Im EU-Raum und, soweit das Marktortprinzip zur Anwendung kommt, auch in der Schweiz, haben sich technische Massnahmen am Stand der Technik zu orientieren. In der EU hat dieses ausserordentlich wichtige Prinzip mit DSGVO 25 sogar Gesetzesstufe erlangt. Man findet den Rückgriff auf den Stand der Technik in diversen anderen Gesetzen wieder, so z.B. in der Schweizerischen Strafprozessordnung, womit die Rechtsanwender im Strafrecht flexibel auf neue Beweistechniken reagieren können.
Die DSGVO hält in ihrem Art. 25 fest:
Art. 25 DSGVO Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
1 Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen – wie z. B. Pseudonymisierung –, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.
Leider hat sich hier der Europäische Verordnungsgeber dazu hinreissen lassen, einen Bandwurm zum Gesetz zu erheben. Lesbar ist dieser Satz über seine viele Zeilen nicht. Zentral ist, dass der Stand der Technik berücksichtigt werden muss und die Massnahmen risikobasiert (Risk Assessments) definiert werden müssen. Weniger risikobehaftete Personendaten brauchen weniger Schutz als heikle Daten über eine betroffene Person.
Auch im Schweizer Datenschutzrecht ist das Prinzip des Stands der Technik nichts Neues. VDSG 8.II.d hält ausdrücklich fest, dass die technischen Massnahmen angemessen sein müssen und dem Stand der Technik genügen müssen. Wir finden auch hier mit dem Begriff der Angemessenheit den risikobasierten Ansatz beim Festlegen der Massnahmen. Allerdings hat es das Prinzip des Stands der Technik im Schweizer Datenschutzrecht nur auf die Stufe einer Verordnung geschafft. Verordnungen werden in der Schweiz in der Regel von der Exekutive erlassen und haben damit nicht dieselbe demokratische Legitimation und Geltungskraft wie ein Gesetz. Ein Gesetz im formellen Sinne wäre notwendig, um der Bedeutung dieses Prinzips gerecht zu werden. Immerhin findet sich die Angemessenheit mit DSG 7 auf Gesetzesebene. Zum Glück kann man argumentieren, dass der Stand der Technik Teilgehalt der Angemessenheit ist. Was nicht mehr dem Stand der Technik entspricht, ist in aller Regel auch nicht mehr angemessen.
Hier der relevante Auszug aus VDSG 8:
4. Abschnitt: Technische und organisatorische Massnahmen
Art. 8 Allgemeine Massnahmen2 Die technischen und organisatorischen Massnahmen müssen angemessen sein. Insbesondere tragen sie folgenden Kriterien Rechnung:
a.Zweck der Datenbearbeitung;
b.Art und Umfang der Datenbearbeitung;
c.Einschätzung der möglichen Risiken für die betroffenen Personen;
d.gegenwärtiger Stand der Technik.
Man kann also sagen: Heute verstösst jeder Webseitenbetreiber gegen das Prinzip, sich am Stand der Technik zu orientieren, wenn er seine Webseiten weiterhin im plaintext mode betreibt. Die Server unverschlüsseltes HTTP sprechen zu lassen und dabei Personendaten zu transportieren, ist ganz einfach nicht mehr state of the art und zeigt Nachlässigkeit auf.
Das gilt umso mehr, wenn man sich vor Augen führt, dass es open source Dienste wie letsencrypt.org gibt. Mit Let’s Encrypt ist es jedem möglich, TLS/SSL-Verschlüsselung sehr einfach zu implementieren. Und das alles sogar noch kostenlos, ohne dass man Gebühren für ein Zertifikat ausgeben müsste. Für Let’s Encrypt gibt es mittlerweile sogar Module für gängige Administrationsoberflächen wie Plesk oder ISPManager. Man muss sich also nicht einmal mehr mit der Konsole abgeben.
Rechtsanwalt Roman Kost ist Spezialist für Informationssicherheit und Datenschutz. Als Anwalt vertritt er Sie unter anderem im Bereich des Hackerstrafrechts, sämtlichen Belangen der IT und der Informationssicherheit sowie des Datenschutzes.
Tel: 041 440 33 43 Signal: 041 440 33 43 Email:
Web: https://ra-kost.ch LinkedIn Xing