Stand der Technik

Unter dem «Stand der Technik» versteht man in einem weiteren Sinne jenen Entwicklungsstand, welcher gemäss herrschender Meinung von führenden Fachexperten das Erreichen eines gesetzlich vorgegebenen Zieles gesichert erscheinen lässt. Da es weder in der DSGVO noch im nationalen Datenschutzgesetz (DSG) eine konkrete, gesetzliche Definition des Begriffs gibt, erscheint es zielführender, den Fokus bei der Diskussion über die Bedeutung dieses Begriffs auf die damit verbundenen, deutlich formulierten Wirkungsziele zu richten. Danach ist die Berücksichtigung des «Stand der Technik» bei der Umsetzung der TOMs erforderlich

• zur Gewährleistung eines dem Risiko angemessenen Schutzniveaus,
• zur Wahrung der Rechte der Betroffenen, und
• zur Gewährleistung, dass Verantwortliche und Auftragsverarbeiter in der Lage sind, ihren datenschutzrechtlichen Pflichten nachzukommen.

Der Technikstand «Stand der Technik» kann demnach als ein abgrenzbarer technologischer Entwicklungsstand aufgefasst werden, der einerseits durch eine bestimmte Anerkennung durch führende Experten als andererseits durch einen gewissen Grad der Bewährung in der Praxis gekennzeichnet ist. Dieser «Stand der Technik» wird im deutschen Recht eingeordnet zwischen dem bewährten Technikstand «allgemein anerkannten Regeln der Technik» und dem innovativeren Technikstand «Stand von Wissenschaft und Forschung». Diese dreistufige Abgrenzung (auch Drei-Stufen-Theorie genannt) wurde bereits 1978 vom Bundesverfassungsgericht festgelegt.

Massnahmen im Stadium «Stand der Wissenschaft und Forschung» sind ständigen Veränderungen unterworfen und gehen bei Erreichung der Marktreife bzw. bei Markteintritt in den «Stand der Technik» über. Der Übergang vom «Stand von Wissenschaft und Forschung» zum «Stand der Technik» ist deshalb durch den Markteintritt meist leicht erkennbar. Hingegen ist es schwieriger, eine klare Trennlinie zwischen dem «Stand der Technik» und den «allgemein anerkannten Regeln der Technik» zu ziehen. Massnahmen entsprechen in der Regel dann den «allgemein anerkannten Regeln der Technik», wenn diese sich in der Praxis bewährt haben und normiert werden. Dies ist bei technischen Massnahmen etwa an der Abnahme ihres Innovationsgrades  –  zum Beispiel aufgrund mangelnder Modernisierung, aufgrund ihrer starken Verbreitung in der Praxis oder aufgrund ihrer Aufnahme in facheinschlägige Standards oder sogenannte «best practices» – feststellbar. Bei organisatorischen Massnahmen kann sich dies beispielsweise in einer Standardisierung von Prozessen etc. äussern.

Hinweis: Die DSGVO legt bei der Auslegung des Begriffs «Stand der Technik» besonderen Fokus auf eine sorgfältige Überprüfung und Beurteilung technischer und organisatorischer Massnahmen (TOMs), die im jeweiligen Einzelfall erforderlich, geeignet und angemessen sind, um personenbezogene Daten zu schützen. Dabei geht es nicht ausschliesslich darum, die dominierende Meinung unter technischen Experten zu ermitteln, sondern auch um die Einschätzung von technischen Debatten bzw. Meinungsstreitigkeiten und um die  Evaluation von am Markt verfügbaren, technischen Alternativen. Es ist jedoch nicht erforderlich, dass die neuesten Erkenntnisse aus Wissenschaft und Forschung umgesetzt werden, da die Erfüllung des «Stand der Technik» auch an eine gewisse Anerkennung und Bewährung in der Praxis vorhandener Massnahmen gekoppelt ist.   Im Kontext der DSGVO ist es überdies zulässig, bei der Wahl der TOMs - neben weiteren Faktoren - auch wirtschaftliche Aspekte zu berücksichtigen. Die Wirtschaftlichkeit einer Massnahme kann jedoch nur durch die individuelle Überprüfung des Schutzbedarfs und der Realisierungskosten ermittelt werden. Diese Abwägung muss rechtlich durchgeführt und dokumentiert werden und erfordert daher in der Regel die enge Zusammenarbeit zwischen Technikern und Juristen.   Die Datenschutzstelle orientiert sich bei der Beurteilung des «Stand der Technik» grundsätzlich an den aktuellen ISO-Normen sowie am IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI).   Weitere Informationen zu geeigneten technischen und organisatorischen Massnahmen (TOMs) gemäss DSGVO finden Sie hier.

Um den «Stand der Technik» mittels der Drei-Stufen-Theorie in der Praxis zu veranschaulichen, soll im Folgenden das Beispiel der E-Mail-Verschlüsselung genutzt werden.* Bei der E-Mail-Verschlüsselung muss zwischen Transport- und Inhaltsverschlüsselung unterschieden werden. Die Transportverschlüsselung schützt nur den Übertragungspfad, nicht den Inhalt der E-Mail, der beim Empfänger und bei den Knotenpunkten unverschlüsselt bleibt und daher für sogenannte «Man-in-the-Middle»-Angriffe anfällig ist. Die Inhaltsverschlüsselung bzw. Ende-zu-Ende-Verschlüsselung verschlüsselt hingegen den Inhalt jeder E-Mail selbst und nicht nur die einzelnen Abschnitte auf dem Übertragungspfad. Die Nachricht wird dabei bereits vor dem Versand verschlüsselt und erst beim Empfänger wieder entschlüsselt. Somit ist sichergestellt, dass nur der Sender und der Empfänger die E-Mail lesen können, falls diese über die notwendigen Schlüssel verfügen. Diese Technik erfüllt die Ziele der Vertraulichkeit, Authentizität und Integrität.

Es könnte zwar argumentiert werden, dass die Verwendung von Transportverschlüsselung (mit Transport Layer Security oder kurz TLS) bei E-Mails noch nicht den «allgemein anerkannten Regeln der Technik» entspricht, da immer noch viele E-Mails unverschlüsselt versendet werden. Es darf aber angenommen werden, dass Transportverschlüsselung in absehbarer Zeit zu den «allgemein anerkannten Regeln der Technik» zählen wird, da TLS inzwischen in vielen technischen Anwendungsfeldern (etwa bei sicheren Webseiten mittels HTTPS) implementiert ist. Deshalb handelt es sich dabei um den aktuellen «Stand der Technik».

Auch die Inhaltsverschlüsselung (mit S/MIME oder PGP) gilt als «Stand der Technik», hat sich jedoch noch nicht so stark in der Praxis etabliert. Die Implementierung von Inhaltsverschlüsselung ist aus datenschutzrechtlicher Sicht nicht in jedem Anwendungsfall zwingend erforderlich, wenn personenbezogene Daten per E-Mail versendet werden, sondern hängt immer von mehreren Einflussfaktoren ab. Die Notwendigkeit der Ende-zu-Ende-Verschlüsselung bei E-Mails ist insbesondere von den Risiken für die betroffene Person abhängig zu machen, die durch den unbefugten Zugriff durch Dritte entstehen könnten. Je sensibler die Daten, desto höher die Anforderungen an die Technik der Verschlüsselung und somit den «Stand der Technik». Bei besonders sensiblen Daten wie Gesundheitsdaten wird die Inhaltsverschlüsselung in der Regel als notwendig erachtet, während weniger kritische personenbezogene Daten normalerweise nur mit einer Transportverschlüsselung geschützt werden können.

Quantenkryptographie kann dagegen im Kontext der E-Mail-Verschlüsselung unter bestimmten Bedingungen als Beispiel für den aktuellen «Stand der Wissenschaft und Forschung» angesehen werden und ist derzeit hauptsächlich Thema im wissenschaftlichen Umfeld.

* Dieses Beispiel erhebt keinen Anspruch auf eine umfassende Erklärung der technischen Komplexität der E-Mail-Verschlüsselung, sondern dient lediglich der Veranschaulichung der Drei-Stufen-Theorie anhand eines praxisnahen Beispiels. Auch sei darauf hingewiesen, dass dieses Beispiel aufgrund der Komplexität dieser Thematik nicht als Leitfaden mit konkreten Handlungshinweisen betrachtet werden darf.

Als Orientierungshilfen bei der Auswahl bzw. der Umsetzung von TOMs nach dem «Stand der Technik» sind unter anderem folgende Informationsquellen empfehlenswert (nicht abschliessende Aufzählung):

1. Bundesamt für Sicherheit in der Informationstechnik (BSI) (bsi.bund.de):
   • die technischen Richtlinien des BSI (BSI-TR)
   • die BSI IT-Grundschutz-Bausteine
2. Datenschutzkonferenz der deutschen Datenschutz-Aufsichtsbehörden (DSK) (www.datenschutzkonferenz-online.de):
   • das Standard-Datenschutzmodell (SDM)
3. Fachverbände:
   • die Handreichung zum «Stand der Technik» des Bundesverband IT-Sicherheit e.V. (www.teletrust.de)