Fachmagazin für Datenschutzbeauftragte
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Ausgabe 03/2022
BvD- NEWS
Fachmagazin für Datenschutzbeauftragte
Seite 42
DIGITALISIERUNG
DER SCHULEN UND
MEDIENKOMPETENZ
– WO KLEMMT’S
TLfDI Dr. Lutz Hasse, René Rösel
Seite 12
„DIE CHATKONTROLLE
WIRD VOR GERICHT
LANDEN.“
Interview mit EU-Abgeordnetem Patrick Breyer
Seite 6
DER DATA ACT Berufsverband der
IN DER KRITIK Datenschutzbeauftragten
BvD, Stiftung Datenschutz und DIHK luden Deutschlands (BvD) e.V.
zur Diskussion mit Fachleuten nach Berlin
www.xing.com/companies/berufsverbandderdatenschutzbeauftragtendeutschlands
www.linkedin.com/company/berufsverband-der-datenschutzbeauftragten
Der
2023
Frühjahrskongress
der Datenschutz-
Community
BvD-Verbandstage 09.05. – 10.05.2023
IM DORINT HOTEL
KURFÜRSTENDAMM BERLIN
KÖNNEN WIR UNS
DATENSCHUTZ
NOCH LEISTEN?
Berufsverband der
Datenschutzbeauftragten
Deutschlands (BvD) e.V.
SPANNENDE VORTRÄGE MIT
NAMHAFTEN REFERENT:INNEN
Prof. Ulrich Kelber, Bundesbeauftragter für den Datenschutz und die
Informationsfreiheit TEILNAHMEGEBÜHREN:
Carl Fabian Lüpke (Flüpke), Chaos Computer Club (CCC) Frühbucherrabatt bis 8. Februar 2023
Barbara Thiel, Landesbeauftragte für den Datenschutz Niedersachsen BvD-Mitglieder & Behörden: 795 €
Nichtmitglieder: 1.050 €
Carmen Wegge, MdB (SPD)
Ab dem 9. Februar 2023
Prof. Dr. Heribert Prantl, Süddeutsche Zeitung BvD-Mitglieder & Behörden: 895 €
Nichtmitglieder: 1.150 €
Im Rahmen der BvD-Verbandstage findet am Abend des 09.05.2023 die Alle Preise zzgl. gesetz. MwSt.
Verleihung des Datenschutz Medienpreises DAME 2022 statt. Seien Sie mit dabei!
JETZT ANMELDEN:
www.bvdnet.de/bvd-verbandstag
EDITORIAL
Liebe Leserinnen und Leser,
„DSGVO im 5. Jahr – Wie hat die EU den Datenschutz ver- arbeitungsumgebungen vor
ändert?“ – so war die sechste BvD-Herbstkonferenz über- dem Hintergrund des Arti-
schrieben, die wir Ende Oktober gemeinsam mit den Daten- kel 25 DSGVO und des AI Act
schutzaufsichtsbehörden aus Baden-Württemberg und Bayern schreibt.
veranstaltet haben. Wenn man diese Frage in aller Kürze be-
Europäische Gesetzgebung macht ei-
antworten wollen würde, müsste man wohl sagen: von Grund
niges oft komplizierter, manchmal aber auch einfacher. Vor we-
auf. Das sorgte selbst in Deutschland, wo wir – verglichen mit
nigen Tagen ist es uns nach vielen Jahren (Überzeugungs-)Arbeit
manch anderem europäischen Partner – über viele Jahrzehnte
gelungen eine Genehmigung der baden-württembergischen
Erfahrung im Datenschutz verfügen, zunächst für einige An-
Aufsichtsbehörde für die von BvD und GDD gemeinsam ent-
laufschwierigkeiten. Seitdem hat sich zum Glück einiges getan.
wickelte Verhaltensregel „Trusted Data Processor“ zu erhalten,
Unser Kongressmotto darf aber nicht darüber hinwegtäuschen, die wesentliche Datenschutzprozesse der Auftragsverarbeitung
dass es längst weitere Gesetzesvorhaben aus Brüssel gibt, die konkretisiert. Sie verfolgt das Ziel durch Prozessstandardisie-
den Datenschutz teilweise massiv berühren. In zügigem Tempo rung die Umsetzung von Datenschutzanforderungen zu verein-
kommen neben der DSGVO neue Rechtsvorschriften wie der fachen und transparenter zu machen sowie die Beauftragung
Digital Services Act oder bald der Data Act oder der AI Act hin- von geeigneten Auftragsverarbeitern zu erleichtern. Vor allem
zu, die wir als Datenschutzbeauftragte zukünftig kennen und erhöht die aufsichtsbehördliche Genehmigung der Verhaltens-
in ihrem Verhältnis zur DSGVO verstehen müssen. Der Grund- regel letztlich für die Beteiligten die Rechtssicherheit.
gedanke dieser Gesetzesvorhaben in Europa ist eigentlich gut.
Mit einer Selbstverpflichtung auf die Verhaltensregel „Trusted
Im Data Act beispielsweise geht es um das Teilen von Daten,
Data Processor“ machen Auftragsverarbeiter nach außen sicht-
darum, innovative digitale Geschäftsmodelle in Europa zu för-
bar, dass sie den in der Verhaltensregel festgelegten Vorgaben
dern. Es geht um Effizienzgewinne, Umweltschutz, Energieein-
folgen und sich deren Überwachung durch eine Kontrollstelle
sparung. Aber funktioniert das auch? Das Problem ist hier, dass
unterwerfen. Im Falle von „Trusted Data Processor“ ist dies die
diejenigen, für die diese Rechtsakte eigentlich gedacht sind, in
DSZ - Datenschutz Zertifizierungsgesellschaft mbH. Sie hat un-
den entsprechenden Gesprächen in Brüssel nicht oder erst zu
ter www.verhaltensregel.eu eine Website eingerichtet, auf der
spät mit am Tisch sitzen. Das bestätigte bei der Herbstkonfe-
die Verhaltensregel zur Verfügung gestellt wird, so dass Sie die
renz auch Renate Nikolay, Kabinettschefin von EU-Kommissi-
mit detaillierten Mustern gespickte Verhaltensregel als ein Hilfs-
ons-Vizepräsidentin Věra Jourová. Die großen Digitalkonzerne
mittel für Ihre tägliche Arbeit nutzen können – unabhängig da-
sind an diesen Diskussionen seit Jahren beteiligt, während die
von, ob Sie sich der Verhaltensregel offiziell unterwerfen oder
Perspektive der deutschen Wirtschaft unterrepräsentiert ist in
nicht. Falls Sie für Ihre Kunden oder Ihren Arbeitgeber mehr
der EU. Für diese Problematik gilt es zu sensibilisieren.
über die Verhaltensregel und deren Implementierung erfahren
Die Vielzahl der neuen digitalpolitischen Rechtsakte bedeutet möchten: Der BvD bietet zu dem Thema kostenlose Informa-
für uns Datenschutzbeauftragte aber auch: Die Anforderungen tionsveranstaltungen sowie detailliertere Webinare und Semi-
an die Beratungen werden stets umfangreicher und es gilt am nare an. Informieren Sie sich einfach auf unserer Website oder
Ball zu bleiben, um Verantwortliche bei einer praktikablen Um- fragen Sie in unserer Geschäftsstelle an.
setzung datenschutzkonformer Geschäftsprozesse kompetent
Doch nun wünsche ich Ihnen erst einmal eine anregende
zu begleiten. Beginnen können Sie damit gleich in dieser Ausgabe
Lektüre Ihrer BvD-News.
der BvD-News, die einen Schwerpunkt auf europäische The-
men setzt – so etwa mit dem Nachbericht zu unserem In- Ihr
formationstag zum Data Act (S. 6) oder dem Interview mit
dem EU-Parlamentarier Dr. Patrick Breyer von der Piraten-
partei. Oder Sie lesen, was Steffen Kroschwald über die Thomas Spaeing
Gestaltung nutzer-, kontext- und situationsadäquater Ver- BvD-Vorstandsvorsitzender
BvD-NEWS Ausgabe 3/2022 3
INH A LT S V ER ZEI C HNIS
IM FOKUS
Der Data Act in der Kritik
BvD, Stiftung Datenschutz und DIHK luden zur Diskussion mit Fachleuten
nach Berlin.
