Nachdem der europäische Gesetzgeber mit der DS-GVO auch in Deutschland für den Datenschutz den Takt vorgibt, trifft ihn natürlich auch zuerst Kritik an sinnarmen und -losen Regelungen. Beispiele aus Sicht des Verfassers: Pflicht zur generellen ungefragten Datenschutzinformation; Verantwortung des Blumenhändlers für sein PC-Betriebssystem und die Internet-Suchmaschine sowie gemeinsame Verantwortlichkeit mit Meta und Sophos. Aber daneben bleiben beträchtliche Regelungskompetenzen für Bund und Länder. Auch dort bestehen durchaus Möglichkeiten, datenschutzrechtliche Gesetze zu verbessern und zu vereinfachen. Die folgenden Punkte beziehen sich auf Sachsen, lassen sich aber fast durchweg auf alle oder die meisten anderen Bundesländer übertragen.

Strafverfolgung

Das europäische Recht regelt den Datenschutz in der DS-GVO sehr detailliert, in der sogenannten JI-Richtlinie – vor allem für die Bereiche Polizei und Strafjustiz – mit größerem Umsetzungsspielraum. Aber ist es wirklich klug, diesen Spielraum auszunutzen? Tut man es, entstehen in Deutschland mindestens 17 verschiedene Regelungswerke – beim Bund und den 16 Ländern.

Einige Bundesländer und der Bund haben ihr Datenschutzrecht in einem Gesetz gebündelt. Andere – zum Beispiel Sachsen – haben die DS-GVO und die JI-Richtlinie jeweils durch ein eigenes Gesetz beantwortet. Im Ergebnis haben sächsische Polizeibeamte die DS-GVO mit dem Sächsischen Datenschutz-Durchführungsgesetz (SächsDSDG) und die JI-Richtlinie mit dem Sächsischen Datenschutz-Umsetzungsgesetz (SächsDSUG) anzuwenden – daneben natürlich die Datenschutz-Regeln in den Fachgesetzen wie zum Beispiel dem Sächsischen Beamtengesetz oder dem Sächsischen Polizeigesetz. Das geht besser und einfacher.

Spezifische Datenschutz-Aufsichten

An anderen Stellen gewährt die DS-GVO selbst Spielraum. So erlaubt Art. 85 DS-GVO Abweichungen und Ausnahmen bei der Datenverarbeitung zu journalistischen, wissenschaftlichen, künstlerischen oder literarischen Zwecken. Und wieder gilt: Es gibt keine Pflicht, Spielräume auszunutzen. Manchmal ist es klüger, darauf zu verzichten. Umsetzung leider – soweit erkennbar in allen Bundesländern: Neben der allgemeinen Datenschutz-Aufsicht zusätzliche Mini-Aufsichten (1) für die öffentlich-rechtlichen Medien und (2) für die privaten Medien. Für die Presse existiert keinerlei effektive Datenschutz-Aufsicht. Zu manchen dieser Aufsichtsstellen ist auch bei wiederholter Anfrage kein Kontakt möglich. Die Abgrenzung der Zuständigkeiten fällt schwer, kostet Kraft und ist fehleranfällig. Das deutsche Datenschutzrecht bleibt – trotz DS-GVO – ein Flickenteppich.

Landesparlamente

Richtig skurril wird die Ausnutzung von Spielräumen zum Beispiel, wenn die Landesparlamente ihre eigenen Datenschutzpflichten regeln. Was für Privatwirtschaft und Normalbehörden gilt, vom jeweiligen Landtag für die Landesbehörden in den Landesdatenschutzgesetzen teils selbst geregelt wird, möchten die Parlamente in eigener Sache oft nicht anwenden. Deshalb hat sich zum Beispiel der Sächsische Landtag eine eigene Datenschutzordnung gegeben.

Ausreichend wäre, die Besonderheiten der parlamentarischen Datenverarbeitung in einem Paragraphen eines Landesdatenschutzgesetzes zu regeln. Stattdessen findet sich der Versuch, in 21 Paragraphen einen eigenständigen Datenschutz zu normieren. Das wirkt holprig und seltsam. Teils ist es ganz sicher EU-rechtswidrig. Zum Beispiel befasst sich § 7 Abs. 2 der Datenschutzordnung des Sächsischen Landtags mit der Veröffentlichung von Daten durch den Petitionsausschuss. Inzwischen hat aber der EuGH – Urt. v. 9.7.2020, Rs. C-272/19 – geklärt, dass die Datenverarbeitung von Petitionsausschüssen der Parlamente an die DS-GVO gebunden ist.

