"Keine IT-Verordnung hat Unternehmen und Gesellschaft in den vergangenen Jahren so tiefgreifend beschäftigt wie die EU-DSGVO", sagt Falk Herrmann, CEO von Rohde & Schwarz Cybersecurity. Ob Unternehmen, Behörde oder Verein – jede Organisation müsse seit dem 25. Mai 2018 die Regeln zum Schutz persönlicher Daten umsetzen. Zumindest ein Ziel ist Herrmann zufolge damit erreicht: Die EU-DSGVO hat das Thema Datenschutz ganz oben auf die Agenda all derer gesetzt, die personenbezogene Daten speichern oder verarbeiten.
Zudem lasse sich die Zahl der real erfolgten Hackerangriffe erstmals ermitteln. Denn Verstöße gegen personenbezogene Daten, die Betroffene schädigen könnten, müssen laut Datenschutzgrundverordnung gemeldet werden. Allerdings: die EU-DSGVO sei auch ein Mammutprojekt. Vor allem Behörden fühlen sich durch die Vorgaben stark belastet, so Herrmann. Ihnen würden zeitliche und personelle Ressourcen und das nötige Know-how fehlen. Zu diesem Ergebnis kam eine Umfrage, die der Landesbeauftragte für Datenschutz und Informationsfreiheit in Baden-Württemberg Mitte 2019 in seinen Gemeinden durchführte.
Neue Fallstricke
Gleichzeitig eröffnet die voranschreitende Digitalisierung der Behörden – Stichwort Onlinezugangsgesetz – neue Fallstricke beim Datenschutz. "Denn je mehr Behördengänge die Kommunen Online anbieten, desto mehr persönliche Informationen liegen auf den Datenbanken ab und werden über das Netz geteilt", so Herrmann. Für Hacker sei es relativ einfach, diese Daten abzugreifen. Beispielsweise können sie über die Eingabemaske eines Such- oder Anmeldeformulars einen Befehl an die dahinterliegende Datenbank senden.
"Mit einer solchen sogenannten SQL-Injection gewinnen sie Zugriff auf die Daten, können diese stehlen oder löschen. Ein weiterer Schwachpunkt vieler Webservices betrifft die Identifizierung des Nutzers. Wird die Sessions-ID unverschlüsselt vom Server an den Nutzer gesandt, kann ein Hacker sie abgreifen und sich Zugang zum persönlichen Portal des Nutzers verschaffen", führt der CEO aus.
Mit dem elektronischen Personalausweis sei zwar ein großer Schritt getan, um die Authentifizierung im Internet sicherzustellen. Allerdings eröffne ausgerechnet er auch neue Sicherheitslücken: Denn um die Daten aus dem Personalausweis abzugleichen, werden spezielle Schnittstellen benötigt. Diese sogenannten Application Programming Interfaces (APIs) würden zunehmend ins Visier von Hackern geraten. Die Bedrohung sei vor allem deshalb so groß, weil herkömmliche Netzwerk-Firewalls nicht in der Lage sind, Angriffe auf Webapplikationen und APIs zu stoppen. Kommunen benötigen spezielle Web Application Firewalls, um die Gefahren zu minimieren.
Regulatorische Unklarheiten
Regulatorische Unklarheiten erleichtern diese Digitalisierungsprozesse nicht. "Die EU-DSGVO bleibt beispielsweise bei der Einwilligungspflicht für das Setzen von Cookies unkonkret. Inzwischen hat ein EuGH-Urteil Klarheit geschaffen", sagt Hermann. Tracking-Cookies dürfen nur noch mit ausdrücklicher Einwilligung der Nutzer gesetzt werden.
Eine weitere Lücke in der EU-DSGVO sehen Kritiker darin, dass Hersteller nicht in die Pflicht genommen wurden, Produkte zu entwickeln, die den Datenschutz fördern. Privacy by Design – also das Berücksichtigen des Datenschutzes bei der Produktion eines Gerätes – sei ein wichtiger Baustein für den sicheren Umgang mit Daten. Einige Unternehmen hätten bereits begonnen, die Barriere zwischen DevOps und IT-Sicherheit einzureißen, und neuartige Methoden im Sinne von „DevSecOps“ zu etablieren.
Das Kunstwort „DevSecOps“ setzt sich aus Software-Entwicklung (Development), IT-Sicherheit (Security) und IT-Betrieb (Operations) zusammen und erweitert den modernen Ansatz zur Software-Entwicklung (DevOps-Ansatz) um den wichtigen Faktor Cyber-Sicherheit. Der Gesetzgeber muss diese Entwicklung unterstützen, damit datenschutzkonforme Produkte auf dem Markt erhältlich sind.
