Das Datenschutzjahr 2016 - ein Rückblick
Marit Hansen, die Leiterin des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD), sieht in ihrem Jahresrückblick Licht und Schatten:
"Das Jahr 2016 ist ein Weckruf für den Datenschutz, denn die Bedrohungen für die Grundrechte werden immer deutlicher: Zunahme der verdachtlosen Überwachung, Versuche der Aushöhlung von Datenschutzprinzipien, mangelhafte Gestaltung von Informationstechnik. Gleichzeitig bekommen Datenschutzbehörden und Verbraucherschützer neue Instrumente in die Hand, mit denen sich mittelfristig Verbesserungen im Datenschutz erreichen lassen.
Zunahme der verdachtlosen Überwachung:
Der Bundesgesetzgeber geht wie auch andere Staaten große Schritte in Richtung Überwachung, ohne sich von den Datenschutz-Grundrechten auf nationaler und europäischer Ebene leiten zu lassen. Rechtsbrüche werden in Kauf genommen. Erst im Nachhinein können das Bundesverfassungsgericht oder der Gerichtshof der Europäischen Union (EuGH) die nötigen Grenzen aufzeigen und die Gesetzgeber zur Korrektur auffordern. Im Jahr 2016 betrifft dies das BKA-Gesetz und die Gesetze zur Vorratsdatenspeicherung, bei denen nachgebessert werden muss.
Frisch zum Jahresende liegt der Gesetzentwurf zum "Videoüberwachungsverbesserungsgesetz" auf dem Tisch, dessen Titel eine Verbesserung durch ein Mehr an Überwachung - übrigens durch private Stellen - suggerieren soll. Die Kritik von Datenschutzseite wurde bislang nicht berücksichtigt.
Im politischen Diskurs immer wieder genannt wurden im Jahr 2016 außerdem die Wiedergänger "Kryporegulierung" oder "Bargeldverbot" - bestimmt bleiben diese Diskussionen auch im neuen Jahr erhalten.
Wer im Jahr 2016 endlich geeignete Reaktionen von Regierungsseite auf die Snowden-Enthüllungen einer Massenüberwachung erwartet hat, wurde enttäuscht: Weiterhin fehlt es an der notwendigen Einhegung und Kontrolle der Geheimdienste auf der ganzen Welt. Das Ende 2016 vom Bundestag beschlossene BND-Gesetz erweitert sogar die Befugnisse des BND: Die Praxis der Überwachung, die vorher unzulässig war, wird nicht geändert, sondern nun legitimiert - trotz erheblicher Kritik im Vorfeld. Die ersten Verfassungsbeschwerden sind angekündigt.
Versuche der Aushöhlung von Datenschutzprinzipien:
Im Jahr 2016 hat das Störfeuer gegen Datenschutzprinzipien zugenommen. Besonders stark unter Beschuss ist die Datensparsamkeit, von der Kanzlerin Merkel auf dem IT-Gipfel sogar sagte, diese könne so, "wie wir es vor vielen Jahren hatten, [...] heute nicht die generelle Leitschnur sein für die Entwicklung neuer Produkte". Das Prinzip der Datensparsamkeit ist in der Tat schon viele Jahre alt und verwandt mit den Erforderlichkeits- und Zweckbindungsprinzipien: Nur die für den jeweiligen Zweck erforderlichen personenbezogenen Daten dürfen verarbeitet werden - keine anderen. Wo kein Personenbezug nötig ist, muss mit nicht-personenbezogenen (anonymen) Daten gearbeitet werden.
Wenn Anonymisierung nicht zielführend ist, kann Pseudonymisierung eine Lösung bieten.
Dieses Konzept der "Datenminimierung" findet sich auch in der neuen Datenschutz-Grundverordnung von 2016. Genau dieses Konzept ist demnach Leitschnur für die künftige Gestaltung von Systemen - es ist die Basis für "Privacy by Design". Das bedeutet nicht, dass jede Datenverarbeitung gestoppt wird oder der einzig mögliche Datenschutz in einer Askese bezüglich herausgegebener Daten bestehen kann. Stattdessen geht es um die Wahrung von Grundrechten, um eine faire Ausgestaltung von Produkten und Dienstleistungen, um das Vermeiden von Risiken für die Rechte und Freiheiten von Menschen. Datensparsamkeit ist genauso wie das Erforderlichkeitsprinzip oder die Zweckbindung weiterhin wesentlich - und in einer zunehmend vernetzten Welt sogar dringend notwendig, um einem Missbrauch der Informationen entgegenzusteuern. Datensparsamkeit und Datensouveränität gehen Hand in Hand.
