We're sorry but this page doesn't work properly without JavaScript enabled. Please enable it to continue.
Feedback

[Keynote] "Volle Transparenz“ – Open Source als Vertrauensanker

00:00

Formal Metadata

Title
[Keynote] "Volle Transparenz“ – Open Source als Vertrauensanker
Title of Series
Number of Parts
49
Author
License
CC Attribution 4.0 International:
You are free to use, adapt and copy, distribute and transmit the work or content in adapted or unchanged form for any legal purpose as long as the work is attributed to the author in the manner specified by the author or licensor.
Identifiers
Publisher
Release Date
Language

Content Metadata

Subject Area
Genre
Abstract
Der Bundesbeauftragte für den Datenschutz ist auch Hüter der Informationsfreiheit, also Sachwalter für die Transparenz der öffentlichen Verwaltung. Transparenz ist selbstverständlich auch im Datenschutz ein ganz entscheidender Erfolgsfaktor. Denn die Beherrschbarkeit und Rechtmäßigkeit einer Datenverarbeitung setzt voraus, dass transparent wird, welche Daten in welcher Weise verarbeitet werden. In der Keynote beleuchtet der BfDI vor allem drei Aspekte: - Open Source schafft Transparenz, Sicherheit und fördert so den Datenschutz - Open Source schafft Vertrauen – die Corona-Warn-App als Blaupause - Open Source führt zu mehr Souveränität
23
Thumbnail
20:06
25
Thumbnail
38:54
27
31
Thumbnail
50:36
32
Point cloudOpen sourceApple KeynoteWordComputer animationMeeting/Interview
Process (computing)SoftwareOpen sourceApple KeynoteSun <Marke>Light coneDigital signalFile formatMeeting/Interview
Information privacySoftwareDecision theorySource codeAtomic nucleusDigitizingOpen sourceForm (programming)File formatHausdorff spaceMittelungsverfahrenElectronic data processingSoftware architectureWordDatabaseImplikationApple KeynoteConstraint (mathematics)Computer scienceMusical ensembleData conversionSoftware developerParameter (computer programming)Data transmissionContent (media)ZugriffLecture/Conference
Product (category theory)MittelungsverfahrenSoftwareState of matterDistanceMobile appDigitizingSimilarity (geometry)Information privacyDataflowZusammenhang <Mathematik>Open sourceOperating systemPoint of saleSound effectKanteSoftware architectureSoftwareprojektMathematicsGame theoryPhysical quantityAbschätzungComputer programmingCross-sectional studyScientific modellingDownloadPropositional formulaStandard deviationLecture/Conference
DataflowProduct (category theory)Information and communications technologyForm (programming)Musical ensembleDigital signalElektronische AkteOffice <Programm>SoftwareSystems <München>Mathematical structureClient (computing)Liste <Informatik>MAX <Programm>FunktionalitätRun-time systemWINDOWS <Programm>Series (mathematics)Operating systemInternetNumerisches GitterServer (computing)Tape driveChecklistZoom lensZusammenhang <Mathematik>MicrosoftLecture/ConferenceMeeting/Interview
Elektronische AkteSoftwareACCESS <Programm>Similarity (geometry)Apple KeynoteStatement (computer science)Data conversionPhysical lawLink (knot theory)InformationMicrosoftMittelungsverfahrenState of matterGrand Unified TheoryQuery languageMeeting/Interview
Point cloudMeeting/InterviewJSONXMLUML
Transcript: German(auto-generated)
Willkommen zur Keynote. Zunächst wird die Frau Prof. Groß, es tut mir leid, ich war nicht vorbereitet dafür, Frau Prof. Groß kleine einleitende Worte geben und dann wird der Bundesdienstbeauftragte Ulrich Kälber, glaube ich auch Ehrenprofessor
oder Gast, oder irgendwie Honorarprofessor in der Uni, sogar an der Hochschule, auch seinen Keynote-Talk halten. Und dann will ich jetzt nicht weiter stören und wünsche Ihnen einen schönen Vortrag. Ja, vielen Dank auch. Also ich möchte Sie ganz herzlich im Namen der Hochschule heute hier bei der Frostcon begrüßen. Erstmalig digital ist ein ganz neues
Gefühl, Sie jetzt alle nicht zu sehen und das Gefühl kennen wir aber schon aus unserer Vorlesung, da gehe ich nachher auch noch ganz kurz drauf ein. Also mein Name ist Iris Groß, ich bin Vizepräsidentin für Lehre, Studium und Weiterbildung und von Haus aus Maschinenbauingenieurin. Ich möchte
die Gelegenheit erst mal nutzen, Ihnen ganz herzlich zu danken, den vielen Helfern und Helferinnen, erstens seitens der Hochschulen, zweitens natürlich seitens des Frostcon e.Vs, die das wieder mit sehr viel Liebe und Mühe auf die Beine gestellt haben. Und ich denke, ich werde mir im Verlauf des Tages auch den einen oder anderen Vortrag noch anhören, weil das Thema Free and Open Software für uns ja schon auch immer
wichtiger wird. Und wer schon mal ein so großes Event mit organisiert ist, der weiß auch, was es bedeutet, das alles so reibungslos ans Laufen zu bringen, wie es in den vergangenen Jahren immer war und jetzt dieses Mal digital hoffentlich auch sein wird. Dann möchte ich sehr herzlich
Herrn Prof. Ulrich Kelber für das Keyword danken, der als Bundesbeauftragter für Datenschutz inzwischen auch bei uns Honorarprofessor ist und das Zentrum für Ethik und Verantwortung mitgestaltet und in der Keynote die volle Transparenz, die Open Source als Vertrauensanker als Thema nehmen wird. Und ich möchte Ihnen als Community danken.
