Fünf Jahre DSGVO – auf der Suche nach digitaler Souveränität

Auch im Jahr sechs der Geltung der DSGVO gibt es immer noch eine Ambivalenz zwischen Anspruch und Wirklichkeit des Datenschutzes, stellte die frisch aus dem Amt geschiedene niedersächsische Landesdatenschutzbeauftragte Barbara Thiel beim Podium auf der von Althammer & Kill organisierten Fachtagung »Datenschutz & Informationssicherheit« am Donnerstag in Paderborn fest.

Von links nach rechts auf dem Podium: Erik Kahnt (Stv. des Datenschutzbeauftragten für Kirche und Diakonie (DSBKD)), Christian Schultz (kaufmännischer Vorstand der Diakonie Stiftung Salem) und Barbara Thiel (Landesbeauftragte für den Datenschutz in Niedersachsen a. D.)
Auf dem Podium diskutierten Erik Kahnt, Barbara Thiel und Christian Schultz. Schultz, kaufmännischer Vorstand der Diakonie Stiftung Salem, berichtete über den Ransomware-Angriff auf seine Einrichtung, der die komplette IT lahmgelegt hatte. (Foto fxn/Montage)

Die DSGVO sei mit dem Anspruch angetreten, einheitliches Recht für sämtliche europäische Mitgliedsstaaten zu schaffen und das Recht zu harmonisieren. Der Anspruch sei von vorherein durch Öffnungsklauseln und teils überschießender Ausfüllen der Spielräume vor allem in Deutschland aufgeweicht worden, klagte Thiel: »Das empfinde ich als äußerst misslich, dass wir so viel an nationalem Recht haben, insbesondere im Bereich der Wirtschaft.«

Keine Hoffnung auf Reformen

Ein großes Problem des Datenschutzrechts sieht Thiel im Ansatz, ein einheitliches Recht für alle zu setzen. Alle Anforderungen der DSGVO zu erfüllen, sei für kleine Organisationen schwierig. Vom Gesetzgeber erwartet sie dabei keine Besserung: Die eine Änderung im Namen der Vereinfachung für kleinere Organisationen, die Anhebung der Zahl der datenverarbeitenden Beschäftigten, ab der betriebliche Datenschutzbeauftragte bestellt werden müssen, habe die Situation nicht verbessern können. Vom EU-Gesetzgeber erwartet sie nichts: »Die DSGVO wird nicht mehr geöffnet, davon gehe ich ganz fest aus, das würde die Büchse der Pandora öffnen und sämtlichen Lobbyisten in Brüssel die Möglichkeit geben, alles zu hinterfragen.« Dabei sieht auch sie überholte Elemente des Datenschutzrechts: Insbesondere über Zweckbindung und Datenminimierung als Grundsätze müsse man angesichts der Entwicklungen im sonstigen Datenrecht nachdenken.

Der zweite Aufsichtsvertreter auf dem Podium war Erik Kahnt, der Stellvertreter des des Datenschutzbeauftragten für Kirche und Diakonie, der kleineren der beiden verblieben evangelischen Aufsichtsbehörden. Er betonte in seinem Eingangsstatement, dass Datenschutz in Organisationen das führende System sein müsse, wenn es um Datenverarbeitung geht: »Informationssicherheit muss sich dem Datenschutz unterordnen.« Das sei eine große Herausforderung für Institutionen, da sich Datenschutz so auch gegen die eigenen institutionellen Interessen richten müsse. (Eine Position, die auch Martin Rost in seinem Buch zum Standard-Datenschutzmodell sehr stark macht.) Die Arbeit der Aufsicht ist aus seiner Sicht momentan vor allem von der rasenden Entwicklung der Technik geprägt. Tagtäglich werde man mit Neuerungen konfrontiert, etwa Fortschritten bei der KI. Selbstkritisch stellte er fest, dass die Aufsichten auf diesem Feld früher hätten handeln müssen.

Auf die Forderung nach Datenschutz als führendem System reagierte Thiel ablehnend. Datenschutz und IT-Sicherheit müssten gemeinsam und ganzheitlich bedacht werden. Dennoch stellte sie einen gewissen Überhang von IT-Sicherheit fest, wenn nur die Unternehmenssicht im Blick ist, nicht aber der Schutz von Betroffenen, insbesondere bei der Gestaltung von technischen und organisatorischen Maßnahmen.

Digitale Souveränität

Ein großes Thema ist für Kahnt digitale Souveränität, die er als »Beherrschbarkeit« der digitalen Infrastruktur fasst. Hier sieht er große Herausforderungen für kirchliche Stellen: Gerade kleinere Einrichtungen müssten sich kritisch fragen, ob sie überhaupt in der Lage sind, größere IT-Projekte dauerhaft selbst zu meistern. Als Beispiel führte Kahnt dabei die Anforderung einer Einrichtung an, Dateien zwischen einer Handvoll verschiedener Standorte auszutauschen: Eine Einführung von MS 365, wie von einem IT-Dienstleister ins Spiel gebracht, würde solche Organisationen überfordern und neue Angriffsvektoren einziehen. Eine einfache Datenaustauschplattform – Kahnt sprach von einer fertigen Nextcloud-Lösung – sei in solchen Fällen empfehlenswert. »Überlegen Sie: Arbeiten Sie nach dem Prinzip nice to have oder need to know? Was brauche ich, um meinen Auftrag zu erfüllen, und was ist einfach nur schick?«, empfahl er als Leitfragen für Einrichtungen.

Auch für die staatlichen Aufsichtsbehörden ist digitale Souveränität seit Jahren ein wichtiges Thema, ergänzte Thiel, vor allem für den öffentlichen Bereich: »Wir plädieren dafür, dass der öffentliche Bereich autark wird und die Bindung an MS-Produkte aufhört.« Das sei aber ein langer Weg – und oft deshalb ein steiniger Weg, weil die DSGVO nur Verantwortliche und nicht auch Hersteller in die Pflicht nimmt.

Spezifische Aufsichten und DSK

Die Datenschutzkonferenz hat kein Interesse daran, spezifische Aufsichten auf Augenhöhe einzubinden. Das machte auch Thiel deutlich. Sie zeigte wenig Verständnis für Wünsche nach einer stärkeren Beteiligung: »Auf der einen Seite pocht man auf die Selbständigkeit, auf der anderen Seite haben wir viele Diskussionen und Debatten, wie wir diese spezifischen Aufsichtsbehörden in die DSK integrieren und sie an den Entscheidungen beteiligen.« Wenn die spezifischen Aufsichten schon unabhängig sein wollen, dann bitte aber auch richtig – ohne Einbindung in die DSK. (Der aktuelle BDSG-Referentenentwurf spielt insofern der DSK in die Hände.) Über die Beteiligung bei einer eng ausgelegten Betroffenheit der spezifischen Aufsichten und das zweimal im Jahr stattfindende Austauschtreffen hinaus zeigt sie kein Verständnis für mehr institutionelle Beteiligung. Sie könne es aber verstehen, dass es unbefriedigend sei, wenn die Austauschrunden zwischen DSK und spezifischen Aufsichten nur aus Vorträgen und Berichten bestehen. Kahnt betonte dagegen die gut funktionierende Arbeitsebene, insbesondere durch die Möglichkeit der Mitarbeit in Ausschüssen.

Offen blieb auch bei dieser Podiumsdiskussion die Frage nach Bußgeldern, die evangelische Aufsichten verhängt haben. Kahnt antwortete nur allgemein für den kirchlichen Bereich und verwies auf fünfstellige Beträge als höchste kirchliche Geldbußen bisher, ohne weiter ins Detail zu gehen. Gemeint war damit wohl das vom KDSZ Frankfurt 2020 verhängte Bußgeld. Im Laufe der Tagung sagte ein Redner im Plenum, dass noch nie ein evangelisches Bußgeld verhängt worden sei – das blieb unwidersprochen.

Fazit

Es lohnt sich, Vertreter*innen von Aufsichtsbehörden auf Podien zu holen: Die Einblicke in die tägliche Arbeit und Einschätzungen zur aktuellen Lage geben ein besseres Gefühl für das Agieren der Aufsichten als die Tätigkeitsberichte allein.

Bemerkenswert war die Klarheit, mit der Thiel eine stärkere Einbindung der spezifischen Aufsichten in die DSK ablehnte. Das Argument, dass wenn es schon spezifische Aufsichten gibt, die Entscheidung zur Eigenständigkeit auch konsequent durchgehalten wird, klang in seiner Pauschalität fast etwas beleidigt angesichts von Forderungen nach mehr. »Man kann nicht alles haben«, sagte Thiel wörtlich. Der Gedanke einer einheitlichen Anwendung des Datenschutzrechts, das mit Blick auf die EU-Mitgliedsstaaten noch stark gemacht wurde, scheint bezogen auf die Lage innerhalb Deutschlands nicht mehr so relevant zu sein.

Offenlegung: Bei der Tagung war ich bezahlter Referent, aber nicht an der Podiumsdiskussion beteiligt.

Ein Gedanke zu „Fünf Jahre DSGVO – auf der Suche nach digitaler Souveränität

  1. Hans Christian Asemissen

    Nicht nur durch die Haltung zu den spezifischen Aufsichten, sondern auch noch durch ihr vehementes Klagen über die fehlende Personalstärke in den Aufsichtsbehörden, hat Frau Thiel deutlich gemacht, dass es ihr entgegen des im Eingangsstatement kundgegebenen Allgemeinplatzes, dass „Datenschutz Digitalisierung ermögliche“ nicht um einen Schutz der (ggf.) schützenswerten Nutzer geht, sondern vor allen Dingen um Durchsetzen von Machtpositionen, die „gemessen, kontrolliert und reguliert“ werden müssen.
    Der neu ausgerufene Technologie-Nationalismus gegen die „amerikanische Cloud“ zu Gunsten „Deutscher Open Source“ Anwendungen beinhaltete dabei genauso wenig praktische Lösungen, wie der „ausgeprägte Wunsch nach Diskurs“ zwischen Aufsichtsbehörden und Anwendern.

    Erfrischend war da die Haltung von Herrn Christian Schulz, Kaufm. Vorstand und Geschäftsführer der Diakonie Stiftung Salem, der im letzten Jahr Opfer einer Cyberattacke geworden war und sich im Rahmen der Neuausrichtung der Systeme für Microsoft-Dienste entschieden hat. Nicht nur auf Grund des Gesamtpaketes, sondern vor allen Dingen, weil er so schnell wie möglich „wieder handlungsfähig werden musste“.

    Auch wenn ich zustimme, dass wir alle einen intensiveren Dialog mit den Aufsichtsbehörden führen sollten, wünsche ich mir für diesen doch dann auch einen gewissen Pragmatismus.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert