Kernpunkte:
- Digitale Arbeitswelten
- IuK-Forschung
- Transparenz und Usability
8 Modellprojekte und Studien
Das Unabhängige Landeszentrum für Datenschutz hat als Behörde der Landesbeauftragten für Datenschutz seine Aktivitäten in Initiativen im Bereich drittmittelfinanzierter Projekte und Studien fortgesetzt. Damit ist das ULD weiterhin im Bereich der Kooperation mit der Wissenschaft aktiv und erhält sich damit die Möglichkeit, proaktiv an der Erforschung datenschutzspezifischer Fragen und der Gestaltung einschlägiger Technologien und Lösungen mitzuwirken.
Im Berichtszeitraum wurden Projekte von der Europäischen Kommission und dem Bundesministerium für Bildung und Forschung (BMBF) gefördert. Beteiligungen an Projekten erfolgten weiterhin dort, wo entweder besondere datenschutzfördernde Lösungen (englisch: „Privacy-Enhancing Technologies“, kurz PETs) erforscht und entwickelt werden sollen oder wo besondere Risiken für die Rechte und Freiheiten natürlicher Personen bestehen.
Im Jahr 2020 beteiligte sich das ULD an Projekten zu aktuellen Themen in den Bereichen Privatheit und selbstbestimmtes Leben (Tz. 8.1), Datenschutz in digitalen Arbeitswelten (Tz. 8.2) sowie Datenschutz in der Technikforschung (Tz. 8.3) und setzt sein Engagement für Datenschutz, Transparenz- und Einwilligungsmanagement fort (Tz. 8.4).
8.1 Forum Privatheit
Wie schon in den vergangenen Jahren (zuletzt: 38. TB, Tz. 8.1) berichten wir von Fortschritten im interdisziplinären „Forum Privatheit“ zur Gewährleistung und Weiterentwicklung informationeller Selbstbestimmung und des Privaten in der digitalen Welt, das bereits im Dezember 2013 gestartet ist und bis März 2021 laufen wird. Das Projekt mit seiner „Think Tank“-Funktion hat den Fördermittelgeber, das BMBF, so sehr überzeugt, dass wir auch ab April 2021 zu dem Thema mit leicht verändertem Team und weitergeführten Projektideen weiterarbeiten können.
Forum Privatheit
Das „Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt“ ist ein vom BMBF gefördertes interdisziplinäres Projekt, das sich mit Fragen des Datenschutzes, der Privatheit, der Selbstbestimmung und digitalen Grundrechten beschäftigt. Das Projekt bringt Wissenschaftlerinnen und Wissenschaftler aus Disziplinen wie Technik, Recht, Soziologie, Psychologie, Politologie, Wirtschaftswissenschaften und Ethik zusammen.
Das Schwerpunktthema des Vorjahres zu Datenschutz in Schule und Kinderzimmer mit der Jahreskonferenz im November 2019 erhielt in der Coronapandemie nur wenige Monate später mit Distanzlernen und Homeschooling eine verstärkte Relevanz.
Das Fokusthema für 2020: „Selbstbestimmung und Privatheit – Gestaltungsoptionen für einen europäischen Weg“ passte besonders gut angesichts der EuGH-Entscheidung zum Privacy Shield (Tz. 2.5 und Tz. 11.5), aber auch internationale Entwicklungen in der Politik bis hin zu dem holprigen Abschied des Vereinigten Königreichs (UK) aus der Europäischen Union machten deutlich, dass sich die Mitgliedstaaten der EU ihrer gemeinsamen Werte stärker bewusst sein sollten und diese europäischen Grundwerte und Grundrechte ein stabiles Fundament sind, auf dem wir unsere Gesellschaft weiterentwickeln können. Mit einer simplen Kopie des Vorgehens in anderen internationalen Staaten – beispielsweise USA, Russland, China – können wir dies nicht erreichen, sondern es geht darum, den eigenen Weg zu finden und auszubauen. Die Datenschutz-Grundverordnung ist ein Baustein in diesem großen Puzzle des europäischen Wegs.
