Die vom EMR in Kooperation mit der Rechtswissenschaftlichen Fakultät der Universität des Saarlandes organisierte Vortragsreihe unter dem Banner des „Informations- und Medienrechtlichen Kolloquiums Saarbrücken (IMK)“ durfte am 08. Juli 2019 Prof. Dr. Kai Rannenberg, Professor für Wirtschaftsinformatik, Mobile Business & Multilateral Security, Goethe Universität Frankfurt, auf dem Campus der Universität des Saarlandes begrüßen. Rannenberg referierte zum Thema „Internationale Datenschutznormung in ISO/IEC JTC 1/SC 27/WG 5 – Identity Management & Privacy Technologies und die EU-Datenschutzgrundverordnung“.

Nach einer kurzen Einführung, in der erläutert wurde, was Standardisierung ist, wie sie auf internationaler Ebene aufgestellt ist und welche Interessengruppen an den Prozessen der Standardisierung beteiligt sind, lieferte Rannenberg Einblicke in die Arbeit verschiedener Normierungskomitees im Bereich des Datenschutzes und der IT-Sicherheit. Im Fokus des Vortrags stand dabei die Arbeit des SC 27 (ISO/IEC JTC 1 Information Technology/SC 27 IT Security Techniques),  ein Normungskomitee im gemeinsamen Technischen Komitee der Internationalen Organisation für Normung (ISO) und der Internationalen Elektrotechnischen Kommission (IEC). Die Arbeit im SC27, an dem zur Zeit 49 Mitgliedstaaten beteiligt seien, erfolge dabei in verschiedenen Arbeitsgruppen, deren Aufgabe sich (in jeweils verschiedenen Themenbereichen) so verstehe, über erste Vorschläge und Entwürfe, die von den beteiligten Interessengruppen diskutiert und bearbeitet werden, zu einem globalen Konsens zu finden, der dann – ggf. mit mehreren Abstufung – als internationaler Standard gelten kann. Einen näheren Blick warf Rannenberg gemeinsam mit den Zuhörern dabei auf die Themenschwerpunkte der Arbeitsgruppe 5 (AG 5) innerhalb des SC27, die sich auf Identitätsmanagement, Biometrie und Datenschutz konzentrieren. Bewertungen sowie die Entwicklung von Techniken und Leitlinien erfolge hier durch die AG 5 auf mehreren Ebenen insbesondere im Bereich des Datenschutzes: Von der Anwendbarkeit datenschutzrechtlicher Regelungen (bspw. in Bezug auf Smart cities (27570), das Internet der Dinge (27030) oder Big Data (20547-4)) über deren Implementierung (bspw. in den Bereichen privacy engineering (27550) oder Information und Einwilligung (29184)) bis hin zu spezifisch technischen Aspekten (bspw. zur Anonymisierung (29191)) sei hier Raum für Standardisierungen und Leitlinien. Eingang in die Diskussion und in tatsächliche Implementierungsprozesse fänden diese Ausarbeitungen wiederum vor allem über die Zusammenarbeit mit Partnern wie bspw. dem Europäischen Datenschutzausschuss (European Data Protection Board EDPB), die sich im Rahmen von “Best Practices” darauf berufen.

Abschließend stellte Rannenberg fest, dass viele der angegangenen Projekte auch im Bereich des Datenschutzes bereits abgeschlossen oder in Ausarbeitung seien und sich dadurch bereits eine entsprechende Landschaft entwickle. Viele Projekte seien aber noch anzugehen, was jedesmal eine globale Herausforderung und eine (kulturelle) Lernerfahrung darstelle. 

In der sich anschließenden Diskussion wurden vom Publikum vor allem Fragen in Bezug auf die rechtliche Legitimation von Standardisierungen sowie deren Finanzierung und den Prozess der Konsensfindung zwischen den verschiedenen beteiligten Interessenträgern aufgeworfen.