Vorheriger Vorschlag

Bestandsaufnahme – Datenschutz und Datensicherheit als Grundrechtsschutz

Datenschutz und Datensicherheit sind zentrale Begriffe der Digitalisierung und haben ganz praktische Auswirkungen auf die Arbeit der bürgerschaftlich Engagierten. Sie sind für zivilgesellschaftliche Organisationen besonders im Hinblick auf die vielen personenbezogenen und teilweise sensiblen Daten, die bei der täglichen Arbeit entstehen, essentiell.

weiterlesen
Nächster Vorschlag

Konsequenzen – Bewusstsein stärken, Knowhow ausbauen, Infrastruktur einfordern

Aus der Analyse des Status Quo lassen sich eine Reihe von Handlungsempfehlungen für die Bürgergesellschaft, aber auch gegenüber Politik und Wirtschaft ableiten. Es geht darum, Strukturen und das Bewusstsein zu schaffen, um es gemeinnützigen Organisationen und Initiativen zu ermöglichen, im Umgang mit Daten kompetent, souverän und sicher zu agieren und den Digitalen Wandel mitzugestalten.

weiterlesen

Einleitungstext für Annotation

Infografik zum Ablauf der Annotationsgrafik

Markieren Sie eine Textstelle. Es erscheint nun ein Button "Kommentieren" über den Sie zur fraglichen Textstelle einen Kommentar verfassen können.

Mit einem Klick auf eine farblich markierte Stelle im Text können sich den dazugehörigen Kommentar anzeigen zu lassen.

Analyse – Datenschutz und Datensicherheit als Grundvoraussetzung von Souveränität im Digitalen Wandel

Engagement-Dimension: Ein Umstand lässt sich nicht leugnen: Der kompetente und sichere Umgang mit Daten bringt für gemeinnützige Organisationen definitiv mehr Arbeit mit sich. Es sind neue Verpflichtungen geschaffen worden, etwa umfangreiche Informationspflichten sowie Dokumentationspflichten für sämtliche Unterlagen, Datenschutzerklärungen für die Webseiten, Einverständniserklärungen für die Erstellung und Veröffentlichung von Fotos etc. Vor diesem Hintergrund mag es verständlich sein, dass Datenschutz oft als eine lästige und dem Engagement hinderliche Pflicht dargestellt wird. Dennoch sind Datenschutz und Datensicherheit wichtige Grundrechte, welche es zu schützen und gemeinschaftlich auszugestalten gilt.

Digitales Sicherheitsbewusstsein und daraus resultierendes Sicherheitsverhalten sind bislang in Vereinen, Verbänden und Initiativen zu wenig ausgeprägt (vgl. entsprechende Untersuchungen von DsiN[1]). Bezüglich Datenschutz und Datensicherheit fehlt eine fundierte Risikoeinschätzung, teilweise durch fehlendes Wissen, teilweise aber auch durch Achtlosigkeit und Fahrlässigkeit. Aufgrund von immer wieder öffentlich bekanntwerdenden Datenskandalen, der Komplexität und den technischen Aspekten des Themas herrscht allgemein große Verunsicherung.

Online-Tools werden oft pragmatisch eingeführt oder ad-hoc in einer Krisensituation wie der Corona-Pandemie implementiert, wobei in der Eile oder aus Unwissenheit der Datenschutz oft missachtet wird. Dass Datenschutz aber integraler Bestandteil bei jeder Entscheidung für oder gegen ein (neues) Tool sein muss, wird oft vernachlässigt. Es ist ein stetiger Sensibilisierungsprozess, dieses Bewusstsein zu schaffen. Datenschutz darf nicht am Ende einer Entscheidung als lästiges Hindernis wahrgenommen werden, sondern muss am Anfang einer jeden Entscheidung stehen.  

Fehlendes technisches Knowhow: Da aber oftmals das individuelle Wissen über die verwendete Technik fehlt, lassen sich die Funktionsweisen und mögliche Datenschutzprobleme des jeweiligen Tools häufig nicht einschätzen. Problematisch ist aber auch, dass häufig einfach nicht klar zu sein scheint, was man darf und was man nicht benutzen sollte. Viele Tools werden von Datenschutzexpert*innen und Landesdatenschutzbeauftragten sehr unterschiedlich bewertet – aktuelles und bekanntes Beispiel stellt die Videokonferenzlösung Zoom dar. Hier bedarf es einer größeren Einheitlichkeit und somit bindender Standards.