Dies alles hätte als umfangreiches Arbeitsprogramm für das Projektteam genügt, doch das alles überlagernde Thema der Coronapandemie prägte viele Diskussionen und Ausarbeitungen. Mit der Idee eines „Corona-Blogs“ konnten wir den Vorteil des Forums Privatheit – ein aufeinander eingespieltes interdisziplinäres Projektteam mit den jeweiligen Perspektiven der Projektpartner im gesamten Bundesgebiet – nutzen: Darin befassten wir uns vor allem mit Konzepten, in denen Infektionsschutz ermöglicht wird, ohne dabei Datenschutzanforderungen oder andere Grundrechte aufzugeben.
https://corona.forum-privatheit.de/
Kurzlink: https://uldsh.de/tb39-8-1a
Im Mittelpunkt zahlreicher Beiträge stand das Contact Tracing, also die Möglichkeit einer Kontaktnachverfolgung im Infektionsfall, die ohne Standortdaten auskommt. In dem Corona-Blog konnten wir damit in Zusammenhang stehende Sachverhalte durchleuchten und Orientierungswissen für die interessierte Öffentlichkeit bereitstellen.
https://www.forum-privatheit.de/
Kurzlink: https://uldsh.de/tb39-8-1b
8.2 Projekt EMPRI-DEVOPS – Datenschutz in digitalen Arbeitswelten
Das Projekt „Employee Privacy in Software Development and Operations“ (EMPRI-DEVOPS) (38. TB, Tz. 8.3) beschäftigt sich seit November 2018 mit dem datenschutzkonformen Einsatz von Softwaretools in zunehmend digitalisierten Arbeitswelten (siehe auch Tz. 2.4). Projektziel ist die datenschutzkonforme Gestaltung von Softwareprodukten, die typischerweise im Kontext der agilen Softwareprogrammierung und der Systemadministration zum Einsatz kommen. Im Zuge der Coronapandemie und des dadurch bedingten Anstiegs von Heimarbeitsmodellen sind entsprechende Kooperationstools allerdings auch in anderen Branchen vermehrt verwendet worden.
Viele Unternehmen wurden in den letzten Monaten gewissermaßen dazu gezwungen, die Digitalisierung in der (Zusammen-)Arbeit stark zu beschleunigen, indem sie innerhalb kürzester Zeit auf Heimarbeit oder mobiles Arbeiten umsteigen mussten (siehe Tz. 6.3.3). Diese Entwicklung wurde in vielen Betrieben durch die Verwendung verschiedener Tools vorangetrieben, die den zeitnahen Austausch von Dokumenten oder eine gemeinsame Bearbeitung in Echtzeit ermöglichen. Diese Kooperationstools vereinfachen die Digitalisierung der bekannten Arbeitsvorgänge zum Teil enorm. Allerdings werden bei der Verwendung durch die Mitarbeitenden Metadaten gespeichert, etwa Zeitpunkt und Nutzername beim Einloggen in ein Programm, bei jedem Erstellen, Ändern oder Speichern.
Metadaten
Metadaten sind strukturierte Daten, die Informationen über Merkmale und Eigenschaften anderer Daten enthalten. Bei Kooperationstools sind diese technisch erforderlich, um etwa bei gleichzeitiger Bearbeitung von Dokumenten die Reihenfolge von Änderungen nachzuvollziehen und Kollisionen zwischen Bearbeitungsständen aufzulösen. Ein Großteil der Metadaten ist personenbezogen.
Bei einer Untersuchung der Verwendung von solchen Zeitstempeln am Beispiel des Messengerdienstes Mattermost (vergleichbar mit Microsoft Teams oder Slack) haben die technischen Projektpartner von der Universität Hamburg u. a. festgestellt, dass personenbezogene bzw. personenbeziehbare Zeitstempel öfter gespeichert werden, als dies für das Funktionieren des Programms erforderlich wäre.
