„Die anlasslose Speicherung von Telekommunikationsverkehrsdaten ist ge-eignet, ein diffus bedrohliches Gefühl des Beobachtetseins und des ständi-gen Überwachtwerdens hervorzurufen, das eine unbefanständi-gene Wahrnehmung der Grundrechte in vielen Bereichen beeinträchtigen kann. Die verfassungs-rechtliche Unbedenklichkeit einer vorsorglich anlasslosen Speicherung der Telekommunikationsverkehrsdaten setzt voraus, dass diese eine Ausnahme bleibt. Sie darf auch nicht im Zusammenhang mit anderen vorhandenen Da-teien zur Rekonstruierbarkeit praktisch aller Aktivitäten der Bürger führen.
Die Einführung einer Telekommunikationsverkehrsdatenspeicherung kann nicht als Vorbild für die Schaffung weiterer vorsorglich anlassloser Daten-sammlungen dienen, sondern zwingt den Gesetzgeber bei der Erwägung neuer Speicherungspflichten oder -berechtigungen in Blick auf die Gesamt-heit der schon vorhandenen Datensammlungen zu größerer Zurückhaltung.
Dass die Freiheitswahrnehmung der Bürger nicht total erfasst und re-gistriert werden darf, gehört zur verfassungsrechtlichen Identität der Bundesrepublik Deutschland, für deren Wahrung sich die Bundesre-publik in europäischen und internationalen Zusammenhängen einset-zen muss. Durch eine vorsorgliche Speicherung der Telekommunikations-verkehrsdaten wird der Spielraum für weitere anlasslose Datensammlungen auch über den Weg der Europäischen Union erheblich geringer.“ (aus dem Urteil des Bundesverfassungsgerichts vom 2. März 2010, 1 BvR 256/08 u. a.).
Die Freiheitsmaßstäbe des Bundesverfassungsgerichts, abgeleitet aus den Grundrechten des Grundgesetzes, bleiben Richtschnur für den Datenschutz, die datenschutzrechtlich verantwortlichen Stellen und die Datenschützer. Der Europäische Gerichtshof hat die unabhängigen Datenschutzbeauftragten als
„Hüter von Grundrechten und Grundfreiheiten“ bezeichnet (Urteil vom 9. März 2010, C-518/07, NJW 2010, 1265). Die Aufgabe ist unverändert an-spruchsvoll und erfordert ein entsprechendes Verantwortungsbewusstsein.
Der Landesbeauftragte bezieht in sein Verständnis der Aufgabenwahrneh-mung auch die Leitaussage des Bundesverfassungsgerichts seit dem Volkszählungsurteil von 1983 ein, wonach Datenschutz bzw. informationelle Selbstbestimmung nicht nur subjektives Recht ist, sondern dass sich im ob-jektiven Wertgehalt des Grundrechts auch eine Funktionsbedingung des de-mokratischen Gemeinwesens widerspiegelt (s. IX. Tätigkeitsbericht, Nr. 1).
Datenschutz ist Freiheitsmaßstab und Vertrauensfaktor. Das Vertrauen der Dateninhaber kann leiden, wenn der Staat beim Kampf gegen Kriminalität übermäßige Eingriffe in Persönlichkeitsrechte vornimmt und Betroffene sich infolgedessen in ihrer Verhaltensfreiheit auch bei anderen Grundrechtswahr-nehmungen eingeschüchtert fühlen oder wenn der Staat der übermäßigen Datenverarbeitungspraxis der Wirtschaft nicht Einhalt gebietet und somit sei-ne grundrechtliche Schutzaufgabe vernachlässigt. Nur wenn der Bürger und Konsument Vertrauen in das Datenschutzgebaren von Staat und Wirtschaft hat, wird er Angebote des E-Government oder E-Commerce in Anspruch nehmen.
