.jpg)
Datenschutz und Green IT - Bedingt Unbedingt?
Martin Rost vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) über die Vereinbarkeit von Datenschutz und Green IT
Die oberste Regel der deutschen Datenschutzgesetze ist das „Verbot mit Erlaubnisvorbehalt“: Organisationen dürfen keine personenbezogenen Daten verarbeiten. Begründbare Ausnahmen bedürfen entweder einer gesetzlichen Regelung oder einer Einwilligung. Nur durch eine eng zweckbestimmte Öffnung in diese harte Verbotsmauer hinein lässt sich die Machtasymmetrie zwischen Organisationen und Personen unter rechtstaatlich kontrollierbare Bedingungen stellen. Organisationen sind strukturell beständig verführt, die rechtlichen Bestimmungen zu unterlaufen: Monopolisierung, Primat der Exekutive, sachlich nicht gerechtfertigte Diskursdominanz untergraben Vertrauenswürdigkeit zwischen Bürgern und Verwaltungen, Kunden und Unternehmen, Nutzern und akademisch ausgebildeten Dienstleistern und Forschungsinstituten. Eine permanente Kontrolle, der Einbau von dafür geeigneten „Kontrollankern“ sowie eine möglichst konstruktionsbedingte Datenschutzgerechtigkeit sind deshalb unverzichtbar. Die Anforderungen, denen Organisationen gegenüber Personen nachkommen müssen, werden in der aktuellen Datenschutzdiskussion als Schutzziele formuliert. Sechs elementare Schutzziele und deren Maßnahmen sind identifiziert:
a) Die Sicherung von Verfügbarkeit zielt darauf ab, dass ein Verfahren zeitgerecht zur Verfügung steht und ordnungsgemäß angewendet werden kann. Eine wesentliche Schutzmaßnahme ist die redundante Auslegung von Datenbeständen, Systemen und Prozessen.
b) Die Sicherung von Vertraulichkeit zielt darauf hin ab, dass nur befugt auf Verfahren und Daten zugegriffen werden kann. Die Umsetzung geschieht durch Abschottung von Systemen und Prozessen und Rollentrennungen sowie der Verschlüsselung von Daten und Kommunikation.
c) Die Sicherung der Integrität zielt darauf ab, dass Verfahren unversehrt, zurechenbar und vollständig bleiben. Das bedeutet: Bei Daten werden Hash-Werte und bei Prozessen Soll-/Ist-Zustände verglichen sowie Hardware und Software extern auditiert.
d) Die Sicherung der Transparenz zielt darauf ab, dass die Verarbeitung von personenbezogenen Daten mit zumutbarem Aufwand nachvollzogen, überprüft und bewertet werden kann. Deshalb sind die Komponenten eines Verfahrens vollständig zu dokumentieren und Abläufe zu protokollieren.
e) Die Sicherung der Intervenierbarkeit zielt darauf ab, dass Betroffene die ihnen zustehenden Rechte wirksam durchsetzen können und Organisationen einem kontrollierten Changemanagement unterliegen. Dazu muss Betroffenen unmittelbar Zugriff auf deren Daten und Prozesse gewährt werden. Und Organisationen müssen Datenschutzprozesse in ihre Prozess-Frameworks wie bspw. ITIL oder CoBIT sowie ihr IT-Sicherheitsmanagement integrieren.
f) Die Sicherung der Nichtverkettbarkeit zielt darauf ab, dass personenbezogene Daten nicht oder nur mit unverhältnismäßig hohem Aufwand für einen anderen als den ausgewiesenen Zweck erhoben, verarbeitet und genutzt werden können. Die Umsetzung gelingt durch Anonymisierungs- und Pseudonymisierungsverfahren.
Diesen Schutzzielen müssen die Verfahren und Produkte, die im Rahmen von GreenIT entwickelt werden, genügen. Interessanterweise stoßen in diesem Kontext zwei Anforderungsprofile aufeinander, die beide mit besten Gründen als „unbedingt“ auftreten: Auf der einen Seite muss mit den endlichen Energieressourcen der Welt sorgsamst umgegangen werden. Mit der Behauptung existentiellen Drucks wären Einschränkungen der Souveränität und Freiheit von Menschen im Umgang mit Energie politisch durchsetzbar. Auf der anderen Seite steht die ebenso unbedingte Beachtung von Bürgerrechten einer Gesellschaftsstruktur, die den gesellschaftlich optimalen Trimm zwischen beiden Unbedingtheiten zu finden überhaupt erst möglich macht. Keine noch so gut begründete Wahl mehr zu haben, wäre jedenfalls der Tod der modernen Gesellschaft mit ihren individuellen Freiheitsversprechen.
Website des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD)