Im EU-Raum und, soweit das Markt­ort­prin­zip zur Anwen­dung kommt, auch in der Schweiz, haben sich tech­ni­sche Mass­nah­men am Stand der Tech­nik zu ori­en­tie­ren. In der EU hat die­ses aus­ser­or­dent­lich wich­tige Prin­zip mit DSGVO 25 sogar Geset­zes­stufe erlangt. Man fin­det den Rück­griff auf den Stand der Tech­nik in diver­sen ande­ren Geset­zen wie­der, so z.B. in der Schwei­ze­ri­schen Straf­pro­zess­ord­nung, womit die Rechts­an­wen­der im Straf­recht fle­xi­bel auf neue Beweis­tech­ni­ken reagie­ren können.

Die DSGVO hält in ihrem Art. 25 fest:

Art. 25 DSGVO Daten­schutz durch Tech­nik­ge­stal­tung und durch daten­schutz­freund­li­che Voreinstellungen

1 Unter Berück­sich­ti­gung des Stands der Tech­nik, der Imple­men­tie­rungs­kos­ten und der Art, des Umfangs, der Umstände und der Zwe­cke der Ver­ar­bei­tung sowie der unter­schied­li­chen Ein­tritts­wahr­schein­lich­keit und Schwere der mit der Ver­ar­bei­tung ver­bun­de­nen Risi­ken für die Rechte und Frei­hei­ten natür­li­cher Per­so­nen trifft der Ver­ant­wort­li­che sowohl zum Zeit­punkt der Fest­le­gung der Mit­tel für die Ver­ar­bei­tung als auch zum Zeit­punkt der eigent­li­chen Ver­ar­bei­tung geeig­nete tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men – wie z. B. Pseud­ony­mi­sie­rung –, die dafür aus­ge­legt sind, die Daten­schutz­grund­sätze wie etwa Daten­mi­ni­mie­rung wirk­sam umzu­set­zen und die not­wen­di­gen Garan­tien in die Ver­ar­bei­tung auf­zu­neh­men, um den Anfor­de­run­gen die­ser Ver­ord­nung zu genü­gen und die Rechte der betrof­fe­nen Per­so­nen zu schützen.

Lei­der hat sich hier der Euro­päi­sche Ver­ord­nungs­ge­ber dazu hin­reis­sen las­sen, einen Band­wurm zum Gesetz zu erhe­ben. Les­bar ist die­ser Satz über seine viele Zei­len nicht. Zen­tral ist, dass der Stand der Tech­nik berück­sich­tigt wer­den muss und die Mass­nah­men risi­ko­ba­siert (Risk Assess­ments) defi­niert wer­den müs­sen. Weni­ger risi­ko­be­haf­tete Per­so­nen­da­ten brau­chen weni­ger Schutz als heikle Daten über eine betrof­fene Person.

Auch im Schwei­zer Daten­schutz­recht ist das Prin­zip des Stands der Tech­nik nichts Neues. VDSG 8.II.d hält aus­drück­lich fest, dass die tech­ni­schen Mass­nah­men ange­mes­sen sein müs­sen und dem Stand der Tech­nik genü­gen müs­sen. Wir fin­den auch hier mit dem Begriff der Ange­mes­sen­heit den risi­ko­ba­sier­ten Ansatz beim Fest­le­gen der Mass­nah­men. Aller­dings hat es das Prin­zip des Stands der Tech­nik im Schwei­zer Daten­schutz­recht nur auf die Stufe einer Ver­ord­nung geschafft. Ver­ord­nun­gen wer­den in der Schweiz in der Regel von der Exe­ku­tive erlas­sen und haben damit nicht die­selbe demo­kra­ti­sche Legi­ti­ma­tion und Gel­tungs­kraft wie ein Gesetz. Ein Gesetz im for­mel­len Sinne wäre not­wen­dig, um der Bedeu­tung die­ses Prin­zips gerecht zu wer­den. Immer­hin fin­det sich die Ange­mes­sen­heit mit DSG 7 auf Geset­zes­ebene. Zum Glück kann man argu­men­tie­ren, dass der Stand der Tech­nik Teil­ge­halt der Ange­mes­sen­heit ist. Was nicht mehr dem Stand der Tech­nik ent­spricht, ist in aller Regel auch nicht mehr angemessen.

Hier der rele­vante Aus­zug aus VDSG 8:

4. Abschnitt: Tech­ni­sche und orga­ni­sa­to­ri­sche Massnahmen
Art. 8 All­ge­meine Massnahmen

2 Die tech­ni­schen und orga­ni­sa­to­ri­schen Mass­nah­men müs­sen ange­mes­sen sein. Ins­be­son­dere tra­gen sie fol­gen­den Kri­te­rien Rechnung:
a.Zweck der Datenbearbeitung;
b.Art und Umfang der Datenbearbeitung;
c.Einschätzung der mög­li­chen Risi­ken für die betrof­fe­nen Personen;
d.gegenwärtiger Stand der Technik.

Man kann also sagen: Heute ver­stösst jeder Web­sei­ten­be­trei­ber gegen das Prin­zip, sich am Stand der Tech­nik zu ori­en­tie­ren, wenn er seine Web­sei­ten wei­ter­hin im plain­text mode betreibt. Die Ser­ver unver­schlüs­sel­tes HTTP spre­chen zu las­sen und dabei Per­so­nen­da­ten zu trans­por­tie­ren, ist ganz ein­fach nicht mehr state of the art und zeigt Nach­läs­sig­keit auf.

Das gilt umso mehr, wenn man sich vor Augen führt, dass es open source Dienste wie letsencrypt.org gibt. Mit Let’s Encrypt ist es jedem mög­lich, TLS/SSL-Ver­schlüs­se­lung sehr ein­fach zu imple­men­tie­ren. Und das alles sogar noch kos­ten­los, ohne dass man Gebüh­ren für ein Zer­ti­fi­kat aus­ge­ben müsste. Für Let’s Encrypt gibt es mitt­ler­weile sogar Module für gän­gige Admi­nis­tra­ti­ons­ober­flä­chen wie Plesk oder ISP­Ma­na­ger. Man muss sich also nicht ein­mal mehr mit der Kon­sole abgeben.