ULD Schleswig-Holstein: Datenschutz als Gestaltungsaufgabe
13.09.2016
[IITR – 13.9.16] Seit 2015 leitet die Informatikerin Marit Hansen die schleswig-holsteinische Datenschutzbehörde. Diese Institution ist in vielerlei Hinsicht ein Unikum: Viele Neuerungen im europäischen Datenschutz gehen auf die Ideen zurück, die Hansens Vorgänger Thilo Weichert und Helmut Bäumler entwickelten.
Unabhängigkeit
Das Besondere zeigt sich bereits im Namen „ULD“: Bäumler setzte über das schleswig-holsteinische Landesdatenschutzgesetz durch, dass sich die Behörde bereits im Jahr 2000 „unabhängig“ nennen durfte: Seither heißt sie „Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein“ – kurz ULD Schleswig-Holstein.
Bäumler hatte die Vorgabe der Unabhängigkeit der europäischen Datenschutzrichtlinie wortwörtlich genommen, viele andere sahen in ihr eher eine Art moralischen Fingerzeig. Erst nachdem der Europäische Gerichtshof 2010 die Bundesregierung für ihre Praxis rüffelte, die Unabhängigkeit des Datenschutzbeauftragten nicht institutionell zu verankern, kam allgemein Bewegung in die Sache: Viele Landesbehörden wurden in die Unabhängigkeit entlassen, beispielsweise erst in diesem Jahr die Bundesdatenschutzbeauftragte und Hamburg.
Hinter der institutionellen Unabhängigkeit steht nicht nur die Frage des Budgets, das nur vom Landtag festgesetzt werden darf, sondern auch die der eigenständigen Personalrekrutierung. Bäumler war es wichtig, nicht die vom Innenministerium vorgeschlagenen Kandidaten oder Abordnungen übernehmen zu müssen, sondern selbst eine Auswahl aus den engagiertesten und fachlich geeignetsten Bewerbern vornehmen zu können.
Das Engagement der Mitarbeiter macht zweifellos überall die Durchschlagskraft einer Behörde aus. Bäumler verstand es intuitiv, intrinsisch motivierte Leute für seine Behörde zu gewinnen. Marit Hansen beispielsweise hatte sich nach ihrem Studium bei Bäumler beworben. Sie kannte ihn aus ihrer Studienzeit, da die Informatik-Fachschaft der Universität Kiel ihn für ein Vorlesungsprojekt hatte gewinnen können.
Vorbilder
Zu Hansens persönlichen Vorbildern gehört der verstorbene theoretische Informatiker Andreas Pfitzmann, der David Chaums Konzept zur Anonymisierung in Netzwerken mit Hilfe von Mixen Ende der 90er auf die digitale Telefonietechnik ISDN übertragen hat. Die Telekommunikationsfirmen hatten an einer praktischen Umsetzung jedoch nie ein wirkliches Interesse. Pfitzmann und seine Schüler waren später an der Entwicklung von Anonymisierungsdiensten für das Internet (z.B. AN.ON) beteiligt. Hansen: „Pfitzmann hat Risikobetrachtungen mit sehr viel Weitblick betrieben und sich immer in die politische Debatte eingemischt. Der Kontakt zu Studierenden war ihm ebenso wichtig. Es war eine schöne Art, miteinander zu diskutieren und die Forschung für einen besseren Datenschutz voranzubringen.“
Zu ihren Vorbildern zählt Hansen auch „meine Chefs, die mich gefördert haben“. Von Helmut Bäumler nahm sie den Grundsatz mit: „Das Bessere ist der Feind des Guten.“ Das bedeutet, „man darf nicht aufhören, wenn man ein kleines Ziel erreicht hat, sondern man muss offenbleiben und neue Ideen entwickeln“. Für Bäumler war die Technik nicht nur der Feind, sondern auch die Lösung. So versuchte er zusammen mit Hansen und John Borking aus den Niederlanden bereits Ende der 90er Jahre, über internationale Gremien wie dem W3C oder der ISO eine Standardisierung von Privacy-Enhancing Technologies (PETs) zu starten. Auch war die Dienststelle zeitweilig an der W3C-Aktivität zur Platform for Privacy Preferences (P3P) beteiligt. Ein Treffen der P3P-Gruppe fand sogar in Kiel statt.
