Die stetig voranschreitende Digitalisierung führt zu einer immer weitergehenden Durchdringung sämtlicher Lebensbereiche mit datenverarbeitenden Prozessen. Längst haben zahlreiche digitale Dienste und Produkte ihren festen Platz im Alltag vieler Menschen. Einzelne Datenverarbeitungssysteme können dabei nicht mehr nur isoliert voneinander betrachtet werden. Vielmehr hat die rasante Technikentwicklung zu einer fortschreitenden Vernetzung verschiedener IT-Systeme geführt, deren Datenverarbeitungsprozesse untrennbar miteinander verknüpft sind. Zugleich können immer größere Datenmengen verarbeitet werden, wobei die Verarbeitung zumeist automatisiert und zunehmend mittels künstlich intelligenter Algorithmen erfolgt. Dies alles führt zu komplexen und im Einzelfall kaum zu durchblickenden Datenverarbeitungsstrukturen mit oftmals vielschichtigen Akteurskonstellationen. Da sich die Datenverarbeitung regelmäßig auf personenbezogene Daten bezieht, gehen mit der skizzierten Entwicklung aus rechtswissenschaftlicher Perspektive erhebliche Herausforderungen für den Datenschutz und die IT-Sicherheit einher.

Das Projekt „Systematic privacy for large, real-life data processing systems“ des Nationalen Forschungszentrums für angewandte Cybersicherheit ATHENE widmet sich diesen rechtlichen Herausforderungen. Große Datenverarbeitungssysteme werden in rechtlicher Hinsicht auf ihre Chancen und Risiken hin untersucht. Es werden mögliche Maßnahmen erarbeitet, die einerseits den technischen Fortschritt nicht behindern und gleichzeitig doch einen angemessenen Schutz der Rechte natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten gewährleisten. Um der zunehmenden Systemvernetzung adäquat Rechnung zu tragen, wird hierbei ein ganzheitlicher Ansatz verfolgt, der die gesamte digitale Vernetzung einschließlich ihrer verschiedenen Dimensionen und Akteure berücksichtigt.  

Das Teilvorhaben an der Universität Kassel, Fachgebiet Öffentliches Recht, IT-Recht und Umweltrecht (Herr Prof. Dr. Hornung, LL.M.), befasst sich mit den IT-Sicherheitsanforderungen an große Datenverarbeitungssysteme. Werden personenbezogene Daten durch Big-Data-Anwendungen oder künstlich intelligente Algorithmen verarbeitet, führt dies zu erheblichen Herausforderungen für die IT-Sicherheit. Das Schutzbedürfnis der von der Datenverarbeitung betroffenen Person wird in diesem Kontext de lege lata nur unzureichend adressiert. So knüpft das BSIG bzw. die BSI-KritisV an diesen Aspekt im Bereich der IT-Sicherheitsregulierung für Kritische Infrastrukturen (KRITIS) nicht an. Mit dem IT-Sicherheitsgesetz 2.0 wurde die Kategorie der „Unternehmen im besonderen öffentlichen Interesse“ im BSIG eingeführt. Gegenüber dem KRITIS-Bereich treffen die Unternehmen jedoch deutlich reduzierte Pflichten. Art. 32 DSGVO statuiert zwar Anforderungen an Verantwortliche und Auftragsverarbeiter in Bezug auf die Sicherheit der Verarbeitung personenbezogener Daten. Sein „risikobasierter Ansatz“ führt allerdings zu beträchtlicher Unsicherheit darüber, welche konkreten Maßnahmen im Einzelfall erforderlich sind. Im Gegensatz zum KRITIS-Bereich fehlt es hier überdies an einem behördlicherseits ausgegebenen Anforderungskatalog. Weitestgehend unklar ist darüber hinaus, welche Rolle die auf europäischer Ebene eingeführte Cybersicherheitszertifizierung sowie das neue deutsche IT-Sicherheitskennzeichen hier zukünftig spielen können.

Das Teilvorhaben untersucht zunächst die Möglichkeit der Operationalisierung von Art. 32 DSGVO für große Datenverarbeitungssysteme. Dies erfolgt unter Bezugnahme auf existierende Risikomodelle und Ansätze von Datenschutzaufsichtsbehörden (z.B. das deutsche Standard-Datenschutzmodell). Sodann wird der bestehende Regulierungsbedarf identifiziert. Hierbei werden auch Mechanismen zur Selbstregulierung sowie die Frage nach verbindlichen und unverbindlichen IT-Sicherheitsstandards miteinbezogen. Anschließend werden die Auswirkungen des IT-Sicherheitsgesetzes 2.0 für die IT-Sicherheitsanforderungen an große Datenverarbeitungssysteme bewertet. In den Fokus rücken hier insbesondere die neuen Pflichten für große Unternehmen sowie das neu eingeführte IT-Sicherheitskennzeichen. Schließlich werden Regulierungsvorschläge für die Ausgestaltung des Rechts auf europäischer und nationaler Ebene begleitet und bewertet, die aktuell in der Ausarbeitung sind.

Die Koordination des Projektes obliegt dem Fraunhofer-Institut SIT (Dr. Annika Selzer). An der Durchführung des Projektes ferner beteiligt sind die Goethe-Universität Frankfurt (Prof. Dr. Indra Spiecker gen. Döhmann, LL.M.) sowie die Hochschule Darmstadt (Prof. Dr. Thomas Wilmer).

Für weitere Informationen siehe die ATHENE-Website.

Finanzierung:
Bundesministerium für Bildung und Forschung und Hessisches Ministerium für Wissenschaft und Kunst

Laufzeit:
Januar 2022 - Dezember 2025

Projektverantwortlicher:
Prof. Dr. Gerrit Hornung, LL.M.

Ansprechpartner:
Till Schaller
Maximilian Büscher