Diese Gesetze und Strategien machen unsere Daten sicher

Daten sind überall: Ob im Gesundheitswesen, in der Mobilität oder im Finanzsektor – in nahezu allen Lebensbereichen spielen sie heute eine entscheidende Rolle. Sie dokumentieren wichtige Entwicklungen und helfen dabei, Entscheidungen und Voraussagen zu treffen. Unsere gesamte digitale Gesellschaft basiert auf Daten. Umso wichtiger ist es, sie angemessen zu schützen und vertrauensvoll mit ihnen umzugehen. Dafür sind rechtliche Rahmenbedingungen nötig, die klare Vorgaben liefern und stetig aktualisiert werden. In Deutschland und auf europäischer Ebene hat die Politik in den vergangenen Jahren daher unterschiedlichste Gesetze und Strategien für den rechtmäßigen Umgang mit unseren Daten beschlossen.

Die europäische Datenschutz-Grundverordnung (EU-DSGVO)

Seit 2018 regelt die DSGVO alle datenschutzrechtlichen Vorgaben innerhalb der Europäischen Union. Wichtig war den Machern dabei ein „moderner Datenschutz“, der eine Balance zwischen Wirtschafts- und Verbraucherinteressen herstellt. Außerdem ist die DSGVO ein großer Schritt in Richtung europäische Harmonisierung. Sie schafft europaweit einheitliche Regelungen zum Datenschutz – auch, um Unternehmen gleiche Chancen in jedem EU-Land zu bieten. Schwerpunkte der Verordnung sind unter anderem die Pseudonymisierung von Daten, die Verarbeitung von personenbezogenen Daten und der Schutz der Privatsphäre. In Deutschland ergänzt das Bundesdatenschutzgesetz (BDSG) die DSGVO an den Stellen, an denen die europäische Verordnung Spielraum für nationale Regelungen zulässt.

Das IT-Sicherheitsgesetz

Bereits 2015 wurde das erste „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ in Deutschland verabschiedet. Es hat zum Ziel, die Sicherheit digitaler Infrastrukturen und IT-Systeme zu gewährleisten und stetig zu verbessern. Besonderes Augenmerk liegt dabei auf den Kritischen Infrastrukturen (KRITIS). Dazu zählen unter anderen die Strom- und Wasserversorgung, der Gesundheitssektor oder Finanzinstitutionen. Ein Ausfall dieser Einrichtungen, etwa durch unzureichend geschützte IT-Systeme, hätte dramatische Folgen für Wirtschaft und Gesellschaft – und muss deshalb unbedingt vermieden werden. Betreiber der Kritischen Infrastrukturen sind durch das IT-Sicherheitsgesetz deshalb verpflichtet, die für die Erbringung ihrer Dienste erforderliche IT angemessen abzusichern und die Schutzmaßnahmen regelmäßig überprüfen zu lassen. Seit Mai 2021 gilt eine novellierte Form des IT-Sicherheitsgesetzes, das IT-Sicherheitsgesetz 2.0. Es erweitert die Rechte und Pflichten der Betreiber Kritischer Infrastrukturen und baut die Befugnisse des Bundesamts für Sicherheit in der Informationstechnik (BSI) als Kontrollinstanz aus. Außerdem sind nun auch sogenannte Unternehmen im besonderen öffentlichen Interesse ­– zum Beispiel Rüstungshersteller – dazu verpflichtet, besondere IT-Schutzmaßnahmen zu ergreifen.

Die Datenstrategie der Bundesregierung

Daten innovativ nutzen, sie austauschen und dabei gleichzeitig höchsten Datenschutz und höchste Datensicherheit gewährleisten – darauf zielen die über 240 Maßnahmen der Datenstrategie ab, die die deutsche Bundesregierung aus CDU/CSU und SPD Anfang 2021 beschlossen hat. Die Chancen, die Daten für Wissenschaft, Wirtschaft und auch die Zivilgesellschaft bieten, sollen so bestens ausgeschöpft werden. Teil der Datenstrategie sind zum Beispiel Maßnahmen zum Ausbau der nötigen Dateninfrastruktur, der digitalen Bildung oder der digitalen Verwaltung. Ein weiteres wichtiges Handlungsfeld der Strategie: rechtliche Rahmenbedingungen für einen sicheren Umgang mit Daten zu schaffen. So sieht das Strategiepapier einheitliche Rechtsauslegungen und Anwendungen für geltende Datenschutzvorschriften vor. Zudem sind die Förderung von Anonymisierungsverfahren und -methoden sowie die Harmonisierung der Datenschutzrichtlinien unter den Bundesländern Teil des Maßnahmenpakets.

Das Patientendaten-Schutz-Gesetz (PDSG)

Das Patientendaten-Schutz-Gesetz schützt die elektronischen Daten von Patienten in der Telematikinfrastruktur. Es ist im Oktober 2020 in Kraft getreten und Voraussetzung für die Nutzung der elektronischen Patientenakte (ePA) oder des E-Rezepts. So legt das PDSG beispielsweise fest, dass der Patient allein über die Erstellung und Bearbeitung seiner ePA entscheidet und somit stets die Kontrolle über seine Daten behält. Auch die Entscheidung darüber, wer auf welche Dokumente in der Akte zugreifen darf, liegt einzig beim Patienten selbst. Wer Daten (anonym) spenden möchte, hat ab 2023 die Möglichkeit dazu. So können Patienten ihre medizinischen Daten beispielsweise für Forschung und Wissenschaft zur Verfügung stellen. Darüber hinaus ermöglicht das PDSG dem Patienten bestimmte Erleichterungen in der Kommunikation mit Ärzten oder Apothekern. Überweisungen können digital an Ärzte übermittelt, E-Rezepte über eine Smartphone-App abgerufen werden. Nicht zuletzt regelt das Patientendaten-Schutz-Gesetz natürlich den eigentlichen Datenschutz. Denn sensible Gesundheitsdaten wie Befunde, Diagnosen, Medikationen oder Behandlungsberichte sollten nicht in falsche Hände geraten. Ärzte, Apotheker und Krankenhäuser sind deshalb laut PDSG seit dem 1. Januar 2021 dazu verpflichtet, die Vertraulichkeit, Integrität und Verfügbarkeit ihrer Informationen sicherzustellen. Dafür notwendig sind bestimmte technische, aber auch organisatorische Maßnahmen, welche die Sicherheit von IT-Strukturen und wichtigen Prozessen gewährleisten. Alle zwei Jahre gilt es deshalb, behördlich zu überprüfen, ob alle Maßnahmen eingehalten werden und auf dem neuesten Stand sind.

Der Datenschutzbeauftragte der Bundesregierung

Kein Gesetz im eigentlichen Sinne, sondern eine Personalie: Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ist der Hüter des Grundrechts auf informationelle Selbstbestimmung in Deutschland. Seit 2019 bekleidet Prof. Ulrich Kelber die Position als eigenständige oberste Bundesbehörde.
Der BfDI beaufsichtigt alle öffentlichen Stellen des Bundes, bestimmte Träger der sozialen Sicherung sowie Telekommunikations- bzw. Postdienstunternehmen in Bezug auf geltende Datenschutzbestimmungen. Er kontrolliert, ob alle Vorgaben eingehalten werden, und kann bei Verstößen verwarnen oder Geldbußen aussprechen. Außerdem haben Bürger die Möglichkeit, Beschwerden an den BfDI heranzutragen. Auf Basis des Informationsfreiheitsgesetzes sorgt der BfDI ebenso dafür, Verwaltungshandeln für Bürger transparenter zu machen. Zusätzlich zum Bundesbeauftragten gibt es Datenschutzbeauftragte in den einzelnen Bundesländern. Die Landesdatenschutzbeauftragten haben die Aufsicht über Landes- und Kommunalbehörden sowie alle nicht öffentlichen Bereiche.

Das Datengesetz der EU

Das sogenannte Datengesetz der EU ist das neueste europäische Vorhaben, das datenschutzrechtliche Fragen innerhalb der EU regeln soll. Es baut auf der europäischen Datenstrategie und dem Daten-Governance-Gesetz aus dem Jahr 2020 auf und wurde im Februar 2022 von der Europäischen Kommission vorgelegt. Das Gesetz soll festlegen, wer in der EU für welche Zwecke Daten auch sektorübergreifend nutzen und darauf zugreifen darf. So soll das neue Datengesetz Personen, die Daten nutzen, teilen und etablieren, juristische Sicherheit zu bieten. Eine wichtige Neuerung dabei: Unternehmen sind zukünftig verpflichtet, öffentlichen Stellen Daten zur Verfügung zu stellen, die für die Erfüllung einer Aufgabe im öffentlichen Interesse erforderlich sind, wenn ein außergewöhnlicher Bedarf besteht. Das kann zum Beispiel Stellen der öffentlichen Gesundheit oder aus dem Bereich Umweltschutz betreffen. Außerdem wichtig: Die betroffenen Unternehmen müssen personenbezogene Daten vor der Bereitstellung pseudonymisieren. Darüber hinaus sollen Nutzer das Recht haben, den Anbieter von Datenverarbeitungsdiensten zu wechseln. Und das Gesetz wird ihnen Zugang zu den Daten ermöglichen, die ihre miteinander vernetzten Geräte erzeugt haben.