Ich kann gar nicht sagen, in wessen Namen, also im Namen sozusagen des einfachen Bürgers, weil Sie für mich einen super wichtigen Beitrag leisten, dass quasi Fortschritt für alle möglich ist und die Demokratie und die Freiheit des Einzelnen stabilisiert wird.
Das wissen Sie alles besser als ich, weil Sie ja schon jahrelang in der Materie engagiert sind, aber mich beeindruckt und begeistert das schon. Der Sharing-Gedanke, den Sie pflegen, der begeistert mich ja schon immer und gibt mir ein positives Menschenbild, dass also nicht jeder nur nach seinem eigenen Vorteil schaut. Und für mich hat sich im vergangenen digitalen Semester
dieses Menschenbild auch bestärkt. Ich weiß nicht, an welchem Arbeitsplatz Sie unterwegs sind, aber wir hier in der Lehre hatten eine Riesenherausforderung, plötzlich unsere sämtlichen Prozesse neu zu erfinden und alles auf links zu sehen und alles nochmal neu zu machen. Und ich würde sagen, die Leute haben sich ein Bein ausgerissen, ohne vorher zu fragen, was sie dafür
bekommen. Also man hat das Doppelte gearbeitet und hat es halt einfach hingenommen. Das hat mich so sehr positiv berührt. Ich bin auch gespannt, ob wir von Ihnen etwas lernen können aus dieser Konferenz, weil wir jetzt als nächstes den Tag der Lehre auch digital gestalten werden und die Situation ist eine Umstellung.
Also ich rede jetzt vor eine schwarze Wand. Ich kann Ihren Gesichter nicht ablesen, ob das irgendwie ankommt oder nicht ankommt, was ich sage. Es ist für alle Vortragenden deutlich anstrengender. Und wir haben das jetzt ein halbes Jahr in der Lehre
so erlebt. Einer hat mal gesagt, er wollte früher mal Adiosprecher werden und jetzt merkt er, er will das doch nicht. So geht mir das also hier auch. Ich hoffe, dass Sie trotzdem einen spannenden Tag haben mit viel Austausch, mit viel Diskussion, auch wenn man dem anderen das am Gesicht halt nicht immer so ablesen kann.
Und ich denke, dass das, was Sie tun, auch einen großen Beitrag dazu leistet, dass man sich nach wie vor vertraulich digital austauschen kann und dass es halt diese die Möglichkeiten gibt, sich im Vertrauen zu treffen, ohne dass dann direkt jemand mithört, der vielleicht besser nicht mithören sollte, ist ein spannendes Thema für uns alle.
Also nochmal vielen Dank für Ihr aller Engagement und insbesondere auch Herrn Kelber für die Keynote. Und damit möchte ich das Wort auch schon abgeben und hoffe auf gutes Gelingen der zwei Tage. Ja, schon an mich übergegangen das Wort.
Schönen guten Tag zusammen. In diesem Jahr findet die Konferenz online statt. Anders als ursprünglich geplant. Herzlich willkommen in der neuen Normalität. Solche digitalen online Formate sind ja ermählich zum Alltag für uns alle geworden. Ich selber hatte auch in den letzten Monaten wenige
physikalische Treffen und Händeschütteln in Filmen fühlt sich schon fast so altertümlich an wie ein Hofknicks. Corona hat für viele Menschen im Land neue Erfahrungen mit der Digitalisierung, in der Nutzung von digitalen Tools, die das Social Distancing, das Arbeiten an entfernten
Standorten überwinden helfen sollten geführt. Das heißt, wir reden über neue Themen in anderen Zusammensetzungen als in der Vergangenheit und Themen, die für Sie auf dieser Konferenz schon oft genug auf einmal in der allgemeinen Debatte bis rein in die
Behörden und in die Politik zum Thema geworden. Viele merken, dass Digitalisierung tatsächlich andere Partizipationsmöglichkeiten schaffen kann, wenn richtig durchgeführt. Merken allerdings auch die Beschränkungen, die wir in der Digitalisierung mit einem
tatsächlich Rückstand, den wir in Deutschland an vielen Stellen haben, in den Behörden, in den Hochschulen, Schulen in den Unternehmen auch noch aufholen müssen. Als Datenschützer merke ich dann oft genug, dass dann die, die vorher versäumt haben, Digitalisierung voranzutreiben, dann jetzt unterwegs sind und von Dingen wie Arbeitsschutz,
Datenschutz und anderen auf einmal als Innovationsbremse sprechen, obwohl sie doch selber lang genug die Innovationsbremse gewesen sind. Ich glaube aber, dass wir auch gemerkt haben, dass es Debatten gegeben hat, wie man diese Digitalisierung vorantreiben kann. Und bei aller Diskussion über einzelne Bestandteile,
zum Beispiel die deutsche Corona-Warn-App, ist eine solche Digitalisierung gewesen, die viele Menschen überzeugt hat. Es hat jetzt in den letzten Monaten auch berechtigte Kritik an einzelnen Umsetzungen gegeben. Das kann ich nachvollziehen. Es gäbe sogar noch andere Punkte, die ich in die Debatte mit einwerfen könnte.
