Beiträge

Datenschutz und Datensicherheit für Freie Berufe

Der Lan­des­ver­band der Freien Berufe Thü­rin­gen führte am 23. Sep­tem­ber 2015 eine Kon­fe­renz zum Thema ›Daten­schutz und Daten­si­cher­heit für Freie Berufe‹ durch, die nicht nur bei Spit­zen­ver­tre­tern und Ange­hö­ri­gen der Mit­glieds­kam­mern und ‑ver­bände des LFB auf gr0ßes Inter­esse stieß.

Bei der Begrü­ßung der Teil­neh­mer betonte der Prä­si­dent des LFB, Dr. Rudat, wie wich­tig es ist, Ver­trauen zu schaf­fen und zu erhal­ten. Dies gelte im Zeit­al­ter der Digi­ta­li­sie­rung der Gesell­schaft erst recht.

Dr. Lutz Hasse als Thü­rin­ger Lan­des­be­auf­trag­ter für den Daten­schutz und die Infor­ma­ti­ons­frei­heit hatte die Schirm­herr­schaft der von Cars­ten Rose, Radio F.R.E.I. Erfurt, mode­rier­ten Ver­an­stal­tung über­nom­men. Er wies dar­auf hin, dass der Gesetz­ge­ber im Bereich der elek­tro­ni­schen Erfas­sung, Spei­che­rung und Ver­ar­bei­tung von Daten alles, was nicht aus­drück­lich erlaubt sei, ver­bo­ten habe (§ 28 BDSG). Seine Behörde habe neben der sich dar­aus erge­ben­den Auf­sichts­funk­tion aber auch bera­tende Auf­ga­ben, was viel­fach noch über­se­hen werde. Er über­gab sodann das Wort an seine Refe­rats­lei­ter Kat­rin Böhlke und Johan­nes Matzke.

Die­ser wandte sich vor allem recht­li­chen Fra­gen im Zusam­men­hang mit der soge­nann­ten Auf­trags­da­ten­ver­ar­bei­tung zu. Da es sich inso­weit um ein Ver­bot mit Erlaub­nis­vor­be­halt han­dele, sei die Ein­wil­li­gung des Betrof­fe­nen mit dem Out­cour­cing von IT-Dienst­leis­tun­gen von ent­schei­den­der Bedeu­tung. Für Berufs­ge­heim­nis­trä­ger rei­che aber die Schwei­ge­pflich­tent­bin­dungs­er­klä­rung allein nicht aus. Prak­tisch ent­falle damit die Mög­lich­keit der Auf­trags­da­ten­ver­ar­bei­tung für diese Gruppe der Freien Berufe. Die ein­zig prak­ti­ka­ble Lösung sei die Ver­schlüs­se­lung der Daten, wobei man sich – wie er ein­schrän­kend hin­zu­fügte – aber auch hier­bei noch nicht auf abso­lut recht­lich siche­rem Ter­rain bewege.

Kat­rin Böhlke befasste sich anschlie­ßend mit tech­ni­schen Fra­gen. In ihrem Bei­trag ging es u.a. daten­schutz­mä­ßige Unzu­läng­lich­kei­ten bei der Anwen­dung der DeMail und Sicher­heits­aspekte beim soge­nann­ten Cloud Com­pu­ting. Bei der Anwen­dung der DeMail sei die zeit­wei­lige Ent­schlüs­se­lung zum vor­geb­li­chen Zweck der Prü­fung auf Schad­soft­ware als Sicher­heits­lü­cke anzu­se­hen. Unter dem Gesichts­punkt des tech­ni­schen Daten­schut­zes sei die Ende-zu-Ende-Ver­schlüs­se­lung unver­zicht­bar. Anwen­der von Ver­schlüs­se­lungs­soft­ware könn­ten sich auf die Emp­feh­lun­gen des BSI (Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik) stüt­zen. Wer sen­si­ble Daten aus­la­gere, solle sich außer­dem dar­über ver­ge­wis­sern, dass die Cloud aus­schließ­lich in Deutsch­land liege, d.h. auf natio­na­len Ser­vern gespei­chert sei. Eine Ver­trau­lich­keits­ver­ein­ba­rung sei ebenso unver­zicht­bar wie die Ver­ab­re­dung geeig­ne­ter tech­ni­scher und orga­ni­sa­to­ri­scher Rege­lun­gen zur Gewähr­leis­tung des Ver­bots der unbe­fug­ten Daten­of­fen­ba­rung (§ 9 BDSG). Es bestehe zudem die Gefahr wirt­schaft­li­cher Abhän­gig­kei­ten, die zu ver­mei­den sei. Wich­tig sei aber auch, auf Details zu ach­ten: soweit bei­spiels­weise Chip­kar­ten­le­se­ge­räte ein­ge­setzt wür­den, seien nur sol­che als sicher zu beur­tei­len, die über eine eigene Tas­ta­tur verfügten.

