Skip to main content

White Paper „Datenschutz-Folgenabschätzung“

Folgenabschätzungen als „Frühwarnsysteme“ für einen verbesserten Datenschutz

Ein neues White Paper des Forum Privatheit, das vom Fraunhofer-Institut für System- und Innovationsforschung ISI koordiniert wird, befasst sich mit der möglichen Ausgestaltung künftiger Datenschutz-Folgenabschätzungen (DSFA) und gibt Hilfestellungen zu deren praktischer Durchführung. Weil diese Instrumente mit Einführung der europäischen Datenschutz-Grundverordnung ab 2018 für Technologieanbieter und Systembetreiber verpflichtend werden, stellt das White Paper „Datenschutz-Folgenabschätzung – Ein Werkzeug für einen verbesserten Datenschutz“ bereits jetzt erste grundlegende Informationen zu dieser Neuerung bereit. Die Folgenabschätzungen sollen Technikanbietern, Datenschutz-Aufsichtsbehörden sowie der Öffentlichkeit helfen, die vorwiegend durch datenverarbeitende Technologien entstehenden Risiken für den Datenschutz wirksam abzuschätzen und diese von vornherein so gering wie möglich zu halten.

Bei der Nutzung vieler Dienste und Angebote im Internet wie etwa beim Online-Shopping, in sozialen Netzwerken oder selbst auf den Webseiten staatlicher Behörden werden häufig personenbezogene Daten gesammelt. Nutzerinnen und Nutzer können sich dieser Praxis bislang nur entziehen, wenn sie bestimmte Angebote ausdrücklich nicht nutzen – oder sich mit der Datensammlung einverstanden zeigen. Die dadurch entstehenden Risiken sind in der Öffentlichkeit bislang nur wenig bekannt, obwohl Medien immer wieder über Datenmissbrauch oder Datenpannen berichten.

Um künftig die Gefahren durch Datenverarbeitungspraktiken besser beurteilen zu können, müssen viele Technikanbieter und Systembetreiber ab 2018 bei ihren Angeboten und Diensten Datenschutz-Folgenabschätzungen vornehmen. Bisher ist jedoch offen, wie und nach welchen Kriterien dies genau erfolgen soll. Das White Paper „Datenschutz-Folgenabschätzung – Ein Werkzeug für einen verbesserten Datenschutz“ des Forum Privatheit setzt hier an und erarbeitet erste Grundzüge zur Ausgestaltung künftiger Datenschutz-Folgenabschätzungen und deren praktischer Durchführung. Die Auseinandersetzung hiermit ist auch deshalb wichtig, da die EU-Mitgliedsstaaten nach der Verabschiedung der Datenschutz-Grundverordnung im Jahr 2016  unmittelbar damit beginnen werden, diese bis 2018 in die Praxis umzusetzen.

Dr. Michael Friedewald, der am Fraunhofer ISI zur Auswirkung von neuen Technologien auf Datenschutz und Privatheit forscht und einer der Mitautoren des White Papers ist, hebt die große Bedeutung der Folgeabschätzungen hervor: „Datenschutz-Folgenabschätzungen ermöglichen nicht nur eine bessere Einschätzung der Risiken durch bestehende datenverarbeitende Technologien, sondern sie weisen auch frühzeitig und während des Entwicklungsstadiums als eine Art ‚Frühwarnsystem‘ auf eventuelle negative Konsequenzen für den Datenschutz hin. Bestehende Datenschutz-Mängel lassen sich damit rechtzeitig erkennen und noch während der Technologieentwicklung korrigieren. Der Datenschutz wird damit im Sinne des ‚Privacy by Design‘ bei der Einführung neuer Geräte oder Anwendungen von vornherein besser integriert“.

Die künftig gesetzlich vorgeschriebenen Datenschutz-Folgenabschätzungen bringen für ganz unterschiedliche Zielgruppen Vorteile mit sich: So könnten Technikanbieter und Systembetreiber die Technologieentwicklung besser steuern und sich spätere Nachbesserungen beim Datenschutzes sparen. Durch die Vermeidung von Datenpannen erübrigen sich zudem Kosten für deren Behebung, mögliche Schadenersatzansprüche und Imageschäden in der Öffentlichkeit. Davon profitieren auch die Bürgerinnen und Bürger, die in Zukunft auf Basis der Folgenabschätzungen einfacher entscheiden können, welche Online-Angebote sie nutzen wollen oder nicht. Über Zertifikate wäre es zum Beispiel schnell überprüfbar, ob Anbieter oder Betreiber Betroffenenrechte berücksichtigt haben – und die Unternehmen könnten hierdurch ihren Willen zur Achtung dieser Rechte zum Ausdruck bringen.

Neben den Technologieanbietern und Nutzern wären die Datenschutz-Folgeabschätzungen vor allem für Aufsichtsbehörden hilfreich. Die Durchführung standardisierter Folgenabschätzungen hat für Aufsichtsbehörden etwa den Vorteil, dass sie ihre Aufsichtspflicht in Zukunft besser wahrnehmen und mögliche Schwächen beim Datenschutz oder Rechtsverstöße schneller erkennen können. Zudem wären sie für Technologieanbieter und Systembetreiber eine geeignete Anlaufstelle, um Hilfestellungen zur Verbesserung von Produkten oder ihrer gesamten Datenverarbeitungspraxis zu bekommen.

Damit Datenschutz-Folgenabschätzungen in Zukunft ihr Potenzial gänzlich entfalten können, sollten sie mehrfach – und nicht nur einmal, etwa zu Beginn eines Produktlebenszyklus – durchgeführt werden. Damit ließe sich die gängige Sammelpraxis insgesamt verändern und Unternehmen für die stärkere Achtung von Bürgerrechten sensibilisieren, die sie häufig nicht im Detail kennen. „Steuerungsdilemmata“ und verspätete Nachbesserungen zur Stärkung des Datenschutzes am Ende der Entwicklungsphase würden damit obsolet, was allen betroffenen Seiten zugutekäme.

„Privatheit und Datenflut in der neuen Arbeitswelt“

Das Forum Privatheit und selbstbestimmtes Leben in der Digitalen Welt veröffentlicht ein White Paper zum Thema „Privatheit und Datenflut in der neuen Arbeitswelt – Chancen und Risiken einer erhöhten Transparenz„.

Trotz bestehender Forschung zum Thema Privatheit wurde der Unternehmenskontext als relevantes Forschungsgebiet bisher weitestgehend vernachlässigt. Bis zum jetzigen Zeitpunkt besteht insgesamt noch wenig Wissen über die konkreten Auswirkungen der Digitalisierung auf die Arbeitswelt – und in diesem Zusammenhang speziell auf den Faktor Privatheit. Daher setzt sich dieses Forschungsprojekt zum Ziel, die Auswirkungen digitaler Technologien auf die Privatheit von Arbeitnehmern greifbarer zu machen sowie die sich daraus ergebenden Chancen und Risiken zu identifizieren und entsprechende Gestaltungsvorschläge zu präsentieren.

Das vorliegende White Paper stellt den Versuch dar, erstmals die gesellschaftliche Kontroverse um Fragen der Privatheit und des Datenschutzes in der neuen Arbeitswelt ausschnittartig widerzugeben. Zu diesem Zweck stellt das Forum Privatheit den an der Kontroverse beteiligten Gruppen eine Plattform zur Verfügung, um verschiedene Argumente und Ansichten zum Themenfeld einzubringen. Es soll jedoch angemerkt sein, dass die Beiträge nicht die Sicht des Forums Privatheit widerspiegeln. Die vorliegende Ausarbeitung kann die Debatte zum Thema Privatheit in der neuen Arbeitswelt nicht final abschließen. Vielmehr soll sie diese eröffnen und einen Einblick in die neu entstehenden wissenschaftlichen Fragestellungen geben. Die Expertenmeinungen eignen sich somit als Grundlage für künftige Forschungsvorhaben.

Privatheit in den Medien

Das Forum Privatheit und selbstbestimmtes Leben in der Digitalen Welt veröffentlicht Forschungsbericht zum Thema „Privatheit in den Medien – Berichterstattung zum Thema Privatheit und Internet in deutschen Medien„.

Der Blick der Medien auf die Gesellschaft beeinflusst die Selbstbeobachtung der Gesellschaft wie auch ihre zukünftige Entwicklung. Besonders brisant ist die Rolle der Medien in Zeiten von Unsicherheit. Die Ereignisse der vergangenen Monate haben gezeigt, dass das Thema Privatheit aktuell als ein Paradebeispiel einer solchen Unsicherheit für Deutschland gelten kann. Aufgrund der gesellschaftlichen Bedeutung der medialen Abbildung dieses Themas ist es das Ziel der hier vorgestellten Inhaltanalyse, die Facet-ten des über Medien gespiegelten Verständnisses von Privatheit möglichst konkret zu erfassen. Aus den Daten zweier Monate des Jahres 2014 lassen sich erste Hinweise darauf ableiten, in welchen Zusammenhang Medien das Thema Privatheit setzen, wel-che Thesen sie vertreten und wie Privatheit im Kontext der Digitalisierung beurteilt wird.

Auf der Grundlage der hier vorgestellten Ergebnisse lässt sich feststellen, dass Medien derzeit insbesondere den Zugriff der Gesellschaft auf persönliche Daten von Bürgern im Blick haben, wenn sie von Privatheit sprechen. Dies entspricht anderen inhaltsanalyti-schen Befunden (vgl. Schuhmacher et al., 2013) und korrespondiert auch mit den größ-ten Sorgen der Bevölkerung (vgl. DIVSI, 2013), zu denen eine Wechselwirkung aller-dings hier nur unterstellt werden kann. Den institutionalisierten Zugriff auf personen-bezogene Daten schätzen Medien gegenwärtig als bedenklich ein – nicht zuletzt, da mit ihm die freiheitliche Entwicklung des Menschen in Gefahr gesehen wird. Dabei unterliegt diese Einschätzung einer durchaus differenzierten Betrachtung und schließt auch das kritische Hinterfragen möglicher ‚Kehrseiten’ des Privatheitsschutzes nicht aus. Trotz der oft erforschten und häufig bestätigten Boulevardisierungstendenzen der Medienberichterstattung (z. B. Donsbach & Büttner, 2005) lässt sich eine Dramatisie-rung des Themas zumindest insofern nicht feststellen, als dass mediale Zukunftsaus-sichten durchaus eine positive Valenz aufweisen und – damit verbunden – Handlungs-strategien angesprochen werden, die nicht nur an das politische System gerichtet sind, sondern auch an wirtschaftliche Akteure und den Bürger selbst appellieren.

Smart-TV und Privatheit

Das Forum Privatheit und selbstbestimmtes Leben in der Digitalen Welt veröffentlicht ein Forschungsbericht zum Thema „Smart-TV und Privatheit – Bedrohungspotenziale und Handlungschancen„.

Moderne Fernsehgeräte, so genannte Smart-TVs, können eine Vielzahl von Funktionen bieten, die bisher nur von herkömmlichen Computersystemen bekannt waren. Dies sind zum Beispiel die Nutzung von IP-Telefonie, das Abspielen von Videos oder auch das Surfen im Internet. Diese neuartigen Vernetzungsmöglichkeiten versprechen den Nutzenden zahlreiche Vorteile, bergen zugleich jedoch auch neue Gefahren für den Datenschutz und die Privatheit. Neue, innovative Konzepte und Technologien sind unumgänglich, um Nutzende, Unternehmen, aber auch Dritte, vor Missbrauch, Schadprogrammen und anderen Gefahren im Umgang mit Smart-TV zu schützen. 

Der vorliegende Beitrag richtet sich vor allem an juristische Berater und technische Entwickler. Hierbei wird ein Überblick über die Chancen und wachsenden Möglichkeiten im Bereich Smart-TV gegeben; die damit verbundenen Risiken für die Persönlichkeitsrechte der Nutzenden werden herausgearbeitet. Nach einer Übersicht über den technischen Hintergrund von Smart-TV werden die beteiligten Akteure und Komponenten erläutert. Anschließend werden verschiedene Angreifermodelle und mögliche Angriffsvektoren erörtert. Im Rahmen der grund- und datenschutzrechtlichen Rahmenbedingungen werden Bedrohungsszenarien abgeleitet, die sich für die informationelle Selbstbestimmung der Nutzenden ergeben; außerdem wird die datenschutzrechtliche Zulässigkeit der Datenverarbeitungsvorgänge im Rahmen der Smart-TV-Nutzung geprüft. Anhand des herausgearbeiteten Befundes zeigen die Autorinnen und Autoren schließlich exemplarisch Methoden und Schutzmaßnahmen auf, wie bestehende Smart-TV-Systeme sowohl technisch optimiert als auch rechtlich zulässig gestaltet werden können. Dies erfolgt anhand des „Privacy by Design“-Ansatzes und im Lichte der ausgewählten Datenschutz-Gewährleistungsziele der Nichtverkettbarkeit, der Transparenz und der Intervenierbarkeit.

2 neue Studien zur Sicherheit in „Smart Cities“ im Auftrag von ENISA

Lévy-Bencheton, Cédric, Eleni Darra, Daniel Bachlechner, Michael Friedewald, Timothy Mitchener-Nissen, Monica Lagazio, and Antonio Kung, Cyber security for Smart Cities: An architecture model for public transport, European Union Agency for Network and Information Security (ENISA), Heraklion, 2015.

The main objective of this study is to model the architecture of the transport sector in SCs and to describe good cyber security practices of IPT operators. The good practices are put into a relationship with different city maturity levels. This allows representatives of operators and municipalities to quickly assess whether or not they lag behind other cities with the same maturity level in terms of cyber security and, if so, to take appropriate actions. The study is primarily focused on the provision of practical, hands-on guidance.

Lévy-Bencheton, Cédric, Eleni Darra, Timothy Mitchener-Nissen, Monica Lagazio, Daniel Bachlechner, Michael Friedewald, and Antonio Kung, Cyber Security and Resilience of Intelligent Public Transport: Good practices and recommendations, European Union Agency for Network and Information Security (ENISA), Heraklion, 2015.

This study proposes a pragmatic approach that will highlight the critical assets of Intelligent Public Transport systems. It gives an overview of the existing security measures (good practices) that could be deployed to protect these critical assets and ensure security of the IPT system, based on a survey and interviews of experts from the sector, municipalities, operators, manufacturers and policy makers.

Arbeitspapier zu Datenmärkten erschienen

Das Forum Privatheit hat ein Arbeitspapier zur Struktur und Funktionsweise von und Wertschöpfung in Datenmärkten vorgelegt:

Bründl, S.; Matt, C.; Hess, T. (2015). Wertschöpfung in Datenmärkten: Eine explorative Untersuchung am Beispiel des deutschen Marktes für persönliche Daten. Forschungsbericht. (Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt). Karlsruhe: Fraunhofer ISI.