Teletrust setzt auf Selbstregulierung
Kodex für Elektronische Identitäten soll Vertrauen schaffen

Zwei DIN-A4-Seiten müssen reichen

Elektronische Identitäten sind ein heikles Thema: Jeder Nutzer besitzt eine Vielzahl von Benutzerkonten. Gleichzeitig müssen Unternehmen gewährleisten, dass die Daten bei ihnen gut aufgehoben sind. Angesichts der aktuellen Datenschutzskandale – nach dem Telekom-Skandal ist es derzeit die allzu große Offenheit von Online-Melderegistern – fällt der Glaube daran allerdings schwer.

Die Deutungs-Hoheit für Sicherheitsfragen habe eigentlich der Chaos Computer Club, meinte Torsten Wunderlich in seinem Vortrag auf der 10. Jahresfachkonferenz Datenschutz und Datensicherheit (DuD 2008) Anfang Juni in Berlin. Sein Vorredner war tatsächlich vom CCC und hatte über die Unsicherheiten biometrischer Systeme referiert – ein Artikel folgt in der kommenden Woche.

Von dieser Deutungshoheit will Teletrust etwas abbekommen. Mit dem „Kodex für Elektronische Identitäten“ will sich der Verein stärker in die Diskussion einbringen..

Wenn sich IT- und IT-Security-Anbieter diesen Kodex zu Eigen machen, seien spezielle Gesetze vermeidbar, betonte Wunderlich als Vertreter des Vereins Teletrust, in dem mehr als 85 Mitglieder aus Industrie, Wissenschaft und Forschung sowie Behörden und Unternehmen organisiert sind.

Der Anspruch: Auf zwei DIN-A4-Seiten soll alles gesagt sein. Unternehmen brauchen sich dann nicht mehr durch die umfangreichen Datenschutz-Werke zu wühlen und können ihr Bemühen um einen sicheren Umgang mit Benutzerkonten und Zugriffsrechten ganz leicht nach außen sichtbar machen.

Aus volkswirtschaftlicher Sicht will man die Sicherheit und Verfügbarkeit von Online Anwendungen gewährleisten.

“Wir schaffen aufgeklärte Anwender”

Teletrust will den Kodex nach der Sommerpause im September 2008 herausbringen. Die Vorabversion enthält kurz und knapp acht Prinzipien:

1. Selbstbestimmung: Unternehmen entwickeln und empfehlen nur solche Anwendungen, die den Anwendern eine Kontrolle über ihre persönlichen Daten ermöglicht.

2. Minimierung: Es werden nur so viele personenbezogene Daten erhoben, die für die Erbringung der Leistung notwendig sind.

3. Verlässlichkeit: Der Nutzer muss sich darauf verlassen können, dass eID-Sicherheit Teil jedes Angebots ist.

4. Transparenz: Hier geht darum, Datenverknüpfungsmöglichkeiten bewusst zu machen.

5. Diskurs: Teletrust ruft Anbieter, Anwender, Wissenschaft und staatliche Organe zu einem offenen Diskurs auf.

6. Interoperabilität: Bei der technischen Ausgestaltung nutzen die Unternehmen anerkannte Standards und Normen.

7. Harmonisierung: Angestrebt werden internationale eID-Übereinkünfte.

8. Bewusstseinsbildung: „Wir schaffen aufgeklärte Anwender“.

Selbstverpflichtung in der Kritik der Datenschützer

Soweit die Idee. Die anwesenden Datenschützer auf der DUD-Konferenz aber konnten das Wort „Selbstverpflichtung“ nicht mehr hören.

„Für eine Selbstverpflichtung hat die Industrie Zeit genug gehabt“, empörte sich zum Beispiel der frühere stellvertretende Landesbeauftragte für den Datenschutz Schleswig-Holstein, Dr. Johann Bizer, als Moderator der Session. Außerdem gäbe es Unternehmen einen „defizitären Vollzug“ von Datenschutz-Bestimmungen, und da würde ein Kodex auch nicht helfen.

Derweil reichten die Teilnehmer ein Plastik-Kästchen – ein Mitbringsel vom Vorredner aus dem CCC – wie eine Pralinenschachtel durch ihre Reihen: Für jeden einen Schäuble-Fingerabdruck zum Kaffee. Darf’s auch etwas mehr sein?

Bild: Burkhard Hirsch, der zornige alte Mann der FDP, kritiwiert die “Selbstverplichtung” der Industrie

Weiter in der Kritik: Über die aktuellen Datenschutz-Bestimmungen geht das Siegel nicht hinaus. Es sagt nur das, was die Datenverarbeiter sowieso tun müssten, meinte Dirk Fox, Secorvo Security Consulting.

Kritisiert wurde auch der Wert des Gütesiegels. Vielleicht wird es ein Gremium geben, dass das Tragen des Gütesiegels prüft – auf keinen Fall aber soll es einen komplizierten Zertifizierungsprozess geben, betonte Wunderlich.

Da sich Unternehmen also selber zum Kodex-Unterstützer ernennen können, stellt sich die Frage, wie wertvoll es ist, oder ob nicht sogar die Anwender in die Irre geführt werden, wie ein Teilnehmer aus dem Publikum anmerkte. Andere Siegel zeigten kaum Wirkung.

„Wir wollen uns bemühen, dass die IT-Security-Unternehmen eine Stimme bekommen. Und diese gemeinsame Stimme soll der Kodex sein,“ so formulierte Wunderlich die Beweggründe von Teletrust.

Wenn es das Ziel war, zur Diskussion anzuregen, dann scheint das zumindest gelungen. Auch schon was.