Die Ausdehnung des IT-Sicherheitsgesetzes, die europäische ePrivacy-Verordnung, die ISO-Zertifizierung für den Datenschutz – das Jahr 2019 dürfte einige gesetzliche Neuerungen im Bereich Informationssicherheit und Datenschutz bringen. Nicht zuletzt deshalb wird die Rolle der Datenschutzbeauftragten in Unternehmen und öffentlichen Stellen immer wichtiger.

Durch Digitalisierung und E-Government nimmt die Informationsverarbeitung im öffentlichen Sektor mit hoher Dynamik zu.Technikgeschwindigkeit und die Dauer von Rechtssetzungsprozessen nähren manchen Zweifel, ob die Informationssicherheit und der Datenschutz da überhaupt Schritt halten können. Beide sind jedoch Grundvoraussetzungen für eine moderne, technologiefreundliche Demokratie, die sich auf einen selbstbestimmten Bürger stützen will. Dieser wiederum empfindet den Schutz seiner Privatsphäre als Ausdruck eines ihm geschuldeten Respekts.
Wie sieht es in der Realität aus? In den sozialen Medien wird praktisch alles preisgegeben, was sich halbwegs in Wort und Bild fassen lässt. Meldungen über Fake News, Hackerangriffe, Schadsoftware, Datenpannen fluten die Medien und lassen die Anwender ratlos zurück. Das notwendige Bewusstsein für Datenschutz hat sich noch nicht überall etabliert und ist mancherorts der Resignation gegenüber der scheinbaren Allmacht globaler Daten-Konzerne gewichen.
Sowohl in Unternehmen als auch bei staatlichen Stellen werden die verstärkten Anforderungen an Datenschutz und Informationssicherheit häufig als zusätzliche Bürokratie empfunden. Dabei wird Datenschutz inzwischen weltweit ernst genommen. So hat Kalifornien – auch mit Apple als Fürsprecher – ein Gesetz auf den Weg gebracht, das sich an der EU-Datenschutzgrundverordnung (DSGVO) orientiert und 2020 in Kraft tritt. Die DSGVO beansprucht weltweite Geltung – immer dann, wenn persönliche Daten von Europäern verarbeitet werden.

Gesetzgebung

Dem Europäischen Datenschutz fehlt derzeit noch mindestens eine Abrundung, die unter der Bezeichnung „ePrivacy-Verordnung“ in Vorbereitung ist (offizieller Name: „Regulation of the European Parliament and of the Council concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC“). Dabei geht es um den Schutz personenbezogener Daten im Internet, insbesondere im Bereich der Interaktion,somit der elektronischen Kommunikation.

Im Bereich der Informationssicherheit gibt es ebenfalls Bewegung. Unter dem Stichwort „IT-Sicherheitsgesetz 2.0“ ist 2019 mit gesetzgeberischen Initiativen zu rechnen, durch die das 2015 eingeführte IT-Sicherheitsgesetz auf Betreiber kleiner kritischer Infrastrukturen (KRITIS) sowie auf weitere Sektoren ausgeweitet werden dürfte.
Zudem steht mit der ISO27552 die Ergänzung des ISO-Sektors um den Datenschutz im Blickfeld. Damit rückt die Grundlage einer amtlichen Zertifizierung im Datenschutz in Reichweite – zunächst für jene Unternehmen, die sich die zugrundeliegende ISO 27001-Zertifizierung leisten können. Im Vordergrund dieser Norm steht die Verhinderung wirtschaftlicher Schäden durch IT-Sicherheitsrisiken. Für kleinere Unternehmen und öffentliche Stellen ist eine offizielle (und bezahlbare) Zertifizierbarkeit durch amtlich genehmigte Verfahren und staatlich akkreditierte Stellen noch nicht in Sicht; sie wird bislang auch häufig nicht gefordert. Allerdings verlangen die E-Goverment-Gesetze einzelner Länder die Erstellung und Umsetzung von Informationssicherheitskonzepten. Diese könnten als Grundlage dafür dienen, die Anforderungen im technischen Datenschutz zu erfüllen.

