Alexander Dix

EAID: Technologischer Datenschutz - Vorgaben der Datenschutzgrundverordnung


Workshop der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) am 2.3.2017 in Berlin: „Technologischer Datenschutz – Vorgaben der Datenschutzgrundverordnung“

ZD-Aktuell 2017, 04254    Wirtschaftsunternehmen und Behörden beschäftigen sich zunehmend mit der im Mai 2018 in Kraft tretenden EU-Datenschutzgrundverordnung (DS-GVO). Dabei stehen zumeist die klassischen rechtlichen Fragen wie zusätzliche Dokumentations- und Informationspflichten und neue Rechte wie das Recht auf Vergessenwerden oder Datenportabilität im Vordergrund. Weniger Aufmerksamkeit finden bisher die Regelungen der DS-GVO, die sich mit technisch-organisatorischen Fragen des Datenschutzes befassen. Diese Leerstelle in der gegenwärtigen Debatte wollte die Europäische Akademie für Informationsfreiheit und Datenschutz (EAID) mit ihrem Workshop zu Fragen des technologischen Datenschutzes füllen, der am 2.3.2017 auf reges Interesse stieß. Moderiert wurde die Veranstaltung von Prof. Dr. Alfred Büllesbach und Dr. Dennis-Kenji Kipker, Vorstandsmitglieder der EAID. Die EAID, zu deren Zwecken gerade der Erfahrungsaustausch über technische Fragen der Informationsfreiheit und des Datenschutzes (privacy enhanced technologies) gehört, setzte damit ihre 2016 begonnene Reihe zu den Grundfragen des neuen europäischen Rechtsrahmens fort.

 

Bei seiner Begrüßung umriss der EAID-Vorsitzende Peter Schaar die Entwicklung des technologischen Datenschutzes bis zur Verabschiedung der DS-GVO. Die Leiterin des Unabhängigen Datenschutzzentrums Schleswig-Holstein, Marit Hansen, stellt in ihrem Eröffnungsvortrag den Erwägungsgrund 4 der DS-GVO in den Mittelpunkt, der zugleich ein Leitsatz der EAID ist: Die Verarbeitung personenbezogener Daten sollte im Dienste der Menschheit stehen. Der englische Verordnungstext formuliert genauer: „The processing of personal data should be designed to serve mankind.“ Hier ist der Anknüpfungspunkt des von Ann Cavoukian entwickelten Konzepts von Privacy by Design, das als Privacy by Default Eingang in die DS-GVO (Art. 25 Abs. 2) gefunden hat. Hansen wies darauf hin, dass Datenschutz mehr ist als Informationssicherheit. Die Tatsache, dass die DS-GVO in jeder Datenverarbeitung einen Eingriff in Grundrechte sehe, der der Rechtfertigung bedürfe, sei mit der strafrechtlichen Einordnung von ärztlichen Eingriffen als Körperverletzung zu vergleichen, die nur mit der Einwilligung des Patienten rechtmäßig sind. Neu in der Grundverordnung sei der risikobasierte Ansatz, der mit dem Stand der Technik in Beziehung gesetzt werden müsse. Der Stand der Technik hat aber weder Einfluss auf die Verantwortung der verantwortlichen Stelle (Art. 24) noch auf die datenschutzgerechten Voreinstellungen (Art. 25 Abs. 2). Nach Ansicht von Hansen könnten daher weder der Stand der Technik noch die hohen Implementierungskosten als „Ausrede“ bei einer Datenverarbeitung mit hohem Risiko dienen. Hansen kritisierte, dass die staatliche Vergabepraxis bisher keinerlei Anstalten gemacht habe, das Gebot der Datensparsamkeit im BDSG mit Leben zu erfüllen. Auch die DS-GVO verweise auf das Vergaberecht nur in den Erwägungsgründen. Dort würden die Mitgliedstaaten auch dazu aufgerufen, die Hersteller von Produkten, Diensten und Anwendungen zu ermutigen, den Datenschutz bereits bei der Entwicklung und Gestaltung zu berücksichtigen. Eine besonders wirksame Form der Ermutigung liege in entsprechend formulierten öffentlichen Ausschreibungen. Bei besonders riskanten Formen der Verarbeitung, wie etwa bei Biobanken, komme es auch auf datenschutzgerechte Infrastrukturen an; so könnten mehrere Dienstleister über ein „Bauleiter-Modell“ eingebunden werden, bei dem der Bauleiter nicht als allmächtiger Treuhänder alles wissen müsse, sondern nur dafür verantwortlich sei, dass die einzelnen „Gewerke“ koordiniert würden. Es gehe insgesamt nicht nur um datenschutzgerechte Technik, sondern auch um datenschutzgerechte Geschäftsmodelle. Auch sollten nicht nur Gefahren für die Rechte einzelner Personen, sondern auch für die Gesellschaft als Ganzes (z.B. durch zunehmenden Überwachungsdruck) in den Blick genommen werden. Insgesamt biete die DS-GVO die Chance zu einer stärkeren Professionalisierung des Datenschutzes.