Neue IT-Sicherheitstechnologien
Ähnliches gelte für das Speichern von Daten in der Cloud. Die marktbeherrschenden Cloud-Anbieter sitzen im Ausland. Die EU-DSGVO wird von dort geltenden Regelungen nicht selten ausgehebelt. Beispielsweise verpflichtet der „Clarifying Lawful Overseas Use of Data Act“ amerikanische Cloud-Provider, den US-Behörden Zugriff auf nicht in den USA gespeicherte Daten zu gewähren – und unterläuft damit die EU-DSGVO, sagt Herrmann.
Ausländische Cloud-Provider bieten ihren Kunden zwar zunehmend die Möglichkeit, ihre Daten in Deutschland zu speichern. Das löse jedoch das Problem nicht. Um wirklich der EU-DSGVO zu genügen, brauche es stattdessen neue IT-Sicherheitstechnologien, die von Anbietern bereitgestellt werden, welche vollumfänglich europäischer Jurisdiktion unterliegen, fordert Herrmann. "Es sollte zudem ein datenzentrischer Ansatz gewählt werden, bei dem alle Daten verschlüsselt werden, die Behörde selbst entscheiden kann, wo die Daten gespeichert werden und die Schlüssel ausschließlich im Besitz des Kunden sind. Damit haben Zugriffsversuche dritter Parteien auf die Daten keine Erfolgschance."
Bitkom: Freiheits- und Schutzrechte in Zeiten von Corona aus den Fugen geraten
Kritik gibt es auch vom Digitalverband Bitkom: „Die Corona-Krise zeigt, welche herausragende Bedeutung der Datenschutz in Deutschland inzwischen hat. Dabei dominiert der Datenschutz selbst in dieser Krisensituation viele weitere Rechte wie das Recht auf körperliche Unversehrtheit, Versammlungsfreiheit, Gewerbefreiheit oder den Zugang zu schulischer Bildung. So werden einerseits weitgehende Einschränkungen von Grundrechten akzeptiert, gleichzeitig scheiterte die Veröffentlichung einer von vielen Einschränkungen befreienden Tracing-App an Datenschutzbedenken.
Schulen können ihren Unterrichtsbetrieb nicht wieder aufnehmen und verlieren zu vielen Schülern einen funktionierenden Kontakt, gleichzeitig wird Lehrern der Einsatz vieler gut funktionierender Videoplattformen mit Hinweisen auf Datenschutzprobleme kategorisch verboten. Offenkundig ist das bislang gut ausbalancierte System an Freiheits- und Schutzrechten mit der DS-GVO aus den Fugen geraten", moniert Bitkom-Präsident Achim Berg.
Bescheidene Bilanz
Das Gesetzgebungsverfahren zur Datenschutz-Grundverordnung sei eines der aufwändigsten in der Geschichte der Europäischen Union gewesen. Die Bilanz der DSGVO sei hingegen bestenfalls bescheiden. Das allgemeine Bewusstsein für das Thema Datenschutz habe zwar stark zugenommen. Von einem EU-weit einheitlichen Datenschutzniveau sei man in der Praxis aber noch weit entfernt – dafür sei die Auslegung in den Mitgliedsstaaten zu unterschiedlich.
Auch zwei Jahre nach Geltungsbeginn der DS-GVO haben Bitkom zufolge viele Unternehmen noch nicht alle Anforderungen umgesetzt. Nicht wenige sind der Meinung, eine komplette Umsetzung der DS-GVO sei nicht möglich. Andererseits seien die Aufsichtsbehörden mit einer nicht zu bewältigenden Flut an Anfragen konfrontiert. Im Ergebnis stünden auf allen Seiten hohe personelle und finanzielle Aufwände.
Differenzierte Behandlung gefordert
Berg fordert den "grundsätzlichen Geburtsfehler" der DSGVO beseitigen: Jeder einzelne Datenverarbeitungsvorgang und jede Datenerhebung sei reglementiert. Vereine, Startups und Großkonzerne würden über denselben Kamm geschoren und nicht differenziert behandelt. Die in der DS-GVO vorgesehenen Ausnahmen für kleinere Unternehmen kämen in der Praxis so gut wie nie zum Tragen. In der Forschung sollten der Datennutzung weniger Hürden in den Weg gestellt werden – insbesondere für EU-weite Projekte im Gesundheitsbereich.“
Die Wirtschaft nehme Datenschutzregeln zunehmend als Herausforderung war. So sehen derzeit acht von zehn Unternehmen (79 Prozent) Datenschutzanforderungen als die größte Hürde beim Einsatz neuer Technologien. Im Vorjahr sagten dies erst drei Viertel (74 Prozent), im Jahr 2018 nicht einmal zwei Drittel (63 Prozent). Das ist das Ergebnis einer repräsentativen Bitkom-Unternehmensbefragung aus dem April 2020. (sg)