Die eingangs zitierten Passagen aus dem Urteil des Bundesverfassungsge-richts zur Nichtigkeit der Vorratsspeicherung von
Telekommunikationsver-kehrsdaten beschreiben einen Kern der Freiheitsgrundrechte und zugleich den Nerv einer aktuellen Debatte, bei der es auch um das Verhältnis von eu-ropäischem und nationalem Recht geht (ausführlicher Nr. 25.1). Ohnehin wird der Datenschutz in Deutschland zunehmend durch europäische Ent-wicklungen geprägt werden; dabei handelt es sich nicht nur um die Auswei-tung von Datensammlungen, sondern auch um ein der Grundrechtecharta der Europäischen Union entsprechendes Regelungswerk für den Daten-schutz (vgl. Nr. 3.1).
Konzeptionen und Maßnahmen des Datenschutzes betreffen im Wesentli-chen vier Bereiche: 1. Recht, 2. Technik, 3. Kontrolle und 4. Bildung oder Medienkompetenz (vgl. auch Grundsatzentschließung der 78. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 8./9. Oktober 2009, Anlage 1; s. Nr. 1.4). In diesem Tätigkeitsbericht werden diese Berei-che übergreifend und anhand von Einzelvorhaben und Aktivitäten näher be-schrieben.
Im Hintergrund steht dabei auch das merkwürdige Phänomen, dass private Daten einerseits für den Menschen, ob als Bürger oder als Verbraucher oder Internetnutzer, trotz eines insgesamt veränderten Verständnisses von Pri-vatsphäre durchaus einen Wert haben im Sinne einer persönlichkeitsbezo-genen Wertschätzung, ausgeprägt besonders etwa bei Konto- oder Gesund-heitsdaten, und dass der Datenschutz im Verhältnis Bürger – Staat rechtspo-litische Akzeptanz erfahren hat und weiter erfährt, andererseits aber Empfeh-lungen zu mehr Datensparsamkeit und Selbstdatenschutz insbesondere bei der Internetnutzung auf weniger Widerhall stoßen. Dies ist auch eine Anfrage an Konzepte und Methoden der Medienbildung (vgl. Nr. 21.2). Das Internet wird jedenfalls weit verbreitet als Privatsache empfunden, vermeintlich unbe-obachtet und anonym wird die Technik, an die ohnehin eine Gewöhnung stattgefunden hat, gern genutzt. Doch das Internet vergisst nichts. Deshalb ist der Ansatz eines „Vergessens im Internet“ so wichtig, doch zugleich so schwierig (vgl. Nr. 1.3).
Der X. Tätigkeitsbericht des Landesbeauftragten umfasst den Zeitraum vom 1. April 2009 bis zum 31. März 2011. Darüber hinaus reichende Entwicklun-gen wurden soweit möglich mitberücksichtigt.
Der Datenschutzbericht dient
der Unterrichtung des Landtages, zusammen mit der zum Bericht ab-zugebenden Stellungnahme der Landesregierung (§ 22 Abs. 4a Satz 1 und 2 DSG-LSA),
der Öffentlichkeitsarbeit (§ 22 Abs. 4a Satz 3 DSG-LSA),
der Information der Behörden und behördlichen Datenschutzbeauf-tragten und interessierter Bürgerinnen und Bürger.
Der X. Bericht beinhaltet wiederum datenschutzpolitische Feststellungen und greift Grundsatzthemen auf. Er enthält Informationen, Kritik und Lob zu recht-lichen und technischen Entwicklungen. Dabei werden auch Kommentare der Landesregierung aus ihrer Stellungnahme zum IX. Tätigkeitsbericht (LT-Drs.
5/2385) einbezogen. Der aktuelle Bericht stellt Materialien und praxisbezo-gene Hinweise aus anschaulichen Einzelfällen, Beratungen und Kontrollen zur Verfügung.
Seit dem VII. Tätigkeitsbericht werden die Berichte nicht nur in den Aus-schüssen des Landtages für Inneres und Recht und Verfassung, sondern auch im Plenum im Rahmen einer Debatte beraten und zur Kenntnis ge-nommen. Diese gegenüber Vorgängerberichten abweichende Verfahrens-weise geht auf einen Vorschlag des Landesbeauftragten zurück. Sie ent-spricht Wortlaut und Sinn der o. a. Gesetzesregelung und dem Gegenstand.
Eine öffentliche Debatte zum Datenschutzbericht empfiehlt sich auf Dauer (vgl. auch Nr. 2.3).
