Stand der Technik – das neue Paradigma in jeder Technologie?

Der zunehmend referenzierte Technologiestandard «Stand der Technik» – speziell bei Verträgen, Services, Regulationen, AGBs und Audits rund um Informatik, Clouds, Security und Technologie- / Datenschutz- / Datensicherheit-Themen generell – muss von den begrifflich ähnlich lautenden Technologieständen wie den «allgemein anerkannten Regeln der Technik» (im Folgenden «aaRdT» genannt) und dem «Stand der Wissenschaft und Forschung» (im Folgenden «SdWF» genannt) inhaltlich und messbar voneinander abgegrenzt werden. Diese mitunter relevante Unterscheidung ist die wesentliche Grundlage für die Bestimmung des geforderten Technologiestandes bei der Ausgestaltung von Services und Verträgen. Wie viele Beispiele aus der Praxis zeigen, werden diese drei Begriffe gleichermassen in der Rechtsprechung und in der Öffentlichkeit vermischt oder gar verwechselt. Eingeführt wurden diese drei Begriffe mit der Kalkar-Entscheidung des Bundesverfassungsgerichts im Jahr 1978 und der damit einhergehenden «Drei-Stufen-Theorie». Ausgehend von dieser Entscheidung lassen sich die drei Technologiestände in etwa so grafisch darstellen:

 

Das Technologieniveau «Stand der Technik» ist angesiedelt zwischen dem innovativeren, fortschrittlicheren Technologiestand «Stand der Wissenschaft und Forschung» und dem bewährten, bisherigen Technologiestand «allgemein anerkannten Regeln der Technik» (oder einfach gesagt auch Normen in bisheriger Praxis). Diese drei Technologiestände werden von den Kategorien «allgemeine Anerkennung» und «Bewährung in der Praxis» flankiert. Aufgrund der Systematik der Gesetze ist eine eindeutige Unterscheidung zwischen subjektiven und objektiven Tatbestandsmerkmalen erforderlich. Das Merkmal «Stand der Technik» ist rein objektivtechnisch zu verstehen. Die subjektiven Aspekte berücksichtigen die Gesetze im konkreten Tat-bestand; sie betreffen aber nicht den Definitionsgehalt des «Standes der Technik» selbst. Somit kann der Stand der Technik als die im Technologie- Bereich verfügbaren Verfahren (oder auch «best practices»), Einrichtungen oder Betriebsweisen, deren Anwendung die Erreichung der jeweiligen gesetzlichen Schutzziele am wirkungsvollsten gewährleisten kann, bezeichnet wer-den. Verkürzt lässt sich sagen: Der Stand der Technik bezeichnet die am Markt verfügbare Bestleistung eines Subjekts zur Erreichung eines Objekts. Subjekt ist die IT-Sicherheitsmassnahme; Objekt das gesetzliche IT-Sicherheitsziel.

 

Drei Stufen

 

Technische Massnahmen im Stadium «Stand der Wissenschaft und Forschung» sind sehr dynamisch in ihrer Entwicklung und gehen mit der Erreichung der Marktreife (oder zumindest mit ihrer Markteinführung) in das Stadium «Stand der Technik» über. Dort im Rahmen der effektiven Adaption in der Praxis («best practices») nimmt die Dynamik z. B. durch die Standardisierung der Prozesse ab. Auch technische Mass-nahmen im Stadium «allgemein anerkannte Regeln der Technik» sind am Markt verfügbar. Ihr Innovationsgrad nimmt ab, sie haben sich jedoch in der Praxis bewährt und werden oftmals in den entsprechenden Standards be-schrieben. Fortschrittsbedingt kann eine Verschiebung über die einzelnen Technologiestände / Stufen wie folgend beschrieben beobachtet werden («innovationsbedingte Verschiebung»):

  1. Eine Massnahme wird in ihrem Ur-sprung zunächst das Technologieniveau «Stand der Wissenschaft und Forschung» erreichen;
  2.  mit der Markteinführung und effektiver Adaption in der Praxis geht sie den «Stand der Technik» über;
  3. und mit zunehmender Verbreitung und Anerkennung am Markt wird sie irgendwann den «allgemein anerkannten Regeln der Technik» zugeordnet und fliessen teilweise auch so in länger gültigen normativen Massnahmen hinein.

Um den geforderten Nachweis nach der Orientierung eigener Massnahmen am «Stand der Technik» zu erbringen, reicht es nicht aus, die implementierten Massnahmen einmalig zu bewerten und durch Installation von sogenannten Patches, Upgrades, neuen Features zu aktualisieren. Ein solcher Nachweis kann nur gelingen, indem die eingesetzte Massnahme mittels einer transparenten

Methode mit den am Markt verfügbaren Alternativen in regelmässigen Abständen verglichen wird. Die europäische Datenschutz-Grund-verordnung (DSGVO) – als ein hier kurz erörtertes Anschauungsbespiel von den Herausforderungen rund um «Stand der Technik – wurde 2016 verabschiedet und entfaltete am 25.05.2018 endgültig Geltung – auch spürbar in der Schweiz gemäss dem Marktortprinzip, unabhängig vom erst noch kommenden, neuen schweizerischen Datenschutzgesetz. Primäres Ziel der DSGVO ist der Schutz personenbezogener Daten europäischer Bürger. Dabei liegt der Verordnung hin-sichtlich ihrer Schutzziele ein risikobasierter Ansatz zugrunde. Im Bereich des technischen Datenschutzes sind zum Schutze der Rechte und Freiheiten natürlicher Personen entsprechende technische und organisatorische Massnahmen zu treffen. Diese haben ebenfalls das Tatbestandsmerkmal «Standes der Technik» zu berücksichtigen. Die DSGVO sieht vor, dass der «Stand der Technik» im Rah-men der Sicherheit der Datenverarbeitung, Datenschutz, Datensicherheit zu berücksichtigen ist. Hierzu haben Verantwortliche und Auftragsverarbeiter «geeignete technische und organisatorische Massnahmen» zu treffen. Sogar die DSGVO sieht jedoch ebenfalls keine ab-schliessende Definition für das Tatbestandsmerkmal des «Standes der Technik» vor. Darüber hinaus sind gemäss der DSGVO die Grundsätze des Datenschutzes durch Technikgestaltung (privacy by design) sowie durch datenschutzfreundliche Voreinstellungen (privacy by default) zu beachten. Diese Grundsätze sind auch durch «geeignete technische und organisatorische Mass-nahmen» umzusetzen.

Der entsprechende «Stand der Technik» ist im Rahmen der Umsetzung der Vor-gaben jedoch nicht nur zu berücksichtigen, sondern auch umfassend zu dokumentieren. Hierzu wurden umfassende und weit reichende Dokumentationspflichten, insbesondere durch die Verpflichtung zur Durchführung einer Datenschutzfolgenabschätzung sowie einer Rechenschaftspflicht, geschaffen. Die Verordnung statuiert diesbezüglich Dokumentationspflichten als eigene rechtliche Pflichten. Technische und organisatorischen Massnahmen sind somit sowohl individuell festzustellen, als auch detailliert zu beschreiben bzw. zu dokumentieren. Im Zuge der sehr hohen Dynamik in Be-reichen wie z.B. Bedrohungslage bei der CyberSecurity durch CyberCrime oder CyberWarfare oder bei Technologiesprüngen in z.B. der Industrie, Clouds, AI, IoT, 5G, eHealth und cyberphysical Systems wird es für Kunden und Anbieter entsprechend zunehmend sehr anspruchsvoll, den «Stand der Technik» zu erreichen, zu regulieren oder geschweige denn zu halten und mitunter garantieren zu können. Die laufende, wiederkehrende und ernsthafte Auseinandersetzung im Rah-men des fortlaufenden kontinuierlichen Verbesserungsprozesses und umfassen-der Dokumentation (als auch zunehmend relevanter Tätigkeitsnachweis) zwischen den involvierten Partnern, Beratern, Anbietern, Lieferanten und Kunden kann dieser Dynamik adäquat und nutzenstiftend Rechnung tragen mit dem fortwährenden Erfahrungsaus-tausch und teilweise bewusst angestrebter Interdisziplinarität aller involvierten Akteuren.

fridel_rickenbacher_avata512by1512.png
Über Fridel Rickenbacher 38 Artikel
Fridel Rickenbacher ist Mitbegründer, DPO CISO und Verwaltungsrat der MIT-GROUP, einem Totalunternehmen für «Empowering for the 4th Industrial Revolution». Redaktion SwissICT.ch und Experten-Gruppen in den Bereichen CyberSecurity, Privacy, Auditing, AI, eHealth, Information Ethics, digitale Gesellschaft, Baudigitalisierung,

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*


Captcha loading...

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.