Skip to main content

White Paper „Datenschutz-Folgenabschätzung“

Folgenabschätzungen als „Frühwarnsysteme“ für einen verbesserten Datenschutz

Ein neues White Paper des Forum Privatheit, das vom Fraunhofer-Institut für System- und Innovationsforschung ISI koordiniert wird, befasst sich mit der möglichen Ausgestaltung künftiger Datenschutz-Folgenabschätzungen (DSFA) und gibt Hilfestellungen zu deren praktischer Durchführung. Weil diese Instrumente mit Einführung der europäischen Datenschutz-Grundverordnung ab 2018 für Technologieanbieter und Systembetreiber verpflichtend werden, stellt das White Paper „Datenschutz-Folgenabschätzung – Ein Werkzeug für einen verbesserten Datenschutz“ bereits jetzt erste grundlegende Informationen zu dieser Neuerung bereit. Die Folgenabschätzungen sollen Technikanbietern, Datenschutz-Aufsichtsbehörden sowie der Öffentlichkeit helfen, die vorwiegend durch datenverarbeitende Technologien entstehenden Risiken für den Datenschutz wirksam abzuschätzen und diese von vornherein so gering wie möglich zu halten.

Bei der Nutzung vieler Dienste und Angebote im Internet wie etwa beim Online-Shopping, in sozialen Netzwerken oder selbst auf den Webseiten staatlicher Behörden werden häufig personenbezogene Daten gesammelt. Nutzerinnen und Nutzer können sich dieser Praxis bislang nur entziehen, wenn sie bestimmte Angebote ausdrücklich nicht nutzen – oder sich mit der Datensammlung einverstanden zeigen. Die dadurch entstehenden Risiken sind in der Öffentlichkeit bislang nur wenig bekannt, obwohl Medien immer wieder über Datenmissbrauch oder Datenpannen berichten.

Um künftig die Gefahren durch Datenverarbeitungspraktiken besser beurteilen zu können, müssen viele Technikanbieter und Systembetreiber ab 2018 bei ihren Angeboten und Diensten Datenschutz-Folgenabschätzungen vornehmen. Bisher ist jedoch offen, wie und nach welchen Kriterien dies genau erfolgen soll. Das White Paper „Datenschutz-Folgenabschätzung – Ein Werkzeug für einen verbesserten Datenschutz“ des Forum Privatheit setzt hier an und erarbeitet erste Grundzüge zur Ausgestaltung künftiger Datenschutz-Folgenabschätzungen und deren praktischer Durchführung. Die Auseinandersetzung hiermit ist auch deshalb wichtig, da die EU-Mitgliedsstaaten nach der Verabschiedung der Datenschutz-Grundverordnung im Jahr 2016  unmittelbar damit beginnen werden, diese bis 2018 in die Praxis umzusetzen.

Dr. Michael Friedewald, der am Fraunhofer ISI zur Auswirkung von neuen Technologien auf Datenschutz und Privatheit forscht und einer der Mitautoren des White Papers ist, hebt die große Bedeutung der Folgeabschätzungen hervor: „Datenschutz-Folgenabschätzungen ermöglichen nicht nur eine bessere Einschätzung der Risiken durch bestehende datenverarbeitende Technologien, sondern sie weisen auch frühzeitig und während des Entwicklungsstadiums als eine Art ‚Frühwarnsystem‘ auf eventuelle negative Konsequenzen für den Datenschutz hin. Bestehende Datenschutz-Mängel lassen sich damit rechtzeitig erkennen und noch während der Technologieentwicklung korrigieren. Der Datenschutz wird damit im Sinne des ‚Privacy by Design‘ bei der Einführung neuer Geräte oder Anwendungen von vornherein besser integriert“.

Die künftig gesetzlich vorgeschriebenen Datenschutz-Folgenabschätzungen bringen für ganz unterschiedliche Zielgruppen Vorteile mit sich: So könnten Technikanbieter und Systembetreiber die Technologieentwicklung besser steuern und sich spätere Nachbesserungen beim Datenschutzes sparen. Durch die Vermeidung von Datenpannen erübrigen sich zudem Kosten für deren Behebung, mögliche Schadenersatzansprüche und Imageschäden in der Öffentlichkeit. Davon profitieren auch die Bürgerinnen und Bürger, die in Zukunft auf Basis der Folgenabschätzungen einfacher entscheiden können, welche Online-Angebote sie nutzen wollen oder nicht. Über Zertifikate wäre es zum Beispiel schnell überprüfbar, ob Anbieter oder Betreiber Betroffenenrechte berücksichtigt haben – und die Unternehmen könnten hierdurch ihren Willen zur Achtung dieser Rechte zum Ausdruck bringen.

Neben den Technologieanbietern und Nutzern wären die Datenschutz-Folgeabschätzungen vor allem für Aufsichtsbehörden hilfreich. Die Durchführung standardisierter Folgenabschätzungen hat für Aufsichtsbehörden etwa den Vorteil, dass sie ihre Aufsichtspflicht in Zukunft besser wahrnehmen und mögliche Schwächen beim Datenschutz oder Rechtsverstöße schneller erkennen können. Zudem wären sie für Technologieanbieter und Systembetreiber eine geeignete Anlaufstelle, um Hilfestellungen zur Verbesserung von Produkten oder ihrer gesamten Datenverarbeitungspraxis zu bekommen.

Damit Datenschutz-Folgenabschätzungen in Zukunft ihr Potenzial gänzlich entfalten können, sollten sie mehrfach – und nicht nur einmal, etwa zu Beginn eines Produktlebenszyklus – durchgeführt werden. Damit ließe sich die gängige Sammelpraxis insgesamt verändern und Unternehmen für die stärkere Achtung von Bürgerrechten sensibilisieren, die sie häufig nicht im Detail kennen. „Steuerungsdilemmata“ und verspätete Nachbesserungen zur Stärkung des Datenschutzes am Ende der Entwicklungsphase würden damit obsolet, was allen betroffenen Seiten zugutekäme.

Spionage im Wohnzimmer

In der Ausgabe 1/2016 berichtet das Fraunhofer Magazin „weiter.vorn“ über das Forum Privatheit und das Whitepaper „Das versteckte Internet„.

My home is my castle: Die eigenen vier Wände sind der Inbegriff von Privatheit und geschütztem Raum.Doch Smart-TVs, »intelligente« Haushaltsgeräte und Wearables sind mit dem Internet verbunden und senden unsere Daten in die Welt — oftmals ohne unser Wissen.

Hier weiterlesen...

Workshop: Smart Technologies – Workshop on challenges and trends for privacy in a hyper-connected world (20/8/2015)

At the IFIP Summer School on Privacy and Identity Management in Edinburgh the Forum Privacy and Self Determined Life in the Digital Work has organised a workshop on „Smart Technologies – Workshop on challenges and trends for privacy in a hyper-connected world“

Speaker include:

* Andreas Baur, Tübingen University
* Michael Friedewald/Murat Karaboga, Fraunhofer ISI
* Christian Geminn, Kassel University
* Hannah Obersteller/Felix Bieker/Marit Hansen, ULD

“Hidden Internet”: Smart technologies and the Internet of Things pose new challenges to privacy protection

Popular everyday appliances – like televisions – are increasingly connected to the internet and engage in the collection of personal data. The resulting data on user behavior, the transmission and processing of this data and the increasing complexity of smart technologies pose new challenges to privacy protection and informational self-determination. In the White Paper “Hidden Internet“, experts from the research network “Forum Privacy and self-determined life in the digital world“ outline the problematic aspects of smart technologies for privacy and how these issues might be addressed. The White Paper focuses on three applications – smart TVs, smart cars and wearable devices like smart watches.

Smart TVs or smart bracelets that are connected to other devices, services and manufacturers via the Internet of Things increasingly belong to the everyday life of society. Users welcome the internet-based services and functions of these smart appliances – but are often not aware of the extent to which their data are being collected, and processed. These problems are enhanced by the increasing complexity of smart technologies; it is almost impossible for users to follow whether and how personal data can be protected against unauthorized access or disclosure.

In the light of these changing framework conditions for privacy and data protection, the research network “Forum Privacy“ describes the risks that may result from using smart TVs, smart cars and wearables in its White Paper “The hidden Internet“. For instance, smart TVs already gather use and behavioral data when people are just watching television and even enable personal identification by photo, audio and video recording. This means that large segments of the population can be monitored. All this applies in a similar way to smart cars that record vehicle-related, driver behavior and environmental data and can transmit these to vehicle manufacturers or other transport users. Alongside information about driving style, location or route, the personal characteristics and habits of the drivers can be derived by linking this information with other data. This is also the case for so-called wearables – devices like smart fitness bracelets or smart watches that are worn in contact with the skin. The health data wearables gather allows detailed insights into the private lives of users.

Peter Zoche, who coordinates the research activities of the Forum Privacy Project at Fraunhofer ISI, cites some of the main problems and design potentials for manufacturers, users and policymakers: “The demand for informational self-determination is faced with non-transparent data trading and concealed data collection. On top of this, it is often hard to change the default settings of smart devices. And if users want to take action themselves to ensure greater data protection, they are confronted by a flood of information and complex terms and conditions“. According to Zoche, networked devices and applications should have privacy-enhancing settings (privacy by default), take users’ information requirements into account and have visual or acoustic signals that alert users to possible data transfers.

Furthermore, in future, political and legal regulations should ensure that smart technologies are more in line with the principles of data protection. Appropriate conditions for guaranteeing privacy in the digital age could be created using sanctions, as well as by enforcing EU data protection legislation. Alongside state institutions and initiatives, however, industry must also contribute by making data protection a core design element when introducing new smart devices and applications (privacy by design). Last, but not least, users themselves will need to handle their personal data and the associated risks with greater awareness.


 

In the Forum Privacy Project, which is funded by the German Federal Ministry of Education and Research (BMBF), national and international experts from different disciplines address the issues surrounding privacy protection over a period of three years. The project is coordinated by Fraunhofer ISI, and the partners are Fraunhofer SIT, the University of Hohenheim, the University of Kassel, the Eberhard Karls University of Tübingen, the Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein and the Ludwig-Maximilian University of Munich. The research results of the Forum Privacy Project are intended not only as input to scientific debate, but also to be of use in educating normal citizens regarding privacy protection.

Umfassende Studie zur wirtschaftlichen Relevanz der Software-Industrie in Deutschland

Über 20 000 Unternehmen in Deutschland entwickeln Software / Jährliche Wertschöpfung von mindestens 50 Mrd. DM / Wissenschaftler sprechen sich für eine Erneuerung des Ausbildungssystems aus

Eine bessere Durchdringung vieler Studiengänge mit medien- und informationstechnischem Anwendungswissen fordert das Fraunhofer-Institut für Systemtechnik und Innovationsforschung ISI, Karlsruhe. Gemeinsam mit der GfK Marktforschung GmbH, Nürnberg, und dem Fraunhofer IESE, Kaiserslautern, untersuchte die Projektgemeinschaft für das Bundesministerium für Bildung und Forschung die Softwareentwicklung in Deutschland. Die Forscher analysierten dabei sowohl die Primärbranche, also Softwarehersteller, Dienstleister der Informationstechnik und Hersteller von Datenverarbeitungsgeräten, als auch Sekundärbranchen, die von der Softwaretechnik stark beeinflusst werden, wie den Maschinen- und Fahrzeugbau, die Elektrotechnik, die Telekommunikation sowie Finanzdienstleistungsunternehmen.

Nach Berechnungen der Autoren entwickeln derzeit über 20 000 Unternehmen in Deutschland Software oder passen diese an Unternehmensbedürfnisse an. Mittlerweile ist in vielen Branchen ein überwiegender Teil des Umsatzes unmittelbar vom Einsatz von Computern abhängig. Beispielsweise steuern Programme heute in der Automobilindustrie nahezu alle Produktionsabläufe. Ohne Software könnten Autos weder hergestellt noch vertrieben werden. Selbst im Auto „regiert“ Kollege Computer, sei es bei der Motorregelung oder bei diversen Kontrollanzeigen.

Die Unternehmen der softwareintensiven Branchen beschäftigen nach Schätzung der Forscher derzeit rund 2,8 Millionen Erwerbstätige – 300 000 in der Primärbranche und 2,5 Millionen in den Sekundärbranchen. Davon sind in der Primärbranche über 120 000 Personen explizit mit der Entwicklung oder Anpassung von Software betraut und gut 55 000 Menschen in der Sekundärbranche. Diese 175 000 Beschäftigten erzielen jährlich eine Wertschöpfung von mindestens 50 Mrd. DM.

Während die Struktur der Primärbranche überwiegend durch kleine Unternehmen mit oftmals weniger als zehn Mitarbeitern geprägt ist, findet die Softwareentwicklung und -anpassung in den Sekundärbranchen eher in mittleren und größeren Firmen statt.

Die Primärbranche ist durch junge Unternehmen gekennzeichnet; rund zwei Drittel der Firmen wurden nach 1990 gegründet. Existenzgründungen entstehen aus Universitäten, Forschungseinrichtungen und Unternehmen, aber auch dadurch, dass etablierte Firmen neue, innovative Produkte entwickeln und diese in Ausgründungen vermarkten. In den Sekundärbranchen spiegelt sich die traditionelle Stärke der deutschen Wirtschaft wider. Angepasste Softwarelösungen tragen vielfach dazu bei, dass Unternehmen dieser Branchen ihre Weltmarktführerschaft ausbauen können.

Doch konstatieren die Autoren ein starkes Defizit an qualifizierten Fachkräften. Der in der Befragung ermittelte Bedarf von 28 000 Softwareentwicklern zur sofortigen Einstellung bzw. 55 000 Softwareentwicklern zur Einstellung in den nächsten Monaten ist noch sehr konservativ geschätzt. Die Forscher erwarten einen weiterhin stark steigenden Personalbedarf. Sie gehen davon aus, dass bis zum Jahr 2005 der Personalbestand von heute gut 175 000 Mitarbeitern auf schätzungsweise 385 000 ansteigt. Dieser Bedarf an hochqualifizierten Mitarbeitern kann nach Ansicht der Wissenschaftler nicht durch die Standardausbildungsgänge der Hochschulen gedeckt werden.

Ferner erfordert die Professionalisierung der Softwareentwicklung ein klares Rollenbild und darauf abgestimmte Qualifikationen. Vielfach bemängeln die rund 1 000 befragten Unternehmen eine fehlende Anwendungsorientierung der universitären Studiengänge. Die gegenwärtige Ausbildung konzentriert sich zu stark auf die Fähigkeit, Software neu zu entwickeln, anstatt sich mit Standardkomponenten auseinander zu setzen, um daraus neue Systeme und Lösungen zu kreieren. Darüber hinaus wird in der Softwareentwicklung zu wenig zwischen anspruchsvollen Ingenieurstätigkeiten wie Anforderungsanalyse oder Systementwurf und einfachen technischen Tätigkeiten wie Programmierung oder Komponententesten unterschieden. Dies hat zur Folge, dass hochqualifizierte Informatiker nicht adäquat eingesetzt werden und sich dann unterfordert fühlen.

Die Wissenschaftler sprechen sich daher für eine generelle Erneuerung des deutschen Aus- und Weiterbildungssystems aus. Dabei sollten die Internationalisierung der Lehre, eine Aktualisierung der Bildungsinhalte, Interdisziplinarität sowie der Praxisbezug im Mittelpunkt stehen.

Dennoch bestehen nach übereinstimmender Einschätzung der Experten in Deutschland die Voraussetzungen für eine günstige Entwicklung in den Sekundärbranchen sowie für ein Wachstum in der Primärbranche. Um innovative Techniken in den Unternehmen zu erschließen, sind nach Meinung der Befragten weniger finanzielle Zuwendungen erforderlich als vielmehr bessere Rahmenbedingungen etwa zur Qualifizierung des Nachwuchses.

Die befragten Experten beantworteten schließlich die Frage nach „marktnaher Forschung“ oder „Grundlagenforschung“ mit einem entschiedenen „Beides!“. Nur die gleichzeitige Verfolgung von Grundlagen- und angewandter Forschung verspricht auf Dauer Erfolg. Dabei sollte Deutschland, dessen Stärke das produzierende Gewerbe mit starker Orientierung auf Einzel- statt Massenproduktion ist, sich besonders auf Anwendungsfelder konzentrieren wie „Embedded Software“, die beispielsweise in der Automobil- und Mobilfunkindustrie benötigt wird, sowie auf Software zur Unterstützung von Dienstleistungen, zum Beispiel für die öffentliche Verwaltung, im Gesundheitswesen, in der Planung und Logistik sowie für Verkehrsleitsysteme.

Die Studie „Analyse und Evaluation der Softwareentwicklung in Deutschland“ kann als pdf-Datei (4,3 MB) aus dem Internet bezogen werden unter: http://www.dlr.de/IT/IV/Studien/evasoft_abschlussbericht.pdf