Kernpunkte:
- Datenschutz aus Europa
- Die Dienststelle der Landesbeauftragten für Datenschutz
- Digitalisierung in Schleswig-Holstein
1. Datenschutz und Informationsfreiheit
1.1 Die Zeitenwende – Datenschutz aus Europa
Datenschutz-Grundverordnung. Stichtag 25. Mai 2018. Alles neu? Eigentlich nicht. Das neue Datenschutzrecht weicht gar nicht so sehr von dem vorherigen ab. Wer vorher gut aufgestellt war, hat keinen großen Aufwand, um sich an die neuen Gegebenheiten anzupassen. Warum dann also die Hysterie, ja fast schon Panik? Wahrscheinlich liegt der Grund in der Angst vor hohen Geldbußen, die mit einem signifikant erweiterten Bußgeldrahmen erstmalig in der Geschichte des deutschen Datenschutzes Abschreckungscharakter haben. Art. 83 Abs. 1 DSGVO spricht daher auch davon, dass etwaige Geldbußen „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend“ sein müssen. Man sieht aber an der Formulierung, dass sich diese Ängste relativieren, denn es ist – wie stets – geboten, dass solche Sanktionen verhältnismäßig sind. Es geht also nicht um ein unfaires Abstrafen.
Nun wollen die meisten Verantwortlichen es richtig machen und das Datenschutzrecht einhalten. Vielen ist dies kurz vor dem Wirksamwerden der DSGVO eingefallen, was dazu führte, dass im Unabhängigen Landeszentrum für Datenschutz die Telefone nicht mehr stillstanden, die E-Mail-Flut nicht mehr zu bewältigen war und bei Schulungen oder Präsentationen die Nachfrage auch zu Einzelthemen enorm war. Während wir zuerst in unseren Hinweisen und Vorträgen aufgezeigt haben, wie man sich mit wenig Aufwand von den Regelungen des Bundesdatenschutzgesetzes (BDSG) an die DSGVO anpassen kann, stellte sich immer mehr heraus, dass viele Anfragende sich anscheinend vorher um Datenschutz noch gar nicht gekümmert hatten und gar nicht wussten, dass sie auch vor Mai 2018 viele Datenschutzpflichten hätten einhalten müssen. Datenschutz war sicher kein Geheimthema gewesen, das nur Spezialisten bekannt war. Und doch haben erst die DSGVO und der Presse-Hype dazu geführt, dass das Thema ernst genommen wurde.
Die starke Verunsicherung wurde noch angeheizt mit Gerüchten, dass so ungefähr jede Datenverarbeitung nun verboten sei, mit Fällen von Überreaktionen oder Halbwahrheiten, die auf Titelseiten der Boulevardpresse zelebriert wurden (z. B. die Klingelschildposse „Ding Dong Datenschutz“, Tz. 5.4.6), und von mehr oder weniger fragwürdigen Dienstleistern, die sich kleinen Firmen aufdrängten und ihnen nahelegten, dass man sie anheuern müsse, um Strafen und die prognostizierte Abmahnwelle zu vermeiden.
Im öffentlichen Bereich war es etwas ruhiger, obwohl die schleswig-holsteinischen Verwaltungen nicht schon – wie bei der DSGVO – für eine zwei Jahre lange Übergangszeit auf den veröffentlichten Gesetzestext zurückgreifen konnten, sondern das neue Landesdatenschutzgesetz und viele andere Datenschutzregeln erst kurzfristig in der finalen Version vorlagen und am 27. April 2018 von dem Schleswig-Holsteinischen Landtag beschlossen wurden (Tz. 4.1.1). Die neue Pflicht zur Benennung der behördlichen Datenschutzbeauftragten (Tz. 4.1.2) ergab sich bereits aus der DSGVO und war bekannt, aber die notwendigen Anpassungen in Abläufen und technischer Gestaltung, die Nacharbeiten bei Informationspflichten und die erforderlichen Aktualisierungen von Satzungen sind teilweise immer noch nicht abgeschlossen.