Ulrich Hottelet 6
„Die Chatkontrolle wird vor Gericht landen.“
IMPRESSUM: EU-Parlamentarier Patrick Breyer (Piratenpartei) spricht im Interview mit
BvD-News den BvD-News über die geplante Chatkontrolle und die weiteren Digitali-
Das Fachmagazin des Berufsverbandes sierungsvorhaben der EU.
der Datenschutzbeauftragten
Deutschlands (BvD) e.V. Patrick Breyer 12
Herausgeber:
Synthetische Daten und Datenschutz –
Berufsverband der Datenschutzbeauftragten
Deutschlands (BvD) e.V. eine Momentaufnahme
Budapester Straße 31 Das Berliner Unternehmen Statice entwickelte eine Technologie, die der
10787 Berlin Finanz-, Versicherungs- und Gesundheitsbranche synthetische Daten zur
Tel: 030 26 36 77 60
Verfügung stellen will.
Fax: 030 26 36 77 63
E-Mail: bvd-gs@bvdnet.de Omar Ali Fdal 14
Internet: www.bvdnet.de
www.xing.com/companies/ DATENSCHUTZRECHT
berufsverbandderdatenschutz
beauftragtendeutschlands
Nutzer-, kontext- und situationsadäquate
www.linkedin.com/company/berufsverband-
der-datenschutzbeauftragten Verarbeitung by Design
www.bvdnet.de/feed/ Wie dies vor dem Hintergrund von Art. 25 DSGVO und KI-Verordnung
gelingen kann zeigt
Redaktion:
Christina Denz (chd) Prof. Dr. Steffen Kroschwald 18
V.i.S.d.P.: Thomas Spaeing
bvd-gs@bvdnet.de Das Recht auf Auskunft in der Datenschutz-Grundverordnung
Fotos (sofern nicht – Art. 15 DSGVO
anderweitig ausgewiesen): Pseudonyme Informationen gelten nach DSGVO als personenbezogene
Fotos: 123RF, Adobe Stock, Daten. Ausgenommen sind anonyme Informationen, die keiner Person
Fotos Data-Act-Tagung von BvD, Stiftung
Datenschutz und DIHK: Andreas Burkhardt zugeordnet werden können.
Fotos BvD-Herbstkonferenz und Behördentag: Nicole Schmidt, Elif Tüysüz 23
Uli Schneider
Lektorat: DATENSCHUTZPRAXIS
Frank Spaeing, Regina Mühlich
Anzeigen: Cybersicherheit in der „VUKA-Welt“
Christina Denz Cyberangriffe gehören zum Alltag von Unternehmen. Was nach einem
Kooperationen: Angriff zu tun ist erläutert der Präsident der Cyber-Sicherheitsagentur
Nadja Bunk, Karsten Füllhaase
(bvd-news@bvdnet.de)
Baden-Württemberg
Satz, Layout & Produktion:
Ralf Rosanowski 28
Trend Point Marketing GmbH,
Breitenbachstraße 24-29, 13509 Berlin DANE als Lösung für sichere E-Mail-Übertragung
www.tpmarketing.de Wie sich technisch DANE als Konfiguration von E-Mail-Verschlüsselung
umsetzen lässt erläutern
ISSN: 2194-1025
Erscheinungsweise: 3 x jährlich, Druckauflage 4.000 Leo Dessani und Prof. Dr. Ronald Petrlic 33
Exemplare (Unsere Mediadaten erhalten Sie unter
bvdnet.de/Publikationen oder von unserer Geschäftsstelle
per E-Mail an bvd-gs@bvdnet.de) Die Redaktion behält sich Datenhandel im Spannungsfeld von DSGVO, DGA und DA
vor, Beiträge redaktionell zu überarbeiten und zu kürzen.
Namentlich gekennzeichnete Beiträge müssen nicht die Manche Unternehmen wollen Daten kommerziell nutzen.
Meinung des BvD e.V. wiedergeben.
Wie dies rechtskonform gelingen kann erläutert
Dr. Kristina Schreiber 38
4 BvD-NEWS Ausgabe 3/2022
IMPR E S SUM | INH A LT S V ER ZEI CHNIS
AUFSICHTSBEHÖRDEN
(Thüringer) Schulen: Digitalisierung und Medienkompetenz – wo klemmt‘s?
Die Digitalisierung von Schulen kommt nur zögerlich voran. Woran das liegt analysiert Thüringens
Datenschutzbeauftragter
Dr. Lutz Hasse und Co-Autor Renè Rösel 42
Social Media und öffentliche Stellen:
Was ist beim Betrieb einer Fanpage zu beachten?
Viele Behörden und Verwaltungen betreiben Facebook-Fanpages. Sie müssen aber auch die Rechtmäßigkeit der
Datenverarbeitung gewährleisten, erläutert
Johanna Krieger 50
50 Jahre Datenschutz in Hessen
Der Hessische Datenschutzbeauftragte erinnerte mit dem 25. Wiesbadener Forum Datenschutz an das erste
Datenschutzgesetz.
Maria Christina Rost 52
GESELLSCHAFT
Wie KI vertrauenswürdig wird
Datenschutz erhöht die Akzeptanz für künstliche Intelligenz - ist das Zentrum für vertrauenswürdige KI überzeugt.
Philipp Otto, Verena Till 54
AUS DEM VERBAND
Was kommt aus Brüssel und Washington auf die DSB zu?
Die Digitalvorhaben aus Brüssel beschäftigen auch die BvD-Herbstkonferenz und den Behördentag in Stuttgart.
Die BvD-News dokumentiert drei zentrale Vorträge zu Data Act, AI Regulations und dem geplanten neuen
Privacy Shield mit den USA.
Christina Denz 58
Vom Bonner Tulpenfeld zum Hochschul-Campus in Ulm
Die Geschichte des BvD spiegelt die Geschichte der Datenschutzbeauftragten und ihrer Anerkennung als Beruf.
Prof. Dr. Gerhard Kongehl, Dr. Bernd Beier 62
Kurz gefasst
Mitgliederversammlung beschließt einstimmig neue Satzung 64
Weiterbildung für die Lebenswelt von Kindern und Jugendlichen 65
Kunst für den LfDI 66
Linkttipps 67
Endspurt zur DAME 2022 67
REZENSIONEN
Future Law 68
Datenschutz und Data Science 69
IT-Sicherheit 70
Mach das Internet aus, ich muss telefonieren 71
Überblick Rezensionen 2022 72
TERMINE ⁄ SERVICE
Termine der Regionalgruppen und Arbeitskreise des BvD 74
BvD-NEWS Ausgabe 3/2022 5
ULRICH HOTTELET
DER DATA ACT IN DER KRITIK
BvD, Stiftung Datenschutz und DIHK luden zur Diskussion mit Fachleuten
nach Berlin
Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V., der Deutsche Industrie- und Handels-
kammertag (DIHK) und die Stiftung Datenschutz haben mit ihrer gemeinsamen Veranstaltung „Data Act: Was
kommt auf die Wirtschaft zu?“ am 5. September in Berlin die Datenschutzaspekte des Gesetzes beleuchtet.
Zahlreiche Sprecherinnen und Sprecher verschiedener staatlicher und wirtschaftlicher Organisationen nahmen
dazu Stellung.
Professor Dr. Stephan Wernicke, Chefjustitiar des DIHK, sichtsbehörden und Finanzämtern diese Frage unterschiedlich
erinnerte zum Auftakt der Veranstaltung an das ambitionier- behandeln.“ Wernicke forderte Klarheit, ob und wie die
te und die Interpretation leitende Ziel der EU-Datenstrate- DSGVO Anwendung finde. Gerade nach den Erfahrungen mit
gie: „Die EU soll an die Spitze einer datengetriebenen Gesell- der DSGVO müsse Rechtssicherheit zwingend bereits im Ge-
schaft und Wirtschaft gebracht werden“, sagte er. Die vier setzestext hergestellt werden und nicht erst durch sich über
im Rahmen der EU-Digitalstrategie geplanten Gesetzeswerke viele Jahre hinziehende Auslegungen der Aufsichtsbehörden
sorgten in der Datenwirtschaft aber für reichlich Diskussions- oder Gerichtsentscheidungen.
stoff. Dabei den Überblick zu behalten sei auch für Experten
herausfordernd. „Es ist verwirrend, denn wir haben selbst für
Juristen eine solche Anzahl von unterschiedlichen Regelun-
gen, dass man immer wieder erstaunt sein kann“, räumte der
Europarechtsprofessor ein und skizzierte die Zwecke des Data
Acts: „Ziel ist ein gemeinsamer rechtlicher Rahmen für das
Nutzen und Teilen von Daten. Entlang der Wertschöpfungs-
kette sollen Daten besser genutzt werden beziehungsweise
die Nutzung erst ermöglicht werden. Kurz: Es geht also um
das faire Teilen.“ Ein Großteil der Wirtschaft sei betroffen und
noch nicht ausreichend sensibilisiert. Dabei werde der Data
Act die bisherige Praxis, wie Daten genutzt und geteilt wer-
den, tiefgreifend verändern. Damit betreffe er die Geschäfts-
modelle vieler Unternehmen, betonte Wernicke.
Dr. Christoph Bausewein
Der Entwurf beschreibe das Verhältnis zur Datenschutz-Grund-
verordnung (DSGVO) in knappen Worten: „Die Regulierun-
Klare Gesetze gefordert
gen der DSGVO bleiben unberührt vom Data Act.“ Wernicke
hält das für unzureichend. „Wir müssen Lehren ziehen aus Dr. Christoph Bausewein, Rechtsanwalt und Vorstands-
den Schwierigkeiten der Anwendung der DSGVO“, betonte mitglied des BvD, betonte, wie wichtig die Verständlichkeit
er. „Lassen Sie uns gemeinsam Wege finden den Gesetzes- des Verordnungstexts sei: „Wir brauchen anwendbare, aus-
text noch zu verbessern. Wir werden uns insbesondere dafür legbare Gesetze, die nicht, wie wir es in der DSGVO erleben,
einsetzen, dass die Anliegen der KMU vertreten werden und von den Aufsichtsbehörden ausgelegt werden müssen, son-
dass Rechtssicherheit, Rechtsklarheit und Praxistauglichkeit dern wo sich die Rechtsanwender zurechtfinden.“ Des Wei-
gewahrt werden mit diesem Entwurf.“ Andernfalls würde der teren sei es wie bei den anderen großen digitalen Regulierun-
Data Act Innovationsfähigkeit behindern, wie sich zum Bei- gen wichtig Zielkonflikte zu vermeiden. „Jetzt ist noch das
spiel bei den intelligenten digitalen Stromzählern, den Smart Bekenntnis da, dass die DSGVO uneingeschränkt gelten und
Metern, zeige: „Wie gehen wir damit um? Sind es personen- den Maßstab bilden soll. Schwierig wird es für Datenschutz-
gebundene oder maschinelle Daten? Lassen sie sich verbin- beauftragte, wenn es um die Auslegung geht. Was ist dann
den? Wir wissen, dass Datenschutzbeauftragte von Fachauf- von der Datenverarbeitung noch zulässig?“
6 BvD-NEWS Ausgabe 3/2022
IM FOKUS
DIE DEUTSCHE WIRTSCHAFT BRAUCHT
EINE STARKE STIMME IN BRÜSSEL!
Thomas Spaeing
Im Rahmen eines Privacy-Club-Termines, den der BvD im Frühjahr Es ist vollkommen unrealistisch zu erwarten, dass alle Unternehmen
2022 veranstaltet hat, kam das Thema der neuen EU-Acts erstmals gleichermaßen von den dann meist zwingend zu teilenden Daten
umfassend zur Sprache. Ein Rechtsanwalt mit tieferen Einblick- profitieren werden. Um die Daten auswerten und deren Potential
en in die Verhandlungen in Brüssel stellte damals den derzeitigen monetarisieren zu können, sind unter anderem erhebliche Fach-
Gesprächsstand der Verhandlungen dar. Bei der aus Vertretern ver- kompetenz und IT-Systeme in einem Maße erforderlich, wie sie zu-
schiender Verbände und Institutionen bestehenden Runde führte mindest im Mittelstand nicht vorhanden sind. Wenn in Deutschland
dies zu Diskussionen. zurzeit über 100.000 Fachkräfte allein in der IT-Sicherheit fehlen,
Wie es aussah und inzwischen bestätigt ist, wurde in Brüssel unter dann bekommt man eine Ahnung, dass Experten zur Betreuung kom-
Mitwirkung der US-Digitallobby über die kommenden Regelungen plexer Datenmodelle und Modellierungen für die nächsten zehn Jahre
verhandelt. Die deutsche Wirtschaft und insbesondere der deutsche ebenfalls fehlen werden. Es entwickelt sich also eine Abhängigkeit,
Mittelstand waren nicht vertreten. Hier werden die Regelungen aber die für den Wirtschaftsstandort Deutschland fatal werden kann. Hier
massive Auswirkungen haben. ist die Politik, aber auch die Wirtschaft gefordert sich massiv ein-
Die Diskussion in der exklusiven Runde führte dazu, dass der BvD eine zubringen. Befragungen bei Unternehmern zu diesem Thema haben
eigene Veranstaltung zu diesem Thema vorschlug. Die Stiftung Dat- gezeigt, dass diese die Digitalisierung ihrer Prozesse eher einschränken
enschutz und auch der DIHK waren sofort bereit daran mitzuwirken würden, als ihre sensiblen Prozessdaten und Geschäftsgeheimnisse al-
und auch Ressourcen bereitzustellen. So konnte innerhalb weniger ler Welt zur Verfügung zu stellen.
Wochen das Konzept für die Veranstaltung am 05.09.2022 entwick- Es geht hier um die elementaren Daten der jeweiligen Geschäfts-
elt und unter tatkräftiger Mitwirkung aller Beteiligten erfolgreich modelle, also das hart erarbeitete Know-how der deutschen Indus-
umgesetzt werden. trie. Dieses zu schützen bedeutet auch den Wirtschaftsstandort zu
Dabei geht es in dieser Phase der Verhandlungen nicht in erster Lin- schützen. Und dies gilt tatsächlich für ganz Europa: Warum sollten
ie um den Datenschutzbeauftragten, sondern darum, dass für die die Unternehmen der EU sich solchen einseitigen, nachteiligen Rege-
deutsche Wirtschaft ggf. erhebliche Nachteile und langfristig nega- lungen unterwerfen und ihr Know-how kostenlos zu Markte tragen?
tive Auswirkungen zu erwarten sind, wenn diese nicht ebenfalls mit Natürlich würden andere weltweit davon profitieren, aber hier gehen
starker Stimme an den Verhandlungen in Brüssel beteiligt ist. Die Dig- Wirtschaftskraft und Arbeitsplätze verloren. Wir werden uns weiter
italkonzerne verfolgen hier ganz eigene Ziele für künftige Geschäfts- für die Beteiligung in Brüssel und für bessere sinnvolle Regelungen
modelle. Die europäischen Unternehmen kommen darin erst als Dat- einsetzen. Unterstützen Sie das und sensibilisieren Sie Ihre Unterneh-
enspender und dann als Kunden vor. men für das Thema.
