Datenschutz: "Privacy by Design" made in Schleswig-Holstein

Das Unabhängige Landeszentrum für Datenschutz in Schleswig-Holstein steht wie keine andere Aufsichtsbehörde für "Datenschutz durch Technik". Das Konzept wurde dort entwickelt und wird über die EU-Datenschutzreform nun verbindlich.

In Pocket speichern vorlesen Druckansicht 18 Kommentare lesen
Marit Hansen, Torsten Albig, Thilo Weichert

Marit Hansen mit Ministerpräsident Torsten Albig und Thilo Weichert.

(Bild: datenschutzzentrum.de)

Lesezeit: 4 Min.
Von
  • Christiane Schulzki-Haddouti
Inhaltsverzeichnis

Vorige Woche wurde die Informatikerin Marit Hansen im Kieler Landtag in ihr neues Amt als Landesdatenschutzbeauftragte von Schleswig-Holstein eingeführt. Sie folgt Thilo Weichert, der den Datenschutz in Deutschland prominent vertreten hat. Die Kieler Behörde hat aber nicht nur deutschlandweit einen gut Ruf, sondern auch international. Das hat sie Marit Hansen zu verdanken, die seit Ende der 90er Jahre in vielen wichtigen europäischen Forschungsprojekten "Privacy Enhancing Technologies" (PETs) entwickelte.

Den Begriff hatte der niederländische Jurist John Borking 1995 gemeinsam mit der kanadischen Datenschützerin Ann Cavoukian auf der 17. Internationalen Konferenz der Datenschutzbeauftragten in Kopenhagen vorgestellt. Sofort nach der Präsentation kam der damalige Leiter der schleswig-holsteinischen Datenschutzbehörde Helmut Bäumler auf ihn zu und sagte: "Ich denke schon seit Jahren darüber nach, dass wir etwas finden müssen – und Sie haben den richtigen Ansatz."

Bäumler brachte Borkings Idee nach Deutschland und erweiterte sie mit dem Ansatz "Datenschutz durch Technik" um einige organisatorische Elemente wie Zertifizierungen. Er wollte die Wirtschaft dazu bringen, freiwillig den Datenschutz in die Systeme einzubauen. Cavoukian arbeitete ebenfalls an der Idee weiter und gewann vor allem US-Unternehmen für das vergleichsweise etwas unverbindlich gestaltete Konzept des "Privacy by Design". In der EU-Datenschutzreform findet sich beides in Artikel 23 wieder.

Obwohl die EU-Datenschutzreform zu den von der Lobby umkämpftesten Regelungen der vergangenen Jahre gehört, hatte es gegen den Artikel 23 so gut wie keinen Widerstand von US-Unternehmen gegeben. Gleichwohl birgt er Sprengstoff: Denn Unternehmen müssen künftig ihre Systeme nach "Stand der Technik" gestalten. Geahndet kann dies mit saftigen Bußgeldern. Hier kommt wieder Marit Hansen ins Spiel: Sie hat Borkings Konzept des "Identity Protectors" über verschiedene EU-Projekte mit vielen namhaften Partnern Anfang des Jahres mit den "attributbasierten Credentials" (ABCs) zur Praxisreife gebracht.

Der "Identity Protector" gilt heute als das erste internationale Konzept, Prinzipien des Datenschutzes technisch zu implementieren und damit ethische Prinzipien in der Informationstechnik umzusetzen. Menschen sollen demnach nicht an jeder Stelle für jeden Zweck ihre Identität offen legen müssen, damit es nicht zu verkettbaren Personenprofilen kommt. Borking hatte im Hinterkopf, dass Registraturdaten nie wieder missbraucht werden dürfen, so wie es geschah, als die niederländischen Juden ermordet wurden.

Derzeit diskutieren die Datenschutzaufsichtsbehörden, was als "Stand der Technik" von den Unternehmen zu erwarten ist. Die Tendenz geht dahin, nur Mindeststandards zu fordern. Die ABCs sind einigen noch immer zu anspruchsvoll. Zu Hansens Hauptaufgaben wird es daher gehören, neue Datenschutzkonzepte wie die ABCs in die Praxis zu bringen. Das wird aber wohl nur gelingen, wenn die anderen deutschen und europäischen Aufsichtsbehörden mitziehen und den "Stand der Technik" einfordern.

Obwohl sich Datenschutzideen aus Schleswig-Holstein letztlich in der europäischen Datenschutzreform niederschlugen, konnten sie bis heute die deutschen Behörden nicht zum Mitmachen begeistern. Beispielsweise bietet allein Mecklenburg-Vorpommern neben Schleswig-Holstein Zertifizierungen an, die anderen halten sich noch immer zurück. Auch hat sich keine Behörde wie Schleswig-Holstein der Forschung und Entwicklung gewidmet. Bäumler erinnert sich: "Ich habe für unseren 'neuen Datenschutz' geworben, doch die anderen sagten nur: Macht mal, wir gucken dann."

Während das Unabhängige Landeszentrum für Datenschutz zu Bäumlers Zeiten insgesamt noch über 40 Stellen verfügte, sind es jetzt nach 11 Jahren unter Weichert nur noch 36 Stellen. Schleswig-Holstein dürfte damit das einzige Land sein, das seine Datenschutz-Kontrolle im vergangenen Jahrzehnt geschrumpft statt ausgebaut hat.

Der Landtag als Geldgeber hat es letztlich in der Hand, wie viel Spielraum Hansen hat – und ob sie die "Privacy Enhancing Technologies" nicht nur in der Forschung, sondern auch in der Praxis voranbringen kann. Vergleiche mit anderen Bundesländern, in denen die Behörden meist noch schlechter ausgestattet sind, sind nicht angebracht. Denn eine konservative Analyse zeigt, dass alle in Hinblick auf die EU-Datenschutzreform mindestens um den Faktor 3 zu schlecht aufgestellt sind. (anw)