Vorgebaut beim Datenschutz

Microsoft hat die Bedeutung des Datenschutzes bei der Softwareentwicklung erkannt und 2006 erstmals die "Privacy Guidelines for Developing Software Products and Services" veröffentlicht. Ausgerechnet Microsoft möchte man sagen. Selbstverständlich steckt dahinter wirtschaftliches Kalkül, aber das alleine macht die Herausgabe von Datenschutzrichtlinien für die Softwareentwicklung ja nicht zu einem unglaubwürdigen Unterfangen. Im Gegenteil, man muss den Redmondern bescheinigen, hier die Zeichen der Zeit erkannt zu haben.

Der Datenschutz fristet gerade nach Meinung vieler Datenschützer zwar immer noch ein kümmerliches Dasein, dennoch tut sich in dieser Hinsicht einiges. Die Gesetzgeber führen Audits ein, mit denen man seine unternehmerischen Prozesse, aber eben auch eigene Softwareprodukte auf Einhaltung datenschutzrechtlicher Vorgaben hin untersuchen und zertifizieren lassen kann.

Dass solche Zertifikate bei der Vermarktung der eigenen Produkte helfen können, beweist nicht zuletzt wieder ein Beispiel von Microsoft. So hat das Unabhängige Landeszentrum für Datenschutz in Schleswig-Holstein (ULD) den "Windows Update Service" der Redmonder ausgezeichnet und diesem Anfang 2007 das "ULD-Datenschutz-Gütesiegel" verliehen.

In seiner Laudatio äußerte Thilo Weichert, Leiter des ULD, die Hoffnung, dass diese Verleihung eines Gütesiegels Anlass sein könnte, sich von Vorurteilen zu verabschieden. "Leider ist heute immer noch die Ansicht weit verbreitet, dass es sich beim Datenschutz um ein vielleicht notwendiges, aber technikbehinderndes Übel handelt, das irgendetwas mit Grundrechtsschutz zu tun hat. Nicht weniger verbreitet ist die Anschauung, dass Verbraucher- und Grundrechtsschutz umso weniger eine Rolle spielten, je größer und mächtiger eine Institution oder ein Unternehmen ist, schon gar, wenn diese Stelle ihren Sitz in den USA hat", so Weichert.

Selbstbestimmung im Vordergrund

Microsoft hat mit den Datenschutzrichtlinien nicht zuletzt auf eine zunehmend kritischere Kundschaft Rücksicht genommen. Viele stellen gerade in den USA eine wachsende Bedeutung datenschutzrechtlicher Themen fest und vermuten dahinter nicht zuletzt die drastisch gestiegene Überwachung durch staatliche Institutionen. In diese Kerbe hat Microsoft zunächst mit Forderungen nach einem einheitlichen US-amerikanischen Datenschutzrecht geschlagen und sodann die Entwicklungsrichtlinien folgen lassen.

Das erklärte Ziel der Richtlinien ist es, den Kunden beziehungsweise Nutzer in die Lage zu versetzen, selbst über die Speicherung, Nutzung und Übermittlung personenbezogener Daten zu bestimmen. Das gelingt aber nur, wenn der Softwarehersteller ihm dafür entsprechende Instrumente an die Hand gibt.

Microsoft hat sich mit den Richtlinien quasi ein eigenes Datenschutzgesetz geschaffen. Inhalt und Aufbau der Richtlinie sind insoweit eindeutig. Einem Weltkonzern wie Microsoft kann es nur dann gelingen, weltweit ein datenschutzrechtlich anerkanntes Niveau einzuhalten, wenn dieses idealerweise überall gleich hoch (oder tief) ist. Indem der Softwarehersteller auf seinem größten Markt – den USA – die voraussichtlich ohnehin nicht vermeidbare Diskussion um die Schaffung Datenschutzrechtlicher Spielregeln in die Hand nimmt und sich dabei ganz offensichtlich an den gesetzlichen Regelungen in anderen Staaten oder der EU orientiert, machen sich die Redmonder gleichzeitig weniger angreifbar gegenüber der Kritik von außen.

