Interview mit dem Berufsverband der Datenschutzbeauftragten Deutschlands e.V. zum "Stand der Technik"

Mit dem IT-Sicherheitsgesetz ist eine ganze Reihe von Gesetzesänderungen initiiert worden, die unter anderem den Datenschutz verbessern sollen und zur Erreichung der Schutzziele auf den sogenannten „Stand der Technik“ referenzieren. Eine voll umfassende Beschreibung von IT-Sicherheit in einem Gesetzestext, ist schwer möglich. Dadurch ist eine Interpretationslücke entstanden, die im Bedarfsfall notwendige Recherche- und Begutachtungsaufwände erzeugen würde. Als Verband der deutschen IT-Sicherheitsindustrie hat der TeleTrusT e.V. den aktuellen „Stand der Technik“ für die grundlegenden Schutzziele

• Schutz vor Angriffen oder Manipulation von Daten
• Schutz vor Angriffen auf die Verfügbarkeit von Diensten
• Schutz vor Manipulationen von Diensten

formuliert und als Handreichung einer breiten Öffentlichkeit bereitgestellt. Als Mitglied des TeleTrusT hat sich die procilon GROUP an diesen Konkretisierungen beteiligt. Um mehr darüber zu erfahren, haben die BvD-News Marco Fischer, Geschäftsbereichsleiter Projekte und Services bei procilon, befragt. Er ist Mitautor des TeleTrusT-Papiers.

BVD-News: Herr Fischer, uns interessiert natürlich zu allererst, was „Stand der Technik“ für den Datenschützer bedeutet?
MF: Auf jeden Fall eine erste Orientierung. Dazu möchte ich ein Beispiel bringen. Das IT-Sicherheitsgesetz zieht in Artikel 4 eine Änderung des Telemediengesetzes nach sich. Dort wird in § 13 der Schutz von personenbezogenen Daten nach dem Stand der Technik festgeschrieben. Eine weitere Definition, was das genau ist, fehlt. Jetzt müsste jeder Datenschützer, bezogen auf seine Tätigkeit eine Interpretation dieser Formulierung vornehmen. Diese Arbeit haben wir ihm, zumindest teilweise, abgenommen.

BVD-News: Soll das heißen, Sie wollen eine Gesetzeslücke schließen?
MF: Nein, das war nicht der Anspruch des Verbandes. Unsere grundlegende Herangehensweise war es, zu den wesentlichen IT-Sicherheitsaspekten die maßgeblichen Schlüsselpunkte herauszuarbeiten, diese möglichst weit zu konkretisieren und potentiell Betroffenen eine Orientierung, in einigen Fällen auch eine konkrete Handlungsempfehlung zu geben. Damit bietet das Papier keinen Rechtsrahmen, aber eine sehr gute Orientierungshilfe.

BvD-News: Wer ist ein potentiell Betroffener?
MF: Im Blick der Öffentlichkeit stehen heute oft nur die sogenannten Betreiber kritischer Infrastrukturen. Aber gerade vor dem Hintergrund des Datenschutzes möchte ich noch einmal auf die Änderung des Telemediengesetzes verweisen. Abgeleitet aus dem Gültigkeitsbereich dieses Gesetzes ist de facto jeder Betreiber einer Website, egal ob privat oder institutionell, davon betroffen. Insbesondere dann, wenn Interaktionen mit Nutzern dieser Web-Site erfolgen, also personenbezogene Daten ausgetauscht werden.

BvD-News: Also öffnet sich ein weites Feld der Betrachtungsmöglichkeiten. Dies erstreckt sich von der Einzelperson bis zum Großunternehmen und von rechtlichen Aspekten bis zu technischen Anforderungen. Wie bewältigt man solche Aufgaben?
MF: Tatsächlich ist so etwas durch eine einzelne Person oder ein Unternehmen nicht zu schaffen. Hier gilt es die richtigen Experten für einzelne Sachgebiete zu identifizieren und zusammenzubringen. Der Bundesverband TeleTrusT ist hierfür natürlich eine optimale Plattform. Da der Auslöser die Gesetzgebung war, wurde das Papier dort vom Arbeitskreis „Recht“ koordiniert und für die operative Arbeit ein Projektteam von 20 Personen aus 16 Unternehmen gebildet. Durch diese breit gefächerte Struktur ist unter dem Dach von TeleTrusT ein einzigartiger Kompetenzverbund entstanden.

BvD-News: Und wo haben Sie mitgearbeitet?
MF: Nun, das leitet sich aus den Kernkompetenzen der procilon ab. Wir sehen unsere Expertise in den Bereichen Public Key Infrastructure, Verschlüsselung und Signatur – sowie im Bereich des IT-Security-Managements (ISMS). In diesen Kapiteln finden Sie meine primären Zuarbeiten.

BvD-News: Das Papier wurde im Mai veröffentlicht. Können Sie heute etwas zur Resonanz auf die Handreichung sagen?
MF: Offensichtlich sind viele Anwender über eine Aufklärung zu den im „Stand der Technik“ geforderten Sicherheitsstandards ausgesprochen dankbar und können daraus notwendige Maßnahmen ableiten. Das zeigen sowohl direkte Rückmeldungen an uns, als auch natürlich an TeleTrusT. Die Handreichung findet über Deutschland hinaus im gesamten deutschsprachigen Raum und in anderen EU-Ländern Beachtung und Anerkennung.

BvD-News: Ist die Arbeit nun getan?
MF: Natürlich nicht. Zum Einen ist eine Fortsetzung und weitere Konkretisierung der vorhandenen Punkte geplant. Dies ist sicher für das Verständnis in einer noch breiteren Öffentlichkeit auch hinsichtlich des Datenschutzes hilfreich und notwendig. Zum Anderen wird es Erweiterungen und Ergänzungen im Rahmen neuer Technologien geben müssen. Hier wird der Expertenkreis unter dem Dach des TeleTrusT e.V. sicher noch wachsen. Weitere Expertise ist hier ausgesprochen wünschenswert.

BvD-News: Und wie ist denn nun der Stand der Technik?
MF: (lacht) Da werde ich Ihnen wohl eine Lektüre der Handreichung nicht ersparen können. Die Themen reichen von sicherer Vernetzung und Internetzugang über Client- und Serversicherheit, Digital Enterprise Security bis zur Mobile Security. Ein Überblick über Standards und Normen sowie Betrachtungen zum „Stand der Technik“ aus Sicht von Prozessen runden die Handreichung ab. Als Mitautor haben wir natürlich ein Interesse an einer möglichst großen Verbreitung des Papiers. So kann der interessierte Datenschützer die Handreichung auf unserer Web-Site kostenfrei anfordern.

BvD-News: Herr Fischer, vielen Dank für das ausführliche Gespräch.