Wie wichtig das Engagement in solchen Gremien wäre, zeigt auch die technisch-organisatorische Vorbereitung der Telekommunikations- und Internetüberwachung. Sie erfolgte über ein Jahrzehnt in europäischen und internationalen Standardisierungsgremien durch Vertreter von Sicherheitsbehörden und Unternehmen, in denen jedoch die Datenschutzbeauftragten „nicht angemessen eingebunden waren. Selbst in den Fällen, in denen Vertreter der Datenschutzbehörden an Treffen teilnahmen, hatte ihre Mitwirkung keine ausreichende Durchschlagskraft entfalten können“, stellt Hansen fest. Daher sagt sie heute: „Ich möchte, dass in der Standardisierung die Datenschutzanforderungen sehr viel mehr berücksichtigt werden, aber jede einzelne Behörde ist dafür zu klein, um ständig bei jedem Meeting präsent zu sein. Dazu brauchen wir den Schulterschluss unter allen Datenschützern.“
Eigene Schwerpunkte setzen
Von Thilo Weichert nimmt Hansen übrigens das Motto mit: „Man kann nicht allen gefallen“, und sowohl von Bäumler als auch von Weichert den Grundsatz, eigene Schwerpunkte zu setzen. Angesichts der Aufgabenvielfalt der Datenschutzbehörden ist eine Schwerpunktsetzung bei chronischer Personalknappheit unumgänglich.
Während Helmut Bäumler im Laufe seiner Amtszeit noch einen beachtlichen Stellenzuwachs vom Landtag gestattet bekam, wurde sein Nachfolger Thilo Weichert meistens mit dem Hinweis auf die knappe Haushaltskasse abgeschmettert. Auch Marit Hansen erhielt für 2017 vorerst keine neue Stelle bewilligt. Doch sie versucht noch sechs Stellen zur Vorbereitung der Umsetzung der europäischen Datenschutz-Grundverordnung sowie eine ganze Stelle für den Bereich „Polizei und Verfassungsschutz“ zu bekommen – derzeit steht dafür nur ein Sachbearbeiter mit einem Stellenanteil von 50 Prozent zur Verfügung. Statistiken über eingehende Bürgerbeschwerden und Beratungsanfragen gibt es in Schleswig-Holstein bisher nicht, aber dies wird sich laut Hansen ändern.
Der klassische Prüfbereich konnte im ULD bislang wegen der knappen Ressourcen nicht ausgebaut werden, zumal seit Bäumlers Zeiten in Schleswig-Holstein auch die gesetzlich festgelegten Präventionsaufgaben wie Beratung, Auditierung, Zertifizierung oder Schulungen und dazu noch der Bereich Informationsfreiheit abgedeckt werden müssen. So ist im Landesgesetz etwa der Selbstdatenschutz verankert. Hansen: „Damit stellt sich für uns die Frage, wie wir dazu beraten können: Schließlich genügt keine Marktübersicht, sondern wir müssen mit den Wissenschaftlern zusammenarbeiten, die Datenschutz-Lösungen entwickeln und gestalten.“ Präventionsaufgaben gehören übrigens mit der Europäischen Datenschutz-Grundverordnung für alle Datenschutzaufsichtsbehörden künftig zum täglichen Geschäft.
Projektmaschine ULD
Die schleswig-holsteinischen Datenschützer gehören dank Hansens Engagement derzeit weltweit zu den sichtbarsten behördlichen Akteuren in Sachen „Privacy by Design“. Beobachten lässt sich das beispielsweise daran, dass das ULD zu diesem Thema immer wieder um Vorträge bei Unternehmen und Verbänden gebeten wird und bei nationalen und europäischen Forschungsprojekten ein favorisierter Ansprechpartner von Unternehmen und Forschungseinrichtungen ist. Erst seit ein paar Jahren beteiligen sich auch andere Datenschutzaufsichtsbehörden beratend und anderweitig an Forschungsprojekten, so beispielsweise der europäische Datenschutzbeauftragte, die hessische und rheinland-pfälzische sowie die bayerische Datenschutzaufsicht. In einigen Fällen findet die Beteiligung bzw. Beratung ohne Fördergelder statt. Einige Behörden haben haushaltsrechtliche Hürden, wenn es um die Arbeit mit zweckgebundenen Projektmitteln geht. Über die letzten 17 Jahre warb das ULD Forschungsprojekte mit einem Volumen von mehr als 10 Mio. Euro ein.