Unabhängig von der Motivation für das Erfassen solcher Metadaten lassen sich aus diesen Rückschlüsse auf das Verhalten und die Leistung der Mitarbeitenden schließen, weshalb der Einsatz dieser Tools regelmäßig dem Mitbestimmungsrecht des Betriebs- bzw. Personalrats unterfällt. Schwierigkeiten ergeben sich für Mitarbeitende, wenn in der Organisation keine Beschäftigtenvertretung existiert. Ebenso fehlt es Freelancern, die nur auf Auftragsbasis tätig werden, aber dennoch oft zusammen mit internen Mitarbeitenden einer oder mehrerer Organisationen mittels solcher Tools zusammenarbeiten, an einem Schutz durch eine kollektive Interessenvertretung. Konkrete Vorgaben zum Datenschutz und zum Vorgehen bei der Einführung neuer Verfahren wären sowohl für die Mitarbeitenden als auch für die Arbeitgeber hilfreich. Gegenstand könnten etwa die Anforderungen und Prüfgegenstände sein, womit mittelbar Anreize für die Anbieter solcher Lösungen geschaffen würden, etwa verständliche Dokumentation bereitzustellen, um den Verantwortlichen in seiner Kaufentscheidung und in der Einrichtung des Verfahrens zu unterstützen.
Inferenzrisiko
Ein Inferenzrisiko besteht, wenn sich aus vorhandenen Daten, etwa den bei der Nutzung von Kooperationstools anfallenden Metadaten, weitere sensible Informationen ableiten lassen. So können etwa Rückschlüsse auf Tagesabläufe und Arbeitsgewohnheiten aus Zeitstempeln der Aktivitäten (z. B. Bereitstellung von bearbeiteten Dokumenten) erlangt werden.
Auch wenn es für Arbeitgeber bei der Auswahl einer neuen Software nicht immer einfach ist, den Umfang der damit erhobenen (Meta-)Daten zu erkennen, kann er sich nicht dadurch herausreden, er hätte von der Datenverarbeitung nichts gewusst. Als Verantwortlicher im Sinne der DSGVO ist er dafür zuständig, dass die Vorgaben des Datenschutzrechts eingehalten werden. Legislativ wäre zu wünschen, dass klare Bestimmungen auch alle Beschäftigten schützen würden, für die kein Betriebsrat einstehen kann.
https://www.datenschutzzentrum.de/projekte/empri-devops/
Kurzlink: https://uldsh.de/tb39-8-2
Was ist zu tun?
Verantwortliche müssen ihre Verfahren beherrschen. Funktionsweise, Datenflüsse und Risiken müssen bekannt und dokumentiert sein, um eine fundierte Entscheidung über den Einsatz eines Verfahrens treffen zu können und um der Beschäftigtenvertretung eine Mitwirkung sinnvoll zu ermöglichen.
8.3 Projekt PANELFIT – Datenschutz und Ethik in der europäischen IuK-Forschung
Das von der EU-Kommission geförderte Projekt „Participatory Approaches to a New Ethical and Legal Framework for ICT“ (PANELFIT) (38. TB, Tz. 8.4.3) will dazu beitragen, dass Neuerungen durch die DSGVO schnell und vollständig von allen europäischen Akteuren im Bereich der Forschung zu Informations- und Kommunikationstechnologien (IuK) aufgegriffen und umgesetzt werden können. Während das Projekt auch ethische Fragen beleuchtet, konzentriert sich das ULD-Team auf Aspekte des Datenschutzes. Auf dieser Basis erarbeitet es Beiträge zu den praxisorientierten Richtlinien, die das PANELFIT-Projekt für in der Forschung Tätige zusammenstellt, und wirkt an den Empfehlungen für Entscheidungsträger wie z. B. Förderträger im Bereich der Informations- und Kommunikationstechnologien mit.
Im Jahr 2020 hat sich das PANELFIT-Projekt u. a. intensiv mit zwei Themen befasst, bei denen das ULD-Team größere Beiträge zugesteuert hat: Zum einen sind dies Praxisrichtlinien über die Konzepte des Datenschutzes für Forschende und Innovatoren. Zum anderen handelt es sich um eine kritische Analyse von Lücken und Problempunkten im derzeitigen europäischen Rechtsrahmen, die sich an politische Entscheidungsträger richtet.
Das ULD-Team hat zahlreiche grundlegende Abschnitte zu den Praxisrichtlinien beigetragen:
- eine Darstellung der DSGVO als Instrument zum Ausgleich des strukturellen Machtgefälles zwischen Verantwortlichen und Betroffenen,
- eine vertiefte Analyse der Prinzipien der DSGVO mit dazu passenden praktischen Maßnahmen zur Umsetzung,
- eine Ausarbeitung zur Dokumentation von Verarbeitungstätigkeiten,
- Hinweise zur Datenschutz-Folgenabschätzung,
- eine Analyse des Datenschutzes durch Technikgestaltung („by Design“) und datenschutzfreundliche Voreinstellungen („by Default“).
Im Weiteren wurden die Konzepte der Pseudonymisierung und Anonymisierung vertieft untersucht, da diese im Bereich der Forschung von besonderer Bedeutung sind. Im nächsten Schritt werden die Texte von externen Expertinnen und Experten begutachtet – insbesondere im Hinblick auf die Umsetzbarkeit für die Zielgruppe – und später in einer verbesserten Version in mehreren Sprachen zur Verfügung gestellt.
Für die kritische Analyse von Lücken und Problempunkten konnte das ULD auf die Arbeiten des Vorjahres zurückgreifen und hat sich vorwiegend mit dem Teilen von (pseudonymisierten) personenbezogenen Daten im wissenschaftlichen Bereich befasst. Eine Analyse des derzeit verfügbaren Informationsmaterials im Forschungsprogramm „Horizon 2020“ hat gezeigt, dass noch einige Lücken gefüllt werden können, um Forschende und Innovatoren dazu anzuleiten, zielgerichtet Lösungen für das datenschutzkonforme Teilen solcher Daten zu finden und einzusetzen. Im Weiteren hat das ULD-Team dokumentiert, warum eine systematische und datenschutzkonforme Lösung für das Teilen personenbezogener Forschungsdaten als „wissenschaftliches Gemeingut“ („Commons“) oder deren Kommerzialisierung in Europa notwendig ist und welche Kernelemente eine solche Lösung enthalten muss.
http://www.datenschutzzentrum.de/projekte/panelfit/
Kurzlink: https://uldsh.de/tb39-8-3
8.4 Projekte SPECIAL und TRAPEZE – Transparenz- und Einwilligungsmanagement
für das semantische Netz
Das im September 2020 gestartete Projekt „TRAnsparency, Privacy and security for European citiZEns“ (TRAPEZE) wird von der EU-Kommission gefördert und schließt inhaltlich an das Projekt SPECIAL an (38. TB, Tz. 8.5). Eine europäische „Data Economy“ und ein einheitlicher Markt für Datentransfers sind dringend gewünscht – zumindest vonseiten der Wirtschaft und einiger öffentlicher Stellen. Die europäische Politik bekennt sich mit der „European Strategy for Data“ dazu und nennt dabei vorneweg richtigerweise Datenschutz, Grundrechte und Sicherheit als wichtige Eckpfeiler einer solchen Entwicklung.
Europäische Datenstrategie
Mit dem Dokument „Eine europäische Datenstrategie“ legte die Europäische Kommission einen Plan vor, wie die Nutzung personenbezogener und sonstiger Daten künftig aussehen kann, um diese für die wirtschaftliche Entwicklung und Forschung in Europa nutzbar zu machen. Datenschutz, Grundrechte und (Cyber-)Sicherheit werden darin zu Recht als zentrale Eckpfeiler genannt.
Als zentral für ein europäisches Modell der Datenökonomie werden dabei Konzepte und Technologien gesehen, die es den Betroffenen ermöglichen, über die Verbreitung und Nutzung ihrer Daten selbstbestimmt zu entscheiden. Zugleich sollen diese Lösungen den Austausch von Daten ermöglichen und die in Artikel 20 DSGVO geregelte Datenübertragbarkeit mit Leben füllen.
Im Projekt TRAPEZE haben sich Partner aus Forschung, Entwicklung, Industrie und öffentlichem Sektor mit dem ambitionierten Ziel zusammengefunden, den laufenden kulturellen Wandel beim Umgang mit Daten zu begleiten. Transparenz, rechtliche Compliance und das Konzept der Nutzerkontrolle sollen durch technische und organisatorische Lösungen sowie methodische Konzepte unterstützt werden. Betroffene sollen über eine Dashboard-Anwendung in die Lage versetzt werden, den komplexen Fluss ihrer Daten nachzuvollziehen und feinjustiert die Kontrolle über ihre Daten und deren Verwendung bei allen teilnehmenden Verantwortlichen zu übernehmen. Im Projekt wird dabei ein besonderer Schwerpunkt auf der Usability der Anwendung liegen, also auf der Verständlichkeit der App und deren Funktionen. Verständlichkeit von Informationen verkörpert den Datenschutzgrundsatz der Transparenz in besonderem Maße.
Data Privacy Vocabularies and Controls Community Group
Die Gruppe befasst sich mit der Erarbeitung eines Vokabulars, das es gestattet, Aussagen zu Datennutzung, Inhalt und Umfang von Einwilligungen und Rechtsgrundlagen sowie weiterer Datenschutzaspekte computerlesbar und -auswertbar zu gestalten und diese Informationen beispielsweise zusammen mit den Daten abzulegen oder weiterzugeben. Dies bereitet z. B. die Grundlage für feingranulare Einwilligungs- und Berechtigungskonzepte mit der Möglichkeit für Rückfragen etwa zur Verarbeitung für weiter gehende Zwecke.
Einen grundlegenden Beitrag für eine solche Lösung stellt das unter dem Dach des World Wide Web Consortium (W3C) in kontinuierlicher Entwicklung befindliche Vokabular zur Automatisierung dar. Bereits das Vorgängerprojekt SPECIAL war an diesem Vorhaben wesentlich beteiligt, und das Projekt TRAPEZE wird weitere Impulse liefern.
https://www.w3.org/community/dpvcg/
Kurzlink: https://uldsh.de/tb39-8-4a
Weiteres Standbein der im Projekt SPECIAL begründeten und nunmehr fortzuentwickelnden Lösung ist das Konzept einer dynamischen Einwilligung (Dynamic Consent). Die Nutzung personenbezogener Daten für andere Verwendungszwecke oder eine Weitergabe an Dritte bedarf grundsätzlich einer Rechtsgrundlage und der Transparenz für die Betroffenen. Mittels Kommunikation mit den betroffenen Personen wird nicht nur die nötige Transparenz für eine Nachvollziehbarkeit hergestellt, sondern auch entweder die Einwilligung eingeholt bzw. aktualisiert oder aber eine bestehende gesetzliche Rechtsgrundlage kommuniziert. Betroffene werden damit in die Lage versetzt, von ihren Rechten Gebrauch zu machen.
https://www.datenschutzzentrum.de/projekte/trapeze/
Kurzlink: https://uldsh.de/tb39-8-4b
Was ist zu tun?
Der Weg in einen europäischen Datenmarkt birgt Risiken für Datenschutz und Grundrechte. Technologien für Datenaustausche und -verkäufe müssen Transparenz herstellen und Rechte der Betroffenen gewährleisten können.
Zurück zum vorherigen Kapitel | Zum Inhaltsverzeichnis | Zum nächsten Kapitel |