Mein Haus, also der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, hat ja das Entwicklungskonsortium von Anfang an beratend zur Seite gestellt. Und deswegen vielleicht als erstes mal Dank an alle die, die sich beteiligt haben daran, dass eine solche Digitalisierung vorangang ist. Das sind die großen Projekte, aber im Kleinen auch viele einzelne
Geschichten. Die eine oder andere Schule ist überhaupt nur eine Lage gewesen, ein Angebot aufrechtzuerhalten, weil engagierte Bürgerinnen und Bürger oft auch in free- und open source Software-Projekten dafür gesorgt hat, dass es dort noch Möglichkeiten gegeben hat. Und deswegen tatsächlich jetzt auch die Frage, wie kommen die Themen free- und open source
Software in dieser Debatte eigentlich ins Spiel? Das Erste ist, die Pandemie hat die Debatte über Softwarearchitekturen und Kriterien für eine sinnvolle Auswahl und Beschaffung von Software neu entfacht. Nehmen Sie allein den Aufschrei, als mein Thüringer Kollege gesagt hat,
Lehrer sind nicht frei in der Wahl der Software. Oder als ich selber bei einzelnen Videokonferenzplattformen gesagt hat, da muss man vorsichtig sein, wie man sie einsetzt und wofür man sie einsetzt. Ich werde im weiteren Verlauf, wenn Sie mir das erlauben, ohne den besonderen Wert und den Flair
von free-Software damit zu vernachlässigen immer von open source sprechen, um es etwas schneller auch durchspielen zu können. Heute bei Ihnen eine Keynote geben zu können, ist für mich ein Heimspiel in dreierlei Formen. Erstens, ich wohne vom Standort tatsächlich nur knapp drei Kilometer entfernt auf der anderen Seite der Bonner Stadtgrenze.
Ich bin Informatiker, also von daher fühle ich mich natürlich immer in der Informatikfakultät einer Hochschule auch zu Hause. Aber ich glaube tatsächlich, dass den Bereich open source und die Datenschütze ein starkes Band verbindet. Und das ist das der Datentransparenz, der Transparenz allgemein. Übrigens nicht nur für meinen Datenschutzteil,
sondern auch für den zweiten Aufgabenteil meiner Behörde, nämlich die Informationsfreiheit. Also Sachverwalter für die Transparenz der öffentlichen Hand in allen Bereichen. Ich glaube, dass Transparenz für den Datenschutzen ein ganz entscheidender Erfolgsfaktor ist, nämlich die Beherrschbarkeit
und die Rechtmäßigkeit von Datenverarbeitung setzt voraus, dass transparent ist, welche Daten in welcher Weise verarbeitet werden. Und deswegen ist vielleicht einer meiner Inhalte, wie sich Datenschutz, Informationsfreiheit und open source eigentlich gegenseitig befruchten können.
Und das erste ist, ich glaube tatsächlich, dass open source bei dieser Frage von Transparenz von Datenverarbeitung ungemein helfen kann. Nicht selten unbedingt eine Voraussetzung für diese Transparenz ist. Und deswegen ist open source ein Vertrauensanker für die Digitalisierung, für die Rechtmäßigkeit
und für das Vertrauen in Digitalisierung. Und dazu vielleicht ein paar Ideen. Das erste, der Anspruch auf Transparenz ist aus datenschutzrechtlicher Sicht sogar grundsätzlich verbürgt des Rechts. Es wird explizit in Artikel 5 der Datenschutz-Grundverordnung
der Europäischen Datenschutz-Grundverordnung erwähnt. Es geht im Kern darum, dass eine betroffene Person nachvollziehen können muss, wie personenbezogene Daten verarbeitet werden können. Das ist die Grundlage für selbstbestimmte Entscheidungen in diesem Bereich. Deswegen glaube ich, dass in der Diskussion um das Für und Wider von open source,
und die wird ja geführt an der Stelle, auch durchaus mit Kontraargumenten, nicht hier im Rahmen von uns und dieser Konferenz, aber von anderen dort draußen, dass das Thema Transparenz ein klares Pro-Argument für open source ist. Eins, wo nicht open source Software
einfach nicht das Wasser reichen kann. Der Quellcode ist frei zugänglich, er ist einsehbar und unter den optimalen Bedingungen auch nachprüflich der eingesetzte Quellcode. Und den können dann eben mehr Menschen ansehen, nachvollziehen, ob tatsächlich die Software auf das sich reduziert,
was ihr angegebener Zweck ist. Und da treffen Sie wieder die Datenschützer. Auch wir wollen ja eine klare Zweckbindung haben bei der Datenverarbeitung, das führen wir ein. Und die Fachexpertise ist bei vielen, die Software einsetzen muss, allein nicht vorhanden kann,
aber dann von einer breiten Community bei wichtigen Projekten oder einer Community, die die Teilprodukte schon in anderen Bereichen eingesetzt haben, eben ergänzt werden. Und damit hat open source nicht nur ein klares Prä-Aussicht des Datenschutzes, sondern ich glaube auch ein Mehrwert mit Blick auf die IT-Sicherheit.
Datenschutz und IT-Sicherheit bedingen einander. Jeder Mehrwert, der im Bereich der IT-Sicherheit entsteht, hilft dem Datenschutz. Und auch hier, und es gibt vielleicht wirklich schöne Beispiele dafür, wenn man sie sich im Detail mal anschauen will, in der Entwicklung zum Beispiel der Corona-Warn-App, wo einfach Leute draufgeschaut haben,
sich einen Aspekt angeschaut haben, bei dem sie eine besondere Expertise haben und schnell Verbesserungsvorschläge gebracht haben, die dann auch im System umgesetzt werden. Ich erinnere mich an einen Datenbank-Spezialisten, der einfach nur Vorschlag gemacht hat, wie die Zugriffsrechte aufgeteilt werden können innerhalb der Datenbank. Und das ist von den Profi-Entwicklerinnen und Profi-Entwicklern von Telekom und SAP mit Freude aufgenommen worden.
Ich bin gebeten worden, ein paar Worte zur datenschutzrechtlichen Haftung in Open-Source-Projekten zu sagen. Open Source lädt ja nun gerade davon, dass zahlreiche Entwicklerinnen und Entwickler die Möglichkeit haben, etwas beizusteuern und die Ergebnisse wiederum drittend zugänglich zu machen.
