Datennutzung : Im Cybersicherheits- und Datenschutzgeflecht: Besser konsolidieren für mehr Innovation

Datenschutzrecht, Datennutzungsrecht und Cybersicherheitsrecht sind zentrale Steuerungsinstrumente zum Schutz unserer Gesellschaft. Das Datenschutzrecht schützt Menschen vor unberechtigter Verarbeitung personenbezogener Daten und damit verbundenen (Grund)rechtseingriffen. Das Datennutzungsrecht sichert die Verfügbarkeit bestimmter Daten, etwa für Forschungs- oder KI-Trainingszwecke. Das Cybersicherheitsrecht stellt die Vertraulichkeit, Integrität und Verfügbarkeit informationstechnischer Systeme sicher und schützt dadurch die Gesellschaft unter anderem vor Datendiebstahl und Angriffen auf kritische Infrastrukturen.

Risiko für Innovationen

Die Regulierung der eng miteinander verflochtenen Bereiche Datenschutz, Datennutzung und Cybersicherheit bringt komplexe Herausforderungen mit sich, auf die in den letzten Jahren durch eine Vielzahl neuer Rechtsakte reagiert wurde. Da jedoch jeder Rechtsakt zunächst den Aufbau von Expertise und die Einführung neuer Prozesse erfordert – und das zu einem Zeitpunkt, an dem der jeweils neue Rechtsakt noch so jung ist, dass hinsichtlich der konkreten Umsetzung der normierten Pflichten in der Praxis noch viele Unklarheiten bestehen – sind Organisationen von all diesen neuen Rechtsakten zunehmend überfordert. Und das zu Recht: Allein die Identifizierung aller potenziell für eine Organisation relevanten Rechtsakte in den Bereichen Datenschutz, Datennutzung und Cybersicherheit auf europäischer sowie Bundes- und Landesebene führte unser Projektteam zu mehr als 650 Rechtsakten!

Doch während europäische Organisationen bemüht sind, dieses Geflecht an Rechtsakten zu durchdringen und praktisch umzusetzen, scheinen viele außereuropäische Organisationen (die die entsprechenden Rechtsakte zum Teil auch umsetzen müssen) Ausreden zu finden, um deren Umsetzung zu vermeiden oder deutlich zu reduzieren. Auch durch diese unterschiedlichen Bemühungen, rechtliche Vorgaben umzusetzen, birgt unser Regulierungsgeflecht das Risiko, zum Wettbewerbsnachteil für den Innovationsstandort Europa zu werden.

Spannungsfeld adressieren

Daher ist es dringend notwendig, eine Verbesserung der Datenschutz-, Datennutzungs- und Cybersicherheitsregulierung zu erreichen. Diese sollte sich an folgenden Eckpunkten orientieren (sowohl zur Problemstellung als auch zur Adressierung des Spannungsfeldes ausführlicher: Kreutzer/Selzer/Stummer, DuD 2026):

1. Rechtliche Regelungen sind nach wie vor notwendig, damit Datenschutz, Datennutzung und Cybersicherheit ihre Schutzziele erfüllen können.
2. Europäische Regulierung muss gesellschaftlichen Schutz gewährleisten und zugleich die technologische Entwicklung fördern. Hierfür ist ein dauerhafter interdisziplinärer Austausch zwischen Recht und Technik notwendig, da Juristen allein die technologischen Gestaltungsoptionen häufig nicht voll ausschöpfen, während Techniker allein vielfach die gesellschaftlichen Schutzinteressen nicht ausreichend berücksichtigen.
3. Um das Rechtsakte-Geflecht zu reduzieren, sollte ein systematischer Konsolidierungsmechanismus etabliert werden, inklusive einer obligatorischen Fusionierungsregel: Vor Erlass eines neuen Rechtsakts muss nachgewiesen werden, dass mindestens drei bestehende Rechtsakte (oder wesentliche Teile davon) in den neuen Rechtsakt integriert wurden – oder verpflichtend begründet werden, warum dies nicht möglich ist.
4. Ein zentrales, maschinenlesbares System könnte Widersprüche und Wechselwirkungen zwischen Rechtsakten erkennen, Auswirkungen von Änderungen analysieren und so Gesetzgebern, Behörden und Organisationen frühzeitige Orientierung bieten. Ein solches System könnte sich am sogenannten intelligenten Dependency-Resolution orientieren, das in der Software-Entwicklung Abhängigkeiten und Versionierungen einzelner Komponenten verwaltet.
5. Bereits beim Inkrafttreten neuer Rechtsakte sollten ausreichende Hilfestellungen für deren Interpretation und Umsetzung vorliegen. Dafür könnte eine (noch) frühere Verzahnung von Gesetzgebung, Aufsichtsbehörden und Forschung ratsam sein.

Unterstützung durch Forschung

In Athene forschen technische und rechtliche Experten interdisziplinär zu Fragestellungen der Cybersicherheit und Privatheit. Athene führt unter anderem Gegenüberstellungen besonders zentraler Rechtsakte aus, um Unterschiede und Gemeinsamkeiten dieser aufzuzeigen. Ebenfalls werden Organisationen in unregelmäßigen Abständen Lunch Lectures zu neuen Rechtsakten angeboten. Darüber hinaus werden regelmäßig Simulationsstudien organisiert, im Rahmen derer bislang ungeklärte Rechtsfragen von echten Richtern und Staatsanwälten diskutiert und von den beteiligten Richtern zu einem Simulationsurteil gebracht werden. Dabei können auch Unklarheiten zu neuen Rechtsakten diskutiert und hierdurch ein höheres Maß an Rechtssicherheit für deren Umsetzung erreicht werden.

Michael Kreutzer ist COO des Nationalen Forschungszentrums für angewandte Cybersicherheit (Athene).
Annika Selzer ist Abteilungsleiterin am Fraunhofer SIT und Forschungsbereichskoordinatorin bei Athene.
Sarah Stummer ist stellvertretende Abteilungsleiterin am Fraunhofer SIT und Senior Researcher bei Athene.