02

Kernpunkte:

  • Zusammenarbeit der Aufsichtsbehörden
  • Datenethikkommission
  • Chance auf bessere Sicherheit nicht vertun

 

2    Datenschutz – global und national

2.1          Zusammenarbeit der Beauftragten des Bundes und der Länder

Eine Datenschutzharmonisierung in Europa bedeutet, dass alle Datenschutzaufsichtsbehörden zusammenarbeiten müssen. Dazu dient auf europäischer Ebene der Europäische Datenschutzausschuss (EDSA), in dem alle Mitgliedstaaten vertreten sind. Die nationale Zusammenarbeit in Deutschland geschieht über die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK), in der wir ebenfalls vertreten sind. Die DSK hat zudem Arbeitskreise (AKs), die regelmäßig tagen und teilweise eigene Unterarbeitsgruppen (UAGs) eröffnet haben. Außerdem werden für kurzzeitigere Themenbehandlungen Taskforces zusammengestellt.

Wir bringen uns aktiv bei der Zusammenarbeit ein. Eine leitende Funktion haben wir bei dem AK Sicherheit und bei dem AK Zertifizierung (Tz. 9.1) sowie in der UAG ePrivacy des AK Medien und der UAG Standard-Datenschutzmodell (SDM) des AK Technik (Tz. 6.2.3). Die Taskforce Facebook-Fanpages, die von der DSK eingerichtet wurde, leiten wir ebenfalls – dies ergab sich aus dem gerichtlichen Verfahren, das wir 2018 vor dem EuGH geführt haben (Tz. 7.1).

Wegen der Fülle der Aufgaben schaffen wir es nicht, an jedem Treffen aller Arbeitskreise mitzuwirken – das können wohl auch nur die wenigsten Aufsichtsbehörden leisten.

Wir müssen bei den eingeschränkten Ressourcen selbstverständlich Prioritäten setzen. Dennoch hat es bislang funktioniert, dass wir unser Wissen und unsere Einschätzungen auch bei wichtigen Themen der Digitalisierung einbringen, beispielsweise bei der Taskforce zur künstlichen Intelligenz. Zudem engagieren wir uns auch in den europäischen Arbeitsgruppen (Subgroups) des EDSA (Tz. 11.1 und Tz. 11.2).

Im Bereich der Informationsfreiheit gibt es übrigens nur einen Arbeitskreis, der direkt der Konferenz der Informationsfreiheitsbeauftragten des Bundes und der Länder (IFK) zuarbeitet. Dieses Gremium umfasst (noch) nicht alle Bundesländer, da nicht in jedem Land ein Informationsfreiheits- oder Transparenzportal geschaffen wurde.

Sowohl bei der DSK als auch bei der IFK rotiert der Vorsitz jährlich. Der letztjährige Vorsitz gibt die Leitung an das Bundesland (oder den Bund) an nächster Stelle im Alphabet ab, wobei manches Mal auch der Platz getauscht wird. 2019 war Rheinland-Pfalz Vorsitzland der DSK, 2020 ist dies Sachsen. Nach der jetzigen Planung wird Schleswig-Holstein den DSK-Vorsitz für das Jahr 2023 übernehmen. Dies schließt sich gut an den planmäßigen schleswig-holsteinischen IFK-Vorsitz im Jahr 2022 an.


Was ist zu tun?
Alle Beauftragten des Bundes und der Länder für Datenschutz und für Informationsfreiheit sollten sich weiterhin abstimmen und austauschen und dabei im Rahmen der jeweils zur Verfügung stehenden Ressourcen anteilig auch Gemeinschaftsaufgaben übernehmen.

 

2.2          Die Landesbeauftragte für Datenschutz in der Datenethikkommission

Im September 2018 gestartet, dann ein Jahr lang Zeit, um Empfehlungen zu Datenrechten und Datenpflichten auf Basis unserer Werte und Grundrechte zu erarbeiten: Das war die eigentlich unlösbare Aufgabe der Datenethikkommission, die von der Bundesregierung eingesetzt worden war, um sich mit einem umfangreichen Fragenkatalog zu beschäftigen. Zu den in die Datenethikkommission berufenen Mitgliedern zählte auch Marit Hansen, die Landesbeauftragte für Datenschutz. Die 16 Mitglieder kamen überwiegend aus dem wissenschaftlichen Bereich, außerdem waren der Verbraucherzentrale Bundesverband e. V. (vzbv), der Bundesverband der Industrie e. V. (BDI) und der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit vertreten.