Linie, nämlich mehr und bessere Daten zur Verfügung zu stel-
len. „Wir begrüßen grundsätzlich die Zielrichtung des Data
Act. Aber der Teufel liegt im Detail“, sagte Brake, forderte
aber: „Wir wollen eine konsequente Trennung von DSGVO
und Data Act sehen. Wir wollen nicht, dass datenschutz-
rechtliche Fragen in den Data Act hineingetragen werden,
und wir wollen schon gar nicht eine Verschärfung der daten-
schutzrechtlichen Regeln auf europäischer Ebene. Ich weiß,
das ist deutlich einfacher gesagt als getan.“
Als zweite wichtige Frage nannte Brake den Umgang mit dem
Thema Business to Government, das heißt unter welchen Be-
dingungen Unternehmen Daten dem Staat oder auf staatli-
Benjamin Brake che Nachfrage zur Verfügung stellen müssen. „Was wir nicht
möchten, ist eine übermäßige bürokratische Belastung der
In die gleiche Richtung argumentierte Benjamin Brake, Lei- Unternehmen. Und wenn die Regelungen so kommen, wie sie
ter der neu geschaffenen Abteilung “Digital- und Datenpo- momentan diskutiert werden, nämlich dass sowohl der Anlass
litik” im Bundesministerium für Digitales und Verkehr. Der unklar ist als auch die Frage, welche Daten gemeint sind bei
Data Act liege mit den politischen Prioritäten der Bundesre- Business to Government, dann ist das eine Unklarheit, die
gierung und insbesondere des Digitalministeriums auf einer für Unternehmen relativ schwer ist, insbesondere wenn es
BvD-NEWS Ausgabe 3/2022 7
darum geht sich auf den Datentransfer vorzubereiten.“ Bra- Er zeigte sich zugleich überzeugt, dass viele Unternehmen im
ke sprach sich für eine Einschränkung aus. Entweder müsse Grundsatz zunächst den Data Act unterstützten. Sie schätz-
klar sein, welche Daten Unternehmen vorhalten müssten für ten die Innovations- und Investitionsanreize für digitale Ge-
staatliche Zwecke und Anfragen oder man müsse das stärker schäftsmodelle sowie die Markt- und Wettbewerbschancen,
eingrenzen. „Beides wird eine Herausforderung bei den Ver- sähen aber auch die technischen Herausforderungen und
handlungen in Brüssel“, prognostizierte der Vertreter des Di- rechtliche Risiken durch drohende Sanktionen bei Verstößen.
gitalministeriums. Es sei zudem für viele eine Herausforderung festzustellen, ob
ihre Produkte und Verarbeitungstätigkeiten in den Anwen-
dungsbereich des Data Act fallen.
EU-Kommission hofft auf baldigen
Kompromisstext im Rat der EU
Anna Ludin, Policy Officer für die Generaldirektion Kom-
munikationsnetze, Inhalte und Technologien der EU-Kom-
mission, wirkte am Entwurf mit. Angestrebt werde „die fai-
re Allokation von Wertschöpfungen in der Datenökonomie“,
DATA ACT:
betonte sie. Deshalb gehe es im Data Act auch um Daten- HINTERGRUND UND ZIELE
zugangsverpflichtungen. Sie hofft, dass noch im Dezember
ein Kompromisstext vorliegen und das Europäische Parlament • Daten sind zentraler Bestandteil der digitalen Wirtschaft
im Februar über ein erstes Verhandlungsmandat abstimmen und wesentliche Ressource für die Sicherung des ökologi-
werde. Ludin erläuterte: „Wenn man sich die Kommissions- schen und digitalen Wandels („Datennutzen allen“)
mitteilungen aus den Jahren 2014 und 2017 näher anschaut,
• Volle Ausschöpfung des Potenzials datengesteuerter
dann gibt es eine gewisse Kontinuität vom Ansatz in Bezug
Innovationen, u. a. durch Möglichkeiten der Weiterver-
auf die Datenökonomie. Man will eigentlich keine neuen
wendung von Daten und Abbau von Hemmnissen
Exklusivitätsrechte etablieren, sondern mehr Akteure befä-
higen, an der Wertschöpfung teilzuhaben und das durch Zu- • Hohes Maß an Vertrauen, Schutz, Sicherheit:
gangsrechte. Das tut der Data Act im IoT.“ Wahrung hoher Datenschutz- und Sicherheitsstandards,
Schutz von vertraulichen Geschäftsdaten und Geschäfts-
geheimnissen, Einschränkung von Datenzugriffen aus
Drittstaaten
• Echter Binnenmarkt für Daten, Europa als weltweit
führender Akteur in der datenagilen Wirtschaft
• Erleichterter Datenzugang und erleichterte Datennut-
zung sektorübergreifend
• Anreize für Investitionen in die Wertschöpfung durch
Daten
• Stärkung der Innovationsfreundlichkeit und -fähigkeit
• Wettbewerb und faires Geschäftsumfeld (Abbau von
Marktungleichgewichten, z.B. aus Datenkonzentration,
Anna Ludin Wettbewerbsbeschränkungen, Marktzutrittsbeschrän-
kungen, Beeinträchtigungen von Datenzugang und
Christian Dürschmied, Rechtsanwalt der Wirtschaftskanz- Datennutzung, Ungleichgewichte bei Fachwissen und
lei Eversheds Sutherland und Policy Consultant für Daten- Verhandlungspositionen)
schutz & Privacy beim Bundesverband Digitale Wirtschaft • Handlungskompetenzen des Einzelnen wirksam stärken
(BVDW) wies auf die wirtschaftliche und innovative Bedeu- • Handlungsmöglichkeiten bei außergewöhnlicher Notwen-
tung von Daten hin, die der gesamten Gesellschaft nutzten. digkeit wie öffentlichen Notständen
Gleichzeitig müsse ein hohes Maß an Vertrauen, Schutz und
• Interoperabilitätsrahmen
Sicherheit gewahrt werden. Übergeordnetes Ziel sei es Euro-
pa zum weltweit führenden Akteur in der Datenwirtschaft zu
machen, indem ein „echter Binnenmarkt für Daten“ geschaf-
fen werde.
Quelle: Christian Dürschmied
8 BvD-NEWS Ausgabe 3/2022
IM FOKUS
Die Konferenz wurde live über die Website https://data-act.org/ gestreamt. Dort können Interessierte Videos der einzelnen Beiträge weiterhin abrufen.
Unterschiedliche Interessenlagen
in den Unternehmen
Im Interview mit Frederick Richter, Vorstand der Stiftung
Datenschutz, erläuterte Dirk Binding, Leiter des Bereichs
Digitale Wirtschaft und Infrastruktur bei der DIHK, die Her-
ausforderung für die rund 3,4 Millionen IHK-Unternehmen in
Deutschland. „Wir haben Unternehmerinnen und Unterneh-
mer, die Daten herstellen. Wir haben aber auch welche, die
die Daten nutzen, und dann haben wir andere Unternehmen,
die die Daten gerne nutzen würden, aber im Moment noch
nicht nutzen können. Es gibt also sehr unterschiedliche Inte-
ressen, die es zusammenzuführen gilt.“ Eine Befragung der
Mitgliedsunternehmen erbrachte als deren großes Problem Dirk Binding
die Unsicherheit. „Wie kann ich Daten verwenden? Wie kann
des Data Act noch nicht bewusst. Wir müssen das so überset-
ich Daten weitergeben? Und wie kann der andere sie nutzen?
zen, dass unsere Unternehmen es verstehen und keine Angst
Vielen Unternehmerinnen und Unternehmern sind die Folgen
davor haben“, sagte der DIHK-Vertreter. Bei deren Sensibili-
sierung stehe man noch am Anfang.
Dr. Vera Demary, Leiterin des Kompetenzfelds Digitalisie-
rung, Strukturwandel und Wettbewerb im Institut der Deut-
schen Wirtschaft (IW), veröffentlichte kürzlich die Studie
„Der Data Act. Welchen Rahmen Unternehmen für Data Sha-
ring wirklich brauchen“. „Unsere Erkenntnis ist: Unternehmen
brauchen den Data Act so noch nicht. Denn die Unterneh-
men sind einfach noch nicht so weit.“ Nach einer IW-Be-
fragung von Unternehmen aus Industrie und industrienahen
Dienstleistungen im Jahr 2021 sind nur 29 Prozent von ihnen
in der Lage Daten effizient zu bewirtschaften. Gründe dafür
seien Rechtsunsicherheit und mangelnde Informationen über
die Rechtslage. Lediglich elf Prozent könnten Daten effizient
Frederick Richter
BvD-NEWS Ausgabe 3/2022 9
bewirtschaften und austauschen. Der Großteil der Unterneh-
men gebe keine eigenen Daten heraus, sondern nehme Daten
von Dritten in die eigenen Prozesse auf. „Es müssen unter-
nehmensintern noch viele Dinge geklärt und organisiert wer-
den. Und deswegen glaube ich, es ist noch nicht der richtige
Zeitpunkt für den Data Act“, sagte Demary.
