Weekly News

Andere Länder, anderes Datenschutzverständnis

Das Safe-Harbor-Abkommen ist Geschichte, das EU-US-Privacy-Shield kommt. Worauf muss man sich einstellen?

Bei jedem Sicherheitssystem ist das schwächste Glied in der Kette entscheidend. Das Safe-Harbor-Abkommen fällt nun weg, aber jedes Unternehmen und jede Privatperson sollte sich fragen, ob das wirklich das schwächste Glied in der Kette war. Oder ist es nicht doch die Tatsache, dass ich mein Smartphone nicht mit einem PIN schütze, unverschlüsselte Mails verschicke und am Arbeitsplatz viel zu viele IT-Konten und IT-Zugriffsrechte habe? Ich bin mir nicht sicher, ob die NSA-Abhörmaßnahmen der datenschutztechnische Schwachpunkt waren. Ich kann als durchschnittlicher User wie als Unternehmen beliebig viel tun, um sicher zu werden und das bereits heute, ohne auf die Politik warten zu müssen. Das EU-US-Privacy-Shield ist, genau wie Safe-Harbor, nur eine juristische Krücke und resultiert aus einem fundamental anderen Datenschutzempfinden. Am Ende müssten Daten europäischer Nutzer in amerikanischen IT-Systemen anders behandelt werden als Daten US-amerikanischer Nutzer, aber das ist natürlich nicht der Fall. Man müsste ein einheitliches Verständnis vom Datenschutz erarbeiten, was nicht über die politische Ebene zu machen ist – erst Recht nicht kurzfristig.

Was müssen Unternehmen jetzt beachten?

Es ist mit keinen gravierenden Änderungen zu rechnen, weil dieses Thema noch nicht marktrelevant ist. Datenschutz und die daraus folgenden Rechte und Pflichten sind für Unternehmen zwar wichtig, weil dem Kunden das zugesichert werden muss. Aber wie sehr interessiert ihn das? Die meisten Endkunden achten im Privatleben kaum darauf: Smart TV, Siri und „gesprächige“ Betriebssysteme sind der Standard. Im Unternehmensbereich wird Digital Security daher häufig mit angezogener Handbremse bearbeitet.

Auf eine Datenschutz-Grundverordnung hat die EU sich zwar nun geeinigt, aber der Abstimmungsprozess könnte sich bis 2018 hinziehen. Ist sie dann noch aktuell?

Es ist absolut notwendig, jetzt einmal solch einen europaweiten Konsens über Werte und Prinzipien zu erarbeiten. Genau wie die Straßenverkehrsordnung nicht jedes Mal erneuert werden muss, wenn eine neue Antriebsform zugelassen wird, erwarte ich eine lange Haltbarkeit von der EU-Datenschutzverordnung. Dafür dürfen natürlich keine konkreten Techniken gefordert werden, wie z.B. die Schlüssellänge für einen konkreten Verschlüsselungsalgorithmus. Aber dass es eine Verschlüsselung für bestimmte Kommunikationskanäle geben muss, könnte durchaus gefordert werden. Wichtig wäre, politische Sicherheiten zu schaffen, besonders für den Mittelstand. Mit EU-weiten Regeln kann es einem deutschen Unternehmen dann egal sein, wo in der EU ein Rechenzentrum steht.

Deutschland nimmt den politischen Datenschutz sehr ernst.

Wir sind anders als beim eigenen Handeln beim politischen Datenschutz – gerade was ausländische Geheimdienste angeht – sehr empfindlich. Andere EU-Staaten gehen mit Daten etwas lascher um und die Lösung wird in der Mitte liegen. Um auf dem globalen Markt präsent zu bleiben, müssen wir da sicher auch Zugeständnisse machen, d.h. die Diskrepanz zwischen politischem und eigenem Datenschutz muss von beiden Seiten geschlossen werden.

Sie erarbeiten mit dem Bitkom ein IT-Security Status-Quo-Dokument?

Sobald gerade in Deutschland ein IT-Security-Problem auftaucht, wird häufig nach weiteren regulatorischen Vorgaben gerufen. Dabei hätten wir als Kunden den Datenschutz komplett in der Hand, wenn wir denn wollten. Aber wenn es nach wie vor wichtiger ist, wie sexy und günstig ein Gadget ist und Sicherheit kein Qualitätsmerkmal ist, dann darf man sich nicht darüber wundern, dass Unternehmen dieses Thema auch vernachlässigen. Das Status-Quo-Dokument gibt ein wenig Transparenz darüber, was heute üblich, aber auch was an vorbeugenden Security- Maßnahmen heute grundsätzlich möglich ist. Wir Endkunden müssen Datensicherheit endlich als Verkaufsargument wahrnehmen – und das jetzt. Mit dem Internet der Dinge erschaffen wir gerade tonnenweise, teilweise sehr persönliche Datensätze, deren Ausmaß wir noch gar nicht überblicken können. Da hilft auch kein EU-US-Privacy-Shield, wenn diese neuen Systeme grundlegende Sicherheitsschwächen aufweisen. Bevor es zu spät ist, müssen wir unser Gespür für Datenverarbeitung verbessern. Der Staat kann fordern was er will, es bringt nur nichts, wenn es am Markt vorbei geht.

Fakten

Fakten

Dr. Frank Simon, Jahrgang 1969, ist Mitglied der Geschäftsleitung beim IT-Mittelständler BLUECARAT und Vorsitzender des Bitkom Lenkungsausschusses Software, Leiter des Bitkom Arbeitskreises Software-Architekturen sowie im Vorstand des German Testing Boards (GTB).

Teile diesen Artikel

Journalist

Angela Ölscher

Weitere Artikel