Im Ergebnis ist der gewünschte Effekt der DSGVO, dass EU-weit schnell und flächendeckend ein gutes Datenschutzniveau erreicht wird, noch nicht eingetreten. Ab dem ersten Geltungstag der DSGVO taten einige große außereuropäische Anbieter so, als wäre nun der Datenschutz viel laxer zu handhaben. Gerichtliche Untersagungen gegen eine invasive Datenverarbeitung wurden nicht mehr als bindend angesehen, da das neue Datenschutzrecht die entsprechende Verarbeitung angeblich erlauben würde. Zwar gibt es bei allen Aufsichtsbehörden zahlreiche Beschwerden, die sich gegen solche Datenverarbeitungen richten, aber die Aufklärung und Bewertung der Sachverhalte ist nicht leicht bei weiterhin stark beschränkten Ressourcen der Aufsichtsbehörden und vielfach vorhandenen Defiziten in Transparenz und Kooperation dieser Datenverarbeitungskonzerne bei gleichzeitig sich ständig ändernden Diensten und Produkten.
Auch waren anscheinend viele Bürgerinnen und Bürger enttäuscht, weil nicht gleich die erwarteten großen Bußgelder verhängt wurden. Dies ist natürlich kein Wunder: Die Datenschutzaufsichtsbehörden sind nicht als schnelle Eingreiftruppe aufgebaut, sondern bearbeiten sukzessive und rechtskonform die eintreffenden Beschwerden, wie es das nationale Verwaltungsverfahrensrecht der einzelnen Staaten vorsieht. Dazu gehören bei mutmaßlichen Verstößen eine sorgfältige Aufklärung der Sachverhalte und Anhörungsverfahren zu den aufsichtsbehördlichen Bewertungen der Aufsicht, bevor Entscheidungen über etwaige Sanktionen getroffen werden.
Diejenigen, die es richtig machen wollten, waren auch nicht glücklich, weil sie feststellten, dass Hersteller von Produkten und Anbieter von Dienstleistungen ihnen oft keine Hilfe waren und es damit schwierig war, die eigene Rechenschaftspflicht zu erfüllen. Es wäre gut gewesen, wenn von Anfang an Beipackzettel von Produkten oder Informationsblätter und Verträge von Anbietern mit der nötigen Transparenz und den geeigneten Garantien für eine rechtskonforme Verarbeitung hätten aufwarten können. Stattdessen ist dieser Zustand noch immer nicht im grünen Bereich, denn Verantwortliche müssen weiterhin den Informationen hinterherlaufen, wenn sie ihre Verarbeitungstätigkeiten dokumentieren und die Risiken abschätzen. Eingebauter Datenschutz ist Mangelware, Voreinstellungen sind oft nicht datenschutzfreundlich (Tz. 2.3.2).
Die DSGVO verlässt sich an dieser Stelle darauf, dass der Markt diesen Anforderungen irgendwie nachkommen wird, denn Hersteller sind nicht unmittelbar verpflichtet, ihre Produkte auf einen datenschutzkonformen Einsatz auszurichten, wenn sie selbst keine personenbezogenen Daten verarbeiten und weder Verantwortlicher noch Auftragsverarbeiter sind. Selbst wenn auf lange Sicht die Nachfrage der Anwender zu einem Angebot führt, mit dem Datenschutzkonformität üblich und nicht die Ausnahme ist, bleibt der heutige Zustand unbefriedigend. Solange nur die Verantwortlichen und die Auftragsverarbeiter von der DSGVO verpflichtet sind und sich nicht darauf verlassen können, dass die Produkte auf dem europäischen Markt DSGVO-konform sind, fehlt ein großes Puzzleteil für einen effektiven Datenschutz.
Hilfen gab es für einige Bereiche von Branchenverbänden, von Kammern und von Berufsverbänden, da dort die jeweils typischen Verarbeitungstätigkeiten, Abläufe und oft auch die eingesetzte Informationstechnik bekannt sind und daher Musterlösungen übernommen oder angepasst werden können.