MÖGLICHE ANSATZPUNKTE
FÜR EINEN KOMPROMISS
Dr. Vera Demary
Dr. Vera Demary, vom Institut der Deutschen
Wirtschaft (IW) formuliert vier Bereiche, die gegangen. Beim Data Act aber gebe es unterschiedliche An-
der Data Act beantworten muss: forderungen, Anwendungsbereiche und Risiken. Die kenne die
Wirtschaft und auch der Gesetzgeber zum Teil noch nicht. In
1. Klärung des Anwendungsbereichs
der Wirtschaft unterschieden sich zudem die Positionen zum
Welche Daten sind gemeint (Rohdaten oder Data Act je nach Branche. Während es zum Beispiel bei Da-
weiterverarbeitete Daten)? Welche Unter- ten aus der Flugzeugindustrie häufig um Geschäftsgeheimnis-
nehmen sind gemeint? Ist die Schwelle von se gehe, sei das bei Verbrauchsdaten in der Energiewirtschaft
50 Mitarbeitern geeignet? ganz anders. Daher sei er skeptisch, ob es überhaupt eine
gemeinsame legislative Lösung für die verschiedenen Anfor-
2. Klärung der Rollen
derungen geben könne.
Wer ist Dateninhaber, wer ist Nutzer? Wert-
Mike Gahn, geschäftsführender Gesellschafter der ownSoft,
schöpfungsketten und -netzwerke sind kom-
kritisierte unter anderem die geplante Regelung, dass Unter-
plex. Andere Konstellationen würden KMU
nehmen ab 50 Mitarbeitende und einem Jahresumsatz von
vieles leichter machen.
mehr als zehn Millionen Euro vernetze Produkte und Services
3. Verbesserung der Sicherheit so gestalten sollen, dass die generierten Daten den Nutzen-
den direkt und leicht zugänglich sind. „Ich glaube nicht, dass
Wie lassen sich Geschäftsgeheimnisse besser
ich ansatzweise geschützt bin durch die 50-Mitarbeiter-Klausel,
schützen? Wie wird das überprüft?
weil unsere Kunden größer sind und mit den Anforderungen,
4. Klärung der Begleitung die im Gesetz formuliert sind, konfrontiert sind.“ Er gehe davon
aus, dass sich dadurch auch kleinere Firmen wie ownSoft an
Wie werden Compliance und Wirkung des
die Vorgaben halten müssen. „Das tickert bis ganz nach unten
Data Act geprüft? Sind die Effekte ge-
durch. Ich habe keine Chance mich dem zu entziehen.“
wünscht? Fördern sie größere Datenökonomie
und bessere Datennutzung?
Quelle: Dr. Vera Demary, Leiterin des Kompe-
tenzfelds Digitalisierung, Strukturwandel und
Wettbewerb im Institut der Deutschen Wirtschaft
In der Diskussion zum Thema „Welche Rahmen brauchen Un-
ternehmen für das Data Sharing?“ kritisierte Klemens Gut-
mann, Gründer und Vorsitzender des Unternehmens re-
giocom, dass die EU-Kommission mit dem Data Act einen
„riesigen Universalhut“ schaffen wolle, statt sich drei bis fünf
kleinere Hüte für die jeweilige Situation zuzulegen. Bei der
DSGVO lag der der Vereinheitlichungsansatz auf der Hand.
Es sei um Personen, um Einzelrechte in 27 Mitgliedstaaten Thomas Fuchs
10 BvD-NEWS Ausgabe 3/2022IM FOKUS
Vladan Rámiš, Vizepräsident des europäischen Dachver-
EU-Datenregulierungen sind nicht aufeinander
bands der betrieblichen Datenschutzbeauftragten, der Euro-
abgestimmt
pean Federation of Data Protection Officers (EFDPO), sieht
Thomas Fuchs, der Hamburgische Beauftragte für Daten- den Data Act eher als Konzentration auf die Perspektive des
schutz und Informationsfreiheit, sieht im Data Act, dem Data einzelnen Nutzers, nicht auf die des Teilens von Datenbanken,
Governance Act und der DSGVO ein „mittelalterliches Tripty- die für Big Data eigentlich notwendig seien. Er sprach sich zu-
chon, also drei Tafelbilder, die nebeneinander stehen und drei gleich für eine starke Rolle der Datenschutzbeauftragten in
verschiedene Geschichten erzählen. Und das ist nicht richtig der Umsetzung aus: „Wie oft sind die Datenschutzbeauftrag-
gut“. Da die DSGVO Rechtsgrundlage für die Übermittlung ten im Data Act und in der gemeinsamen Stellungnahme des
personenbezogener Daten sei, müsse nach DSGVO-Standards Europäischen Datenschutzausschusses und des Europäischen
ermittelt werden. Das Einwilligungsmodell sei jedoch für eine Datenschutzbeauftragten zum Data Act erwähnt? Leider kein
auf eine massenhafte Datenteilung angelegte Wirtschaft einziges Mal. Dennoch werden die Datenschutzbeauftragten
nicht sinnvoll. „Das wird nicht funktionieren“, kritisierte häufig beteiligt sein an der Umsetzung des Data Act, weil sie
Fuchs. Beim Data Act gebe es keinen europäischen Koordinie- sehr eng mit der DSGVO zusammenhängt.“
rungsmechanismus wie bei den anderen Datenrechtsakten.
Am Ende der Diskussion zog Fuchs ein Fazit: „Viele
„Ich weiß nicht, wie man das in der Praxis behandeln soll. Das
Stellungnahmen heute gingen in dieselbe Richtung: Der An-
Einzige, was es halbwegs kohärent machen kann, ist, dass die
satz ist zu breit, die Begriffe sind zu unpräzise, die Abgren-
Datenschutzaufsichtsbehörden auch zuständig werden für
zung zur DSGVO funktioniert nicht. Eigentlich müsste man
die Koordination des Data Acts, weil nur sie im Data Act als
sich fragen: Warum muss es ein Act sein? Ist es nicht ein ty-
competent authorities genannt werden.“
pischer Fall für eine Richtlinie, wo der nationale Gesetzgeber
sektorenscharf konkretisieren kann?“
PRAKTISCHE UMSETZUNG DES DATA ACT
Der Data Act:
a) ist eine relativ komplexe Rechtsvorschrift, die eine Reihe von rechtlichen und
organisatorischen Fragen aufwirft.
b) wird häufig parallel zur DSGVO angewandt.
c) wird die Lösung einer Reihe komplexer rechtlicher und technischer Fragen der
Datenverarbeitung erfordern.
d) erzeugt – damit er sein Ziel erreichen kann – einen hohen Bedarf an
Datenexperten in der EU, die in der Lage sind, die mit der Übermittlung von
Daten verbundenen Fragen umfassend zu beurteilen, auch unter dem Aspekt des Quelle: JUDr. Vladan Rámiš, Ph.D.
Schutzes der Grundrechte, vor allem des Schutzes personenbezogener Daten.
In vielen Unternehmen gibt es solche Experten schon
heute – die Datenschutzbeauftragten (DSB)...
Der BvD veröffentlichte gemeinsam mit der Stiftung Datenschutz und dem DIHK ein Positionspapier
zum Data Act. Über den QR-Code gelangen Sie zur Website der Veranstaltung:
Positionspapier von BvD, Stiftung Entwurf der EU-Kommission zum
Datenschutz und DIHK zum Data Act als jpg-Download:
geplanten Data Act: Über den Autor
Ulrich Hottelet
ist freier Journalist mit den
Themenschwerpunkten Datenschutz,
IT-Sicherheit und Künstliche Intelligenz.
BvD-NEWS Ausgabe 3/2022 11Foto: Oliver Franke
Der EU-Parlamentarier Patrick
Breyer (Piratenpartei) sprach
mit den BvD-News über die
geplante Chatkontrolle, deren
"DIE CHATKONTROLLE WIRD Auswirkungen auf Unterneh-
men und Behörden sowie über
VOR GERICHT LANDEN." den aktuellen Stand der wei-
teren EU-Vorhaben zur Digi-
talisierung.
