Mehrwert-Lotsin-Digital

Nutzen Sie Ihre Chance der nachhaltigen Positionierung durch Mehrwert und Sichtbarkeit

EU-Datenschutzgrundverordnung (DSGVO) Mai 2018 - der Countdown läuft

  

Im Gespräch mit Joachim Jakobs (Freier Journalist, Buchautor und Datenschutzexperte)

Joachim Jakobs ist Industriekaufmann und Diplom-Betriebswirt (FH) mit den Schwerpunkten Personalwirtschaft, Unternehmensberatung, Betriebsverfassungs- und Datenschutzrecht sowie Internetsicherheit. 2015 veröffentlichte er sein Buch „Vernetzte Gesellschaft. Vernetzte Bedrohungen – Wie uns die künstliche Intelligenz herausfordert“ beim Cividale Verlag. Er arbeitet als freier Journalist und schreibt u. a. für die ZEIT zu den Themen Datenschutz / Datensicherheit.

Talk Datenschutzgrundverordnung MehrLot Jakobs


Interview: 27.07.2017 (Lesedauer 6 Minuten)

Die Zeit bis zur Einführung der EU-Datenschutzgrundverordnung (DSGVO) läuft und ab Mai 2018 muss jedes Unternehmen in Europa in der Lage sein, seine Datensicherheit "auf Knopfdruck" nachweisen zu können. Herr Jakobs, Sie beschäftigen sich schon länger intensiv mit diesem Thema und sind als Datenschutzexperte tief in diese Materie "eingetaucht".

Welche Folgen sehen Sie und vor welchen Risiken und Problemen stehen Unternehmen wenn sie dieses magische Datum nicht einhalten? Wird in der Zukunft der Datensicherheits-/Datenschutzverantwortliche die zweit wichtigste Person im Unternehmen werden (müssen) und was für Aufgaben kommen auf ihn zu? Gerade auch Steuerberater und Ärzte arbeiten mit sehr sensiblen und personenbezogenen Daten. Was denken Sie, sind wir hier in diesem Bereich gut vorbereitet? Große Herausforderungen kommen auf uns zu und die Zeit läuft schnell, der Mai 2018 ist schon in greifbarer Nähe ...

JJ: Zunächst herzlichen Dank für die Gelegenheit, mich hier zu äußern ...

Um Ihre Frage zu beantworten, möchte ich ein wenig ausholen, damit Ihre Leser die Notwendigkeit dieses Monsters DSGVO verstehen: Wer über das Geburtsdatum eines Menschen verfügt, kann in dessen Namen und zu dessen Lasten beim Versandhandel einkaufen - die Ware geht an eine beliebige Adresse, die der Täter mit dem Namen seines Opfers beschriftet, die Rechnung per Schufa und Inkasso-Unternehmen an den Betroffenen. Natürlich brauchen Sie nicht bezahlen, was Sie nicht bestellt haben - aber Ihre Bonität bei Banken, Vermietern etc. wird schnell angekratzt und die Verteidigung des "guten Rufs" wird schnell zur Vollzeit-Aufgabe.

Wenn der Täter noch dazu über den Personalausweis seines Opfers verfügt, kann er noch Konten eröffnen oder Immobiliengeschäfte machen. Viele Berufsgruppen sind per Geldwäschegesetz verpflichtet, ihre Klientel eindeutig zu identifizieren und können dazu auch Ausweiskopien erstellen. Neben den Genannten zählen dazu auch Versicherungsmakler, Vermögensverwalter, Rechtsanwälte, Steuerberater und Immobilienmakler. Kein Wunder, dass man im "dunklen Netz" gefälschte Ausweise kaufen kann. Datenangriffe aller Art wachsen in Qualität und Quantität parallel zur technischen Entwicklung.

Wir haben ein systemisches Problem und die DSGVO will dem jetzt systematisch begegnen und vergattert die genannten und alle anderen Berufsgruppen, die personenbezogene Daten verarbeiten zum "Stand der Technik". Das sind nach Ansicht des TeleTrustT - Bundesverband IT-Sicherheit e.V. "die besten verfügbaren Techniken", "Einrichtungen" und "Verfahrensweisen". Wer die nicht - wie Sie ja bereits korrekterweise erwähnten - auf Knopfdruck nachweisen kann, muss mit saftigen Geldbußen rechnen und etwaigen Opfern nicht nur materielle, sondern auch immaterielle Schäden ersetzen. Zur Bemessung von Geldbußen sind die Aufsichtsbehörden vom Gesetzgeber verpflichtet, darauf zu achten, dass diese "wirksam, verhältnismäßig und abschreckend" sind - als Obergrenze gelten 10 Millionen Euro oder 2 Prozent vom Jahresumsatz; "je nachdem welcher der Beträge höher ist". Zu den immateriellen Schäden zählen auch Diskriminierung, Identitätsdiebstahl und Rufschädigung; angenommen, ein Mensch erliegt einem solchem Identitätsdiebstahl, dann kann er von allen seinen (früheren) Dienstleistern oder Arbeitgebern Schadenersatz verlangen - wenn sie nicht den Nachweis erbringen können, dass sie nicht für das Unglück des Betroffenen verantwortlich sein können.

Lediglich 2 Prozent der Unternehmen sollen nach einer Studie angemessen auf die DSGVO vorbereitet sein. Und die Studie ist nur repräsentativ für die Unternehmen ab 1000 Mitarbeitern; ich fürchte bei den oben genannten Branchen tendiert die Vorbereitung auf die Verordnung gegen Null.

Wir müssen flächendeckend, systematisch und pro-aktiv investieren in Sicherheits-/Nofallkonzepte, physikalischen Einbruchschutz, elektronische Signaturen, kryptographische Verschlüssungen und rollenspezifische Bildung - das Verhalten der Entscheider und derer, die auf Basis der Entscheidungen Software entwickeln, implementieren, administrieren oder nutzen, um die vernetzten Geräte zu steuern oder personenbezogene Daten damit zu verarbeiten, muss sich den Datenangriffen einerseits und den Forderungen des Gesetzgebers andererseits anpassen.


Herr Jakobs, eines Ihrer Steckenpferde ist das Thema "Sicherheit in der Informationsgesellschaft" und in Ihrem beim Cividale Verlag erschienen Buch "Vernetzte Gesellschaft. Vernetzte Bedrohung - Wie uns die künstliche Intelligenz herausfordert" widmen Sie sich voller persönlicher Leidenschaft diesem Thema. Ein durchaus sehr aktuelles und spannendes Thema.

In Ihrem Buch zeichen Sie ein ziemlich düsteres Bild was uns die Zukunft unter dem Zeichen "künstliche Intelligenz - vernetzte Gesellschaft" bereithält. Sie haben ein wirklich beeindruckendes Sammelsurium an Fällen aufbereitet und man stellt sich immer wieder beim Lesen der Fälle die Frage ist es wirklich so schlimm um unsere Datensicherheit, vernetzte Kommunikation und Big Data bestellt? Ich selbst schätze das Thema Datensicherheit sehr, aber sehen Sie die Zukunft wirklich so düster?

JJ: Die Leistungsfähigkeit der Technik spaltet die Menschheit in zwei Gruppen: Die Angegriffenen und die Angreifer, der digitale Graben geht seit Beginn der Digitalisierung auseinander - während die Einen meinen, sie hätten nix zu verbergen (und dem entsprechend Patientenakten ungeschreddert im Müll entsorgen, nutzen die Anderen die Technik bis zum Anschlag, um menschliche und technische Schwächen auszunutzen. Ich kritisiere also nicht die Technik an sich, die ist wie immer wertneutral, ich kritisiere ihre Anwendung.

Wenn Sie so wollen, sind wir Millionen Postkutscher, die jetzt alle auf einmal ICE4 fahren wollen - und die jenigen, die bisher Postkutschen entwickelt und gebaut haben, machen jetzt ein Selbststudium im Bau von Hochtechnik-Schienenbetrieben.

Und wir müssen damit rechnen dass die Angreifer die kI perfekt beherrschen: Die Geheimdienste wollen damit rausbekommen, was "x" über "y" denkt, Kriminelle könnten Ihre Identiät in Echtzeit nutzen, um Ihre Verwandschaft, Freunde und Kollegen aufs Kreuz zu legen. Oder mit Ihrer Stimme, Mimik/Gestik einen biometrischen und multimedialen Identitätsdiebstahl begehen.


Wo liegen für Sie die Grenzen des rasanten Fortschritts bei einer so komplexen und vernetzten Datenverarbeitung wie wir sie heute haben? Wer kennt sie nicht die Filme wie "Terminator" oder "Matrix". Ich selbst sehe die IoT und künstliche Intelligenz nicht nur in dunklen Farben, sondern sehe dort in der Zukunft auch hoffnungsvolle und blühende Landschaften. Ich stelle mir vor wie Cloud-gestützte Fehlerdiagnosen für die Industrie und den Automotivbereich eine echte Zukunftslösung sein können. Sind Sie nicht der Meinung, wenn wir künstliche Intelligenz sehr sorgsam, sensibel und ethisch vertretbar mit präzisen definierten Aufgaben ausstatten und anwenden, wir selbst noch Herr über alles bleiben können?

An welcher Stelle sollten wir Ihrer Meinung nach STOPP rufen um den Pfad einer vertretbaren vernetzten Gesellschaft nicht zu verlassen?

JJ: Die Frage der Ethik scheint mir eine andere zu sein wie die nach der Sicherheit - also zum Einen geht's ja um die Frage nach der Zukunft unserer Arbeitsplätze: Wer hat künftig eine (hoffentlich sinnstiftende) Beschäftigung und wird dafür auch noch bezahlt, sodass er sich die Segnungen der künstlichen Intelligenz leisten kann? Hinzu kommt die bereits erwähnte Überlegung, ob die kI die Humanioden neben sich akzeptieren wird.

Wie weit wir von einem verantwortungsvollen Umgang mit der Technik entfernt sind, erkennen Sie an tödlichen Unfällen, die es in der Automobilproduktion und dem autonomen Fahren bereits gegeben hat. Im günstigsten Fall handelt es sich dabei jeweils um menschliches und/oder technisches Versagen. Wenn aber allein schon Unfälle zu solchen Konsequenzen führen - was können dann erst bösartige Angreifer noch zusätzlich ausrichten?

Eine weitere Bedrohung ergibt sich aus den staatlichen Überwachungsanstrengungen: In China soll jetzt das verkehrswidrige Verhalten von Fußgängern biometrisch erkannt und zur Berechnung ihrer Bonität bei der Vergabe von Krediten benutzt werden. Das entsprechende EU-Projekt zur Detektion "abnormen" Verhaltens heißt übrigens "indect". Ich glaube, wir haben seit langem Anlass, inne zu halten - und jeden Tag haben wir ein wenig mehr davon.


Was wünschen Sie sich für unsere digitale Zukunft und können Sie mir einen positiven Leitsatz formulieren, den wir uns immer vor Augen halten sollten?

JJ: Ich wünsche mir, dass wir unser Bildungssystem systemisch auf Lücken abklopfen und klären, über welches Wissen (derzeit aktive und künftige) Entscheider, IT'ler und Nutzer verfügen müssen, um ihre Mitmenschen nicht zu gefährden.

Bis dahin sollte der Schuster bei seinen Leisten bleiben und in digitaler Askese üben!

Vielen Dank für das Gespräch!

WDie Zeit bis zur Einführung der EU-Datenschutzgrundverordnung