Auch die Aufsichtsbehörden haben schon vor Geltung der DSGVO mit einem über die Zeit erweiterten Portfolio an bundesweit abgestimmten Kurzpapieren und mit europäischen Leitlinien zu wichtigen Themen, an denen sich das ULD beteiligt hat, die Anwender unterstützt.
Abbildung: Illustrierter Datenschutz-Steckbrief
In Schleswig-Holstein haben wir außerdem die neue Praxis-Reihe „Datenschutzbestimmungen praktisch umsetzen“ eingeführt, stellen Vorlagen für die Dokumentation mit Ausfüllanleitungen zur Verfügung und zeigen anschaulich, wie man die Informationspflichten erfüllen kann (Datenschutz-Steckbrief, Tz. 6.1.4).
Hilfen gibt es hier:
https://www.datenschutzzentrum.de/dsgvo/
Datenschutz darf sich nicht zu einer Spezialwissenschaft im Elfenbeinturm des akademischen Diskurses entwickeln, sondern muss mindestens für typische Verfahren ohne großen Aufwand rechtssicher realisierbar sein und in die Praxis gebracht werden. Dafür müssen allerdings viele Standardanwendungen geändert werden, die bisher Datenschutzanforderungen ignoriert haben – es liegt also noch viel Arbeit vor uns.
Was ist zu tun?
Der Schlüssel liegt in der Gestaltung: Wenn gute Musterlösungen mit eingebautem Datenschutz bekannt sind, muss kein Anwender für sich allein das Rad neu erfinden.
1.2 Die Dienststelle der Landesbeauftragten für Datenschutz
Im letzten Bericht im Jahr 2017 konnten wir einen kleinen Stellenzuwachs vor allem für den Bereich der Prüfungen vermelden (36. TB, Tz. 1.4). Dazu gehören auch die gesetzlichen Pflichtprüfungen der Verarbeitung von personenbezogenen Daten durch die Polizei und die Verfassungsschutzbehörde (Tz. 4.2.1). Was keiner vorab verlässlich prognostizieren konnte, war das Mehr an Arbeitslast durch die europäische Datenschutzreform. Zur Vorbereitung waren dem ULD zwei bis Ende 2019 befristete Stellen gewährt worden. Damit standen dem ULD im Berichtszeitraum 32 Stellen zur Verfügung, um die vielfältigen Aufgaben des Datenschutzes und der Informationsfreiheit zu erledigen. Allein die Datenschutz-Grundverordnung listet 22 Aufgaben auf (Art. 57 Abs. 1 DSGVO) – von „a) Anwendung der Verordnung überwachen und durchsetzen“ bis „v) jede sonstige Aufgabe im Zusammenhang mit dem Schutz personenbezogener Daten erfüllen“. Das Landesdatenschutzgesetz ergänzt das Aufgabenspektrum noch (§ 62 LDSG-neu).
Den Schwerpunkt legt die DSGVO auf die Funktion der Aufsicht, nicht auf die Beratung. Der Begriff „Beratung“ kommt in Artikel 57 DSGVO nur bei den kritischen Fällen der vorherigen Konsultation nach Artikel 36 DSGVO vor – wenn sich vor einer Einführung einer Verarbeitung in der vom Verantwortlichen durchgeführten Datenschutz-Folgenabschätzung herausstellt, dass das Risiko für die Rechte und Freiheiten natürlicher Personen zu groß ist. Außerdem „beraten und unterstützen [die Aufsichtsbehörden] die Datenschutzbeauftragten mit Rücksicht auf deren typische Bedürfnisse“ (§ 40 Abs. 6 BDSG-neu).
Die Datenschutzbehörde ist also nicht nur „Bußgeldstelle“, sondern hat beispielsweise die Verpflichtung, die Verantwortlichen, die Auftragsverarbeiter und die Öffentlichkeit zu sensibilisieren (u. a. für Medienkompetenz, Tz. 13.1). Im Berichtszeitraum hat das ULD durch zahlreiche Vorträge und Schulungen Datenschutzbeauftragte ebenso wie Verantwortliche in Unternehmen und in der Verwaltung über Datenschutzrechte, Datenschutzpflichten und technisch-organisatorische Lösungsmöglichkeiten informiert (Tz. 13.1). Ein Schwerpunkt lag im Jahr 2018 auf Vorträgen bei kleinen und mittleren Unternehmen (KMU), die besonders viel Nachfragebedarf hatten, was die Umsetzung der DSGVO angeht. Mehr als 1.000 Personen konnten so einen der Vorträge hören und bei Bedarf auch Einzelfragen mit den Vortragenden klären. Die Veranstaltungen fanden mit verschiedenen Kooperationspartnern statt, z. B. Industrie- und Handelskammern, Handwerkskammern, Kammern im ärztlichen Bereich oder Arbeitgeberverbänden.
Während die große Nachfrage erst im Jahr 2018 einsetzte, fanden die ersten Veranstaltungen zur DSGVO mit zeitlichem Vorlauf statt. So haben wir eine Übersicht über die wichtigsten Schritte für Unternehmen im November 2017 bereitgestellt:
https://datenschutzzentrum.de/artikel/1178-.html
Ein zusätzlicher Druck bei unserer Arbeit entsteht dadurch, dass in der täglichen Arbeit oft kurze Fristen eingehalten werden müssen. Nicht ganz so kurz, aber dennoch bei einem großen Aufkommen von Anfragen herausfordernd, sind die meisten gesetzlich vorgegebenen Fristen wie die 8-Wochen-Frist bei einer vorherigen Konsultation nach Artikel 36 DSGVO, bei der es in der Regel eher um besonders komplexe Sachverhalte geht. Eine engere Zeittaktung wird durch den Föderalismus auf EU-Ebene im Konzert mit allen europäischen Mitgliedstaaten verursacht, wofür die deutsche Auffassung zu den Fragen im Vorfeld gebildet werden muss – im Endeffekt ein doppelter Föderalismus, der den Landesdatenschutzbeauftragten eine doppelte Bearbeitungsgeschwindigkeit abverlangt. Ein Teil der Arbeit muss auf Englisch erfolgen; hilfreich sind daneben weitere Sprachkenntnisse, um Missverständnisse in der Interpretation von grenzüberschreitenden Fällen möglichst schnell ausräumen zu können.
Der europäische Rechtsrahmen soll den Vorteil bieten, dass die Rechtssicherheit für alle Verantwortlichen verbessert wird und datenschutzkonforme Produkte, Anwendungen und Dienste im Binnenmarkt problemlos einsetzbar sind. Die Aufsichtsbehörden müssen auf der einen Seite unabhängig sein, auf der anderen Seite sollen sie im Sinne der Rechtssicherheit mit einer Stimme sprechen. Dies muss kein unauflösbarer Widerspruch sein, bedeutet aber gerade in der Anfangszeit der DSGVO, dass national oder regional bisher akzeptierte Praktiken noch einmal auf den Prüfstand der DSGVO-Konformität kommen müssen, um dasselbe (gute) Datenschutzniveau in allen Mitgliedstaaten zu verlangen. Hier ist schnelles und gleichzeitig sorgfältiges Arbeiten vonnöten, um abgestimmte, nachhaltige und europarechtskonforme Bewertungen abzugeben.
Unterschiede gibt es allerdings doch: Zum einen ist das nationale Verwaltungsverfahrensrecht einzuhalten, zum anderen schaffen die national oder länderspezifisch genutzten Öffnungsklauseln der DSGVO ein Potenzial für abweichende Behandlungen ähnlicher Fälle. Von einer Vollharmonisierung kann daher in vielen Details noch keine Rede sein. Allerdings muss dies nicht zu Problemen führen, weil eben doch die Grundwerte in Europa und die Datenschutzgrundsätze in Artikel 5 DSGVO einheitlich sind.
Gute Lösungen für alle Konstellationen sind also in der Regel möglich, das ist unsere Überzeugung. Dies bedingt, dass insbesondere die Fachdisziplinen Jura und Technik zusammenwirken. Praxistaugliche Ausarbeitungen von Empfehlungen und nachhaltige Bewertungen von Sachverhalten erfordern zumeist Teamarbeit, so die Erfahrungen unserer Dienststelle. Dasselbe gilt für die Verpflichtung „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ (Artikel 25 DSGVO).
Abbildung: Kriterien in Art. 25 Abs. 1 DSGVO
Die Unabhängigkeit der Dienststelle wirkt sich auch darauf aus, dass sich das ULD informationstechnisch selbstständig verwaltet. Bei dem eigenen Betrieb der IT können wir Erfahrungen gewinnen, die andere Verantwortliche ebenfalls haben. Wir werden mit denselben Problemen konfrontiert, wir wissen um den Aufwand im täglichen Betrieb, bei der Einführung neuer Verfahren und beim Umgang mit unvorhergesehenen Ereignissen. Mit diesem Praxisbezug versuchen wir, unsere Lösungen weiter zu verbessern.
Mit Geltung der DSGVO haben wir auf unserer Webseite rechtzeitig Online-Formulare für eingehende Beschwerden betroffener Personen und zur Meldung von Datenschutzbeauftragten sowie Vorlagen zur Meldung von Datenpannen bereitgestellt.
Nicht vorhergesehen hatten wir, dass neben den etwa 4.000 Online-Meldungen mit den Namen der benannten Datenschutzbeauftragten auch etwa noch einmal 4.000 Faxe, Papierschreiben und E-Mail-Nachrichten mit der Bekanntgabe der Datenschutzbeauftragten eintrafen.
Unser Online-Beschwerdeformular wird im Durchschnitt mehrmals täglich genutzt. Weiterhin gehen Beschwerden auch in anderer Form, z. B. schriftlich oder per E-Mail, ein. Vom 25. Mai 2018 bis zum 31. Dezember 2018 wurden aufgrund der Beschwerden betroffener Personen etwa 500 Verfahren eingeleitet, weitere Fälle wurden aufgrund der fehlenden Zuständigkeit an andere Aufsichtsbehörden weitergegeben.
Bis Ende 2018 gingen 210 Meldungen von Datenpannen nach Artikel 33 DSGVO ein, der größte Teil aus dem nichtöffentlichen Bereich (für Einzelfälle siehe Tz. 5.6). Vor Geltung der DSGVO bestand auch schon eine Meldepflicht nach § 42a BDSG-alt und § 27a LDSG-alt für Vorfälle, in denen sensible Daten betroffen waren. Jedoch war die Anzahl der pro Jahr gemeldeten Fälle im unteren zweistelligen Bereich angesiedelt.
Bis Ende 2018 hatte die Landesbeauftragte für Datenschutz noch kein Bußgeld verhängt, jedoch verschiedentlich von den Mitteln der Verwarnung (für die Vergangenheit) und der Warnung (für die Zukunft) Gebrauch gemacht. Die meisten Verfahren nach der DSGVO, die im Berichtszeitraum eingeleitet worden waren, konnten allerdings bis Ende 2018 noch nicht beendet werden.
Auch fehlt es noch an einer Rechtsdurchsetzungsstelle. Das koordinierte und professionelle Vorgehen bei Sanktionen und Anordnungen gehört zu den wichtigsten Komponenten der Datenschutzreform, wie es auch im Gutachten des Rechtswissenschaftlers Prof. Dr. Alexander Roßnagel schon im Jahr 2017 mit einer optimalen Ausstattung von drei bis vier Personen beschrieben wurde:
https://datenschutzzentrum.de/artikel/1136-1.html
Dem ULD wurden ab 2019 insgesamt vier neue Stellen bewilligt: zwei Sachbearbeitungsstellen im primär juristischen Bereich, eine Technikstelle für Digitalisierung und eine Stelle für die Rechtsdurchsetzung, die jedoch noch mit einem Sperrvermerk versehen ist, d. h. zurzeit nicht besetzt werden darf, bis der Sperrvermerk vom Finanzausschuss aufgehoben wird. So kann sich die Dienststelle zunächst um drei Personen verstärken, die uns darin unterstützen werden, die zusätzlichen Anforderungen durch die europäische Datenschutzreform und die fortschreitende Digitalisierung zu erfüllen.
Was ist zu tun?
Datenschutz ist kein Randthema mehr, sondern wird verstärkt nachgefragt, sowohl von Anwendern als auch von betroffenen Personen. Die Digitalisierung in allen Lebensbereichen sorgt dafür, dass der Aufwand in der nächsten Zeit voraussichtlich wachsen wird, damit teure und risikoreiche Fehlentwicklungen vermieden werden. Die Dienststelle der Landesbeauftragten für Datenschutz muss ausreichend ausgestattet werden, um die gesetzlichen Aufgaben erfüllen zu können.
1.3 Digitalisierung in Schleswig-Holstein
Auch an Schleswig-Holstein geht die Digitalisierung nicht spurlos vorbei – im Gegenteil! Mit dem Digitalisierungsprogramm Schleswig-Holstein hat unser Bundesland einen klaren Kurs vorgelegt, um den neuen Herausforderungen nicht nur gewachsen zu sein, sondern durch aktive Gestaltung selbstbestimmt für den Weg in die Zukunft die Anker zu lichten. Dass Datenschutz und Informationsfreiheit tragende Säulen dieser Erneuerung sind, findet – wenig verwunderlich – natürlich die Zustimmung der Landesbeauftragten für Datenschutz Schleswig-Holstein und ihrer Dienststelle. Nun gilt es, den Weg von den ambitionierten Strategiepapieren in die Praxis zu bereiten, damit Digitalisierung aktiv zum Vorteil der Menschen und der Gesellschaft gestaltet wird.
Die Erfahrungen der Vergangenheit zeigen allerdings, dass solch ein Ansinnen kein Selbstgänger ist, sondern neben umfassendem und fundiertem Sachverstand insbesondere die Bereitschaft erfordert, sich neuen Lösungsansätzen zuzuwenden. Denn machen wir uns nichts vor – die heute verbreitete Informationstechnik erfüllt bei Weitem nicht die Mindestanforderungen an Datenschutz und Datensicherheit, stellt damit alles andere als ein verlässliches Fundament für darauf aufbauende Anwendungen und Verfahren dar. Kaum ein Tag im Berichtszeitraum verging, ohne dass neue Vorfälle zu datengierigen Anbietern, versteckten Datenabflüssen, versehentlichen Datenpannen, ja selbst zu Fehlern bei den absoluten Grundlagen, dem kleinen Einmaleins der Informationssicherheit, zutage traten.
Aus dem Digitalisierungsprogramm Schleswig-Holstein
„Der Datenschutz dient dem Schutz der Menschenwürde und ist wesentliche Bedingung für eine freiheitliche Demokratie in einer digitalen Welt.
Schleswig-Holstein soll auch diesbezüglich zu einem Vorzeigeland werden. Hohe Standards im Datenschutz haben für uns zentrale Bedeutung. Wir wollen unseren Datenschutz zu einem internationalen Wettbewerbsvorteil entwickeln und den Nachweis erbringen, dass ein hohes Datenschutzniveau kein Hindernis im Wettbewerb, sondern vielmehr ein Marktvorteil ist. Guter Datenschutz schafft Vertrauen bei den Bürgerinnen und Bürgern, nicht nur in die Angebote der Wirtschaft, sondern auch in die Datenverarbeitung durch staatliche Stellen, und gewährleistet somit eine nachhaltige Fortentwicklung digitaler Angebote und Dienstleistungen.“
Diese Sicherheitsmängel in der Informationstechnik legen nahe, dass „quick & dirty“, schnell und fehlerhaft, als Prinzip bei der Entwicklung noch viel zu oft die erforderliche Sorgfalt in den Hintergrund drängt. Noch ist es wichtiger, schnell am Markt zu sein, als eine gute Qualität abzuliefern. Bei der Problemanalyse wird häufig deutlich, dass eine datenschutzkonforme Realisierung, ein Einhalten der gesetzlichen Vorgaben anscheinend nie geplant war. Vielmehr werden absichtlich, übermäßig und oft auch heimlich Daten gesammelt, ausgewertet und sogar an Dritte durchgereicht, mit denen die Nutzenden nie etwas zu tun hatten (Tz. 2.3.2). Diese Ignoranz rechtlicher Vorgaben wird mittelfristig mehr als nur die informationelle Selbstbestimmung der Nutzenden gefährden.
Schleswig-Holstein steht den Herausforderungen der Digitalisierung zum Glück nicht allein gegenüber. Die anderen Bundesländer sehen sich genauso mit den gleichen Problemstellungen konfrontiert. Vielerorts arbeiten kluge Köpfe bereits an Konzepten und Realisierungen, um den Risiken zu begegnen. Mit den anderen Mitgliedern der Europäischen Union verbindet uns dabei ein gemeinsamer Rechtsrahmen und Wertekanon, zu dem eben auch Datenschutz und Transparenz gehören.
Leuchtturmprojekte in den verschiedenen Regionen können nun zeigen, welchen Nutzen sie bringen, wie sie dabei Grundwerte und Menschenrechte bewahren und schützen. Von den gewonnenen Erkenntnissen und Erfahrungen können dann alle profitieren und die gefundenen Lösungen übernehmen – gegebenenfalls mit Anpassungen an lokale Bedürfnisse. Ein kleines Beispiel hierfür ist unser Vorschlag in Tz. 4.3.4, die Tauglichkeit einer Entwicklung des Landes Berlin, die mehr Transparenz bei Funkzellenabfragen bietet, für Schleswig-Holstein zu prüfen.
§ 17 Abs. 4 LDSG-neu
Die oder der Landesbeauftragte ist über Planungen des Landes zum Aufbau oder zur wesentlichen Änderung von Systemen zur automatisierten Verarbeitung personenbezogener Daten rechtzeitig zu unterrichten.
Neue Projekte allein reichen aber nicht aus, um die schon viel zu lange mitgeschleppten Defizite im technischen Unterbau der Informationsgesellschaft zu beseitigen. Abhängigkeiten von Quasi-Monopolisten und proprietären Lösungen prägen hier immer noch das Bild. Es ist schon skandalös, wenn per Unternehmensentscheidung beispielsweise Betriebssysteme oder Textverarbeitungen standardmäßig einen Teil ihrer Verarbeitung in die Cloud verschieben und man kaum einen ungewollten Abfluss von Daten an Anbieter unterbinden kann. Darf Verwaltung, will Wirtschaft solche Systeme einsetzen, in denen außereuropäische Anbieter zwangsweise Daten über die Nutzung sammeln und einen fremden Zugriff nicht ausschließen können? Souveränität bei der Datenverarbeitung ist nicht nur für die Bürgerinnen und Bürger, sondern auch für Verwaltung und Wirtschaft unbestreitbar wichtig. Dies gilt ganz deutlich auch bei Messenger-Diensten oder sozialen Medien, die übergriffig Daten sammeln und auswerten. Manchmal ist dies in den Nutzungsbedingungen immerhin angedeutet, aber manchmal noch nicht einmal das.
Müssen wir die Selbstbestimmung aufgeben? Sind wir als Nutzende, als Verwaltung, als Wirtschaft diesen Angriffen ausgeliefert?
Nö.
Die Datenschutz-Grundverordnung gilt für den gesamten europäischen Markt, selbst für Anbieter ohne Sitz in der Europäischen Union, wenn sie dort ihre Waren oder Services anbieten oder das Verhalten von Personen in der EU beobachten (Art. 3 Abs. 2 DSGVO). Wieder sind die Bedürfnisse in Europa ähnlich, sodass Verwaltung und Wirtschaft mit einem Schulterschluss gegenüber Anbietern auftreten können, um ihre Bedingungen – und dazu gehört selbstverständlich auch die Konformität mit dem Datenschutzrecht – einzufordern und geeignete Lösungen zu erwirken. Die Datenschützer werden ihren Sachverstand dazu gern beitragen, werden aber oft erst dann einbezogen, wenn das Kind längst in den Brunnen gefallen ist.