Und auch wenn es verschiedene Lizenzmodelle mit unterschiedlichen Anforderungen gibt, ist das eine der Grundideen. Und da könnte natürlich auch ein juristischer Fallstreck drin liegen. Das ist ein Damoklesschwert für Entwicklerinnen und Entwickler, aber so wie ich hier auch im Bereich der Datenethik manchmal sage,
man kann sich eben nicht nur auf Software entwickeln, zubereiten. Man muss die gesellschaftlichen Implikationen im Blick haben. Was trage ich dazu bei? Wie muss ich mich eigentlich bewegen? Was sind die Grundrechte Betroffener meiner Software? Achte ich darauf, dass diese Software diskriminierungsfrei ist, werde ich mich auch mit rechtlichen Fragestellungen auseinandersetzen müssen.
Und ich muss Ihnen gleich den Erwartungshorizont etwas dämpfen. Ich kann Ihnen keine pochale Antwort darauf geben. Es kommt etwas auf den Einzelfall an. Und es gibt unterschiedliche Punkte. Aber vielleicht ein paar grundsätzliche Anmerkungen. Eine Sache, die wir oft im Datenschutz als Schwäche sehen, ist für die Open Source Community vielleicht eine Stärke im Datenschutz.
Nämlich der Normadressat, wie Juristen das jetzt sagen würden. Derjenige, der eigentlich die datenschutzrechtlichen Kriterien erfüllen muss, ist der sogenannte Verantwortliche. Also derjenige, der die Pflichten hat und die Zwecke und Mittel vorgibt, mit denen das durchgeführt werden. Das ist in der Regel nicht der Entwickler oder die Entwicklerin der Software.
Sondern derjenige, der diese Software einsetzt gegenüber Personen, mit der mit Personen bezogene Daten verarbeitet werden. Also derjenige, der über den Einsatz der Software entscheidet. Damit ist schon mal klar, wo hier die haftungsrechtlichen Fragen aus Datenschutzsicht sind.
Gleichzeitig ist die Stärke von Open Source natürlich immer noch vorhanden. Derjenige, der sie einsetzt, hat überhaupt die Chance zu überprüfen, dass die Software, die ihm Herstellerinnen oder Hersteller gegeben hat, auch das tut, was versprochen wurde. Eine Schwäche von proprietärer Software, die übrigens dazu führt, dass wir Datenschützer auch gerne die Hersteller mehr in die Verantwortung nehmen würden.
Hier aber gerade der Art und Weise, wie Open Source-Projekte zusammenkommen, ein Stück weit entgegenlaufen. Es gibt heutzutage natürlich nicht mehr die einfache Premise-Software entwickelt, aufs Gerät eingespielt. Wir sind in vielen anderen Zusammenhängen. Im Cloud-Kontext sind dann oft auch die Softwareanbieter selber verarbeitet,
Personenbezogenen Daten dort aber in der Regel in einem Auftragsverhältnis. Sie sind also Auftragsverarbeiter und tun das im Sinne von dem Datenschutzrechtlichen Verantwortlichen, der ihnen den Zweck vorgibt. Auch dann sind sie auf der sicheren Seite, es sei denn, sie beginnen, wie ganz große Softwarekonzerne von Ost- und Westküste der Vereinigten Staaten
und bestimmt auch in der Chinesischen Volksrepublik immer mehr Daten dabei, auch für ihre eigenen Zwecke zu verarbeiten, von Telemetriedaten bis zu anderen angefangen. Dann sind sie natürlich auch in der Haftung. Aber das ist ja nicht das typische Merkmal für ein Open-Source-Projekt an dieser Stelle.
Aber es bleibt dabei, der Verantwortliche kann überhaupt mit Hilfe von Open-Source abschätzen, ob das, was er einsetzt, auch das tut, für was er in seiner Datenschutzerklärung, in seiner Datenschutzkonzeption, eventuell auch in seiner Datenschutzfolgeabschätzung auch Aussagen getroffen hat.
Open-Source schafft Vertrauen über die haftungsrechtlichen Möglichkeiten hinaus und das vielleicht auch noch mal am Beispiel der Corona-Warn-App. Wir haben hier einen Punkt gehabt, wo Tim Höttges, der CEO der Telekom, von einem Rockstar unter den Apps gesprochen hat. Ich glaube, ganz so glamourös lebt es sich als Corona-Warn-App im Land nicht.
Aber ich glaube, er hat Recht, als er gesagt hat, das war auch ein Game-Changer. Und zwar nicht unbedingt ein Game-Changer jetzt in der Bekämpfung der Pandemie. Das ist nur eine von vielen Bausteinen. Aber es war für die öffentliche Hand ein Game-Changer, wie Softwareprojekte entstehen sollten. Die ersten zwei Ideen, wir nutzen die Daten von Mobilfunkzellen, völlig ungeeignet.
Nährungen sind gar nicht klar. Dann eine zentrale Softwarearchitektur, bei der sich immer mehr verbissen wurde, wie es eigentlich stattfindet. Und dann hat man sich entschieden, noch einmal umzusteigen. Das war nicht einfach für die beteiligten Ministerien. Und dann tatsächlich von Anfang an transparent zu arbeiten,
alle Einblick nehmen zu lassen. Wir haben dann noch als Datenschutzaufsichtsbehörde ab und zu darauf geachtet, dass Dinge auch rechtzeitig transparent gemacht wurden. Und das ist anders gelaufen als andere Projekte der Softwareentwicklung der öffentlichen Hand. Und wir alle sollten darauf drängen, dass das der neue Goldstandard ist, dass das auch bei neuen Projekten eingehalten werden muss.