1.1 Sicherheit und Freiheit
In vergangenen Tätigkeitsberichten ist die Entwicklung zum Präventionsstaat und die nicht tragende Rechtfertigung „Ich habe nichts zu verbergen.“ eben-so beschrieben wie der Abwehrcharakter der Grundrechte betont und vor dem Überwachungsstaat gewarnt worden. Der Rechtsstaat benötigt Selbst-achtung, man stärkt ihn nicht dadurch, dass man seine Wurzeln beschädigt.
Der Schutz durch den Staat, hergeleitet aus dem objektiven Gehalt der Grundrechte, hat den aus subjektiven Rechten hergeleiteten Schutz vor dem Staat zu wahren. In die nötigen Abwägungsprozesse im Verhältnis von Si-cherheit und Freiheit gehört die Beachtung des Primats der Freiheit. Daten-schutz ist nicht Hindernis, DatenDaten-schutz gehört zum Rechtsstaat; Datenschüt-zer sind stets auch „Verfassungs-SchütDatenschüt-zer“, sie unterstützen Demokratie und Rechtsstaat; wer dieses Grundrecht also stärkt und die es schützenden Insti-tutionen, stärkt den Rechtsstaat (vgl. VIII. Tätigkeitsbericht, Nrn. 1.1, 1.4 und IX. Tätigkeitsbericht., Nrn. 1.1, 1.4). Diese grundsätzlichen Aussagen gelten unverändert.
Ohnehin fällt auf, dass es keineswegs immer die Wirtschaft oder auch der einzelne Internetnutzer ist, dessen Datenverarbeitung Sorgen bereitet. Staat-liche Datensammlungen stehen nach wie vor mit im Fokus der Kritik. Sie sind hinsichtlich ihres Umfangs und ihrer Streubreite oftmals nicht mit den Frei-heitsmaßstäben der Verfassung vereinbar. Ganz und gar nicht vorbildlich, ja widersprüchlich wirkt der Versuch des Staates, auf Datenskandale der Wirt-schaft zu zeigen, auf eine zu freizügige Datenpreisgabe privater Nutzer zu verweisen und diese zugleich zu mehr Inanspruchnahme von E-Government und E-Commerce zu animieren, um dann aber bei der eigenen Datenverar-beitung Bürgerrechte zu missachten.
Aus dem Urteil des Bundesverfassungsgerichts vom 2. März 2010 (1 BvR 256/08 – NJW 2010, 833) zur Vorratsdatenspeicherung ergibt sich auch (vgl.
im Übrigen Nrn. 20.3, 25.1) das Gebot einer sog. Überwachungs-Gesamtrechnung, d. h. die Verpflichtung des Staates, den vorhandenen Stand staatlicher Überwachungssysteme und -maßnahmen im Falle der Er-wägung neuer Speicherungspflichten – also vorher! – in eine Gesamtbe-trachtung einzubeziehen und Maß zu halten (vgl. Roßnagel, Die „Überwa-chungs-Gesamtrechnung“ – Das BVerfG und die Vorratsdatenspeicherung, NJW 2010, 1238). Dieser Gedanke findet sich bereits in der Entscheidung des Gerichts vom 12. April 2005 zur GPS-Überwachung und dem dort
entwi-ckelten Hinweis auf Gefahren durch additive Grundrechtseingriffe (BVerfGE 112, 304; vgl. VIII. Tätigkeitsbericht, Nr. 1.4).
Zusätzlich wird man aus dieser Überlegung heraus aber die Verpflichtung des Staates festhalten müssen, den vorhandenen Überwachungskatalog als solchen einer Evaluation, einer Überprüfung und damit auch einer Be-schränkung auf die unbedingt erforderlichen Regelungen und Eingriffsmaß-nahmen zu unterziehen (vgl. dazu auch die Entschließung der 79. Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom 17./18. März 2010, Anlage 10). „Wegen des schnellen und für den Grundrechtsschutz ris-kanten informationstechnischen Wandels muss der Gesetzgeber die techni-schen Entwicklungen aufmerksam beobachten und notfalls durch ergänzen-de Rechtssetzung korrigierend eingreifen. Dies betrifft auch die Frage, ob die bestehenden verfahrensrechtlichen Vorkehrungen angesichts zukünftiger Entwicklungen geeignet sind, den Grundrechtsschutz effektiv zu sichern.“
(BVerfG, a. a. O. in der GPS-Entscheidung). Dies ist eine schwierige Aufga-be, die dem Gesetzgeber damit zugemutet wird, und die besondere Anforde-rungen auch an die Politikberatung im digitalen Zeitalter stellt. Denn es geht dabei auch um die Umsetzung des Anspruchs aus dem neuen Grundrecht der Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme gemäß dem Urteil des Bundesverfassungsgerichts vom 27. Februar 2008 (1 BvR 370/01 u. a., NJW 2008, 322; IX. Tätigkeitsbericht, Nr. 1).
Wer dann eine Verlängerung von Maßnahmen oder sogar zusätzliche, neue Befugnisse zumal für die Sicherheitsbehörden verlangt, muss nachvollzieh-bare Belege für die Eignung und Notwendigkeit bringen. Die Sicherheit wächst nicht dadurch, dass die Politik Instrumente plakativ nur fordert und dazu abstrakt auf Bedrohungen und Risiken hinweist. Pauschale Entfristun-gen von Gesetzen sind keine seriöse Evaluation. Das Evaluationsgebot gilt für Bundesgesetze, wie etwa für die Regelungen im Terrorismusbekämp-fungsergänzungsgesetz (vgl. VIII. Tätigkeitsbericht, Nr. 24.1). Hier strebt die Bundesregierung eine Verlängerung um weitere 4 Jahre an, ohne vorherige gründliche unabhängige Evaluation, aber mit einer Ausweitung der Befugnis-se des Verfassungsschutzes mittels Auskunftsrecht auch bei zentralen Stel-len zu Konto- und Flugreisedaten (BR-Drs. 476/11). Das Evaluationsgebot gilt natürlich auch für Ländergesetze. Inhaltlich relevant sind u. a. die Auswir-kungen von Maßnahmen auf Grundrechtspositionen unbeteiligter Dritter, die Wahrung des Kernbereichs privater Lebensgestaltung und verfahrens- und technikorientierte Schutzvorkehrungen (s. nochmals Anlage 10).
1.2 Nicht-öffentlicher Bereich
Initiativen der Bundesregierung im Datenschutz für die 17. Legislaturperiode des Deutschen Bundestags (ab 2009) betreffen den Beschäftigtendaten-schutz, voraussichtlich die Stiftung DatenBeschäftigtendaten-schutz, eventuell eine Regelung für Geodatendienste. Die grundlegende Novellierung des Datenschutzrechts wird auch mittelfristig kaum angegangen und umgesetzt. Abgewartet werden die beabsichtigten Maßgaben von Europäischer Ebene angesichts der von der Europäischen Kommission zunächst angestoßenen Überprüfung des all-gemeinen Rechtsrahmens für den Datenschutz und einer Überarbeitung der Richtlinie 95/46/EG aus dem Jahre 1995 mittels eines im November 2010 für einen Konsultationsprozess vorgelegten Gesamtkonzepts (s. Nr. 3.1). Auch
sollen erst noch Ergebnisse der Enquete-Kommission des Deutschen Bun-destages „Internet und digitale Gesellschaft“ vorliegen, die sich u. a. mit Themen des Urheberrechts, der Netzneutralität, des Datenschutzes und der Medienkompetenz befasst (vgl. BT-Drs. 17/5625).
Der Landesbeauftragte beteiligt sich auf verschiedene Weise an diesen rechts- und gesellschaftspolitischen Diskursen, so etwa über die Konferenz der Datenschutzbeauftragten des Bundes und der Länder. Die Datenschutz-konferenz hat nach Vorarbeiten einer eigens gebildeten Arbeitsgruppe bei der Frühjahrskonferenz 2010 ein Eckpunktepapier zur Modernisierung des Datenschutzrechts mit vielen grundsätzlichen und konkreten Empfeh-lungen für eine neue verständliche Grundstruktur des Bundesdatenschutzge-setzes und der Landesdatenschutzgesetze als allgemeingültige Regelung mit Mindeststandards, Schutzzielen, technikneutralen Vorgaben unter Einbezie-hung des Internets und Maßgaben für eine Stärkung der unabhängigen Da-tenschutzaufsicht beschlossen (s. Nr. 3.1). Die Vorschläge betreffen den nicht-öffentlichen und den öffentlichen Bereich.
