Wer glaubt, mit Martin Rost mal eben schnell die Anwendung des Standard-Datenschutzmodell lernen zu können, bekommt schon ganz am Anfang den Wind aus den Segeln genommen – obwohl sein Buch mit 224 Seiten recht kompakt bleibt: »Selbstverständlich verspreche ich nicht, dass ein wirksamer Datenschutz mit wenig Aufwand durch das SDM umsetzbar ist. Nein, vielmehr ist das Gegenteil der Fall: Das SDM zeigt auf, welch unbestreitbar hoher Aufwand zu betreiben ist, um wirksamen Datenschutz gemäß DSGVO zu erreichen.«, heißt es im Vorwort von »Das Standard-Datenschutzmodell (SDM) – Einführung, Hintergründe und Kontexte zum Erreichen der Gewährleistungsziele«.

Wer sich dennoch darauf einlässt, mit Rost die Methodik zu verstehen statt nur Checklisten abzuarbeiten, wird dabei von einem der Entwickler und profundesten Kenner des SDM begleitet. Der Autor beschränkt sich dabei nicht auf die rein operative Anwendung oder die strategische Planung: Das Praxis-Buch ist zugleich eine Streitschrift für einen grundrechtlich fundierten Datenschutz.

Didaktisches Konzept

Inklusive Vorwort und Fazit besteht das Buch aus elf Kapiteln. Das didaktische Konzept wird schon im Inhaltsverzeichnis deutlich: Erst Kapitel 9 trägt die Überschrift »SDM anwenden«. Für das Selbststudium mit dem Buch schlägt Rost drei Ansätze vor: die Lesepfade »Schlendern« (durch die jeweils komprimierten Zwischenfazite an den Enden der Kapitel), »Intensiv« durch das mehrfache Durcharbeiten und »Effizient« für bereits grundsätzlich im SDM erfahrene Praktiker*innen. Immer wieder gibt der Autor dem*der Leser*in Aufgaben an die Hand, die das Verständnis der Materie fördern sollen und nicht auf die Reproduktion von Sachwissen abzielen. Rost hält nichts von »sinnlosen, leerdrehenden Aktivitäten« zum Datenschutz, die sich auf das Ausfüllen von Vorlagen und Verarbeitungsverzeichnis-Mustern beschränken. Stattdessen legt er zunächst eine Grundlage dafür, was Datenschutz eigentlich ist und was er soll.

Datenschutz geht mit Machtasymmetrien um

Eindrücklich macht Rost sein grundrechtliches Verständnis von Datenschutz stark. In Analogie zum Umweltschutz ist das Ziel nicht Compliance mit dem jeweiligen Recht, sondern ein sorgfältiger, fairer Umgang mit Menschen hier, der Natur dort als eigentliches Ziel des jeweiligen Konzepts. Datenschutz ist für den Autor heute eine essentielle Operationalisierung von Grundrechten; er geht sogar so weit, ihn als den »Indikator für die Moderne einer modernen Gesellschaft« überhaupt zu bezeichnen. (Rost ist Soziologe). Auf den Punkt bringt er die Funktion des Datenschutzes so: »Organisationen in modernen Gesellschaften sind latent motiviert, und in der Regel auch in der Lage, die Grundrechte von Personen nicht wirksam zu beachten. Die Funktion des Datenschutzes besteht deshalb darin, Personen vor latent übergriffigen Organisationen zu schützen. Die Funktion des Datenschutzrechts besteht darin, die Machtasymmetrie beim Zugriff von Organisationen auf Personen unter normative Bedingungen zu stellen.« [Hervorhebung ergänzt] Technik materialisiere die Machtasymmetrie zwischen Organisationen und Personen und verstärke die vorhandene Machtasymmetrie.