Fairness und Beherrschbarkeit als Gestaltungsziel
Kurz nachdem Hansen 1995 als Informatikerin in einer deutschen Datenschutzbehörde bei Bäumler angefangen hatte, traf sie in Kiel auf den niederländischen Datenschützer John Borking („Privacy by Design Teil 1“). Er hatte im selben Jahr mit dem „Identity Protector“ das erste internationale Konzept entwickelt, das Prinzipien des Datenschutzes nicht rechtlich, sondern technisch-organisatorisch umsetzen wollte. Borking prägte damals auch den Begriff „Privacy-Enhancing Technologies“ (PETs).
Hansen griff Borkings Konzept in den EU-Projekten PRIME, PrimeLife und ABC4Trust auf, wobei Schritt für Schritt über fast zwanzig Jahre beispielsweise die Technik der „attributbasierten Berechtigungsnachweise“ (ABCs) von mehreren Forscherteams in verschiedenen Nationen entwickelt und verbessert wurde („Privacy by Design Teil 2“). Die ABCs stehen heute vor einem breiteren Praxiseinsatz; in anderer technischer Umsetzung finden sich die tragenden Gedanken auch in der datensparsamen Authentifizierungsfunktion des deutschen elektronischen Personalausweises wieder.
Marit Hansen findet den Datenschutz „besonders spannend, wo wir gestalten können, und nicht nur da, wo wir empört sind. Aber wann immer nötig, werden wir auch konfrontativ auftreten und unsere Auffassung mit unseren Mitteln durchzusetzen versuchen.“ Strittige Fragen landen vor Gericht – manchmal über mehrere Instanzen bis hin zum Europäischen Gerichtshof, wo das ULD in Kürze in einem Verfahren zur Verantwortung von datenverarbeitenden Stellen auftreten wird.
Hansen umschreibt ihr Gestaltungsziel mit „Fairness und Beherrschbarkeit“ einer Datenverarbeitung, die in immer mehr Bereichen teilweise mit „unfairen Implementierungen“ auf gesellschaftliche Strukturen Einfluss nimmt. Eine reine Umsetzung gesetzlicher Vorgaben hält sie für „zu kurz gesprungen“. Inzwischen könne man beispielsweise mit ständig veränderbaren Token, die früher nicht denkbar waren, ein neues Niveau an Datensparsamkeit erreichen. Technik allein hält sie aber nicht für die Lösung – ihrer Ansicht nach gibt es sogar Bereiche, in denen Datenverarbeitung „nichts zu suchen hat“.
„Privacy by Design“ steht erst am Anfang
Die Aufgabenschwerpunkte von Hansen kreisen um das Thema „Privacy by Design“ und Prävention. Beispiel Webcam: „Wenn die Hersteller in ihre Produkte den Datenschutz integrieren, würden mehr Anwender auch ein Datenschutzbewusstsein entwickeln.“ So kümmere sich derzeit kaum ein Anwender darum, ob die Kamera auch den Bürgersteig mit den Passanten überwacht, was in den meisten Fällen verboten wäre, oder ob die Überwachungsdaten über einen Server in den USA laufen, was auch nicht rechtmäßig ist. Hansen: „Deshalb ist es wichtig, die Hersteller dabei zu haben.“ Wenn nicht alle Unternehmen dafür gewonnen werden können, kann dies über die Wettbewerbssituation aufgefangen werden – zum Beispiel durch die ULD-Zertifizierung der guten Datenschutz-Lösungen: Die Anwender müssen erfahren, dass es auch datenschutzfreundlichere Produkte gibt und deren Einsatz Vorteile mit sich bringt.
Hansen weist daraufhin, dass die Europäischen Datenschutz-Grundverordnung, die ab Mai 2018 gilt, Datenschutz durch Technikgestaltung als verpflichtendes Prinzip einführt. Die datenverarbeitenden Stellen müssen diese Anforderung beim Aufbau und Betrieb ihrer Informationstechnik berücksichtigen. Dazu gehört beispielsweise, dass der Datenschutz aus Perspektive des Kunden und nicht nur des Unternehmens mitgedacht wird.
Die Datenschutz-Folgenabschätzung, wie sie die Datenschutz-Grundverordnung von den Unternehmen für jede Datenverarbeitung mit hohem Risiko verlangt, ist ein zentraler Hebel. Dazu gehören der Test und die Freigabe von Datenverarbeitungsverfahren seitens der Unternehmen und die Einbindung in ein Datenschutzmanagement, das einen professionellen Umgang mit Datenschutzanforderungen und personenbezogenen Daten gewährleistet. Damit die Behörden die Datenschutz-Folgenabschätzung und die Wirksamkeit von technisch-organisatorischen Maßnahmen effektiv prüfen können, sind gemeinsame Prüf- und Maßnahmenkataloge in Arbeit.
Den Lösungsraum erschließen
Eine zentrale Frage für Hansen ist: „Wie können wir den Lösungsraum kennen und ausbauen?“ Wichtig ist dies etwa für den Maßnahmenkatalog des Standard-Datenschutzmodell-Handbuchs (SDM), nach dem die deutschen Datenschutzbeauftragten künftig vorgehen wollen. Dafür müsste zunächst die Frage beantwortet werden können, wie reif eine Datenschutztechnik ist.
Zentrale Vorarbeiten hierfür kommen direkt aus dem ULD: Das Prüfkonzept für das SDM wurde vom Soziologen und Prüftheoretiker Martin Rost über mehrere Jahre entwickelt – Helmut Bäumler hatte Rost damals an das ULD geholt. Das Prüfmodell möchte Hansen sowohl den kleinen Behörden und Unternehmen in der Region als auch großen Playern, die neue Technologien auf den Markt bringen wollen, schmackhaft machen: Datenschutz-Compliance wird einfacher mit dem Standard-Datenschutzmodell, mit dem sich disziplinübergreifend arbeiten lässt. Marit Hansen mit dem ULD-Team war außerdem maßgeblich an einem Report zur Reifegradmessung einer Datenschutztechnik beteiligt, den die europäische Sicherheitsbehörde ENISA kürzlich vorlegte.
Bislang fehlt den Aufsichtsbehörden wie auch den Unternehmen und Wissenschaftlern ein Repository, das einen Überblick über die möglichen Maßnahmen und Tools gibt und darüber hinaus auch einen Diskurs zu Reifegrad, Schutzniveau, Einsatzbedingungen und ganz allgemein zu Vor- und Nachteilen ermöglichen würde. In einem Repository könnte auch systematisch Feedback zu bestehenden Einsatzmöglichkeiten gesammelt werden.
Bei Auslaufmodellen unter den Maßnahmen und Tools könnten die Voraussetzungen, in denen möglicherweise ein Einsatz für eine Übergangszeit noch toleriert werden kann, zusammengestellt und ergänzende Maßnahmen genannt werden, mit denen sich etwaigen Risiken begegnen ließe. Auch einfache Datenschutz-Praktiken wie das Kürzen von IDs werden bislang in keinem Repository dokumentiert und einheitlich durchgesetzt. Beispielsweise werden bei Kontonummern und Kreditkartennummern üblicherweise die letzten Ziffern gekürzt. Wenn nun aber ein Webshop anfängt, die Nummern von vorne zu kürzen, kann der Schutz für alle durch eine mögliche Kombination der gekürzten Nummern verloren gehen. Ein Repository würde zudem neue Techniken wie die ABCs aufgreifen, die es derzeit noch schwer haben, weil sie bisherige Entscheidungsparadigmen in Frage stellen und von den Betreibern eine Investition in neue Infrastrukturen verlangen.
Kooperationsstrukturen stärken und ausbauen
Für eine Verbesserung des Datenschutzes und die Umsetzung der Datenschutz-Grundverordnung sind dringend belastbare Kooperationsstrukturen und sichere und datenschutzkonforme Kollaborationsplattformen notwendig, die es bisher weder auf nationaler, noch auf europäischer Ebene gibt. Hansen sagt: „Wir brauchen dringend einen besseren Datenfluss für Koordination und Zusammenarbeit. Das hätte schon längst passieren sollen.“ Teilweise müssten aber angesichts unterschiedlicher Kulturen in den europäischen Mitgliedstaaten bei der grenzüberschreitenden Kooperation noch die Basics geklärt werden. So komme es immer noch vor, dass europäische Kollegen für den gemeinsamen E-Mail-Verteiler zum Austausch von Dokumenten eine Gmail-Adresse angeben.
Das ULD wird schon aufgrund seiner regionalen Verortung solche Koordinationsaufgaben nicht übernehmen können, doch es wird wie in der Vergangenheit auch unter Marit Hansen zweifellos ein wichtiger Impulsgeber für die Weiterentwicklung der Datenschutzpraxis bleiben.
Autorin:
Christiane Schulzki-Haddouti
Information bei neuen Entwicklungen im Datenschutz
Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.