Resolution über die Entwicklung internationaler Standards
29. Internationale Konferenz der Beauftragten für den Datenschutz und für die Privatsphäre
Montreal (Kanada)
25.-28. September 2007
Antragsteller: Datenschutzbeauftragter von Kanada
Unterstützt durch:
Bundesbeauftragter für den Datenschutz, Deutschland
Datenschutzkommission, Belgien
Berliner Beauftragter für Datenschutz und Informationsfreiheit
Ontario Beauftragter für Datenschutz und Informationsfreiheit
Datenschutzbeauftragter, Spanien
Eidgenössische Datenschutzbeauftragte, Schweiz
Die Entwicklung von Standards im Datenschutz für die Anwendung und
den Einsatz neuer und
bestehender Technologien ist in den letzten Jahren Gegenstand erheblicher Debatten
und
Diskussionen sowohl innerhalb der internationalen Normungsorganisationen als
auch in
internationalen Datenschutzkreisen. Solche Standards sind u.a. bereits auf
den 25., 26. und 28. internationalen Konferenzen in Sydney/Australien, Breslau/Polen
und London/Großbritannien
erörtert worden.
Diese Diskussionen spiegeln die zunehmende Erkenntnis in Kreisen des Datenschutzes
und
des Schutzes der Privatsphäre wider, dass Datenschutzgesetze und Gesetze
zum Schutz der
Privatsphäre zwar zum Schutz privater Informationen unerlässlich
sind, dass sie allein jedoch
nicht genügen. Vielmehr sind auch internationale Standards erforderlich,
um die Beteiligten bei
der Aufstellung und Befolgung gesetzlicher Regelungen zum Datenschutz und zum
Schutz der
Privatsphäre zu unterstützen.
Die Entwicklung von Datenschutzstandards für die Nutzung und den Einsatz
neuer und
bestehender Technologien sollte nicht so verstanden werden, dass sie von der
zentralen Rolle
der einzelnen nationalen Datenschutzbehörden und Kommissionen zum Schutz
der
Privatsphäre ablenken. Standards sind eine Methode zur Anwendung technischer
und
organisatorischer Spezifikationen, die gesetzliche Regelungen für die
Praxis interpretieren
können. Was technische Standards anbelangt, so ist dies bisher ohne aktive
Beteiligung der
Datenschutzkreise geschehen. Diese Situation muss sich ändern, damit die
konsequente
Interpretation und Befolgung gewährleistet ist.
Mit der Aufstellung der Arbeitsgruppe 5 (Identitätsmanagement und Datenschutztechnologien)
im Unterausschuss 27 (Sicherheit der Informationstechnik) hat die Internationale
Organisation
für Normung (ISO) ihre Absicht bekundet, die Entwicklung von Datenschutzstandards
voranzutreiben. Die Arbeitsgruppe hat dazu aufgerufen, mit der Internationalen
Konferenz der
Datenschutzbeauftragten (im Folgenden die "Konferenz") zusammenzuarbeiten.
Besonders
hervorgehoben werden dabei die gemeinsamen Datenschutzinteressen beider Organisationen
sowie das Ziel der Arbeitsgruppe, "Aspekte des Identitätsmanagements,
der Biometrik und des
Datenschutzes im Zusammenhang mit der Informationstechnologie mit einem internationalen
Standardpaket zu harmonisieren".
Wenn auch die Entwicklung datenschutzrelevanter Standards1 unter der Federführung
einer
sicherheitsorientierten Gruppe keine Ideallösung für die am Datenschutz
und dem Schutz der
Privatsphäre Beteiligten darstellt, ist dies nun einmal - zumindest vorläufig
- die von der ISO
gewählte Struktur. Will man gewährleisten, dass Datenschutzstandards
entwickelt werden, ist
es unerlässlich, auf diesen Ansatz von Seiten der Normungskreise mit aktiverer
Einbindung in
den Standardentwicklungsprozess zu reagieren. Es ist auch eine natürliche
Erweiterung der
Arbeit, die von der Konferenz bereits im Einvernehmen mit dem Datenschutz in
anderen
Kompetenzbereichen auf internationaler Ebene geleistet wird – zum Beispiel
mit der
Organisation für wirtschaftliche Zusammenarbeit und Entwicklung und der
Asiatisch-
Pazifischen Wirtschaftsgemeinschaft –, dass man sich mit Datenschutzfragen
befasst, die durch
grenzüberschreitende Datenströme entstehen. Vereinfacht ausgedrückt,
liegt es im besten
Interesse der Konferenz sowie der Normungsexperten, dass die Konferenzmitglieder
einen kooperativeren, gemeinschaftlicheren Weg ur Entwicklung von Standards
antreten.
Die Konferenz fasst darum folgende Entschlüsse:
- Die Konferenz unterstützt die Entwicklung effektiver, universal
akzeptierter
internationaler Datenschutzstandards und wird der ISO dafür ihre Erfahrungen
bei der
Entwicklung solcher Standards zur Verfügung stellen.
- Die Konferenz
ruft ihre Mitglieder auf, sich über ihre nationalen
Normungsorganisationen
stärker am Entwicklungsprozess der ISO-Standards zu beteiligen.
- Angesichts der Tatsache, dass vielen Mitgliedern nur beschränkte
Mittel zur Verfügung
stehen, ruft die Konferenz ihre Mitglieder auf, in Betracht zu ziehen, wie
sie ihre
Erfahrungen und Fachkenntnisse am Besten teilen können, um diese Erfahrungen
und
Fachkenntnisse der ISO zur Verfügung zu stellen.
- Die Konferenz ruft ihre Mitglieder auf, in Betracht zu ziehen, wie sie
ihre Beiträge zum
Standardentwicklungsprozess am Besten koordinieren können, damit gewährleistet
ist,
dass diese Beiträge allen Konferenzmitgliedern zugute kommen.
- Die Konferenz ruft ihre Mitglieder auf, potentielle Mechanismen zu untersuchen,
die zur
Zusammenarbeit zwischen ISO und der Konferenz zustande bringen.
- Die Konferenz ruft ihre Mitglieder auf, die Beteiligung an der Entwicklung
von ISO-
1 Zu den Standards,
an denen die neue ISO-Arbeitsgruppe gegenwärtig
arbeitet, gehören ISO 29101 –
Eine Datenschutz-Referenzarchitektur (beste Praktiken für konsequente
technische Implementierung von
Datenschutzprinzipien); ISO 29100 – Ein Datenschutzrahmen (Definition
von Datenschutzanforderungen
bei der Verarbeitung persönlicher Daten in den Informationssystemen
aller Länder); und ISO 24760 –
Ein Rahmen für Identitätsmanagement (Rahmen für das sichere,
zuverlässige Datenschutzkonformitäts-
Management der Identitätsinformationen).
Standards durch andere Interessierte (wie Akademiker, NGOs, Forschungszentren
usw.) aktiv zu fördern und sie aufzufordern, sich über ihre
nationalen
Normungsorganisationen zu beteiligen.
|