EU-DSGVO
Bild: CC0 - pixabay.com
Bild: CC0 - pixabay.com

Datenschutz: Ideale IT-Gesetze gibt es nicht

DSGVO aus Sicht der Informatiker

Die Informatik-Experten Michael Sonntag und Reinhard Posch analysieren für den Verein "Informatik Austria" die Stärken und Schwächen der neuesten Datenschutzgrundsätze.

Einerseits ist das ja ein echt österreichisches Schicksal. Vor knapp zwei Jahren hatte die Datenschutzgrundverordnung (DSGVO) als neue Verordnung der EU einen guten Start. Sie wurde als Durchbruch zu mehr Datenschutz gefeiert, ein eigener Dokumentarfilm erzählte von ihrer Entstehung: "Democracy – Im Rausch der Daten" verpackt die Beratungen der EU-Parlamentarier in eine Heldenstory von bösen Datengreifern und fürsorglichen Schutzengeln.

Heute – das Inkrafttreten der Verordnung steht kurz bevor – ist die Verordnung zumindest manchen auch zu einem Feindbild geworden. Potentiell hohe Strafen und kompliziert anmutende Auflagen, die einiges an Interpretationsspielraum offenlegen, sind manchen ein Dorn im Auge, andere kritisieren Geschäftemacherei mit der Beratung zur Umsetzung der DSGVO. Nach anfänglichen Ausnahmen für Medienunternehmen, für die die wortgetreue Einhaltung der Offenlegung bedeutet hätte, auch alle vertraulichen Recherchen offenlegen zu müssen, kündigte die schwarzblaue österreichische Regierung an: Es soll nicht so heiß gegessen werden wie gekocht wurde; die DSGVO werden zwar auch in Österreich am 25. Mai in Kraft treten, aber es sei vorerst von Strafen abzusehen (siehe dazu auch den Artikel "DSGVO: Ein zahnloser Löwe?" und das Interview "Kein Freibrief für Datenschutzverstöße" mit dem Rechtsanwalt Gerald Ganzger).

Klare Verantwortungen können Vertrauen aufbauen

Das ist ein zweideutiges Signal, eine weitreichende Aufweichung des Datenschutzes sehen Österreichs Informatiker hier aber nicht. Stellvertretend für die Kollegen ihres Berufsstandes hat "Informatik Austria – Informatik an österreichischen Universitäten" mit Michael Sonntag, Privacy-Experte an der JKU Linz, und Reinhard Posch, Informatikprofessor an der TU Graz und seit 2001 Chief Information Officer der österreichischen Bundesregierung, über das Thema gesprochen. Der eingetragene Verein Informatik Austria mit Sitz in Wien ist der Zusammenschluss der Informatik-Fakultäten und -Departments an den österreichischen Universitäten.

Michael Sonntag sieht vor allem die Grundzüge der Datenschutz-Verordnung positiv: "Jetzt liegt der Fokus jedenfalls stärker auf der Integration von Sicherheit und Datenschutz schon im Entwurf von Lösungen. Die Anforderung, Datenschutz 'by default und by design' mitdenken zu müssen, führt sicher zu besseren Lösungen, als das nachträgliche 'Hinzuflicken' von Datenschutzverbesserungen."

Ähnlich sieht es auch Reinhard Posch: "Mit der Datenschutzverordnung rückt die Tatsache, dass es auch in der digitalen Welt klare Verantwortungen geben muss, mehr in den Mittelpunkt. Das kann dazu beitragen, Skepsis gegenüber neuen Technologien abzubauen."

Kritisch sehen beide Informatiker allerdings manche ungenauen Definitionen in der Verordnung. Sonntag befürchtet insbesondere durch nationale Umsetzungsspielräume unklare Situationen und erhöhten Aufwand in Umsetzung und Test (wenn mehrere Varianten umgesetzt werden müssen). Für Posch bergen diese Umstände die Gefahr, dass die Bewerbung der Datenschutz-Compliance dadurch stärker in den Vordergrund tritt, als der tatsächliche Datenschutz selbst. Einige klare und leicht umzusetzende Bestimmungen können schnell realisiert und für Werbezwecke genutzt werden, komplexere Aspekte werden eher übergangen.

Analytics ohne Datenschutzrisiko als Forschungsfeld

In der öffentlichen Diskussion über Datenschutz und die aktuelle Verordnung schien auch mehr und mehr in den Hintergrund zu treten, dass Datenschutz und IT-Sicherheit grundsätzlich Themen der Informatik sind – die gesellschaftspolitische Dimension trat in den Vordergrund.

"Gerade die Anforderung, Datenschutz von Beginn an mitzudenken, berührt ja ein Kernthema der Informatik", meint Reinhard Posch. "Es gibt noch keine etablierten Definitionen für die in der Verordnung geforderten Ansätze – und hier ist die Wissenschaft gefordert." Offene Themen für die Security-Forschung in der Informatik sind etwa auch noch das "Recht auf Vergessen" oder Privacy in der Blockchain – die alles nachvollziehbar dokumentiert und deshalb transparent ist, aber auch immense Datenrisiken birgt.

Michael Sonntag ergänzt noch Anonymisierungsdienste oder datenschutzverträgliches Tracking als konkrete und praxisorientierte Forschungsfelder: "Die Informatik sucht nach Möglichkeiten, aussagekräftige Daten sammeln und sinnvoll auswerten zu können, ohne dabei die Privatsphäre zu verletzen."

Datenschutz-Mindeststandards für gleiche Voraussetzungen

In anderen Bereichen ist allerdings wiederum die rechts- oder gesellschaftspolitische Dimension gefragt: Die Datenschutzverordnung soll nicht nur für Sicherheit sorgen, sondern auch gleiche Voraussetzungen für Unternehmen schaffen. "Da hat die DSGVO auch außerhalb der EU einiges bewegt", sagt Posch. "Wer Europäer als Kunden will, muss jetzt Mindeststandards beachten. Im Sinne der rechtlichen Durchsetzbarkeit sind trotzdem europäische Lösungen manchmal sinnvoll."

