Wieso eine schlecht gemachte Digitalisierung uns das Leben schwer macht
Artikel aus dem Handelsblatt Journal CYBERSECURITY & DATENSCHUTZ vom 21.11.2022
Viel Hitze im Kessel, jede Menge merkwürdige Zutaten und nur eine grobe Idee vom Ergebnis: Nachdem Deutschland jahrelang die Digitalisierung verschlafen hat, geht es aktuell beim Programmieren neuer Lösungen oft zu wie in einer Hexenküche. Gar nicht selten fehlt jedes Rezept, der Inhalt lässt sich beliebig austauschen und landet im Topf, wenn es gerade passend erscheint. Hauptsache, es werden dabei magische Worte wie beispielsweise „Blockchain“ oder „Cloud“ gemurmelt. Beratung und Kritik stören Projekthexen und Softwarezauberer nur. Und überhaupt würden die Rechtsnormen zur Hexenkunst ja überhaupt nicht einheitlich ausgelegt. Entscheidend sei nur, dass der Digitalisierungszaubertrank schnell einsatzbereit wäre.
Wie Märchen hören sich dementsprechend auch die Geschichten der Verantwortlichen an, wenn ihre Lösungen am Ende scheitern oder schlimme Nebeneffekte haben. Eine der beliebtesten Versionen lautet in Kurzform: „Geht nicht, weil: Datenschutz“. In Kommentarspalten und Talk-Shows wird dann ausführlich darüber spekuliert, wie es mal wieder zu einem derartigen Schildbürgerstreich der Datenschützerinnen und Datenschützer kommen konnte. Den Blick in die Hexenküche selbst wagen nur wenige, denn eigentlich will ja auch niemand so genau wissen, wie dort gepanscht wird. Den Heilsversprechen der Zaubertränke selbst wird oft blind geglaubt.
Allheilmittel Digitalisierung?
Trauen wir uns und schauen gemeinsam ein paar Beispiele an: Stichwort „Pandemie“. In den vergangenen zwei Jahren wurden digitale Lösungen quasi zum Allheilmittel verklärt. Ein kleineres Projekt blieb dabei eher im Schatten der anderen Debatten: Die Corona-Roaming-SMS. Mit dieser SMS sollten ab Anfang 2021 Menschen beim Grenzübertritt in die Bundesrepublik über die geltenden Schutz- und Hygienemaßnahmen im Zusammenhang mit der Pandemie informiert werden.
Es war allerdings unglücklich, dass die SMS zu Beginn eher wie Phishing-Versuche aussahen. Statt sofortiger Informationen erhielten Bürgerinnen und Bürger den Verweis auf einen Link. Wer risikofreudig genug war, diesen Link anzuklicken, landete auf einer Website, die die Einwilligung in allerlei Cookies forderte, ohne dass dafür auch nur irgendeine technische Notwendigkeit vorlag. Wer sein Abenteuer auch hier nicht beendete, wurde mit dem Download einer pdf-Datei belohnt, in der sich schließlich die Informationen befanden und die man dann im kleinen Handydisplay lesen sollte. Mal
ganz abgesehen davon, dass dieser Zugang nicht nutzungsfreundlich war, widersprach er gefühlt allen IT-Sicherheitsbelehrungen in Unternehmen und Behörden seit mindestens 15 Jahren.
Bleiben wir beim Thema Gesundheit und wechseln zur Großbaustelle elektronische Patientenakte (ePA). Hier ist seit mehr als 20 Jahren klar, wohin die Reise gehen soll, ab 2004 stand die ePA sogar im Gesetz. Aber anstatt diesen langen Zeitraum so zu nutzen, dass alle Zutaten für eine rechtskonforme, nutzungsfreundliche und sichere ePA gut aufeinander abgestimmt sind, wurden zum Start im Januar 2021 leider ein paar wichtige Funktionen zum Schutz der sensiblen Gesundheitsdaten „vergessen“. Immerhin wurde nach einem Jahr dann für Menschen mit eigenem geeigneten Tablet oder Smartphone noch das Recht, selbst frei zu entscheiden, wer ihre Daten einsehen kann, in den Topf geworfen. Alle anderen gehen weiter leer aus.
Ähnlich sieht es beim E-Rezept aus: Da werden von einer kassenärztlichen Vereinigung vollmundig die einfachen Verbringungswege über Email und SMS beworben, die nachträglich von den Datenschutzaufsichtsbehörden einkassiert werden müssen, weil sie nicht rechtskonform sind, weil man dann das Rezept auch gleich als Postkarte versenden könnte. Es ist dramatisch, dass gerade bei der Digitalisierung für das Gemeinwohl oft zunächst alle Funktionalitäten programmiert werden, die nach außen elegant wirken und gut klingen. Erst am Ende des Prozesses beschäftigt man sich mit dem dafür notwendigen Datenschutz und der Datensicherheit. Wenn es dann überhaupt noch klappt, das zusammenzubringen, dann nur mit aufwändigen Korrekturen oder Aufsichts- und Gerichtsverfahren. Und das Märchen der bösen Datenschützer, die die Innovation behindern, ist um ein neues Kapitel reicher.
Datenschutz immer mitdenken
Oder man schickt gleich unausgereifte Ideen ins Rennen, deren Nebenwirkungen die Bürgerinnen und Bürger ganz direkt austragen dürfen. So wie es beispielsweise bei den Erhebungen zur Neuberechnung der Grundsteuer ist. Vielen Bürgerinnen und Bürgern ist unklar, warum der Staat die benötigten Daten nicht längst in seinen Registern hat – Stichwort Datenminimierung. Das überforderte ELSTER-Portal machte die Frustration dann perfekt. Verfügbare gute Lösungen zur Identifikation hingegen lässt man irgendwo in der Ecke Spinnweben ansetzen.
Zum Beispiel den elektronischen Personalausweis. Der ließe sich bei vielen Herausforderungen nutzen, bekommt jedoch nie den Vorzug vor datenschutzrechtlich bedenklichen Varianten wie etwa dem Videoident-Verfahren. Wann haben Sie das letzte Mal eine Werbung der Bundesregierung für den elektronischen Personalausweis und seine Funktionen gesehen? Und wie viele Verwaltungsdienstleistungen kann man damit aktuell nutzen? Ein E-Auto können Sie damit zumindest nicht online anmelden, die bestehende Lösung ist – zumindest bei mir in Bonn – noch nicht auf Fahrzeuge mit E-Kennzeichen aktualisiert worden. Bei Hexenbesen wäre man da wohl großzügiger.
Es ist schon bemerkenswert, was Unternehmen und Behörden sich digital so zusammenbrauen. Insbesondere dann, wenn die Zutaten nicht aus eigenem Anbau kommen, sondern wild zusammengeklickt werden. Die finalen Produkte enthalten dann gerne mal Spuren von US-amerikanischen IT-Konzernen und Überwachungskapitalismus, allerdings ohne den entsprechenden Warnhinweis auf der Verpackung. So geschehen bei der erwähnten Corona-Roaming-SMS, aber auch bei der Website zum Zensus 2022, bei dem das Cloud Distribution Network leider nicht „made in Europe“ war. Das Bewusstsein für Datenschutz und Datensicherheit entsteht dann oft erst über öffentliche Kritik und Nachfragen der Aufsichtsbehörden. Ein Zustand, der sich vermeiden ließe, wenn man beide Aspekte einfach von Anfang an einplanen würde. Das würde natürlich auch bedeuten, dass man nicht erst Instrumente wie „Blockchain“ oder „Cloud“ festlegt, bevor überhaupt ein Problem hierfür gefunden ist.
Vorsprung durch Datenschutz
Es wäre utopisch zu glauben, dass wir aus der Hexenküche der Digitalisierung irgendwann mal eine strukturierte Großküche machen können, in der alles nach Plan läuft. Außerdem wird es immer ein gewisses Maß an kreativem Freiraum brauchen, um gute und innovative Rezepte für die drängenden Fragen unserer Zeit zu finden. Es darf jedoch nicht zu viel verlangt sein, dass wir uns an bestimmte Standards halten.
Dabei denke ich insbesondere an drei Dinge:
- Erstens müssen wir Probleme ergebnis- und technologieoffen angehen. Ganz oft bringt eine technologisch einfache Lösung viel mehr als komplexe neue Technologien, die erst noch entwickelt werden müssen.
- Zweitens müssen Datenschutz und Datensicherheit von Anfang an mitgedacht werden. Das spart teure und zeitintensive Nachbesserungen. Dazu müssen insbesondere endlich auch die Datenschutzaufsichtsbehörden in den Bundesländern besser ausgestattet werden. Ihre Beratung von Unternehmen ist direkte Wirtschaftsförderung.
- Und drittens sollten wir endlich in den Machen-Modus umschalten. Und zwar auf eine Art, die nicht bei jedem Hindernis sofort nach einer Änderung der Gesetze oder der Aufsicht verlangt.
Wir brauchen Lösungen, die unseren europäischen Werten entsprechen. Die Welt bewegt sich in Fragen des Datenschutzes langsam aber stetig auf uns zu. Wie viel Vorsprung wollen wir noch verschenken, bevor wir in unserer eigenen Hexenküche Konkurrenz bekommen? Die Bürgerinnen und Bürger verdienen eine gut gemachte, intelligente und rechtskonforme Digitalisierung. Fangen wir an, gute und durchdachte Lösungen zu brauen!
