08

Kernpunkte:

  • Schutzräume für Kinder
  • Datenschutz und Cybersecurity
  • Transparenz und Usability 

 

8    Modellprojekte und Studien

Das Unabhängige Landeszentrum für Datenschutz hat als Behörde der Landesbeauftragten für Datenschutz seine Aktivitäten in Initiativen im Bereich drittmittelfinanzierter Projekte und Studien fortgesetzt. Damit ist das ULD weiterhin im Bereich der Kooperation mit der Wissenschaft aktiv und erhält sich damit die Möglichkeit, proaktiv an der Erforschung datenschutzspezifischer Fragen und der Gestaltung einschlägiger Technologien und Lösungen mitzuwirken.

Im Berichtszeitraum wurden Projekte von der Europäischen Kommission und dem Bundesministerium für Bildung und Forschung (BMBF) gefördert. Beteiligungen an Projekten erfolgten weiterhin dort, wo entweder besondere datenschutzfördernde Lösungen (englisch: „Privacy Enhancing Technologies“, kurz PETs) erforscht und entwickelt werden sollen oder wo besondere Risiken für Rechte und Freiheiten natürlicher Personen bestehen.

Im Berichtszeitraum beteiligte sich das ULD an Projekten zu aktuellen Themen in den Bereichen Privatheit und selbstbestimmtes Leben (Tz. 8.1), Datenschutz für Smartphone-Anwendungen (Tz. 8.2), Datenschutz in digitalen Arbeitswelten (Tz. 8.3), Cybersicherheit und Datenschutz (Tz. 8.4), Transparenz- und Einwilligungsmanagement (Tz. 8.5) sowie zu Fragen der Nutzbarkeit (englisch: „Usability“) und Datenschutz (Tz. 8.6).

 

8.1          Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt: Schutzräume nötig

Angesichts der kurzen Projektzyklen im Bereich der Digitalisierung fast schon ein Projekt der Großelterngeneration: das interdisziplinäre „Forum Privatheit“ zur Gewährleistung und Weiterentwicklung informationeller Selbstbestimmung und des Privaten in der digitalen Welt, das bereits im Dezember 2013 gestartet ist und bis März 2021 laufen wird.

Forum Privatheit
Das „Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt“ ist ein vom BMBF gefördertes interdisziplinäres Projekt, das sich mit Fragen des Datenschutzes, der Privatheit, der Selbstbestimmung und digitalen Grundrechten beschäftigt. Das Projekt bringt Wissenschaftlerinnen und Wissenschaftler aus Disziplinen wie Technik, Recht, Soziologie, Psychologie, Politologie, Wirtschaftswissenschaften und Ethik zusammen.

Auch im Berichtsjahr wurde wieder an Veröffentlichungen für Akteure im politischen Bereich (Policy Paper) und für Forschung, Anwendung und Nutzende (White Paper oder Forschungsberichte) gearbeitet. Nachdem in den Vorjahren die Fokusthemen „Fortentwicklung des Datenschutzes“ (2017) und „Zukunft der Datenökonomie“ (2018) behandelt worden waren, ging es im Jahr 2019 um Inklusion und Exklusion. So beteiligte sich das ULD an der Jahreskonferenz zum Thema „Aufwachsen in überwachten Umgebungen – Wie lässt sich Datenschutz in Schule und Kinderzimmer umsetzen?“. Das Forum Privatheit fordert einen digitalen Schutzraum für Kinder, denn bei ihnen handelt es sich um eine besonders vulnerable Gruppe, deren Schutz in der Online-Welt bisher nicht ausreichend gewährleistet ist.

Weiterhin wurde im Berichtsjahr eine Methode zur Dokumentation von Verarbeitungsvorgängen und Identifizierung von Risiken für Grundrechte und Grundfreiheiten entwickelt und im Rahmen der Veröffentlichung in einer Fachzeitschrift vorgestellt. Zwei Veröffentlichungen zur datenschutzrechtlichen Einwilligungserklärung wurden begonnen und werden im kommenden Jahr abgeschlossen sein.

Außerdem richtete das Projektteam zusammen mit anderen Partnern einen internationalen Workshop zu „Feminist Data Protection“ aus, bei dem Machtasymmetrien aus unterschiedlichen Perspektiven beleuchtet wurden. Überwachung in verschiedenen Ausprägungen (geschlechtsspezifische Stereotypen, DNA-Analysen oder Stalking und häusliche Gewalt in und mithilfe von Smart Homes) gehörte zu den Schwerpunkten der Diskussion:

https://www.forum-privatheit.de/veranstaltungen/workshop-feminist-data-protection/ [Extern]
Kurzlink: https://uldsh.de/tb38-81

Wie stets zielt das Forum Privatheit auf eine dynamische Vernetzung der verschiedenen Fach- und Praxis-Communities je nach Thema und Interessenschwerpunkten. Einige der Ergebnisse richten sich an den Gesetzgeber, andere an die Technikentwicklung, wieder andere stellen Best Practices vor, an denen man sich bei der Gestaltung und beim Einsatz von Verarbeitungsverfahren orientieren kann. Unsere Rolle besteht nicht nur darin, die Praxistauglichkeit der Ergebnisse zu prüfen, sondern der Austausch mit der Wissenschaft ist für alle Seiten befruchtend.

https://forum-privatheit.de [Extern]

 

8.2          Projekt AppPETs – Datenschutz eingebaut in Smartphone-Anwendungen

Im Projekt „Datenschutzfreundliche Smartphone-Anwendungen ohne Kompromisse“ (AppPETs) (37. TB, Tz. 8.2.2) hatte das ULD die datenschutzrechtliche Themenbearbeitung übernommen. Im Berichtszeitraum galt es u. a. ein gesetzgeberisches Vorhaben zu bewerten, das für das Projekt AppPETs einige Relevanz haben könnte: Der Gesetzentwurf von März 2019 zur Ergänzung des § 126a StGB sieht vor, das Anbieten von Leistungen zur Ermöglichung von Straftaten unter Strafe zu stellen. Angesprochen werden sollen etwa Handelsplattformen für Drogen und Waffen im Darknet, z. B. Dienste im Tor-Netzwerk. Konkret lautet der Normentwurf zur Aufnahme in das Strafgesetzbuch: „§ 126a Anbieten von Leistungen zur Ermöglichung von Straftaten (1) Wer eine internetbasierte Leistung anbietet, deren Zugang und Erreichbarkeit durch besondere technische Vorkehrungen beschränkt und deren Zweck oder Tätigkeit darauf ausgerichtet ist, die Begehung von rechtswidrigen Taten im Sinne von Satz 2 zu ermöglichen oder zu fördern, wird mit […] bestraft, […].“

Die in der Norm beschriebenen Dienste erfassen vom Wortlaut auch solche, die als datenschutzfördernde Lösungen (PETs) den Schutz betroffener Personen erhöhen. Typische technische und organisatorische Maßnahmen im Datenschutz zielen gerade darauf ab, Zugang und Erreichbarkeit durch besondere technische Vorkehrungen zu beschränken, also etwa Inhalte zu verschlüsseln. Der Einsatz von Anonymisierungsdiensten sowohl auf Nutzer- als auch auf Anbieterseite („Hidden services“) ist zudem ein wichtiges Werkzeug für den Selbstdatenschutz.

Das Anbieten von Leistungen zur Ermöglichung von Straftaten kann in der Praxis zu weit verstanden werden. Es werden vielfältige internetbasierte Leistungen angeboten, deren Ziel nicht eine Straftat ist, aber die dennoch Straftaten im weitesten Sinne ermöglichen. Bleibt die Norm unverändert, erfasst der Wortlaut Betreiber technischer Infrastrukturen, die anonyme, verschlüsselte und zugangsbeschränkte Dienste anbieten, und erst durch die korrekte Auslegung des Zwecks des Betriebs entfällt die Tatbestandsmäßigkeit. Damit stehen Betreiber vor dem Risiko, sich ungerechtfertigter Maßnahmen von Strafverfolgungsbehörden ausgesetzt zu sehen, da subjektive Elemente wie die Intention des Betreibers kaum umfassend bei der Vorabprüfung eines Anfangsverdachts ermittelt werden können.

Im Ergebnis war damit zu dem Gesetzentwurf festzuhalten, dass dieser in unveränderter Form zunächst zu erheblicher Rechtsunsicherheit beiträgt. Dies steht im Gegensatz zur europaweiten Stärkung der Datenschutzrechte durch die DSGVO. So ist Selbstdatenschutz nicht nur ein Element des Datenschutzes durch Technikgestaltung nach Artikel 25 DSGVO, sondern leitet sich schon aus dem Datenschutzgrundsatz der Fairness der Datenverarbeitung nach Art. 5 Abs. 1 Buchst. a DSGVO ab.

https://www.datenschutzzentrum.de/projekte/apppets/

 

8.3          Projekt EMPRI-DEVOPS – Datenschutz in digitalen Arbeitswelten

Das Projekt „Employee Privacy in Software Development and Operations” (EMPRI-DEVOPS) (37. TB, Tz 8.3.1) beschäftigt sich seit November 2018 mit dem datenschutzkonformen Einsatz von Softwaretools in zunehmend digitalisierten Arbeitswelten. Projektziel ist die datenschutzfreundliche Gestaltung von Softwareprodukten, die typischerweise im Kontext der agilen Softwareprogrammierung und der Systemadministration zum Einsatz kommen.

Der Projektfokus gibt damit einen Vorgeschmack auf die sogenannte Arbeit 4.0, bei der der Einsatz von Softwareprodukten mit informations- und kommunikationstechnologischen Komponenten zunehmend Bedeutung erlangt. Bereits heute bedingen Heimarbeit bzw. mobiles Arbeiten in der Regel den Einsatz von Tools, etwa zum zeitnahen Austausch von Ergebnissen oder gemeinsamer Bearbeitung in Echtzeit.

Arbeit 4.0
Der Begriff Arbeit 4.0 umfasst den Veränderungsprozess der Arbeitswelt einschließlich der Chancen und Risiken im Zeitalter der Digitalisierung.

Um die Chancen der Digitalisierung auch im Erwerbsleben nutzen zu können, bedarf es intelligenter Softwarelösungen, die die datenschutzrechtlichen Vorgaben zum Schutz der Persönlichkeitsrechte von Beschäftigten und weiteren Mitarbeitenden (auch außerhalb eines Beschäftigungsverhältnisses) wirksam umsetzen.

Teils als Nebenfolge, teils beabsichtigt fallen bei der Toolnutzung zahlreiche Metadaten an. Werden diese strukturiert ausgewertet und analysiert, können weiter gehende personenbezogene Informationen über die einzelnen Nutzerinnen und Nutzer offenbart werden.

Inferenzrisiko
Ein Inferenzrisiko besteht, wenn sich aus vorhandenen Daten, etwa den bei der Nutzung von Kooperationstools anfallenden Metadaten, weitere sensible Informationen ableiten lassen. So können etwa Rückschlüsse auf Tagesabläufe und Arbeitsgewohnheiten aus Zeitstempeln der Aktivitäten (z. B. Bereitstellung von bearbeiteten Dokumenten) erlangt werden.

Mit zunehmender Softwarenutzung fallen auch mehr dieser digitalen Datenspuren an, die Rückschlüsse auf das Verhalten von Beschäftigten und weiteren Mitarbeitenden als Nutzende der Software ermöglichen und schnell das zulässige Maß an Leistungskontrolle oder Überwachung überschreiten können. Der Wandel in der Arbeitswelt und neue arbeitsteilige Gestaltungsformen, etwa projektbezogene Zusammenarbeit über Unternehmensgrenzen hinweg, machen zudem die Zuordnung und Zuständigkeit für Datenbestände schwer bestimmbar. Dies ermöglicht auch Externen Rückschlüsse auf Beschäftigtendaten oder interne Betriebsabläufe. Daher ist eine stärkere Beachtung des Schutzbedarfs dieser digitalen Datenspuren von Softwarenutzerinnen und ‑nutzern geboten.

Der Tooleinsatz im Beschäftigungskontext unterliegt aufgrund dieses Überwachungspotenzials regelmäßig der betrieblichen Mitbestimmung. Betriebs- und Personalräte müssen daher künftig auch die anfallenden Metadaten und Zusatzfunktionalitäten von Softwareprodukten stärker in den Blick nehmen. Unternehmen müssen sich als Verantwortliche dieser Risiken bewusst sein.

https://datenschutzzentrum.de/projekte/empri-devops/

 

Was ist zu tun?
Bei zunehmender Softwarenutzung im Beschäftigungskontext besteht die Gefahr übermäßiger Verhaltens- und Leistungskontrollen der Beschäftigten. Bei Auswahl, Konfiguration und Betrieb von Softwareprodukten sollten diese Risiken berücksichtigt werden.

 

8.4          Cybersicherheit und Datenschutz

Datenschutz und die effektive Gewährleistung von Cybersicherheit für Bürgerinnen und Bürger sowie die digitale Infrastruktur stehen in einem komplexen Verhältnis zueinander. Beide dienen dem Schutz der Menschen. Datenschutz in einer digitalisierten Welt kann nicht ohne technischen Schutz von Daten auskommen, der auch auf Infrastrukturebene gewährleistet sein muss. Umgekehrt ist für die Erkennung von Gefahren für kritische Infrastrukturen eine breite Datenbasis erforderlich. Hier bestehen einerseits berechtigte Bedarfe, andererseits aber auch darüber hinausgehende Begehrlichkeiten an Daten, auch an personenbezogenen oder personenbeziehbaren Daten. Hier gilt es im Einklang mit den Rechten und Freiheiten der betroffenen natürlichen Personen zu differenzieren und effektive technische und rechtliche Schutzmaßnahmen vorzusehen.

Gegenstand des EIDI-Projekts ist die effiziente Unterrichtung und Frühwarnung betroffener Personen über erfolgte Datenlecks und das Risiko von Identitätsdiebstählen (Tz. 8.4.1). Auf europäischer Ebene engagierte sich das ULD in den Projekten CANVAS (Tz. 8.4.2) mit Ausarbeitungen zum Spannungsverhältnis zu Recht und Ethik und PANELFIT (Tz. 8.4.3) mit Schwerpunkten im Bereich der Forschung von Informations- und Kommunikationstechnologien.

 

8.4.1       Projekt EIDI – verlässliche Benachrichtigung von Betroffenen nach Cybervorfällen

Identitätsmissbrauch ist für die betroffenen Personen im geringsten Fall lästig, oftmals jedoch eine Gefahr für die Reputation oder birgt handfeste finanzielle Risiken. Nutzerinnen und Nutzer haben nur eingeschränkte Möglichkeiten, sich dagegen zu wehren. Um Opfer zu werden, müssen sie in der Kette der Ereignisse auch nicht etwas falsch gemacht haben. Werden Zugangsdaten, etwa die Kombination von Nutzername und Passwort, bei Diensteanbietern nicht zuverlässig gegen externe oder interne Angreifer (etwa unzufriedene Beschäftigte) gesichert, können diese in falsche Hände geraten. Informationen aus solchen sogenannten „Leaks“ werden teilweise im Internet zum Kauf, Tausch oder frei angeboten. Bleibt der Sicherheitsvorfall unbemerkt, können solche Zugangsdaten sodann von Kriminellen unerkannt zur Nutzung des betreffenden Dienstes verwendet werden.

Oftmals ist das Risiko nicht nur auf einen Dienst beschränkt, denn es kommt gar nicht selten vor, dass Nutzerinnen und Nutzer aus Bequemlichkeit identische Zugangsdaten für mehrere Dienste gewählt haben. Angreifer probieren diese daher bei verschiedenen Diensten aus („Credential Stuffing“). Bei ausreichend großen Datensammlungen ist dieses Vorgehen für die Kriminellen vergleichsweise Erfolg versprechend. Die Nutzenden selbst haben es nicht mehr in der Hand, dies zu erkennen oder hiergegen rechtzeitig vorzugehen. Haben die betroffenen Diensteanbieter den Anmeldeverkehr mit geeigneten Maßnahmen im Blick, können zumindest bestimmte Abweichungen oder Muster möglicherweise noch rechtzeitig erkannt und schützende Maßnahmen ergriffen werden.

Credential Stuffing
Nutzende verwenden oft dieselben Log-in-Daten für mehrere Dienste. Erlangen Kriminelle Listen von Zugangsdaten, probieren sie diese daher automatisiert bei diversen Online-Diensten aus.

In dem vom BMBF geförderten Projekt „Effektive Information nach digitalem Identitätsdiebstahl“ (EIDI) (37. TB, Tz. 8.4.1) wurde erforscht, wie auf Grundlage veröffentlichter Datensammlungen Schutzmaßnahmen ergriffen und Betroffene zielführend unterrichtet werden können.

Aufbauend auf die im Projekt erlangten Erkenntnisse bietet die Universität Bonn als EIDI-Projektpartner einen Leak-Checker-Dienst an, der es gestattet zu prüfen, ob die eigene E‑Mail-Adresse von den dort bekannten Datenlecks betroffen ist, und das Ergebnis per E-Mail an die getestete Adresse zu erhalten. Die mit dem Projekt kooperierenden Diensteanbieter haben zudem die Möglichkeit, proaktiv ihre Kundinnen und Kunden zu schützen, indem sie deren Daten mit denen der Leak-Datenbank abgleichen. Dabei dürfen die Informationen nicht etwa frei zwischen den Partnern zirkulieren. Vielmehr wurde ein datensparsames Verfahren entwickelt, bei dem die kooperierenden Diensteanbieter ausschließlich erfahren können, ob konkrete Zugangsdaten in einem bestimmten Leak enthalten waren und ob das darin enthaltene Passwort für den eigenen Dienst funktioniert. Umgekehrt erfährt auch die Stelle, die die Leak-Daten sammelt und für die Kooperationspartner aufbereitet, nichts über deren Kundenstamm.

https://www.datenschutzzentrum.de/projekte/eidi/

 

Was ist zu tun?
Diensteanbieter können den Anmeldeverkehr auf ihren IT-Systemen datenschutzkonform im Blick behalten und vertrauenswürdige Leak-Checker-Dienste in Anspruch nehmen. Dann können betroffene Personen informiert und das Risiko eines Identitätsmissbrauchs eingedämmt werden.

 

8.4.2       Projekt CANVAS – Cybersicherheit zwischen Technik, Ethik und Recht

Das von der Europäischen Kommission geförderte Projekt „Constructing an Alliance for Value-driven Cybersecurity“ (CANVAS) (37. TB, Tz. 8.4.2) zielte darauf ab, ein Expertennetzwerk für Cybersicherheit zu schaffen, in dem Technikentwicklerinnen und -entwickler mit Rechtsexpertinnen und -experten, Ethikerinnen und Ethikern sowie Sozialwissenschaftlerinnen und -wissenschaftlern zusammengebracht werden. Außerdem ging es darum, politische Entscheidungsträger über die wesentlichen Konfliktfelder und mögliche Lösungsansätze zu informieren.

Der zunehmende Einsatz von Informations- und Kommunikationstechnologien in allen Bereichen der modernen Welt macht oft das Leben leichter und kann Vielfalt, Kreativität und Interaktivität fördern. Zugleich jedoch wächst damit die Abhängigkeit von Menschen und Organisationen von diesen Technologien, die nie vollständig sicher und zuverlässig geschützt sein können. Daher ist die Cybersicherheit zu einer Angelegenheit von globalem Interesse und Bedeutung geworden. Dementsprechend ist der Cybersicherheitsdiskurs von der ständig wachsenden Vielfalt der Bedrohungsformen geprägt, die von einfachen Computerviren über Cyberkriminalität und Cyberspionageaktivitäten bis hin zu Cyberterror und Kriegsführung im digitalen Raum reichen.

Diese wachsende Komplexität des digitalen Ökosystems in Kombination mit zunehmenden globalen Risiken führt zu einem grundrechtlichen Zielkonflikt: Eine Überbetonung der Cybersicherheit kann Grundwerte wie Gleichheit, Fairness, Freiheit oder Privatsphäre verletzen. Andererseits könnte die Vernachlässigung der Cybersicherheit das Vertrauen der Bürgerinnen und Bürger in die digitale Infrastruktur untergraben und bei einem erfolgreichen Cyberangriff ganz konkrete Folgen für Gesundheit, Sicherheit und Grundversorgung der Bürgerinnen und Bürger bedingen. Um dieser Herausforderung zu begegnen, hat die Europäische Kommission das CANVAS-Projekt damit beauftragt herauszufinden, wie Cybersicherheit mit den Grundrechten und europäischen Werten in Einklang gebracht werden kann. Cybersecurity berührt nicht nur den technischen Bereich, sondern auch andere Domänen wie etwa Ethik, Recht oder Soziologie mit verschiedenen Forschungsmethoden. Daher war es wichtig, Expertinnen und Experten aus den unterschiedlichen Bereichen zusammenzubringen und gemeinsam nach Lösungen zu suchen, die als Fundament die europäischen Grundwerte, Grundrechte und Grundfreiheiten haben.

Das CANVAS-Projekt hat Vertreterinnen und Vertreter aus den Sektoren Gesundheit, Finanzen sowie nationale Sicherheit für Diskussionen über die sektorspezifischen Herausforderungen zusammengebracht. In themenbezogenen Workshops wurde gemeinsam nach geeigneten Lösungen gesucht, wobei ein besonderer Fokus auf ethischen Fragen aus Wissenschaft und Wirtschaft lag.

Die herausgearbeiteten Diskussionsergebnisse und Lösungsansätze wurden anschließend in vielfältiger Weise der Öffentlichkeit, der Forschung und Lehre sowie der Politik präsentiert und zur weiteren Verwendung aufbereitet. Dies wird in eine Buchveröffentlichung einfließen.

Das Material des europäischen Projektteams wurde vorwiegend in englischer Sprache erstellt, um zeitnah einen internationalen Diskurs zu ermöglichen. Es besteht aus:

  • mehreren White Papers zur Cybersecurity jeweils in Relation zu Ethik, Recht bzw. technischen Herausforderungen sowie einer Darstellung der durch das Projekt ermittelten Haltungen und Meinungen zum Thema von Bürgerinnen und Bürgern auf der einen Seite und staatlichen Stellen auf der anderen Seite,
  • „Briefing Packages“ als prägnante Kurzpapiere der Projektergebnisse für europäische und nationale Normgeber,
  • einem Muster-Curriculum für die Ausbildung an Hochschulen im Cybersecurity-Bereich mit besonderem Augenmerk auf die Werteperspektive,
  • einem zu dem Curriculum passenden „Massive Open Online Course (MOOC)“ mit Online-Schulungsmaterial, Tutorien und Videos.

Das Material ist frei auf der Webseite des CANVAS-Projekts verfügbar:

https://www.datenschutzzentrum.de/projekte/CANVAS/

 

8.4.3       Projekt PANELFIT – Cybersicherheit und Datenschutz

Die Datenschutz-Grundverordnung und die weiterhin im Gesetzgebungsprozess befindliche E-Privacy-Verordnung sind mit wichtigen Änderungen und Weiterentwicklungen im Bereich Datenschutz verbunden. Das von der EU-Kommission geförderte Projekt „Participatory Approaches to a New Ethical and Legal Framework for ICT” (PANELFIT) (37. TB, Tz. 8.4.3) will dazu beitragen, dass solche Änderungen schnell und vollständig von allen europäischen Akteuren im Bereich der Technikforschung und Innovation aufgegriffen und umgesetzt werden. Während das Projekt auch ethische Aspekte betrachtet, konzentriert sich das ULD auf den Datenschutz. Das ULD stützt sich dabei auf seine jahrelange Erfahrung in nationalen und internationalen Forschungsprojekten. Auf dieser Basis gestaltet es Beiträge zu den praxisorientierten Richtlinien, die das PANELFIT-Projekt für in der Forschung Tätige zusammenstellt, und den Empfehlungen für Entscheidungsträger wie z. B. Förderträger im Bereich der Informations- und Kommunikationstechnologien.

Im Jahr 2019 hat das PANELFIT-Projekt mehrere Workshops mit externen Expertinnen und Experten veranstaltet, um herauszuarbeiten, an welchen Stellen in der Technikforschung und Innovation die neuen gesetzlichen Datenschutzregeln nicht ausreichend umgesetzt werden. Das ULD hat aktiv an der Organisation, Moderation und Diskussion mitgewirkt. Aufgrund dieses Inputs und weiterführenden Recherchen hat das PANELFIT-Projekt Herausforderungen und bisherige Defizite bei der Umsetzung des neuen Rechtsrahmens erkannt und aufgezeigt, teilweise konnten auch schon Lösungen vorgeschlagen werden.

Zu den Herausforderungen, die dem ULD besonders am Herzen liegen, gehört die durchaus wünschenswerte Initiative der Europäischen Kommission, in Europa Forschungsergebnisse und Daten frei zu teilen (sogenanntes „Open Access“). Dies kann jedoch im Konflikt mit Datenschutzanforderungen stehen. Eine Klärung, wie das faire Teilen personenbezogener Daten in der Forschung möglich wäre, soll hier Abhilfe schaffen. Das ULD hat gegenüber der Kommission die Notwendigkeit einer solchen Klärung begründet und erste Ansätze für datenschutzwahrende Teilungsstrategien erarbeitet.

Ein anderes Anliegen des ULD ist der Umgang mit unvorhergesehenen Situationen in der Forschung. Zum Beispiel kann ein Forschungsprojekt im Umfeld der geplanten Arbeit unerwartet größere Datenschutzproblemfelder aufdecken. Dies hat das ULD im Projekt iKoPA (zuletzt 37. TB, Tz. 8.6.1) auch wirklich erlebt, als klar wurde, dass die auf jedem Handy installierten „Location Services“ alle Bewegungen von mit WLAN ausgerüsteten Fahrzeugen an zentrale Server melden (Stichwort „WiFi-Tracking“).

https://uld-sh.de/LStrack

Aufgrund der eigenen Schwierigkeiten, wie man außerhalb der geplanten Projektarbeit und ‑dauer hinaus bewirken kann, dass solche Probleme nicht einfach unter den Tisch fallen, sondern von den relevanten Akteuren erkannt und gelöst werden, versucht das ULD Lösungsvorschläge für Forschungsprogramme zu erarbeiten.

Es gibt außerdem viele Fragen in der täglichen Arbeit der Forschenden. So besteht beispielsweise der Bedarf an praktischen und leicht verständlichen Anleitungen, wie man Cookies und Cookie Policies auf Projektwebseiten datenschutzgerecht handhabt.

https://www.datenschutzzentrum.de/projekte/panelfit/

 

8.5          Projekt SPECIAL – Transparenz- und Einwilligungsmanagement für das semantische Netz

In dem von der Europäischen Kommission geförderten Projekt „Scalable Policy-awarE linked data arChitecture for prIvacy, trAnsparency and compLiance“ (SPECIAL) (37. TB, Tz. 8.5.1) sind neue datenschutzfördernde Konzepte und Technologien entwickelt worden. Die Anforderungen der Datenschutz-Grundverordnung in Bezug auf eine einwilligungsbasierte Verarbeitung personenbezogener Daten lassen sich mit einem gut durchdachten Einwilligungsmanagement umsetzen, das hinreichende Transparenz, Information sowie die Inanspruchnahme der Betroffenenrechte unterstützt. Jedoch stellt gerade dies häufig die Anwenderinnen und Anwender von Big-Data-Technologien vor große Herausforderungen. Das Projekt SPECIAL hat daher verschiedene Lösungsansätze verfolgt, die einzeln oder in Kombination zu einer Verbesserung des Datenschutzes beitragen können:

  • Die Entwicklung einer Managementumgebung für Verarbeitungsrichtlinien (Policy Management Framework), die dem Verantwortlichen eine bessere Kontrolle über die verarbeiteten personenbezogenen Daten ermöglicht. Dies umfasst maschinenlesbare Zugriffs- und Verarbeitungsrichtlinien, die zugleich eine Überprüfbarkeit der Verarbeitung gewährleisten.
  • Die Entwicklung eines Transparenz- und Compliance-Frameworks, das den betroffenen Personen die notwendigen Informationen darüber vermittelt, wie Daten verarbeitet und wem sie übermittelt werden. Dies soll in einer Weise geschehen, dass betroffene Personen tatsächlich und ohne das Lesen sonst oft seitenlanger, für den Laien unverständlicher Datenschutzerklärungen in die Lage versetzt werden, vor Abgabe einer Einwilligung umfassend über die beabsichtigte Datenverarbeitung informiert zu sein.
  • Die Entwicklung einer skalierbaren Architektur, die in der Lage ist, die Verarbeitungsrichtlinien zu unterstützen und so Berechtigungen auch computerauswertbar abzubilden.

Die entwickelten Lösungsansätze wurden in verschiedenen Testanwendungsfällen auch für Mobilgeräte evaluiert und verbessert. Die Umsetzung sollte zeigen, dass eine Wertschöpfung aus geteilten Daten bzw. Big Data unter Einhaltung datenschutzrechtlicher Belange möglich ist und zum Vertrauen der Nutzerinnen und Nutzer in digitale Dienste beiträgt. Zu diesem Zweck wurden Nutzerstudien durchgeführt, die mit ihren konstruktiven und positiven Ergebnissen eine Fortentwicklung der Umsetzung von Transparenz und Information für die betroffenen Personen ermöglichen. Des Weiteren hat sich das Projekt SPECIAL in der „W3C Data Privacy Vocabularies and Controls Community Group“ (DPVCG) engagiert, um die Standardisierung einer DSGVO-konformen Taxonomie zu unterstützen. Diese enthält Datenschutzbegriffe und Klassifizierungen z. B. für Kategorien personenbezogener Daten, Verarbeitungszwecke, Rechtsgrundlagen der DSGVO, Speicherfristen sowie Art und Umfang der Verarbeitung. Ziel ist, alle relevanten Umstände der Verarbeitung personenbezogener Daten in computerverwertbarer Form abbilden zu können:

https://www.w3.org/community/dpvcg/ [Extern]

Zentrales rechtswissenschaftliches Ergebnis sind schließlich die Ausarbeitungen zu dynamisch erteilten Einwilligungen („Dynamic Consent“). Statt betroffenen Personen lange, komplexe Einwilligungserklärungen vorzulegen wird eine Rahmenvereinbarung über die Datenverarbeitung getroffen. Sie gestattet, bei Bedarf weiter gehende Einwilligungen einzuholen. Daneben kann eine verlässliche digitale Kommunikationsmöglichkeit, etwa via App, bereitgestellt werden. Ergibt sich ein Rückfragebedarf, z. B. wenn der Verantwortliche aus einer Analyse der vorhandenen Daten neue Informationen erlangt oder beabsichtigt, vorhandene Daten zu geänderten Zwecken zu verarbeiten, kann die betroffene Person auf diesem Wege erreicht werden. Verantwortliche erhalten so Rechtssicherheit und nachweisbare Compliance, für betroffene Personen gibt es ein Mehr an Transparenz feiner differenzierter Entscheidungsmöglichkeiten. Beides ist für vertrauenswürdige Big-Data-Anwendungen wünschenswert.

https://www.datenschutzzentrum.de/projekte/special/

 

8.6          Projekt Privacy&Us – Usability für das Internet of Things

Das durch die Europäische Union geförderte Projekt „Privacy&Us – Usability für das Internet of Things“ förderte junge Wissenschaftlerinnen und Wissenschaftlicher im Rahmen eines Forschungsnetzwerks aus Universitäten, Unternehmen und weiteren Stellen. Thematisch befasste sich das Netzwerk mit unterschiedlichen Aspekten des Datenschutzes unter dem Blickwinkel der Benutzerfreundlichkeit (Usability). Am ULD wurden etwa Vorschläge erarbeitet, wie im Internet der Dinge die nötige Transparenz über Datenverarbeitungsvorgänge hergestellt werden könne (37. TB, Tz. 8.6.3). Diese müsse sowohl für Endnutzer als auch für Verantwortliche verständlich und inhaltlich leicht zugänglich sein, um das jeweils mit der Datenverarbeitung verbundene Risiko beurteilen und die angemessenen technischen und organisatorischen Maßnahmen auswählen und umsetzen zu können. Die laufenden Forschungen wurden fortgesetzt.

Im Berichtszeitraum waren am ULD zudem zwei Nachwuchsforschende des Netzwerks zu Gast. In enger Zusammenarbeit mit dem Wissenschaftler aus Karlstad, Schweden, und dem SPECIAL-Projektteam am ULD (Tz. 8.5) entstand ein Beitrag mit Anregungen für die Gestaltung einer App für das Management von „Dynamic Consent“, d. h. also Einwilligungserklärungen mit einer dynamischen Komponente. Eine solche App muss sowohl hinreichend informieren als auch individuelle Einstellungen ermöglichen, darf aber die Nutzenden zugleich nicht überfordern. Die gezielte Berücksichtigung von Gesichtspunkten der leichten und effizienten Nutzbarkeit und Benutzerfreundlichkeit ermöglicht hier den Brückenschlag.

Des Weiteren wurde im Rahmen der „Digitalen Woche Kiel“ in Kooperation mit der Wirtschaftsuniversität Wien ein Vortrag über Datenschutzaspekte von Sprachassistenten angeboten.

 

Zurück zum vorherigen Kapitel Zum Inhaltsverzeichnis Zum nächsten Kapitel