Die Rolle der Datenschutzbeauftragten ändert sich

Die Politik hat erkannt, welch enormen Aufwand die Datenschutzgesetzgebung in der Gesellschaft ausgelöst hat. Mehrere Bundesländer hielten ihre Aufsichtsbehörden nach dem Inkrafttreten der DSGVO am 25. Mai 2018 dazu an, zunächst Beratung vor Sanktion zu stellen. Inzwischen sind wir aber in der Normalität angekommen: Die ersten Bußgelder europäischer Behörden zeigen, dass man 2019 nicht mehr bei jedem Datenschutzverstoß mit dem Langmut der Aufseher rechnen kann. Dadurch wiederum erhöht sich die Bedeutung der Datenschutzbeauftragten, die für ihre Organisationen bzw. Mandanten das komplexe Datenschutzregelwerk durchleuchten und die jeweils bindenden rechtlichen Verpflichtungen zutage fördern. Sie erst liefern die nötigen Informationen, mit denen die Leitungsebene, die ja in Veantwortung und Haftung steht, die erforderlichen Erklärungen und Dokumentationen anlegen und fortlaufend aktualisieren kann.

Datenschutzbeauftragte weisen idealerweise eine Multi-Begabung auf: Sie sollten sich einerseits am juristischen Umfeld orientieren, also einschlägige Gesetzestexte verstehen und Urteile interpretieren können. Andererseits sollten sie mit den Grundprinzipien der modernen Informationsverarbeitung und den Fachanwendungen ihrer Unternehmen bzw. Mandanten vertraut sein. Wer sowohl in der IT also auch im Recht zu Hause ist, dem stehen viele Türen offen.

Die Anforderungen an die Experten für den Datenschutz und die Informationssicherheit steigen also. Nicht alle Unternehmen und öffentlichen Ämter werden die entsprechenden Stellen intern besetzen können oder wollen. Externe Dienstleister nehmen daher in Zukunft eine unverzichtbare Rolle ein – sofern sie ihr Personal permanent weiterqualifizieren und damit immer bedarfsgerecht einsetzen können.

Autor: Thomas Hofer, Leiter der Rechtsinformatik an der Juristischen Fakultät der Ludwig-Maximilians-Universität München

    Verpassen sie keine Beiträge mehr!

    Wenn Ihnen dieser Beitrag gefällt, abonnieren Sie unsere Newsletter. Dann entgeht Ihnen kein Insidas Artikel mehr.

    Datenschutzhinweis

    Mit dem Abonnement des Newsletters messen wir auch Reichweite und Erfolg, um diesen noch interessanter zu gestalten. Die Einwilligung kann mit Wirkung für die Zukunft widerrufen werden. Ausführliche Hinweise erhalten Sie in unserer Datenschutzerklärung.

    Diese Beiträge könnten Sie auch interessieren

    Videoüberwachung bei öffentlichen Stellen in Bayern

    Videoüberwachung bei öffentlichen Stellen in Bayern

    Ein ungebrochener Trend und ein Dauerbrennpunkt im Bereich des Datenschutzrechtes ist das Thema Videoüberwachung. Es ist eines der wichtigsten Schwerpunkte in der Arbeit der Datenschutzbehörden und häufiger Gegenstand in datenschutzpolitischen Diskussionen. Was ist...

    read more
    Tipps zur Nutzung der Webanalytik-Plattform Matomo

    Tipps zur Nutzung der Webanalytik-Plattform Matomo

    Tipps zur Einstellung Matomo ermöglicht das Tracking von Webseitenbesucherinnen und -besuchern mittels Cookies oder JavaScript. Auch im Hinblick auf die zunehmende Verbreitung von Schutzmechanismen in Webbrowsern ist ein Tracking per JavaScript dem Tracking durch...

    read more
    Versand von Newslettern durch öffentliche Stellen

    Versand von Newslettern durch öffentliche Stellen

    Häufig bedienen sich öffentliche Stellen für die Kommunikation mit Bürgern der Möglichkeit eines "Newsletter". Beispiele hierfür sind der behördliche Presseverteiler oder die aktuellen Kundeninformationen durch gemeindliche Tourismusbüros. Für die Nutzung solcher...

    read more
    Datenschutzkonforme Veröffentlichung von Sitzungsunterlagen

    Datenschutzkonforme Veröffentlichung von Sitzungsunterlagen

    Grundsätzlich müssen über die Sitzungen der Gemeinderäte, der Kreistage und ihrer beschließenden Ausschüsse Niederschriften gefertigt werden siehe (Art. 54 Abs. 1 Satz 1, Art. 45 Abs. 2 Satz 2 Gemeindeordnung (GO) sowie Art. 48 Abs. 1 Satz 1, Art. 40 Abs. 2 Satz 2...

    read more