Kernpunkte:
- Selbstdatenschutz
- Datenschutz im Erwerbsleben
- Big Data
- Internet of Things
8 Modellprojekte und Studien
Neben den gesetzlich zugewiesenen Aufgaben der Datenschutzaufsicht beteiligt sich das ULD als Behörde der Landesbeauftragten für Datenschutz an drittmittelfinanzierten Projekten und Studien mit besonderem Bezug zu Datenschutzthemen. Zum einen werden in den Projekten datenschutz- oder transparenzfördernde Technologien entwickelt. Die DSGVO normiert nunmehr ausdrücklich den Einsatz von Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen in Artikel 25 DSGVO als Anforderung an Verantwortliche. Die Auswahl der einzusetzenden Lösungen ist mit Rücksicht auf den Stand der Technik vorzunehmen, der sich auch über geförderte Forschungsprojekte weiterentwickelt. Zum anderen erfolgt eine Beteiligung an Projekten in Bereichen mit besonderem Risiko für betroffene Personen wie etwa Big Data. Diese Bereiche profitieren besonders durch eine frühzeitige Einbeziehung datenschutzrechtlicher Erwägungen im Entwicklungsprozess. Im Berichtszeitraum beteiligte sich das ULD an Projekten zu aktuellen Themen in den Bereichen Privatheit und selbstbestimmtes Leben (Tz. 8.1), Identitätenmanagement (Tz. 8.2), Datenschutz im Erwerbsleben (Tz. 8.3), Cybersicherheit und Datenschutz (Tz. 8.4), Big Data (Tz. 8.5) sowie zum Internet der Dinge (Tz. 8.6).
8.1 Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt
Weiter geht’s beim Forum Privatheit: Das Projekt, das im Dezember 2013 gestartet und Anfang 2017 in die zweite Phase gewechselt ist, wurde Mitte 2018 vom Bundesministerium für Bildung und Forschung evaluiert und kann seine interdisziplinäre Arbeit zur Gewährleistung und Weiterentwicklung informationeller Selbstbestimmung und des Privaten in der digitalen Welt bis März 2021 fortsetzen.
Forum Privatheit
Das „Forum Privatheit und
selbstbestimmtes Leben in der digitalen Welt“ ist ein vom BMBF gefördertes
interdisziplinäres Projekt, das sich mit Fragen des Datenschutzes, der
Privatheit, der Selbstbestimmung und digitalen Grundrechten beschäftigt. Das
Projekt bringt Wissenschaftlerinnen und Wissenschaftler aus Disziplinen wie
Technik, Recht, Soziologie, Psychologie, Politologie, Wirtschaftswissenschaften
und Ethik zusammen.
Mittlerweile hat das Leuchtturmprojekt einen guten Grad an Bekanntheit in Deutschland und sogar ein wenig darüber hinaus erreicht. Was ansonsten selten passiert, klappt im Forum Privatheit ausgezeichnet: Auf den Jahrestagungen zu verschiedenen Fokusthemen (2017: Fortentwicklung des Datenschutzes, 2018: Zukunft der Datenökonomie) kommen jeweils ganz unterschiedliche Communities zusammen, die sonst wenig Berührungspunkte haben. Bei dem Forum Privatheit handelt es sich nicht um einen fest installierten „Think Tank“, sondern der Charme liegt in der dynamischen Vernetzung je nach Thema und Interessenschwerpunkten.
Im Fokus der Tätigkeit des ULD-Teams standen die Beschäftigung mit den neuen Instrumenten der DSGVO wie Datenschutz-Folgenabschätzung oder Datenschutz durch Gestaltung aus der Wissenschafts- und Praxisperspektive, Technikentwicklungen wie Cross-Device Tracking mit Ultraschall (Tz. 10.3), Konstrukte auf Ebene der Rechtsprechung des Bundesverfassungsgerichts (wie die Überwachungsgesamtrechnung) oder des Europäischen Gerichtshofs und die Operationalisierung der (grund-)rechtlichen Vorgaben.
https://forum-privatheit.de [Extern]
Was ist zu tun?
Das Forum
Privatheit bietet vielfältige Perspektiven auf aktuelle Datenschutzthemen, mit
denen es sich zu beschäftigen lohnt. Fördergeber sollten weiter
Interdisziplinarität unterstützen, um gut durchdachte, praxistaugliche und
nachhaltige Lösungen zu erreichen.
8.2 Identitätenmanagement
Identitätenmanagement für einen besseren Selbstdatenschutz begleitet das ULD als Thema bereits seit vielen Jahren in den Forschungsprojekten. In der Online-Welt sind dabei u. a. die Wahrung der Anonymität, z. B. im Verhältnis zu Webseitenbetreibern und anderen Diensteanbietern, und die zuverlässige Verschlüsselung von Nachrichten bedeutsam. Mit Anonymisierung und Datenschutz online bzw. in mobilen Umgebungen befassten sich die Projekte AN.ON-Next (Tz. 8.2.1) und AppPETs (Tz. 8.2.2). Im Projekt VVV wurden Lösungen für einen effizienten und sicheren Schlüsselaustausch zwecks Gewähr einer Ende-zu-Ende-Verschlüsselung im E-Mail-Verkehr entwickelt (Tz. 8.2.3).
8.2.1 Projekt AN.ON-Next – praktikable und rechtssichere Anonymität im Internet
Die Freiheit und Möglichkeit, sich online anonym zu äußern und auszutauschen, ist ein zentrales Recht in einer freiheitlichen Demokratie. Hierfür stehen vielfältige Mittel zur Verfügung, am bekanntesten ist wohl das Tor-Netzwerk. Zwar wurden durch schrittweise Anleitungen und vorgefertigte Installationspakete die Einstiegshürden erheblich reduziert, dennoch ist eine größere Verbreitung ausgeblieben. Hier gilt es, die Hürden weiter zu senken. Ziel ist eine weitgehende Unbeobachtbarkeit des Surfverhaltens von Nutzerinnen und Nutzern gegenüber Webseitenbetreibern und Diensteanbietern sowie anderen lokalen Angreifern. Die Dienstqualität darf dabei nicht spürbar eingeschränkt werden, sodass auch Echtzeitkommunikation, wie dies in Videokonferenzen nötig ist, genutzt werden kann.
Der Lösungsansatz des Projekts „Anonymität Online der nächsten Generation“ (AN.ON-Next) sieht dabei vor, die Anonymisierung so weit wie möglich in die Internetinfrastruktur zu verlegen. So können z. B. Zugangsprovider ihre Kundinnen und Kunden durch einen einschaltbaren Anonymisierungsdienst gegenüber einer Profilbildung von Webseitenbetreibern schützen. Zugleich ist kein weiteres Zutun der Nutzerinnen und Nutzer erforderlich. Neben der providerbasierten Anonymisierung wurden Datenschutzaspekte der kommenden 5G-Mobilfunkstandards betrachtet.
https://www.datenschutzzentrum.de/projekte/anonnext/
8.2.2 Projekt AppPETs – Datenschutz eingebaut in Smartphone -Anwendungen
Im Projekt „Datenschutzfreundliche Smartphone-Anwendungen ohne Kompromisse“ (AppPETs) wird an der Entwicklung einer freien Bibliothek sowie von Diensten geforscht, die zur Entwicklung von datenschutzfreundlichen Smartphone-Apps verwendet werden können. Die Bereitstellung einer Sammlung von für Datenschutz und Datensicherheit relevanten Standardfunktionen ermöglicht Entwicklern die einfache und sichere Implementierung von Lösungen. Dies reduziert das Risiko fehlerhafter oder weniger datenschutzfreundlicher Umsetzungen; ein Rückgriff auf Bibliotheken mit für den Datenschutz kritische Funktionalität könnte unterbleiben.
