It can take a while depending on the size of the document..please wait
Discuto
Big Data, Innovation und Datenschutz
Wirtschaftspolitische Empfehlungen diskutieren
0 Tage noch (endet 23 Okt)
Beschreibung
Update: Feedback eingearbeitet, Endbericht und "Change-Report" zum Download
Vielen Dank für das umfangreiche Feedback zur Rohfassung der Studie. Dieses wurde in der Zwischenzeit eingearbeitet. Welche Änderungen vorgenommen wurden, können im "Change-Report" nachvollzogen werden.
Die Studie wurde mittlerweile dem BMVIT übermittelt und abgenommen.
Wir glauben, dass eine konsequente Umsetzung der Datenschutz-Grundverordnung - trotz aller noch offenen Punkte - ein wesentlicher Schritt in Richtung einer eigenständigen europäischen Digitalisierungsstrategie sein kann und daher deutlich mehr Aufmerksamkeit erhalten sollte als bisher.
Für weitere Diskussionen und Anregungen stehen wir gerne zur Verfügung (Mail: office(at)cbased.com).
Kann man Big Data, Innovation und Datenschutz unter einen Hut bringen?
Das war - salopp formuliert - die Aufgabenstellung für den hier zur Diskussion gestellten Entwurf unserer Studie für das Bundesministerium für Verkehr, Innovation und Technologie (BMVIT):
- Ist Big Data mit dem Inkrafttreten der neuen Datenschutz-Grundverordnung (DS-GVO) im Mai 2018 in Europa Geschichte? Wenn ja, ist das gut so?
- Wird Innovation massiv behindert oder gibt es Wege trotzdem neue Produkte und Dienstleistungen einzuführen?
- Etabliert die DS-GVO ein neues Paradigma und stellt sich Europa damit vollends ins Abseits in der Welt der digitalen Plattformökomie?
Die Fragen zum Thema sind vielfältig und fundamental. Wir stellen daher unsere Sicht der Dinge auf den Prüfstand, versuchen unterschiedliche Sichtweisen, neue Einsichten oder schlicht Fehler zu finden, mißverständliche Aussagen zu korrigieren etc. und die grundlegenden Handlungslinien festzuzurren - wenn Sie uns dabei helfen.
Die Empfehlungen der Studie können hier bis zum 09.10.17 diskutiert werden. Danach werden Sie von uns überarbeitet und an das BMVIT übermittelt. Wir geben Feedback, was wir aus der Diskussion übernommen und eingebaut haben bzw. wo wir einen anderen Standpunkt vertreten.
Wir freuen uns auf Ihr Feedback!
LETZTE AKTIVITÄT
GRAD DER ZUSTIMMUNG
AM MEISTEN DISKUTIERT
-
P13 Die DS-GVO bringt auch das Recht auf „Verges
8 3
-
P9 die Digitalisierung aller Gesellschaftsberei
8 5
-
P5 Die wichtigste Ressource der Welt ist nicht
7 0
-
P32 Das in der DS-GVO stipulierte Recht auf Verg
6 1
-
P53 Eine weitere technische Lösung stellt eine s
6 0
-
P31 Außerdem sind etliche der beschriebenen masc
5 0
-
P102 Konkret – und etwas vereinfacht – wird kein
5 0
-
P39 Entstehen im Rahmen interner Datenverarbeitu
5 1
-
P14 Die DS-GVO etabliert damit strengere Regeln
5 2
-
P164 Klar ist, dass die derzeitigen Schritte auf
5 4
-
P50 Allerdings kann diese Forderung auch mit dem
4 1
-
P12 Die Daten - und das ist im Zusammenhang mit
4 3
-
P8 in Wirtschaft und Gesellschaft bei vielen Tr
4 2
-
P46 Eines der Hauptprobleme beim praktischen Ein
4 0
-
P49 Die Forderung nach einer transparenten Verar
4 1
-
P42 Anonymisierung von sensiblen Daten gewinnt d
3 3
-
P48 Diese Faktoren bewirken, dass der Einsatz vo
3 0
-
P162 Die DS-GVO ist gesellschaftspolitisch gewüns
3 3
-
P156 - Gesetzliche Rahmenbedingungen: Wie oben au
3 2
-
P55 Eine alternative Architektur von Zyskind et
3 0
-
P64 Im Vergleich zur „naiven“ Big Data Entwicklu
3 2
-
P68 Keine spezifische Evidenz wurde gefunden, da
3 3
-
P38 Speziell im Fall von Sensordaten kann die Ei
3 1
-
P119 Datenschutz muss in allen Aktivitäten des Un
3 2
-
P85 Theoretische Modellierung dieser Situation z
3 1
-
P61 Da das konkret einzusetzende Data Mining Ver
3 2
-
P26 Nachträgliche Einwilligung: Ein weiterer Asp
3 2
-
P15 Die Frage lautet also, ob strenger Datenschu
3 0
-
P10 Die landläufige Vorstellung, dass man im übe
3 3
-
P28 Die präzise Darstellung der Verarbeitungssch
3 1
-
P29 Die DS-GVO macht klar, dass informierte und
3 3
-
P152 Eine wesentliche Aufgabe für die öffentliche
2 1
-
P24 Anpassung und Widerruf: Die AnwenderIn muss
2 4
-
P150 Wenn die DS-GVO tatsächlich ein wirksames In
2 0
-
P66 In einer zunehmend digitalen Gesellschaft un
2 1
-
P88 Angesichts dieser Ausgangslage bringt die ne
2 2
-
P147 Bei den gegenwärtigen Marktverhältnissen gel
2 3
-
P20 Das Einholen expliziter Einwilligung zur Ver
2 2
-
P37 Die Wahl der konkreten Sicherheitsparameter
2 1
-
P113 1. Konkrete Hinweise, welche Maßnahmen die U
2 2
-
P95 Die postulierten Grundsätze widersprechen si
2 0
-
P96 Viele Bestimmungen sind nicht wirklich opera
2 0
-
P99 5. Weniger Spielraum für Prozessinnovationen
2 0
-
P17 1. Die rechtlichen Bestimmungen wurden auf
2 1
-
P60 Der Vorteil der ersten Variante ist, dass au
2 1
-
P25 Verständlichkeit: Die Einwilligungserklärung
2 5
-
P11 Explizite und informierte Zustimmung zur Ver
2 4
-
P35 Allerdings hat sich in extrem kritischen Ber
2 0
-
P51 Wesentlich bei der Durchsetzung dieses Aspek
2 0
-
P27 Diese Einwilligungserklärungen sind natürlic
2 1
-
P41 Zu klären ist auch der Zielkonflikt in Hinbl
2 0
-
P30 Anstatt monolithischer, statischer Einwillig
2 2
-
P43 Wesentlich für die Sicherstellung der Anonym
2 1
-
P54 Dabei wird immer eine lokale Transparenzschi
2 1
-
P45 Ohne an dieser Stelle auf die verschiedenen
2 2
-
P111 Wenn man der Analyse bis hierher folgt, dann
1 0
-
P112 Generell braucht es mehr Awareness bei den U
1 2
-
P167 Die DS-GVO bringt Einschränkungen für Big Da
1 2
-
P163 Gerade die Entwicklungen in den letzten Mona
1 3
-
P115 In Summe ist zu erwarten, dass europäische U
1 2
-
P116 Missbraucht man dieses Vertrauen, dann werde
1 2
-
P120 Die Wirtschaftspolitik sollte darauf bedacht
1 3
-
P118 Ein Framework, das Unternehmen bei der proak
1 4
-
P126 Sensitivitätsanalyse
1 0
-
P127 Werden personenbezogene Daten gespeichert/ge
1 0
-
P145 Aus derzeitiger Sicht dürfte die Umstellung
1 1
-
P146 Natürlich werden alle Organisationen die per
1 0
-
P161 Die Erkenntnisse können auch für die Weitere
1 0
-
P160 Die lokale Software Community kann durch den
1 1
-
P105 Die Chancen von Bezahlangeboten im Privatkun
1 1
-
P154 - Ausbildung: ein Wettbewerbsvorteil durch b
1 3
-
P155 - Forschung: In dieser Studie wird eine Rei
1 3
-
P107 Chancen hätten derartige Angebote im Privatk
1 2
-
P36 Basierend auf den in diesem Projekt durchgef
1 1
-
P18 2. Der Bewertung der technischen Möglichkeit
1 0
-
P67 Die unterschiedlichen Entwicklungsoptionen f
1 2
-
P34 Um diese Wiederherstellung unmöglich zu mach
1 1
-
P40 Welche Form des Löschens ist ausreichend und
1 0
-
P33 Forensische Tools, die solcherart „gelöschte
1 1
-
P44 Es gibt eine Reihe von Strategien und Method
1 0
-
P47 Geringer Informationsgehalt bedeutet, dass d
1 1
-
P52 Transparenz im Zusammenhang mit der Verarbei
1 2
-
P57 Aufgrund der rechtlichen Anforderungen ist s
1 0
-
P58 Auf Basis dieser Erkenntnisse bietet sich al
1 1
-
P59 Bereits bei der Entwicklung der datengenerie
1 1
-
P7 es mittlerweile technisch möglich ist, das o
1 3
-
P65 Diesen Nachteilen steht allerdings der Vorte
1 0
-
P21 Zustimmung ist auf verschiedene Arten möglic
1 0
-
P100 Mit der Einführung der DS-GVO im Mai 2018 ka
1 1
-
P69 Es geht vor allem um technische Lösungen, di
1 0
-
P72 Grundsätzlich könnte hier die neue Datenschu
1 2
-
P73 Startups – bei denen das Projekt gleichzeiti
1 0
-
P76 Gegen diese Sichtweise spricht, dass Innovat
1 1
-
P79 Natürlich kann man obiges Problem auch durch
1 1
-
P82 2. Werbe- und datenfinanzierte Business Mode
1 1
-
P89 Mit Inkrafttreten der DS-GVO im Mai 2018 ist
1 2
LETZTE KOMMENTARE
-
Wie schon von anderen erwähnt geht es hier zuviel um die Quantität und weniger um die Qualität der Daten - in diesem Zusammenhang vor allem um die passenden Daten für den richtigen Zweck (Thema Korrelation against Causation). Ausserdem geht es in Data Science immer mehr um das Thema Algorithmen und deren Schwachstellen - hier sind die Themen 'black boxes', 'Objektivität von Algorithmen' usw. extrem wichtig. Ein gutes Buch zu diesem Thema ist 'Weapons of math destruction' von Cathy O'Neill.
-
Sowohl nach bestehender wie auch nach künftiger Rechtslage ist die Anonymisierung der Löschung wohl gleichzustellen. Sowohl nach derzeitiger Rechtslage als auch nach GDPR kennt das Gesetz auf der obersten Ebene die Unterscheidung zwischen personenbezogenen und anonymen Daten. Erstere sollen dem Datenschutzrecht unterliegen, letztere nicht. Es kann nicht als im Sinne des Gesetzes interpretiert werden, dass eine Maßnahme, nach deren Anwendung Daten als offenbar nicht mehr schutzwürdig betrachtet werden, der Zustimmung des Betroffenen bedürfen. Auch die ePrivacy Richtlinie sowie ihre Nachfolgerin nennen Löschen und Anonymisierung von Daten Seite an Seite, was darauf schließen lässt, dass diese beiden Maßnahmen vom Gesetzgeber als gleichwertig betrachtet werden.
-
Argumentation zielt nahezu durchgängig und ausschliesslich auf die geschäftlichen Zwecke von BigData ab. Dem Bereich Kriminalitätsbekämpfung wird zuwenig (keinerlei?) Aufmerksamkeit geschenkt. Hier sollten etwas geänderte Datenschutz/Bankgeheimnis-Bestimmungen gelten, damit die Behörden und Finanzinstitute die Chance bekommen, Geldwäsche und Betrug überhaupt zu erkennen bzw. zu verfolgen. Natürlich unter entsprechenden Rahmenbedingungen, nicht auf nationaler, sondern gleich auf EU Ebene (um die Wirksamkeit sicherzustellen, sodass keine widersprüchlichen/blockierenden nationalen Gesetzgebungen/Standards behindernd wirken). Weitergehende EU Regulations und Services im Umfeld von BigData siehe beigefügtes Schaubild.
-
Sinnvoller wäre hier die Schaffung einheitlicher Standards und APIs für die Etablierung eines föderalen Systems, welches dann z.B. über Apps oder Portale von Drittanbietern für die BenutzerInnen nach deren Wünschen zusammengefasst werden können. Welchen Apps, Portalen die BenutzerInnen dann vertrauen, liegt nicht an einer zentralen Stelle.
-
Unverständnis erntet mensch bei den AnwenderInnen nur, wenn die Beschreibungen und Adaptionen der Einwilligungen unverständlich und nicht nachvollziehbar formuliert werden. Hier sind also die Unternehmen gefragt, diese klar, leicht verständlich und nachvollziehbar zu formulieren - was u.U. sogar neue Arbeitsplätze schaffen könnte.
-
Ein heheres Ziel. Kurzfristig zielführender wären enstprechende Schulungs- und Vortbildungsangebote. Die Suche nach Vortragendenden zum Thema "Privacy by Design" für die PrivacyWeek des Chaos Computer Club Wien hat uns gezeigt, dass dieses Thema auf technischer Ebene in Österreich quasi noch nicht angekommen ist.
-
Prinzipiell ja und dafür. Wenn wir uns allerdings die Praxis, zum Beispiel mit dem e-Commerce Gütesiegel ansehen, wo Sites noch immer nicht per Default TLS verwenden und max. 8 Zeichen lange Passwörter verlangen, sind wir skeptisch, ob die Zertifizierung und das Gütesiegel in der zur Verfügung stehenden Zeit sinnstiftend umgesetzt und dann auch kontrolliert werden können.
-
Von Übergangsfristen, etc. sollte abgesehen werden. Wessen Unternehmen nicht der DSG2000 entspricht und seit Veröffentlichung der DS-GVO keine Maßnahmen gesetz hat, wird es auch bis 2018 nicht schaffen, diese zeitgerecht umzusetzen. Unternehmen, deren Geschäftsmodell mit der DS-GVO nicht komplatibel ist, hätten jetzt schon über 2 Jahre Zeit gehabt, sich entsprechend umzuorientieren.
-
Hier fehlte/fehlt einerseits der Wille der Interessensvertretungen, hierfür in den letzten 2 Jahren Empfehlungen ausgearbeitet zu haben als auch eine Ermächtigung und die (technische) Befähigung der zuständigen Stellen (DSB, ...), hierzu entsprechende Empfehlungen, ... auszusprechen und zu erarbeiten.
-
Hier fehlte/fehlt einerseits der Wille der Interessensvertretungen, hierfür in den letzten 2 Jahren Empfehlungen ausgearbeitet zu haben als auch eine Ermächtigung und die (technische) Befähigung der zuständigen Stellen (DSB, ...), hierzu entsprechende Empfehlungen, ... auszusprechen und zu erarbeiten.
-
Aus unserer Sicht sind die Forderungen zu „Löschen von Daten“ oder „Transparenz“ oder „Datensparsamkeit“ für ein Unternehmen, das den "Spirit" der DS-GVO verstanden hat, ausreichend klar bzw. können diese ihre Interpretation vor Gericht so argumentieren, dass es zu keiner Existenzgefährdung durch die Strafen kommt. Die "Angstmache" hinsichtlich des Interpretationsspielraums kommt unserer Beobachtung nach von Unternehmen, welche die DS-GVO prinzipiell nicht umsetzen wollen.
-
Ein Bewusstsein für die notwendigen technischen Änderungen bzw. gar eine Entwicklung der fehlenden technischen Lösungen findet bislang nicht statt. Der Fokus der Unternehmen liegt derzeit auf der Schaffung der betrieblichen Datenschutzbeauftragten, sowie der Fortbildung der HR- und Rechts-MitarbeiterInnen. Auch dies ist der bislang fehlenden Kommunikation bzw. Druck von Seiten der Gesetzgebung zu schulden.
-
Gerade die Verwendung der Daten birgt grosses Potential für Vor- aber insbesondere auch Nachteile für Betroffene. Wenn z.B. korrellierte Daten oder durch Machine-Learning gewonnene "Erkenntnisse" automatisierten Einfluss auf Entscheidungen haben, wie z.B. Preise für Dienstleistungen, Gewährung von Krediten uder Versicherungspolizzen oder Verweigerung von Vertragsformen.
-
Der Ansicht, dass die "Anonymisierungsmethode" nicht angegeben werden sollte, können wir uns nicht anschließen. Für eine informierte Entscheidung, ob die Daten durch den Algorithmus zu einem bestimmten Zeitpunkt noch ausreichend "anonymisiert" sind, ist das Wissen um die "Anonymisierungsmethode" relevant. Ev. wollen die BenutzerInnen auf Basis dieser Methode ihre Geschäftsbeziehung zu dem Diensteanbieter ändern, .... Zum Beispiel, wenn die "Anonymisierungsmethode" des Diensteanbieters nicht mehr "State of the Art" ist.
-
Artikel 4 der DS-GVO "Begriffsbestimmungen definiert „personenbezogene Daten“ aus unserer Sicht bereits recht gut. Standard-Schemata sind eine begrüßenswerte Hilfestellung entbinden einen Diensteanbieter aber nicht von der Pflicht, sich genau zu überlegen, welche personenbezogenen Daten er nun tatsächlich erheben und verarbeiten muss. Dies kann nicht verallgemeinert werden, sondern muss von den Diensteanbietern von Fall zu Fall betrachtet und entschieden werden.
-
Das Recht auf Vergessen/Datenlöschung steht im Widerspruch zur Pflicht, Geschäftsdaten aufzuheben. Uns fehlt eine Klärung hierzu (zumindest haben wir noch keine Erläuterung gefunden, ob ein Recht auf komplette Löschung dadurch aufgehoben wird). Eine Klarstellung, welche Daten aus Geschäftsvorfällen auf Verlangen gelöscht werden müssen und welche aufbewahrt werden dürfen oder müssen fehlt.
-
Die Führung eines Audit-Logs, auf das nur ein spezieller Personenkreis zugriff hat, etc. wäre technisch durchaus möglich und auch entsprechend für die Zustimmung und Transparenz kommunizierbar. Damit wäre die "Löschung" im täglichen Betrieb, ... durchgeführt, eine Nachvollziehbarkeit im Rahmen eines Audits durch speziell ermächtigte Personen aber (protokolliert und an den Dateninhaber kommunizierbar) gewährleistet.
-
Problematisch ist diese Thematik vor allem bei "kleinen" Datensätzen, wie sie bei österr. KMUs vermutlich auftreten werden. Hier wären zusätzliche Hilfestellung, Standards, vortlaufende Zertifizierungen und Überprüfungen (Stichproben) etc. dringend notwendig, damit die Unternehmen hier die "richtigen" Maßnahmen setzen und es nicht zu einer Pseudonymisierung kommt.
-
Problematisch ist diese Thematik vor allem bei "kleinen" Datensätzen, wie sie bei österr. KMUs vermutlich auftreten werden. Hier wären zusätzliche Hilfestellung, Standards, vortlaufende Zertifizierungen und Überprüfungen (Stichproben) etc. dringend notwendig, damit die Unternehmen hier die "richtigen" Maßnahmen setzen und es nicht zu einer Pseudonymisierung kommt.
-
Auch dieser Punkt fokusiert sich (leider) noch immer viel zu sehr auf den technischen Aspekt des Löschens von Daten, die auf einer Festplatte gespeichert werden/wurden. Backups, logisches Löschen (siehe P 32 und P 33) werden zwar angesprochen, aber Themen wie "Cloud Daten" (P34, P35) werden noch immer nicht addressiert.
-
Auch dieser Punkt fokusiert sich (leider) zu sehr auf den technischen Aspekt des Löschens von Daten, die auf einer Festplatte gespeichert werden/wurden. Wesentlich relevantere Aspekte werden leider nicht angesprochen: + Siehe P 32 + Siehe P 33 + Wie wird mit Backups auf Tape umgegangen? + Treffen die Ausführungen auch auf Daten zu, die auf SSD bzw. Tape oder "in der Cloud" gespeichert werden? ;)
-
Auch dieser Punkt fokusiert sich (leider) zu sehr auf den technischen Aspekt des Löschens von Daten, die auf einer Festplatte gespeichert werden/wurden. Wesentlich relevantere Aspekte werden leider nicht angesprochen: + Siehe P 32 + Siehe P 33 + Wie wird mit Backups auf Tape umgegangen? + Treffen die Ausführungen auch auf Daten zu, die auf SSD bzw. Tape oder "in der Cloud" gespeichert werden? ;)
-
Auch dieser Punkt fokusiert sich (leider) zu sehr auf den technischen Aspekt des Löschens von Daten, die auf einer Festplatte gespeichert werden/wurden. Wesentlich relevantere Aspekte werden leider nicht angesprochen: + Siehe P 32 + Wie wird mit Backups auf Tape umgegangen? + "Cloud Speicher" + Daten werden heutzutage auf SSDs zumindest zwischengespeichert + RAM Caches bzw. In-Memory Datenbanken
-
Bei Boinitätsauskunftsdiensten, ... wird eine (logische) Löschung gemäß §27 DSG2000 (widerwillig) durchgeführt, der Datensatz aber entsprechend markiert ("Löschung durch Kunde/Kundin gemäß DSG2000" oder ähnlichem). Damit entsteht aber auch wieder Informationsgehalt ("hat etwas zu verbergen"). Hier müssten die Betreiber der Datenanwendungen zu einer restlosen Löschung angehalten werden.
-
Müsste eine Löschung auch in archivierten Daten bzw. Backups (Tape) durchgeführt werden. Bereits hier gab und gibt es beispielsweise Probleme mit Löschungen gemäß §27 DSG2000, die nach dem betriebsnotwendigen einspielen eines Backups, quasi rückgängig gemacht wurden, weil der Betreiber der Datenanwendung diesen Usecase nicht berücksichtigt hatte.
-
Begrüßenswert wäre hier die Schaffung eines europäischen Standards für maschinenlesbare Einwilligungen bzw. Verarbeitungsschritte, Nutzungsszenarien und Kategorien. Dies würde auch zu einem weiten Feld an Drittlösungen (Apps, Bots, ...) führen, mit deren Hilfe BürgerInnen Einwilligungen automatisieren bzw. vereinfachen könnten.
-
Begrüßenswert wäre hier die Schaffung eines europäischen Standards für maschinenlesbare Einwilligungen bzw. Verarbeitungsschritte, Nutzungsszenarien und Kategorien. Dies würde auch zu einem weiten Feld an Drittlösungen (Apps, Bots, ...) führen, mit deren Hilfe BürgerInnen Einwilligungen automatisieren bzw. vereinfachen könnten.
-
Die Panik einger DS-GVO Gegner, dass diese "informierte Einwilligung" nie korrekt umgesetzt werden kann und Unternehmen aufgrund des möglichen Strafmaßes in den Ruin getrieben werden, teilen wir nicht. Selbst wenn Unternehmen diesbezüglich geklagt werden - was bei komplexen Themen wie diesem durchaus möglich ist - gehen wir davon aus, dass die Richterschaft die Strafen mit Augenmaß und verantwortungsvoll verhängen wird. Die oft zitierten Strafen in der Höhe von von 4% des Umsatzes oder maximal €20 Millionen stellen das OBERE ENDE des Strafmaßes dar.
-
Hier wäre es wünschenswert, wenn der Gesetzgeber Empfehlungen und Vorschriften hinsichtlich der Einschränkungen der Dienstleistungen vorgibt, wenn BenutzerInnen die Einwilligung nicht erteilen. Es kann gesellschaftlich nicht wünschenswert sein, dass mensch sich Privatsphäre "leisten können" muss. Eine Dienstleistung darf BürgerInnen nicht vorenthalten oder teurer gemacht werden, wenn sie der Erfassung und/oder Weitergabe personenbezogener Daten nicht zustimmen.
-
Wie bereits ausgeführt: // für die Datenlöschung sollten Unternehmen gemäß §27 DSG2000 bereits Lösungen haben // Anonymisierung ist schwer - hier müssen enstprechende Hilfestellungen, Best-Practices, Dienstleistungen, Standards und damit auch Zertifizierungen, ... angeboten werden // Das "Recht auf Vergessen" ist ein sehr schlechter Begriff. Kirsten Fiedler von der Datenschutz NGO EDRI hat die Probleme bereits für Netzpolitik.org zusammengefasst: Artikel 17 der DS-GVO hat als primären Namen auch "Recht auf Löschung", was aus unserer Sicht auch mehr Sinn ergibt.
-
Diese Frage stellt sich unserer Meinung nach nicht. Die DS-GVO ist geltendes europäisches Recht, dessen ÜBERGANGSFRIST im Mai 2018 endet. Daher haben die Unternehmen gar keine andere Wahl, als neue Angebote, Business Modelle und Technologien entwickeln, die sowohl die regulatorischen Vorgaben als auch die Unternehmensziele erfüllen.
-
Wie man bereits öfter bei der Digitalisierung erkennen konnte, schaltet diese überflüssig gewordene Mittelsmänner und Zwischenhändler aus. Wenn aufgrund der DS-GVO einige Datenhändler ihre Unternehmen schließen müssen, sehen wir das als positiven Nebeneffekt für die Gesellschaft. Die wenigen Arbeitsplätze, die dadurch verloren gehen, werden durch das Potential der neu geschaffenen (Datenschutbeauftragte, Anonymisierungs-Experten, ...) aus unserer Sicht mehr als aufgefangen.
-
Die europäischen und österreichischen Gesetzgeber sind hier gefragt, einen Interessensausgleich zwischen den Interessen der Bürgerinnen und Bürgern auf der einen Seite und den Unternehmen und deren Risikoevasion auf Basis von "Big Data" auf der anderen Seite zu schaffen. Kritik bzw. lauter Widerspruch zur Umsetzung der DS-GVO in ihrer derzeitigen Form kommt primär von Unternehmen, deren Geschäftsmodell auf dem Handel von Daten beruht, die entweder sowieo öffentlich oder in einem rechtlichen Graubereich entstanden sind. Dass diese Unternehmen ein Problem mit der DS-GVO haben ist verständlich, sollte die Gesetzgeber aber nicht davon abhalten, die DS-GVO wie geplant umzusetzen.
-
In den USA, und mittlerweile auch schon in Europa (Schufa-Auskunft Deutschland; KSV1870, Compass et.al in Österreich) hat der geringe Datenschutz dazu geführt, dass bestimmte Gesellschaftsgruppen am Wohlstand, technologischen Fortschritt und dem gesellschaftlichen Leben nur noch bedingt teilhaben können. Wenn Internetzugang, Mobilfunk-Vertrag oder der Kredit für beispielsweise Wohnungseigentum aufgrund von nicht rechtmäßig erhobenen bzw. gespeicherten Zahlungsinformationen (verjährte Konkurse, ....) nicht leistbar oder beziehbar sind, wird das zum gesellschaftlichen Problem. Ebenso, wenn die verpflichtende Versicherungsdienstleistung teurer wird, wenn man personenbezogene Gesundheitsdaten nicht "freiwillig" preis gibt (SVA-Versicherung) oder die Auto-Haftpflichtversicherung billiger wird, wenn mensch sich von der Versicherung tracken lässt oder bestimmte "problematisch" Gegenden nicht befährt.
-
Der Blick in die USA ist, nicht zuletzt aufgrund der Dominanz der Social Media und E-Commerce Anbieter aus dieser Region, nachvollziehbar aber nicht begrüßenswert. Das Selbstbewusstsein "der EU" und damit auch Österreichs muss stark genug sein, um sagen zu können, dass wir hier nicht einer Herunternivellierung der hohen Datenschutzniveaus Europas tatenlos zusehen.
-
Das Recht auf Vergessen/Datenlöschung steht im Widerspruch zur Pflicht, Geschäftsdaten aufzuheben. Uns fehlt eine Klärung hierzu (zumindest haben wir noch keine Erläuterung gefunden, ob ein Recht auf komplette Löschung dadurch aufgehoben wird). Eine Klarstellung, welche Daten aus Geschäftsvorfällen auf Verlangen gelöscht werden müssen und welche aufbewahrt werden dürfen oder müssen fehlt.