Sonntag sieht europäische Alternativen vor allem bei Cloudspeicherdiensten als sehr begrüßenswert. "Gerade die Datenschutzverordnung trägt hier sicher einiges dazu bei, Wettbewerbsnachteile für Unternehmen in der EU zu beseitigen - jetzt gelten gleiche Standards für alle." Auf soziale Netzwerke werde sich das allerdings kaum auswirken: "Soziale Beziehungen sind heute global. Da macht etwa eine EU-Facebook-Alternative keinen Sinn."

In der Gleichbehandlung von Unternehmen innerhalb und außerhalb der EU sieht Reinhard Posch auch zukünftig die größten Herausforderungen rund um Datenschutz und digitale Gesetzgebung. "Das wird sich nur schwer in den Griff bekommen lassen. Aber ein erster Fortschritt ist sicher, dass sich das ökonomische Kalkül, Datenschutzverletzungen in Kauf zu nehmen, jetzt immer seltener ausgehen wird."

Der Skepsis gegenüber der Datenschutzgrundverordnung kann Posch wenig abgewinnen: "Wer sich bisher an Datenschutzgesetze gehalten hat, wird keine besondere Verschärfung spüren. Und gesetzliche Maßnahmen sind wichtig: Jahrelange Erfahrung zeigt, dass Awareness-Kampagnen wenig nutzen. Damit sensibilisiert man weder Unternehmen noch Anwender."

Michael Sonntag sieht gar die Anwender als eines der großen Problemfelder im Datenschutz: "Menschen geben für kleinste Vorteile private Daten weiter, ohne sich im geringsten bewusst zu sein, was die Auswertung oder Weitergabe der Daten bewirken kann". Gesetzlicher Schutz kann hier wichtig sein, auf Unternehmensseite regt die DSGVO, so Sonntag, möglicherweise zum Nachdenken an: "Wer sich Arbeit in der Datenschutzumsetzung ersparen will, kann auch hinterfragen, welche Daten im Unternehmen überhaupt benötigt werden."

Trotz ein paar kleinerer Hürden sehen Österreichs Informatiker in der Datenschutzgrundverordnung also keine wesentlichen Probleme. Das ideale IT-Gesetz wird es vermutlich ohnehin nie geben: "Dazu ist unsere Branche zu dynamisch", sagt Sonntag. "Da kann man vieles nicht mit konkreten Details und dauerhaft regeln."

Übrigens: Weitere Informationen und Tipps zur EU-DSGVO, die auch nach dem Datenschutz-Deregulierungsgesetz ihre Berechtigung nicht verlieren, haben wir hier für Sie gesammelt.

Mehr Artikel zum Thema: EU-DSGVO

DSGVO: Fünf nach Zwölf

Obwohl die Übergangsfrist der Datenschutzgrundverordnung...

Weiterlesen

Österreichischer DSGVO-Spezialist eröffnet Niederlassung in Deutschland

Das junge österreichische Unternehmen Intervalid hat sich...

Weiterlesen

Verschlüsselung Fehlanzeige

Gretchenfrage: Wie halten es die Österreicher eigentlich mit...

Weiterlesen

85% verpassen DSGVO-Deadline

Obwohl die Regulierung in einer Woche anwendbar wird,...

Weiterlesen

nic.at beschränkt Whois-Abfragen

In Hinblick auf die DSGVO hat die Domain-Registry nic.at...

Weiterlesen

DSGVO & Co.: Wer nicht verschlüsselt, ist selber schuld

Nichts erfreut Hacker und Datendiebe mehr als der Zugriff...

Weiterlesen

Kein Freibrief für Datenschutzverstöße

Wir haben den Rechtsanwalt Gerald Ganzger gefragt, welche...

Weiterlesen

DSGVO: Ein zahnloser Löwe?

Knapp einen Monat vor dem Stichtag der EU-DSGVO am 25. Mai...

Weiterlesen

DSAG löst Datenschutz-Fragezeichen

Es soll immer noch Unternehmen geben, die im freien Fall auf...

Weiterlesen

"Das ist ein Wahnsinn"

"Wir brauchen drei bis sechs Monate, um gute Leute auf...

Weiterlesen

Aus Security-Sicht ein Horror

Die Ergebnisse des jährlichen Breach Level Index von Gemalto...

Weiterlesen

Datenschutz bei der DSAG

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) macht auch vor...

Weiterlesen

EU-DSGVO: Was ist noch machbar?

Die neue Datenschutz-Grundverordnung der EU steht...

Weiterlesen

DRACOON ist EU-DSGVO-ready

DRACOON, Experte im Bereich Enterprise Filesharing, erhält...

Weiterlesen

EU-Datenschutz-Grundverordnung: Die Zeit wird knapp

Die neue Datenschutz-Grundverordnung gilt ab 25. Mai 2018 in...

Weiterlesen

EU-DSGVO und die Cloud: Wer trägt welche Verantwortung?

Cloud-Computing ist kein Trend, sondern schlicht die nächste...

Weiterlesen

Orientierung im DSGVO-Dickicht

Das IT-Systemhaus NAVAX und VACE IT & SECURITY SERVICES...

Weiterlesen

EU-DSGVO: Darauf müssen Recruiter 2018 achten

Gerade bei Datenerhebung, -verarbeitung und -sicherheit...

Weiterlesen

DSGVO: Herausforderung für Personalführung

In vielen Unternehmen laufen die Vorbereitungen auf die...

Weiterlesen