Dann sind wir auch gerne dabei, in solchen Entwicklungsprozessen zu beraten. Insbesondere weil wir auch noch einmal Hinweise schon aus der Community bekommen haben, auf bestimmte Dinge noch einmal draufzusehen. Und das Vertrauen, das dadurch entstanden ist, hat dazu geführt, dass diese Software, bei der es ja wichtig ist, dass sie akzeptiert wird,
dass die Digitalisierung, die damit verbunden ist, akzeptiert wird, in Deutschland jetzt über 17 Millionen Downloads hat und damit mehr als in allen anderen europäischen Staaten gemeinsam. Also alleine in Deutschland entsteht eine Chance, dass diese App tatsächlich einen Beitrag liefert.
Und über die reine Softwareentwicklung sind auch Datenschutzdokumentationen transparent gemacht worden. Das heißt, man konnte, wenn man Interesse hat, anschauen, wie sind bestimmte Probleme adressiert worden, was sind Sicherheitsmaßnahmen und ähnliches mehr. Die Transparenz ist dabei ganz gut erfüllt worden. Ganz wichtig, und das war für uns Datenschützer ein relevanter Punkt,
es ist gezeigt worden, dass das Erfüllen gesellschaftlicher und rechtlicher Anforderungen an Softwareentwicklung kein Bremsschuh für Innovationen ist. Das schallt uns ja gerne entgegen, weil Europa hinter anderen Weltregionen zurück ist, aber doch nicht, weil wir europäische Wertemodelle miteinfließen lassen.
Ja, man kann keine Data Lakes anlegen und einfach Querschnitte machen. Nein, wir haben keine Überwachungsstruktur wie in China, aber wir könnten mit einer solchen Software, die Nachfrage weltweit hätte, in Regionen, die ähnliches Datenschutzrecht entwickeln, und die gibt es auch, Kalifornien, New York, Indien, Japan, Korea, Mexiko, Brasilien,
lehnen sich an die europäische Gesetzgebung an, könnten wir mit einem Wissens- und Vertrauensvorsprung reingehen, aber auch für Menschen, die gerade in anderen Weltregionen leben, aber eben eine Software haben wollen, die nicht ausspioniert reingehen.
Und ich finde es so traurig, dass deutsche Unternehmen jammern über Datenschutz und amerikanische Unternehmen damit Werbung machen, glaubhaft oder weniger glaubhaft. Stellen Sie sich mal vor, die deutsche Automobilwirtschaft hätte nach Einführung der Gurtpflicht darüber in Anzeigen gejammert, anstatt für den Airbag-Reklame zu machen.
Das würde ich mir auch in dem Bereich wünschen, und vielleicht anders auch, als in den USA oder in China dabei verstärkt auf Open Source zu setzen, weil wir in Europa wollen den Privatsphäre achten. Wir wollen einen Raum zur unbeobachteten Entfaltung der Persönlichkeit geben, und dafür ist Software bei der heutigen Verschränkung von digitaler und analoger Gesellschaft so wichtig.
Ich glaube, dass wir jetzt gute Erfahrungen in einem großen Projekt gemacht haben, trotzdem wird es wichtig sein, auch den Prozess der Corona-Warn-App zu verfolgen. Sie haben mitbekommen, dass wir jetzt an den ersten zwei Stellen mal Versuche hatten, sogar im Gut gemeint, dass man vorzeigen musste, dass man sie installiert hat.
Das wollen wir nicht. Es soll ein Prinzip der Freiwilligkeit sein, die unter uns die Verantwortung übernehmen, die Masken tragen, wenn es drauf ankommt, die Abstand halten, so etwas machen. Sind die Mehrheit der Gesellschaft, und sie können das auch bei so etwas zeigen. Ich glaube, wenn man etwas einfordert, dass man nach einem offenen, transparenten Verfahren lebt,
da muss man gleichzeitig natürlich Verantwortung nehmen. Dann können solche Projekte einen Wettbewerbsvorteil spielen, und dann ist tatsächlich, um das Wort nochmal zu verwenden, ein Goldstandard, den wir auch in Zukunft einfordern müssen. Letzter Punkt, Open Source und digitale Souveränität.
Ein schillernder Begriff, ein Buzzword in der Debatte, jeder versteht etwas anderes drunter. Ich nehme das nochmal als die Fragestellung, Abhängigkeiten zu vermeiden, Technologieabhängigkeit entgegenzuwirken und zu jedem Zeitpunkt selber zu entscheiden, welche Schritte ich in der Digitalisierung gehe, welche Methoden und Mittel und Produkte ich dafür nutze.
Und das gilt für die Einzelperson, das gilt für Organisation, für den Staat oder die Staatengemeinschaft. Und es ist doch spannend, wenn jetzt das Innenministerium, damit schlage ich den Bogen zu ganz Beginn, dass wir auf einmal eine andere Debatte als früher auch über den Einsatz von proprietärer Software haben,
dass das Innenministerium eine Studie erstellen lässt, die zu dem Ergebnis kommt und das dann auch noch veröffentlicht, dass die Bundesverwaltung abhängig geworden ist von proprietärer Software, weniger Hersteller und damit ist insbesondere einer an der Nordwestküste der Vereinigten Staaten gemeint an diesem Punkt.
Es steht also nicht gut um die digitale Souveränität der deutschen Verwaltung und damit des deutschen Staates. Und auch hier glaube ich, kann Open Source einen wichtigen Beitrag liefern, wegen der Überprüfbarkeit, aber eben auch um Log-in-Effekte auf bestimmte Technologien, die Abhängigkeit.
