Guten Tag Herr Liggesmeyer. Das Sammeln und Auswerten von Daten, letztlich also das Big-Data-Prinzip, scheint unvereinbar mit den Forderungen des Datenschutzes. Kann es hier einen Kompromiss geben?

Wie Sie sagen, die Diskussion ist fast binär. Auf der einen Seite wird der Datenschutz betont mit Begriffen wie Security und Privacy. Auf der anderen Seite wird über Big-Data orientierte Geschäftsmodelle gesprochen. Diese können natürlich ohne zur Verfügung gestellte Daten nicht funktionieren. Das Ziel ist, dieses Schwarz-Weiß-Denken durch eine Grauschattierung – einen Mittelweg – zu ersetzen. Einerseits soll Datennutzung ermöglicht werden. Andererseits soll aber eine angemessene Sicherheit gewährleistet werden. Diese Datensouveränität kann durch die sogenannte Datennutzungskontrolle erreicht werden.

Was bedeutet Datennutzungskontrolle?

Bisher wurde der Zugriff auf Daten mit Hilfe des Zugriffsschutzes geregelt. Der »Besitzer« der Daten entscheidet rein binär, ob er die Daten zur Verfügung stellt oder nicht. Wenn er dies tut, kann er deren Nutzung aber nicht mehr kontrollieren. Datennutzungskontrolle heißt, dass er stattdessen bei der Zurverfügungstellung erklärt, für welche Zwecke er seine Daten autorisiert. Diese Zweckbindung muss natürlich technisch umgesetzt und erzwungen werden. Das ist Datennutzungskontrolle als Ergänzung des Datenzugriffschutzes.

Betrifft das Thema hauptsächlich Privatpersonen oder müssen sich auch Unternehmen damit auseinandersetzen?

Beides. In den Geschäftsmodellen der Zukunft besitzen Daten einen hohen Wert. Wenn sie im Geschäftsleben anderen Beteiligten zur Verfügung gestellt werden müssen, ist für Unternehmen wichtig, nicht die Kontrolle zu verlieren. Denn Unternehmensdaten enthalten oft schutzwürdige Güter, beispielsweise Intellectual Property. Das Thema betrifft aber gleichermaßen Privatpersonen. Nehmen wir das Smart Home als Beispiel. Das Smart Home kann ohne Sammeln von Informationen nicht funktionieren, weil es sich ein Bild von den Gewohnheiten und Wünschen seiner Bewohner machen muss. Das Geschäftsmodell wird aber nur gelingen, wenn die Bewohner kontrollieren können, zu welchem Zweck ihre Daten ausgewertet werden. Natürlich möchten sie nicht, dass private Informationen ungefiltert an fremde Stellen gelangen.

Das Smart Home ist aber relativ speziell. Für wen ist das Thema sonst noch relevant?

Beispielsweise für die Gruppe der Arbeitnehmer. Diese haben durchaus ein gewisses Interesse, dass bestimmte Informationen über ihren Arbeitsprozess aufgezeichnet werden. Besondere Belastungen zum Beispiel oder zusätzliche Arbeitszeiten. Aber kein Arbeitnehmer möchte völlig gläsern sein. Entscheidend ist wieder, dass Arbeitnehmer die Kontrolle über die Datennutzung behalten und transparent bleibt, zu welchem Zweck die Informationen genutzt werden. Man kann das Prinzip in alle möglichen Spannungsfelder hineinprojizieren. In Zukunft wird jede Dienstleistung in irgendeiner Form datenbasiert sein. Aber auch in den Bereichen Business-to-Consumer, Business-to-Business und im Privaten wird es immer wichtiger, Zweckbindungen definieren und kontrollieren zu können.

Zum Schutz der Bürgerdaten wurde 2016 im europäischen Rahmen die Einigung auf eine Datenschutz-Grundverordnung (DSGVO) erzielt, die einen ähnlichen Denkansatz heranzieht.

Zunächst mal ist die Datenschutz-Grundverordnung ein sinnvolles Gesetz, weil darin verankert ist, dass die »Besitzer« von Daten selbst entscheiden sollen, was damit passiert. Doch die DSGVO muss auch technisch umgesetzt werden. Diese Lücke schließt eben die Datennutzungskontrolle. Sie ist die technische Basis, bestimmte Forderungen der neuen DSGVO wie beispielsweise das Geben der differenzierten, expliziten Einwilligung zu bestimmten Datennutzungen im täglichen Leben umsetzen zu können. Das betrifft wieder sowohl das private als auch das geschäftliche Umfeld.

Die Datenschutz-Grundverordnung gilt auch im Geschäftsleben?

Ja. Ich habe den Eindruck, dass sich viele Unternehmen fragen, was das für ihre Prozesse in der Zukunft bedeutet. Datennutzungskontrolle ist in der Wirtschaft noch nicht weit bekannt, obwohl sie eine wichtige Säule ist, um die Anforderungen der DSGVO einzuhalten. Darüber hinaus ist aber ein allgemeiner Diskurs mit Politik, Wirtschaft und Zivilgesellschaft nötig, um zu gestalten, wie die neuen gesetzlichen Regelungen technisch umgesetzt werden können.

Wie kann die Fraunhofer-Gesellschaft Politik, Wirtschaft und Privatpersonen bei den neuen Herausforderungen unterstützen?

Das Fraunhofer-Institut für Experimentelles Software Engineering IESE entwickelt seit längerem das Security Framework »IND²UCE«. Es ermöglicht die Definition und Durchsetzung von Sicherheitsrichtlinien für die Weitergabe und Nutzung bestimmter Daten. Dieses Verfahren ist aktuell nutzbar, es ist in Form eines Lizenzmodells für Unternehmen erhältlich und erreicht im Grunde genommen die Forderungen der DSGVO mit Hilfe der Datennutzungskontrolle.

Sind die Entwicklung von »IND²UCE« und die Forschung zur Datennutzungskontrolle damit abgeschlossen?

Natürlich werden noch weitere Fragestellungen auftauchen, weil es sicherlich spezielle Kontexte gibt, die spezielle Herausforderungen mit sich bringen. Zu behaupten, dass jede Lösung für jeden Kontext schon verfügbar sei und man müsse nur »IND²UCE« benutzen, das würde mir zu weit gehen. Wir haben initiale Lösungen, die gut funktionieren, die konsistent sind zu dem, was von rechtlicher Seite an uns herangetragen wird. Aber wir stehen am Anfang eines Weges. Es gibt umfangreiche Forschung zu beispielweise Datenzugriffsschutz oder Verschlüsselungstechnik. Es gibt aber kaum Forschungsprojekte zur Datennutzungskontrolle. Es wäre wichtig, dies zu ändern.

Vielen Dank für das Gespräch.

(adz)

---

Weitere Informationen zum Verfahren »IND²UCE« und zur Datennutzungskontrolle erhalten Sie am Fraunhofer-Stand der IT-Security Messe it-sa vom 10.10. bis 12.10.2017 im Messezentrum Nürnberg.