Partnerportal

“Cloud-Computing ist beim Thema Datenschutz eigentlich in vielen Bereichen Vorreiter!”

Datenschutz im Zeitalter der Digitalisierung – Chance für Europa oder Abseitsfalle?


Dots

Der Begriff Datenschutz wird leider oft sehr unterschiedlich ausgelegt, was es auch ohne globale Vernetzung von Datenbanken erschwert, angemessene Rahmenbedingungen zu schaffen und objektive Kriterien zu definieren. Im Kern verstehen wir den Datenschutz als Maßnahme gegen den Missbrauch von Daten und in der erweiterten Sicherheitsbetrachtung auch als die notwendigen Vorkehrungen gegen das unberechtigte Löschen oder Verfälschen von Daten. Als besonders schutzbedürftig werden die personenbezogenen Daten betrachtet, wie es schon im weltweit ersten Datenschutzgesetz des Landes Hessen von 1970 und dem folgenden bundesweiten Datenschutzgesetz von 1977 festgelegt wurde.

Seit 1995 wurden in der EU Mindeststandards definiert und der Schutz personenbezogener Daten als Grundrecht definiert. In den USA hingegen reduziert sich der Begriff Datenschutz primär auf die technische Betrachtung. Der Zugriff auf personenbezogene Daten wird dort – bis auf wenige Ausnahmen – weitestgehend gesellschaftlich akzeptiert, maßgeblich aus der Sicht der informellen Selbstbestimmung und Meinungsfreiheit.

Digitalisierung und Datenschutz

Spätestens mit dem Aufkommen von Web 2.0 und Smartphones hat sich gezeigt, dass der Umgang mit personenbezogenen Daten in einer global vernetzten Welt wesentlich komplexer ist, als es in den existierenden Vorschriften berücksichtigt wurde. Im Kern geht es um personenbezogene Sozialstrukturen und Aktionen im Web sowie Geo-Bewegungsprofile. Daraus hat sich eine Digitalindustrie entwickelt, die nach dem einfachen Prinzip funktioniert: „Komfort und Preisvorteile gegen frei zu verwendende personenbezogene Daten“.

Hierbei muss zudem getrennt betrachtet werden, ob es sich um Daten in der direkten Verantwortung des Betroffenen oder mittelbar verwaltete Daten (zum Beispiel beim Arbeitgeber oder gewerblichen Partnern) handelt. Auch hier werden neue Geschäftsmodelle entwickelt, bei denen basierend auf multiplen Big-Data-Quellen und selbst erhobenen Daten ein kontinuierliches Zielgruppen-Profiling erfolgt, um die Geschäftstätigkeit zu optimieren. Problematisch wird es, wenn die Datenerhebung ohne explizites Einverständnis des Betroffenen erfolgt, zum Beispiel im Rahmen einer Serviceaktion oder einer Angebotsabfrage.

Mit der Einführung von Cloud Computing stellt sich auch zunehmend die Frage, wie die Kontrollfähigkeit zur Einhaltung gesetzlicher Bestimmungen in einer multinationalen und vernetzten IT-Verarbeitung mit unterschiedlichen rechtlichen Partnern gestaltet werden kann. Die komplexen derzeitigen europäischen Datenschutzgesetze zu verstehen, ist schon schwierig genug. In Kombination mit den oft kleinen, aber dennoch bedeutsamen Unterschieden zwischen den EU-Mitgliedsstaaten können jedoch ohne geeignete juristische Begleitung von Beginn an fast unüberwindbare Herausforderungen entstehen.

In der Digitalindustrie hat sich ein einfaches Prinzip entwickelt: 'Komfort und Preisvorteile gegen frei zu verwendende personenbezogene Daten'.

Andreas Weiss

Cloud-Dienstleister und -Nutzer gleichermaßen sehen sich mit schwerwiegenden datenschutzrechtlichen Hürden konfrontiert, die zu massiven und inakzeptablen Wettbewerbsnachteilen zum Beispiel im Vergleich zu den USA führen. Am Datenschutz führt bei jedem professionellen Cloud-Anbieter kein Weg vorbei: Er ist essenziell für das Kerngeschäft und steht somit ganz oben auf der Arbeitsliste. Deswegen gibt es hier auch diverse Initiativen und Projekte, die sich intensiv mit dem Thema auseinandersetzen. Unterstützung gibt es beispielsweise beim Cloud Privacy Check (CPC), der die gesamte Datenschutzthematik der Nutzung von Cloud Services auf vier Fragestellungen reduziert und 32 Ländergesetze direkt vergleichbar macht. Hilfreich ist zudem das Trusted Cloud Datenschutzprofil (TCDP), das als Prüfstandard für die Datenschutz-Zertifizierung von Cloud-Diensten zum Einsatz kommt und datenschutzrechtliche Anforderungen auf der Seite des Cloud-Anbieters beschreibt. Das TCDP wurde unter Beteiligung von EuroCloud Im Rahmen der Initiative Trusted Cloud im Auftrag des Bundesministeriums für Wirtschaft und Energie entwickelt.