Hochschulrecht

Noch ein Beispiel landesrechtlicher Überregulierung: Bekanntlich verlangt die DS-GVO für jede Verarbeitung personenbezogener Daten eine Rechtsgrundlage. Sie verlangt jedoch nicht, dass der nationale Gesetzgeber – oder sonst irgendeine Stelle – sämtliche zulässigen Datenkategorien und die zugehörigen Verwendungszwecke abschließend aufzählt. Eine solche Aufgabe wäre auch gar nicht umsetzbar.

Der sächsische Gesetzgeber (und nicht nur er) hat aber zum Beispiel für die Datenverarbeitung durch Hochschulen genau diese unlösbare Aufgabe gestellt: Gemäß § 15 Abs. 4 Satz 1 des Sächsischen Hochschulgesetzes (SächsHSG) regelt an den Hochschulen jeweils „der Senat […] welche Daten […] verarbeitet werden dürfen, welche Organe, Gremien, Kommissionen, Amtsträgerinnen und Amtsträger der Hochschule welche Daten verarbeiten dürfen sowie das Verfahren der Verarbeitung dieser Daten.“

Das heißt: Auch wenn eine Datenverarbeitung durch die Hochschule erforderlich ist, um eine Prüfung durchzuführen (§ 15 Abs. 1 Satz 1 Nr. 2 SächsHSG) darf sie nur durch jene Stellen und für jene Daten stattfinden, die zusätzlich in der Datenschutzordnung des Senats der Hochschule aufgelistet sind (§ 15 Abs. 4 Satz 1 SächsHSG). Das ist weder notwendig, noch verbessert es den Datenschutz. Wahrscheinlich ist die Regelung sogar EU-rechtswidrig mit Blick auf Art. 6 Abs. 1 lit. e) i. V. m. Abs. 3 Satz 4 DS-GVO, wonach nationale Regeln „ein im öffentlichen Interesse liegendes Ziel verfolgen und in einem angemessenen Verhältnis zu dem verfolgten legitimen Zweck stehen“ müssen.

Informationssicherheit

Und abschließend aus dem gerade novellierten Sächsischen Informationssicherheitsgesetz (SächsISichG) ein Beispiel für das Gegenteil von gut ist gut gemeint: § 12 Abs. 1 SächISichG erlaubt Datenprotokollierung unter anderem zur Verhinderung und Abwehr von Angriffen auf die IT-Systeme. § 13 Abs. 2 Satz 5 i. V. m. Abs. 4 desselben Gesetzes verlangt für die „nicht automatisierte Verarbeitung“ der Protokolldaten – zwecks Beseitigung von Gefahren für IT-Systeme – eine Anordnung durch die Behördenleitung und eine/n Bedienstete/n mit Befähigung zum Richteramt – landläufig: Volljuristen.

Bemerkt ein IT-Administrator also am Freitagnachmittag technische Probleme, dann beschafft er sich vor dem Blick in die Protokolldaten des Servers eine Anordnung durch Behördenleiter und Volljuristen… . Hoffen wir, dass beide Personen stets schnellstens greifbar sind. Anordnen werden sie dann sicher, denn wie sollen sie mangels eigener technischer Kenntnisse die Gefahrenlage einschätzen?

Um zum Jahresbeginn – in der Zeit guter Vorsätze – ein positives Fazit zu ziehen: Es gibt Verbesserungspotenzial im Datenschutzrecht, auch auf Landesebene und nicht nur im fernen Brüssel.

Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz sowie Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Das Bundesverfassungsgericht befasste sich kürzlich mit den beiden größtenteils identischen Regelungen des § 25a Abs. 1 Hessisches Gesetz über die öffentliche Sicherheit und Ordnung (HSOG) und § 49 Abs. 1 Hamburger Gesetz über die Datenverarbeitung der Polizei (HmbPolDVG). Beide Gesetze eröffnen eine spezielle Rechtsgrundlage, bisher nicht miteinander verbundene, automatisierte Dateien und Datenquellen aus Analyseplattformen miteinander zu vernetzen, wodurch die Datenbestände via Suchfunktion erschlossen werden können. Hierdurch ist es der Polizei erlaubt, personenbezogene Daten per Datenanalyse bzw. Auswertung zur Vorbeugung von schweren Straftaten i.S.d § 100a Abs. 2 StPO (Alt. 1) und zur Abwehr von Gefahren bestimmter Rechtsgüter (Alt. 2) zu verarbeiten. Gemäß Abs. 2 kann die Polizei im Rahmen der Verarbeitung nach Abs. 1 insbesondere Beziehungen oder Zusammenhänge zwischen Personen, Personengruppen, Institutionen, Organisationen, Objekten und Sachen herstellen. Weiterhin können u. a. Erkenntnisse zu bekannten Sachverhalten zugeordnet und gespeicherte Daten statistisch ausgewertet werden. Die hessische Polizei nutzt auf Grundlage des § 25a HSOG die Analyseplattform „hessenDATA“ jährlich in Tausenden Fällen. Das Hamburger Äquivalent findet derzeit keine Anwendung.

Das Urteil

Das Gericht kam in seinem Urteil zu dem Ergebnis, dass das informationelle Selbstbestimmungsrecht aller greift, sobald gespeicherte Daten mittels einer automatisierten Anwendung zur Analyse oder Auswertung der Daten verarbeitet werden. Das Gericht sah hier einen Eingriff in die Grundrechte, nicht allein in der Verwendung von Daten, die früher getrennt waren, sondern auch im Aufbau von neuem grundrechtsrelevantem Wissen, erlangt durch die automatisierte Auswertung oder Analyse der Daten.

Automatisierte Datenanalysen oder Auswertungen müssen verfassungsrechtlich gerechtfertigt sein, was nicht problematisch ist, solange der Grundsatz der Verhältnismäßigkeit berücksichtigt wird. Das Gericht merkte an, dass es nicht ungewöhnlich ist, dass die Polizei bereits gewonnene Erkenntnisse für Ihre Ermittlungen nutzt und sie für ihre Ermittlungen mit weiteren Informationen verknüpft. Die automatisierte Analyse oder Auswertung eröffnet jedoch eine andere Dimension der polizeilichen Ermittlung, da hierdurch die Verarbeitung großer und komplexer Datenbestände ermöglicht wird, wodurch wieder weitere Erkenntnisse gewonnen werden können, was wiederrum die Extraktion von Informationen aus den vorhandenen Daten intensiviert. Es klingt wie ein Teufelskreis der Informationsgewinnung, da die Beschaffung von weiteren Informationen oder Erkenntnissen die Beschaffung weiterer Informationen erleichtert. Selbst das Bundesverfassungsgericht verglich diese Praxis mit dem sog. „Profiling“ und sagte, dass es diesem nahekommt.

In diesem Zuge legte das Bundesverfassungsgericht die Maßstäbe für einen derartigen Eingriff fest und bemängelte u. a., dass die in § 25a Abs. 1 Alt. 1 HSOG und § 49 Abs. 1 Alt. 1 HmbPolDVG geregelten Befugnisse die automatisierte Verarbeitung unbegrenzter Datenbestände mittels rechtlich unbegrenzter Methoden zulassen. Die Regelungen ermöglichen es der Polizei „mit einem Klick“ umfassende Profile von Personen, Gruppen und Milieus zu erstellen. Hiervon sind sogar Personen bedroht, die zwar mit dem jeweiligen Fall nichts zu tun haben, aber irgendwie Daten hinterlassen haben, die das System mit dem konkreten Fall in Verbindung setzt. Dadurch könnten sogar potenziell unschuldige Personen ins Fadenkreuz der Polizei geraten und entsprechenden polizeilichen Maßnahmen unterzogen werden.

Weiterhin regeln die Vorschriften nicht, welche Arten von Daten und Datenbestände für die Analyse der Daten verwendet werden dürfen und lassen zudem, wie oben erwähnt, die Einbeziehung von Daten von Personen zu, die mit dem jeweiligen Sachverhalt nichts zu tun haben. 