Damit unterscheidet sich Datenschutz massiv von IT-Sicherheit trotz der gerade in der betrieblichen Praxis vorzufindenden Nähe: »[Informationssicherheit] schützt Geschäftsprozesse, [Datenschutz] schützt Personen vor diesen Geschäftsprozessen und deren Sicherheitsmaßnahmen«, heißt es im Kapitel über den Kontext des SDM zum Unterschied zwischen SDM und dem IT-Grundschutz des BSI. Anders als das BSI im IT-Grundschutz geht es für Rost im Datenschutz gerade nicht primär darum, Personen vor Dritten zu schützen, sondern vor der jeweiligen Organisation selbst: »Hauptangreifer im Datenschutz ist immer derjenige, der den Verführungen der Nutzenmaximierung aus den eigenen Datenverarbeitungen am stärksten ausgesetzt ist und der gleichzeitig über die stärksten Mittel verfügt, genau diesen Verführungen zum Überreizen zu widerstehen, nämlich die datenverarbeitende Organisation, in persona: der Verantwortliche.«

In die Rolle des*der Datenschutzbeauftragten sind damit Konflikte notwendig eingepreist: »Datenschutzbeauftragte müssen somit entschieden als Anwält*innen der Interessen von Bürger*innen gegenüber Behörden, von Kund*innen gegenüber Unternehmen, von Patient*innen gegenüber Krankenhäusern, von Schüler*innen gegenüber Schulen und Kultusministerien, von Gefangenen gegen den Strafvollzug oder von Mitarbeiter*innen gegen Arbeitgeber auftreten.«

Von Grundrechten aus gedacht

Dass das Buch in seinem Kapitel über Recht einen Überblick über die DSGVO gibt, ist zu erwarten. Der Durchgang setzt dabei einen größeren Schwerpunkt auf die Systematik und das Gesamt des Systems als auf die Details. Das hält das Kapitel kompakt und bleibt im didaktischen Konzept, Verstehen und nicht die Reproduktion von Fakten anzupeilen. Sehr erhellend ist die Verortung von Datenschutz in den Grundrechten, insbesondere der EU-Grundrechtecharta.

Der grundrechtlich fundierte Ansatz wird später noch einmal wichtig, wenn es um den Begriff des Risikos und seine Unterscheidung von einem betriebswirtschaftlichen Risikobegriff geht: Einem betriebswirtschaftlichen Risiko kann grundsätzlich finanziell begegnet werden. Eine Versicherung kann beim Eintritt eines betriebswirtschaftlichen Risikos ent-schädigen. Bei Grundrechten ist eine derartige Entschädigung nicht möglich: »Man hat im Datenschutz entschieden die Schutzperspektive der betroffenen Personen einzunehmen, diese haben einen Schutzbedarf vor den Risiken, den die Verarbeitungstätigkeiten der Organisation erzeugen.«

Geschichte des SDM und der Gewährleistungsziele

Bei oberflächlichem Lesen könnte das eigentlich sehr konkret überschriebene Kapitel »Gewährleistungsziele« als etwas zu plaudernd aufgefasst werden. Rost schiebt dort einen historischen Exkurs zur Entstehung des SDM im Kontext der Datenschutzkonferenz, der Reform von Landesdatenschutzgesetzn und der Entstehung der DSGVO ein. Der praktische Ratgeber wird aufgrund der intimen Kenntnis von Rost, der selbst von Anfang an beteiligt war, zugleich zu einer wichtigen historischen Quellensammlung. Insbesondere die Entdeckung des Gewährleistungsziels der Intervenierbarkeit als Gegenpol zur Integrität durch den Informatiker Andreas Pfitzmann nimmt dabei viel Raum ein. Das liest sich sehr unterhaltsam: Pfitzmann habe zuerst von »Intrigität« gesprochen. »Mir ist bis heute nicht klar, ob im Ernst, im Spaß oder aus pädagogischer Absicht, um uns durch überraschende Ironie vor der Falle eines lethargischen Vorverständnisses zu bewahren. Die Funktion dieses Schutzziels sollte darin liegen, dem heiligsten aller Schutzziele, nämlich der „Integrität“, etwas entgegenzusetzen.«

Tatsächlich ist gerade dieser scheinbar unnötige historische Exkurs didaktisch sehr wirksam: Der Ausflug in die Entstehungsgeschichte, die Begleitung der Entwicklung lässt bei der Lektüre die Funktion von Gewährleistungszielen deutlich plastischer nachvollziehen als bloße Definitionen.

Praxis des SDM

Trotz der grundrechtlichen und grundsätzlichen Fundierung des Ansatzes ist Rosts Buch auch eine sehr praktische Einführung ins SMD: Kapitel zum Begriff der Verarbeitung, zu Gewährleistungszielen, Datenschutzrisiken, technischen und organisatorischen Maßnahmen legen die Fundamente, um schließlich Datenschutz über den SDM-Würfel zu modellieren, Datenschutz zu prüfen, Datenschutzfolgen abzuschätzen und Datenschutz zu managen. Hier wird das Buch dann auch deutlich konkreter, inklusive dann doch einiger Checklisten und Schaubilder. An dieser Stelle dürfte die Versuchung, Listen einfach nur formal abzuhaken, dann auch deutlich reduziert sein.

Von Anfang begleiten zwei Beispiele durch das Buch: eine Bildungs- und Entwicklungsdokumentation in der Kita sowie Fahrtenschreiber, mit der eine KfZ-Versicherung Risikobereitschaft von Nutzenden erfasst und diese Daten nutzen will. Anhand dieser Szenarien werden die Grundlagen von Anfang an auf die Praxis hin fruchtbar gemacht.

Blick auf das Kirchliche Datenschutzmodell

Nur kurz, aber wertschätzend wird das Kirchliche Datenschutzmodell gestreift: »Im Kontext der beiden großen christlichen Kirchen Deutschland gibt man sich besondere Mühe, durch aufwändige Hilfestellungen das SDM in die Praxis zu bringen.« Gekennzeichnet ist das KDM für Rost vor allem durch den Fokus auf Anwendbarkeit im kirchlichen Kontext. Dieser Fokus kann für den Autor auch für Anwender*innen des SDM hilfreich sein: »Hier sind gute Entwicklungen bzgl. der Anwendung des SDM auch in kleineren Organisationen zu erwarten.«

Fazit

Die Einführung von Martin Rost ist anspruchsvoll. Wer Patentrezepte und schnelles Abhaken erwartet, wird enttäuscht werden – planmäßig enttäuscht. Ein derart durchdachtes didaktisches Konzept ist bei Fachbüchern selten zu finden. Der Lesepfad »Intensiv« dürfte die umfassende Befassung mit den 224 Seiten eher zum einem Projekt über Wochen als über Tage machen. Aber auch wer weniger Zeit in das Buch investiert, kann es mit großem Gewinn lesen – selbst dann, wenn das eigene Interesse gar nicht im praktischen Datenschutzmanagement besteht.

Die Analyse von Machtasymmetrien und die darauf aufbauende Funktionsbestimmung von Datenschutz ist deutlich plausibler als der von Rost als Beschwörungsformel identifizierte Schutzzweck der informationellen Selbstbestimmung. (»„Informationelle Selbstbestimmung“ ist psychologisch oder soziologisch jedoch eine rätselhafte Vorstellung, die mit empirischen Ansprüchen an eine Deckung des Gesagten schlichter Unsinn ist.«) Mit dieser Analyse können Datenschutzbeauftragte ihre Rolle in der Praxis klären – sie kann aber auch als Kritikfolie für die Gestaltung von Organisationen, Politik und Recht dienen, um die eigene inhärente latente Übergriffigkeit kritisch zu reflektieren. Gerade in der kirchlichen Gesetzgebung wäre das dringend nötig.

Rost selbst verweist darauf, dass Datenschutz komplex ist und kleine Organisationen überfordern kann. Am Beispiel von Praxen sieht er neben der von ihm als unbequem bezeichneten Möglichkeit einer politisch festgelegten organisatorischen Mindestgröße Berufsverbände in der Pflicht »anstatt gegen den Datenschutz zu lobbyieren für Ihre Mitglieder Serviceleistungen wie eine DSFA für einen rechtlich und operativ gesicherten Praxisbetrieb zu erbringen«. Das ist nachvollziehbar, aber unbefriedigend: Datenschutzmanagement für kleine und kleinste Unternehmen und vor allem für Vereine handhabbar zu machen, bleibt ein Desiderat, das eine Einführung dieser Tiefe nicht leisten kann.

Martin Rost: Das Standard-Datenschutzmodell (SDM) – Einführung, Hintergründe und Kontexte zum Erreichen der Gewährleistungsziele, Springer Vieweg 2022, xi, 224 S., 59,99 Euro.