Im Projekt wird ein Prozess zur Überprüfung der datenschutzrechtlichen Standards bei der Implementierung der Bibliotheken sowie ein Prüfkonzept zur Durchführung dieser Überprüfung entwickelt. Am Ende dieses Verfahrens soll ein Zertifikat stehen, anhand dessen Nutzerinnen und Nutzer nachvollziehen können, ob die AppPETs-Bibliothek bzw. -Services entsprechend den Vorgaben in der Smartphone-Anwendung implementiert wurden und ob diese Vorgaben im weiteren Lebenszyklus der Anwendung weiterhin eingehalten werden.
Daneben sollen Smartphone-Entwickler mittels eines auf Grundlage der Implementierungsvorgaben abgeleiteten Entwicklerleitfadens zu datenschutzfördernder Anwendungsentwicklung angehalten werden und die Grundsätze des Datenschutzes bereits zum Zeitpunkt der Entwicklung berücksichtigen.
Beim Datenschutz durch Technikgestaltung darf nicht allein auf die Implementierungskosten geachtet werden. Vielmehr sind diese im Kontext der Verarbeitungszwecke, dem Stand der Technik und dem Risiko für die Betroffenen zu sehen.
https://datenschutzzentrum.de/projekte/apppets/
Was ist zu tun?
Im technischen Datenschutz müssen
die Anforderungen an Datenschutz „by Design“ und „by Default“ fortgeschrieben
und konkrete Mindeststandards (Stand der Technik) definiert werden, damit für
die betroffenen Personen ein verbindlicher Schutzstandard und für die
Verantwortlichen Rechtssicherheit entsteht.
8.2.3 Projekt VVV – Verschlüsselung einfacher machen
Im März 2018 wurde das vom BMBF geförderte Projekt „Vertrauenswürdige Verteilung von Verschlüsselungsschlüsseln“ (VVV) erfolgreich abgeschlossen (36. TB, Tz. 8.2.4). Ziel des Projekts war es, die Verteilung öffentlicher OpenPGP-Schlüssel bzw. S/MIME-Zertifikate zu vereinfachen.
Diese Schlüssel sind Grundlage Ende-zu-Ende-verschlüsselter E-Mail-Kommunikation. Mit den vom VVV-Projekt entwickelten Plug-ins stehen nun Konzepte zur Verfügung, die das Versenden Ende-zu-Ende-verschlüsselter E-Mail-Nachrichten mittels gängiger E-Mail-Anwendungen weiter vereinfachen. Für das E-Mail-Programm Thunderbird wurde ein entsprechendes Plug-in im Projekt entwickelt.
Plug-in
Ein Plug-in ist ein Zusatzmodul für
eine bestehende Anwendung, wie beispielsweise ein E-Mail-Programm. Damit lassen
sich zusätzliche Funktionen mit wenig Aufwand in bestehende Anwendungen
integrieren.
Im Gegensatz zu den bisher bestehenden Verteilungskonzepten ist bei der VVV-Lösung neben Sender und Empfänger keine unbekannte dritte Stelle zur Schlüsselverwaltung mehr erforderlich. Bisher wurde diese Aufgabe im PGP-Umfeld von Schlüsselservern wahrgenommen und die Authentizität durch Signaturen anderer Teilnehmer gewährleistet. Die Verwaltung der Schlüssel wird dem E-Mail-Serviceanbieter übertragen und liegt damit bei der Instanz, der Nutzerinnen und Nutzer ihre bislang unverschlüsselten E-Mail-Nachrichten ohnehin anvertrauten. Dieses System bietet mehrere Vorteile:
- Kontrolle der Nutzerinnen und Nutzer über den öffentlichen Schlüssel bzw. das S/MIME-Zertifikat von der Erstellung bis zur endgültigen Löschung,
- Sicherstellung der Aktualität und Authentizität auf Dauer,
- leichtes Auffinden sowie automatischer Abruf der Schlüssel der Kommunikationspartner.
Damit sind die Grundvoraussetzungen für den Einsatz asymmetrischer Verschlüsselung auch im öffentlichen Bereich geschaffen. Eine moderne Verwaltung kann ohne das Medium E-Mail als Kommunikationskanal nicht funktionieren. E‑Mail-Nachrichten sind unabhängig von Sprechzeiten und bieten Bürgerinnen und Bürgern die Möglichkeit, Anliegen und Fragen jederzeit an die zuständigen Stellen zu richten. Häufig kann dieser Zugang jedoch nicht oder nur eingeschränkt genutzt werden, weil die Vertraulichkeit der Kommunikation auf diesem Wege nicht gewährleistet ist. Daher sollte E‑Mail nicht für die Übermittlung sensibler Informationen verwendet werden. Die in VVV ausgearbeiteten Umsetzungsvorschläge können in diesem Kontext auch einen Beitrag zur datenschutzgerechten Digitalisierung der öffentlichen Verwaltung leisten.
https://datenschutzzentrum.de/projekte/vvv/
Was ist zu tun?
Jeder Verantwortliche sollte prüfen,
wie sich Ende-zu-Ende-verschlüsselte E-Mail-Kommunikation in die bestehende
technische Infrastruktur integrieren lässt. Die erforderlichen Schlüssel sind
in geeigneter Form zur Verfügung zu stellen.
8.3 Datenschutz und Erwerbstätigkeit
Besondere Zwangslagen für Betroffene bestehen bei Datenverarbeitungen im Rahmen ihrer Erwerbstätigkeit. Einwilligung en sind hier besonders schwierig, weil die Freiwilligkeit mit Blick auf das Abhängigkeitsverhältnis zum Arbeitgeber oft nicht gewährleistet ist. Daher müssen Systeme und Prozesse zur Verarbeitung von Beschäftigtendaten von vornherein so datensparsam wie möglich gestaltet werden. In zwei Projekten hat sich das ULD mit ausgewählten Gruppen Betroffener näher befasst: Im Projekt EMPRI-DEVOPS (Tz. 8.3.1) betrachten wir gemeinsam mit Projektpartnern technische Lösungen für den Bereich der Softwareentwicklung, in dem besonders enge Protokollierungen der einzelnen Arbeitsschritte üblich sind. Im abgeschlossenen Projekt PARADISE wurde die Fragestellung, wie ein besserer Schutz der Aufenthaltsdaten von Athleten bei Dopingkontrollen ermöglicht werden kann, bearbeitet und dazu auch das neue Anti-Doping-Gesetz betrachtet (Tz. 8.3.2).
8.3.1 Projekt EMPRI-DEVOPS – Datenschutz in digitalen Arbeitswelten
Die Digitalisierung verspricht im Bereich digitaler Arbeitswelten zahlreiche Vorteile. So können Teams bereits heute standortübergreifend mittels entsprechender Softwaretools vernetzt zusammenarbeiten, konferieren und dabei flexibel auf veränderte Anforderungen in der Zusammenarbeit reagieren. Insbesondere im Bereich der Softwareprogrammierung und allgemein im Bereich mobiler Arbeitswelten ist der Einsatz entsprechender Tools essenziell.
Technikunterstützte Arbeitsweisen versprechen erhöhte Flexibilität und neue Optimierungsmöglichkeiten. Damit wächst auch der Druck zur (Selbst-)Vermessung im „Quantified Workplace“. Das steigende Interesse an möglichst vielen Daten über die Beschäftigten verdeutlicht der Preisträger 2018 des deutschen Big Brother Awards in der Kategorie Arbeitswelt. Das Unternehmen bietet eine App an, die sensible Gesundheitsdaten, etwa den Stand der Stressbelastung oder das Schlafverhalten der Beschäftigten, sammelt und Arbeitgebern über ein zentrales Dashboard zur Verfügung stellt.