Ich schaffe die eine Software an, die kann jetzt nur mit der anderen Software zusammenarbeiten, die braucht folgende Datenbank, die braucht folgendes Betriebssystem und ich bin dann abhängig davon, was an einer anderen Stelle entschieden wird, über meine eigene Software und ich weiß nicht genau, wie der Datenfluss ist. Ich glaube außerdem, dass Open Source die beste Quelle für Wettbewerberinnen und Wettbewerber zu den Monopolen sein kann.
Dazu müssen wir auf offene Standards setzen. Wir müssen sie in unserer Förderpolitik als Staat und wir müssen sie vor allem in unserer Beschaffungspolitik pflegen. Dann haben wir einen Pfund in der Hand für die Transparenzdebatte, für die Vertrauensdebatte und für die digitale Souveränität und ich wünsche der Konferenz einen guten Verlauf.
Die Datenschützer haben es in Ihrer Seite, seien Sie bitte auch an der Seite des Datenschutzes. Die Fragerunde, ja. Es wird mir gerade unter irgendwelchen Masken herbeigenuschelt,
dass wir noch eine Fragerunde anschließen, freue ich mich sehr drauf. Kritische Fragen, konstruktive Fragen, auch Kommentare sind bestimmt erlaubt. Ich höre Sie und jetzt sollten Sie mich auch wieder hören. Hervorragend und ich sehe Sie vor allen Dingen auch, das ist ja spitzenmäßig. Ich habe nur die Befürchtung, dass Sie im Stream noch nicht zu hören sind, weil ich den Stream nebenher aufhöre und mich nicht doppelt höre, was ich jetzt erwarten würde tatsächlich nicht an der Stelle.
Aber dennoch können wir glaube ich trotzdem schon mal gerne auf die erste Frage eingehen, die ja noch offensichtlich etwas komplexere Frage ist, weil sie über diverse Zeilen hier geht. Ich weiß nicht, ob Sie sie lesen können, ansonsten lesen Sie einmal kurz vor die Frage. Bei einigen Schulen in meiner Nähe wird Zoom Teams sowie Office 365 eingesetzt,
welcher auch auf nicht EU-Server läuft. Routing, gegen zum Beispiel einen Test von Teams, auch mal zu Microsoft China. Nun ist auch das Paralyseshield gesetzlich gekippt worden. Wie stellen die Schulen sicher, dass sie nicht wegen nicht Beachtung des GVU verklagt werden? Hören wir an dieser Stelle auf und lesen sie mal klar. Es ist nicht nur eine komplexe Frage, es ist eine gute und auch nicht eine leicht zu beantwortende Frage.
Unter der Tat haben natürlich auch Datenschutzbehörden einen Messenspielraum und den haben wir auch genutzt in den Anfangszeiten jetzt der Corona-Pandemie. Meine Kolleginnen und Kollegen aus den Ländern, die die unmittelbare Aufsicht bei den Schulen haben, haben auch mit ihren Schulen, Schulbehörden, Aufsichtsbehörden dort dazu detailliert gesprochen.
Wir erleben natürlich vor allem, dass das, was es eigentlich geben müsste, nämlich eine Infrastruktur für die Schulen, am besten von einer Behörde des Landes gehostete Infrastruktur, der man sich leicht anschließen kann, ohne vor Ort nochmal die Administration zu machen,
in einer Reihe von Bundesländern fehlt. Wir konnten auch wegen der Zuständigkeitsverteilung innerhalb der Europäischen Union, wir haben das sogenannte One-Stop-Shop-Verfahren, also da, wo der Hauptsitz ist, findet die eigentliche Überprüfung des Produktes statt. Wir selber müssen, schauen uns dann an, wenn es Datenschutzrechtliche Verantwortliche sind
in unserem Bereich, also die Schulen, jetzt hast du die Landesbehörden, ich schaue mir dann eine Bundesbehörde an oder ein Telekommunikationsunternehmen. Das erste, was wir immer versucht haben, deutlich zu machen, wenn ihr schon bestimmte Strukturen nutzt, versucht sie wenigstens optimiert zu nutzen.
Schaut euch an, wie ihr sie einstellt. Überlegt euch, für was ihr sie einsetzt. Ich habe jetzt von Schulen gelesen, die zum Teil verpflichtend solche Systeme einsetzen, obwohl sie nicht wissen können, ob es einzelne gibt, sie aus bestimmten Gründen das nicht tun wollen.
Und es gibt auch nochmal einen Unterschied, ob ich eine offene Lernstunde, wo ich tatsächlich mehr Frontalunterricht habe, mit einer Software, die auch außerhalb der Europäischen Union Daten und auch Nutzungsdaten ablegt nutze. Oder ob ich das zum Beispiel für das Gespräch mit der Schulpsychologin oder dem Schulpsychologen wende.
Und da gilt eins, es gibt in der Tat eine Auswahl am Markt. Und wenn eine Schule leider das Pech hat, dass ihre Schulbehörde ihr nicht hilft, dann bitte ich mit Hilfe auch von engagierten Eltern, aber auch mit dem Rat der Datenschutzaufsichtsbehörden.