Da die Gesetze keine Eingrenzungen zur Methode der automatisierten Datenanalyse und Auswertung enthalten, ermöglichen sie der Polizei das sog. „Data-Mining“ und sogar den Einsatz von lernfähigen KI-Systemen. Bedenklich ist, dass auch offene Suchanfragen zulässig sind. Die automatisierte Datenauswertung darf ferner für das alleinige Aufdecken von statistischen Auffälligkeiten genutzt werden, woraus dann insbesondere durch die Verknüpfung mit weiteren Daten Schlüsse gezogen werden können. Hieraus könnten in einem nächsten Schritt Prognosen erstellt werden, die in ihrer Entstehungsweise große Ähnlichkeiten zu dem in den USA teilweise eingesetzten „predictive policing“ aufweisen.

Auswirkungen des Urteils

Im Rahmen des Bund-Länder-Vorhabens „Polizei 2020“ wurde dem Unternehmen Palantir für ein neuartiges verfahrensübergreifendes Recherche- und Analysesystem (VeRa), federführend durch das bayrische Landeskriminalamt der Zuschlag erteilt. Die hamburger Polizei bekundete bereits ihr Interesse an dieser Software. Das Urteil führt dazu, dass die Rechtsgrundlage für den Einsatz eines derartigen Verfahrens fürs Erste fehlt, weshalb sie in naher Zukunft wohl nicht zum Einsatz kommen wird.

Das ist jedoch für Kriminelle kein Grund zum Aufatmen. Es besteht Anlass zur Sorge, dass die Gesetzgeber der beiden Länder die Vorschriften auf einer Weise ändern werden, dass sie mit dem Grundrecht auf informationelle Selbstbestimmung vereinbar sind. Mit der Folge, dass die Polizei eine Software wie VeRa in absehbarer Zukunft doch nutzen könnte.

Falls Sie in naher oder ferner Zukunft vor haben, kriminelle Aktivitäten durchzuführen, so tun Sie dies am besten in einem der zahlreichen weiteren Bundesländer Deutschlands, solange dies möglich ist. Sollte sich die Technologie bewähren (im Gegensatz zu Ihnen) wird sie sicher auch in weiteren Bundesländern eingesetzt werden. In diesem Fall bleibt nur das Ausland als Alternative.

Über den Autor: Andreas Nanos LL.M. ist Wirtschaftsjurist und als externer Datenschutzbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Unternehmen im Speditionssektor, mittelständische Unternehmen, sowie Hochschulen und Kultureinrichtungen. Neben seiner Tätigkeit als Datenschutzbeauftragter promoviert er an der juristischen Fakultät der Karls-Universität Prag im Bereich der strafrechtlichen Verantwortung für künstliche Intelligenz. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

DIE RECHTLICHE ZULÄSSIGKEIT STELLT DOCH DIE ANFRAGENDE BEHÖRDE SICHER, ODER?

Nein! Zunächst einmal ist es wichtig, dass Sie sich vor Augen halten, dass die anfragende Behörde Fragen stellen darf, dies aber noch nicht zwingend heißt, dass Sie diese auch beantworten dürfen/müssen. Grundsätzlich ist nämlich die übermittelnde Stelle für die Datenverarbeitung verantwortlich, sodass erhebliche Bußgelder oder Klageverfahren drohen können. Gerade im Falle von Ermittlungsverfahren ist das Eskalationsrisiko hoch! Ausnahmen vom Verantwortlichkeitsgrundsatz können sich in bestimmten Fällen jedoch aus dem Landesrecht oder spezialgesetzlichen Vorschriften z.B. für Übermittlungen durch eine öffentliche Stelle des Landes an eine andere öffentliche Stelle, beispielsweise gemäß § 6 Abs. 1 Satz 2 Sächsisches Datenschutzdurchführungsgesetz (SächsDSDG) ergeben.

Sowohl die übermittelnde als auch die empfangende Stelle benötigen auch in Straf- und Ermittlungsverfahren für die Datenverarbeitung eine Rechtsgrundlage („Verbot mit Erlaubnisvorbehalt“). In der Regel werden die Daten ursprünglich für einen anderen Zweck erhoben worden sein, sodass es sich um eine „Weiterverarbeitung zu einem anderen Zweck“ handelt. Die Datenschutz-Grundverordnung enthält keine spezielle Übermittlungsgrundlage zur Abwehr von Gefahren für die staatliche/öffentliche Sicherheit und die Verfolgung von Straftaten. Diese ergeben sich jedoch zum Teil aus dem Bundes- bzw. Landesrecht, beispielsweise § 24 Bundesdatenschutzgesetz (BDSG), § 4 Abs. 1 Nr. 3 SächsDSDG. Gemäß § 24 Abs. 1 Nr. 1 BDSG ist die Übermittlung zulässig, wenn die Daten zur Verfolgung von Straftaten (keine Ordnungswidrigkeiten!) erforderlich sind und die Interessen des Betroffenen an dem Ausschluss der Übermittlung nicht überwiegen. Für die empfangende Behörde wird sich die Erhebungs- bzw. Ermittlungsbefugnis i.d.R. aus den spezialgesetzlichen Regelungen ergeben (beispielsweise Strafprozessordnung, Polizeigesetze der Länder, Mindestlohngesetz, Schwarzarbeitsbekämpfungsgesetz).

DATENSCHUTZ IST KEIN TÄTERSCHUTZ

Immer wieder sieht sich der Datenschutz mit dem Vorwurf konfrontiert, dass er die Täter schützen würde. Dies ist jedoch nicht der Fall! Vielmehr sind generelle/großflächige Überwachungsmaßnahmen bereits mit Blick auf die – unserem Rechtssystem zu Recht zu Grunde liegende – Unschuldsvermutung problematisch, da man damit alle betroffenen Personen einem Generalverdacht aussetzt. Umgekehrt ist die Verarbeitung der Daten der Täter aber auf Basis konkreter Verdachtsmomente und im erforderlichen – das heißt insbesondere auch verhältnismäßigen – Umfang zulässig. Im Rahmen der Interessenabwägung spielt auch das Verhalten der betroffenen Person, also z.B. dessen Schuld oder der konkrete Vorwurf eine wesentliche Rolle. Das Interesse, einer Strafverfolgung zu entgehen, wird aber gerade nicht geschützt. Gleichzeitig sollen „Bagatellvorwürfe“ nicht zu einem unverhältnismäßigen Risiko für unsere Freiheitsrechte z.B. durch einen stetigen Überwachungsdruck führen.

Straf- und Ermittlungsbehörden wollen und sollen – zum Wohle der Allgemeinheit und im Rahmen ihrer gesetzlichen Aufgaben – Beweise sammeln bzw. Tatverdächtige finden. Hierfür müssen umfangreiche Daten erarbeitet werden und es ist verständlich, dass auch bestehende Datensammlungen von Unternehmen und sonstigen Einrichtungen genutzt werden (sollen). Dabei darf aber nicht übersehen werden, dass sich die angefragte Stelle in einer zum einen rechtlich angreifbaren Position befindet, zum anderen aber natürlich i.d.R. auch ein legitimes Interesse besteht, die eigenen Mitarbeiter, Kunden o.ä. zu schützen. Die Straf- und Ermittlungsbehörden sollten dies daher im Rahmen Ihrer Anfragen berücksichtigen und bei ihren Anfragen Sorgfalt und Verständnis zeigen.

AUCH WENN DRUCK AUFGEBAUT WIRD: BLEIBEN SIE RUHIG UND GELASSEN!

Verlangen Sie grundsätzlich ein schriftliches Auskunftsersuchen bzw. bei sensiblen Anfragen einen entsprechenden Bescheid der Staatsanwaltschaft. Telefonische Auskünfte sollten grundsätzlich nicht erteilt werden, da Sie in diesem Fall i.d.R. nicht sicherstellen können, dass die anfragende Person tatsächlich offiziell im Auftrag der Behörde anfragt. Lässt sich dies im Einzelfall aufgrund besonderer Eile nicht umgehen, prüfen Sie die Echtheit, indem Sie die Hauptnummer der Dienststelle recherchieren und sich verbinden lassen. Unterziehen Sie auch Anfragen per Mail und Fax einer bestmöglichen Echtheitskontrolle. Unabhängig davon fehlen bei mündlichen Anfragen im Zweifel wichtige Nachweise („Rechenschaftspflicht“).

Neben einem Ermittlungs- bzw. Aktenzeichen sollte sich aus der Anfrage immer ergeben, um welchen Tatvorwurf es sich handelt bzw. was der Zweck der Anfrage ist und auf welche Rechtsgrundlage die Ermittlungsbehörde sich stützt. Dies benötigen Sie, um zu prüfen, ob die Anfrage sich im Rahmen der Zuständigkeit der anfragenden Stelle bewegt und für die Aufgabenerfüllung erforderlich ist sowie gegebenenfalls im Rahmen einer erforderlichen Interessenabwägung.

Das Auskunftsersuchen sollte grundsätzlich auch beinhalten, inwieweit eine Pflicht zur Auskunft besteht. Ist dies nicht der Fall, sollte eine etwaige Verpflichtung erfragt werden. Eine datenschutzrechtliche Übermittlungsbefugnis beinhaltet grundsätzlich keine Verpflichtung. Eine solche kann sich aber aus der Strafprozessordnung (u.a. §§ 95, 98a 161a Abs. 1 oder 163 Abs. 3 StPO) oder spezialgesetzlichen Normen z.B. durch § 32 Bundesmeldegesetz, §§ 15 ff. Mindestlohngesetz ergeben. Die Abklärung einer Auskunftspflicht dient der zusätzlichen Absicherung der übermittelnden Stelle, da die Datenübermittlung in diesem Fall auch von Art. 6 Abs. 1 lit. c DS-GVO („rechtliche Verpflichtung“) gedeckt ist.

Es sollten immer nur die tatsächlich erforderlichen Daten übermittelt werden. Beispielsweise sollte eine Herausgabe vollständiger Personallisten der letzten Jahre hinsichtlich der Verhältnismäßigkeit hinterfragt werden. Sind Sie der Ansicht, dass abgefragte Daten keine Aussagen zu den fraglichen Punkten treffen, so besprechen Sie dies im Vorfeld mit der anfragenden Stelle. Lassen die von der anfragenden Stelle übermittelnden Daten keine eindeutige Zuordnung zu einer Person zu (z.B. Namensgleichheit), so bitten Sie um weitere Informationen bzw. versuchen Sie den Kreis im Gespräch mit der ermittelnden Stelle weiter einzuschränken.

Selbstverständlich sind bei der Datenübermittlung an Behörden entsprechende technische und organisatorische Maßnahmen (z.B. Artt. 32, 25 DS-GVO) zu gewährleisten, z.B. persönliche Übergabe, Verschlüsselung, Einschreiben.

Zu guter Letzt muss geprüft werden, inwieweit die Betroffenen über die Datenübermittlung informiert werden müssen (Art. 13 DS-GVO). Offizielle Auskunftsanfragen bzw. Bescheide der Staatsanwaltschaft untersagen dies i.d.R., um eine Gefährdung des Ermittlungsverfahrens auszuschließen. Unabhängig davon kann die Informationspflicht aber auch bereits gesetzliche ausgeschlossen sein (z.B. §§ 32, 33 BDSG, § 8 SächsDSDG oder spezialgesetzlich). Im Zweifel fragen Sie bitte im Vorfeld einer Information bei der anfragenden Stelle nach.

FAZIT

Der richtige Umgang mit Auskunftsanfragen von Straf- und Ermittlungsbehörden ist abhängig von den Umständen des Einzelfalls und birgt u.U. hohe Haftungsrisiken. Die Bearbeitung sollte entsprechend sorgfältig erfolgen und dokumentiert werden. Im Zweifel sollten Sie die Anfrage daher immer an Ihre/n Datenschutzbeauftragte/n weiterleiten und mit diesem/r das weitere Vorgehen besprechen.

Über den Autor: Das DID Dresdner Institut für Datenschutz unterstützt Unternehmen und Behörden bei allen Fragen rund um die Themen Datenschutz und Informationssicherheit. Regelmäßig erscheinen an dieser Stelle Beiträge zu praxisrelevanten Themen und Entwicklungen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie das DID Dresdner Institut für Datenschutz gern per E-Mail kontaktieren.