Mehr Schutz erwünscht

Ganz selbstverständlich verwendet die Richtlinie daher Datenschützern bestens bekannte Begriffe wie personenbezogene oder sensible personenbezogene Daten. Aber die Richtlinie geht noch weiter und berücksichtigt andere Informationen, die an sich nicht dem europäischen Datenschutzverständnis entsprechen, bei denen man sich aber durchaus einen solchen Schutz wünscht. So werden auch Informationen erfasst, die einen Identitätsdiebstahl erst ermöglichen oder vereinfachen, oder solche, die einen Zugang zu geschützten Bereichen gestatten. Der oft zur Identifizierung verwendete "Mädchenname der Mutter" zählt danach genauso zum geschützten Bereich wie Passwörter, PIN-Nummern und dergleichen.

Bedeutsam ist, dass sich die Richtlinien den Grundsätzen der Datenvermeidung und der Datensparsamkeit verschreiben. So soll die eingesetzte Software Nutzer darauf hinweisen, wenn ihre personenbezogenen Daten durch Metadaten mit Dokumenten verknüpft werden und Dritte hierdurch von ihnen Kenntnis erlangen können, ohne dass dies dem Nutzer bewusst ist. Kernsatz der Richtlinie ist aber, dass der Softwareentwickler bereits in einem frühen Stadium darauf achten soll, ob und in welchem Umfang personenbezogene Daten für die Nutzung der Software überhaupt erforderlich sind und für welche Zwecke sie benötigt werden.

Die Richtlinie sieht vier Schritte zur Erreichung dieser Ziele vor: Es sollen nur personenbezogene Daten verwendet werden, die zwingend erforderlich sind; auf sensible Daten soll man verzichten (Schritt 1). Zugriffsrechte werden nach dem "Need-to-know"-Prinzip vergeben (Schritt 2). Durch Pseudonymisierung und andere Instrumente will man die Informationsdichte verringern (Schritt 3). Und schließlich sollen Speicher- und Löschfristen sowie Löschkonzepte eingeführt werden (Schritt 4).

Kritisieren kann man allerdings die von Microsoft eingeführte dreigliedrige Einwilligungsmöglichkeit: Das Unternehmen unterscheidet zwischen Opt-in, implizitem Opt-in und Opt-out zur Verwendung personenbezogener Daten. Implizites Opt-in und Opt-out – die so im deutschen Datenschutzrecht gar nicht vorkommen – bergen aber die Gefahr, dass der Softwarehersteller den Datenschutz einfach nur dadurch umsetzt, dass er zunächst davon ausgeht, der Nutzer stimme einer Verarbeitung personenbezogener Daten implizit zu. Oder er räumt ihm das Widerspruchs-(Opt-out-)Recht an einer nur schwer zu findenden Stelle ein.

Der allgemeine Teil der Richtlinie befasst sich im Schwerpunkt noch mit IT-Sicherheit und den datenschutzrechtlichen Aspekten beim Shared Computing sowie bei Webseiten und Webdiensten. Hier wirbt Microsoft offen für den P3P-Standard, der Plattform des Privacy Preferences Project, mit der Webseiten die Erhebung und die Nutzung personenbezogener Daten in XML-Format kodieren können. Insbesondere wird die Veröffentlichung einer "P3P Policy" empfohlen.

Zahlreiche datenschutzrelevante Szenarien

Der dritte und letzte Teil der Policy beschreibt anhand von insgesamt neun Anwendungsszenarien, wie die datenschutzrechtlichen Vorgaben bei der Softwareentwicklung konkret umgesetzt werden sollen. Microsoft bleibt hier bewusst abstrakt und nimmt wenig Bezug auf eigene Produkte, um die Richtlinien auch für andere nutzbar zu machen. Es finden sich folgende datenschutzrelevante Anwendungsszenarien: Übermittlung personenbezogener Daten auf das und vom IT-System des Nutzers, die Speicherung solcher Daten auf dem IT-System des Nutzers, Übermittlung anonymer Daten vom IT-System des Nutzers, die Installation von Software auf einem System, Entwicklung von Webseiten, Speicherung und Verarbeitung personenbezogener Daten in einem Unternehmen, ihre Übermittlung aus einem Unternehmen, der Umgang mit solchen Daten auf Webseiten, die sich an Kinder richten, sowie der Umgang mit personenbezogenen Daten und ihrer Speicherung auf Servern in Unternehmen.