Und da gibt es verschiedene Checklisten zu und auch Erläuterungsdateien, sich eine Software auszusuchen, die deutlich unproblematischer ist. Selbst wenn ich sie nicht selber hoste, sondern es bei einem Anbieter unterwegs hat. Wir müssen jetzt in eine neue Normalität in der Nutzung
solcher digitalen Kollaborationstools übergehen. Und in der Tat müssen wir uns in Europa nicht gefallen lassen, wenn Daten, die nicht übertragen werden dürfen, trotzdem ins Ausland übertragen werden. Sehr gut, danke schön. Ich versuche gerade sinnvoller, tatsächlich muss ich leider sagen, sinnvoller Fragen rauszusuchen, die hier stehen. Ich lese sie vor, ob es sinnvoll ist oder ob das bei Ihnen zur Bandung liegt,
lasse ich Ihnen offen. Wie kann es sein, dass die öffentliche Hand unter den Bedingungen der DSGPRO überhaupt bestimmte Produkte von der amerikanischen Westkiste einsetzt, obwohl deren Datenfluss weder bekannt noch öffentlich ist? Der Datenfluss ist schon in einer gewissen Form bekannt,
weil natürlich zum Beispiel das Bundesamt für die Sicherheit in der Informationstechnik dazu klarer Analysen vornimmt, wohin fließen Daten, mit welchen Servern wird Kontakt aufgenommen, welche Daten fließen aus den Netzen des Bundes heraus. Da sind wir natürlich eigentlich viel weiter als andere Behörden, als andere Unternehmen, gerade weil der Bund diese besonders
geschützte Umgebung hat und im Augenblick auch weiter gearbeitet wird. Ich nehme mal ein Beispiel, das Bundesamt für die Sicherheit in der Informationstechnik hat empfohlen, das Betriebssystem selbst, Windows 10, wenn man es überhaupt zum Einsatz bringt, tatsächlich vom Internet zu trennen durch eine virtualisierte Umgebung
und nur der einzelnen Anwendung dann spezifisch diese Möglichkeit zu geben, auch unter Verzicht auf bestimmte Funktionalitäten. Aber es ist ein Kampf, wir sind im laufenden Gespräch und was ich auf jeden Fall erwarte, ist, dass wir uns eine Alternative schaffen, dafür auch Geld ausgeben. Also wenn da so ein Bundesclient entsteht,
dann kann meinetwegen am Ende auch ein optimierter Windowsclient dort sein, der dann tatsächlich in der jetzigen Form diese Kontaktmöglichkeiten nicht aufnimmt. Aber ich glaube, wir sollten das Geld ausgeben, eben nicht nur auf eine Variante zu setzen, sondern die Wahlmöglichkeit haben und jederzeit, wenn die andere Seite wieder gezwungen
oder freiwillig sich umstellt, dann einen Wechsel vornehmen zu können in absehbarer Zeit zu absehbaren Kosten. Diese Freiheit sollte uns ein paar Euro wert sein und nicht in eine neue Abhängigkeit begehen. Wie sehen Sie in dem Zusammenhang Ansätze, dass die ja zum Beispiel die Münchner Stadtverwaltung getroffen hat,
dieses Einsetzen von New Systemen in öffentlichen Behörden? Na, ich habe vor kurzem das Interview mit dem früheren Oberbürgermeister zu dem Thema gelesen, der ja sehr traurig ist, aber da ich selber nicht die Aufsichtsbehörde bin und nicht tiefer reingegangen bin, kann ich jetzt kein detailliertes Urteil dazu erfüllen.
Ich weiß aus meinem eigenen Haus, wo ich bestimmte schiefgegangene Open-Source-Software-Projekte oder vollständig veraltete vorgefunden habe und an anderen Stellen auf der anderen Seite wieder sehr unzufrieden bin, dass ich Log-in-Effekte habe, also beim nächsten Teilauswahl
gar nicht mehr völlig frei bin, weil die eine Software mir schon vorgibt, welche ich als nächste nutzen kann. Also ich habe eine elektronische Akte und für die elektronische Akte benötige ich dann eigentlich Microsoft Office, weil die nicht nach dem offenen Standard geht. Das werden wir auch vom Kopf auf die Füße stellen, um eine wirklich dezidierte Entscheidung jeweils treffen zu können,
mit was arbeiten wir an der nächsten Stelle weiter. Okay, danke schön. Dann ein anderes Thema, wird das Forschungsdatenzentrum auch nicht anonymisierte Daten herausgeben? Werde ich mir nochmal sehr genau in der Praxis anschauen müssen. Sie wissen ja, dass ich am Mittwoch eine Pressekonferenz gemacht habe,
bei der elektronischen Patientenakte sehe ich eine Umsetzung nur der gesetzlichen Vorgaben als europarechtswidrig um. Sowohl beim Forschungsdatenzentrum als bei der Verarbeitung von versicherten Daten durch die Krankenversicherung für die Erstellung von Angeboten an der Teilnahme an Versorgungsprojekten.
Werde ich mir die Praxis anschauen müssen. Dazu gehört, wird ein Widerspruchsrecht etabliert, das ja die Europäische Datenschutz-Grundverordnung vorsieht, selbst wenn das Gesetz es nicht vorsieht. Und wie findet tatsächlich der Umgang mit pseudonymisierten Daten statt? Es wird pseudonymisierte Daten geben in dem Forschungsdatenzentrum.
Das ist aus Forschungssicht auch unvermeidbar, weil sie gerade bei bestimmten Dingen wieder eine Zuordnung benötigen, um zum Beispiel die Interaktion zwischen verschiedenen Behandlungen oder Medikamenten tatsächlich abschätzen zu können. Derzeit ist die Vorgabe, dass diese pseudonymisierten Daten
erstens nicht über den Gesamtdatenbestand, sondern nur einen Teilbestand geben dürfen und dass sie im Forschungsdatenzentrum selbst verbleiben müssen. Ansonsten müssen weitere Sicherheitsmaßnahmen ergriffen worden. Es gibt auch einen eingeschränkten Bereich von Einrichtungen, die diese pseudonymisierten Daten nutzen dürfen.
Das Projekt, das ist ja noch nicht gestartet, werden wir uns ganz genau mit den praktischen Vorgaben anschauen. Und auch dort stehen mir als Datenschutzaufsichtsbehörde, wenn ich der Überzeugung bin, es verstößt gegen europäisches Recht, sogenannte Abhilfe-Maßnahmen, Untersagungen, Anweisungen und ähnliches zur Verfügung.
Allerdings ganz wichtig, weil mir wird oft zugerufen, das ist doch falsch, stoppen Sie das bitte. Ich kann nicht Dinge stoppen, weil ich sie persönlich für falsch halte. Ich bin kein Datenschutzdiktator an der Stelle, sondern meine Aufgabe ist, europäisches und deutsches Datenschutzrecht durchzusetzen. Und ich muss, selbst wenn es zwei Alternativen gibt
und mir gefällt die eine besser, muss ich die andere akzeptieren. Und wer das geändert haben will, muss dafür sorgen, dass diejenigen, die andere Gesetze machen, das ist dann nicht Aufgabe einer Aufsichtsbehörde. Also wir leben in einem Rechtsstaatsprinzip. Übrigens meine Weisungen und Untersagungen können von den Behörden auch noch gerichtlich bekämpft werden.
Das erlebe ich gerade im Bereich der Informationsfreiheit. Klar, das Innenministerium ging eine meiner Weisungen. Das hatten wir aber vorher so verabredet. Ich hatte Ihnen gesagt, mir reicht es jetzt mit dem Briefverkehr. Lasst uns doch so verabreden. Ich weise euch an. Ihr entscheidet euch, akzeptiert ihr das oder geht ihr gerichtlich vor. Und dann machen wir ganz gesittet.
Ich halte das auch für einen normalen Weg innerhalb eines Rechtsstaats. Also gar keine Aufregung wert. Sehr gut. Das beantwortet auch schon direkt an eine Frage, die danach gestellt wurde. Nämlich in welchen Mitteln haben Sie Ihre Forderungen tatsächlich in Politik und Verwaltung durchzusetzen? Da haben Sie sich ja schon zu geäußert. Dann hätte ich noch eine Frage. Also wer das sich genauer angucken will, das ist der Artikel 58 der Datenschutzgrundverordnung.
Da stehen die alle drinnen. Geldbußen kann ich gegen öffentliche Stellen nicht aussprechen. Ich würde mir auch im Verwaltungsrecht andere Möglichkeiten noch wünschen, dass ich selber aktiv im Klageverfahren bleiben kann
und nicht angewiesen bin. Zum Beispiel bei Geldbußen, die ich gegen nicht öffentliche Stellen verhänge, dass die Staatsanwaltschaft es auch weiterhin aktiv betreiben kann. Insbesondere habe ich kein Zwangsmittel. Also bisher hat sich noch nie eine Behörde gegen die Weisungen am Ende, wenn sie ausgesprochen war und nicht vor Gericht bekämpft wurde, gewährt.
Aber ich habe erst mal kein Mittel, die dann tatsächlich mit Geldbußen oder Ähnliches zur Durchführung meiner Weisungen zu verpflichten. Auch da könnte man noch nachbessern, weil es die völlige Unabhängigkeit herstellen würde. Sehr gut, Dankeschön. Und dann, ich würde noch eine letzte Frage vorlesen. Ich glaube, dann sind wir auch durch für heute.
Was hatten Sie von der Software-Frag den Start, welche ja auch Open Source, rechtlich freies Software ist und für Transparenz sorgt, und dem es IFG-Anfragen erleichtert? Also macht erst mal eine wichtige Arbeit. An der Stelle hat mich auch schon getroffen. Als Behördenleiter gibt es auch mal Tage, übrigens wo auch ich mal über Informationsfreiheitsanträge fluche.
Obwohl meine Aufgabe ist ja, möglichst viel durchzukriegen, weil ich natürlich auch Spezialistinnen und Spezialisten habe, die darüber nicht nur unglaublich viel abfragen, sondern dann auch noch angeblich die Antworten immer nicht bekommen und Ähnliches mehr. Aber insgesamt ist es eine super Möglichkeit für Bürgerinnen und Bürger einfach,
ihre Anfragen zu stellen an die Behörden. Und für den Fall, dass jetzt die Freundinnen und Freunde von Frag den Start zuhören, ich würde mir trotzdem ein Portal der Bundesregierung wünschen, wo sie selber eine einfache Möglichkeit einrichten würde, solche IFG-Anträge zu stellen.
Und dort in diesem Bereich übrigens auch Transparenz, möglichst viele Ergebnisse und Dokumente schon ohne Anfragen veröffentlicht. Und zumindest alle die, zu denen es eine Anfrage gegeben hat, dann auch einstellt nach dem Motto Access for One, Access for All.
Wir machen das beim BFDI. In meiner früheren Verwendung beim BMJV hatte ich das, also Bundesministerium der Justiz und für Verbraucherschutz, haben wir das übrigens in einigen Bereichen auch so eingeführt. Es tut überhaupt nicht weh. Es schafft Vertrauen. Und am Ende ist auch die IFG-Anfrage schneller beantwortet. Bedeht dann nämlich sehr geehrter Name.
Die Information finden Sie unter. Ein Link mit freundlichen Grüßen. Schneller geht's nicht. Sehr gut. Dann wünsche ich Ihnen vielen Dank dafür, dass Sie bei uns die Keynote gehalten haben und sich die Zeit genommen haben, auch hier einige Fragen zu beantworten. Und dann denke ich, wir sehen Sie in Medien auf alle Fälle wieder.
Vielleicht auch wieder in Person. Und dann wünsche ich Ihnen trotzdem noch einen schönen Tag. Vielen Dank. Vielen Dank und tschüss und gutes Gelingen. Dankeschön.