02

Kernpunkte:

  • Europäische Datenschutzreform
  • Fundament der Informationsgesellschaft
  • Datenschutz neu denken

 

2    Datenschutz – global und national

2.1          Europäische Datenschutz-Grundverordnung – von Europa über Deutschland nach Schleswig-Holstein

Alles neu macht der Mai, und zwar der 25. Mai 2018, denn ab diesem Datum gilt die europäische Datenschutz-Grundverordnung. Die Grundverordnung ist das Schwergewicht des EU-Datenschutzreformpakets, das den Datenschutz modernisieren und – nun ernsthaft – zwischen den Mitgliedstaaten der Europäischen Union harmonisieren soll. Hinzu kommt die E‑Privacy-Verordnung, die bisher nur im Entwurfsstadium existiert, und die Datenschutz-Richtlinie für Justiz und Inneres (Tz. 2.2).

Jahrelang wurden über die Datenschutz-Grundverordnung zähe Verhandlungen geführt, um einen angemessenen und einheitlichen Schutz für die 500 Millionen Bürgerinnen und Bürger der EU zu erreichen. Die nun entstandenen 99 Artikel der DSGVO enthalten Neues und Bekanntes. Erreicht wurde mit der Anschlussfähigkeit an Bekanntes, dass der Aufwand zum Einhalten der DSGVO für diejenigen verantwortlichen Stellen, die schon immer Datenschutz ernst genommen und die Anforderungen der Datenschutz-Richtlinie von 1995 (95/46/EG) umgesetzt haben, nicht hoch ist. Die neuen Instrumente zur Risikoeindämmung und für einen verbesserten Datenschutz bergen einiges an Potenzial: Datenschutz-Folgenabschätzung (Artikel 35 DSGVO), Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Artikel 25 DSGVO), verbesserte Transparenzregelungen (Artikel 12 bis 15 DSGVO), Zertifizierung (Artikel 42 und 43 DSGVO; jetzt nicht mehr nur in Landesgesetzen wie im Landesdatenschutzgesetz Schleswig-Holstein). Das Erfüllen der Rechenschaftspflicht (Artikel 24 DSGVO) lässt sich mit einem Datenschutzmanagementsystem unterstützen.

Für einige Mitgliedstaaten sind betriebliche und behördliche Datenschutzbeauftragte ebenfalls ein neues Instrument. Neu ist daran für Schleswig-Holstein, dass behördliche Datenschutzbeauftragte nunmehr verpflichtend zu bestellen sind, was in der überwiegenden Zahl der Bundesländer ohnehin schon der Fall ist.

Neu ist die Betonung des Marktortprinzips der Datenschutz-Grundverordnung (Artikel 3 Abs. 2 DSGVO). Das Marktortprinzip besagt, dass auch dann, wenn ein Verantwortlicher oder Auftragsverarbeiter keine Niederlassung in der EU hat, die DSGVO für die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, anwendbar ist, wenn die Datenverarbeitung im Zusammenhang damit steht, den Personen in der Union Waren oder Dienstleistungen anzubieten oder ihr Verhalten zu beobachten. Das bedeutet: Wer im räumlichen Bereich der Europäischen Union Geschäfte macht und dabei personenbezogene Daten verarbeitet oder Daten über das Verhalten von Personen sammelt, unterliegt der DSGVO.

Das heutzutage eher stumpfe Schwert der Sanktionen mit Bußgeldern wird schärfer – bei dem Verstoß gegen einige der Bestimmungen mit einer Maximalstrafe von bis zu 4 % des Vorjahresumsatzes eines Unternehmens oder 20 Mio. Euro bzw. bei anderen Bestimmungen immer noch 2 % des Vorjahresumsatzes oder 10 Mio. Euro (Artikel 83 DSGVO). Seitdem diese Regelungen bekannt sind, scheinen erstmals einige Unternehmen das Datenschutzrecht ernst zu nehmen.

Dem Gesetzeswerk sieht man an, dass es das Ergebnis mühsamer Verhandlungen über einen längeren Zeitraum ist. Öffnungsklauseln ermöglichen es den Mitgliedstaaten, Anpassungen an ihre nationalen Vorstellungen zu schaffen, beispielsweise im Beschäftigtendatenschutz. Nicht nur gesetzliche Konkretisierungen werden angesichts der überwiegend recht abstrakten Regelungen in der DSGVO notwendig sein. Diese Abstraktheit ist so gewollt, um nicht nur für wenige Jahre, sondern für mehrere Jahrzehnte anpassungsfähig zu sein. Dem Flickenteppich soll der Europäische Datenschutzausschuss entgegenwirken, besetzt mit den Aufsichtsbehörden der Mitgliedstaaten, um eine einheitliche Anwendung des Datenschutzrechts zu gewährleisten. Außerdem ist schon absehbar, dass voraussichtlich für die notwendige Rechtssicherheit in Zweifelsfragen gerichtliche Klärungen bis zum Gerichtshof der Europäischen Union notwendig werden.

Es liegt wohl in der Natur der Sache, dass die DSGVO als Kompromiss zwischen den verhandelnden Akteuren nicht alle Wünsche einer Landesbeauftragten für Datenschutz festgeschrieben hat. Dasselbe gilt für die nationale Umsetzung durch das Datenschutz-Anpassungs- und Umsetzungsgesetz – EU (DSAnpUG-EU), mit dem u. a. das Bundesdatenschutzgesetz reformiert wird. Kritikpunkte haben wir gemeinsam mit allen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder geäußert, großenteils leider vergebens. Nun gilt es, das Beste daraus zu machen. Es bleibt abzuwarten, ob die Umsetzung der DSGVO und der Datenschutz-Richtlinie für Justiz und Inneres ins nationale Recht rechtskonform gelungen ist und handhabbar sein wird.

In jedem Fall ist aber nun Eile für den Landesgesetzgeber geboten, der erst nach der Landtagswahl mit nunmehr weniger als einem Jahr Vorlauf nicht nur ein neues Landesdatenschutzgesetz zimmern soll, sondern eine Menge an bereichsspezifischem Recht auf die Kompatibilität mit der DSGVO abklopfen und anpassen soll. Im Zweifelsfall geht die DSGVO für ihren Anwendungsbereich vor.

Was ist zu tun?
Die Zeit bis zum Mai 2018 muss sowohl von Unternehmen als auch von der Verwaltung genutzt werden, um sich rechtskonform im Datenschutz aufzustellen. Der Landesgesetzgeber muss dafür sorgen, dass die Landesgesetze konform zur DSGVO gestaltet werden. Das ULD steht gerne beratend zur Seite.


2.2          EU-Richtlinie für den Datenschutz bei der Verfolgung und Verhütung von Straftaten

Im Paket mit der Datenschutz-Grundverordnung hat die EU im Jahr 2016 auch die Richtlinie 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI (JI-Richtlinie) verabschiedet. Sie muss bis zum 6. Mai 2018 in nationales Recht umgesetzt werden.

Vor große Schwierigkeiten stellt das EU-Reformpaket den Gesetzgeber bei der exakten Abgrenzung der Anwendungsbereiche der Datenschutz-Grundverordnung und der JI-Richtlinie. Die JI-Richtlinie nimmt ausdrücklich Bezug auf Straftaten, sodass sie für Gefahrenabwehrmaßnahmen der Polizei, die keinen Bezug zu einer Straftat haben, nicht gilt. Umstritten ist, ob die JI-Richtlinie nur für die Polizei gilt oder auch für die Gefahrenabwehr durch Ordnungsbehörden. Nach Auffassung des ULD gilt die JI-Richtlinie ausschließlich für die Polizei. Ordnungsbehörden fallen dagegen in den Anwendungsbereich der Datenschutz-Grundverordnung. Umstritten ist ebenfalls, ob zu den Straftaten im Sinne der JI-Richtlinie auch Ordnungswidrigkeiten gehören. Die europarechtliche Definition des Begriffs der Straftat ist in diesem Punkt nicht eindeutig. Da nach nationalem Recht die Verfolgung von Ordnungswidrigkeiten weitgehend der Verfolgung von Straftaten nachgebildet ist, befürwortet das ULD im Interesse der Einheitlichkeit des Rechts die Anwendung der JI-Richtlinie auch für die Verfolgung von Ordnungswidrigkeiten.

Für die Bereiche, die der Datenschutz-Grundverordnung unterfallen, gilt diese ab Mai 2018 als unmittelbar anwendbares Recht. Landesrecht kommt nur noch in einigen Punkten zur Anwendung, wo die Regelungen der Datenschutz-Grundverordnung durch nationales Recht konkretisiert werden dürfen. Die JI-Richtlinie muss hingegen vollständig in Landesrecht umgesetzt werden, denn EU-Richtlinien sind nicht unmittelbar anwendbar. Für diesen Bereich müssen landesrechtliche Regelungen erlassen werden. Schließlich gibt es noch einen dritten Bereich, der vom EU-Recht überhaupt nicht berührt wird, weil die EU in diesem Bereich keine Kompetenzen hat. Hierzu gehört in jedem Fall der Verfassungsschutz.

Für die der JI-Richtlinie unterfallenden Datenverarbeitungen und für diejenigen Behörden, für die die EU keine Regelungskompetenz hat, müssen daher vollständige Regelungen über den Datenschutz getroffen werden. Bisher war das Landesdatenschutzgesetz Schleswig-Holstein für diese Bereiche Auffanggesetz für allgemeine Fragen wie technische und organisatorische Maßnahmen, behördliche Datenschutzbeauftragte, Verfahrensverzeichnis, Vorabkontrollen und gemeinsame Verfahren mit zentraler Stelle, Datenverarbeitung im Auftrag, Videoüberwachung zum Schutz des Hausrechts, Mitteilungen über Datenpannen, Bußgeldvorschriften und schließlich die Einrichtung und die Befugnisse des ULD. Das bestehende LDSG wird ab Mai 2018 durch die Datenschutz-Grundverordnung abgelöst. Eine parallele nationale Regelung ist neben einer EU-Verordnung nicht zulässig, sodass insoweit das Landesdatenschutzgesetz aufgehoben werden muss. Damit würde es jedoch auch als Auffangregelung für die der JI-Richtlinie unterfallenden oder die vom EU-Recht nicht erfassten Behörden wegfallen.

Der Bundesgesetzgeber hat dieses Problem dadurch gelöst, dass er im allgemein geltenden Bundesdatenschutzgesetz vier Teile vorgesehen hat: Ein Teil enthält Durchführungsbestimmungen für die Datenschutz-Grundverordnung, ein Teil enthält Regelungen zur Umsetzung der JI-Richtlinie, ein Teil enthält Regelungen für Bereiche, die weder der Datenschutz-Grundverordnung noch der JI-Richtlinie unterfallen, und ein vorangestellter Teil enthält gemeinsame Regelungen für alle drei Bereiche. Durch dieses Regelwerk wird sichergestellt, dass zum einen keine Regelungslücken entstehen und zum anderen für alle Bereiche ein einheitliches Datenschutzniveau gilt. Auch für Schleswig-Holstein halten wir es für unerlässlich, dass das Landesdatenschutzgesetz eine umfassende Regelung des allgemeinen Datenschutzrechts für die Bereiche der JI-Richtlinie und des Verfassungsschutzes sowie etwaiger anderer Bereiche, die nicht dem EU-Recht unterfallen, trifft. Nur so können Regelungslücken und Zersplitterungen vermieden werden.

Um die JI-Richtlinie vollständig umzusetzen, werden allgemeine Regelungen allerdings nicht ausreichen. Diese werden, wie dies auch jetzt der Fall ist, durch bereichsspezifische konkrete Regelungen ergänzt werden müssen. Dies betrifft in erster Linie das Landesverwaltungsgesetz für die polizeiliche Datenverarbeitung. Hier sind einige Anpassungen an das neue EU-Recht vorzunehmen:

  • Beispielsweise verlangt die JI-Richtlinie, dass bei der Datenverarbeitung zwischen Verdächtigen einer Straftat, verurteilten Straftätern, Geschädigten einer Straftat und anderen Personen, wie etwa Zeugen, unterschieden wird. Für diese Personengruppen müssen unterschiedliche Rechtsfolgen gelten, die sich z. B. in unterschiedlichen Voraussetzungen für die Erhebung und Speicherung, aber auch in unterschiedlichen Löschfristen niederschlagen können.
  • Differenziert werden muss außerdem zwischen Daten, die auf objektiven Tatsachen beruhen, und solchen, die auf persönlichen Einschätzungen basieren. Dies setzt voraus, dass der Charakter solcher Daten erkennbar ist, z. B. durch eine Kennzeichnung von Daten, die sich auf Einschätzungen stützen.
  • Neu ist im Bereich der Strafverfolgung und polizeilichen Gefahrenabwehr, dass nun auch Einschränkungen für besondere Kategorien personenbezogener Daten vorzusehen sind, etwa für Gesundheitsdaten, aber auch für biometrische und genetische Daten. Da die frühere EG-Datenschutz-Richtlinie aus dem Jahr 1995, mit der solche besonderen Kategorien von Daten in das deutsche Recht eingeführt wurden, für den Bereich der Strafverfolgung und polizeilichen Gefahrenabwehr nicht galt, gibt es hier bislang solche Unterscheidungen nicht.
  • Neu sind auch ausdrückliche Anforderungen an die Protokollierung von Verarbeitungsvorgängen in automatisierten Verarbeitungssystemen. Die JI-Richtlinie schreibt vor, dass die Erhebung, Veränderung, Abfrage, Offenlegung einschließlich Übermittlung, die Kombination und die Löschung der Daten protokolliert werden müssen.
  • Bei Abfragen und Offenlegungen müssen außerdem die Begründung hierfür, das Datum und die Uhrzeit des Vorgangs, die abrufende oder übermittelnde Person und – bei Übermittlungen – der Empfänger der Daten erkennbar sein.

Was ist zu tun?
Allgemeine Datenschutzvorschriften sollten für alle der JI-Richtlinie unterfallenden Behörden und den Verfassungsschutz im Landesdatenschutzgesetz gemeinsam geregelt werden. Ergänzend sind punktuelle Änderungen in den Fachgesetzen vorzunehmen.

2.3          Informationssicherheit – von „I love you“ bis „WannaCry“

Alle haben dasselbe Ziel: mehr Informationssicherheit! Oder etwa nicht?

Entwickler von Schadsoftware sind kreativ – nicht nur, was das Ausnutzen von Sicherheitslücken angeht, sondern auch in der Namensgebung ihrer Erzeugnisse. Der Computerwurm „I love you“ verstopfte Anfang Mai 2000 das Netz, indem er sich massenhaft per E-Mail verbreitete. Dafür nutzte der Wurm das Adressbuch der E-Mail-Software. Dass es sich um ausführbaren Code handelte, konnten die meisten Windows-Nutzer nicht erkennen, die in ihrer empfangenen E-Mail die vermeintliche Liebesbotschaft einer ihnen bekannten Person öffneten. In solchen Fällen wird meistens recht schnell aufseiten der Antivirus-Tool-Anbieter nachgerüstet. Auch Hersteller von betroffener Anwendungssoftware oder von Betriebssystemen schließen bekannt gewordene Sicherheitslücken. Daher ist es wichtig, sicherheitsrelevante Updates durchzuführen – und natürlich nicht mit Systemen online zu gehen oder Daten auszutauschen, bei denen der Hersteller keine Aktualisierungen mehr anbietet, wie dies beispielsweise bei Windows XP der Fall ist.

Aber das Grundproblem ist ein anderes: Die Angreifer auf die Informationssysteme haben die Nase vorn. Eine Reaktion ist erst möglich, wenn die Probleme bemerkt werden. Abhilfe kommt also mit Zeitverzögerung.

In dem Fall von „WannaCry“ mit der Infektionswelle im Frühjahr 2017 merkten die Betroffenen ziemlich schnell, dass sie ein Problem hatten. Bei diesem Schadprogramm handelt es sich nämlich um erpresserische Ransomware, bei der Daten auf dem eigenen Rechner verschlüsselt werden und der Angreifer den Nutzer zur Zahlung eines „Lösegelds“ auffordert, um die Entschlüsselung zu ermöglichen. Gut, wenn man eine vollständige Datensicherung aus der

Zeit vor der Infektion hat. „WannaCry“ nutzt allerdings nicht irgendeine neue Sicherheitslücke, sondern das Einfallstor war einigen Akteuren schon länger bekannt, soll es doch aus dem Hacking-Arsenal des US-Geheimdienstes National Security Agency (NSA) stammen. Moment – dort werden Sicherheitslücken gesammelt? Und die Tools entwickelt, um die Sicherheitslücken auszunutzen? Ja, das ist nicht erst seit den Snowden-Enthüllungen bekannt. Mehrfach sind in der letzten Zeit Informationen über Sicherheitslücken und Hacking-Tools aus dem NSA-Fundus öffentlich geworden.

Offensichtlich führt ein (vermeintlich alleiniger) Wissensvorsprung bei der NSA nicht zu mehr Sicherheit, sondern spielt den Angreifern in die Hände. Statt für bessere Informationssicherheit zu sorgen, indem entdeckte Sicherheitslücken sofort geschlossen werden, will man sie selbst ausnutzen können – mit dem Risiko, dass auch andere Akteure diese Einfallstore für ihre Zwecke nutzen. Dass der Hersteller Microsoft in diesem Fall kurz vor der Infektionswelle wichtige Updates bereitstellte, weil sich eine Hacker-Gruppe mit den Informationen von der NSA brüstete, hat einen Teil des möglichen Schadens verhindert. Sogar für das gar nicht mehr gepflegte Betriebssystem Windows XP wurde als große Ausnahme ein Sicherheitsupdate ausgerollt. Aber eigentlich – so beurteilen es Sicherheitsforscher – hätte das Sicherheitsupdate schon früher verteilt werden können. Und man hätte deutlich auf die Wichtigkeit des Updates hinweisen müssen, weil es nur noch eine Frage der Zeit war, dass dieses Einfallstor ausgenutzt worden wäre. Oder sehr wahrscheinlich schon über längere Zeit ausgenutzt worden ist – mutmaßlich nicht nur, aber auch durch die NSA. Was wiederum ein zögerliches Schließen der Sicherheitslücken durch die jeweiligen Hersteller erklären würde.

Dieses Verhalten von Geheimdiensten und Herstellern muss uns wachrütteln. Angesichts der nicht mehr übersehbaren Sicherheitsrisiken ist es hochproblematisch, wenn die Datenverarbeitung unserer Informationsgesellschaft davon abhängig ist. Zumindest sind unabhängige Überprüfungen des Codes notwendig, damit die Fehler und Hintertüren im eingesetzten Verfahren schnell gefunden und beseitigt werden können. Am besten geschieht dies durch Veröffentlichung der Quelltexte – also des Programmcodes. Das Wissen der Entwickler, dass das Arbeitsergebnis einsehbar ist und nicht unter den Tisch gekehrt werden kann, ist der einzig wirksame Schutz vor Manipulation und Hintertüren.

Wenn zukünftig die Software in selbstfahrenden Autos nicht mehr nur über Abgaswerte, sondern in Gefahrensituationen sogar über Menschenleben entscheiden kann, muss transparent sein, wie eine solche Entscheidung abläuft. Die Quelldaten von Hard- und Software müssen überprüfbar sein.

Transparenz ist essentiell, wenn Algorithmen Annahmen über das Verhalten von Menschen treffen und sie zu einer wesentlichen Steuerungskomponente in wichtigen Lebensbereichen werden. Dies kann die Einschätzung der Kreditwürdigkeit betreffen, die Entscheidung über eine medizinische Behandlung, den verlangten Preis für eine Ware oder die Verweigerung einer Versicherung. Ohne Transparenz über die Funktion, die Parameter und deren Gewichtung ist es nicht möglich, Ergebnisse nachzuvollziehen und festzustellen, ob überhaupt ein geeignetes und faires Verfahren zugrunde liegt. Ohne Transparenz wird die Beherrschbarkeit der Technik infrage gestellt.

Besonders wichtig sind öffentliche Prüfbarkeit und unabhängige Überprüfung der eingesetzten Verfahren bei Sicherheitskomponenten wie Verschlüsselung und bei jeder Informationstechnik, die Einfluss auf unser Leben nimmt. Auch für Verfahren im E-Government gilt: Mit Geheimniskrämerei ist kein Staat zu machen.

Was ist zu tun?
Informationstechnik ist das Fundament der Informationsgesellschaft. Vorsätzlich eingebaute Hintertüren oder bewusst nicht beseitigte Sicherheitslücken darf es nicht geben. Ein Ausweg: Quelltextöffentlichkeit mit professioneller Qualitätssicherung.

