Falk Peters, Heinrich Kersten et al. (Hrsg.): Innovativer Datenschutz
Rezensiert von Dipl.-Soz.Päd. Thomas Molck, 07.05.2013
Falk Peters, Heinrich Kersten, Klaus-Dieter Wolfenstetter (Hrsg.): Innovativer Datenschutz. Duncker & Humblot GmbH (Berlin) 2012. 335 Seiten. ISBN 978-3-428-13860-9. D: 38,00 EUR, A: 39,10 EUR.
Thema
Der Sammelband enthält Beträge zu aktuelle Aspekten der politischen, juristischen und technischen Entwicklung des Datenschutzes in Deutschland. Es handelt sich dabei weniger um Anleitungen zum praktischen Umgang mit dem Datenschutz in den thematisierten Bereichen der Verarbeitung personenbezogener Daten, sondern um Hinweise, wie sich der Umgang mit dem Datenschutz in diesen Bereichen zukünftig politisch (etwas durch eine entsprechende Gesetzgebung) aber auch juristisch und technisch-organisatorisch (also in der Datenschutz-Praxis) verändern kann bzw. soll.
Autoren
Die Autoren der einzelnen Beiträge haben einen sehr unterschiedlichen Hintergrund (im Einzelnen siehe unter Inhalt). Sie kommen sowohl aus Unternehmen, für die der Umgang mit personenbezogenen Daten auch Teil ihres Geschäftsmodells ist, sowie aus Unternehmensberatungen und Anwaltskanzleien, als auch aus Datenschutzbehörden, Ministerien und Hochschulen. Es ist durchaus sinnvoll, die Beiträge auch vor dem Hintergrund der Herkunft des jeweiligen Autors zu lesen.
Aufbau und Inhalt
Martin Rost vom Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein stellt in seinem Beitrag „Faire, beherrschbare und sichere Verfahren“ die Schutzziele ins Zentrum, die mit Schutzmaßnahmen eine Wirkung entfalten sollen, „die Personen vor latent unfairen Organisationen schützen sollen“ (S. 23). Die sechs elementaren Schutzziele des Datenschutzes sind für ihn die Integrität, Verfügbarkeit, Vertraulichkeit, Transparenz, Nichtverkettbarkeit und Intervenierbarkeit womit sowohl klassische Schutzziele des Datenschutzes sowie der Informationssicherheit also auch neue Schutzziele benannt werden, die auch in Widerspruch zueinander treten können. Dazu kommt, dass Ausgangspunkt des Datenschutzes die Person ist, deren Daten gegenüber der Organisation zu schützen sind, während Ausgangspunkt der Informationssicherheit die Organisation ist, deren Daten gegen Personen (z.B. potentielle Angreifer) zu schützen sind. Letztendlich müssen für Rost im Einzelfall jeweils die Schutzziele normativ gegeneinander abgewägt werden.
Dr. Frank Braun von der Hochschule für öffentliche Verwaltung des Landes NRW erörtert den „Arbeitnehmerdatenschutz im Unternehmen“ im Spannungsfeld der legitimen und notwendigen Informationsansprüche des Arbeitgebers und dem Schutz der Persönlichkeitsrechte des Arbeitnehmers. Zum Ausgleich dieser Interessenlage gibt es bislang nur eine unzureichende gesetzliche Grundlage. In der Praxis müssen Fragen des Datenschutzes daher in der Regel auf der Grundlage der Rechtsprechung beurteilt werden, was Braun an den Beispielen des Mitarbeiterscreenings (z.B. durch Videoüberwachung oder personenbezogenen Datenabgleich) und der E-Mail-Überwachung sehr anschaulich beschreibt. Grundsätzlich erfordern die „generalklauselartigen Erlaubnistatbestände in §§ 28, 32 BDSG“ (S. 60) Verhältnismäßigkeitsprüfungen und Interessenabwägungen, deren Ergebnis im Einzelfall nicht sicher vorhergesagt werden kann. Daher gibt es hier nach Braun keine Rechtssicherheit. Grundsätzlich wird sich nach der Einschätzung Brauns daran auch mit dem geplanten neuen Beschäftigtendatenschutzgesetz nicht viel ändern. Er gibt einige Anregungen zur Weiterentwicklung.
„Informationelle Selbstbestimmung mit dem elektronischen Identitätsnachweis“ ist das Thema von Jan Möller aus dem Bundesinnenministerium, der entsprechende „technische, organisatorische und rechtliche Merkmale der Online-Ausweisfunktion des neuen Personalausweises“ (S. 78) beschreibt. Schlüssig stellt Möller dar, wie mit den Regelungen für den neuen Personalausweis versucht wurde, Schutzziele wie z.B. die Vertraulichkeit der übertragenen Daten, die Transparenz der Nutzung und die Datensparsamkeit sowie die Sicherstellung einer bewussten Einwilligung der Nutzenden im Sinne von privacy by design umzusetzen und dabei bewusst für die informationelle Selbstbestimmung gewisse Einbußen in der Usability in Kauf zu nehmen.
Wolfgang Naujokat, nach verschiedenen Führungspositionen bei Siemens und Siemens Nixdorf heute selbstständiger Unternehmensberater, postuliert in seinem Beitrag: „Nachhaltiges GeoBusiness nur mit Datenschutz“. Dabei betont er vor allem das Wirtschaftspotential der Bereitstellung von öffentlichen Geoinformationen und beschreibt in Bezug auf den Datenschutz bei Geoinformationen mit Personenbezug Lösungsansätze der Kommission für Geoinformationswirtschaft des Bundeswirtschaftsministeriums.
„Privacy by Design und Privacy by Default – Wege zu einem funktionierenden Datenschutz in Sozialen Netzwerken“ ist das Thema von Dr. Fabian Niemann, Partner der Anwaltssozietät Bird & Bird und Philip Scholz vom Berliner Datenschutzbeauftragen zur Zeit abgeordnet an das Bundesjustizministerium. Soziale Netzwerke bieten völlig neue Möglichkeiten des öffentlichen Umgangs mit den eigenen und fremden personenbezogenen Daten die auch umfassend genutzt werden. Die klassischen Regelungsinstrumente werden dem Datenschutz dabei nicht mehr gerecht. Nach Scholz bietet das Konzept privacy by design, d.h. Datenschutz bereits technisch in der Anwendung zu verankern z.B. durch datenschutzfreundliche Standardeinstellungen (privacy by default), neue Möglichkeiten für den Datenschutz in Sozialen Netzwerken. Ergänzend erörtern Scholz und Niemann weitere Fragen des Datenschutzes in Sozialen Netzwerken wie die Pseudonymisierung, Erfassung von IP-Adressen, Profilbildung, Nutzung von Mailadressen, Fotos und Social Plugins auf anderen Webseiten.
Dr. Falk Peters, Rechtsanwalt und Lehrbeauftragter für Rechsinformatik, erläutert „Datenschutz-Engineering am Beispiel der De-Mail“. Er kritisiert die Festlegung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) als Aufsichtsbehörde für DE-Mail. Immerhin ist nach dem BSI-Gesetz auch die Unterstützung von Polizei und Geheimdiensten Aufgabe des BSI. Peters erörtert die rechtlichen Voraussetzungen und formuliert auf dieser Grundlage ein technisch-organisatorisches Modell, das eine wirklich vertrauliche und durch Signaturen authentische Kommunikation sichert.
Für den „Datenschutz in multi-zellularen Systemen“ entwickelt Dr. Michael Schiffers, wissenschaftlicher Mitarbeiter am Institut für Informatik der Universität München, in seinem Beitrag ein informationstechnisches Modell des integrierten Datenschutzmanagements. Ziel ist dabei, die datenschutzkonforme Nutzung von geschützten personenbezogenen Daten in komplex vernetzten IT-Systemen wie Grids und Clouds oder auch soziale Netzwerken, technisch sicherzustellen.
Der „Datenschutz in Connected Homes“ ist für Frank Wagner, der an der datenschutzkonformen Produktentwicklung bei der Telekom arbeitet, im Sinne von privacy by design bereits bei der Entwicklung von Angeboten zur vernetzen Mediennutzung, Steuerung von Haushaltsgeräten, Sicherheits- und Messfunktionen angemessen zu berücksichtigen. Die verschiedenen Bereiche der Vernetzung des Haushalts werden erläutert und in Bezug auf die dabei verarbeiteten personenbezogenen Daten bewertet.
Teil der „Connected Homes“ ist der vernetzte Zugriff auf personenbezogene Daten in Bezug auf die Energieversorgung die durch neue intelligente Messgeräte (Smart Meter) erhoben werden. Den „Datenschutz im Internet der Energie“ betrachtet Dr. Alexander Duisberg, Partner der Anwaltsozietät Bird & Bird, in seinem Beitrag. Dabei plädiert er für eine datenschutzrechtliche Öffnung der Nutzung solcher Daten auch ohne Einwilligung für den Zweck einer besseren Versorgung der Allgemeinheit entsprechend dem Energiewirtschaftsgesetz, wozu diese Daten verschiedenen Beteiligten im Energiemarkt verfügbar sein müssten. Um dabei nicht unverhältnismäßig in die Privatsphäre des Einzelnen einzugreifen, schlägt Duisberg eine Pseudonyminiserung vor.
