Cybersicherheitsforschende können Datenschutzvorschriften oft nicht befolgen, da sie vor Beginn einer Forschungsaktivität nicht wissen, ob und welche personenbezogenen Daten sie genau verarbeiten werden. Datenschutzexpertinnen des Nationalen Forschungszentrums für angewandte Cybersicherheit Athene haben deshalb einen Ergänzungsvorschlag für die DSGVO formuliert.
Cybersicherheitsforschende entwickeln Sicherheitssoftware für Bürgerinnen und Bürger sowie Unternehmen, prüfen bestehende IT-Systeme und melden gefundene Schwachstellen an die Verantwortlichen, damit Sicherheitslücken geschlossen werden. Mit dieser Forschung verbunden ist jedoch eine große datenschutzrechtliche Herausforderung: Das europäische Datenschutzrechtsystem sieht nur vorhersehbare – und somit planbare – personenbezogene Datenverarbeitungen vor.
Oft finden Cybersicherheitsforschende im Rahmen ihrer Forschung allerdings zufällig personenbezogene Daten, etwa im Darknet, oder erhalten auf andere Weise ungewollt und ungeplant Zugriff auf solche Daten. Deshalb können sie auch nicht vorhersehen, ob, auf welche Arten und auf wie viele Daten sie während ihrer Arbeit stoßen werden und finden sich daher – sofern sie ungewollt und ungeplant auf personenbezogene Daten zugreifen – in einem datenschutzrechtlichen Dilemma. Dieses ergibt sich aus dem Umstand, dass eine Umsetzung des Datenschutzrechts nach Zugriff auf Daten im europäischen Datenschutzrecht weder vorgesehen ist noch zum Schutz der Rechte und Freiheiten betroffener Personen sinnvoll erscheint. In der Folge kann die Angst vor möglichen Strafen die Arbeit der Forschenden ausbremsen.
Neues Rechtsinstrument für die DSGVO
Für dieses Dilemma haben die Athene-Datenschutzexpertinnen Annika Selzer, Alina Boll und Sarah Stummer einen Ergänzungsvorschlag zur DSGVO ausgearbeitet, der ein neues Instrument des Datenschutzrechts vorschlägt: Die Datenschutz-Vorsorge. Die Idee dahinter: Im Vorfeld eines Cybersicherheitsforschungsprojekts Annahmen dazu treffen, welche personenbezogenen Datenverarbeitungen bei der geplanten Forschungsarbeit (z.B. aufgrund der im Rahmen der Forschungsarbeit eingesetzten Technologie oder anderer einschränkender Umstände) wahrscheinlich erfolgen könnten. Basierend auf diesen Annahmen ließen sich dann datenschutzrechtliche Kernaspekte im Vorfeld angemessen umsetzen. Unwahrscheinliche Datenverarbeitungen könnten hingegen unberücksichtigt bleiben, ohne gegen geltendes Datenschutzrecht zu verstoßen.
