HOME

IT-Sicherheit: Der Datenschutz in der globalen Welt

Was passiert mit persönlichen Daten im Internet, wenn die Rechte globaler Unternehmen mit nationalen Gesetzen kollidieren? Viola Schmid, Expertin für Cyberlaw, klärt die wichtigsten Fragen.

Welche Bedeutung hat deutsches Datenschutzrecht in einer globalen Informationsgesellschaft?

Die Diskussion ist kontrovers - so wird etwa überlegt, ob das Thema von den Vereinten Nationen geregelt werden soll. Grundsätzlich glaube ich, dass der Pionier des Datenschutzrechts weltweit - Deutschland - erneut und zu Beginn des 3. Jahrtausends die rechtlichen Konturen für ein IT-Sicherheitsmanagement entwickeln kann. Bestärkt werde ich in dieser Hoffnung durch das "Grundrecht auf Gewährleistung der Integrität und Vertraulichkeit informationstechnischer Systeme". Dieses Grundrecht hat das Bundesverfassungsgericht am 27. Februar 2008 in einer Pionier-Entscheidung begründet. Hier hat sich - nach meinem Kenntnisstand - weltweit zum ersten Mal ein Verfassungsgericht dem Staat verweigert, der die Online-Durchsuchung in einem unbestimmten und konturenlosen Gesetz standardisieren wollte. Auch mit seiner Entscheidung zur Verfassungswidrigkeit von Wahlcomputern vom 3. März 2009 hat das Gericht neue rechtliche Standards für Transparenz als Prinzip im IT-Sicherheitsrecht gesetzt.

Wir erleben seit Monaten einen Datenschutzskandal nach dem anderen. Wie kann sich der Bürger dagegen schützen?

Erste Voraussetzung für Schutz ist Bewusstsein. Ein IT-Sicherheitsbewusstsein ist in breiten Teilen der Bevölkerung noch nicht feststellbar. Hier wird - ähnlich dem Energiesparmarketing, das mit Effizienzsiegeln wirbt - eine öffentliche Diskussion einsetzen müssen, die dann so zentrale Fragen wie etwa die Pflicht zur Verschlüsselung von drahtlosen Netzwerken oder auch die Sicherheit der Zugriffsberechtigung auf diese informationstechnischen Systeme etwa in der Familie bearbeitet. Welche Fragen hier auf uns warten, zeigt die bisher uneinheitliche Rechtsprechung bei der Haftung für Urheberrechtsverstöße mittels Wlans, die von mehreren Personen benutzt werden.

Was können Regierung und Gesetzgeber gegen Kriminelle tun? Oder ist der Staat in einer globalen Informationsgesellschaft wehrlos gegenüber Cyber-Kriminellen?

Für eine Rechtswissenschaftlerin muss gelten, dass die rechtlichen Konturen der Verhütung, Verfolgung und Bestrafung des "Cyberwar" und des "Cybercrime" erarbeitet werden müssen. Man sollte sich nicht von den technischen und rechtlichen Herausforderungen - Stichwort: globale Umgehungsszenarien - entmutigen lassen.

Welche Bedeutung hat das erwähnte Grundrecht in diesem Zusammenhang?

Die juristische Literatur arbeitet zur Zeit die überragende Bedeutung dieses Grundrechts auf. Auch für Laien ist darüber hinaus einsichtig, dass das Gericht erstmals zwei klassische Ziele der IT-Sicherheit - Integrität und Vertraulichkeit - in ihrem Verfassungsrang bestätigt hat.

Die Bundesregierung hat erkannt, dass es keine hundertprozentige Sicherheit geben kann. Was folgt daraus für informationstechnische Großprojekte wie die Lkw-Maut, die elektronische Steuererklärung oder die elektronische Gesundheitskarte?

Wir haben wie etwa beim Einsatz von Kernenergie komplexe Chancen-, Risiken und Folgeneinschätzungen zu treffen. Zwar ist die Parallele zur Kernenergie in technischer, medizinischer und biologischer Hinsicht nicht vertretbar. Aber juristisch beziehungsweise rechts- und technikpolitisch halte ich eine ähnliche Vorgehensweise für notwendig: Auch bei der Informationstechnologie bedarf es einer Einschätzung von Chancen-, Risiken- und Folgen der Einführung solcher Großprojekte. Aktuelles Beispiel ist der Stopp der elektronischen Akte im Personalwesen der Deutschen Bahn.

2500 US-Dollar zahlen Kriminelle für Namen, Wohnort, Sozialversicherungsnummer und andere Stammdaten eines Patienten. Was bedeutet das für das notwendige Schutzniveau in der deutschen Gesundheitstelematik, also die Nutzung von Telekommunikation und Informatik im Gesundheitswesen?

Wir werden unterschiedliche IT-Sicherheitsniveaus entwickeln müssen, die wir auch mit Worten kategorisieren lernen müssen. Das können wir der Informationstechnologie nicht ohne rechtswissenschaftliches Angebot überlassen. So ist aus meiner Sicht der "Maximum Security Standard" (MSS) etwa für Gendaten zu fordern. Wie dieser MSS aussehen sollte, habe ich gerade in einem Forschungsprojekt umrissen. Die Ergebnisse werden kommendes Jahr veröffentlicht. Darüber hinaus werden wir Maßstäbe erarbeiten und die Sicherheitsstandards etwa von Gesundheitsdaten den Sicherheitsstandards von Finanzdaten angleichen müssen - oder andersherum.

Nehmen wir an, Jahre nach Einführung der zentralen Infrastruktur der elektronischen Gesundheitskarte würde festgestellt, dass Millionen Patientendatensätze von Kriminellen illegal kopiert worden sind. Könnte sich die Bundesregierung dann damit rechtfertigen, dass sie ja schon immer gesagt hätte, es könne keine absolute Sicherheit geben?

Grundsätzlich gibt es in keinem Lebensbereich "absolute Sicherheit". Deshalb muss das Recht effektive Sanktionen für Sicherheitslücken entwickeln. Außerdem werden wir für die "Auftragsdatenverarbeitung" im öffentlichen und privaten Bereich neue Funktionsvorbehalte und -modelle entwickeln müssen, die ein zeit- und technologieangemessenes IT-Sicherheitsmanagement ermöglichen.

Reicht das aus? Wenn die Daten eines Patienten heute verloren gehen und er erst Jahre später womöglich schlechtere Bedingungen bei seinem Finanzdienstleister erhält, lässt sich vielleicht nicht nachweisen, dass die schlechteren Bedingungen auf den ungünstigen Patientendaten basieren. Brauchen wir womöglich schadenunabhängigen Ersatzanspruch allein für den Verlust von Patientendaten?

Das ist die spannende Frage, ob geltendes Datenschutzrecht effektiv und effizient durch die Datenschutzbeauftragten und Aufsichtsbehörden umgesetzt wird. Zur Klärung dieser Vorfrage führt mein Lehrstuhl eine Umfrage unter sämtlichen Landesdatenschutzbeauftragten sowie dem Bundesdatenschutzbeauftragten durch. Nach Auswertung der Fragebögen werde ich ein belegbareres Bild von der Effizienz und Effektivität des geltenden Datenschutzrechts zeichnen können. Dann wird man über persönlichkeitsschutzrechtliche Schmerzensgeldansprüche nachdenken. Zentrale Voraussetzung hierfür ist die Kenntnis von IT-Sicherheitslücken. Hier werden wir eine Gesetzgebung zur Offenlegung von Sicherheitslücken zu diskutieren haben. Vielleicht folgen wir dabei den USA, wo es solche Gesetze bereits gibt.

Könnte ein Arzt wegen Verletzung seiner ärztlichen Schweigepflicht verklagt werden, weil er die elektronischen Akten seiner Patienten zur Datenverarbeitung außer Haus gegeben hat?

Die Frage, welche IT-Sicherheitstandards für die Wahrung der ärztlichen Schweigepflicht zu fordern sind und inwieweit die Verarbeitung von elektronischen Patientendaten outgesourct werden darf, bedarf einer Klärung durch die Rechtsprechung. Ich halte es grundsätzlich für möglich, den Ärzten auch mit Onlineanbindung der elektronischen Gesundheitskarte Rechtssicherheit zu gewährleisten. Jedenfalls aber darf es nicht - wie bereits in den USA geschehen - passieren, dass sich Daten von zehntausend Patienten im Internet finden.

Das Interview führte Joachim Jakobs
Kann ich mich auf Geschwindigkeitsanzeige FritzBox verlassen?
Hallo zusammen, erstmal herzlichen Dank für die Leute, die sich Zeit nehmen Fragen zu beantworten oder ihre Erfahrungen mit anderen teilen. Das ist oft hlifreich, wenn man sich nicht so auskennt. Ich hoffe, dass mir jemand weiterhelfen kann. Die Telekom hat hier nach langer und ersehnter Zeit schnelle Leitungen verlegt. Mitarbeiter waren auch zu Besuch da und auch nett:-) Sie wollten ja auch, dass ich von 1und1 wieder zurück wechsel. Das ist für mich in Ordnung und gehört zum Wettbewerb. Da jedoch die Mitarbeiter mir sagten, dass die Telekom für paar Jahre das Vorrecht hätte, könnte ich schnelles Internet nur über Telekom beziehen. Sprich entweder Telekom und schnelles Internet oder langsames Internet. Da habe ich im Internet recherchiert und rausgefunden, dass das so nicht mehr stimmt. Das war der Grund, warum ich dann bei 1und1 DSL100 abgeschlossen habe, da man mir am Telefon gesagt, dass es ohne Probleme möglich wäre. Nun ist es jedoch so, dass wir gar nicht so merken, dass unser Internet schneller ist. Gerade in der oberen Etage kann man nicht ohne Router surfen oder Sky über Internet Fernsehen. Nun meine Frage: Bei der Fritzbox wird es jedoch angezeigt. Kann ich mich drauf verlassen? Oder wie macht ihr eure Messungen? Ich weiss, dass es Software gibt, aber der feste Rechner ist bereits alt und hat einen alten Internet Explorer drauf. Wenn ich mit einem Laptop im Wlan mich reinhänge, wird sicher die Geschwindigkeit sowieso niedriger und nicht verwertbar sein, oder? Vielen Dank für die Antworten.