In das Papier flossen auch Überlegungen einer Arbeitsgruppe ein, die sich mit „neuen Schutzzielen“ im Sinne eines proaktiven Datenschutzes durch Technik befasste (vgl. Rost/Bock, Privacy By Design und die Neuen Schutz-ziele, DuD 2011, 30).
Die Positionen der Konferenz werden vom Bundestag, so etwa in Entschlie-ßungen zu Tätigkeitsberichten des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (zuletzt Entschließung vom 16. Dezember 2010, BT-Drs. 17/4179), und vom Bundesrat (Stellungnahme zum Gesetzentwurf der Bundesregierung, Beschluss vom 13. Februar 2009, Drs. 4/09, Nr. 32;
Entschließung als Ergänzung zum Gesetzentwurf betr. Erfassung von Geo-daten vom 9. Juli 2010, Drs. 259/10, Nr. 1, 3.1-3.13, 4; s. auch Beschluss ei-ner Stellungnahme zum Gesamtkonzept für den Datenschutz in der Europäi-schen Union vom 11. Februar 2011, Drs. 707/10, Nr. 3; vgl. Nr. 3.1) unter-stützt. Dagegen hat sich die Bundesregierung bislang reserviert gezeigt. Die Justizministerkonferenz sieht den Datenschutz als nicht wirksam geregelt an und verlangt mehr als ein schmales Gesetz zum umstrittenen Web-Dienst Google Street View. Das Ministerium des Innern des Landes Sachsen-Anhalt hat die Anregungen aus dem Eckpunktepapier positiv aufgenommen und be-stätigt, dass das Datenschutzrecht internettauglich gemacht werden müsse, einhergehend mit einer Verständigung auf internationale Standards.
Interessant bei der Gesamtentwicklung und insbesondere bei der Befassung mit dem Regelungsbedarf für das oder im Internet ist die Erkenntnis, dass neben gesetzgeberischen Aktivitäten zunehmend auch auf Selbstregulie-rungen der Wirtschaft, bisweilen nur im Sinne ethischer Verpflichtungen, und zudem auf den Selbstdatenschutz des einzelnen Nutzers gesetzt wird. In einem Zwischenbericht der Enquete-Kommission des Bundestages findet sich die fragwürdige Aussage, dass „potenzielle Defizite staatlicher Aufsicht durch eine Einbindung der Unternehmen in die Festsetzung und Durchset-zung von Datenschutzstandards ausgeglichen werden können“. Mit dem
„Geodatenkodex“ liegt im Übrigen ein erster ausführlicher Selbstverpflich-tungskanon vor (Nr. 3.1.3), der allerdings ein Handeln und Eingreifen des Gesetzgebers nicht entbehrlich macht und im Übrigen die Aufsichtsbehörden nicht unmittelbar bindet (vgl. auch § 38a BDSG). Bei den Datenskandalen
um die ohne Zustimmung der Nutzer erfolgte Speicherung von Aufenthaltsor-ten in Mobiltelefonen der Firma Apple und die DaAufenthaltsor-tenlecks und den DaAufenthaltsor-tenklau bei der Firma Sony wurde erneut ein Dilemma deutlich: Die großen Unter-nehmen agieren global, das Recht reagiert aber nur national, vielleicht noch europäisch. Und es läuft den technischen Entwicklungen mehr und mehr hin-terher. Doch Verantwortung muss nicht nur ausgesprochen, sondern auch durchgesetzt werden. Insofern kommt es auf international verbindliche Stan-dards an, die über das Safe Harbor Abkommen von 2000 zwischen der Eu-ropäischen Union und den USA hinausgehen. Danach erkennt die Kommis-sion die Grundsätze des US-Handelsministeriums und zugleich die Ange-messenheit des Datenschutzes bei US-Unternehmen, die sich an solche all-gemeinen Datenschutzkriterien binden, an (vgl. auch Anlage 37).