Olaf Dir­lam, Refe­rats­lei­ter im Thü­rin­ger Minis­te­rium für Wirt­schaft, Wis­sen­schaft und Digi­tale Gesell­schaft, griff die Gedan­ken sei­ner Vor­red­ner auf und legte in sei­nem Bei­trag dar, dass die Digi­ta­li­sie­rung zunächst als ein wirt­schafts­po­li­ti­sches Schwer­punkt­thema ange­se­hen werde. Eine beson­dere Her­aus­for­de­run­gen bestehe darin, die hohen gesetz­li­chen Anfor­de­run­gen des Daten­schut­zes mit den Erfor­der­nis­sen der umfas­sen­den Digi­ta­li­sie­rung von Wirt­schafts­ab­läu­fen in Über­ein­stim­mung zu brin­gen. Hin­sicht­lich des Aus­baus der Infra­struk­tur könn­ten in abseh­ba­rer Zeit bei wei­tem noch nicht alle Wün­sche erfüllt wer­den. Viel­fach sei fest­zu­stel­len, dass die ein­ge­setzte Ver­schlüs­se­lungs­tech­nik – wenn sie über­haupt ange­wandt werde – den Erfor­der­nis­sen zur Gewähr­leis­tung von Daten­si­cher­heit und Daten­in­te­gri­tät nicht ent­spricht. Dir­lam betonte, dass es sich inso­weit auch um ein gesell­schaft­li­ches Pro­blem han­dele. Unter­neh­men seien noch immer viel­fach zu sorg­los. Beschäf­tigte müss­ten in die Ent­wick­lun­gen ein­ge­bun­den und mit­ge­nom­men wer­den. Thü­rin­ger Unter­neh­men soll­ten im Inter­esse der wirt­schaft­li­chen Ent­wick­lung des Frei­staats und unter dem Gesichts­punkt ver­trau­ens­vol­ler Zusam­men­ar­beit beim Ein­satz von Ver­schlüs­se­lungs­tech­no­lo­gien und bei der Beauf­tra­gung exter­ner IT-Unter­neh­men auf kom­pe­tente regio­nale Anbie­ter zugehen.

Sven Dickert von der Kas­sen­ärzt­li­chen Ver­ei­ni­gung Thü­rin­gen prä­sen­tierte sodann die Grund­züge der Gestal­tung des Siche­ren Net­zes der Kas­sen­ärzt­li­chen Ver­ei­ni­gung Thü­rin­gen. Man habe erkannt, dass das Inter­net kein geeig­ne­ter Kanal zur Über­tra­gung der sen­si­blen Pati­en­ten- und Abrech­nungs­da­ten ist und des­halb ein sepa­ra­tes Netz auf­ge­baut. Dickert sprach von der »Cryp­to­ka­lypse« des Inter­nets. Das Netz der KV sei sicher, weil es auf Ver­trauen basiere. Die Benut­zer seien bekannt, es gebe hier keine Anony­mi­tät. Die Ver­schlüs­se­lung erfolge als Ende-zu-Ende-Ver­schlüs­se­lung und unab­hän­gig. Das Netz werde über­wacht durch die Kas­sen­ärzt­li­che Bun­des­ver­ei­ni­gung. Die Hand­ha­bung sei bewusst ein­fach gehal­ten. KV-Safe Net Pro­vi­der wür­den über­wacht und zertifiziert.

Peter Hehne, Experte für Cyber­kri­mi­na­li­tät bei Thü­rin­ger Lan­des­kri­mi­nal­amt, gab einen Über­blick über die Ent­wick­lung und Auf­klä­rungs­rate ein­schlä­gi­ger Straf­ta­ten. Unter Cyber­kri­mi­na­li­tät fal­len sowohl Straf­ta­ten, die sich unmit­tel­bar gegen das Inter­net oder die elek­tro­ni­sche Infor­ma­ti­ons­ver­ar­bei­tung als sol­che rich­te­ten, als auch sol­che, die unter Aus­nut­zung und mit Hilfe des Inter­nets und elek­tro­ni­scher Infor­ma­ti­ons­ver­ar­bei­tungs­an­la­gen und ‑pro­gramme began­gen wür­den. Die Dun­kel­zif­fer sei nach wie vor hoch. Hehne zeigte typi­sche Tat­wei­sen und appel­lierte an die Ent­wick­lung von Fach­kennt­nis­sen, vor allem auch im Jus­tiz­be­reich. Frei­heit ohne Sicher­heit sei undenkbar.

Rechts­an­walt Dr. Mar­tin Abend, Vize­prä­si­dent der Bun­des­rechts­an­walts­kam­mer, gab sodann einen Über­blick über den Stand der Ent­wick­lung des beson­de­ren elek­tro­ni­sche Anwalts­post­fachs (beA). Es sei eine beson­dere Her­aus­for­de­rung für die Bun­des­rechts­an­walts­kam­mer gewe­sen, den gesetz­ge­be­ri­schen Auf­trag siche­rer Kom­mu­ni­ka­ti­ons­mög­lich­kei­ten für mehr als 165.000 Rechts­an­wäl­tin­nen und Rechts­an­wälte bis 01.01.2016 umzu­set­zen. Auch hier seien die Anwen­der regis­triert und mit­hin bekannt. Im Gegen­satz zum Netz der KVen han­dele es sich nicht um ein sepa­ra­tes Netz, son­dern um den bewuss­ten Ein­satz kryp­to­gra­fi­scher Metho­den unter Ein­satz von Chip­kar­ten für die Daten­ver­schlüs­se­lung mit Ende-zu-Ende-Ver­schlüs­se­lung im ansons­ten frei zugäng­li­chen Inter­net. Die­ses Sys­tem sei nach heu­ti­gem Stand der Tech­nik als sicher anzu­se­hen und werde schritt­weise in den elek­tro­ni­schen Rechts­ver­kehr mit den Jus­tiz­be­hör­den inte­griert. Dr. Abend legte beson­de­ren Wert auf die Fest­stel­lung, dass es sich um beim beA um ein allein von der Anwalt­schaft finan­zier­tes und von eGo­vern­ment völ­lig unab­hän­gi­ges Sys­tem han­dele. Dies sei not­wen­dig, weil die Anwalt­schaft auch inso­weit als ein vom Staat unab­hän­gi­ges Organ der Rechts­pflege funk­ti­ons­fä­hig blei­ben müsse. RA Dr. Abend ver­trat unter Hin­weis auf die Recht­spre­chung des Bun­des­ver­fas­sungs­ge­richts auch nach­drück­lich den Stand­punkt der Rechts­an­walt­schaft, wonach die Vor­rats­da­ten­spei­che­rung über­flüs­sig sei. Dem Thü­rin­ger Daten­schutz­be­auf­trag­ten sei darin Recht zu geben, dass der Ein­satz der Auf­trags­da­ten­ver­ar­bei­tung für Berufs­ge­heim­nis­trä­ger tabu sei. Das gelte aber sei­ner Mei­nung nach auch für die Beauf­tra­gung exter­ner Daten­schutz­be­auf­trag­ter. Inso­weit könne nicht jede Posi­tion der Behörde geteilt werden.

In der anschlie­ßen­den Podi­ums­dis­kus­sion ging es dann auch fol­ge­rich­tig um das Ver­hält­nis von Frei­heit und Sicher­heit. Wäh­rend Hehne (LKA Thü­rin­gen) die Vor­rats­da­ten­spei­che­rung für unver­zicht­bar hielt, ver­trat Dr. Abend in die­sem Punkt erneut die gegen­tei­lige Ansicht und ver­tiefte die Posi­tion der Bun­des­rechts­an­walts­kam­mer, dass bei allen Sicher­heits­über­le­gun­gen der Kern­be­reich der Per­sön­lich­keits­rechte unan­ge­tas­tet blei­ben müsse. Dr. Hasse wies noch­mals dar­auf hin, dass das Bewusst­sein des Per­sön­lich­keits­schut­zes im Stei­gen begrif­fen sei. Dies beleg­ten die wach­sen­den Fall­zah­len. Er appel­lierte an die Ein­sicht in die Not­wen­dig­keit der Koope­ra­tion von Unter­neh­men und Behör­den, um Daten­schutz und Daten­si­cher­heit in Unter­neh­men gewähr­leis­ten zu können.

Auch aus dem Publi­kum wur­den kri­ti­sche Fra­gen gestellt, u.a. nach der Legi­ti­ma­tion der unge­frag­ten Daten­wei­ter­gabe durch Behör­den, etwa Ein­woh­ner­mel­de­äm­ter, und mög­li­chen Ziel­kon­flik­ten des Infor­ma­ti­ons­frei­heits­ge­set­zes zum Bundesdatenschutzgesetz.

Natur­ge­mäß konn­ten keine abschlie­ßen­den Ant­wor­ten gefun­den wer­den. Ver­an­stal­ter, Refe­ren­ten und Dis­kus­si­ons­teil­neh­mer waren sich aber darin einig, dass das Thema Raum für Fol­ge­ver­an­stal­tun­gen geben kann.

Suche