Mangelhafte Gestaltung von Informationstechnik - fahrlässig oder mit Vorsatz:
Informationstechnik durchdringt das Leben, aber der Status quo ist erschreckend: Die heutzutage verbreitete Technik, bei der weder Sicherheit noch Datenschutz eingebaut ist, taugt nicht als Fundament für unsere Informationsgesellschaft.
Im Jahr 2016 haben zahlreiche Datenschutzvorfälle deutlich gemacht, dass es um Informationssicherheit und Datenschutz in der Praxis nicht gut bestellt ist. Dies zeigt sich an Datenskandalen in riesigem Ausmaß, bei denen auf Kundendaten zugegriffen wurde, an Spionage-Funktionalität in Software, an Versuchen, Router zu kapern, oder an Trojanern ("Ransomware"), die unberechtigt Daten verschlüsseln und "Lösegeld" für die Entschlüsselung zu erpressen versuchen. Auf einer solchen Technik kann man nicht sensible Anwendungen wie Smart Homes oder Telemedizin aufbauen.
Auch im vergangenen Jahr wurden Hintertüren in technischen Systemen entdeckt, die teilweise sogar in Hochsicherheitsbereichen zum Einsatz kamen. Solche Hintertüren werden ab Werk - beispielsweise von Geheimdiensten veranlasst, wie wir aus den Snowden-Dokumenten wissen - eingebaut, um sich einen Zugriff auf die laufenden Systeme zu verschaffen. Eine solche implementierte Unsicherheit darf es nicht geben! Ein vorsätzliches Schwächen der Informationssicherheit kann nur als bösartig und gefährlich bewertet werden.
Neue Instrumente für Datenschutzbehörden und Verbraucherschützer:
Schon im Februar 2016 ist das Gesetz zum Verbandsklagerecht in Kraft getreten, das es insbesondere Verbraucherschützern ermöglicht, Unterlassungserklärungen oder Abmahnungen gegen Unternehmen zu erwirken, die Daten von Verbraucherinnen und Verbrauchern rechtswidrig verarbeiten. Hier bietet sich auch künftig ein Schulterschluss zwischen Datenschutzbehörden und Verbraucherschutzverbänden an, wie dies bereits in anderen Fällen erfolgreich praktiziert wird.
Die im Frühling beschlossene europäische Datenschutzreform weist den Weg in die Zukunft. Seit dem 25. Mai 2016 ist die EU-Datenschutz-Grundverordnung in Kraft, die zwei Jahre später Geltung entfalten wird. Schon jetzt arbeiten Datenschutzbehörden, Gesetzgeber und viele der Stellen, die personenbezogene Daten verarbeiten, an der Umsetzung dieser Regelungen in ihrem Verantwortungsbereich. Die Grundverordnung wird den Werkzeugkasten der Datenschutzbehörden erweitern (z. B. um Zertifizierung und Klagemöglichkeiten) und empfindlichere Sanktionen ermöglichen. Von den Verantwortlichen und Auftragsverarbeitern wird künftig eine datenschutzgerechte und sichere Gestaltung ihrer Systeme verlangt.
Das Portfolio an Aufgaben und Befugnissen der Datenschutzbehörden verändert sich mit der Datenschutz-Grundverordnung. Zusätzlich werden Abstimmungen unter den Datenschutzbehörden in Europa immer wichtiger, um dort, wo nicht nationale Regelungen vorgehen, gemeinsame Rechtsauffassungen zu erarbeiten. Diese Europäisierung ist gut im Sinne der Rechtssicherheit, aber erfordert eine Änderung der Arbeitsweise in allen Behörden, die dann stets Auswirkungen über ihr Hoheitsgebiet hinaus bedenken müssen und fit sein sollen in Europarecht, Informatik und Englisch. Wie gut dies gelingt, hängt maßgeblich von der Ausstattung der Datenschutzbehörden ab. Einige Länder haben bereits reagiert und ihre Datenschutzbehörde personell verstärkt. Für das ULD Schleswig-Holstein sind im Landeshaushalt zu diesem Zweck vier Stellen - davon zwei befristet für die Übergangszeit, in der die Datenschutz-Grundverordnung eingeführt wird - bereitgestellt worden.
Dies ist auch notwendig, um auf die Nachfragen der Datenverarbeiter im Land - sowohl im öffentlichen als auch nicht-öffentlichen Bereich - zu den für sie wesentlichen Auswirkungen der Datenschutzreform mit praxisgerechtem Rat und Unterstützung reagieren zu können.
Eines ist jetzt schon sicher: 2017 wird ein arbeitsreiches und spannendes Jahr für den Datenschutz!"
"Das Jahr 2016 ist ein Weckruf für den Datenschutz, denn die Bedrohungen für die Grundrechte werden immer deutlicher: Zunahme der verdachtlosen Überwachung, Versuche der Aushöhlung von Datenschutzprinzipien, mangelhafte Gestaltung von Informationstechnik. Gleichzeitig bekommen Datenschutzbehörden und Verbraucherschützer neue Instrumente in die Hand, mit denen sich mittelfristig Verbesserungen im Datenschutz erreichen lassen.
Zunahme der verdachtlosen Überwachung:
Der Bundesgesetzgeber geht wie auch andere Staaten große Schritte in Richtung Überwachung, ohne sich von den Datenschutz-Grundrechten auf nationaler und europäischer Ebene leiten zu lassen. Rechtsbrüche werden in Kauf genommen. Erst im Nachhinein können das Bundesverfassungsgericht oder der Gerichtshof der Europäischen Union (EuGH) die nötigen Grenzen aufzeigen und die Gesetzgeber zur Korrektur auffordern. Im Jahr 2016 betrifft dies das BKA-Gesetz und die Gesetze zur Vorratsdatenspeicherung, bei denen nachgebessert werden muss.
Frisch zum Jahresende liegt der Gesetzentwurf zum "Videoüberwachungsverbesserungsgesetz" auf dem Tisch, dessen Titel eine Verbesserung durch ein Mehr an Überwachung - übrigens durch private Stellen - suggerieren soll. Die Kritik von Datenschutzseite wurde bislang nicht berücksichtigt.
Im politischen Diskurs immer wieder genannt wurden im Jahr 2016 außerdem die Wiedergänger "Kryporegulierung" oder "Bargeldverbot" - bestimmt bleiben diese Diskussionen auch im neuen Jahr erhalten.
Wer im Jahr 2016 endlich geeignete Reaktionen von Regierungsseite auf die Snowden-Enthüllungen einer Massenüberwachung erwartet hat, wurde enttäuscht: Weiterhin fehlt es an der notwendigen Einhegung und Kontrolle der Geheimdienste auf der ganzen Welt. Das Ende 2016 vom Bundestag beschlossene BND-Gesetz erweitert sogar die Befugnisse des BND: Die Praxis der Überwachung, die vorher unzulässig war, wird nicht geändert, sondern nun legitimiert - trotz erheblicher Kritik im Vorfeld. Die ersten Verfassungsbeschwerden sind angekündigt.
Versuche der Aushöhlung von Datenschutzprinzipien:
Im Jahr 2016 hat das Störfeuer gegen Datenschutzprinzipien zugenommen. Besonders stark unter Beschuss ist die Datensparsamkeit, von der Kanzlerin Merkel auf dem IT-Gipfel sogar sagte, diese könne so, "wie wir es vor vielen Jahren hatten, [...] heute nicht die generelle Leitschnur sein für die Entwicklung neuer Produkte". Das Prinzip der Datensparsamkeit ist in der Tat schon viele Jahre alt und verwandt mit den Erforderlichkeits- und Zweckbindungsprinzipien: Nur die für den jeweiligen Zweck erforderlichen personenbezogenen Daten dürfen verarbeitet werden - keine anderen. Wo kein Personenbezug nötig ist, muss mit nicht-personenbezogenen (anonymen) Daten gearbeitet werden.
Wenn Anonymisierung nicht zielführend ist, kann Pseudonymisierung eine Lösung bieten.
Dieses Konzept der "Datenminimierung" findet sich auch in der neuen Datenschutz-Grundverordnung von 2016. Genau dieses Konzept ist demnach Leitschnur für die künftige Gestaltung von Systemen - es ist die Basis für "Privacy by Design". Das bedeutet nicht, dass jede Datenverarbeitung gestoppt wird oder der einzig mögliche Datenschutz in einer Askese bezüglich herausgegebener Daten bestehen kann. Stattdessen geht es um die Wahrung von Grundrechten, um eine faire Ausgestaltung von Produkten und Dienstleistungen, um das Vermeiden von Risiken für die Rechte und Freiheiten von Menschen. Datensparsamkeit ist genauso wie das Erforderlichkeitsprinzip oder die Zweckbindung weiterhin wesentlich - und in einer zunehmend vernetzten Welt sogar dringend notwendig, um einem Missbrauch der Informationen entgegenzusteuern. Datensparsamkeit und Datensouveränität gehen Hand in Hand.
Mangelhafte Gestaltung von Informationstechnik - fahrlässig oder mit Vorsatz:
Informationstechnik durchdringt das Leben, aber der Status quo ist erschreckend: Die heutzutage verbreitete Technik, bei der weder Sicherheit noch Datenschutz eingebaut ist, taugt nicht als Fundament für unsere Informationsgesellschaft.
Im Jahr 2016 haben zahlreiche Datenschutzvorfälle deutlich gemacht, dass es um Informationssicherheit und Datenschutz in der Praxis nicht gut bestellt ist. Dies zeigt sich an Datenskandalen in riesigem Ausmaß, bei denen auf Kundendaten zugegriffen wurde, an Spionage-Funktionalität in Software, an Versuchen, Router zu kapern, oder an Trojanern ("Ransomware"), die unberechtigt Daten verschlüsseln und "Lösegeld" für die Entschlüsselung zu erpressen versuchen. Auf einer solchen Technik kann man nicht sensible Anwendungen wie Smart Homes oder Telemedizin aufbauen.
Auch im vergangenen Jahr wurden Hintertüren in technischen Systemen entdeckt, die teilweise sogar in Hochsicherheitsbereichen zum Einsatz kamen. Solche Hintertüren werden ab Werk - beispielsweise von Geheimdiensten veranlasst, wie wir aus den Snowden-Dokumenten wissen - eingebaut, um sich einen Zugriff auf die laufenden Systeme zu verschaffen. Eine solche implementierte Unsicherheit darf es nicht geben! Ein vorsätzliches Schwächen der Informationssicherheit kann nur als bösartig und gefährlich bewertet werden.
Neue Instrumente für Datenschutzbehörden und Verbraucherschützer:
Schon im Februar 2016 ist das Gesetz zum Verbandsklagerecht in Kraft getreten, das es insbesondere Verbraucherschützern ermöglicht, Unterlassungserklärungen oder Abmahnungen gegen Unternehmen zu erwirken, die Daten von Verbraucherinnen und Verbrauchern rechtswidrig verarbeiten. Hier bietet sich auch künftig ein Schulterschluss zwischen Datenschutzbehörden und Verbraucherschutzverbänden an, wie dies bereits in anderen Fällen erfolgreich praktiziert wird.
Die im Frühling beschlossene europäische Datenschutzreform weist den Weg in die Zukunft. Seit dem 25. Mai 2016 ist die EU-Datenschutz-Grundverordnung in Kraft, die zwei Jahre später Geltung entfalten wird. Schon jetzt arbeiten Datenschutzbehörden, Gesetzgeber und viele der Stellen, die personenbezogene Daten verarbeiten, an der Umsetzung dieser Regelungen in ihrem Verantwortungsbereich. Die Grundverordnung wird den Werkzeugkasten der Datenschutzbehörden erweitern (z. B. um Zertifizierung und Klagemöglichkeiten) und empfindlichere Sanktionen ermöglichen. Von den Verantwortlichen und Auftragsverarbeitern wird künftig eine datenschutzgerechte und sichere Gestaltung ihrer Systeme verlangt.
Das Portfolio an Aufgaben und Befugnissen der Datenschutzbehörden verändert sich mit der Datenschutz-Grundverordnung. Zusätzlich werden Abstimmungen unter den Datenschutzbehörden in Europa immer wichtiger, um dort, wo nicht nationale Regelungen vorgehen, gemeinsame Rechtsauffassungen zu erarbeiten. Diese Europäisierung ist gut im Sinne der Rechtssicherheit, aber erfordert eine Änderung der Arbeitsweise in allen Behörden, die dann stets Auswirkungen über ihr Hoheitsgebiet hinaus bedenken müssen und fit sein sollen in Europarecht, Informatik und Englisch. Wie gut dies gelingt, hängt maßgeblich von der Ausstattung der Datenschutzbehörden ab. Einige Länder haben bereits reagiert und ihre Datenschutzbehörde personell verstärkt. Für das ULD Schleswig-Holstein sind im Landeshaushalt zu diesem Zweck vier Stellen - davon zwei befristet für die Übergangszeit, in der die Datenschutz-Grundverordnung eingeführt wird - bereitgestellt worden.
Dies ist auch notwendig, um auf die Nachfragen der Datenverarbeiter im Land - sowohl im öffentlichen als auch nicht-öffentlichen Bereich - zu den für sie wesentlichen Auswirkungen der Datenschutzreform mit praxisgerechtem Rat und Unterstützung reagieren zu können.
Eines ist jetzt schon sicher: 2017 wird ein arbeitsreiches und spannendes Jahr für den Datenschutz!"