Ist Datenschutz eher eine Firewall oder ein Proxy?
(original gepostet am 13.05.2018 auf Google+)
Wenn man etwas reglementieren will, kann man das grundsätzlich mit zwei Ansätzen machen: Entweder man verbietet grundsätzlich alles, und definiert die Ausnahmen, die erlaubt sein sollen (in der IT-Sicherheit nennen wir das “Whitelisting” oder auch “implicit deny”), oder man erlaubt alles und definiert nur die Dinge, die verboten sind (“Blacklisting” oder “implicit permit”).
Typisches Beispiel aus unserem Rechtssystem für Blacklisting ist das Strafrecht. Jeder Bürger darf grundsätzlich alles machen, verboten ist nur was explizit im Strafgesetzbuch aufgeführt wird. Egal was für dummes oder böses Zeugs man tut, bestraft werden kann man nur wenn es auch im StGB steht. Und anders wäre das auch gar nicht machbar, menschliches Handeln ist viel zu dynamisch und vielfältig, dass man eine endliche Liste erlaubter Handlungen erstellen könnte.
Das Gegenbeispiel ist das Baurecht. Grundsätzlich ist es verboten zu bauen, erlaubt sind nur explizite Ausnahmen. Und auch hier macht nur das Sinn. Der Gesetzgeber will nicht, dass Leute mit viel Phantasie nach Gesetzeslücken schauen, um dann erlaubterweise irgendeinen Blödsinn bauen zu dürfen. Deshalb muss jedes Bauwerk explizit erlaubt sein, meistens auch mit individueller Genehmigung.
Das Datenschutzrecht, so wie wir er heute in Deutschland und Europa kennen (nicht so z. B. in den USA), ist wie das Baurecht: Datenverarbeitung mit personenbezogenen Daten ist grundsätzlich verboten, macht man es trotzdem muss man das auf eine der expliziten Ausnahmen stützen.
Und jetzt kommen wir endlich zu der Frage, was das mit Firewalls und Proxies zu tun hat: Ich hörte nun schon einige Male, dass Verfechter des geltenden Datenschutzrechts dies mit einer Firewall vergleichen: Datenschutz müsse sicher sein, und deshalb müsse man das wie mit jeder guten Firewall machen, die auch immer mit einem “implicit deny” Prinzip aufgebaut wird.
Für den Fall einer Firewall stimmt das auch. Aber man muss hier auch die Randbedingungen betrachten. Eine Firewall schützt immer nur eine endliche Zahl von Endgeräten. Und es gibt auch nur eine endliche Zahl von möglichen Diensten. Und kommt ein neues Gerät oder erlaubter Dienst dazu, dann ist es auch kein großes Problem, dass es erst dann funktioniert, wenn es auf der Firewall freigeschaltet wurde. Dynamik ist hier kaum ein Thema.
Aber es gibt nicht nur Firewalls in der IT-Sicherheit. Es gibt z. B. auch Proxies (mit denen man verhindert, dass sich Benutzer Malware einfangen, oder auch dass sie auf verbotene Seiten surfen), und bei diesen wäre ein Implementierung nach “implicit deny” tödlich. Ein solcher Proxy wäre nahezu unbenutzbar. Dafür ist das Internet einfach viel zu dynamisch. Ständig entstehen neue Server und Domains, wechseln Inhalte und Besitzer, und Internetseiten verlinken oft dynamisch auf andere. Deshalb blockt ein guter Proxy nur das, von dem er weiß dass es böse oder verboten ist, aber was er nicht kennt lässt er durch.
Man kann also keineswegs sagen, dass alle guten IT-Sicherheitssysteme immer nach dem Prinzip “implicit deny” arbeiten. Das stimmt einfach nicht. Es kommt auf die Randbedingungen an.
Aber nach welchem Prinzip sollte nun Datenschutzrecht arbeiten? Aktuell ist das “implicit deny”, und bleibt es natürlich auch mit der neuen gesamteuropäischen “Datenschutzgrundverordnung”. Aber das muss nicht heißen, dass das richtig oder der optimale Ansatz ist. Ich und viele andere argumentieren eben, dass Datenverarbeitung viel zu vielfältig und dynamisch ist, als dass man sinnvoll eine Whitelist erlaubter Dinge erstellen könnte. Und so sieht es auch bei der DSGVO aus: Neben der Einwilligung gibt es “Erlaubnistatbestände” wie “Erfüllung vertraglicher und vorvertraglicher Pflichten” oder “Wahrung berechtigter Interessen”. Das ist so schwammig, dass da im Zweifel jeder alles reininterpretieren kann. Aber das muss auch so sein, denn ansonsten wäre ein Datenschutzrecht nach “implicit deny” so restriktiv, dass es überall spürbar schaden würde.
Wir wären besser bedient, Datenschutzrecht würde nach “implicit allow” funktionieren, und dabei eine Liste verbotener Datenverarbeitungen erstellen und dies dann auch konsequent durchsetzen. Davon hätte am Ende des Tages jeder mehr. Und so könnten auch Normalbürger Datenschutzrecht verstehen. Verlieren würden nur Juristen. Aber das werden wir erst noch lernen müssen.
(original gepostet am 13.05.2018 auf Google+)
Wenn man etwas reglementieren will, kann man das grundsätzlich mit zwei Ansätzen machen: Entweder man verbietet grundsätzlich alles, und definiert die Ausnahmen, die erlaubt sein sollen (in der IT-Sicherheit nennen wir das “Whitelisting” oder auch “implicit deny”), oder man erlaubt alles und definiert nur die Dinge, die verboten sind (“Blacklisting” oder “implicit permit”).
Typisches Beispiel aus unserem Rechtssystem für Blacklisting ist das Strafrecht. Jeder Bürger darf grundsätzlich alles machen, verboten ist nur was explizit im Strafgesetzbuch aufgeführt wird. Egal was für dummes oder böses Zeugs man tut, bestraft werden kann man nur wenn es auch im StGB steht. Und anders wäre das auch gar nicht machbar, menschliches Handeln ist viel zu dynamisch und vielfältig, dass man eine endliche Liste erlaubter Handlungen erstellen könnte.
Das Gegenbeispiel ist das Baurecht. Grundsätzlich ist es verboten zu bauen, erlaubt sind nur explizite Ausnahmen. Und auch hier macht nur das Sinn. Der Gesetzgeber will nicht, dass Leute mit viel Phantasie nach Gesetzeslücken schauen, um dann erlaubterweise irgendeinen Blödsinn bauen zu dürfen. Deshalb muss jedes Bauwerk explizit erlaubt sein, meistens auch mit individueller Genehmigung.
Das Datenschutzrecht, so wie wir er heute in Deutschland und Europa kennen (nicht so z. B. in den USA), ist wie das Baurecht: Datenverarbeitung mit personenbezogenen Daten ist grundsätzlich verboten, macht man es trotzdem muss man das auf eine der expliziten Ausnahmen stützen.
Und jetzt kommen wir endlich zu der Frage, was das mit Firewalls und Proxies zu tun hat: Ich hörte nun schon einige Male, dass Verfechter des geltenden Datenschutzrechts dies mit einer Firewall vergleichen: Datenschutz müsse sicher sein, und deshalb müsse man das wie mit jeder guten Firewall machen, die auch immer mit einem “implicit deny” Prinzip aufgebaut wird.
Für den Fall einer Firewall stimmt das auch. Aber man muss hier auch die Randbedingungen betrachten. Eine Firewall schützt immer nur eine endliche Zahl von Endgeräten. Und es gibt auch nur eine endliche Zahl von möglichen Diensten. Und kommt ein neues Gerät oder erlaubter Dienst dazu, dann ist es auch kein großes Problem, dass es erst dann funktioniert, wenn es auf der Firewall freigeschaltet wurde. Dynamik ist hier kaum ein Thema.
Aber es gibt nicht nur Firewalls in der IT-Sicherheit. Es gibt z. B. auch Proxies (mit denen man verhindert, dass sich Benutzer Malware einfangen, oder auch dass sie auf verbotene Seiten surfen), und bei diesen wäre ein Implementierung nach “implicit deny” tödlich. Ein solcher Proxy wäre nahezu unbenutzbar. Dafür ist das Internet einfach viel zu dynamisch. Ständig entstehen neue Server und Domains, wechseln Inhalte und Besitzer, und Internetseiten verlinken oft dynamisch auf andere. Deshalb blockt ein guter Proxy nur das, von dem er weiß dass es böse oder verboten ist, aber was er nicht kennt lässt er durch.
Man kann also keineswegs sagen, dass alle guten IT-Sicherheitssysteme immer nach dem Prinzip “implicit deny” arbeiten. Das stimmt einfach nicht. Es kommt auf die Randbedingungen an.
Aber nach welchem Prinzip sollte nun Datenschutzrecht arbeiten? Aktuell ist das “implicit deny”, und bleibt es natürlich auch mit der neuen gesamteuropäischen “Datenschutzgrundverordnung”. Aber das muss nicht heißen, dass das richtig oder der optimale Ansatz ist. Ich und viele andere argumentieren eben, dass Datenverarbeitung viel zu vielfältig und dynamisch ist, als dass man sinnvoll eine Whitelist erlaubter Dinge erstellen könnte. Und so sieht es auch bei der DSGVO aus: Neben der Einwilligung gibt es “Erlaubnistatbestände” wie “Erfüllung vertraglicher und vorvertraglicher Pflichten” oder “Wahrung berechtigter Interessen”. Das ist so schwammig, dass da im Zweifel jeder alles reininterpretieren kann. Aber das muss auch so sein, denn ansonsten wäre ein Datenschutzrecht nach “implicit deny” so restriktiv, dass es überall spürbar schaden würde.
Wir wären besser bedient, Datenschutzrecht würde nach “implicit allow” funktionieren, und dabei eine Liste verbotener Datenverarbeitungen erstellen und dies dann auch konsequent durchsetzen. Davon hätte am Ende des Tages jeder mehr. Und so könnten auch Normalbürger Datenschutzrecht verstehen. Verlieren würden nur Juristen. Aber das werden wir erst noch lernen müssen.
Keine Kommentare:
Kommentar veröffentlichen