Beiträge der gesamten Bevölkerung ‑ insbesondere auch über das Internet ‑ zugänglich zu machen.[3] Lediglich für fiktionale und künstlerische Werke (z.B. Spielfilme, Serien, Lieder und Hörbücher) sollen dafür Wartezeiten zu beachten sein.

Weiterhin sollen die öffentlich-rechtlichen Rundfunkanstalten über die Mediengesetze dazu angehalten werden, an so vielen wie möglich der von den Anstalten selbstproduzierten Beiträge eine lizenzgebührenfreie Nutzung - zumindest für nicht kommerzielle Anwendungen - nach den Lizenzmodellen der Creative-Commons zu erlauben.

4. Datensparsamkeit:

Unternehmen und andere Stellen, die personenbezogene oder verhaltensgenerierte Daten erheben und hierfür die Einwilligung des Betroffenen bedürfen (z.B. Abfrage für Cookies oder Newsletter, Voreinstellujngen in Social Media Plattformen), sind für deren Entgegennahme auf eine datensparsame Voreinstellung und Befragungstechnik zu verpflichten. Datenschutz funktioniert nur, wenn die Datenerhebung die Ausnahme und die Datensparsamkeit der Standard ist.

5. Personal-Identity-Management durch Pseudonyme:

Zur Effektivierung des Datenschutzes sollen die faktischen Möglichkeiten zur Verknüpfung personenbezogener Daten eingeschränkt werden. Hierfür sollen Nutzer eines digitalen Dienstes pseudonyme Kennzeichen verwenden können. Diese Kennzeichen würden von öffentlich-rechtlich basierten Datentreuhändern z.B. mittels einem Personal-Identity-Management angeboten und ermöglichen damit dem Nutzer eine datensparsame Autorisierung gegenüber Dritten.[4] Die unter dem Pseudonym laufende Identität wäre vom Datentreuhänder nur in streng geregelten Konfliktfällen aufzulösen

Ergänzende Hinweise zum Text:

[1] EU Kommission, COM 2020, 842

[2] Hierfür sollen asynchrone Schnittstellen in den jeweiligen Unternehmen geschaffen werden, um deren Daten, also zum Beispiel den aus Such-Historien datenschutzrechtlich-rechtmäßig gewonnenen anonymisierten und aggregierte Nutzerpräferenzen, verfügbar zu machen und interoperabile Anwendungen wie den Zugang zu unterschiedlichen Messengerdiensten (z.B. WhatsApp o.ä.) beispielsweise per e-Mail oder untereinander zu ermöglichen.

[3] Auf diese Weise gibt es in dann in der Tagesschau z.B. keine Bildunterbrechungen mehr, wie sie derzeit aus rechtlichen Gründen auftreten. Bei tagesaktuellen Ereignissen wie beispielsweise Sportveranstaltungen kann der öffentlich-rechtliche Rundfunk nicht mehr wegen der Exklusivrechte anderer ausgeschlossen werden. Die Entschädigungspflicht soll so bemessen sein, dass der Produzent und Leistungsträger der jeweiligen Veranstaltung bzw. des Sendematerials eine faire, seiner Leistung entsprechende Vergütung erhält, die insbesondere auch berücksichtigt, welche Vergütungssätze sonst zu erzielen wären.

[4] Hierfür würde sich der Nutzer nur gegenüber dem Datentreuhänder identifizieren, der ihm mehrere Pseudonyme mit Zertifikaten ausstellt. Der Nutzer kann sich dann bei Diensten im Internet unter dem Pseudonym anmelden und mit Hilfe des Zertifikats gleichwohl seine Authentifizierung im Konfliktfall gewährleisten.

Soziale Netzwerke - personenidentifizierte Nutzerkonten als Angebot

Die Bundestagsfraktion und die Bundesregierung werden aufgefordert, eine Regelung zu schaffen, mit der anonyme Angriffe, Hass und Hetze in sozialen Netzwerken werden.

Zu diesem Zweck sollen Plattformbetreiber*innen verpflichtet werden, als Alternative zu faktisch anonymen Nutzerkonten auch personenidentifizierte Nutzerkonten anzubieten. Wer auf einer solchen Plattform eine Seite betreut, soll dann die Option bekommen, für seine Seite nur Kommentare und Nachrichten von verifizierten Nutzer*innen zuzulassen. Diese Personenidentifizierung soll verschlüsselt erfolgen, so dass nur die Strafverfolgungsbehörden unmittelbar darauf zugreifen können; andere, auch die Plattformbetreiber, sollen dazu keinen Zugang haben. Der anonyme oder pseudonyme Informationsaustausch im Netz ist damit weiterhin möglich.