Hinsichtlich der Betonung des Selbstschutzes, gefördert auch durch Maß-nahmen der Medienkompetenzbildung, mag zunächst noch daran erinnert werden, dass das Bundesverfassungsgericht hinreichende Möglichkeiten für den Selbstdatenschutz für den Fall bejaht hat, dass sich Kommunikations-verbindungsdaten in der Einflusssphäre bzw. dem Herrschaftsbereich des Betroffenen befinden; ein unerwünschter Zugriff Dritter sei durch die Benut-zung von Passwörtern und Verschlüsselungsprogrammen sowie Software zur Datenlöschung zu verhindern (BVerfGE 115, 166, 185f.). Doch ist dann eine oftmals übersehene Feststellung des Bundesverfassungsgerichts in dessen Entscheidung zur heimlichen Online-Überwachung vom 27. Februar 2008 relevant: „Informationstechnische Systeme haben mittlerweile einen derart hohen Komplexitätsgrad erreicht, dass ein wirkungsvoller sozialer und technischer Selbstschutz erhebliche Schwierigkeiten aufwerfen und zumin-dest den durchschnittlichen Nutzer überfordern kann.“ (BVerfGE 120, 274, 306). Selbstschutz ist schon bei den im eigenen Bereich des Nutzers erfol-genden Anwendungen kaum noch verlässlich möglich; unzumutbar und un-geeignet ist das bisherige Schutzprogramm etwa bei komplexen mobilen und allgegenwärtigen Datenverarbeitungen und auch bei Verarbeitungen in der
„Wolke“ (vgl. Nrn. 1.3.2, 1.3.3). Daher sind Schutzmaßnahmen durch den Gesetzgeber bis hin zu voreingestellter datenschutzfreundlicher Technik („privacy by design“, „privacy by default“) zur Gewährleistung eines System-datenschutzes und Vermeidung von Gefährdungen der Persönlichkeit gebo-ten. Gleichwohl bleibt die Mitwirkung der betroffenen Nutzer bei der Verinner-lichung und Ausübung des Prinzips der Datensparsamkeit unverzichtbar, aber eben nicht nur im Sinne technischer Grundkenntnisse, sondern einer kritikfähigen Grundhaltung. Dass man hierbei ebenfalls der Entwicklung hin-terherläuft, macht die Notwendigkeit von Konzepten und Maßnahmen nicht entbehrlich (vgl. Nr. 21.2).
Solche Maßnahmen für den Selbstdatenschutz und vor allem zusätzlich eine Erweiterung und Stärkung der Position der Betroffenen, rechtlich wie tech-nisch-organisatorisch, tragen mit dazu bei, den Betroffenen ihre Rechte der Kontrolle über die eigenen Daten tatsächlich zurückzugeben bzw. wirksam ausüben zu können. Auch hierzu finden sich in dem o. a. Eckpunktepapier der Datenschutzkonferenz mehrere Vorschläge, so zum Ausbau des Prinzips der Transparenz. Dieses bedarf einer wesentlichen Verstärkung. Transpa-renz der Datenverarbeitung schafft Vertrauen und Akzeptanz. Datenberge und heimliche Speicherungen, ob durch den Staat oder Unternehmen, bewir-ken das Gegenteil.
Damit wird zugleich der These widersprochen, den Selbstdatenschutz aus-schließlich einer Selbstregulierung des Internets bzw. seinen Foren zu über-lassen. Hinter dieser Sichtweise steckt auch der Gedanke der Informations-freiheit des Internets, die eine Regulierung von außen verbiete. Wer so zu argumentieren versucht, verschiebt das Internet und seine Eingriffe auch in das reale Leben aber in einen rechtsfreien Raum; das gilt auch für den Be-reich des Urheberrechts. Das Internet ist Chance, aber auch Risiko; der Staat hat aus seiner Schutzaufgabe heraus die Risiken zu mindern und einen Ausgleich der Grundrechte vorzunehmen. Die dem Staat obliegende Schutz-pflicht, die das Rechtssystem, aber auch Bereiche von Technologieeinsatz und Medienbildung betrifft, erwächst aus dem Persönlichkeitsrecht (so auch BVerfG, Beschluss vom 23. Oktober 2006, 1 BvR 2027/02, DVBl. 2007, 111, s. IX. Tätigkeitsbericht, Nr. 1.2). Die von der „Post-Privacy“-Bewegung vertre-tene Auffassung, die Idee von Privatheit und Privatsphäre sei in der transpa-renten Internet-Gesellschaft überholt, trägt nicht, allerdings sind die Konzepte zu modernisieren.
Der Landesbeauftragte nahm Gelegenheit, die vorbeschriebenen Entwick-lungen und Positionen im Ausschuss für Wirtschaft und Arbeit des Landtages darzustellen. Er bezieht die Überlegungen im Übrigen stets in seine Vorträge ein und äußert sich zu den vorerwähnten Aspekten in den Medien, unter Ein-beziehung auch gesellschaftswissenschaftlicher Betrachtungen.
1.3 IuK-Technik und Organisation – Grundsatzthemen
Zu einer der ständigen Aufgaben des Landesbeauftragten zählt die Beobach-tung der Entwicklung der Informations- und Kommunikationstechnologien (IuK, synonym auch IKT) und deren Bewertung aus der Sicht des Daten-schutzes und der Datensicherheit. Dabei sind die rasant steigenden Teil-nehmerzahlen im Internet und eine starkes Anwachsen internetbasierter An-gebote und Services für Bürgerinnen und Bürger auffällig. Gefördert wird die-se Entwicklung durch die erhöhte Verfügbarkeit von Breitbandanschlüsdie-sen für den Zugang zum Internet. Das Internet selbst durchdringt immer mehr Lebensbereiche der Bürgerinnen und Bürger und ist mittlerweile als fester Bestandteil von Geschäftsprozessen der Wirtschaft, aber auch von E-Government-Angeboten der öffentlichen Verwaltung, aus dem Alltag nicht mehr wegzudenken.
Für die Informationsgesellschaft selbst sind damit die sichere und verlässli-che Funktion von IuK, die Informationssiverlässli-cherheit sowie die generelle Verfüg-barkeit des Internets zu existenziellen Faktoren geworden. Das betrifft insbe-sondere die „Kritischen Infrastrukturen“ (KRITIS, s. IX. Tätigkeitsbericht, Nr.
1.3) von Wirtschaft und Verwaltung, aber auch Fragen der informationellen Selbstbestimmung bei der Nutzung des Internets selbst. Das Thema „Cyber-sicherheit“ hat damit für die Informationsgesellschaft des 21. Jahrhunderts neben „Cloud Computing“ eine herausragende Bedeutung erlangt.
Der Datenschutz und die Datensicherheit waren im zurückliegenden Be-richtszeitraum so häufig Gegenstand öffentlicher Diskussionen und Debatten, besonders in den Medien. Als Stichworte seien hier beispielhaft Google Street View (s. Nr. 3.1.3), die Vorratsdatenspeicherung (s. Nr. 25.1), Cloud
Computing (s. Nr. 1.3.2), Mobile Computing (s. Nr. 1.3.3) und Open Govern-ment (s. Nr. 1.3.4) genannt.
Exemplarisch für neue Bedrohungsszenarien bei kritischen Infrastrukturen ist hier an den im Juli 2010 bekanntgewordenen Angriff einer Schadsoftware namens „Stuxnet“, die für Störungen in Anlagen des iranischen Atompro-gramms entwickelt wurde, zu erinnern. Dabei handelte es sich beim soge-nannten „Stuxnet-Wurm“ nach Ansicht der Fachwelt um das bis dato kom-plexeste Schadprogramm, das nahezu alle bisher bekannten Angriffsformen vereint.
In Fortsetzung ihrer Strategie zum Schutz kritischer Infrastrukturen in Wirt-schaft und Verwaltung hat die Bundesregierung im Februar 2011 eine Cyber-Sicherheitsstrategie beschlossen. Kern dieser Strategie ist das neue
In Fortsetzung ihrer Strategie zum Schutz kritischer Infrastrukturen in Wirt-schaft und Verwaltung hat die Bundesregierung im Februar 2011 eine Cyber-Sicherheitsstrategie beschlossen. Kern dieser Strategie ist das neue