BvD-News: Herr Breyer, die Chatkontrolle beschäftigt die EU-Kom- zu Minderjährigen missbraucht werden kann. Das Problem ist,
mission und das EU-Parlament bereits seit Längerem. Wie ist der dass alle Kommunikationsdienste dafür missbraucht werden
aktuelle Stand? könnten, es sei denn, die Anbieter würden Minderjährige von
ihren Diensten ausschließen. Dazu aber wiederum würden alle
Patrick Breyer: Im ersten Schritt hat die EU den Anbietern
Nutzer, also auch Erwachsene, zur Altersverifizierung ihre Iden-
von E-Mail-, Messaging- und Chatdiensten erlaubt private
tität offenlegen müssen. Damit würde die Chance auf anonyme
Nachrichten nach verdächtigen Inhalten zu durchsuchen, das
Kommunikation etwa für Journalisten, Whistleblower oder po-
machen bisher wohl nur US-Dienste wie GMail, Facebook Mes-
litische Aktivisten zerstört – davon abgesehen, dass selbst alle
senger und Microsofts X-Box. Im nächsten Schritt soll die Chat-
17-Jährigen die meisten Apps nicht mehr installieren könnten.
kontrolle jetzt für sämtliche Anbieter verpflichtend angeordnet
Das alles ist inakzeptabel.
werden. Das ist so, wie wenn die Post alle Briefe öffnen und
scannen würde – völlig inakzeptabel. Dieser Verordnungsent- BvD-News: Wie hoch schätzen Sie die Möglichkeit ein, über die Chat-
wurf wird im europäischen Rat gerade mit Hochdruck beraten, kontrolle tatsächlich Kinderporno-Ringen auf die Spur zu kommen?
allerdings hinter verschlossenen Türen. Das EU-Parlament berät
parallel. Weil der Druck hoch ist, rechne ich damit, dass die Patrick Breyer: Solche Straftäter und Gruppen sind im Dark
Verordnung nächstes Jahr schon verabschiedet werden kann. Web aktiv und setzen dort eigene Dienste und Foren auf. Und
das werden sie auch weiterhin tun. Solche Gruppen sind nicht
BvD-News: Wie soll nach den bisherigen Plänen die Verordnung
auf Facebook oder Whatsapp unterwegs. Und das bedeutet:
zur Chatkontrolle nach Inkrafttreten in den jeweiligen EU-Mitglieds-
Die eigentlichen Straftäter können weiterhin anonym chatten,
staaten umgesetzt werden?
aber die normalen Bürgerinnen und Bürger, die sich technisch
Patrick Breyer: Die Verordnung selbst soll ohne Umsetzung nicht so auskennen, werden durchleuchtet und womöglich zu
unmittelbar gelten. In allen EU-Ländern soll eine Behörde An- Unrecht verdächtigt. Solche Fälle gab es ja schon. Nach Anga-
bieter zur Chatkontrolle verpflichten können, wenn ein Dienst ben der Schweizer Bundespolizei sind 80 Prozent der automati-
zum Versand illegaler Darstellungen oder zur Kontaktaufnahme siert angezeigten Kommunikation strafrechtlich nicht relevant.
12 BvD-NEWS Ausgabe 3/2022IM FOKUS
Und dennoch werden die Strafverfolger mit maschinellen An- fentlichen die Unternehmen die Algorithmen nicht. Wir wissen
zeigen überflutet und haben dadurch weniger Kapazitäten ge- also nicht, welche Kriterien zu welcher Durchleuchtung führen.
zielt nach Kinderporno-Ringen im Netz zu fahnden. Und damit Das müssen Datenschutzbeauftragte, die Behörden oder Un-
schadet die Chatkontrolle mehr dem Schutz der Kinder, als dass ternehmen beraten, auf alle Fälle berücksichtigen.
sie nützt. Davon abgesehen, dass in aller Regel die Ermittler auf
BvD-News: Es könnte also nur noch eine Ende-zu-Ende-Verschlüs-
die Spur solcher Ringe durch gezielte Hinweise kommen – und
selung helfen?
nicht zufällig durch die Durchleuchtung millionenfacher Daten.
Patrick Breyer: In Ende-zu-Ende-verschlüsselte Messenger
BvD-News: Der Datenschutz spielt dabei offenbar keine Rolle mehr.
soll eine Hintertür eingebaut werden. Wenn der Nutzer selbst
Patrick Breyer: Er taucht nur noch als Lippenbekenntnis verschlüsselt, könnte die Kommunikation nicht durchleuchtet
auf, dass die Chatkontrolle unter Wahrung des Datenschutzes werden. Das kann für eine Dateiablage funktionieren. Aber bei
durchgeführt werden solle. Aber der Europäische Gerichtshof der Kommunikation per Mail beispielsweise unterstützen die
hat bereits 2020 gegen Frankreich entschieden, dass eine an- wenigsten Empfänger eine Ende-zu-Ende-Verschlüsselung. Das
lasslose Auswertung privater Kommunikation das Grundrecht ist übrigens auch noch die Herausforderung beim Digital Mar-
auf Privatsphäre verletzt und nur ausnahmsweise bei Bedro- kets Act. Der ermöglicht ja die plattformübergreifende Nut-
hung der nationalen Sicherheit gerechtfertigt sei, nicht als Dau- zung von Messenger-Diensten. Dann müssen aber alle kompa-
ermaßnahme. Es liegen bereits Rechtsgutachten vor, die die tible Verschlüsselung entwickeln.
Chatkontrolle als grundrechtswidrig bewerten. Sie könnte al-
BvD-News: Wie bewerten Sie den Digital Services Act?
lenfalls dann verhältnismäßig sein, wenn sie gegen Tatverdäch-
tige angeordnet wird. Sie darf aber nicht gegen die gesamte Patrick Breyer: Auch hier konnten wir ein Gebot der Ver-
Bevölkerung gerichtet werden. Wenn die Verordnung kommt, schlüsselung nicht durchsetzen, auch kein Verbot der Vor-
wird sie vor Gericht landen. Ich selbst habe ja im Mai bereits ratsdatenspeicherung. Stattdessen können künftig auch in
eine Unterlassungsklage gegen Meta als Mutterkonzern von Fa- Deutschland Konten und Veröffentlichungen gelöscht werden,
cebook vor dem Amtsgericht Kiel gegen die verdachtslose auto- wenn es fragwürdige Gesetze in Ungarn und Polen bereits er-
matisierte Durchsuchung privater Chatverläufe und Fotos ein- möglichen. Das macht Zensur möglich. Das als Digitales Grund-
gereicht. Allerdings dürfte eine Entscheidung noch eine Weile gesetz geplante Vorhaben verdient den Namen nicht. Es gibt
dauern. leider die Tendenz in der EU der Wirtschaft und den Staatsor-
ganen die Nutzung von Daten weitestgehend zu ermöglichen.
BvD-News: Welche Auswirkungen hätte die Chatkontrolle auf in
der Cloud gespeicherten Daten? BvD-News: Und wie sehen Sie die Verhandlungen zu den AI Regu-
lations?