Datenethikkommission
„Der Einsatz von Algorithmen und künstlicher Intelligenz sowie der Umgang mit Daten birgt große Potenziale. Gleichzeitig stellen sich zahlreiche ethische und rechtliche Fragen.

Die Datenethikkommission der Bundesregierung sollte hierauf Antworten geben und auf der Basis wissenschaftlicher und technischer Expertise ethische Leitlinien für den Schutz des Einzelnen, die Wahrung des gesellschaftlichen Zusammenlebens und die Sicherung und Förderung des Wohlstands im Informationszeitalter entwickeln.“

https://datenethikkommission.de/

Entstanden ist ein 240 Seiten starkes Gutachten, das viel Stoff für weitere Diskussionen enthält. Aus unserem Projektbereich (Kapitel 8) kennen wir die typischen Missverständnisse in interdisziplinären Teams – schon aufgrund der unterschiedlichen Bedeutungen von Fachbegriffen in den jeweiligen Disziplinen. Dies ist besonders ausgeprägt, wenn es um die Anwendung von in der eigenen Disziplin bekannten Konzepten auf neue – hier primär technische – Sachverhalte der künftigen Welt mit einer weiter fortgeschrittenen Digitalisierung geht. Hilfreich waren die Diskussionen anhand von „Use Cases“ und Szenarien, die später zu den weiter abstrahierten Empfehlungen geführt haben.

Schwerpunkte des Gutachtens sind Regulierungsmöglichkeiten von algorithmischen Systemen anhand deren Kritikalität sowie eine faire Ausgestaltung von Datenrechten und Datenpflichten. Der Auftrag bestand nicht darin, einen umfassenden Gesetzentwurf zu erarbeiten – das wäre auch nicht gut gewesen, weil dringend der politische und gesellschaftliche Diskurs geführt werden sollte, bevor derart wesentliche Entscheidungen über Weichenstellungen für unsere künftige Gesellschaft getroffen werden. Außerdem griffe es zu kurz, lediglich das juristische Instrumentarium zu beleuchten. Stattdessen geht das Gutachten der Datenethikkommission auf vielfältige nötige und mögliche Steuerungsinstrumente im Sinne einer „Governance“ ein.

Wer sich einen Kurzüberblick über die Ergebnisse verschaffen will, kann die Zusammenfassung hier lesen:

https://datenethikkommission.de/gutachten/gutachten-der-dek-kurzfassung/ [Extern]
Kurzlink: https://uldsh.de/tb38-22

Was ist zu tun?
Die Bundesregierung als Auftraggeberin des Gutachtens sollte die Empfehlungen der Datenethikkommission auswerten und die weiteren Schritte planen. Die Beschäftigung mit den Empfehlungen kann auch für andere Adressaten auf Landes-, Bundes- und europäischer Ebene bis hin zu internationalen Standardisierungsgremien sinnvoll sein.

 

2.3          Chance auf bessere Sicherheit nicht vertun

So ganz passt es nicht zusammen: Die Bundesregierung beauftragt einerseits die Datenethikkommission, Empfehlungen für eine faire Gestaltung unserer Welt im Informationszeitalter zu entwickeln (Tz. 2.2), und auf der anderen Seite kommen von Bund und Ländern immer wieder Forderungen auf den Tisch, die dazu geeignet sind, die für unsere Gesellschaft nötige zukunftsfähige Digitalisierung auf Basis der Grundwerte zu sabotieren.

Dazu gehören Formulierungen in Gesetzgebungsverfahren, die eine Kriminalisierung von Anbietern bestimmter datenschutzfreundlicher Techniken nahelegen (Entwurf zu § 126a StGB – Anbieten von Leistungen zur Ermöglichung von Straftaten, Tz. 8.2). Oder Ideen zur Herausgabepflicht von Kundenpasswörtern durch Anbieter (Entwurfspaket für Gesetzesänderungen gegen Hasskriminalität und Rechtsextremismus des Bundesministeriums für Justiz und Verbraucherschutz), was schon deswegen problematisch ist, weil sie doch aus Informationssicherheitssicht – im Einklang mit der DSGVO – gar nicht über Passwörter im Klartext verfügen sollten.

