Datenschutz und Datensicherheit für Freie Berufe

Der Landesverband der Freien Berufe Thüringen führte am 23. September 2015 eine Konferenz zum Thema ›Datenschutz und Datensicherheit für Freie Berufe‹ durch, die nicht nur bei Spitzenvertretern und Angehörigen der Mitgliedskammern und -verbände des LFB auf gr0ßes Interesse stieß.

Bei der Begrüßung der Teilnehmer betonte der Präsident des LFB, Dr. Rudat, wie wichtig es ist, Vertrauen zu schaffen und zu erhalten. Dies gelte im Zeitalter der Digitalisierung der Gesellschaft erst recht.

Dr. Lutz Hasse als Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit hatte die Schirmherrschaft der von Carsten Rose, Radio F.R.E.I. Erfurt, moderierten Veranstaltung übernommen. Er wies darauf hin, dass der Gesetzgeber im Bereich der elektronischen Erfassung, Speicherung und Verarbeitung von Daten alles, was nicht ausdrücklich erlaubt sei, verboten habe (§ 28 BDSG). Seine Behörde habe neben der sich daraus ergebenden Aufsichtsfunktion aber auch beratende Aufgaben, was vielfach noch übersehen werde. Er übergab sodann das Wort an seine Referatsleiter Katrin Böhlke und Johannes Matzke.

Dieser wandte sich vor allem rechtlichen Fragen im Zusammenhang mit der sogenannten Auftragsdatenverarbeitung zu. Da es sich insoweit um ein Verbot mit Erlaubnisvorbehalt handele, sei die Einwilligung des Betroffenen mit dem Outcourcing von IT-Dienstleistungen von entscheidender Bedeutung. Für Berufsgeheimnisträger reiche aber die Schweigepflichtentbindungserklärung allein nicht aus. Praktisch entfalle damit die Möglichkeit der Auftragsdatenverarbeitung für diese Gruppe der Freien Berufe. Die einzig praktikable Lösung sei die Verschlüsselung der Daten, wobei man sich – wie er einschränkend hinzufügte – aber auch hierbei noch nicht auf absolut rechtlich sicherem Terrain bewege.

Katrin Böhlke befasste sich anschließend mit technischen Fragen. In ihrem Beitrag ging es u.a. datenschutzmäßige Unzulänglichkeiten bei der Anwendung der DeMail und Sicherheitsaspekte beim sogenannten Cloud Computing. Bei der Anwendung der DeMail sei die zeitweilige Entschlüsselung zum vorgeblichen Zweck der Prüfung auf Schadsoftware als Sicherheitslücke anzusehen. Unter dem Gesichtspunkt des technischen Datenschutzes sei die Ende-zu-Ende-Verschlüsselung unverzichtbar. Anwender von Verschlüsselungssoftware könnten sich auf die Empfehlungen des BSI (Bundesamt für Sicherheit in der Informationstechnik) stützen. Wer sensible Daten auslagere, solle sich außerdem darüber vergewissern, dass die Cloud ausschließlich in Deutschland liege, d.h. auf nationalen Servern gespeichert sei. Eine Vertraulichkeitsvereinbarung sei ebenso unverzichtbar wie die Verabredung geeigneter technischer und organisatorischer Regelungen zur Gewährleistung des Verbots der unbefugten Datenoffenbarung (§ 9 BDSG). Es bestehe zudem die Gefahr wirtschaftlicher Abhängigkeiten, die zu vermeiden sei. Wichtig sei aber auch, auf Details zu achten: soweit beispielsweise Chipkartenlesegeräte eingesetzt würden, seien nur solche als sicher zu beurteilen, die über eine eigene Tastatur verfügten.

Olaf Dirlam, Referatsleiter im Thüringer Ministerium für Wirtschaft, Wissenschaft und Digitale Gesellschaft, griff die Gedanken seiner Vorredner auf und legte in seinem Beitrag dar, dass die Digitalisierung zunächst als ein wirtschaftspolitisches Schwerpunktthema angesehen werde. Eine besondere Herausforderungen bestehe darin, die hohen gesetzlichen Anforderungen des Datenschutzes mit den Erfordernissen der umfassenden Digitalisierung von Wirtschaftsabläufen in Übereinstimmung zu bringen. Hinsichtlich des Ausbaus der Infrastruktur könnten in absehbarer Zeit bei weitem noch nicht alle Wünsche erfüllt werden. Vielfach sei festzustellen, dass die eingesetzte Verschlüsselungstechnik – wenn sie überhaupt angewandt werde – den Erfordernissen zur Gewährleistung von Datensicherheit und Datenintegrität nicht entspricht. Dirlam betonte, dass es sich insoweit auch um ein gesellschaftliches Problem handele. Unternehmen seien noch immer vielfach zu sorglos. Beschäftigte müssten in die Entwicklungen eingebunden und mitgenommen werden. Thüringer Unternehmen sollten im Interesse der wirtschaftlichen Entwicklung des Freistaats und unter dem Gesichtspunkt vertrauensvoller Zusammenarbeit beim Einsatz von Verschlüsselungstechnologien und bei der Beauftragung externer IT-Unternehmen auf kompetente regionale Anbieter zugehen.

Sven Dickert von der Kassenärztlichen Vereinigung Thüringen präsentierte sodann die Grundzüge der Gestaltung des Sicheren Netzes der Kassenärztlichen Vereinigung Thüringen. Man habe erkannt, dass das Internet kein geeigneter Kanal zur Übertragung der sensiblen Patienten- und Abrechnungsdaten ist und deshalb ein separates Netz aufgebaut. Dickert sprach von der „Cryptokalypse“ des Internets. Das Netz der KV sei sicher, weil es auf Vertrauen basiere. Die Benutzer seien bekannt, es gebe hier keine Anonymität. Die Verschlüsselung erfolge als Ende-zu-Ende-Verschlüsselung und unabhängig. Das Netz werde überwacht durch die Kassenärztliche Bundesvereinigung. Die Handhabung sei bewusst einfach gehalten. KV-Safe Net Provider würden überwacht und zertifiziert.

Peter Hehne, Experte für Cyberkriminalität bei Thüringer Landeskriminalamt, gab einen Überblick über die Entwicklung und Aufklärungsrate einschlägiger Straftaten. Unter Cyberkriminalität fallen sowohl Straftaten, die sich unmittelbar gegen das Internet oder die elektronische Informationsverarbeitung als solche richteten, als auch solche, die unter Ausnutzung und mit Hilfe des Internets und elektronischer Informationsverarbeitungsanlagen und -programme begangen würden. Die Dunkelziffer sei nach wie vor hoch. Hehne zeigte typische Tatweisen und appellierte an die Entwicklung von Fachkenntnissen, vor allem auch im Justizbereich. Freiheit ohne Sicherheit sei undenkbar.

Rechtsanwalt Dr. Martin Abend, Vizepräsident der Bundesrechtsanwaltskammer, gab sodann einen Überblick über den Stand der Entwicklung des besonderen elektronische Anwaltspostfachs (beA). Es sei eine besondere Herausforderung für die Bundesrechtsanwaltskammer gewesen, den gesetzgeberischen Auftrag sicherer Kommunikationsmöglichkeiten für mehr als 165.000 Rechtsanwältinnen und Rechtsanwälte bis 01.01.2016 umzusetzen. Auch hier seien die Anwender registriert und mithin bekannt. Im Gegensatz zum Netz der KVen handele es sich nicht um ein separates Netz, sondern um den bewussten Einsatz kryptografischer Methoden unter Einsatz von Chipkarten für die Datenverschlüsselung mit Ende-zu-Ende-Verschlüsselung im ansonsten frei zugänglichen Internet. Dieses System sei nach heutigem Stand der Technik als sicher anzusehen und werde schrittweise in den elektronischen Rechtsverkehr mit den Justizbehörden integriert. Dr. Abend legte besonderen Wert auf die Feststellung, dass es sich um beim beA um ein allein von der Anwaltschaft finanziertes und von eGovernment völlig unabhängiges System handele. Dies sei notwendig, weil die Anwaltschaft auch insoweit als ein vom Staat unabhängiges Organ der Rechtspflege funktionsfähig bleiben müsse. RA Dr. Abend vertrat unter Hinweis auf die Rechtsprechung des Bundesverfassungsgerichts auch nachdrücklich den Standpunkt der Rechtsanwaltschaft, wonach die Vorratsdatenspeicherung überflüssig sei. Dem Thüringer Datenschutzbeauftragten sei darin Recht zu geben, dass der Einsatz der Auftragsdatenverarbeitung für Berufsgeheimnisträger tabu sei. Das gelte aber seiner Meinung nach auch für die Beauftragung externer Datenschutzbeauftragter. Insoweit könne nicht jede Position der Behörde geteilt werden.

In der anschließenden Podiumsdiskussion ging es dann auch folgerichtig um das Verhältnis von Freiheit und Sicherheit. Während Hehne (LKA Thüringen) die Vorratsdatenspeicherung für unverzichtbar hielt, vertrat Dr. Abend in diesem Punkt erneut die gegenteilige Ansicht und vertiefte die Position der Bundesrechtsanwaltskammer, dass bei allen Sicherheitsüberlegungen der Kernbereich der Persönlichkeitsrechte unangetastet bleiben müsse. Dr. Hasse wies nochmals darauf hin, dass das Bewusstsein des Persönlichkeitsschutzes im Steigen begriffen sei. Dies belegten die wachsenden Fallzahlen. Er appellierte an die Einsicht in die Notwendigkeit der Kooperation von Unternehmen und Behörden, um Datenschutz und Datensicherheit in Unternehmen gewährleisten zu können.

Auch aus dem Publikum wurden kritische Fragen gestellt, u.a. nach der Legitimation der ungefragten Datenweitergabe durch Behörden, etwa Einwohnermeldeämter, und möglichen Zielkonflikten des Informationsfreiheitsgesetzes zum Bundesdatenschutzgesetz.

Naturgemäß konnten keine abschließenden Antworten gefunden werden. Veranstalter, Referenten und Diskussionsteilnehmer waren sich aber darin einig, dass das Thema Raum für Folgeveranstaltungen geben kann.

Artikel abgelegt in
Aktuelles
Freiberufler
Organisation

IMPRESSUM | KONTAKT | DATENSCHUTZ