Dies ginge auch plietscher: Insbesondere öffentliche Anwender, aber auch die Wirtschaft wäre gut beraten (und würde damit eigene Haftungsrisiken minimieren), vor der Beschaffung und dem Einsatz von Produkten Garantien von Herstellern und Anbietern einzufordern. Klar, für jede einzelne Anfrage wäre dies kaum aussichtsreich. Aber ein koordiniertes, gemeinsames Vorgehen der Anwender in einem Bundesland, bundeslandübergreifend oder gemeinsam mit ganz Europa ermöglicht Verhandlungen auf Augenhöhe.
Platt – Hochdeutsch
aver | aber |
denn man tau | frisch ans Werk |
nö | nein |
plietsch | pfiffig, aufgeweckt, schlau |
van sülvst | von selbst |
versteiht sik | versteht sich |
Parallel können eben diese Koalitionen genutzt werden, um unzureichenden Produkten und Diensten, die mit hoher Abhängigkeit von einzelnen Anbietern einhergehen, gute Eigenentwicklungen entgegenzustellen. Der Schleswig-Holsteinische Landtag hat dies sehr gut erkannt und mit seinem Beschluss vom 14. Juni 2018 festgelegt, dass künftig die Nutzung quelltextoffener Software („Open Source“) eine besondere Rolle spielen soll. Bei solcher Software wird der Programmcode nicht verheimlicht und ist daher überprüfbar. Der Landtag hat das Ziel vorgegeben, „möglichst viele Verfahren bei wesentlichen Änderungen oder der Neuvergabe auf Open-Source-Software umzustellen“.
Das ist ein wichtiger erster Schritt, um die Kontrolle über die Datenverarbeitung im Land abzusichern, der auch unserem Rat im letzten Bericht (36. TB, Tz 2.3) folgt und von uns sehr begrüßt wird. Nun muss es konsequent weitergehen: Nicht nur die Software von Fachverfahren, Office-Anwendungen, Betriebssystemen oder Lernumgebungen an Schulen muss besser kontrollierbar und überprüfbar sein, sondern auch Hardware und Dienstleistungen müssen transparenter werden.
Dasselbe gilt bei der Standardisierung, insbesondere wenn es darum geht, sensible Vorgänge im Alltagsleben der Menschen abzusichern. Beispielsweise dürfen Verschlüsselungsverfahren (Tz. 10.1) keine Hintertüren enthalten oder künstlich abgeschwächt werden. Die Eigenschaft „Open Source“ allein garantiert natürlich noch keine Sicherheit, ist dafür aber eine wichtige Voraussetzung. Sicherzustellen ist weiter, dass die Verfahren vor dem Einsatz auch tatsächlich unabhängig geprüft werden. Insbesondere wenn komplexe Algorithmen und künstliche Intelligenz zum Einsatz kommen, sind Prüfverfahren unabdingbar, die die Beherrschbarkeit einer solchen Verarbeitung gewährleisten (Tz. 2.2.3).
Schleswig-Holstein schlägt einen sehr guten Weg ein, um das Potenzial der Digitalisierung verantwortungsvoll und zukunftssicher zu nutzen, wenn diese Aspekte bei der Ausgestaltung und Überprüfung der Systeme von vornherein beachtet werden.
Denn man tau!
Das ULD bietet weiterhin seine Expertise für die strategischen Digitalisierungsprojekte des Landes zu Fragen des Datenschutzes und der Informationsfreiheit an. Alle Entwicklungen sollten die rechtlichen Anforderungen ab Beginn der Planung und Konzeption berücksichtigen und in die Lösungen einbauen. Wo immer möglich, sollten dabei Synergien genutzt werden. Aver dat versteiht sik van sülvst.
Zum Inhaltsverzeichnis | Zum nächsten Kapitel |