Wie erwähnt, nützt der höchste Aufwand zur Einhaltung datenschutzrechtlicher Standards wenig, wenn sich die erforderlichen Investitionen nicht auszahlen. Gütesiegel, wie sie hierzulande etwa das Land Schleswig-Holstein ausgibt, sind sicher hilfreich. Auch im Bundesdatenschutzgesetz sind freiwillige Datenschutzaudits erwähnt. In § 9a heißt es dazu: "Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und -programmen und datenverarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen."

Derzeit arbeitet der Gesetzgeber an einem Bundesgesetz, das die Einzelheiten hierzu regeln wird. Gutachter sollen nach dem Gesetzesentwurf der Bundesregierung Zertifikate für die Vereinbarkeit mit datenschutzrechtlichen Vorgaben ausstellen können, die zwei Jahre lang Gültigkeit haben. Beim Bundesdatenschutzbeauftragten soll es ein zentrales Datenschutz-Auditregister geben, in dem sämtliche Zertifizierungen zu hinterlegen sind. Der Missbrauch von Datenschutzsiegeln soll mit Bußgeldern bis zu 250 000 Euro oder bei Betrugsabsicht sogar mit einer Freiheitsstrafe von bis zu zwei Jahren oder einer Geldstrafe bestraft werden.

Wann das Gesetzgebungsverfahren abgeschlossen sein wird, ist noch ungewiss. Leider hat sich der Gesetzgeber hier wieder einmal sehr viel Zeit gelassen. Die Vorschrift zum Datenschutzaudit im Bundesdatenschutzgesetz stammt immerhin schon aus dem Jahr 2001. Ähnliche Vorschriften existieren übrigens nach dem Rundfunkstaatsvertrag, dem Sozialgesetzbuch sowie dem Mediendienstestaatsvertrag. Wirtschaftliche Bedeutung kommt solchen Audits insbesondere dann zu, wenn die öffentliche Hand bei staatlich geförderten IT-Projekten ein Audit- oder Gütesiegelverfahren verlangt.

Fazit

Nicht nur theoretisch stellen die Entwickler-Richtlinien zum Datenschutz von Microsoft eine beachtliche Selbstverpflichtung dar. Werden sie optimal umgesetzt, ist im Bereich des Datenschutzes bei Microsoft-Programmen viel erreicht. Es wäre wünschenswert, dass andere Softwarehersteller den Redmondern nacheifern.

Allein mit der Veröffentlichung einer solchen Richtlinie ist es aber nicht getan. Man darf nicht vergessen, dass es sich hier um "private Richtlinien" handelt, die staatlich nicht durchgesetzt werden können. Ob ausreichende Taten folgen werden, bleibt abzuwarten. Gerade die jüngsten Vorhaben von Microsoft, die sich verstärkt auf das Internet und dort auf datenintensive Geschäftsmodelle stützen, machen etwas stutzig. Immerhin aber hat Microsoft für den Windows Update Server eines der ersten Datenschutz-Gütesiegel für ein Softwareprodukt in Deutschland erhalten.

Für Unternehmen – gleich ob sie Software entwickeln und anschließend vertreiben oder solche sind, die Software "nur" einsetzen – hat das Land Schleswig-Holstein bereits die Möglichkeit zur datenschutzrechtlichen Zertifizierung geschaffen. Bald ist auch für den Anwendungsbereich des Bundesdatenschutzgesetzes mit der Regelung der Details zum Datenschutzaudit zu rechnen. Zertifizierte Unternehmen sollen mit dem Zertifikat werben dürfen, was den Anreiz zur Auditierung stärken soll.

Bei öffentlichen IT-Vergaben ist in Zukunft verstärkt damit zu rechnen, dass eine solche Zertifizierung ein wesentliches Kriterium bei der Vergabeentscheidung spielen wird. Nicht zuletzt hilft ein Softwarehersteller, der seine Produkte zertifiziert hat, auch seinen Unternehmenskunden, wenn sich diese wiederum zertifizieren lassen wollen. Ebenfalls ein erwünschter Anreiz.

Tobias Haar, LL.M., ist Rechtsanwalt mit Schwerpunkt IT-Recht. (gs)