Patrick Breyer: Auch die Cloud müsste durchleuchtet wer-
den. Dort werden ja auch viele Fotos gespeichert, auch priva- Patrick Breyer: Die EU hat ein Forschungsprojekt finanziert,
te, die nie geteilt werden. Gerade für Unternehmen und Behör- das herausfinden sollte, ob sich per Video-Analyse erkennen
den wird es ein Dilemma sein, ob sie weiterhin elektronische ließe, ob EU-Einreisewillige bei der Einreise wahre oder falsche
Kommunikationsdienste nutzen und darüber womöglich sen- Angaben machen. Das war natürlich wissenschaftlich nicht halt-
sible Daten austauschen oder in der Cloud speichern sollten. bar. Meine Hoffnung ist, dass im geplanten KI-Gesetz weder
Zudem dürfte die Fehlerquote der Algorithmen, die dort zum Forschung noch die Technologie selbst bei solcherart unethi-
Einsatz kommen, sehr hoch sein. Software zur Suche nach An- schen und unrechtmäßigen Fragestellungen zugelassen wird.
bahnungsversuchen wurde etwa auf Englisch entwickelt, wie Wir werden sehen, wie die Beratungen weiterlaufen. Zurzeit
kann sie in anderen Sprachen funktionieren? Außerdem veröf- berät der europäische Rat über die Vorschläge der EU-Kommis-
sion. Das EU-Parlament will sich bis Jahresende zum Entwurf
positionieren. Im nächsten Jahr dürfte es dann in den Trilog von
EU-Kommission, Rat und Parlament gehen. Wir kämpfen für
DR. PATRICK BREYER ein Verbot biometrischer Massenüberwachung im öffentlichen
sitzt für die Piratenpartei im EU-Parlament. Der Jurist begann Raum, wie sie in China existiert.
seine politische Laufbahn als Abgeordneter im Schleswig-Hol-
steinischen Landtag. Seit 2019 sitzt er in Straßburg. Breyer ist
Mitglied im Ausschuss für Bürgerliche Freiheiten, Justiz und In-
neres und stellvertretendes Mitglied im Rechtsausschuss. Die Das Interview führte
Europäische Piratenpartei ist im EU-Parlament Mitglied der
Fraktion Grüne/Europäische Freie Allianz. Außerdem engagiert Christina Denz
Breyer sich gegen die Vorratsdatenspeicherung.
ist Journalistin, Kommunikations-
beraterin und Redakteurin der „BvD-News“.
BvD-NEWS Ausgabe 3/2022 13SYNTHETISCHE DATEN
UND DATENSCHUTZ –
EINE MOMENTAUFNAHME
Omar Ali Fdal
Laut Schätzungen von Gartner werden synthetische Daten bis 2030 die Verwendung realer Daten in KI-Modellen vollständig ersetzen. Der
rechtliche Rahmen für synthetische Daten ist dabei oft unklar. Daher ist es wichtig sich einen klaren Überblick über das Zusammenspiel von
synthetischen Daten und Datenschutz zu verschaffen – damit sich Fortschritt und Gesetzgebung nicht in die Quere kommen und Innovati-
onen gefördert werden.
Die Datenschutz-Grundverordnung (DSGVO) unterscheidet päische Datenschutzausschuss und andere Gremien wie die
beim Schutz personenbezogener Daten zwischen Pseudo- ENISA haben ebenfalls Leitlinien zur Verfügung gestellt, wie
nymisierung und Anonymisierung. Bei der gesetzlich vor- der Standard der gesetzlichen Pseudonymisierung technolo-
geschriebenen Pseudonymisierung muss der für die Da- gisch erfüllt werden kann.
tenverarbeitung Verantwortliche die Identität von den zu
Das Ziel der Anonymisierung von Daten besteht nicht nur
verarbeitenden Informationen trennen. Dazu werden die In-
darin persönliche Identifikatoren zu entfernen, sondern auch
formationen als Schutz vor einer erneuten Verknüpfung von
darin sicherzustellen, dass es unmöglich ist aus dem Rest der
der Identität getrennt und sicher aufbewahrt. So können bei-
Daten zu bestimmen, wer eine Person ist. Zudem sollte dieser
de Teile nicht wieder zusammengefügt werden, es sei denn,
Prozess dauerhaft sein. In diesem Fall fallen wirklich anony-
jemand ist dazu befugt. Die gesetzlich vorgeschriebene Pseu-
misierte Daten nicht in den Anwendungsbereich der Daten-
donymisierung ist ein Standard in der Datenschutz-Grund-
schutz-Grundverordnung.
verordnung, der erfüllt werden muss, wenn Unternehmen
personenbezogene Daten verarbeiten und in Einklang mit Im Gegensatz zur gesetzlich vorgeschriebenen Pseudonymi-
den Anforderungen der Datenschutz-Grundverordnung ver- sierung wird in der wissenschaftlichen Gemeinschaft häufig
wenden wollen. Die Verordnung enthält spezifische Anforde- darüber diskutiert, was eine wirkliche Anonymisierung von
rungen, wie dieser Zustand erreicht werden kann. Der Euro- Daten ausmacht. Auch die Aufsichtsbehörden überarbeiten
14 BvD-NEWS Ausgabe 3/2022IM FOKUS
häufig die Definitionen der Datenanonymisierung im Rahmen zu testen, die eine Re-Identifizierung verhindern. Wenn die
der gesetzlichen Bestimmungen. Diese Einordnung bleibt den folgenden Fragen mit Nein beantwortet werden können, gel-
Unternehmen selbst überlassen, und je nach Auslegung des ten die Daten als vollständig anonymisiert:
Gesetzes können unterschiedliche Ergebnisse erzielt werden,
• Ist es möglich, eine Person durch Isolierung einzelner Daten-
die den Schutz der Privatsphäre nicht immer gewährleisten.
sätze zu identifizieren?
Die Privatsphäre ist ein Spektrum. Im Laufe der Jahre ha-
• Ist es möglich, mindestens zwei Datensätze, die sich auf die-
ben Experten eine Reihe von Methoden, Mechanismen und
selbe Person beziehen, innerhalb eines Datensatzes oder zwi-
Instrumenten zum Schutz personenbezogener Daten ent-
schen zwei getrennten Datensätzen zu verknüpfen?
wickelt. Diese Techniken führen zu Daten mit unterschiedli-
chem Schutz der Privatsphäre und unterschiedlichem Risiko • Ist es möglich, einzelne Attribute aus dem Datensatz abzu-
der Re-Identifizierung. Sie haben mit dem Inkrafttreten der leiten?
Datenschutz-Grundverordnung an Popularität gewonnen.
Um die Sicherheit zu erhöhen, können den Synthesemecha-
nismen zusätzliche Vertraulichkeitsschichten hinzugefügt
Was sind synthetische Daten? werden, zum Beispiel Differential Privacy (DP). Modelle lernen
die ursprüngliche Datenverteilung mit einem DP-Algorithmus,
Synthetische Daten werden zunehmend verwendet, um die
um synthetische Datensätze mit DP zu erzeugen.
Anonymisierung der eigenen Datensätze zu erreichen. Syn-
thetische Daten werden algorithmisch erzeugt, verhalten sich Allerdings kann keine Technik einen perfekten Schutz der Pri-
aber wie echte Daten. Generative Modelle lernen die statisti- vatsphäre garantieren, wenn die Daten anschließend verwen-
sche Verteilung in den Originaldaten und ziehen daraus künst- det werden sollen. Verordnungen wie die DSGVO verpflichten
liche Stichproben, um synthetische Daten zu erzeugen. Bei Unternehmen, die Restrisiken einer Re-Identifizierung zu be-
der Generierung synthetischer Daten wird die Beziehung zwi- werten – überlassen es ihnen aber auch, zu beurteilen, was
schen den ursprünglichen und den synthetischen Datensät- das genau bedeutet. Datenschutz ist ein empirisches Feld;
zen aufgehoben. ohne Experten ist es schwierig, die Risiken zu berechnen.
Doch die Erstellung einer Datenschutzbewertung ist zeitauf-
Synthetische Daten sind durch zwei Aspekte definiert. Ers-
wändig. Je nach Komplexität des Anwendungsfalls kann es
tens werden sie von Algorithmen künstlich erzeugt, d. h. sie
drei bis sechs Monate dauern den Datenschutz für syntheti-
haben keinen direkten Bezug zu realen Ereignissen oder Per-
sche Daten zu erforschen, zu entwickeln, zu testen und zu
sonen. Zum anderen stellen sie die Realität dar. Das ist wich-
genehmigen.
tig, denn künstliche Daten, die nicht die Originaldaten wider-
spiegeln, sind für die Analyse nicht geeignet. Die Anbieter synthetischer Daten bieten häufig integrierte
Datenschutzbewertungen an, um die Datenschutzbeauftrag-
ten bei der Beurteilung des Datenschutzes zu unterstützen.
