Die Ausdehnung des IT-Sicherheitsgesetzes, die europäische ePrivacy-Verordnung, die ISO-Zertifizierung für den Datenschutz – das Jahr 2019 dürfte einige gesetzliche Neuerungen im Bereich Informationssicherheit und Datenschutz bringen. Nicht zuletzt deshalb wird die Rolle der Datenschutzbeauftragten in Unternehmen und öffentlichen Stellen immer wichtiger.
Durch Digitalisierung und E-Government nimmt die Informationsverarbeitung im öffentlichen Sektor mit hoher Dynamik zu. Die Technikgeschwindigkeit und die Dauer von Rechtssetzungsprozessen nähren manchen Zweifel, ob die Informationssicherheit und der Datenschutz da überhaupt Schritt halten können. Beide sind jedoch Grundvoraussetzungen für eine moderne, technologiefreundliche Demokratie, die sich auf einen selbstbestimmten Bürger stützen will. Dieser wiederum empfindet den Schutz seiner Privatsphäre als Ausdruck eines ihm geschuldeten Respekts.
Wie sieht es in der Realität aus? In den sozialen Medien wird praktisch alles preisgegeben, was sich halbwegs in Wort und Bild fassen lässt. Meldungen über Fake News, Hackerangriffe, Schadsoftware und Datenpannen fluten die Medien und lassen die Anwender ratlos zurück. Das notwendige Bewusstsein für Datenschutz hat sich noch nicht überall etabliert und ist mancherorts der Resignation gegenüber der scheinbaren Allmacht globaler Datenkonzerne gewichen.
Sowohl in Unternehmen als auch bei staatlichen Stellen werden die verstärkten Anforderungen an Datenschutz und Informationssicherheit häufig als zusätzliche Bürokratie empfunden. Dabei wird Datenschutz inzwischen weltweit ernst genommen. So hat Kalifornien – auch mit Apple als Fürsprecher – ein Gesetz auf den Weg gebracht, das sich an der EU-Datenschutzgrundverordnung (DSGVO) orientiert und 2020 in Kraft tritt. Die DSGVO beansprucht weltweite Geltung – immer dann, wenn persönliche Daten von Europäern verarbeitet werden.
Die anstehende Gesetzgebung
Dem europäischen Datenschutz fehlt derzeit noch mindestens eine Abrundung, die unter der Bezeichnung „ePrivacy-Verordnung“ in Vorbereitung ist (offizieller Name: „Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC“). Dabei geht es um den Schutz personenbezogener Daten im Internet, insbesondere im Bereich der Interaktion, somit der elektronischen Kommunikation.
Im Bereich der Informationssicherheit gibt es ebenfalls Bewegung. Unter dem Stichwort „IT-Sicherheitsgesetz 2.0“ ist 2019 mit gesetzgeberischen Initiativen zu rechnen, durch die das 2015 eingeführte IT-Sicherheitsgesetz auf Betreiber kleiner kritischer Infrastrukturen (KRITIS) sowie auf weitere Sektoren ausgeweitet werden dürfte.
Zudem steht mit der ISO 27552 die Ergänzung des ISO-Sektors um den Datenschutz im Blickfeld. Damit rückt die Grundlage einer amtlichen Datenschutzzertifizierung in Reichweite – zunächst für jene Unternehmen, die sich die zugrunde liegende ISO 27001-Zertifizierung leisten können. Im Vordergrund dieser Norm steht die Verhinderung wirtschaftlicher Schäden durch IT-Sicherheitsrisiken. Für kleinere Unternehmen und öffentliche Stellen ist eine offizielle (und bezahlbare) Zertifizierbarkeit durch amtlich genehmigte Verfahren und staatlich akkreditierte Stellen noch nicht in Sicht; sie wird bislang auch häufig nicht gefordert. Allerdings verlangen die E-Goverment-Gesetze einzelner Länder die Erstellung und Umsetzung von Informationssicherheitskonzepten. Diese könnten als Grundlage dafür dienen, die Anforderungen im technischen Datenschutz zu erfüllen.
Die Rolle der Datenschutzbeauftragten ändert sich
Die Politik hat erkannt, welch enormen Aufwand die Datenschutzgesetzgebung in der Gesellschaft ausgelöst hat. Mehrere Bundesländer hielten ihre Aufsichtsbehörden nach dem Inkrafttreten der DSGVO am 25. Mai 2018 dazu an, zunächst Beratung vor Sanktion zu stellen. Inzwischen sind wir aber in der Normalität angekommen: Die ersten Bußgelder europäischer Behörden zeigen, dass man 2019 nicht mehr bei jedem Datenschutzverstoß mit dem Langmut der Aufseher rechnen kann. Dadurch wiederum erhöht sich die Bedeutung der Datenschutzbeauftragten, die für ihre Organisationen bzw. Mandanten das komplexe Datenschutzregelwerk durchleuchten und die jeweils bindenden rechtlichen Verpflichtungen zutage fördern. Sie erst liefern die nötigen Informationen, mit denen die Leitungsebene, die ja in Verantwortung und Haftung steht, die erforderlichen Erklärungen und Dokumentationen anlegen und fortlaufend aktualisieren kann.
Datenschutzbeauftragte sind idealerweise Multibegabungen: Sie sollten sich einerseits am juristischen Umfeld orientieren, also einschlägige Gesetzestexte verstehen und Urteile interpretieren können. Andererseits sollten sie mit den Grundprinzipien der modernen Informationsverarbeitung und den Fachanwendungen ihrer Unternehmen bzw. Mandanten vertraut sein. Wer sowohl in der IT also auch im Recht zu Hause ist, dem stehen viele Türen offen.
Die Anforderungen an die Experten für den Datenschutz und die Informationssicherheit steigen also. Nicht alle Unternehmen und öffentlichen Ämter werden die entsprechenden Stellen intern besetzen können oder wollen. Externe Dienstleister nehmen daher in Zukunft eine unverzichtbare Rolle ein – sofern sie ihr Personal permanent weiterqualifizieren und damit immer bedarfsgerecht einsetzen können.
von Thomas Hofer, Leiter der Rechtsinformatik an der Juristischen Fakultät der Ludwig-Maximilians-Universität München