Dr. Jan Dirk Roggenkamp, Professor für Öffentliches Recht und Datenschutzrecht an der Polizeiakademie Niedersachsen und davor Rechtsanwalt und Referent im Bundesjustizministerium, formuliert in seinem Beitrag „Verfassungs- und Datenschutzrechtliche Anforderungen an die technische Gestaltung von sogenannten Staatstrojanern“. Er beschreibt die Vorgehensweise bei der sogenannten Quellen-Telekommunkationsüberwachung durch behördlich eingesetzte Schadsoftware (Trojaner) auf dem Computer des Betroffenen und skizziert die, vor allem auch durch das Bundesverfassungsgericht festgelegten, rechtlichen Voraussetzungen in Bezug auf diese Einschränkung der Grundrechte der informationellen Selbstbestimmung und der Gewährleistung der Integrität und Vertraulichkeit informationstechnischer Systeme. Er formuliert technische Vorgaben, die erfüllt sein müssten um dem zu genügen. Zurzeit gibt es keine Software, die diese Vorgaben erfüllt, das BKA will diese in einem eigenen Kompetenzzentrum entwickeln. Erst wenn es eine solche Software gibt sieht Roggenkamp auch eine Grundlage, eine entsprechende gesetzliche Norm zu schaffen.
„Computational Law und Datenschutz“ ist das Thema von Siegfried Knöpfler, Mathematiker in der IT-Firma Collogia AG. Er beschreibt die exemplarische Umsetzung eines Ausschnitts aus dem Bundesdatenschutzgesetz (BDSG) in einer Ontologie, sowohl grafisch als auch in einer Umsetzung in der logischen Programmiersprache PROLOG (auch verfügbar auf einer Webseite: www.collogia.de/it-services/computational-law.html). Die Umsetzung in PROLOG bietet erste Ansätze zu einer automatisierten Beantwortung datenschutzrechtlicher Fragen wie z.B. „Mit welcher Maßnahme kommen nur berechtigte Personen an Daten?“ (S. 312) oder „Wie sind die Begriffe Stelle und Gesundheit im BDSG verknüpft?“ (S. 313).
Diskussion
Der Herausgeber Dr. Falk Peters schreibt im Editorial, in dem Band gehe es „nicht, jedenfalls nicht in der Hauptsache, um die Diskussion juristischer Standpunkte zum Datenschutz.“ Vielmehr werde „deutlich gemacht und gezeigt, welche Vorteile technischer Datenschutz hat und warum es höchste Zeit dafür ist.“ (S. 12)
In der Tat zieht sich das Thema privacy by design durch eine Reihe von Beiträgen und es ist durchaus ein Verdienst dieser Autoren, hier innovative Möglichkeiten aufzuwerfen, Datenschutz vermehrt bereits technisch in den Verfahren zu verankern, in denen die zu schützenden personenbezogenen und personenbeziehbaren Daten verarbeitet werden.
Gleichwohl formulieren eine Reihe von Autoren durchaus auch deutliche juristische Standpunkte. Manuel Höferlin (MdB) hebt in seinem Geleitwort hervor, dass das Buch „auch das Problem des Interessenausgleiches zwischen dem Recht auf informationelle Selbstbestimmung und den wissenschaftlichen, technischen und wirtschaftlichen Innovationsinteressen angeht.“ (S. 5). Insgesamt bewegen sich die einzelnen Beiträge des Bandes – teilweise auch in Abhängigkeit des professionellen Hintergrundes des Autors – in diesem Spannungsfeld.
Fazit
Der Sammelband enthält Beträge zur aktuellen Entwicklung des Datenschutzes in Deutschland. An einzelnen Beispielen wie z.B. dem Arbeitnehmerdatenschutz, Sozialen Netzwerken, dem neuen Personalausweis oder vernetzten Geräten im Haushalt wird erörtert, inwieweit die rechtlichen Bestimmungen und die technischen Umsetzungen jeweils in Bezug auf den Datenschutz zu bewerten sind und ggf. auch aus der Sicht der jeweiligen Autoren verändert werden sollten.
Weitere Beiträge beschäftigen sich aber auch mit Datenschutz-Grundlagen wie den Schutzzielen des Datenschutzes den Verfahren, in denen personenbezogene Daten verarbeitet werden oder den Möglichkeiten der Abbildung gesetzlicher Datenschutzbestimmungen in einer programmierten Ontologie, die vielleicht einmal die automatisierte Beantwortung von Datenschutzfragen erlauben. Neue Diskussionen, wie die verstärkte Sicherung von privacy by design, ziehen sich durch verschiedene Beiträge.
Dabei handelt es sich weniger um Anleitungen zum praktischen Umgang mit dem Datenschutz, sondern darum, wie sich der Umgang mit dem Datenschutz in diesen Bereichen zukünftig politisch aber auch juristisch und technisch-organisatorisch verändern kann bzw. soll.
Rezension von
Dipl.-Soz.Päd. Thomas Molck
Dozent für Neue Medien und Datenschutzbeauftragter der HS Düsseldorf
Website
Mailformular
Es gibt 10 Rezensionen von Thomas Molck.