 

Prof. Dr. Hannes Federrath (Universität Hamburg) stimmte in seinem anschließenden Vortrag mit Hansen darin überein, dass es nicht nur um Technik gehe. Er hob die Bedeutung des Informationssicherheits- und Risikomanagements bei der Umsetzung der Grundverordnung hervor. Dabei plädierte er für eine systematische Reduzierung des mit jeder Datenverarbeitung verbundenen Risikos auf ein Restrisiko. Es seien Notfall- und Katastrophenpläne nötig, die sich nicht auf die Wiederherstellung verloren gegangener Datenbestände beschränken, sondern darüber hinaus auch die Vertraulichkeit und Integrität der Daten unter Notfallbedingungen adressieren müssen. Die Tatsache, dass jedes Risikomanagement nicht als einmalige Maßnahme, sondern nur als permanenter Kreislauf konzipiert werden könne, mache deutlich, dass Datenschutzbeauftragte künftig nicht allein über juristische und informatische Kenntnisse, sondern auch über betriebswirtschaftliches Know-how verfügen müssten. Federrath empfahl den Datenschutzbeauftragten der Unternehmen, künftig ihre Vorstände weniger mit dem erwarteten „Return on Security Investment“, sondern mit dem „Return on Privacy Investment“ von der Notwendigkeit eines effizienten Risikomanagementsystems zu überzeugen.

 

Die Rolle der internationalen Normung beleuchtete Prof. Dr. Kai Rannenberg (Universität Frankfurt/M.). Als Vorsitzender der Working Group 5 im Unterausschuss 27 der Internationalen Standardisierungsorganisation (ISO), die sich mit Identitätsmanagement und Datenschutz befasst, gab er einen Überblick über die mittlerweile recht umfangreichen Aktivitäten im Zusammenhang mit IT-Sicherheit und Fragen des Datenschutzes. Die verstärkten Normungsaktivitäten hängen offenbar auch damit zusammen, dass sich eine regelrechte Dienstleistungsindustrie in Sachen IT-Sicherheit entwickelt hat. Die wachsende Zahl an Normungsprojekten betreffen neben dem Identitätsmanagement auch Fragen des Datenschutzmanagements, für die ein Standard gegenwärtig erarbeitet werde. Der Rahmenstandard ISO 29100 sei erst nach mehreren Anläufen und unter Beteiligung der Internationalen Datenschutzkonferenz zu Stande gekommen. Dagegen sei es bisher nicht gelungen, einen in Deutschland entwickelten Standard zur Löschung von Daten zu internationalisieren. Entgegen vieler Erwartungen hätten aber zahlreiche Normungsprojekte in diesem Bereich abgeschlossen werden können. Privacy by Design ist nach Angaben von Rannenberg mittlerweile zu einem Leitparadigma der Arbeiten in der von ihm geleiteten ISO-Arbeitsgruppe geworden, ohne dass es bisher gelungen sei, für dieses Paradigma selbst einen Standard zu formulieren. In der anschließenden Diskussion wurde das Verhältnis zwischen der vor allem von der Industrie vorangetriebenen Standardisierung und der Gesetzgebung problematisiert.

 

Gabriel Schulz, Stellvertreter des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern und Vorsitzender des Arbeitskreises Technik der Konferenz der Datenschutzbehörden des Bundes und der Länder, erläuterte anschließend das von der Datenschutzkonferenz entwickelte Standard-Datenschutzmodell. Dieses diene einer Operationalisierung der DS-GVO. Anders als das Grundschutzhandbuch des Bundesamtes für die Sicherheit in der Informationstechnik (BSI) nehme das Standard-Datenschutzmodell die Eingriffstiefe der jeweiligen Datenverarbeitung in die Rechte der Betroffenen in den Blick. Auch hier zeige sich, dass es weniger darum gehe, Datenschutz durch Technik sicherzustellen, als vielmehr darum, Datenschutz in die Technik und ihr organisatorisches Umfeld zu integrieren. Auch gehe es in der Grundverordnung nicht um Privacy by Design, sondern um Data Protection by Design, was mehr als eine terminologische Nuance sei. Datenschutz geht über den Schutz der Privatsphäre erheblich hinaus. Der Datenschutz muss auch das Ende der Verarbeitung z.B. bei Kündigung eines Dienstleistungsvertrags mit einem Cloud-Anbieter in den Blick nehmen und sicherstellen, dass der Verantwortliche Zugriff auf die für ihn verarbeiteten Daten erhält. Die Intervenierbarkeit kann Betroffenenrechte sichern, indem sie sowohl die Abgabe von Einwilligungserklärungen als auch deren Widerruf und die Einlegung eines Widerspruchs ermöglicht. Die Arbeiten am Standard-Datenschutzmodell sollten bis zum Inkrafttreten der DS-GVO abgeschlossen werden. Schon jetzt ist dieses Modell in Mecklenburg-Vorpommern am Beispiel der Schulverwaltungs-Software einem erfolgreichen Praxistest unterzogen worden.

 

Abschließend stellte Roland Schwaiger, Teamleiter Smart Data Analytics, Deutsche Telekom AG, das Konzept der Telekom für datenschutzkonforme Big Data-Lösungen, z.B. bei der Auswertung von Mobilfunk-Verkehrsdaten, vor. Dieses sieht vor, dass personenbezogene Daten nur mit Einwilligung der Betroffenen in Big Data-Anwendungen einbezogen werden. I.Ü. würden Daten vor einer Big Data-Analyse grundsätzlich an der Quelle oder so quellnah wie möglich anonymisiert. Selbst dann räume die Telekom, ohne dass sie dazu verpflichtet sei, den Kunden ein Widerspruchsrecht gegen dieses Verfahren ein. Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit habe das Modell ebenso gebilligt wie das eines Wettbewerbers, der ein solches Widerspruchsrecht nicht vorsehe. Dieses konkrete Anwendungsbeispiel für Data Protection by Design war ebenso wie die vorangegangenen grundsätzlicheren Beiträge Gegenstand einer angeregten Diskussion zum Abschluss des Workshops.

 

Dr. Alexander Dix ist ehemaliger Beauftragter für Datenschutz und Informationsfreiheit in Berlin und stellvertretender Vorsitzender der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) in Berlin.