Vermehrtes individuelles Wissen über den Umgang mit Daten würde staatliche Empfehlungen unnötig machen bzw. würde für Individuen eine bessere Einordnung ermöglichen. Menschen müssen handlungsfähig gemacht werden, ihr Urteilsvermögen muss gestärkt und ihre bisherige Sorglosigkeit im Umgang mit Daten durch eine kompetente und souveräne Umgangsweise ersetzt werden. In einer zunehmend durch Daten geprägten Welt müssen wir alle tagtäglich bei der Arbeit und im Engagement Entscheidungen im Umgang mit Daten treffen. Wie bereits im Policy Paper zu „Digitale Kompetenz“ beschrieben bedarf es eines Konzeptes der „data literacy“, die für Haupt- und Ehrenamtliche gleichermaßen wichtig ist. „Data literacy“ bedeutet demnach „die Fähigkeit, planvoll mit Daten umzugehen und sie im jeweiligen Kontext bewusst einsetzen und hinterfragen zu können“[2]. Bisher wird dieser Ansatz nur im Hochschul-Kontext angewendet. Diese Schlüsselkompetenz des 21. Jahrhunderts sollte aber auch im allgemeinen Bildungskontext und in der engagierten Zivilgesellschaft Einzug halten.

Darüber hinaus ist es sinnvoll in den Organisationen eine Person zu benennen, die etwa als „Datenschatzmeister*in“ fungiert. Diese Person, gestützt durch den Vorstand und durch die Mitglieder sollte das notwendige technische Knowhow durch Fortbildungen erlangen können, um dann ein Datenschutzkonzept zugeschnitten auf die Bedarfe der jeweiligen Organisation zu erarbeiten. Die Benennung einer/s Datenschutzbeauftragten muss nicht in jedem Fall erfolgen, da diesem Amt laut DSGVO besondere Pflichten zugeschrieben werden, die für viele Vereine und Initiativen nicht realisierbar sind.

Informationsbedarf: Neben dem technischen Knowhow braucht es darüber hinaus mehr Informationsangebote und Kompetenzaufbau. Häufig gab es zum Inkrafttreten der DSGVO innerhalb von Verbandsstrukturen Angebote zur Information und zur Weiterbildung. Diese sollten nicht abgebaut, sondern vielmehr nachhaltig ausgebaut werden. Für Vereine, Organisationen und Initiativen, die außerhalb von Verbandsstrukturen arbeiten, gibt es einen noch größeren Informationsbedarf. Es braucht mehr leicht verständlicher und schnell verfügbarer Informationen (z. B. in leichter Sprache), sowie eine Art Datenschutz-Hotline für verschiedene Zielgruppen. Auch kommt kompetenten und vertrauenswürdigen Mentor*innen eine immer wichtigere Rolle zu, um individuelles Wissen zu vermehren und Menschen handlungsfähig zu machen, damit sie sich auf ihr eigenes Urteilsvermögen verlassen können. Denn das ist besonders wichtig im souveränen Umgang mit Daten. Ohne ein gewisses Detailverständnis ist es schwierig, die Entscheidungen, die im Bereich Datenschutz und -sicherheit getroffen werden müssen, kompetent und informiert zu treffen.

Kommunikation: Man muss jedoch nicht nur die Kompetenz im Umgang mit Daten erhöhen, sondern auch die Kommunikation darüber ändern, um den Engagierten den Mehrwert, die Sicherheit und den Grundrechtschutz zu demonstrieren, die ihnen ein angemessener und sinnvoller Datenschutz bietet – als Engagierte und als Bürger*innen. Wenn man nun noch den Aspekt der Datensicherheit dazu nimmt, ist ein ausgeprägtes Technologieverständnis oder zumindest ein Bewusstsein für diese Technologien und ihre Sicherheit entscheidend für den Organisationsalltag und für die Gestaltung des digitalen Wandels im Sinne des Gemeinwohls. Fehlendes Wissen über Daten, Datenschutz und Datensicherheit und den Konsequenzen daraus resultierenden Fehlverhaltens verhindern einen souveränen Umgang mit den Risiken, aber auch mit den Chancen der Digitalisierung.

Neben Kompetenzaufbau und Informationsangeboten ist weiterhin ein Dialog auf Augenhöhe über das Thema nötig, um sich auszutauschen, um Unsicherheiten zu reduzieren und um so abermals für die Wichtigkeit von Datenschutz und Datensicherheit zu sensibilisieren. Digitalisierungsprozesse sind in vielerlei Hinsicht – ob gesellschaftlich, wirtschaftlich, oder sozial – so einschneidend, dass sie besonders den Diskurs mit der Zivilgesellschaft benötigen. Eine positive Kommunikation im öffentlichen Diskurs ist unumgänglich. Das Ziel sollte sein: Eine sichere und selbstbestimmte Nutzung von digitalen Diensten und Technologien im Engagement und in der Gesellschaft. Das ließe sich durch Veranschaulichung der Risiken und Folgen unsicherer IT-Strukturen erreichen. Lücken im Datenschutz müssen anhand plakativer Beispiele anschaulicher gemacht werden – gepaart mit dem Aufbau digitaler Kompetenzen in der Schulbildung, im lebenslangen Lernen und im Engagement als Lernort.

Politische Dimension: Eine Möglichkeit sich den teilweise berechtigten Unmut der Organisationen und der überwiegend ehrenamtlich Tätigen über den Umgang mit Daten anzunehmen, wäre es, die Anforderungen der DSGVO für Gemeinnützige anzupassen und leichter handhabbar zu machen. Derzeit gelten für Engagement-Organisationen die gleichen Vorschriften wie auch für Unternehmen, öffentliche Stellen und internationale Konzerne. Die Kirche ist von dieser Regelung ausgenommen und befugt, eigene Vorschriften zu machen (die sich in der Praxis aber alle im Kern an der DSGVO orientieren). Der Bericht der EU-Kommission zu „Zwei Jahre DSGVO“ im Sommer 2020[3] geht leider nicht auf den Handlungsbedarf in diesem Bereich ein. Hier gilt es nachzusteuern.

In diesem Spannungsfeld zwischen berechtigten Datenschutzanliegen auf der einen und den Bedenken und Sorgen aufgrund fehlender Kompetenzen und Ressourcenmangel der ehrenamtlichen Akteure auf der anderen Seite liegt eine Aufgabe für Politik, etwa durch finanzielle und/oder personelle Unterstützung und Ausnahmeregelungen. In jedem Fall muss der Staat Vereine und Organisationen in die Lage versetzen, die Datenschutzrichtlinien umzusetzen (finanziell und personell, z. B. durch Weiterbildungsangebote).

Des Weiteren bedarf es strengerer, rechtlicher Vorgaben nach dem Motto „Data protection by design & by default“, d. h. Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen, um Software- und Hardware-Hersteller stärker in die Pflicht zu nehmen, da die DSGVO diese bisher zu sehr außer Acht lässt[4].  Auch muss die Politik strenger in der Durchsetzung gegen digitale Plattformen werden. Hier sind der Digital Services Act[5] und Digital Markets Act[6] der EU-Kommission Schritte in die richtige Richtung.

Darüber hinaus muss die Politik im Diskurs über digitale Souveränität eine prägendere Rolle übernehmen. Denn eng verwoben mit dem Thema Umgang Datenverwendung ist die Problematik proprietärer Software, die oft Datenschutz im Sinne der DSGVO gar nicht erst ermöglicht. Besonders für kleinere Vereine und Initiativen ist hier aber die Kostenfrage oftmals entscheidend: Denn häufig erwecken die bekannten Tools multinationaler Konzerne den Anschein, es handle sich um kostenfreie oder zumindest vergünstigte Lösungen für Gemeinnützige, die dann aber wiederum nicht unbedingt datenschutzkonform sind. Es wird also auf die meist proprietären Tools zurückgegriffen. Die Monopolstellung einzelner, multinationaler Konzerne hat demnach in letzter Konsequenz auch Folgen für die (engagierte) Zivilgesellschaft.

Offene Software: Hier ist das Stichwort Open Source relevant, besonders aus der Perspektive der öffentlichen Hand. Um in der Zukunft weniger abhängig von den großen Anbietern zu sein, müssen vermehrt Open-Source-Lösungen erarbeitet und entsprechend Mittel bereitgestellt werden. Es ist wichtig für die digitale Souveränität Deutschlands und der EU, dass die öffentliche Hand die digitale Infrastruktur nicht einfach der Privatwirtschaft überlässt.

Politik und Verwaltung sind derzeit selber noch zu sehr in der proprietären Nutzung verhaftet, sollten aber vermehrt den Fokus und die Förderung auf offene Software legen, nach der Losung „Öffentliches Geld? Öffentlicher Code!“ mit einer eigenen Sicherheitsstruktur und DSGVO-konformen Datenschutzanforderungen. Offene Software ist dezentral, es wird Wert auf Datensicherheit und Privatsphäre gelegt, die Unabhängigkeit von großen Akteuren bleibt gewahrt und sorgt dadurch für die oft geforderte digitale Souveränität. Dafür muss es natürlich Standards geben und die Pflege und Kontrolle der Software muss durch eine Community gewährleistet werden. Hier kommt das bürgerschaftliche Engagement ins Spiel. Die digitale Community aus Entwickler*innen ist die beste Instanz zur Weiterentwicklung offener Software. Dieses digitale Engagement muss aber mit ausreichend Ressourcen ausgestattet werden. Oft fehlt es den Organisationen an finanziellen und personellen Ressourcen, um einen eigenen Server für Jitsi oder Big Blue Button zu finanzieren, geschweige denn diese Infrastruktur über eine lange Zeit sicher zu betreiben.

 

[1] DsiN (2019): SicherheitsIndex. Digitale Sicherheitslage der Verbraucher in Deutschland, 2. Auflage.

[2] Schüller, K., Koch, H. & Rampelt F. (2021). Data-Literacy-Charta. Version 1.2. Berlin: Stifterverband

[3] COM(2020) 264 final vom 24.6.2020, https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:52020DC0264&from=EN (Stand: 15.04.2021).

[4] vgl. Wilhelm, Maria; Vogt, Kira (2020): Goldstandard DSGVO: Zu hohe Datenschutzanforderungen für Vereine und kleine Unternehmen? vorgänge. Zeitschrift für Bürgerrechte und Gesellschaftspolitik Nr. 231/232 [59(3-4)], S. 41-51.

[6] COM(2020) 842 final vom 15.12.2020, https://eur-lex.europa.eu/legal-content/de/ALL/?uri=COM:2020:842:FIN (Stand: 15.04.2021).