Bei der Softwarenutzung entstehen darüber hinaus zahlreiche Metadaten und Protokolle, die Aufschluss über persönliche Aspekte der Beschäftigten geben und an denen unterschiedliche Begehrlichkeiten entstehen können. Verstärkte Überwachungsmöglichkeiten und damit einhergehende erhöhte Risiken für die Persönlichkeitsrechte der Beschäftigten bestehen insbesondere, wenn bei der Zusammenarbeit Tools eingesetzt werden, die Leistungskontrollen und eine Überwachung durch Unternehmen oder Kolleginnen und Kollegen über das erforderliche Maß hinaus ermöglichen. In der Praxis wird die Sensibilität dieser Datenspuren in Form von Metadaten bislang nur wenig beachtet.
Das ULD beschäftigt sich daher seit November 2018 im Projekt „Employee Privacy in Software Development and Operations“ (EMPRI-DEVOPS) mit der datenschutzfreundlichen Gestaltung von Tools, die typischerweise im Kontext der agilen Softwareprogrammierung und der Systemadministration zum Einsatz kommen. Neben der datenschutzrechtlichen Begleitung der Projektpartner bei der datenschutzfreundlichen Technikgestaltung „by Design“ betrachtet das ULD die besonderen datenschutzrechtlichen Rahmenbedingungen, die im Beschäftigungsverhältnis zu berücksichtigen sind. Neben der DSGVO können dabei Bestimmungen des BDSG sowie spezielle arbeitsrechtliche Regelungen im Individual- und Kollektivarbeitsrecht relevant werden.
Die DSGVO überlässt es den Mitgliedstaaten, spezifische Regelungen zum Beschäftigtendatenschutz zu erlassen, wovon der deutsche Gesetzgeber mit § 26 BDSG in eingeschränktem Umfang Gebrauch gemacht hat. Die Norm beschränkt zulässige Datenverarbeitungen auf für die Zwecke des Beschäftigungsverhältnisses erforderliche Verarbeitungssituationen und stellt erhöhte Anforderungen an die Einwilligung im Beschäftigungskontext. Darüber hinaus gibt es insbesondere im Bereich der Mitarbeiterüberwachung eine umfangreiche und nicht immer einheitliche Rechtsprechung, die Rechtsunsicherheiten für Beschäftigte und Arbeitgeber aufzeigt.
Das Projektziel ist, die Leitlinien und Kriterien für den schonenden Ausgleich der berechtigten Interessen von Arbeitgebern und Beschäftigten herauszuarbeiten und die benötigten technischen Mittel entsprechend dem gebotenen Interessenausgleich durch den Einsatz geeigneter Privacy- und Transparency-Enhancing Technologies datenschutzfördernd zu gestalten.
https://datenschutzzentrum.de/projekte/empri-devops/
Was ist zu tun?
Der Einsatz technischer Mittel darf
nicht dazu führen, dass sich im Arbeitsverhältnis das Informations- und
Machtgleichgewicht zulasten der Beschäftigten verschiebt.
8.3.2 Projekt PARADISE – Selbstdatenschutz für die Dopingkontrolle im Sport
Im Jahr 1999 wurde die Welt-Anti-Doping-Agentur WADA mit dem Ziel gegründet, weltweit die Maßnahmen gegen Doping im Leistungssport zu organisieren. Viele Leistungssportlerinnen und -sportler kritisieren jedoch seit Langem die systematische Überwachung und intransparente Speicherung ihrer Lebensumstände, die mit der Einführung des Online-Meldesystems „Anti Doping Administration and Management System“ (ADAMS) seit 2005 digital erfasst werden. Die sich stellenden datenschutzrechtlichen Fragen liegen im Spannungsfeld zwischen Erforderlichkeit der Datenerhebung zur Aufgabenerfüllung einschließlich einer dynamischen Standortbestimmung und dem Recht auf informationelle Selbstbestimmung. Neben Kontrollen bei Wettkämpfen gibt es für bestimmte Spitzenathletinnen und -athleten auch unangekündigte Trainingskontrollen. Es stellt dabei einen Verstoß gegen die Dopingregelungen dar, wenn solche Tests mehrfach nicht durchgeführt werden können. Damit ist es auch im Interesse der Athletinnen und Athleten, für einen Test verlässlich und zeitnah angetroffen zu werden.
Im aktuell verwendeten System ist die vorherige detaillierte Angabe der Aufenthaltsorte (Whereabouts) erforderlich. Diese Daten wurden bisher bei der WADA in Kanada verarbeitet. Unter anderem mit Blick auf Anforderungen der DSGVO zur technischen Ausgestaltung von Datenverarbeitungssystemen erscheinen Anpassungen dringend erforderlich.
Whereabouts
Für unangekündigte
Trainingskontrollen bedarf es detaillierter Informationen über geplante und
aktuelle Orts- und Zeitangaben zu Übernachtungen, Training, Wettkämpfen und
Urlauben der Athletinnen und Athleten. Diese Angaben gewähren unnötige
Einblicke in das Privatleben.
Das vom BMBF geförderte Projekt „Privacy-enhancing And Reliable Anti-Doping Integrated Service Environment“ (PARADISE) hatte zum Gegenstand, eine datensparsamere und transparente Alternative zu entwickeln. Die Ortsbestimmung erfolgt dabei mittels GPS-Positionierung. Positionsdaten werden den Dopingkontrolleuren auf Anforderung übermittelt. Protokolle dieser Anforderungen stehen den Betroffenen später zur Einsicht und damit zur Kontrolle der Legitimität der Abrufe zur Verfügung.
Bei der datenschutzfördernden Umsetzung waren vielfältige Designentscheidungen zu treffen. So muss die Backend-Anwendung auf sicheren IT-Systemen in Europa erfolgen. Der Kartendienst zur Darstellung der Position wird auf dem PARADISE-Server und nicht etwa durch Drittanbieter angeboten, dem auf diese Weise dann ebenfalls die Aufenthaltsdaten bekannt würden.
Im Rahmen des Projekts befasste sich das ULD zudem eingehend mit den jüngst geänderten Datenschutzregelungen des Anti-Doping-Gesetzes.
Was ist zu tun?
Datenverarbeitung ist sicher zu
gestalten – auch im Sport. Stehen datenschutzfördernde Alternativen zur
Verfügung, ist deren Einsatz zu prüfen und insbesondere die Schwere der mit der
Verarbeitung verbundenen Risiken angemessen zu würdigen.
8.4 Cybersicherheit und Datenschutz
Informationstechnik ist in allen Bereichen des Alltags vertreten. Sie bestimmt Berufsleben, Mobilität, Freizeit und zieht vermehrt in den Wohnbereich ein. Die verarbeiteten Informationen werden reichhaltiger, ein Verlust bzw. Missbrauch solcher Daten kann einschneidend für die Betroffenen sein. Cybersicherheit ist nicht mehr nur Expertenthema, sondern gerät vermehrt in den Fokus der Öffentlichkeit und Politik. Getroffene Maßnahmen müssen die Sicherheit der Bürgerinnen und Bürger gewährleisten, ohne dabei Bürger- und Grundrechte übermäßig einzuschränken. Das ULD beteiligt sich daher an Projekten im Bereich Cybersicherheit, um in diesem Spannungsfeld den Datenschutzaspekten das nötige Gewicht zu verleihen.
Ein besonderes Risiko für betroffene Personen besteht bei der Verwendung von Daten aus Datenlecks für Identitätsdiebstahl und Betrugsdelikte. Im Netz werden Datenbanken mit der Beute aus Angriffen gehandelt und getauscht. Eine Auswertung solcher Sammlungen kann eine Frühwarnung Betroffener ermöglichen. Wie Sammlung und Auswertung datensparsam und die Information betroffenengerecht erfolgen können, ist Gegenstand des EIDI-Projekts (Tz. 8.4.1).
Cybersicherheit steht zudem stets in einem Spannungsfeld mit Ethik und Recht, beispielsweise dem Recht auf informationelle Selbstbestimmung. In den EU-Projekten CANVAS (Tz. 8.4.2) und PANELFIT (Tz. 8.4.3) werden diese Fragen fachübergreifend erörtert und insbesondere für die Politik aufbereitet. PANELFIT zielt dabei primär auf Fragestellungen aus dem Bereich der Forschung zur Informationstechnologie ab.
Mit zunehmendem Bewusstsein der Verantwortlichen, dass IT-Systeme gesichert sein müssen, rückt der menschliche Faktor als Ansatzpunkt für Angreifer und als Risiko in den Fokus. IT-Risiken durch Beschäftigte durch Tests zu analysieren und die Belegschaft gezielt zu schulen, war Gegenstand des Projekts ITS.APT (Tz. 8.4.4).
8.4.1 Projekt EIDI – verlässliche Benachrichtigung von Betroffenen nach Cybervorfällen
In Zeiten der allgegenwärtigen Digitalisierung wird beinahe täglich über Datenschutzvorfälle berichtet, die den Verlust der Vertraulichkeit personenbezogener Daten zur Folge haben. Darauf, dass die Verantwortlichen ihren Benachrichtigungspflichten gegenüber den Behörden und Betroffenen nachkommen, ist nicht immer Verlass. Oft ist den Unternehmen selbst gar nicht bekannt, dass Daten ihrer Kundinnen und Kunden kompromittiert wurden. Es muss zudem nicht immer eine Sicherheitslücke bei einer datenverarbeitenden Stelle die Ursache sein. Phishing-Kampagnen sind nach wie vor eine beliebte Methode, um an sensible verwertbare Daten zu gelangen. Im Internet werden diese erlangten Informationen dann in Sammlungen gehandelt, in der Regel ohne dass die Betroffenen zunächst davon etwas bemerken. Erst wenn unerwartete Rechnungen eintreffen oder die Kreditwürdigkeit des Einzelnen herabgestuft wird, fällt auf, dass etwas nicht stimmt.
Ganz gleich ob die Daten aus einem Datenschutzvorfall bei einer datenverarbeitenden Stelle stammen oder ob der Betroffene Opfer einer Phishing-Attacke wurde: Frei verfügbare sensible Daten können weitreichende Schäden bei den Betroffenen verursachen. Zurzeit wird den Betroffenen ein hohes Maß an Eigeninitiative abverlangt, wenn sie die Integrität ihrer digitalen Identitäten überprüfen und wahren möchten. Das vom BMBF geförderte Projekt „Effektive Information nach digitalem Identitätsdiebstahl“ (EIDI) entwickelt daher ein Konzept, das die schnellere und proaktive Benachrichtigung der Betroffenen ermöglichen soll. Auf dieser Grundlage sollen auch Betroffene, bei denen kein Verantwortlicher für eine Warnung zuständig ist, z. B. Phishing-Opfer, zukünftig informiert werden können. Die Herausforderung der proaktiven Warnung besteht darin, das Risiko eines Cybervorfalls für den Missbrauch von Daten richtig einzuschätzen. Die Betroffenen sollen einerseits nicht mit Benachrichtigungen überflutet werden. Andererseits soll eine Warnung möglichst aktuell sein und die nötige Aufmerksamkeit erzeugen. Für die Betroffenen stellt sich im Anschluss daran meist die Frage möglicher Schäden und welche Schritte erforderlich sind, um sich vor den Folgen zu schützen. Eine sorgfältige Risikobestimmung kann die Betroffenen bei der Auswahl der passenden Maßnahmen unterstützen.
Im Rahmen des EIDI-Projekts wurden bereits bestehende Identitätsschutzmodelle untersucht. Diese bieten den Nutzenden verdachtsabhängig oder auf Basis einer regelmäßigen Dienstleistung die Möglichkeit zu überprüfen, ob die eigenen Daten im Internet im Umlauf sind. Die Untersuchung zeigte jedoch, dass die Ansätze ein sehr unterschiedliches Datenschutzniveau aufweisen. Je nachdem für welches Modell man sich entscheidet, kann auch aus dem Identitätsschutz selbst ein Risiko für den Betroffenen erwachsen. Insbesondere die Verkettungsmöglichkeiten, die durch kontenbasierte Ansätze entstehen, geben Anlass zur Sorge.
Was ist zu tun?
Betroffene von Datenlecks müssen
darüber vom Verantwortlichen unterrichtet werden. Ist der Verantwortliche gar
nicht bekannt, ist ein zentrales Frühwarnsystem denkbar. Für die Datenverarbeitung
solcher Frühwarnsysteme ist eine strikte Zweckbindung geboten.
8.4.2 Projekt CANVAS – Cybersicherheit zwischen Technik, Ethik und Recht
Das von der Europäischen Kommission geförderte Projekt „Constructing an Alliance for Value-driven Cybersecurity“ (CANVAS) zielt darauf ab, ein Expertennetzwerk für Cybersicherheit zu schaffen, um den Austausch zwischen Vertreterinnen und Vertretern von Technikentwicklung, Recht, Ethik und Sozialwissenschaft zu ermöglichen. Politische Entscheidungsträger werden über die erkannten Konfliktfelder und mögliche Lösungsansätze unterrichtet.
Der zunehmende Einsatz von Informations- und Kommunikationstechnologien in allen Bereichen der modernen Welt macht oft das Leben leichter und fördert in unterschiedlichster Weise Vielfalt, Kreativität und Interaktivität. Zugleich jedoch wächst damit die Abhängigkeit von Bürgerinnen und Bürgern sowie Organisationen von diesen Technologien. Sicherheitslücken und Missbrauchsrisiken können schwere Konsequenzen nach sich ziehen. Daher ist die Gewährleistung von Cybersicherheit zu einer Angelegenheit von nationalem und globalem Interesse geworden. Dementsprechend kann man im heutigen Cybersicherheitsdiskurs eine Betonung der ständig wachsenden und vielfältigen Bedrohungsformen beobachten, die von einfachen Computerviren über Internetkriminalität und Online-Spionageaktivitäten bis hin zu Cyberterror und Kriegsführung im digitalen Raum reichen.
Diese wachsende Komplexität des digitalen Ökosystems in Kombination mit zunehmenden globalen Risiken hat zu folgendem Dilemma geführt: Eine Überbetonung von Sicherheitsaspekten kann einerseits zulasten der Grundwerte wie Gleichheit, Fairness, Freiheit oder Privatsphäre gehen. Andererseits würde eine Vernachlässigung der Cybersicherheit ein Vertrauen der Bürgerinnen und Bürger in die digitale Infrastruktur, die Politik, in Hersteller und in Behörden untergraben und hätte gleichsam Einschnitte in Grundrechte zur Folge. Aus diesem Grund bringt das CANVAS-Projekt Stakeholder zu drei zentralen Themenbereichen zusammen: Gesundheit, Business/Finanzen, sowie Polizei/nationale Sicherheit. In den Workshops wird nach geeigneten Lösungswegen gesucht. Die herausgearbeiteten Diskussionsergebnisse und Lösungsansätze werden der Öffentlichkeit, der Forschung sowie der Politik präsentiert und zur weiteren Verwendung aufbereitet. Beispiele hierfür sind wiederverwendbare Lehrinhalte für cybersicherheitsbezogene Fachbereiche an Universitäten oder informative Kurzdossiers für parlamentarische Entscheidungsträger, die mit der Regulierung der Cybersicherheit befasst sind.
Weitere Informationen:
https://datenschutzzentrum.de/projekte/CANVAS/
8.4.3 Projekt PANELFIT – Cybersicherheit und Datenschutz
Die DSGVO und die noch ausstehende E-Privacy-Verordnung stellen wichtige Änderungen dar, die auch die Forschung und Innovationsvorhaben im Bereich der Informations- und Kommunikationstechnologie betreffen. Schon im Stadium der frühen Entwicklung von technischen Lösungen werden wesentliche Weichen für die Zukunft einer Technologie gestellt, sodass schon an dieser Stelle zentrale ethische, rechtliche und insbesondere datenschutzrechtliche Aspekte Berücksichtigung finden müssen. Basierend auf dieser Erkenntnis, fördert die EU-Kommission die Entwicklung von praktischen Handreichungen für die relevanten Akteure (Stakeholder) in diesem Bereich – namentlich Gesetzgeber, Fördergeber und Forschende. Das im November 2018 gestartete EU-Projekt „Participatory Approaches to a New Ethical and Legal Framework for ICT“ (PANELFIT) will dazu beitragen, Lücken im bestehenden Rahmenwerk zu erkennen und Lösungskonzepte für verschiedene Akteure vorzuschlagen. Während das Projekt auch ethische Aspekte betrachtet, konzentriert sich das ULD auf den Datenschutz.
Die Berücksichtigung und der Einbau von Datenschutz in neu entstehenden Technologien sind besonders wichtig für unsere Gesellschaft. Wir bevorzugen IT-Innovationen, die unsere Privatsphäre bewahren oder im Idealfall sogar verbessern. Um dieses Ziel zu erreichen, muss in jeder Phase der Innovation bewusst der Datenschutz in Betracht gezogen werden. Dies kann bei Ausschreibungen und der Bewertung von Projekteinreichungen anfangen, sich in Anforderungsanalysen und Design von neuen Technologien einflechten (Datenschutz „by Design“) und bis zur Festsetzung von voreingestellten Konfigurationen und Standardwerten reichen (Datenschutz „by Default“). Die Anforderungen zum Datenschutz in der DSGVO richten sich allerdings nur an Verantwortliche, nicht aber unmittelbar an die Hersteller. So könnten z. B. Fördergeber im Rahmen der Projektförderung die Erreichung der Datenschutzziele unterstützen. Dies käme zudem weiteren förderpolitischen Zielen zugute, indem gewährleistet wäre, dass die Entwicklungsergebnisse später ohne maßgebliche Änderungen oder Weiterentwicklungen ihren Einsatz bei Verantwortlichen im Geltungsbereich der DSGVO finden können.
In PANELFIT kann das ULD insbesondere die eigenen langjährigen Erfahrungen aus Forschungsprojekten einfließen lassen, um praktische Handreichungen für Forschende zu gestalten. Wichtig ist es, frühzeitig bei Forschenden ein Grundverständnis für Datenschutzbelange im konkreten Kontext des jeweiligen Forschungsvorhabens zu schaffen. Gleichsam alltäglich und unerlässlich für verteilt tätige Vorhaben ist eine IT-Infrastruktur zur gemeinsamen Arbeit, in der die Rechte und Freiheiten aller betroffenen Personen – und dazu gehören auch die Beschäftigten bei den Projektpartnern – gewährleistet sind.
https://www.datenschutzzentrum.de/projekte/panelfit/
Was ist zu tun?
Datenschutz durch Technikgestaltung
sollte so früh wie möglich ansetzen – idealerweise bei der Forschung und
Entwicklung neuer Technologien. Fördergeber könnten dies verstärkt anregen oder
zur Bedingung bei der Vergabe von Drittmitteln machen.
8.4.4 Projekt ITS.APT – Stärken des Bewusstseins für IT-Sicherheit
Die IT-Sicherheit der eigenen Organisation selbst oder durch hierauf spezialisierte Dienstleister zu testen, ist ein sinnvoller Kontrollschritt und dient der Planung weiter gehender Maßnahmen. Oftmals ist das Testfeld einseitig auf die technische Infrastruktur beschränkt und lässt den Faktor Mensch aus der Bewertung außen vor. Angreifer machen sich jedoch menschliche Schwächen gezielt zunutze. Verschlüsselungstrojaner und Social Engineering, insbesondere Phishing, sind hierfür prominente Beispiele, bei denen unzureichendes IT-Sicherheitsbewusstsein eines Nutzenden gezielt ausgenutzt wird.
Im Forschungsvorhaben „IT-Security Awareness Penetration Testing“ (ITS.APT) war die Zielsetzung, die Einhaltung datenschutzrechtlicher Anforderungen schon bei der Konzipierung einer solchen Testmethode zu gewährleisten und dies gleichsam für die Durchführung von Tests und Schulungen sicherzustellen. Die Testgestaltung wurde datenschutzrechtlich begleitet, um sicherzustellen, dass die Persönlichkeitsrechte der Beschäftigten ebenso wie die der Personen, deren Daten verarbeitet werden, geachtet werden. Neben der Gewährleistung der Rechtskonformität war es das Ziel, die Akzeptanz der Testmethode bei den betroffenen Personen zu erhöhen.
Wesentlich für solche Testverfahren mit dem Ziel, das Verhalten der Beschäftigten zu ermitteln, ist eine rechtzeitige und umfassende Einbindung der Beschäftigtenvertretung. Eine Betriebs- oder Dienstvereinbarung dient hierbei zum einen als datenschutzrechtliche Erlaubnisnorm und kann zum anderen die Akzeptanz des Verfahrens erheblich erhöhen. Hierzu sind Testmethode, Testablauf und Art und Weise der Datenverarbeitung detailliert zu beschreiben und eine Verhaltens- und Leistungskontrolle als Resultat dieser Maßnahme auszuschließen.
Die im Projekt gemeinsam mit den weiteren Projektpartnern erlangten Erkenntnisse wurden für spätere Anwender in der Praxis zusammengetragen. Die Bearbeitung aus 2017 berücksichtigt bereits die DSGVO, sodass eine Aufnahme in der Praxis erleichtert wird. Schließlich wird ein Musterverzeichnis der Verarbeitungstätigkeiten nach Art. 30 DSGVO sowie eine Musterdienstvereinbarung als Grundlage für eine Erörterung zwischen Leitung und dem Betriebs- oder Personalrat beigefügt.
https://www.datenschutzzentrum.de/projekte/its-apt/
8.5 Big Data , soziale Netzwerke und Datenschutz
Big Data ist aufseiten der Verarbeiter zur Realität geworden. Während sich die Technologie in diesem Bereich kontinuierlich fortentwickelt, entstehen neue Ideen für Geschäftsmodelle. Vorhandene Datenschätze sollen monetarisiert werden. Gut, wenn insoweit die Interessen und Rechte der betroffenen Personen im Blick bleiben und Maßnahmen zur Gewährleistung von Transparenz und Betroffenenrechte ihren Niederschlag in den Prozessen finden. Die Projekte mit ULD-Beteiligung befassen sich hier mit einer effektiven Darstellung und Verwaltung von Berechtigungen, z. B. dem Einwilligungsstatus pro betroffener Person und Verarbeitungszweck im Datenpool (Projekt SPECIAL, Tz. 8.5.1). Die Erhebung und Verarbeitung von Daten auf Basis berechtigter Interessen können erheblich durch unverzügliche Anonymisierung und effektive Maßnahmen zur Risikominimierung erleichtert bzw. überhaupt erst ermöglicht werden (iTESA, Tz. 8.5.2). Schließlich sind bei Big-Data-Anwendungen im Bereich der Polizei und Strafverfolgungsbehörden besondere Anforderungen zu beachten, um die Rechtsstaatlichkeit darauf beruhender Verfahren nicht zu gefährden (VALCRI, Tz. 8.5.3).
8.5.1 Projekt SPECIAL – Transparenz
- und Einwilligung
smanagement für das
semantische Netz
Im Projekt „Scalable Policy-awarE linked data arChitecture for prIvacy, trAnsparency and compLiance“ (SPECIAL) werden künftige datenschutzfördernde Technologien (Privacy-Enhancing Technologies, kurz: PETs) für Big-Data-Anwender entwickelt. Mit der Datenschutz-Grundverordnung erlangen das Management von Einwilligungen, der Umgang mit deren Widerruf bzw. einem Widerspruch gegen Verarbeitungen ebenso zentrale Bedeutung wie die Herstellung hinreichender Transparenz für jegliche Verarbeitung. Dies stellt Big-Data-Anwender vor besondere Herausforderungen. SPECIAL hat daher das Ziel, verschiedene Lösungsansätze, die in Kombination zu einer Verbesserung des Datenschutzes in diesem Bereich beitragen sollen, zu erarbeiten. Diese sind:
- Eine Managementumgebung für Verarbeitungsrichtlinien (Policy Management Framework), die Kontrolle über personenbezogene Daten herstellt, Zugriffs- und Verarbeitungsrichtlinien in maschinenlesbarer Weise abbildet und eine Auditierbarkeit der Verarbeitung gewährleistet.
- Ein Transparenz- und Compliance-Framework, das die notwendigen Informationen darüber vermittelt, wie Daten verarbeitet und wem sie übermittelt werden. Dies soll so geschehen, dass betroffene Personen umfassend und in einer knappen, leicht verständlichen Weise über die beabsichtigte Datenverarbeitung informiert werden. Ferner soll es ihnen ermöglicht werden, korrigierend eingreifen zu können, z. B. durch einfache Möglichkeiten, ihr Widerspruchsrecht nach Artikel 21 DSGVO geltend zu machen.
- Eine skalierbare Architektur für Linked Data, die Verarbeitungsrichtlinien (Data Handling Policies) unterstützt. Sie soll aufbauend auf den Ergebnissen des „Big Data Europe“-Projekts fortentwickelt werden.
Diese Lösungsansätze werden sodann in verschiedenen, für das Projekt entworfenen Testanwendungsfällen ausprobiert und verbessert. Dies umfasst z. B. Anwendungsfälle, die ein Einwilligungsmanagement auf Mobilgeräten umsetzen. Mit einem solchen Einwilligungsmanagement soll gezeigt werden, dass eine Wertschöpfung aus geteilten Daten bzw. Big Data unter Einhaltung datenschutzrechtlicher Belange möglich ist und das Nutzervertrauen in digitale Dienste stärkt. Sollen gesammelte personenbezogene Informationen im Rahmen von Big Data genutzt und gegebenenfalls auch mit anderen Geschäftspartnern geteilt werden, ist insbesondere ein umfassendes Management für Einwilligungen der Nutzenden erforderlich. Damit in der gesamten Verwertungskette die Berechtigungen und Einschränkungen klar sind, sollen die von den Nutzenden erteilten Rechte und die jeweiligen Verarbeitungszwecke als Metadaten zusammen mit den personenbezogenen Daten übertragen werden. Mit einem solchen System lässt sich ebenfalls Transparenz gegenüber den Betroffenen gewährleisten und ein Widerspruchs- und Widerrufsmanagement umsetzen.
Schließlich könnten die Projektergebnisse Grundlage für eine technische Spezifikation für die Ausübung des Widerrufs im Sinne des Art. 21 Abs. 5 DSGVO werden. Das Projekt SPECIAL trägt hier zu einer Community Group unter dem Dach des World Wide Web Consortium (W3C) bei, um eine praxistaugliche Lösung zu erarbeiten.
https://datenschutzzentrum.de/projekte/special/
8.5.2 Projekt iTESA – Reisewarnungen auf Grundlage von sozialen Netzwerken
Im Projekt „intelligent Traveller Early Situation Awareness“ (iTESA) ging es um die Erkennung von Reiserisiken auf Grundlage der Analyse von öffentlich zugänglichen Inhalten im Internet. Dazu wurde das Konzept eines Frühwarnsystems entwickelt, das es ermöglicht, Reisende in Echtzeit über mögliche Risiken im Verlauf ihrer Reise oder auf ihrer Reiseroute zu informieren. Durch die Analyse öffentlich zugänglicher Daten sollten so Risiken wie Epidemien, Naturkatastrophen oder ähnliche Gefährdungslagen erkannt werden und die Reisenden nicht nur informiert, sondern eine Gefährdung durch entsprechend sinnvolle Umplanung von Reiserouten auch mit größtmöglicher Chance vermieden werden. Bei den öffentlichen Informationen, die im Rahmen des iTESA-Projekts Berücksichtigung fanden, handelt es sich einerseits um amtliche Informationen (also etwa Reise- oder Wetterwarnungen) und andererseits um nicht amtliche Informationen. Besonders relevant sind in diesem Zusammenhang Nachrichten und nutzergenerierte Inhalte wie etwa Postings in sozialen Netzwerken und Microblogging-Plattformen.
Abwägung berechtigter
Interessen
Eine praxisrelevante Rechtsgrundlage
ist die Datenverarbeitung zur Wahrung berechtigter Interessen des Verantwortlichen
nach Art. 6 Abs. 1 Buchst. f DSGVO. Neben dem Vorliegen des
eigenen berechtigten Interesses an der Verarbeitung muss der Verantwortliche
jedoch auch eingehend mögliche Einschränkungen von Interessen, Grundrechten oder
Grundfreiheiten der betroffenen Personen prüfen und diese Risiken mit dem
eigenen Interesse abwägen. Gegebenenfalls sind technische und organisatorische
Maßnahmen zu treffen und Lösungen des Datenschutzes durch Technikgestaltung
vorzunehmen, um die Risiken betroffener Personen ausreichend einzudämmen, bevor
Art. 6 Abs. 1 Buchst. f DSGVO als Rechtsgrundlage herangezogen
werden kann. Abwägungsvorgang und getroffene Maßnahmen sind zu dokumentieren.
Für das ULD bestand der wesentliche Teil der Projektarbeit in der Implementierung von „Privacy by Design“, also der Berücksichtigung von datenschutzrechtlichen Aspekten schon zum Zeitpunkt der Entwicklung entsprechender technischer Lösungen sowie der Prüfung der Zulässigkeit einer Nutzung allgemein zugänglicher Daten im Projektkontext.
Neben datenschutzrechtlichen Aspekten und der Berücksichtigung aller an der Umsetzung eines iTESA-Systems beteiligten Akteure (Dritte, Diensteanbieter und Kunden) hat das ULD auch zivilrechtliche Fragestellungen rund um die Verwendung öffentlich zugänglicher Informationen untersucht und sich mit arbeitsrechtlichen Fragen im Zusammenhang mit der Rechtsgrundlage zur Verarbeitung personenbezogener Daten von Mitarbeitern auf Dienstreisen beschäftigt. Als Rechtsgrundlage für die Verarbeitung der öffentlich zugänglichen Daten dient Art. 6 Abs. 1 Buchst. f DSGVO nach eingehender Abwägung der Interessen der verantwortlichen Stelle mit denen der betroffenen Personen. Aus dem Projekt heraus wurde eine eingehende Darstellung für die korrekte Prüfung dieser Rechtsgrundlage entwickelt und veröffentlicht. Im iTESA-Projekt war zu Zwecken der Risikoreduzierung vorgesehen, aus den online erhobenen Daten sofort automatisiert nur die für Reiserisiken relevanten Informationen zu extrahieren und die Rohdaten zu verwerfen.
https://datenschutzzentrum.de/projekte/itesa/
Was ist zu tun?
Soll eine Datenverarbeitung zu
Zwecken berechtigter Interessen erfolgen, sind diese mit den Interessen der
Betroffenen abzuwägen. Dabei darf die gebotene Risikoeindämmung nicht außer
Acht gelassen werden.
8.5.3 Projekt VALCRI – Big Data für die Polizei
Das von der Europäischen Kommission geförderte Projekt VALCRI („Visual Analytics for Sense-Making in Criminal Intelligence Analysis“) endete zum Juni 2018. VALCRI arbeitete an der Entwicklung eines Systemprototyps für visualisierte Datenanalyse im Rahmen kriminalpolizeilicher Erkenntnisgewinnung (36. TB, Tz. 8.5.3).
Soll mit IT-gestützten Lösungen Kriminalität aufgedeckt werden, geht es im Kern um das Verstehen sehr komplexer Sachzusammenhänge und Verbrechensnetzwerke. VALCRI hatte das Ziel, einen Softwareprototyp für eine solche Datenanalyse zu entwickeln, der nicht nur die polizeilichen Anforderungen erfüllt, sondern auch die datenschutzrechtlichen und ethischen Aspekte berücksichtigt. Dies ist einerseits aus Datenschutzsicht zwingend, andererseits dient es der Gewährleistung, dass der Ermittlungsvorgang im rechtsstaatlichen Rahmen erfolgt.
In Zusammenarbeit mit Universitäten, Wirtschaftsunternehmen und potenziellen Anwendern aus dem Bereich der britischen und der belgischen Polizei hat das ULD daran geforscht, wie ein solches System ausgestaltet sein muss, um die Anforderungen aus den unterschiedlichen Bereichen optimal zusammenzubringen und praktisch umzusetzen. Zu den umzusetzenden technischen und organisatorischen Maßnahmen gehörten Komponenten zur Anonymisierung und Pseudonymisierung personenbezogener Informationen, eine effiziente elektronische Zugangs- und Zugriffskontrolle sowie Konzepte zur Umsetzung von Transparenz in Bezug auf hochkomplexe Datenanalyseprozesse.
Die Anforderungen ergaben sich aus dem neuen Datenschutzrecht im Polizei- und Justizbereich, welche in der seit Mai 2018 geltenden JI‑Richtlinie (EU) 2016/680 niedergelegt sind. Anhand dieser wurde das Projektkonsortium datenschutzrechtlich beraten, und Maßnahmen für eine Gestaltung nach „Privacy by Design“-Prinzipien wurden eingebracht.
Als praktische Hilfe entstanden Guidelines, welche die Anforderungen und Methoden von Datenschutz-Folgenabschätzungen im Polizei- und Justizbereich darstellen, um behördlichen Datenschutzbeauftragten eine Hilfe bei ihrer Arbeit an die Hand zu geben. Maßstab und Gliederungshilfe ist dabei der Katalog der Gewährleistungsziele des Standard-Datenschutzmodells (Tz. 6.2.2). Die rechtlichen Anforderungen der JI-Richtlinie lassen sich ebenfalls den Gewährleistungszielen zuordnen. So kann eine Vergleichbarkeit von Verfahren und getroffenen Schutzmaßnahmen ermöglicht werden, die die DSGVO und/oder die JI-Richtlinie erfüllen müssen.
https://datenschutzzentrum.de/projekte/valcri/
8.6 Internet der Dinge und vernetzter Verkehr
Zunehmend durchdringt die digitale Vernetzung auch das analoge Leben. Geräte des „Internet of Things“ (IoT) unterstützen die Menschen bei der Aufgabenerledigung, im Sport, Alltag und im Verkehr. Sensoren erfassen hierfür die Umwelt. Die fortschreitende Digitalisierung und Vernetzung der Lebenswelten werden an der Entwicklung des Automobils besonders deutlich. Das moderne, vernetzte und in naher Zukunft auch automatisiert fahrende Fahrzeug lässt hoffen, durch den kombinierten Einsatz von Informations- und Kommunikationstechnologie die Zahl der Unfalltoten zu senken, Ressourcen durch effizientere Einsatzmöglichkeiten zu schonen und den Nutzungskomfort spürbar zu erhöhen.
Mit den neuen Technologien gehen aber auch umfangreiche Datenverarbeitungen und sich stetig verfeinernde Möglichkeiten der Datenanalyse und -verwendung einher. Für den Betrieb benötigen die Fahrzeuge große Mengen an aussagekräftigen Informationen über den eigenen Zustand und die Umwelt, die sie auswerten, speichern und sowohl untereinander als auch mit der Infrastruktur und den Diensteanbietern zwecks Orientierung in der Umwelt austauschen. Dadurch erreichen die verarbeiteten Daten in Quantität und Qualität neue Dimensionen.
In modernen Fahrzeugen ist eine Vielzahl von Computern verbaut. Diese werden Bestandteil eines kooperativen Gesamtsystems, bei dem eine große Anzahl unterschiedlicher Akteure und Technologien zusammengeführt wird. Die zunehmende Vernetzung der Lebenswelten zeigt sich besonders im Bereich der Elektromobilität. Dabei wirken die Infrastrukturakteure der intelligenten Verkehrssysteme (Smart Traffic), der intelligenten und automatisierten Systeme eines E-Fahrzeugs (Smart Car), und der Energie-Infrastruktur (Smart Grid) zusammen. Oft ist damit die Einbindung weiterer Dienstleister, die ihrerseits personenbezogene Daten verarbeiten, verbunden, woraus wiederum Risiken resultieren.
Mit Datenschutz im vernetzten Verkehr befasste sich das ULD im Rahmen der Projekte iKoPA (Tz. 8.6.1) und SeDaFa (Tz. 8.6.2). Die Gewährleistung von Transparenz und faktische Möglichkeiten, die Betroffenenrechte wahrzunehmen, werden besonders bei kleinen Geräten des IoT herausfordernd. Hier könnte eine vereinheitlichte Darstellung zentraler Informationen unterstützen, wofür im Projekt Privacy&Us ein Transparenzlabel entwickelt wird (Tz. 8.6.3).
8.6.1 Projekt iKoPA – Datenschutz für den vernetzten Verkehr
Im Kontext des vernetzten Fahrens hat
sich das ULD bis Ende 2018 im Projekt iKoPA insbesondere daran beteiligt, ein
datenschutzfreundliches Architekturkonzept „by Design“ am Beispiel einer
pseudonymen Reservierung von Ladesäulen für Elektroautos zu entwickeln.
Abbildung: Reservierung von Ladesäulen: beim Betreiber anfallende Daten
Aus datenschutzrechtlicher Sicht wirft das vernetzte Fahrzeug eine Vielzahl von Fragestellungen auf, die von der Bestimmung des Personenbezugs in einem kooperativen System mit zahlreichen Technologien und Beteiligten über die transparente und eindeutige Festlegung der Verantwortlichkeiten bis hin zur Auswahl risikoadäquater bzw. risikomindernder technischer und organisatorischer Maßnahmen reichen. Die DSGVO verfolgt einen risikobasierten Ansatz, der sich am Schutzbedarf orientiert. Standort- und Bewegungsdaten sind insofern besonders schutzbedürftig. Daneben erlauben auch vermeintlich rein maschinenbezogene Fahrzeugdaten Aufschluss über Gebrauch und Nutzungsverhalten und lassen u. a. ihrerseits Rückschlüsse auf Bewegungsdaten zu.
Abbildung: Reservierung von Ladesäulen unter wechselnden Pseudonymen
Die Vielzahl der eingesetzten Technologien, der beteiligten Akteure und der an den Daten Interessierten wächst durch die Vernetzung moderner Fahrzeuge ebenso rasant wie die Anzahl der möglichen betroffenen Personen. Dieser unübersichtlichen Gemengelage ist durch klare Verantwortungsfestschreibungen zu begegnen. Ferner bedarf es nicht nur der Risikobetrachtung jeder eingesetzten Technologie, sondern auch einer Gesamtbetrachtung der möglichen Risiken, die aus einer Kombination der Technologien entstehen.
Eine Reduzierung des Risikos kann durch geeignete frühzeitige Pseudonymisierung erfolgen, die fest in der Architektur vorgesehen ist. So bleibt den Betreibern einzelner Komponenten der Infrastruktur das konkrete „Wer-Wann-und-Wo“ der betroffenen Personen verborgen. Die Grafiken enthalten schematische Darstellungen von einem Dienst zur Parkplatzbuchung mit und ohne konsequente Umsetzung der Pseudonymisierung.
https://datenschutzzentrum.de/projekte/ikopa/
8.6.2 Projekt SeDaFa – Selbstdatenschutz für den smarten Verkehr
Die besonderen Herausforderungen, die die Gewährleistung von Transparenz und Intervenierbarkeit für die betroffenen Personen im Kontext moderner Fahrzeuge darstellen, waren Kern des im Frühjahr 2018 beendeten Projekts „Selbstdatenschutz im vernetzten Fahrzeug“ (SeDaFa).
Das ULD hat dabei die Entwicklung einer Maßnahme zum Selbstdatenschutz begleitet, mit der der jeweilige Fahrzeugnutzer Transparenz und Kontrolle über sein Fahrzeug erhalten kann. Das Infotainmentsystem bietet sich als Interface zwischen Mensch und Maschine an, um die durch die Vorgaben der DSGVO eröffneten Gestaltungsmöglichkeiten (z. B. die Kombination der Pflichtinformationen mit standardisierten Bildsymbolen und Mehrebenen-Datenschutzerklärungen (Multi-layered Policies)) umzusetzen.
Die Implementierung einer Maßnahme zum Selbstdatenschutz in die Fahrzeugsysteme, die wie eine Firewall fungiert und dem Nutzer die zentrale Kontrolle aller Datenabflüsse aus dem Fahrzeug ermöglicht, hat auch für denjenigen, der für eine Offline- oder Online-Verarbeitung verantwortlich ist, bei der Erfüllung seiner Pflichten nach der DSGVO entscheidende Vorteile. Mit ihr kann die Pflicht zur transparenten Information und Kommunikation und erleichterten Durchsetzung der Betroffenenrechte (Artikel 12 ff. DSGVO) umgesetzt werden.
Neben dem Einsatz von Privacy-Enhancing Technologies bedarf es aber auch einer lokalen Verarbeitung im Fahrzeug selbst, um betroffenen Personen die Ausübung ihrer Rechte zu erleichtern, die Gefahr von Datenschutzverletzungen wirksam zu minimieren und die Verarbeitungsgrundsätze aus Artikel 5 DSGVO wirksam umzusetzen.
Bei der Einbindung von Diensten stellt sich auch die Frage nach den Möglichkeiten zur Datenweitergabe und Verwendung der anfallenden Fahrzeugdaten. Darüber entscheidet nur derjenige, auf dessen Person sich der Informationsgehalt der Daten beziehen kann. Die Freiwilligkeit setzt das Bestehen ernsthafter Alternativen und Praktikabilität voraus. Die Ethikkommission „Automatisiertes und vernetztes Fahren“ betont, dass einer normativen Kraft des Faktischen, wie sie etwa beim Datenzugriff durch die Betreiber von Suchmaschinen oder sozialen Netzwerken vorherrscht, frühzeitig begegnet werden sollte.
Die datenschutzfreundliche Gestaltung ist damit eine wesentliche Grundvoraussetzung für datengetriebene Geschäftsmodelle. Zudem müssen der betroffenen Person datenschutzfreundliche Alternativen derart zur Verfügung stehen, dass ihr Möglichkeiten zu informationellem Selbstschutz geboten werden, die sie auch ausschlagen können muss.
https://datenschutzzentrum.de/projekte/sedafa/
Was ist zu tun?
Aus datenschutzrechtlicher Sicht
wirft das vernetzte Fahrzeug eine Vielzahl von Problemen auf, die vom
Personenbezug über die transparente und eindeutige Klärung und Festlegung der
Verantwortlichkeiten bis hin zur Auswahl risikoadäquater technischer und
organisatorischer Maßnahmen reichen.
8.6.3 Projekt Privacy&Us – Usability für das Internet of Things
Seit 2017 beteiligt sich das ULD erstmals an einem Marie-Skłodowska-Curie-Projekt, bei dem die Ausbildung von Nachwuchswissenschaftlern gefördert wird. Dreizehn Doktoranden arbeiten verteilt auf Europa und Israel im Projekt „Privacy & Usability“ (Privacy&Us) an der Aufgabe, wie Datenschutz verständlich und nutzergerecht gestaltet werden kann. Schwerpunkt der Forschung im ULD liegt dabei auf dem Internet der Dinge („Internet of Things“ (IoT)) und den sich daraus ergebenden Fragestellungen für die Nutzungsfreundlichkeit.
Betroffene – neben dem Eigentümer und Betreiber des Gerätes sind dies auch Familienmitglieder, Gäste und sonstige Dritte, deren Daten personenbeziehbar erfasst werden – müssen dabei nachvollziehen können, was mit ihren Daten geschieht (36. TB, Tz. 8.6.2). Zentrale Problemstellungen sind dabei die Information über den gesamten Lebenszyklus des Produkts und wie die erforderlichen Informationen übersichtlich und knapp genug aufbereitet werden können, insbesondere ohne dass eine visuelle Darstellungsmöglichkeit wie ein Display für die Kommunikation mit den Betroffenen vorhanden ist.
Die Bereitstellung der Informationen muss über den gesamten Lebenszyklus des IoT-Geräts mit diesen Phasen erfolgen: Kaufentscheidung, Konfiguration und Set-up, Nutzungsphase, Wartung und Updates sowie Entsorgung bzw. weitere Nutzung durch Dritte. Betreiber von Datenverarbeitungen müssen als Verantwortliche bereits vor dem Erwerb im Rahmen der Kaufentscheidung sorgfältig auch unter Gesichtspunkten des Datenschutzes auswählen. IoT-Geräte kommunizieren vernetzt mit anderen Geräten und Servern – oftmals mit den Servern des Herstellers oder Anbieters eines Dienstes. Eine solche Einbindung von externen Diensten ist bei der Auswahl und späteren Dokumentation ebenso abzubilden wie Datenflüsse in Drittstaaten. Dies ist bei der Risikobewertung entsprechend zu würdigen. Um diese und weitere nach den Artikeln 12 ff. DSGVO erforderlichen Angaben übersichtlich darzustellen, wurde als Zwischenergebnis der Forschungen „LITE – Label for IoT Transparency Enhancement“ vorgestellt und befindet sich gegenwärtig in weiterer Entwicklung (siehe Abbildung). Weitere Informationen können dann auf verlinkten Webseiten dargeboten und aktuell gehalten werden.
Usability
Der englische Begriff „Usability“ setzt
sich aus den Wörtern „use“ und „ability“ zusammen – direkt übersetzt:
„Nutzungsfähigkeit“. Gemeint ist die Benutzungsfreundlichkeit von Webseiten,
Geräten sowie sonstigen Systemen. Gegenstand sind u. a. Aspekte des
intuitiven Benutzens und des schnellen Erfassens dargebotener Informationen.
Abbildung: Entwurf eines Transparenzlabels
https://datenschutzzentrum.de/projekte/privacy-us/
Was ist zu tun?
Verantwortliche, die IoT-Geräte
betreiben, müssen den Betroffenen verständlich Datenflüsse und Risiken
darlegen. Hersteller und Anbieter solcher Geräte sollten diese Informationen
ihren Kunden schon vor der Kaufentscheidung sinnvoll aufbereitet zur Verfügung
stellen, um die Verantwortlichen bei der Wahrnehmung ihrer Pflichten zu
unterstützen.
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |