Mehr Rechtssicherheit für Cybersicherheitsforschung

20. Februar 2024

Ergänzungsvorschlag für Datenschutz-Grundverordnung (DSGVO): ATHENE-Positionspapier fordert Datenschutz-Vorsorge

Cybersicherheitsforschende können Datenschutzvorschriften oft nicht befolgen, da sie vor Beginn einer Forschungsaktivität nicht wissen, ob und welche personenbezogenen Daten sie genau verarbeiten werden. Drei Datenschutzexpertinnen des Nationalen Forschungszentrums für angewandte Cybersicherheit ATHENE haben deshalb einen Ergänzungsvorschlag für die DSGVO formuliert. Ihr Anliegen: Die rechtsverbindliche Einführung der Datenschutz-Vorsorge, die ungeplante Datenzugriffe berücksichtigt. Das Positionspapier, in dem sie ihr Konzept erläutern, kann unter https://www.athene-center.de/datenschutz-vorsorge kostenfrei heruntergeladen werden.

Cybersicherheitsforschende machen die Welt sicherer: Sie entwickeln Sicherheitssoftware für Bürger sowie Unternehmen, prüfen bestehende IT-Systeme und melden gefundene Schwachstellen an die Verantwortlichen, damit Sicherheitslücken geschlossen werden. Die Cybersicherheitsforschung leistet damit wichtige Beiträge, um unsere digitale Gesellschaft sicher zu gestalten. Mit dieser Forschung verbunden ist jedoch eine große datenschutzrechtliche Herausforderung: Das europäische Datenschutzrechtsystem sieht nur vorhersehbare – und somit planbare – personenbezogene Datenverarbeitungen vor. Allerdings finden Cybersicherheitsforschende im Rahmen ihrer Forschung oft zufällig personenbezogene Daten, beispielsweise im Darknet, oder erhalten auf andere Weise ungewollt und ungeplant Zugriff auf solche Daten. Deshalb können sie auch nicht vorhersehen, ob, auf welche Arten und auf wie viele Daten sie während ihrer Arbeit stoßen werden und finden sich daher – sofern sie ungewollt und ungeplant auf personenbezogene Daten zugreifen – in einem datenschutzrechtlichen Dilemma. Dieses ergibt sich aus dem Umstand, dass eine Umsetzung des Datenschutzrechts nach Zugriff auf Daten im europäischen Datenschutzrecht weder vorgesehen ist noch zum Schutz der Rechte und Freiheiten betroffener Personen sinnvoll erscheint. Die Folge: Aus Angst vor Strafen wird die wichtige Arbeit der Cybersicherheitsforschenden ausgebremst.

Neues Rechtsinstrument Datenschutz-Vorsorge

Für dieses Dilemma, vor dem Wissenschaftler an Universitäten, Hochschulen, Forschungsinstituten und Unternehmen oft stehen, haben die ATHENE-Datenschutzexpertinnen Annika Selzer, Alina Boll und Sarah Stummer einen Ergänzungsvorschlag zur DSGVO ausgearbeitet, der ein neues Instrument des Datenschutzrechts vorschlägt: Die Datenschutz-Vorsorge. Die Idee hinter dem neuen Instrument: Im Vorfeld eines Cybersicherheitsforschungsprojekts Annahmen dazu treffen, welche personenbezogenen Datenverarbeitungen bei der geplanten Forschungsarbeit (z.B. aufgrund der im Rahmen der Forschungsarbeit eingesetzten Technologie oder anderer einschränkender Umstände) wahrscheinlich erfolgen könnten. Basierend auf diesen Annahmen ließen sich dann datenschutzrechtliche Kernaspekte im Vorfeld angemessen umsetzen. Unwahrscheinliche Datenverarbeitungen könnten hingegen unberücksichtigt bleiben, ohne gegen geltendes Datenschutzrecht zu verstoßen.

Würde dieses Instrument – so wie im Positionspapier vorgeschlagen – Teil des geltenden europäischen Datenschutzrechtssystems, käme die Cybersicherheitsforschung aus der datenschutzrechtlichen Grauzone, ohne dass die Rechte und Freiheiten betroffener Personen unangemessen eingeschränkt werden.

„Nur durch ein […] Umdenken im Datenschutzrecht kann letztlich sichergestellt werden, dass wissenschaftliche Forschung rechtssicher durchgeführt und unsere Gesellschaft langfristig von den Vorteilen dieser Forschung profitieren kann“, schreiben Annika Selzer und ihre Kolleginnen im Positionspapier.