Datenschutz und Datenmanagement: "Machs besser" [Update]

Datenschutz ist für viele Zeitgenossen eine Technik, mit der Daten vor unberechtigtem Zugriff geschützt und verschlüsselt werden. Dann gibt es noch diejenigen, die Datenschutz als Recht definieren, etwa als Recht auf informationelle Selbstbestimmung. Eine dritte, relativ unbekannte Variante geht vom Datenschutzmanagement aus. Sie stand im Mittelpunkt der eintägigen Sommerakademie für Datenschützer, die das unabhängige Landeszentrum für Datenschutz (ULD) in Schleswig-Holstein veranstaltete. Unter dem Motto "Machs gut. Machs besser" wurden die verschiedenen Facetten des Datenschutzmanagements verhandelt.

Am Beispiel des SWIFT-Skandals erklärte der gastgebende Datenschützer Thilo Weichert, wie wichtig das Datenschutzmanagement ist. Die Banken versagten auf ganzer Linie, weil sie mit dem Dienstleister SWIFT keine klaren Regeln vereinbart haben, wie mit den Daten umzugehen ist. "Selbst im Nachhinein sind die Banken nicht in der Lage, für die Zukunft die Beachtung ihrer gesetzlichen Pflicht sicherzustellen." Was den Banken fehle, ist ein einheitliches Management, in dem genau festgelegt ist, was mit den Daten geschehen darf und was nicht. Dazu müsse der Datenschutz in die Organisationen wandern, betonte Weichert. "Datenschutz bleibt ein Exotenthema, wenn es als Sonderaufgabe separat wahrgenommen und wenn es nicht in die Organisationsstruktur eines Unternehmens integriert wird."

Als Paradebeispiel, wie der Datenschutz auf staatlicher Ebene bis hinunter zum letzten Beamten funktionieren kann, erzählte der maltesische Datenschützer Saviour Cachia, wie das kleine Land zu seinem EU-Beitritt ein erfolgreiches Audit der gesamten Regierung und aller Behörden durchführen konnte. Gleich mehrere Redner der Sommerakademie beklagten, dass es in Deutschland keine maltesischen Zustände bei der Verfahrensprüfung von Behörden und Unternehmen gibt: Seit fünf Jahren liegt das Auditgesetz, das Unternehmen zur Einhaltung von Datenschutzrichtlinien verpflichten soll, auf der politisch-parlamentarischen Halde angedachter Vorhaben, füllen freiwillige Zertifizierungsverfahren wie das Audit des ULD die Lücke. Wie Antonius Sommer, Geschäftsführer des TÜV IT betonte, ist Deutschland im internationalen Vergleich weit abgeschlagen. Ganz anders die Situation bei der Produktzertifizierung. Hier besitze man mit dem Datenschutz-Gütesiegel ein Produkt, das unter Berücksichtigung der Common Criteria beste Chancen habe, auch international eine gute Rolle zu spielen.

Gleich nach Malta scheint also Schleswig-Holstein zu kommen: Das nördlichste Bundesland erhielt von den unabhängigen Datenschützern gleich vier Datenschutz-Gütesiegel und zwei Auditzeichen. So bekam das Landesnetz Schleswig-Holstein, ein von T-Systems und Dataport geliefertes MPLS-Netz, ebenso das begehrte Auditzeichen wie der Landtag Schleswig-Holstein, der ein neues Video-Überwachungssystem einführte. Als System mit Augenmaß wurde es von den Datenschützern gelobt, weil nicht relevante Verkehrsbereiche vom Videosystem ausgeblendet werden und die gesamte Installation dem Gebot der Datensparsamkeit Genüge tut.

Hinter den Erwartungen zurück blieb das Referat von Peter Cullen, Chief Privacy Strategist bei Microsoft. Angekündigt war es als Exklusiv-Vorabvorstellung eines neuen Konzeptes, wie schon bei der Entwicklung der Software-Produkte der Datenschutz berücksichtigt werden kann. Tatsächlich legte Cullen bekannte Folien der vier Säulen des Security Development Lifecycle (SDL) des Trustworthy Computing auf, jener Initiative, die 2002 von Bill Gates ins Leben gerufen wurde, nachdem mangelhafter Datenschutz und Sicherheit bei Microsoft heftig kritisiert worden waren. Seitdem geht es nach den Worten von Cullen bei Microsoft immer sicherer zu. Insgesamt arbeiteten bei Microsoft 350 Mitarbeiter an den Datenschutzfeatures von Microsoft-Programmen, die insgesamt über 30 Produkte datenschutzmäßig verbessert hätten. Als konkretes Beispiel für die kontinuierliche Verbesserung des Datenschutzes bei Microsoft nannte Cullen den Windows Media Player, dessen Umgang mit den Metadaten nicht ausreichend transparent gewesen sei.

Was beim Generalthema Datenschutzmanagement auf der Strecke blieb, war die von politischen Schnellentrüstern angeheizte Debatte über den "Datenschutz als Täterschutz" im "Kampf gegen den Terror". Hier hatte sich nicht zuletzt der schleswig-holsteinische Innenminister Ralf Stegner hervorgetan, der zu den Befürwortern einer Abschaltung des Anonymisierungsdienstes AN.ON gehörte. Bei seinem Auftritt in der Sommerakademie war davon nicht die Rede. Stegner hielt sich an das Generalthema und warb für den Datenschutz als prozessorientiertes Ordnungsprinzip seiner Behörde. Auf der Pressekonferenz betonte ULD-Chef Thilo Weichert, man habe mit allen Beteiligten ein äußerst freundliches Gespräch geführt. Außerdem sei in AN.ON ein Tool implementiert, mit dem man zeigen könne, dass der Dienst wahrscheinlich nicht von Terroristen genutzt werde.

Bis das Datenschutzmanagement im Sinne eines "Best Practices Management" oder einer "Citizen Compliance" zur Selbstverständlichkeit in Unternehmen wird, dürfte noch einige Zeit vergehen. Wie sich in der abschließenden Podiumsdiskussion der Sommerakademie zeigte, steht mit der Betonung der Management-Komponente auch die Rolle der Datenschützer zur Debatte. Schauen sie nur Behörden und Unternehmen auf die Finger, wie sie die Privatsphäre der Bürger und Kunden respektieren oder agieren sie im großen Maßstab als Zertifikationsinstanz? Zur Eröffnung der anregenden Konferenz bekannte sich Thilo Weichert zur Vision, "dass unser Gütesiegel einmal so bekannt wird wie der blaue Umweltengel, und dass dieses Gütesiegel internationale Verbreitung findet." Das aber ist nur möglich, wenn sich das unabhängige Landeszentrum zu einem unabhängigen Europazentrum wandelt.

[Update]:
Thilo Weichert vom ULD sieht sich zu der Klarstellung veranlasst, dass man in AN.ON kein Tool allein für den Zweck implementiert habe, um zu zeigen, dass der Dienst wahrscheinlich nicht von Terroristen genutzt werde. Das Projekt befinde sich aber seit Jahren in einem konstruktiven Dialog mit Strafverfolgungsbehörden auf Landes- und Bundesebene. "Dieser Dialog führte dazu, dass bei AN.ON eine technische Möglichkeit eingebaut wurde, im Fall einer rechtlichen Anordnung nach der Strafprozessordnung kurzfristig für bestimmte verdächtige Adressen die Kommunikation mitzuloggen." Auf der Datenschutz-Sommerakademie hatte Weichert dies so formuliert, dass man Grund zu der Annahme habe, "dass AN.ON von Terroristen wahrscheinlich nicht genutzt wird. Wir haben ein Tool in AN.ON drin, mit dem wir diese Aussage machen können." (Detlef Borchers) / (jk)