Datenschutz für synthetische Daten
Statice beispielsweise hat zu diesem Zweck eine eigene Reihe
Es wäre falsch anzunehmen, dass synthetische Daten von Ri- empirischer Datenschutzbewertungen (anstatt System) ent-
siken wie Re-Identifizierungsangriffen oder Datenschutzver- wickelt, den Statice Anonymeter, mit dem Datenschutzbe-
letzungen ausgenommen sind. Die Deep-Learning-Modelle, auftragte das Datenschutzrisiko synthetischer Daten auf der
die zur Erzeugung synthetischer Daten verwendet werden, Grundlage der WP29-Empfehlungen messen können.
können aufgrund ihrer großen Rechenkapazität komplexe
Aufgaben lösen. Allerdings merken sie sich auch Merkmale in
Worauf Datenschutzbeauftragte achten sollten
den Trainingsdaten. Letztlich können die gespeicherten Mus-
ter in den synthetischen Daten reproduziert werden, was zu In den meisten Fällen benötigen Unternehmen mehr als eine
Datenschutzverletzungen führen kann. Datenschutzmethode, um ihre Daten angemessen zu schüt-
zen. Je nach Anwendungsfall können sie mehrere Techniken
Allerdings ist auch hier zu beachten: Es gibt keine allgemein-
kombinieren. Datenschutzbeauftragte müssen von Anfang an
gültige rechtliche Definition dafür, was eine Re-Identifizie-
in das Datenprojekt einbezogen werden, um den Umfang des
rung technisch ausschließt. Einer Definition am nächsten
Anwendungsfalls, die Art der verwendeten Daten und die Art
kommt die Arbeit der WP29. Wenn Unternehmen die DS-
der gemeinsamen Nutzung zu verstehen.
GVO-Definition von anonymisierten personenbezogenen Da-
ten erfüllen wollen, empfiehlt die WP29 derzeit, synthetische Zunächst sollten die Datenschutzbeauftragten die wichtigsten
Daten gegen die drei bekannten Angriffe auf die Privatsphäre Kennzahlen für die Bewertung des Schutzes synthetischer
BvD-NEWS Ausgabe 3/2022 15IM FOKUS
Daten festlegen. Dazu sollten sie gemeinsam mit dem Ent- Vorsicht ist besser als Nachsicht
wicklungsteam alle relevanten Anwendungsfälle berücksichti-
Die Speicherung und (gemeinsame) Nutzung von Daten unter
gen, die sich in Zukunft ergeben könnten. Dazu können Pläne
Wahrung der Privatsphäre ist eine Herausforderung. Unab-
gehören das Projekt zu skalieren, Dritte einzubeziehen, inter-
hängig von der verwendeten Technologie ist es wichtig die
nationale Datenübertragungen durchzuführen oder personen-
Risiken zu verstehen. Es gibt immer Risiken für die Privat-
bezogene Daten im Datensatz zu speichern.
sphäre, die bei der Arbeit mit Daten berücksichtigt werden
Synthetische Daten sind ein immer häufiger auftretendes müssen.
Thema. Die Einführung steckt allerdings noch in den Kinder-
Einige Techniken, wie z. B. die Verwendung von DV-Algorith-
schuhen. Daher sollten Unternehmen, die sich für die Zu-
men, bieten einen stärkeren Schutz gegen eine erneute Iden-
sammenarbeit mit einem Anbieter synthetischer Daten ent-
tifizierung als herkömmliche Maskierungsmethoden. Sie sind
scheiden, Zeit in die Schulung ihrer eigenen Mitarbeiter:innen
daher eine hervorragende Möglichkeit den Datenschutz in die
investieren und sicherstellen, dass sie die Technologie, ihre
Datenverarbeitung zu integrieren. Darüber hinaus können Un-
Grenzen und ihr wahres Potenzial verstehen.
ternehmen mit den richtigen Tools auch Restrisiken abschät-
In den ICO-Datenschutzempfehlungen heißt es, dass die Da- zen und die Datenschutzbestimmungen leichter einhalten.
tenschutzbeauftragten eine Datenschutz-Folgenabschätzung
Die Datenschutzgemeinschaft betrachtet synthetische Daten
durchführen sollten, um festzustellen, ob eine Datenschutz-
als ein weiteres gültiges Instrument im Bereich des Daten-
methode angemessen ist. Die Bewertung sollte Folgendes be-
schutzes; ein Instrument, das bei richtiger Anwendung große
rücksichtigen:
Vorteile bieten kann.
• Art, Umfang, Kontext und Zweck der Datenverarbeitung;
• Stand der Technik und die Kosten für die Umsetzung einer
Datenschutzmethode;
• Risiken, die die Datenverarbeitung für die Rechte und Frei-
heiten des Einzelnen mit sich bringt.
ÜBER STATICE:
Statice entwickelt eine Datenschutztechnologie,
mit der Unternehmen ihre datengetriebenen In-
novationen beschleunigen und gleichzeitig die
Privatsphäre von Einzelpersonen schützen kön-
nen. Mithilfe von Anonymisierungssoftware kön-
nen Unternehmen datenschutzkonforme syn-
thetische Daten generieren, die für jede Form
der Datenintegration, -verarbeitung und -ver- Über den Autor
breitung geeinet sind. Unternehmen aus der Fi-
Omar Ali Fdal
nanz-, Versicherungs- und Gesundheitsbranche ist Chief Data Scientist & Head of Privacy Research
können so die Datenqualität steigern und da- bei Anonos und Mitbegründer von Statice.
durch ihre Wertschöpfungskette signifikant ver-
Ende Oktober 2022 übernahm der US-amerikanische Datenschutz-
bessern. Statice ermöglicht das Trainieren von Anbieter Anonos die Statice GmbH. Das gemeinsame Unternehmen
Machine Learning Modellen, die Nutz7ung von bietet eine Plattform, die schnelle Dateneinblicke ermöglich und
Cloud-Infrastrukturen und das Teilen von Daten gleichzeitig den Schutz und die Nutzung von Daten verbessern will.
mit Partnern. Erfahren Sie mehr über Statice auf
www.statice.ai
16 BvD-NEWS Ausgabe 2/2022
3/2022Anzeige
Jetzt 3 Monate ZD kostenlos testen.
Die große Zeitschrift zum Datenschutz
Die ZD informiert umfassend über die relevanten datenschutz-
rechtlichen Aspekte aus allen Rechtsgebieten und begleitet die
nationale sowie internationale Gesetzgebung und Diskussion
um den Datenschutz. Im Mittelpunkt
stehen Themen aus der Unternehmenspraxis wie z. B.
n Konzerndatenschutz n Beschäftigtendatenschutz n Daten-
schutz-Folgenabschätzung n Compliance n Kundendatenschutz
n Telekommunikation n Soziale Netzwerke n Datentransfer in
Drittstaaten n Vorratsdatenspeicherung n Informationsfreiheit
n Profiling und Scoring n Tracking.
Geschaffen für die Unternehmenspraxis
Jedes Heft enthält ein Editorial, Aufsätze mit Lösungsvor-
schlägen, Angaben zur Lesedauer, Abstracts in Deutsch und
Englisch, Schlagwortketten, Entscheidungen mit Anmerkungen
ZD – Zeitschrift für Datenschutz
und aktuelle Meldungen.
13. Jahrgang. 2023. Erscheint monatlich mit 14-täglichem
Newsdienst ZD-Aktuell und Online-Modul ZDDirekt.
Jahresabonnement € 319,–
Vorzugspreis für BvD-Mitglieder, für Abonnenten Alles inklusive:
der Zeitschrift MMR und des beck-online
Moduls IT- und Multimediarecht PLUS sowie Online-Modul ZDDirekt – vollständiges Online-Archiv
für ausgewählte Kooperationspartner € 245,– ab ZD 1/2011
Abbestellung bis 6 Wochen vor Jahresende. 14-täglicher Newsdienst ZD-Aktuell
Preise inkl. MwSt., zzgl. Vertriebsgebühren € 17,– jährlich. Homepage www.zd-beck.de
beck-shop.de/go/ZD Fundstellen-Recherche in beckonline.
3 Hefte gratis
Bestellen Sie das kostenlose Schnupperabo unter
www.beck-shop.de/go/ZD.
Erhältlich im Buchhandel oder bei: beck-shop.de | Verlag C.H.BECK oHG · 80791 München | kundenservice@beck.de | Preise inkl. MwSt. | 173613
facebook.com/verlagCHBECK linkedin.com/company/verlag-c-h-beck twitter.com/CHBECKRechtSie können auch lesen