Cloud-Anbieter aus Europa und in besonderem Maße aus Deutschland besitzen eine hohe Kompetenz im Umgang mit Datenschutzfragen der Kunden, da sie den selben Rechtsvorgaben unterliegen.

Wo stehen wir heute?

Die Veränderungen durch die fortschreitende Digitalisierung stellt die Gesellschaft, Unternehmen und in besonderen Maße die einzelnen Personen vor eine große Herausforderung. Sei es die ausufernde Kommunikationswelle im WhatsApp-Chat der Kinder, die ungesicherte Webcam im Wohnzimmer, das aufkommende Kreditrating mittels Social-Media-Profilen oder die sich durch den Einsatz von Algorithmen und Automatisierung stark verändernden Jobs. Das geht vielen zu schnell und gerne wird der Datenschutz auch als Bremsmittel verwendet.

Es stellt sich aber zu Recht die Frage, ob es der richtige Weg ist, Innovationen anhand von althergebrachten Betrachtungen zu bewerten und zu regulieren. Mehr als 20 Jahre hat es gedauert, um ein Datenschutzgesetz von 1995 umfangreich zu novellieren und es halbwegs zeitgemäß an die heutige Informationsgesellschaft anzupassen. Derweil wurden wichtige Klärungen, wie zum Beispiel der Umgang mit der Safe-Harbour-Vereinbarung, durch Privatklagen und nicht auf Initiative der Datenschutzvertreter herbeigeführt, was schon absurd ist. Im Kontext des Cloud Computings wurde von manchen Datenschutzverantwortlichen Szenarien eines Super-GAUs á la Fukushima heraufbeschworen und auch heute noch heißt es viel zu oft: „Wenn schon Cloud, dann aber nur eine Private Cloud und am besten mit eigenen Systemen“. Eine durchaus gefährliche Empfehlung, denn in vielen Fällen mangelt es an der Kompetenz, solche Systeme angemessen zu schützen, besonders im Konsumentenbereich.

Es stellt sich zu Recht die Frage, ob es der richtige Weg ist, Innovationen anhand von althergebrachten Betrachtungen zu bewerten und zu regulieren.

Andreas Weiss

Welche Weichen müssen wir stellen?

Wir müssen genauer und differenzierter hinschauen, welche Datenanalysen einen Mehrwert erbringen können und dabei auch den davon möglicherweise betroffenen Personen ein Selbstbestimmungsrecht einräumen. Wer erklärt einem Krebspatienten, dass eine Studie oder Therapie an den Fallstricken einer komplexen Datenschutzregelung scheitert? Wie wollen wir weniger Verkehrstote erreichen, ohne dass Daten und Algorithmen zum Einsatz kommen, die natürlich auch temporär eine individuelle Zuordnung von Personen, Orten und weiteren Informationen ermöglichen? Die Prinzipien „Privacy by Design“ und Datensparsamkeit werden hier keine ausreichenden Lösungen liefern. Dazu bedarf es mehr Gestaltungsspielraum und einen intensiveren Blick auf die Gewährung von Datensouveränität statt auf Datenschutz als Verschlusssache.

Wir leben in einer Informationsgesellschaft und benötigen dazu auch eine passende Informationssicherheit. Viele der heute gerne genutzten Services sind Teil einer vernetzten Infrastruktur und vernetzter Anwendungen. Das ist Profiarbeit und muss auch von Profis geschützt werden. EuroCloud hat mit dem Star Audit einen angemessenen Rahmen zur Prüfung der Gegebenheiten bei einem Cloud-Anbieter hinsichtlich der wichtigen Fragen zu Recht, Datenschutz und Sicherheit erarbeitet, der auch als Vorlage für das Trusted Cloud Labeldiente.

Europa bietet sich eine große Chance, die positiven Effekte einer digitalen Gesellschaft zu fördern und die negativen Begleiterscheinungen handhabbar zu halten. Dazu bedarf es aber auch einheitlicher Regeln in einem europäischen digitalen Binnenmarkt. Für den einen mag der Wohnzimmersprachassistent der Inbegriff der Orwellschen Big-Brother-Welt sein, für die alleinlebende Großmutter auf dem Land vielleicht der Lebensretter.

Smart Cities, autonomer Verkehr, Industrie X.0, Künstliche Intelligenz, Virtuelle Realität, digitales Lernen – wir sehen viele Chancen und Herausforderungen, unser Leben besser zu gestalten. Eine althergebrachte, den Überlegungen der 1980er Jahre verhaftete Datenschutzauffassung darf nicht das Nadelöhr sein! Ein moderner Datenschutz kann hingegen gerade den Ausgleich zwischen der Selbstbestimmung des Betroffenen und dem digitalen Fortschritt schaffen.