Für besonders kritisch halten wir Planungen der Innenministerkonferenz vom Juni 2019, Sicherheitsbehörden den Zugriff auf die verschlüsselte Kommunikation über Messenger-Anwendungen und auf die Daten im Smart Home zu erleichtern. Was hier mehr oder weniger unverblümt gefordert wird, sind eingebaute Hintertüren in Hard- und Software, die von den Sicherheitsbehörden für ihre Zugriffe genutzt werden sollen. Mit dem vom Bundesverfassungsgericht festgestellten Grundrecht auf Gewährleistung von Vertraulichkeit und Integrität informationstechnischer Systeme sind solche Ideen nicht vereinbar. Seit Jahrzehnten fordern Fachleute für IT‑Sicherheit, dass Hersteller das Sicherheitsniveau der eingesetzten Technik für unsere Informationsgesellschaft dringend erhöhen müssen, statt es auf gesetzlichen Zwang hin auszuhöhlen. Denn nichts anderes passiert, wenn Hintertüren oder gezielte Schwachstellen implementiert werden: Unbefugte können dann ebenso zugreifen wie Befugte und z. B. die Kommunikation mitschneiden oder Daten kopieren, löschen, verändern oder gar gezielt unterschieben.

Anfang 2019 wurden persönliche Daten über Politiker und andere Prominente, die mithilfe von Internetangriffen gesammelt worden waren, veröffentlicht. Dieser Doxing-Skandal hatte kurzfristig die Diskussion um mehr Verschlüsselung und besseren Zugriffsschutz befeuert. Fast vergessen war zu diesem Zeitpunkt, dass schon vor einigen Jahren die Bundesregierung – wohl als Reaktion auf die Snowden-Enthüllungen – die Marschroute ausgegeben hatte: „Deutschland wird Verschlüsselungsstandort Nr. 1.“

https://www.krypto-charta.de/ [Extern]

Auf dem Weg zu diesem hehren Ziel ist die Bundesregierung in den letzten Jahren kaum vorangekommen und scheint nun sogar falsch abzubiegen: Statt Datenschutz „by Design“ umzusetzen, könnten die Telekommunikations- und Telemedienanbieter verpflichtet werden, die Möglichkeit zu schaffen, Inhalte wie Chats, Telefonate oder andere Kommunikationen unverschlüsselt zur Verfügung zu stellen. Das ginge nur, wenn die wichtige Ende-zu-Ende-Verschlüsselung mit Sollbruchstellen torpediert würde. Von wirklicher Sicherheit kann dann keine Rede mehr sein.

Auch dort, wo sich gerade Sicherheitsstandards etablieren, gibt es Gegenwind von Ministerebene. Für kritisch halten wir den Beschluss der Justizministerkonferenz vom Juni 2019 zum neuen Mobilfunkstandard 5G, der endlich einen verbesserten Sicherheitsstandard aufweist, sodass ein Abhören nicht ohne Weiteres möglich ist – eigentlich. Denn die Mehrheit der Landesjustizministerinnen und -minister verlangt eine Aufweichung, um technische Angriffe, vor denen der neue Standard eigentlich schützen soll, weiterhin zu ermöglichen. Diese sogenannten Stingray-Angriffe (auch „IMSI-Catcher“) lassen sich dabei weder gezielt auf verdächtige Personen eingrenzen, noch ist ihre Nutzung auf die Strafverfolgung beschränkbar. Vielmehr sind stets alle Endgeräte im Umkreis des Angriffs betroffen. Auch die Notruffunktionen werden unterbrochen. Vertraulichkeit und Integrität der zur persönlichen Kommunikation genutzten IT‑Systeme (nichts anderes sind Mobiltelefone heutzutage) in 5-G-Netzen werden so nicht gewährleistet, sondern für alle Nutzenden massiv untergraben.

