Interview mit Markus Munz, Leiter Vertrieb Public Sector bei DATEV

Wenn Verwaltungen digital mit ihren Bürgern in Interaktion treten, wie sieht es da mit dem Schutz der meist sensiblen Daten aus?

Der moderne Nutzer ist es gewohnt, vieles direkt im Internet erledigen zu können. Diese Anforderung stellt er auch an die Verwaltung. Dabei gibt es grundsätzlich einen Konflikt zwischen zwei berechtigten Interessen: Zum einen soll ein digitaler Prozess möglichst einfach ablaufen, zum anderen gilt es aber, die Daten des Nutzers vor Fremdeinsicht, Manipulation, Diebstahl und Verlust zu schützen. Was aus Anwendersicht Flexibilität und viele Freiheiten mit sich bringt, bedingt für Datensicherheit, Zugriffs- und Datenschutz schon in der Konzeption der Anbindungen ein Höchstmaß an Sorgfalt. Moderne Online-Systeme lassen sich aber durchaus mit Datenschutz-Grundsätzen vereinbaren.

Welche Mittel gibt es, um Online-Dienste sicher zu machen?

Es gibt wirkungsvolle Zugriffsschutz- und Nutzungskontrollmechanismen, die im Sinne des Datenschutzes angewandt werden können. Damit Verwaltungen eine Lösung rechtskonform einsetzen können, ist beispielsweise beim Angebot von Dienstleistungen über Online-Portale eine stärkere Authentifizierung sinnvoll, die neben der Abfrage eines Benutzernamens und eines Passworts oder einer PIN noch den Besitz eine Hardware-Komponente wie eine Smartcard oder etwa den nPA voraussetzt. Allerdings schränken solche Verfahren den Komfort für den Nutzer ein und viele Bürger sehen in der nötigen Beschaffung und Lagerung der Hardware oder in den nötigen Updates für damit verbundene Client-Software ein Missverhältnis zwischen Nutzen und Aufwand. So wird die Sicherheitsanforderung schnell zum Bremsklotz für die Digitalisierung. Eine gute Alternative ist hier ein Verfahren, dass das Smartphone, das die meisten Nutzer sowieso nahezu überall bei sich tragen, als Hardware-Komponente nutzt. DATEV bietet dafür beispielsweise den sogenannten SmartLogin an.

Seit Mai dieses Jahres gilt ja die DS-GVO. Was bedeutet sie für die Verwaltungen?

Die Datenschutz-Grundverordnung (DS-GVO) ist nur eines von mehreren Regelwerken, die überall dort noch mehr Sorgfalt nötig machen, wo zur Erledigung von Aufträgen personenbezogene Daten erhoben und gespeichert werden. Ihre Verschärfungen betreffen vor allem die Rechenschafts- und Nachweispflicht beim Umgang mit diesen Daten sowie die Meldepflicht im Fall von Datenpannen. So müssen Verwaltungen jederzeit nachweisen können, dass sie verwendete Daten rechtmäßig verarbeiten. Ein solcher Nachweis kann beispielsweise über entsprechende Einwilligungen oder Verträge mit dem jeweiligen Bürger oder Kunden erbracht werden. Außerdem müssen sie dem Nutzer jederzeit Auskunft über den Umfang, den Verarbeitungsgrund und den Speicherort der verwendeten Daten geben können.