Datenschutzgrundverordnung wirft ihre Schatten auf die IT-Sicherheit

Welche Folgen hat die europäische Datenschutzgrundverordnung und das neue Bundesdatenschutzanpassungsgesetz für den Datenschutz? Darüber haben Juristen, Datenschützer, Verwaltungswissenschaftler und IT-Spezialisten in Darmstadt diskutiert.

In Pocket speichern vorlesen Druckansicht 9 Kommentare lesen
Datenschutzgrundverordnung wirft ihre Schatten auf die IT-Sicherheit
Lesezeit: 5 Min.
Von
  • Detlef Borchers
Inhaltsverzeichnis

Im Mai 2018 wird die europäische Datenschutzgrundverordnung (DSGVO) in Kraft treten. Bis dahin muss ein Bundesdatenschutzanpassungsgesetz möglichst noch in dieser Legislaturperiode all das regeln, was die DSGVO den nationalen Gesetzgebern überlässt. Der Gesetzentwurf dazu steht in der Kritik. Die Kontrahenten trafen sich auf einer vom Forum Privatheit und dem CAST-Forum veranstalteten Workshop.

In Europa gibt es Richtlinien, die von den EU-Staaten in nationales Recht umgesetzt werden müssen und Verordnungen, die unmittelbar geltendes Recht sind. Wie der Jurist Alexander Roßnagel vom Forschungszentrum für Informationstechnikgestaltung ausführte, ist die europäische Datenschutzgrundverordnung ein Zwitter, eine Richtlinie in Gestalt einer Verordnung. Sie enthält 70 Öffnungsklauseln mit "ausfüllungsbedürftigen Regelungsaufträgen", die jedem Nationalstaat überlassen sind. Somit habe der deutsche Gesetzgeber eine Menge Spielraum, einen modernen Datenschutz umzusetzen, der den zeitgenössischen Herausforderungen wie Smart Home, Smart Health, Big Data usw. das Recht auf informationelle Selbstbestimmung entgegensetzt.

Für Roßnagel ist besonders die Technikneutralität der DSGVO reparaturbedürftig, weil so die Benennung und Bekämpfung von Risiken der neuen Herausforderungen nicht angegangen werden. Er forderte den Gesetzgeber auf, die Öffnungsklauseln dafür zu nutzen, den Datenschutz zu modernisieren. Die Begrenzung der Lokalisierung von Beschäftigten, der Ausschluss von Datenkategorien (Rasse, Religion, genetische Daten) oder Datenquellen (Daten aus sozialen Netzwerke, Smart Meter-Daten) und die Begrenzung von Scoring gehören für Roßnagel dazu und seien eine lohnenswerte Aufgabe, die DSGVO mit Leben zu erfüllen – für die nächste Legislaturperiode.

Genau dies ist für Jens Onstein, im Bundesinnenministerium für die Anpassung des Bundesdatenschutzgesetzes zuständig, das zentrale Problem. Seine Juristen wollen alles daran setzen, das Datenschutz-Anpassungsgesetz vor den Bundestagswahlen zu verabschieden, das in zweiter und dritter Lesung durch den Bundestag muss, dann in den Bundesrat und eventuell in den Vermittlungsausschuss. Nur wenn alles innerhalb der Legislaturperiode geschafft wird, gebe es die Chance, bis zum Mai 2018 die zahlreichen Fachgesetze zu ändern, die von der DSGVO und dem Anpassungsgesetz betroffen sind, erläuterte Onstein.

Das von ihm und seinen Mitarbeitern konzipierte Gesetz sei ein DSGVO-Ergänzungsgesetz, das sich vor allem um Neuregelungen wie Geldbußen bei Datenschutzverstößen kümmere und alle gesetzlichen Regelungen im Datenschutz streiche, die von der höherrangigen DSGVO geregelt sind. "Wir wollen nicht den Datenschutz herunterpowern", wandte sich Onstein gegen die Kritik am Anpassungsgesetz. Schutzlücken sah er vor allem in den Datenverarbeitungsregeln für Polizei, Justiz und Nachrichtendienste.

Aus Sicht der Datenschützer schaute die Informatikerin Marit Hansen vom Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein auf den technischen Datenschutz, der mit dem DSGVO als "Game Changer" verbessert werden kann. Besonders die Tatsache, dass die DSGVO nicht von den "Betroffenen" einer Datenschutzregelung, sondern von den "Risiken für Rechte und Freiheiten natürlicher Personen" spreche, sei ein mächtiger Hebel und großer Fortschritt. Er könnte angesetzt werden, um die Hersteller von IT-Systemen in die Haftung für ihre Produkte zu nehmen.

Umso mehr kritisierte Hansen das deutsche Anpassungsgesetz als fehlerhaft, weil es von den "mit der Verarbeitung verbundenen Gefahren für die Rechtsgüter der betroffenen Personen" den Blick nur auf "Betroffene" unzulässig einenge. Analog zum Vorgehen beim Hausbau plädierte Hansen zusätzlich für eine Art "technische Bauleitung" , die sich darum kümmere, was zum Beispiel der in beiden Gesetzen erwähnte "Stand der Technik" ist, den die Hersteller berücksichtigen müssen. Schließlich könne der Stand der Technik im Sinne eines Technology Readiness Levels obere und untere Grenzen haben, was Hersteller ausnutzen würden.

Eine interessante Sicht auf den Datenschutz lieferte der Verwaltungswissenschaftler Mario Martini von der Forschungsstelle Transformation des Staates in Zeiten der Digitalisierung ab. Für ihn öffnet die DSGVO mit der Erweiterung von der Zweckbindung der Datenverarbeitung zur zweckkompatiblen Verarbeitung ein großes Feld von Möglichkeiten, in dem Verwaltungsverfahren vereinfacht und Behördengänge digitalisiert werden können. Bezogen auf die Bürger könnten vollautomatisierte Verfahren und Erlasse kommen, in denen Algorithmen die Arbeit von Sachbearbeiten übernehmen. Da diese jedoch für den einzelnen Bürger intransparent seien, müsse es Kontrollalgorithmen geben, die von Datenschützern kontrolliert werden.

Ähnlich wie die Verfasser der Studie Sicheres Identitätsmanagement im Internet erklärte Martini den Einsatz durch Blockchain-Technik zu einer Chance für verbindliche Rechtzuweisungen bei Wahrung der Privatsphäre der Bürger durch Einführung eines eindeutigen Identifiers. Allerdings sah er eine Kollision mit dem "Recht auf Vergessenwerden", das in Artikel 17 DSGVO festgeschrieben ist. Hier müsse eine "Verschleierungstechnik" von den Fachleuten eingeführt werden. (anw)