Verschlüsselung nach dem Stand der Technik stellt einen großen Mehrwert dar: Die digitalisierte Welt wird ein starkes Fundament für Informationssicherheit benötigen. Vertrauliche Kommunikation und verlässliche Datenverarbeitung müssen garantiert werden. Dies ist unabhängig davon, ob es um einen Datenaustausch beim vernetzten Autofahren, in der Telemedizin oder in der Industrie um 4.0-Anwendungen geht oder ob Smart Homes für den Privathaushalt oder Smart Cities im Sinne des Gemeinwohls gesteuert werden. Man muss kein Prophet sein, um vorherzusagen, dass sich die Nutzung von Hintertüren und Sollbruchstellen nicht auf die staatlichen Akteure für rechtmäßige Aktionen begrenzen lässt. Eine solche Idee schützt nicht vor Straftaten, sondern eröffnet im Gegenteil weitere Möglichkeiten für kriminelles Handeln.

 

Was ist zu tun?
Der Staat, Hersteller und Standardisierungsgremien sollten für eine Implementierung von mehr Datenschutz und Informationssicherheit sorgen und sich zu diesem Zweck die bisher erreichten Fortschritte in der sicheren Technik zunutze machen, statt den Einbau von Hintertüren voranzutreiben und damit die Sicherheit zu schwächen.

 

2.4          Anpassungsbedarf der Datenschutz-Grundverordnung?

Die Datenschutz-Grundverordnung sieht selbst vor, dass man sie evaluiert und auf dieser Basis überlegt, ob und wie sie verändert werden sollte: In Artikel 97 DSGVO wird geregelt, dass die Europäische Kommission bis zum 25. Mai 2020 und dann alle vier Jahre einen Bericht zur Bewertung und Überprüfung der DSGVO vorlegen muss.

Lange vor Geltung der DSGVO – eigentlich sogar schon, als die ersten Textversionen bekannt wurden – wurden Konzepte und Regelungen der DSGVO kontrovers diskutiert. Auch aus unserer Sicht sind nicht alle Wünsche an ein solches Gesetzeswerk erfüllt worden. Zugegeben: Das Üben von Kritik ist sehr einfach, jedoch ist es schwierig, perfekte Gesetze zu schreiben, die auch noch eine Zustimmung aus allen Mitgliedstaaten finden.

Einige Gremien, an denen wir uns beteiligen, haben Vorschläge zur Evaluation und Verbesserung der DSGVO vorgelegt. So enthält der Erfahrungsbericht der DSK zahlreiche Punkte:

https://www.datenschutzkonferenz-online.de/media/dskb/20191213_erfahrungsbericht_zur_anwendung_der_ds-gvo.pdf [Extern]
Kurzlink: https://uldsh.de/tb38-24a

Auch das Forum Privatheit (Tz. 8.1) hat sich zu Verbesserungsmöglichkeiten der DSGVO geäußert:

https://www.forum-privatheit.de/wp-content/uploads/Policy-Paper-Evaluation-der-DSGVO.pdf [Extern]
Kurzlink: https://uldsh.de/tb38-24b

Aber wo muss nun ganz dringend nachgebessert werden? Aus unserer Sicht besteht weniger ein Anpassungsbedarf der DSGVO selbst, sondern in ihrer Umsetzung. Das betrifft insbesondere die Angebote von Herstellern und Dienstleistern. Wenn diese nämlich bereits ihre Angebote datenschutzgerecht gestalten und die nötigen Materialien bereitstellen, wird alles leichter: Die Verantwortlichen können dann ihrer Rechenschaftspflicht nachkommen, das Risiko abschätzen und die geeigneten Maßnahmen treffen. Wenn auch noch passende Vorlagen bei den Informationspflichten und bei der Dokumentation unterstützen, muss nicht jeder das Rad noch mal neu erfinden. Das bedeutet: Die Realität der Datenverarbeitungsangebote ist teilweise noch massiv von den Anforderungen der DSGVO entkoppelt – da besteht aus unserer Sicht dringender Nachbesserungsbedarf.

Auch knirscht es manchmal im Getriebe der Zusammenarbeit auf europäischer Ebene. Dies ist schon deswegen nicht erstaunlich, weil die Aufsichtsbehörden der verschiedenen Mitgliedstaaten unterschiedliche Regelungen des Verwaltungsverfahrensrechts befolgen müssen. Aber solche Unterschiede dürfen nicht dazu führen, dass die Schlagkraft der Datenschutzaufsicht gerade gegenüber den globalen Marktakteuren, die großenteils ihren Sitz nicht in Deutschland haben, geschwächt wird.

Bug und Feature zugleich sind die oft abstrakten Formulierungen der DSGVO. Bug, weil ein Anwender, der nur den Gesetzestext liest, gar nicht verstehen kann, was genau gefordert ist, um Rechtssicherheit zu haben. Feature, weil eine gewisse Abstraktheit gewiss nötig war, um einen Konsens der Mitgliedstaaten aus unterschiedlichen Datenschutzkulturen zu erringen, und weil das Gesetzeswerk dann auch bei einem Wandel der verwendeten Informationstechnik vermutlich eine längere Haltbarkeit aufweist. Dazu enthält die DSGVO ebenfalls Lösungsansätze: Zu den Aufgaben des Europäischen Datenschutzausschusses gehört die Bereitstellung von „Leitlinien, Empfehlungen und bewährten Verfahren“ (Artikel 70 DSGVO), die gemeinsam von den Datenschutzaufsichtsbehörden der Mitgliedstaaten erarbeitet werden. Hier sind stetige Fortschritte zu verzeichnen.

In solchen Leitlinien und Empfehlungen könnte auch ein Fokus auf Konkretisierungen für neue Technikentwicklungen gelegt werden, beispielsweise im Bereich der künstlichen Intelligenz oder bei den zentral verteilten Crowd-Anwendungen, bei denen die Verantwortlichkeiten der Beteiligten unterschiedlich ausgeprägt sein können. Solche Technikregulierungen betreffen nicht nur Datenschutzaspekte, sondern es geht um die Beherrschbarkeit von Informationstechnik insgesamt. Hier sind unreife Schnellschüsse zu vermeiden. Ähnliches gilt für Bestrebungen, das individualisierte Daten(schutz)recht um kollektive Aspekte zu erweitern – beispielsweise wenn Gruppen von Personen schlechtergestellt werden, ohne dass eine Identifizierbarkeit der Individuen gegeben ist.

Einen konkreten Wunsch hätten wir allerdings, um zur Entbürokratisierung beizutragen: Wir könnten uns vorstellen, dass auf die Meldepflicht der Datenschutzbeauftragten bei den Aufsichtsbehörden (Art. 37 Abs. 7 DSGVO) verzichtet wird – das sind viele Zehntausende Mitteilungen, die bei den Aufsichtsbehörden eingehen und zumeist in Registern gespeichert werden.

Art. 37 Abs. 7 DSGVO
Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit.

Die Datenverarbeiter haben also die Pflicht, die Kontaktdaten ihrer oder ihres Datenschutzbeauftragten (sofern benannt) der Aufsichtsbehörde mitzuteilen. Andernfalls würden sie gegen die DSGVO verstoßen. Die meisten Aufsichtsbehörden haben dafür Formulare online gestellt, nehmen aber auch unstrukturiertere Meldungen (Schreiben per Papier, Fax, E-Mail ...) entgegen.

https://www.datenschutzzentrum.de/formular/meldung-dsb.php
Kurzlink: https://uldsh.de/dsb-meld

Der Nutzen dieser Mitteilungen ist jedoch beschränkt, weil keiner eine vollständige Aktualität der bei der Aufsichtsbehörde abgelegten Daten garantieren kann. Es ist auch nicht mit einer Mitteilung getan, sondern wir bekommen täglich Änderungsmeldungen und Nachfragen zu bisherigen Einträgen. Wir würden die dafür nötigen Ressourcen lieber für andere Aufgaben der DSGVO verwenden. Unserer Ansicht nach würde es ausreichen, wenn die Kontaktdaten der Datenschutzbeauftragten nur veröffentlicht (und nicht zusätzlich uns mitgeteilt) würden.


Was ist zu tun?
Die Datenschutz-Grundverordnung muss mit Bedacht evaluiert werden. Bei allen Änderungen sind Schnellschüsse zu vermeiden.

 

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel