"Privatsphäre und Datenschutz sind nicht gleichbedeutend"

Welchen Empfehlungen würden Sie den Unternehmen in der Planung von Systemen und Geschäftsmodellen geben mit Datenschutzanforderungen umzugehen, beziehungsweise was hätten Apple oder Sony beachten sollen?

Peter Schaar: Ein Rat ist leicht zu geben, aber bisweilen schwer umzusetzen. Schon in einem sehr frühen Stadium des Systemdesigns sollten Datenschutzanforderungen berücksichtigt werden, insbesondere wenn schutzbedürftige personenbezogene Daten anfallen können. Die Unternehmen müssen dabei den Erwar-tungshorizont und die berechtigten Interessen der Nutzer berücksichtigen. Zugleich müssen die Systeme auch rechtlichen Vorgaben genügen. Sonst kann man sie möglicherweise nicht ordentlich vermarkten. Privacy by Design ist also der erste Aspekt, den man beim technologischen Datenschutz beachten muss.

Der zweite Aspekt ist eher bei der Gestaltung von Geschäftsmodellen beziehungsweise beim Einsatz von technischen Systemen im Enduserbereich zu sehen: Man darf die Nutzer nicht überfordern. Der Nutzer, der sich an ein Unternehmen wendet und einen bestimmten Dienst in Anspruch nimmt, soll ohne größere Schwierigkeiten sicher sein, dass der Datenschutz gewahrt ist. Da geht es manchmal nur um einfache Voreinstellungen. Denken Sie nur an das schlechte Beispiel der frühen WLAN-Router, bei denen die unver-schlüsselte Kommunikation voreingestellt war. Das hatte zur Folge, dass der Einzelne mit dem Schutz seiner Daten überfordert war. Zwar gab es durchaus Schutzmechanismen, aber der IT-Laie war nicht in der Lage, sie zu nutzen. Die zweite Forderung ist daher Privacy by Default, das heißt, dass Datenschutz und Sicher-heitseinstellungen vorkonfiguriert sind und es dem Einzelnen überlassen bleibt, diese zu verschärfen oder abzumildern. Es darf ja auch kein Auto ohne Bremsen verkauft werden. Die Bremsen müssen funktionieren, wenn man das erste Mal das Pedal tritt und nicht erst nachdem man im Motorraum drei Schalter umgelegt hat.

Ganz wichtig ist bei all dem auch die Frage der Usability: Datenschutz für den Einzelnen verstehbar und handhabbar machen. Die Granularität und Komplexität von Schutzmechanismen darf nicht so weit gehen, dass man erst ein Studium absolviert haben muss, um einen Dienst sicher nutzen zu können. Das bedeutet auch, dass gegebenenfalls technische Hilfsmittel bereitgestellt werden, die den Datenschutz unterstützen, indem sie die Vorgaben und Erwartungen des Betroffenen in Code und Signale umsetzen. Die Idee des „Don’t Track Me“-Mechanismus, der von der Federal Trade Commission in den USA entwickelt wurde, finde ich hier durchaus beispielgebend. Auch wenn über die verschiedenen Wege seiner Realisierung durch die Browserhersteller noch diskutiert werden muss. Entscheidend ist für mich, dass jeder Nutzer auf einfachem Wege darüber entscheiden kann, ob und von wem sein Surfverhalten registriert wird. Ich frage mich, warum Google mit seinem Browser Chrome − anders als andere große Hersteller − hier noch keine Lösung vorgestellt hat.

Ein Versuch des Staates unkomplizierte Sicherheit herzustellen sind die Möglichkeiten der eID des neuen Personalausweises oder der DE-Mail.

Peter Schaar: Hier tritt der Staat im Grunde als Infrastrukturanbieter für sichere Lösungen auf und ich finde es gut, dass er solche Angebote macht. Es gibt sicher noch Details, über die man unterschiedlicher Meinung sein kann, etwa im Hinblick auf die Ende-zu-Ende-Verschlüsselung bei De-Mail. Andererseits dürfen Datenschutz und IT-Sicherheit von der Privatwirtschaft auch nicht auf den Staat abgewälzt werden. Das sind Aufgaben, denen sich die Technologieunternehmen zuallererst stellen müssen.

Zur Frage, wann ein System sicher ist oder nicht, gibt es inzwischen viele Richtlinien. Wie wichtig wird es, dass diese ins allgemeine Bewusstsein gelangen? Unternehmen müssen diese natürlich kennen, aber auch der Nutzer?

Peter Schaar: Nein, der Nutzer muss sich sicher sein, dass sein Schutz gewährleistet ist. Ich würde von keinem Nutzer verlangen, dass er irgendeine ISO-Norm oder ein Protection Profile kennt. Er muss vielleicht noch nicht einmal wissen, dass es diese gibt. Es ist eine Bringschuld derjenigen, die die Systeme entwickeln oder einsetzen, dafür zu sorgen, dass Schutzmechanismen installiert werden und wirksam sind. Wenn ich die Gesundheitskarte nutze und damit in Zukunft gegebenenfalls auch Rezepte oder die elektronische Krankenakte abrufen kann, dann muss ich als Versicherter darauf vertrauen können, dass mein Datenschutz gewährleistet ist.

Von den Nutzern würde ich gleichwohl erwarten, dass sie sich bestimmter Basisanforderungen bewusst sind. Ein gängiges Beispiel ist, dass man seine PIN eben nicht auf die EC-Karte schreibt. In Zukunft gehört sicher dazu, dass man sein Smartphone ohne Passwortschutz nicht aus der Hand gibt. Und wenn man einen PC benutzt, muss man sich darüber im Klaren sein, dass bestimmte Basismechanismen eingesetzt werden – aktuelle Virenscanner etwa. Das sind relativ leicht verständliche Punkte. Diese Basisanforderungen sollten über einen längeren Zeitraum stabil bleiben, denn die Bereitschaft und Fähigkeit vieler Betroffener, sich im-mer wieder mit sich ändernden, teils komplizierten Schutzmechanismen zu beschäftigten, ist doch eher begrenzt. Mir ist wichtig, die Nutzer nicht zu überfordern und ihnen zugleich den notwendigen Schutz zu geben.

Die Stabilität der Schutzmechanismen ist ein zentrales Problem, denn die Technik entwickelt sich sehr schnell weiter und wir als Datenschützer, die Unternehmen und auch der Staat müssen dafür sorgen, dass im Rahmen dieser Weiterentwicklung immer ein angemessener Datenschutz gewährleistet wird. Beim Cloud Computing beispielsweise versichern zwar die Unternehmen, dass es absolut sicher sei, aber wenn man ins Detail geht, bleiben doch sehr viele Fragen offen. Sei es, dass manche Unternehmen sehr freizügig ihre Daten an staatliche Stellen in aller Welt herausgeben oder dass die Daten eben doch nicht so sicher sind, wie das bisweilen behauptet wird.

Wie gehen Sie, als öffentliche Person, mit „sich selbst“, mit Ihren Daten im digitalen Raum um?

Peter Schaar: Vermutlich ähnlich wie sehr viele andere mit einer vergleichbaren Vorbildung und einer gewissen Sensibilität. Ich nutze die Technik, versuche Fehler soweit es geht zu vermeiden und mache nur das öffentlich, von dem ich will, dass andere es zur Kenntnis nehmen.

Herr Schaar, vielen Dank für das Gespräch.

Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.