Datenschutz

Erfolgreiche Unternehmensführung verlangt sorgsamen und transparenten Umgang mit Daten – #WIR mit RA Dr. Michael M. Pachinger

Mit dem/r Datenschutzbeauftragten wurde eine Rolle geschaffen, die bei der Umsetzung der datenschutzrechtlichen Vorgaben helfen soll. Kontrollen zur Gewährleistung des Datenschutzes und damit verbundene organisatorische und technische Maßnahmen gehören zu den Aufgaben des/r Datenschutzbeauftragten. Daher ist ein entsprechendes Fachwissen erforderlich. (more…)

Datenanalyse und Datenschutz

Analysen in den umfangreichen Datenbeständen der Öffentlichen Verwaltung versprechen Einsparungen und Effizienzsteigerungen. Zu Recht stellt sich die Frage welche rechtlichen Aspekte, allen voran betreffend Datenschutz, es in diesem Zusammenhang zu berücksichtigen gilt. In Jusletter IT vom 24. September 2015 widmen sich Peter Parycek, Johann Höchtl und Bettina Rinnerbauer ausführlich der Datenschutzrechtskonformität von Big Data Analysen der Verwaltung. Eine kurze Einführung in die Problemstellung und Ansätze für Lösungsmöglichkeiten:

Ausgangssituation

Von Verwaltungseinheiten werden in Erfüllung ihrer gesetzlichen Aufgaben Daten erhoben und verarbeitet.

Angetrieben von der Digitalisierung werden neue Möglichkeiten ausgelotet, um Prozesse durch innovative technologische Verfahren zu adaptieren oder gänzlich neu zu gestalten. Den Rahmen hiefür stecken neben technischen Bedingungen auch organisatorische Gegebenheiten und in besonderem Maß geltende Rechtsvorschriften ab.

Eine Heranziehung geeigneter Daten für Analysen unter Wahrung des Schutzes personenbezogener Daten in Betracht zu ziehen, führt daher zur Diskussion einer Reihe von technischen und rechtlichen Erwägungen.

Potential: Erkenntnisgewinn durch Datenanalyse

Zusätzlicher Erkenntnisgewinn durch Datenanalyse und –auswertung kann etwa in der Form von Simulationen, Prognosen oder Frühwarnsystemen bei der Fällung von Entscheidungen unterstützen, wobei Potential hier insbesondere in zeitlicher Hinsicht (schnellere Entscheidungen) sowie in einer breiteren Entscheidungsgrundlage gesehen werden kann. Auch bei der Gestaltung personalisierter Dienstleistungen können Datenanalysen einen Beitrag leisten.

Zu beachten: Schutz personenbezogener Daten

§ 1 Abs 1 DSG gewährt jedermann Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Gemäß § 4 Z 1 DSG sind personenbezogene Daten Angaben über Betroffene, deren Identität bestimmt oder bestimmbar ist.

Da jede Art der Handhabung von personenbezogenen Daten (§ 4 Z 8 DSG) nur unter der Voraussetzung der Erfüllung datenschutzrechtlicher Anforderungen zulässig ist, ist die rechtliche Qualifikation der herangezogenen Daten als (nicht) personenbezogen von entscheidender Bedeutung.

„Indirekt personenbezogen“ sind Daten für einen Auftraggeber, Dienstleister oder Empfänger einer Übermittlung dann, wenn der Personenbezog der Daten derart ist, dass dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger die Identität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann (§ 4 Z 1 DSG).

Beispiele: zulässige Verwendung personenbezogener Daten

Bei Verwendung indirekt personenbezogener Daten gelten schutzwürdige Geheimhaltungsinteressen gemäß § 8 Abs 2 DSG als nicht verletzt.

Etwa bei mangelnder Rückführbarkeit der Daten auf die/den Betroffenen, deren/dessen Daten verwendet werden (vgl. § 4 Z 3 DSG), ist die Verwendung der Daten zulässig, weil in diesem Fall kein Geheimhaltungsanspruch besteht.

Personenbezogene Daten können ferner im lebenswichtigen Interesse oder mit Zustimmung der/des Betroffenen verwendet werden. Zur Wahrung überwiegender berechtigter Interessen eines anderen kann der Anspruch auf Geheimhaltung der personenbezogenen Daten eingeschränkt werden. Behörden können nur auf Grund besonderer gesetzlicher Grundlagen, die die in § 1 Abs 2 DSG konkretisierten Anforderungen erfüllen, in das Grundrecht eingreifen. Die Verwendung personenbezogener Daten ist darüber hinaus mit Genehmigung der Datenschutzbehörde zulässig.

Zweck der Ermittlung & Weiterverwendung

Von den in § 6 DSG normierten Grundsätzen, die bei der Verwendung von Daten (gemeint: personenbezogene Daten, vgl. § 4 Z 1 DSG) einzuhalten sind, ist im Kontext der Datenanalyse insbesondere zu beachten, dass die Ermittlung der Daten nur für festgelegte, eindeutige und rechtmäßige Zwecke erfolgen darf. Die so ermittelten Daten dürfen grundsätzlich nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverwendet werden (zu wissenschaftlichen oder statistischen Zwecken siehe §§ 46, 47 DSG).

Der Grundsatz der Zweckbindung steht der Idee von Big Data diametral entgegen[1].

Lösungsansatz

Ein möglicher Lösungsansatz für Datenanalysen der Verwaltung fußt auf dem von Guy Zyskind/Oz Nathan/Alex «Sandy» Pentland 2015 ausgearbeiteten Verfahren, indem Auswertungen in verschlüsselten, verteilten und bewusst redundanten Daten durchgeführt werden. Die Daten werden dabei in Anlehnung an homomorphe Kryptographie verschlüsselt, wobei Auswertungen durchgeführt werden können, ohne Zugriff auf die Daten im Klartext zu haben. Die Ergebnisse können nur durch den Datenbereitsteller entschlüsselt werden.[2]

Aus rechtlicher Perspektive ist insbesondere spannend, wie die dem Konzept von Zyskind/Nathan/Pentland folgend bearbeiteten Daten qualifiziert werden können und welche datenschutzrechtlichen Anforderungen bereits technisch durch privacy by design sichergestellt werden können. Aus technischer Sicht sind die Einsatztauglichkeit des Verfahrens sowie gänzlich neue Möglichkeiten der Lastverteilung und sichere Auslagerung von aufwändigen Auswertungen zu kostengünstigen Cloud-Anbietern von besonderem Interesse.

[1]                      Rainer Knyrim, Big Data: datenschutzrechtliche Lösungsansätze, Dako 2015/35, 60.

[2]                     Guy Zyskind / Oz Nathan / Alex «Sandy» Pentland, Enigma: Decentralized Computation Platform With Guaranteed Privacy (2015).

Vorankündigung: Workshops zum Thema Menschenrechte und Internet

Zugang, Freiheit und Kontrolle im Internet

Workshop #1, 1. Juni 2012, Graz

Das Co:llaboratory.at startet mit der Workshopreihe Menschenrechte und Internet:
Anhand von Impulsvorträgen und Diskussionen sollen technische, rechtliche und soziologische Aspekte des Themas “Menschenrechte und digitale Gesellschaft” behandelt werden. Die Ergebnisse werden in einer Publikation gesammelt. Wir laden herzlich zur Teilnahme ein, für das leibliche Wohl ist gesorgt, die Workshop-Teilnahme ist kostenlos.
Der Grazer Workshop versteht sich als Auftakt zur Konzeption und Planung weiterer Workshops in Salzburg und Wien.

Wo: RESOWI-Gebäude, Universitätsstraße 15/C1, SR 15.15 (Bauteil C, 1. Stock)
Wann: 1. Juni 2012, 11–17 h

Um Anmeldung unter clara.landler (at) donau-uni (dot) ac (dot) at oder judith.schossboeck (at) donau-uni (dot) ac (dot) at wird herzlich gebeten!

Jemand darf mit Input und Teilnahme bei diesem Thema nicht fehlen? Bitte um Weiterleitung der Einladung an interessierte TeilnehmerInnen!

Bisher fixierte Impulsvorträge in Graz:

(more…)

Versuchungen zu sozialen Netzwerken

Unter diesem Titel fand am 25.1.2011 im Klubsitzungssaal des Parlaments eine Veranstaltung in Kooperation mit der Sozialdemokratischen Parlamentsfraktion statt, die Chancen, Risiken und politische Herausforderungen sozialer Netzwerke unter die Lupe nahm.

Bernhard Jungwirth: Chancen und Gefahren von Online Communities

Das Reden über soziale Netzwerke ist bei Jugendlichen Alltag geworden. Spezifisch für diese Gruppe ist auch die Selbstinszenierung und Identitätsbildung in sozialen Netzen. Eine Untersuchung über Mediennutzungsmotive der 12 bis 24-Jährigen ergab, dass das Internet bei den Informations- und Unterhaltungsaspekten klar die Nase vorn hat. Das Fernsehen ist mittlerweile auf passive Funktionen zurückgedrängt. Die Studie EU Kids Online unterscheidet drei verschiedene Rollen der jungen NutzerInnen: Content (RezipientIn), Contact (TeilnehmerIn) und Conduct (AkteurIn).

(more…)

Kamingespräch mit Dr. Zeger: Wie viel darf die Behörde wissen?

Das Zentrum für E-Government veranstaltet in regelmäßigen Abständen Kamingespräche zu aktuellen Themen aus Politik und Wissenschaft. Freitag den 12. März 2010 war das  Thema „Datenschutz – Wie viel soll/darf eine Behörde über ihre BürgerInnen wissen?“ Diesmal zu Gast: Dr. Hans G. Zeger, Mitglied des Datenschutzrates  im Bundeskanzleramt, Geschäftsführer der e-commerce monitoring GmbH, Obmann der ARGE DATEN und Buchautor.


Gleich einleitend stellte Hans Zeger klar, dass nicht der Schutz von Daten sondern die persönlichen Rechte und Freiheiten der Menschen im Internet das vorrangige Ziel des Datenschutzes darstellen. Seit ca. 1970 gibt es in Österreich automatisierte Datenverarbeitung. Damit einher gehen Fragen des Datenschutzes. 1978 wurde das erste Datenschutzgesetz entworfen. In der damaligen Erhebung des statistischen Zentralamts wurden ca. 150 Personen identifiziert, die mit elektronischen Daten arbeiten. Bereits damals kam der Begriff des „gläsernen Bürgers“ auf, worauf der Entschluss der damaligen Bundesregierung gefasst wurde, nicht alle elektronischen Daten in einem Amt, in dem die Daten zusammengefasst werden könnten, zu verarbeiten.

Die EU-Datenschutzrichtlinie

1995 wurde nach langjähriger Diskussion von den damals 12 Mitgliedern die EU-Datenschutzrichtlinie beschlossen. Der gemeinsame Konsens muss im Kontext betrachtet werden, dass Griechenland zu dieser Zeit keinerlei Regelung hinsichtlich des Schutzes privater Daten hatte, währenddessen Länder wie Frankreich oder Deutschland ein sehr ausgeprägtes Selbstverständnis von Datenschutz hatten. Die Direktive von 1995 wurde daher so formuliert, dass kein Land, das bereits über Regelungen betreffend des Schutzes privater Daten hatte, schlechter gestellt wurde als zuvor, wodurch das Gesetz durchaus „restriktiv“ ausfiel. 1999 wurde die Umsetzung in Österreichisches Recht beschlossen und das DSG trat 2000 in Kraft, mit 2010 wird das Gesetz novelliert.

(more…)