Quo vadis Datenschutz?

18.12.2018

IITR Information [IITR – 18.12.18] Die Einführung der EU-Datenschutzgrundverordnung liegt hinter uns. Welche Entwicklungen der Datenverarbeitung kündigen sich an und wie wird der Datenschutz darauf reagieren?

Zertifizierung

Einiger Einfluss wird zunächst aus dem Bereich der Informationssicherheit (ISO27001) erwartet. Im Vordergrund dieser Norm steht die Verhinderung wirtschaftlicher Schäden durch IT-Sicherheitsrisiken im Unternehmensumfeld. Diese ISO-Vorgabe wird nun um den Datenschutz ergänzt und ab Ostern 2019 als ISO27552 erwartet. Damit wird die Grundlage einer amtlichen Zertifizierung im Datenschutz erkennbar, zunächst für jene Unternehmen, die sich die zugrundeliegende ISO 27001-Zertifizierung leisten können.

Für kleinere Unternehmen ist eine offizielle und bezahlbare Zertifizierbarkeit durch amtlich genehmigte Verfahren und dafür staatlich akkreditierte Stellen noch nicht in Sicht.

Es existieren gleichwohl private Angebote, die aber allesamt nicht bewerben dürfen, der DSGVO zu entsprechen. Aus diesem Grund zertifiziert beispielsweise unsere IITR Cert GmbH zukünftig nach CPS 100.0. (Certified Privacy Standard). Dieser ist damit weitgehend deckungsgleich zu der britischen BS 10012, welche sich ebenfalls an der DSGVO orientiert.

Der CPS 100.0 ist zudem unserem GDPR Compliance-Kit unterlegt, welches bei unseren eigenen Mandanten seit April 2018 in Verwendung steht.

Großbritannien hat trotz des Brexit die EU-DSGVO in lokales Recht übernommen, sodass der Standard BS 10012 durchaus einschlägig ist. Der Unterschied zwischen der CPS 100.0 und BS 10012 besteht darin, dass letzterer zusätzlich einige für uns entbehrliche britische Bestimmungen enthält.

Datenschutz in der Gesellschaft

Die Gesetzgebung ist in der Gesellschaft angekommen. Das notwendige Bewusstsein für Datenschutz hat sich jedoch noch nicht eingestellt. Gesetze lösen vielleicht die Befolgung aus. Wir hören jedoch: Datenschutz sei nichts anderes als zusätzliche Bürokratie, um auf diese Weise eine Art Compliance-Gebühr erheben zu können.

Datenschutz sollte als Grundvoraussetzung für eine moderne Demokratie betrachten werden, welche sich auf einen selbstbestimmten Bürger stützen will.

Fast jeder besteht auf dem Schutz seiner eigenen Privatsphäre als Ausdruck eines ihm geschuldeten Respekts. Gleichzeitig wird in den sozialen Medien praktisch alles preisgegeben, was sich halbwegs in Worte fassen lässt. Wenn tatsächlich das Bewusstsein für Datenschutz an dieser Stelle gestärkt werden sollte, müssen tiefgreifende gesellschaftliche Maßnahmen in Gang gesetzt werden.

Ein Erklärungsversuch für ein diskrepantes Verhalten des Bürgers ist kompliziert. Es hat auch damit zu tun, dass die neuronale Orientierung des Menschen über Bilder stattfindet, welche durch die Umsetzung von Informationen erzeugt werden. Die erste Orientierung findet also nicht abstrakt, und damit auch nicht anhand von Daten statt. Äußere Sinneseindrücke werden durch unser limbisches System vorsortiert. Ein Vorgang, der mit aus unserer Vor-Steinzeit stammenden neuronalen Organisation arbeitet. Damit stellt sich eine Vorstellung von Datenschutz erst gar nicht ein. Die Steinzeit kannte keinen Datenschutz. Datenschutz löst in uns zunächst nichts aus.

Datenschutzbeauftragter

Die Politik registriert den enormen Aufwand, der in unserer Gesellschaft durch die Datenschutz-Gesetzgebung ausgelöst wurde. Als Reaktion wurde versuchsweise die Notwendigkeit des Datenschutzbeauftragten hinterfragt. Ein Datenschutzbeauftragter ist derjenige, der für seine Mandanten das relativ komplexe Datenschutz-Regelwerk hinsichtlich der jeweils anzuwendenden rechtlichen Verpflichtungen vorsortiert, also eine auf seinen Auftraggeber zugeschnittene Informationslage erstellt, um dem jeweils in Verantwortung und Haftung stehenden Geschäftsführer zu ermöglichen, die erforderlichen Erklärungen und Dokumentationen anzulegen, sowie fortlaufend aktualisiert bereitzuhalten.

Ein Datenschutzbeauftragter informiert. Ein Geschäftsführer haftet.

Diese Funktion des Datenschutzbeauftragten stand kurzzeitig zur Disposition, man hat sich inzwischen eines Besseren besonnen. Was jedoch nicht die Problematik löst, dass zu wenige Datenschutzbeauftragte zur Verfügung stehen. Es mangelt auch an verbindlichen Ausbildungsrichtlinien.

Schulungsvoraussetzungen von Datenschutz-Personal

Datenschutzbeauftragte weisen idealerweise eine Doppelbegabung aus. Sie sollten sich im juristischen Umfeld orientieren können, verstehen also Gesetzestexte, können Urteile einordnen. Andererseits sind sie mit der Logik der IT vertraut, welche mit Begriffen arbeitet, die womöglich erst jüngst geschöpft wurden und manchmal allenfalls dem jeweiligen Begriffsschöpfer einzuleuchten scheinen.

Wer mit beiden Welten, der IT sowie der Rechtswissenschaft, umgehen kann, aus dem kann alles werden, also auch ein guter Datenschutzbeauftragter.

Die ergänzende ePrivacy-Verordnung

Dem Datenschutz fehlt derzeit noch mindestens eine Abrundung, die unter der Bezeichnung ePrivacy-Verordnung (offiziell „Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC (Regulation on Privacy and Electronic Communications)“) in Vorbereitung ist. Dabei geht es um den Schutz personenbezogener Daten im Internet, insbesondere im Bereich der Interaktion, somit der elektronischen Kommunikation über das Internet. Beispielsweise soll das Setzen von Cookies ohne vorherige Zustimmung eingeschränkt werden, was sich auf eine Auswertung der persönlichen Seitenbesuche für die Werbe-Wirtschaft auswirken wird.

Globaler Datenschutz

Datenschutz ist international geworden. Nicht nur die EU, auch Großbritannien – ohne oder womöglich auch mit Brexit – stellen den Geltungsbereich der EU-Datenschutz-Grundverordnung dar. Damit erstreckt sich die EU-Datenschutz-Grundverordnung aber auch auf die ehemaligen Commonwealth-Mitglieder, sofern man annehmen darf, dass diese Commonwealth-Länder sich im Datenschutz der EU, und damit auch der britischen Rechtssetzung anschließen. Warum auch sollten diese Länder versuchen, eine abweichende Datenschutz- Gesetzgebung zu etablieren. Somit wären Indien, Australien, Neuseeland, Südafrika zum Einflussbereich der EU-Datenschutz-Grundverordnung zuzuschlagen, zusätzlich zu jenen Staaten, die aus Sicht der EU bereits über ein angemessenes Datenschutzniveau verfügen.

Brasilien und Japan haben inzwischen eine an die EU-Datenschutz-Grundverordnung angelehnte Datenschutz-Gesetzgebung verabschiedet. Kalifornien hat ein Gesetz auf den Weg gebracht, welches 2020 in Kraft treten wird und sich an der EU-Datenschutz-Grundverordnung orientiert. Die USA ihrerseits, auch angeregt durch die großen IT-Unternehmen, streben eine eigene Gesetzgebung an, die dann USA-weite Gültigkeit erlangen soll, auch um ihren Unternehmen zu ersparen, für jedes US-Bundesland unterschiedliche Vorschriften beachten zu müssen. Erklärtermaßen bevorzugt Apple dabei eine Orientierung an der EU-Datenschutz-Grundverordnung, wenngleich zu beachten ist, dass Apple keine ausgeprägte Datenverarbeitung ohne explizite Zustimmung der Nutzer anbietet.

China verfügt über eine umfangreiche Datenschutz- Gesetzgebung, welche die kommerzielle Verwendung von persönlichen Daten unter Schutz stellt, geht hinsichtlich des Rechts-Verhältnisses zwischen Staat und eigenen Bürgern einen eigenen Weg.

Datenschutz ist zu einem weltweit zu beachtenden Regularium geworden. Europäische Firmen betreten kein Neuland mehr. Die EU-Datenschutz-Grundverordnung beansprucht weltweite Geltung gegen jeden und immer dann, wenn persönliche Daten von Europäern verarbeitet werden.

Datenschutz und künstliche Intelligenz

Künstliche Intelligenz ist der Sphäre der Naturwissenschaft zuzuordnen und basiert auf dem Einsatz mathematischer Modelle, so genannter Algorithmen. Der Vorgang einer menschlichen Bewertung zählt hingegen nicht zur naturwissenschaftlichen Sphäre, egal was die Leute erzählen. Bewertung ist somit mathematisch grundsätzlich nicht nachbildbar.

Allerdings verlaufen Computer-Berechnungen mit einer womöglich integrierten Einbindung von gigantischen Daten-Mengen derart schnell, dass künstliche Intelligenz vielleicht nicht eigentlich intelligent, aber aufgrund seiner überlegenen Schnelligkeit und zielorientierten Auswertung für manche Bereiche gute Entscheidungen ermöglicht und damit den Vorgang der menschlichen Bewertung in den Hintergrund drängt. Als Beispiele sollen hier sowohl Schach als auch Go dienen, bei denen der Mensch gegen den Rechner keine Chance mehr hat.

Dies wird die Bedeutung einer Bewertung für nichtmathematische Abläufe nicht ersetzen können. Diese verbleibt beim Menschen. Falls Bewertung zukünftig noch gefragt sein wird.

Zwischen Datenschutz und Individualität besteht eine Verbindung. Ohne Datenschutz wird Individualität durch Errechnung ersetzt. Durch Errechnung wird zwar Irrationalität, damit aber auch die Vielfältigkeit abnehmen, sofern der intuitive, improvisierende, emotionale, mithin wertende Vorgang durch künstliche Intelligenz, also durch den Einsatz von Algorithmen, ins Hintertreffen gerät.

Freilich wird uns am Ende die Irrationalität dennoch erhalten bleiben durch diejenigen, welche über den Einsatz von künstlicher Intelligenz, von Algorithmen zu entscheiden haben.

Das Element der Inspiration, die Kreativität, die oft störende und zeitraubende, jedoch kreative Abweichung könnte an Bedeutung verlieren, um das Feld der schnellen künstlichen Intelligenz zu überlassen. Dies gilt insbesondere dann, wenn durch Algorithmen die derzeit klaffenden, durch Datenschutz geschützten Zugriffsmöglichkeiten ersetzt werden, um diese Lücken durch Berechnungen schließen zu können.

Eine staatliche Prüfung der Algorithmen auf Datenschutz-Relevanz wird auf absehbare Zeit nicht stattfinden, wie aus Kreisen der Aufsichtsbehörden verlautet. Dazu ist man derzeit weder personell noch technisch in der Lage, eine notwendige Unterstützung durch Parlamente erscheint auf absehbare Zeit fraglich.

Eine begrüßenswerte Öffnung neuer Möglichkeiten für Wirtschaft und Wissenschaft durch den Einsatz künstlicher Intelligenz bewirkt gleichzeitig eine Einebnung der Gesellschaft, weil wesentliche Regungen des menschlichen Verhaltens in den Hintergrund treten.

Sprachanalyse und Datenschutz

Irgendwann wird Alexa Ihnen antworten können, bevor sie Ihre Frage gestellt haben. Relativ wenige Angaben sind notwendig, um einen Menschen zu analysieren. Wer die bestehenden Möglichkeiten der Sprachanalyse kennt, beispielsweise in Vorstellungsgesprächen, kann sich keiner Illusion hinsichtlich der Kehrseite der Möglichkeiten hingeben, die eine Waren-Bestellungen per Sprachbefehl von zu Hause mit sich bringt. Inzwischen wurde in den USA ein Patent erteilt, wonach durch Räuspern und Husten der Gesundheitsstatus des Nutzers ermittelt wird.

Man darf vertrauensbildende Zusicherungen erwarten, die davon überzeugen werden, wonach eine gesprochene Bestellung sich bequemer gestaltet als eine mühsam zu tippende Bestellung. Der Hustensaft kommt dann womöglich als Werbegeschenk.

Mittlerweile ist auch davon auszugehen, wonach ein Handy jede Regung, jede Bewegung seines Benutzers notiert. Eigenhändig hinzugeladene Apps erfüllen ihre Funktion regelmäßig nur dann, wenn dabei auch womöglich sensible Daten fließen.

Gesundheitswesen

Datenschutz spielt im Gesundheitswesen eine herausragende Rolle, die Verarbeitung individueller Daten führt bereits heute zu nennenswerten Erfolgen bei der Früherkennung und Diagnose von Erkrankungen. Mittels künstlicher Intelligenz lassen sich einige Krankheitsbilder inzwischen am Gesichtsausdruck und Stimmenverlauf erkennen. Bisher völlig unbekannte Erkrankungen wurden dabei entdeckt. Hingegen wird die freiwillig erfolgende Preisgabe eigener Gesundheitsdaten beispielsweise zur Absenkung der Versicherungsprämie den Datenschutz mindern.

Automobil-Daten

Standort-Angaben, die Analyse des Fahrverhaltens wie Beschleunigung, Bremsen, Geschwindigkeit, mithin die Fahrzeugnutzung sowie der Kraftstoffverbrauch stehen hier zur Disposition. Dabei ist zunächst zu klären, wem diese während des Betriebes eines KFZ erhobenen Daten tatsächlich gehören und an wen diese zur weiteren Auswertung oder zur Weiterentwicklung überlassen werden. Zusätzlich werden Fahrzeuge zukünftig miteinander kommunizieren können. Selbstfahrende Fahrzeuge befinden sich in Entwicklung, die der willentlichen Lenkung des Fahrers entzogen sind.

Nur noch die Angabe von Startort und Ziel, sowie die Verantwortung während des Betriebs könnten bei diesem verbleiben. Die Erlaubnis, eine Fahrt überhaupt antreten zu dürfen könnte zunächst eine Begründung, und später eine Genehmigung erforderlich machen. Die Einführung selbstfahrender Fahrzeuge wird demnach unter datenschutzrelevanten Voraussetzungen erfolgen, welche bereits durch die derzeit anstehende Frage entschieden werden, wem die beim Betrieb heutiger Fahrzeuge anfallenden Daten gehören sollen.

Die Frage, mit welchem Aufwand solche Daten gegen einen unbefugten Zugriff, also gegen Hacker geschützt werden könnten, wird womöglich an Bedeutung einbüßen.

Datenschutz in der Zukunft

Datenverarbeitung ist zu einem Wirtschaftszweig herangewachsen, der kontinuierlich an globaler Bedeutung zunimmt. Die hier vorgelegte Aufzählung ist keineswegs vollständig. So fehlen beispielsweise sämtliche Datenverarbeitungen durch staatliche Stellen.

Ob der Datenschutz hierbei Schritt halten kann ist eine im Raum stehende Hoffnung, die noch weiteren Zuspruch verträgt und sich an alle richtet, die am Ende nicht in einer reizarmen und langweiligen Welt enden wollen.