2.4          Datenschutz neu denken!

Nach der Reform ist vor der Reform: Zwar hat es einige Jahre gedauert, bis die Datenschutz-Grundverordnung und das restliche Reformpaket auf europäischer Ebene umgesetzt wurde, aber man sieht schon jetzt, dass viele Regelungen unterkomplex sind oder den Anwender vollständig darüber im Unklaren lassen, wie mit neuen technischen Entwicklungen umgegangen werden kann. „Datenschutz neu denken!“ ist das Motto der Sommerakademien, die jährlich an einem Montag im Spätsommer von der DATENSCHUTZAKADEMIE Schleswig-Holstein ausgerichtet werden.

Im Berichtszeitraum lag der Schwerpunkt zunächst auf dem Thema „Vertrauenswürdige IT‑Infrastruktur – ein (un?)erreichbares Datenschutzziel“ (2015), um sich mit dem brüchigen Fundament für unsere Informationsgesellschaft und dem IT-Sicherheitsgesetz auseinanderzusetzen (Tz. 2.3). Das „Datenschutz neu denken!“-Motto wurde im Folgejahr eingeführt, als „Werkzeuge für besseren Datenschutz“ im Mittelpunkt der Diskussion standen.

Noch ist es zu früh, die Wirksamkeit der Instrumente der Datenschutz-Grundverordnung (Tz. 2.1) zu evaluieren, die bislang nur auf dem Gesetzespapier stehen. In jedem Fall sind jedoch zusätzliche Werkzeuge sinnvoll, beispielsweise eine enge Kooperation mit den Verbraucherschützern, die über die Verbandsklage und den zivilrechtlichen Weg für Rechtsklarheit in verwandten Feldern sorgen und die Datenschutzdiskussion zusammen mit den Aufsichtsbehörden vorantreiben können. Die Rolle des Gerichtshofs der Europäischen Union (EuGH) wird künftig noch wichtiger, um einer Rechtszersplitterung entgegenzuwirken. Doch dürften sich die Verfahren dann nicht über Jahre und über mehrere Instanzen hinziehen. So wurde auf der Sommerakademie vorgeschlagen, dass bereits erstinstanzliche Gerichte zunehmend von der Möglichkeit Gebrauch machen sollten, die Fragen dem EuGH vorzulegen. Dort solle ein beschleunigtes Verfahren ermöglicht werden, um Rechtssicherheit in Bezug auf die Auslegung der Datenschutz-Grundverordnung zu erreichen.

Die Sommerakademie 2017 im September wird das Thema der Herausforderung „Informationelle Nichtbestimmung“ beleuchten. Statt das Recht auf informationelle Selbstbestimmung, die Grundlage des Datenschutzes in Deutschland, auszuüben, scheinen sich mittlerweile viele Menschen für eine „Nichtbestimmung“ zu entscheiden – vielleicht weil Datenschutz nicht verständlich gemacht wird, weil die Technik zu komplex ist oder weil ihnen die Wahlmöglichkeiten nicht gefallen. Die Einwilligung – das wurde auch schon bei der vorjährigen Sommerakademie herausgearbeitet – funktioniert nicht, wenn man die Datenverarbeitung nicht mehr überblicken kann, beispielsweise wenn künftig „smarte“ Gegenstände ständig miteinander kommunizieren. Wir werden diskutieren, ob Datenschutz „by Default“ hier zu guten Lösungen verhilft oder dieses eigentlich sehr mächtige Prinzip aus der Datenschutz-Grundverordnung leerläuft oder ausgehebelt wird.

Für „Datenschutz neu denken!“ müssen viele Perspektiven zusammengeführt werden. Dies geschieht auch in dem Forum Privatheit (Tz. 8.1), an dem das ULD mitwirkt. Hier wird es in der nächsten Zeit um Vorschläge für eine zukunftsadäquate „Datenschutz-Governance“ gehen, d. h. um Kontroll- und Steuerungsstrukturen, die Politik, Gesetzgebung und Aufsichtsbehörden zu einer modernen Weiterentwicklung von Datenschutz befähigen.

Was ist zu tun?
Datenschutz neu zu denken bedeutet keinesfalls, dass alles über die letzten Jahrzehnte Errungene achtlos beiseitegewischt wird. Stattdessen ist zu prüfen, wie man Werte und Maßnahmen auf die digitalisierte Welt sinnvoll überträgt und dort weiterentwickelt.


Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel