Annegret Handel-Kempf traf Dr. Florian Modlinger, Rechtsanwalt und Diplom-Betriebswirt (FH), in München beim IT’S MORNING, einem Informationsaustausch von Experten und Unternehmen, die in der digitalen Welt unterwegs sind, und sprach mit ihm über rechtliche Neuerungen, die fast jeden betreffen, der beruflich im Internet der Dinge und Dienste oder in der Cloud unterwegs ist.
Wirtschaftswetter: Cloud betrifft inzwischen fast jeden, der irgendwie mit IT zu tun hat. Egal ob Unternehmer oder als Entwickler… Wo liegen aus Ihrer Sicht juristische Fallstricke bei der täglichen Arbeit mit den virtuellen Wolken?
Dr. Florian Modlinger: Im Moment ist das ganze rechtliche Thema um die Neuerungen herum die größte Herausforderung. Das beginnt mit der EU-Datenschutzgrundverordnung und den Auswirkungen des IT-Sicherheitsgesetzes für die Anbieter des Cloud-Computings, die zwar von letzterem nicht selbst betroffen sind, aber als Dienstleister für diese kritische Infrastruktur auftreten. Wir haben Gesetzesvorhaben, die relativ spezielle Materien mit betreffen. Es gibt noch wenige Kriterien, wie man diese neuen Gesetze zu verstehen hat. Sprich, es gibt noch keine Kommentare und Rechtsprechungen dazu. Viele der Begrifflichkeiten weichen doch deutlich von den ursprünglichen Begrifflichkeiten, wie wir sie nach der alten Richtlinie beziehungsweise nach dem Bundesdatenschutzgesetz, dem BDSG, hatten, ab. Dadurch entsteht eine gewisse Rechtsunsicherheit und daraus Planungsunsicherheit.
Wirtschaftswetter: Woran kann sich der einzelne in diesem Schwebezustand orientieren?
Dr. Florian Modlinger: Ein wichtiger Punkt, der gerade auch fürs Cloud Computing eine Rolle spielt, ist Privacy by Design. Die wurde in der Grundverordnung ganz bewusst so genannt. Denn damit soll jegliche Art von Systemsoftware von vornherein so ausgestaltet werden, dass der Datenschutz damit automatisch gewährleistet ist. Sie bedeutet auch, dass Sicherheitseinstellungen ohne weiteres Zutun dieses Schutzniveau berücksichtigen. Indem beispielsweise automatisch eine Passwortlänge von mindestens acht Zeichen vorgegeben ist. Das heißt, ich muss nicht als Admin oder Anwender sagen: „Das setze ich jetzt künstlich hoch“. Sondern die Voreinstellung ist aufgrund von Privacy by Design so gegeben.
Wirtschaftswetter: Es muss also schon von Herstellerseite etwas kommen, das den Datenschutz-Kriterien des Privacy by Design und der Rechtskonformität genügt?
Dr. Florian Modlinger: Genau, der Hersteller muss sich Gedanken machen, wie er die Systeme oder die Software so ausgestaltet, dass sie dem Datenschutz entsprechen, ohne dass der Kunde oder der Benutzer irgendetwas dazu tun müssen. Das datenschutzkonforme Produkt muss quasi von der Stange zu kaufen sein, ohne dass ich irgendwelche Einstellungen oder irgendwelche zusätzlichen Patches oder zusätzliche Software brauche, die etwas regeln oder quasi rechtskonformer machen.
Wirtschaftswetter: Wie kann ich als Einkäufer feststellen, dass sich der Hersteller tatsächlich an der Rechtskonformität orientiert. Gibt es irgendwelche Zertifikate oder Siegel, mit denen ich auf der sicheren Seite bin?
Dr. Florian Modlinger: Es gibt die altbewährten Zertifikate für IT-Sicherheit. Allen voran die ISO 27001, also die international führende Norm für Informationssicherheits-Managementsysteme. Diese Zertifikate haben sich mittlerweile als ein gewisser Quasi-Standard entwickelt. Sie zielen allerdings schwerpunktmäßig auf die IT-Sicherheit ab. Beim Datenschutz, gerade im Cloud Computing, gibt es das TCDP, das Trusted Cloud Datenschutz-Profil. Das ist eines der neueren Siegel, das ein datenschutzkonformes Cloud-Computing bescheinigt. Daran kann man sich orientieren. Zumindest im Moment, ist es trotzdem nur eines der vielen Auswahlkriterien, die ich beachten muss, wenn ich eine Software nach rechtlichen Gesichtspunkten beurteilen möchte.
Wirtschaftswetter: Wenn sich die rechtliche Situation wieder ändert. Wie kann ich sehen, ob ich mit dem bereits Eingekauften den wiederum neuen Kriterien noch genüge?
Dr. Florian Modlinger: Es ist schon zu erwarten, dass sich die beständigeren, größeren Dienstleister an diese Standards anpassen werden, sprich Neu-Zertifizierungen auch anstreben werden. Dass sie höhere Schutzniveaus erreichen werden, einfach um am Markt noch eine Chance zu haben. Diese Anpassung kann mal einen zeitlichen Versatz haben. Doch Neu-Zertifizierungen zu höheren Schutzniveaus sind letztlich eines der großen Kriterien, wie ich mich zukünftig als Software-Anbieter am Markt aufstellen möchte.
Wirtschaftswetter: Neu-Zertifizierungen zu höheren Schutzniveaus werden also zum Verkaufsargument?
Dr. Florian Modlinger: Nicht nur zum Verkaufsargument. Sondern sogar zur Marktzutrittsbarriere. Wenn ich diese Zertifizierungen nicht habe, dieses Schutzniveau nicht anderweitig nachweisen kann, werde ich mittelfristig vom Markt verschwinden. Andersherum: Sobald einer dieses Schutzniveau hat, ist das natürlich ein Merkmal, das gerade für Datenschutzbeauftragte und für IT-Leiter sehr interessant ist, weil man sich selbst dadurch ein Stück weit aus der Haftung nehmen kann. So wird es ein ganz normaler Marktmechanismus sein, dass das ein gefragteres Produkt ist. Wenn jemand nicht nachweisen kann, dass er auch auf diesem Niveau arbeitet – es muss nicht zwingend ein Zertifikat sein - dann ist es natürlich schon schwierig, noch Geschäfte zu machen.
Wirtschaftswetter: Die ganze Welle mit Internet der Dinge und Mensch-Maschine-Kommunikation rollt in immer schnelleren Erneuerungszyklen auf uns zu. Wie kann sich ein Software-Entwickler oder ein kleiner Mittelständer datenschutzrechtlich im Umfeld der zugehörigen Cloud da noch auf sicherem Grund bewegen?
Dr. Florian Modlinger: Das Recht hinkt im IT-Umfeld immer um einige Jahre hinterher und muss versuchen, die technischen Entwicklungen irgendwie schon entweder ein Stück vorwegzunehmen. Oder die IT-technischen Neuerungen in Paragraphen hineinpressen, die dafür eigentlich gar nicht gedacht waren. So wie beim Cloud Computing den Paragraphen 11. (Anmerkung der Redaktion: Paragraph 11 BDSG regelt die Verarbeitung von Daten im Auftrag. Mangels anderweitiger gesetzlicher Regelung wird das Cloud Computing als sog. Auftragsdatenverarbeitung angesehen.)
Das ist die allgemeine Schwierigkeit.
Ansonsten hilft bei diesen modernen Themen, wie dem Internet der Dinge, immer nur das Privacy by Design. Das heißt für mich als Anwender, dass ich mir Anbieter aussuche, die bei der Ausgestaltung der Software, teilweise auch der Hardware, Privacy by Design berücksichtigt haben. Dabei sollten die Designer die Netzwerke so mitausgestaltet haben, dass der Datenschutz schon erfüllt wurde. So dass ich als Anwender gar nicht mehr gegen Datenschutz-Vorschriften verstoßen könnte, wenn ich das System ordnungsgemäß verwende. Das wäre sozusagen immer die Idealvorstellung. Wir wissen allerdings auch, dass das nie eine 100-Prozent-Erfüllungsquote sein wird, weil das Leben einfach zu vielfältig ist, als dass sich der Designer alles vorstellen könnte, was man damit anstellen kann.
Weiterhin stark im Kommen wird auch aus rechtlicher Sicht der ganze Bereich Verschlüsselungstechnologien sein. Sobald die Daten hinreichend gut verschlüsselt sind, werde ich natürlich keine Probleme mehr mit dem Datenschutz haben. Im Extremfall ist sogar der Datenschutz rechtlich nicht mehr anwendbar, wenn die Verschlüsselung hoch genug ist. Der Grund hierfür ist, dass man da nicht mehr von personenbezogenen Daten spricht. Und es gibt gewisse Entwicklungen, dass man zumindest versucht, bereits verschlüsselte Daten zu verarbeiten. Das ist noch ein bisschen Zukunftsmusik, aber das werden auch wichtige Schritte sein, die die Industrie wahrscheinlich in Zukunft gehen wird.
Wirtschaftswetter: Abschließend: Was halten Sie von Versicherungstarifen, die sich am Verhalten der einzelnen Autofahrer oder Gesundheitsbewussten orientieren und deren Daten entsprechend weiterleiten? Muss eine derart weitgehende Freilegung persönlicher Daten Angst machen, kann das rechtlich gedeckt sein?
Dr. Florian Modlinger: Es kann rechtlich gedeckt sein. Wir haben derzeit schon die Möglichkeit, solche Dinge über eine Einwilligung zu regeln. Es ist auch kein neues Phänomen, das ich personenbezogene Daten und Informationen sozusagen als eine gewisse Währung verwende, um mir dadurch Vorteile zu verschaffen. Als solches ist es durchaus ein vernünftiges Modell, das man auch wählen kann.
Es sollte nur in einen rechtlichen Rahmen gegossen werden. Keiner darf sich faktisch dazu verpflichtet fühlen, seine Daten herauszugeben, weil er ansonsten vielleicht überhaupt keine Autoversicherung mehr bekommt. Es sollte dieses Pflichtmodell nicht geben, sondern die Weitergabe verhaltensabbildender Daten tatsächlich noch eine freie Wahl sein.
Wirtschaftswetter: Auch finanziell eine freie Wahl? – Stichwort: Überteuerte Tarife.
Dr. Florian Modlinger: Es darf natürlich Vergünstigungen geben. Das gehört zu diesem Geschäftsmodell dazu, dass ich meine Daten dafür verkaufe und einen Preisvorteil dafür bekomme. Aber es darf natürlich nicht zu so einem faktischen Druck werden, dass ich nicht mehr freiwillig entscheiden kann, ob ich meine Daten hergebe oder nicht. Das zweite ist natürlich auch: Kontrollmechanismen müssen entsprechend da sein. Insbesondere durch Datenschutzaufsichtsbehörden, was mit diesen Daten dann angefangen wird. Dienen sie tatsächlich nur zur Kalkulation der günstigeren Versicherungsbeiträge oder sollen damit weitergehende Zwecke, gegebenenfalls sogar ein Datenhandel vorbereitet werden? – Das sind relativ zentrale Fragen, die in diesem Zusammenhang geklärt werden müssen.
2016-07-24, Annegret Handel-Kempf, Wirtschaftswetter
Interview + Text: ©Annegret Handel-Kempf und Gesprächspartner Dr. Florian Modlinger
Foto Banner: aph
Infos zu Datenschutz + Cookies
zurück zu: Themen
zurück zu: Startseite
wirtschaftswetter.de
© 2003-2021 Wirtschaftswetter® Online-Zeitschrift