-
Eine rechtlich korrekte Löschung widerspricht unserer Meinung nach nicht der Forderung nach Transparenz. Rechtlich ordnungsgemäß abgewickelte Löschungen, wie beispielsweise Konkurse, verjährte Strafdaten, Adressen udgl. im Rahmen eines häuslichen Disputs, usw. haben gelöscht zu werden und dürfen nicht wie ein Damoklesschwert für den Rest ihres Lebens über den Betroffenen schweben.
-
Die Strafen in der Höhe von 4% des Umsatzes oder maximal €20 Millionen begrüßen wir. Diskussionen in der Vergangenheit haben gezeigt, dass erst dieses Strafmaß die Unternehmen dazu "motiviert" sich mit dem Thema auseinanderzusetzen. Wir gehen davon aus, das die österr. RichterInnenschaft im Rahmen ihrer Tätigkeit diese Strafen verantwortungsvoll verhängt.
-
Etwaige Tatbestände, die über die in der bestehenden Rechtssprechung hinaus gehen, hätten im Rahmen einer korrkten Umsetzung der DS-GVO in österreichisches Recht klar definiert werden können. Hier hat die österr. Bundesregierung mit Ihrer Husch-Pfusch Aktion leider mehr Schaden als Nutzen angerichtet.
-
Das "Recht auf Vergessenwerden", das in der EU als "Suchmaschinen zeigen bestimmte Treffer nicht an" exekutiert wird, erachten wir als nicht sinnvoll. Fehlerhafte Angaben, Aussagen, personenbezogene Daten, udgl. können bereits auf Basis der aktuellen Gesetzgebung (Urheberrechtsgesetz, Mediengesetz, Strafgesetzbuch, ...) an der Quelle gelöscht werden, wenn ein Rechtsanspruch besteht. Mit den "Recht auf Vergessenwerden" wird eine weitere potentielle Zensur-Infrastruktur aufgebaut, was wir ablehnen.
-
Problematisch erscheint uns hier, dass das Wissen rund um eine korrekte Anonymisierung bei (österreichischen) Unternehmen derzeit quasi nicht gegeben ist. Hier handelt es sich um ein durchaus problematisches Themenfeld mit einigen Fallstricken, die es ermöglichen, aus "anonymisierten" Daten sehr wohl wieder auf einzelne Personen oder Personengruppen zurückzuschließen. Siehe dazu auch die Vorträge und Workshops von Philipp Schaumann im Rahmen der PrivacyWeek 2017 . Auch Erich Neuwirth kann dazu sicherlich einiges Beitragen.
-
Die Möglichkeit, aus den gesammelten Daten, neue Erkenntnisse und Verbesserungen für die Gesellschaft zu generieren, erachten wir prinzipiell positiv und begrüßenswert. Dabei müssen allerdings die Daten und Privatsphäre der Einzelnen geschützt und geachtet, das Prinzip der Datensparsamkeit weiterhin eingehalten und Rückschlüsse auf einzelne Personen oder Personengruppen unterbunden werden.
-
Aus unserer Sicht ist der Fokus auf die Produktions- und Vertriebsprozesse mit dem Marketingbegriff aus der deutschen Industrie (Industrie 4.0) nicht weitreichend genug. Die Erfassung der Daten ist wesentlich weitreichender und wird durch die verschiedensten "Internet of Things" (IoT) Lösungen noch voran getrieben. Im Off/Online-Handel (Retail) genauso, wie beispielsweise in der Verwaltung oder im medizinischen Bereich. Aber auch im Privaten (Smart Home, Ambient Assisted Living, Smart-Meter, Fitness-Tracker, Versicherungen) oder im öffentlichen Raum (Video-Maut, Stauüberwachung, Smart City) schreitet die Datensammlung rasant voran.
-
nicht nur das Verhalten von Personen, sondern auch Dingen (Internet of Things) und Prozessen (LoRaWan Netze für Sensoren in Landwirtschaft, Wetter, ...) kann immer leichter erfasst werden * nicht nur wirtschaftliche und technische Vorgänge, sondern auch soziale, politische und Verwaltungsabläufe - also quasi alle Bereiche des täglichen Lebens, können mit immer weniger Aufwand "digital" abgebildet werden.
-
Dieser Kommentar geht uns nicht weit genug. Der Schwerpunkt sollte hier nicht auf den Geheimdiensten und (US) Online-Diensten liegen, sondern Unternehmen generell und den in Österreich beheimateten insbesonders. Quasi jede größere "heimisch" Handelskette (REWE, McArthurGlen, ...) Verfolgt ihre Kunden in den "offline" Geschäften mittels Gesichts/Personenerkennung, WLAN- und Bluetooth Tracking oder anderen Mitteln und verknüpft diese Daten mit den "online" Personen, sobald diese mit Bankomat- oder Kreditkarte zahlen. Auch Versicherungen nutzen "Online-Mittel", um die von Ihnen versicherten Autos "offline" zu tracken und deren Besitzern für die Vermeidung von "bedenklichen" Gebieten pekuniäre Anreize zu bieten. Die Trennung von "offline" und "online" ist also schon lange gefallen. US-Internetriesen wie Amazon oder Facebook kaufen von Kreditkartenunternehmen Transaktionsdaten ihrer Kunden ein, um einen Einblick in deren "offline" Kaufverhalten zu bekommen. Oder bieten selbst Kreditkarten an, um einen besseren Einblick in das Kaufverhalten ihrer Kunden zu bekommen.
-
Hervorzheben ist auch die Verwendung der Datenbestände um automatisierte Entscheidungen zu treffen. Es wurden Berichte in der Presse veröffentlicht, nachdenen Personen ein Versicherungsvertrag aufgrund der Wohnadresse verweigert wurde (Korrelation von Riksiko und Adresse). Nicht nur die Datenverarbeitung sondern auch die Datenhörigkeit von Unternehmen ist eine Herausforderung.
-
Nur damit wir uns nicht missverstehen: Bei Big Data geht es natürlich um den Umfang von Daten. Es geht auch darum möglichst viele Daten breit verfügbar zu machen. Das ist nur der erste Schritt. Was wir daraus machen, dass ist die schwierige Sache. Wofür brauchen wir Daten? Wie analysieren wir diese? Geben wir anderen die Möglichkeit, unsere (belanglosen) Daten zu verwerten. Mir gings in erster Linie nur darum, dass wir diesen Nutzenfokus brauchen und auch erst verstehen müssen, was Daten denn sind.
-
In diesem Abschnitt fehlt mir die Darstellung der methodischen Vorgehensweise. Man könnte z.B. Thesen aus Sicht der Stakeholder auflisten (User, Betreiber, öffentliche Hand, Gesellschaft, usw.). Und: für die Thesen würde es wohl auch grobe Zeiträume/Mengen brauchen. Zurzeit stehen sie eher generell im Raum ("je besser analysiert, desto höher der Wert" ...)
-
Es gibt eine Reihe von bereits publizierten oder derzeit noch in Entwicklung befindlichen Frameworks zum Thema Datenschutz, Datenschutzrisikoanalyse und Datenschutzmanagement (ISO, ENISA, NIST, ...), die nicht nur auf spezifische Anwendungen wie RFID oder Cloud-Computing bezogen sind. Natürlich berücksichtigen diese auch oft nicht speziell DSGVO-Compliance, es sind aber auch keine DSGVO-Umsetzungsleitfäden, sondern eben - Frameworks.
-
Bei einer Auftragsverarbeitung (sprich Weitergabe von Daten an Dritte) dürfte ja auch der Verantwortliche selbst die Verarbeitung nur aufgrund von erlaubten Zwecken ausführen - und das bindet vertraglich den Auftragsverarbeiter. Somit wird es bei "üblichen" Verarbeitungsvorgängen (zB Personalverrechnung, Inkasso), wie auch bisher, solche vertragliche Regelungen geben, die eine Weitergabe oder zweckwidrige Verwendung der Daten durch den Verarbeiter untersagen. Art. 28 regelt die Stellung und die Verpflichtungen des Auftragsverarbeiters auch relativ genau - der Verantwortliche kann so zwar das Risiko für die Einhaltung bzw. den Betrieb von TOM an den Auftragsverarbeiter überbinden, aber nicht, dass die Verarbeitung aufgrund eines grundsätzlich legitimen Zweckes durchgeführt wird, der ja auch im Vertrag geregelt wird. Die Verantwortung (Haftung) ggüber einem geschädigten Betroffenen kann beide treffen. Das eröffnet sogar neue Geschäftschancen für Verarbeiter, die entsprechend Compliant auftreten.
-
Das "Verzeichnis der Verarbeitungstätigkeiten" nach Art. 30 ist nicht mehr öffentlich, aber für die Behörde jederzeit einsehbar. Da dort die Verarbeitungstätigkeiten relativ genau dokumentiert werden, es - zumindest derzeit - keine Standardanwendungen mehr gibt und zB auch TOM zur Absicherung der Verarbeitungsvorgänge beschrieben werden müssen, wäre eine Veröffentlichung im Hinblick auf Unternehmessicherheit wohl nicht zumutbar.
-
Dem Recht auf Vergessenwerden bzw. Löschung kann auch dort nicht gefolgt werden, wo andere Rechtspflichten oder die Interessen des Betroffenen - die evtl. von diesem selbst sogar anders bewertet werden - einer Löschung entgegenstehen (zB gesetzliche Aufbewahrungspflichten im Rechnungswesen oder in der Personalverwaltung, Amtswegige Verfolgung eines Rechtsanspruches).
-
p.s.: Eigentlich kompensieren solche tools zum Teil ja lediglich den Wegfall des DVR… haben wir in der Studie eigentlich schon irgendwo erwaehnt, dass dieser Wegfall vielleicht keine gute Idee ist/war? (Wodurch) wird das DVR nun eigentlich ersetzt? Wenn es keine einheitliche/standardisierten Prozesse gibt, wie die Verwendugn von personenbezogenen Daten zu erfolgen hat (das DVR hat da ja zumindest einen Mindest-Standard festegelegt und zumindest einen einheitlichen Zugang zu diesen minimalen Transparenzdaten ermöglicht), und die Dokumentation damit hier dann bedeutet der Wegfall ja de facto eine Verschlechterung, oder? Ich glaube, diese Befürchtung an mehreren Stellen schon in informellen Diskussionen gehört zu haben, habe es aber noch nicht in die offizielle Studie aufgenommen, da mir hier gute Quellen fehlen... waere hier fuer input dankbar!
-
Obwohl es noch keine Standard-Lösungen für die automatische Verwaltung einer Transparenzschicht im Sinne der DSGVO gibt, wie Sie hier im technischen Teil der Studie diskutiert werden, bestehen seht wohl einig europäische GRC (Governance, Risk, and Compliance Tools) die für Firmen-Assessments und Risiko-analyse verwendbar sind: · CRISAM von calpana business consulting (österreichisches Produkt aus Linz) https://www.crisam.net/de/crisam-datenschutz-management-system · Risk2Value von avedos (österreichisches Produkt aus Wien) http://www.avedos.com · HiScout (deutsches Produkt aus Berlin) https://www.hiscout.com/ · R2C_RM von Schleupen (deutsches Produkt): bildet grds. Funktionalität für Compliance Management / Risikomanagement ab , hat aber noch keinen spezifischen Inhalt für die GDPR https://www.schleupen.de/risikomanagement/software-loesungen/r2c-isms/ Die Einführung der DSGVO bietet zwar damit einen erweiterten Markt für solche Lösungen, aber bei Tools, die die technische Umsetzung der Transparenz und Compliance-Pflichten, bzw. die Automatisierung der Beantwortung von Datenherausgabe-Anfragen von Individuen ermöglichen, besteht nach wie vor eine Marktlücke.
-
Ein ganz wesentlicher Aspekt ist die wissenschaftliche Forschung. Mit der derzeitigen Fassung der DSGVO sind insbes. die medizinische Forschung und Biodatenbanken, die ja unbestreitbar im öffentlichen Interesse stehen, massiv eingeschränkt bzw. tlw. sogar legal nicht mehr möglich. Es gab rund 130 Stellungnahmen zur DSGVO (öffentliche und nicht öffentliche) die deutlich die Be- und Verhinderungen aufgezeigt haben. Der Rat für Forschung und Technologieentwicklung hat eine Stellungnahme zur DSGVO bzw. DSAG (Datenschutz Anpassungs-Gesetz) verfasst, die unter http://www.rat-fte.at/tl_files/uploads/Stellungnahmen/170619_Stellungnahme_DSGVO_jr_final.pdf einsehbar ist. Hier die Bitte, dringend auch diesen Aspekt zu beleuchten!
-
Mit horizontaler Strategie ist eine Vorgangsweise gemeint, bei der die Maßnahmen über verschiedene Politikfelder hinweg koordiniert und aufeinander abgestimmt werden. Das ist das Gegenteil von Politiksilos, die wo nur für den eigenen Zuständigkeitsbereich gedacht und gehandelt wird - eine Vorgangsweise die verbreitet ist. Leider gibt es immer weniger Problem die man in einem Politiksilo wirklich lösen kann.
-
Hier ist die Annahme, dass NutzerInnen nur sehr begrenzt nachvollziehen können was mit Ihren Daten passiert. Wüßten Sie, wie sich ihre Daten tatsächlich verbreiten, dann würde die Zustimmung seltener erteilt werden. Anders formuliert, wenn sie die Weiterverbreitung ausschließen können, weil sie dazu keine Zustimmung gegeben haben, dann sind sie wiederum bereit persönliche Daten zu übermitteln.
-
Es ist zu bezweifeln, ob diese Aussage aufgrund empirischer Untersuchungen belegbar ist. Die Wachstumsraten bei Sozialen Medien (FB, Linkedin, Google etc.) und der Flut von apps auf mobilen Telefonen belegen, dass Anweder bereit sind, Dienste mit Informationen über sie und ihr Verhalten zu bezahlen.
-
Aggregation ist mit einem Informationsverlust verbunden. Dies trifft insbesondere auf Sentiment und Meinungsanalysen zu. Hier müsste im Zuge der Anonymiserung und Aggregation diese Sentimente und Meinungen aus den einzelnen Postings, e-mails, chats, etc. vorerst entnommen und in der Folge zusammengefasst werden. Die Erstellung dieses Mehrwerts ist zur Zeit den großen US Firmen (Google, FB, ... ) vorbehalten.
-
Die Umsetzung dieser Bestimmung setzt voraus, dass sowohl der Lieferant der Daten, als auch der potentielle Nutzer a priori wissen, in welchem Kontext, für welche Analysen die Daten in Zukunft verwendet werden. Dies stellt eine wesentliche Einschränkung für europäische Unternehmen im Gegensatz zu anderen Wirtschaftsräumen dar.
-
Besser vielleicht, um das weniger misverstaendlich zu machen: "Außerdem sind etliche der beschriebenen Policy-Sprachen bereits in standardisierten und leicht erweiterbaren maschinenlesbaren Formaten wie RDF (Resource Description Framework), ein Standard format des World Wide Web consortium zum Austausch von maschinenlesbaren Metadaten) modelliert"
-
Stichwort Aggregierung: Im Kontext der Anonymisierung und Pseudonymisierung ist für die Zwecke von Big Data auch die Bedeutung der Bereitstellung aggregierter, nicht-personenbezogener Daten (für andere) zu unterstreichen. Idealerweise könnten Unternehmen aus freien Stücken durch die Bereitstellung dieser Daten einen Mehrwert für die Wirtschaft insgesamt schaffen, denn ein Unternehmen selbst weiss oft nicht welchen Wert Daten ansonsten für die Gesellschaft und andere haben.
-
Hier wird lediglich dem Begriff der Quantität Rechnung getragen. Dies ist einerseits korrekt um den Begriff zu umschreiben, aber es geht auch darum zu unterstreichen, dass es um die Wiederverwendbarkeit von Daten geht für die Analyse und zum Nutzen der Gesellschaft. Eventuell könnte man die gesellschaftliche Dimension noch stärker hervorbringen (Verkehr, Landwirtschaft, Gesundheit). Kleiner Exkurs zum Thema Daten als Rohöl bzw. zur Inspiration: Im Rahmen der Konferenz zur Datenfreizügigkeit am 17.7.2017 in Tallinn wurde unter anderem betont: Daten seien kein Öl, das nur einmal verbrannt werden könne, Daten werden reproduziert. Dies seien Begriffe aus der Vergangenheit. Man sollte also eher von Daten als wertvollem Rohstoff sprechen, der wiederverwendbar ist - oder von Daten als Währung. Auch um die Grenzenlosigkeit zu unterstreichen (korrekt erwähnt wird, dass Rohöl eine definitiv begrenzte Ressource ist). Vgl. Lisbon Council Policy Brief, Vol. 11, No. 1 (2017) http://www.lisboncouncil.net/publication/publication/143-a-new-framework-for-free-movement-of-data.html
-
Nach den ersten Erfahrungen der Dokumentation von Verabeitungsvorgängen sind diese nur in sehr wenigen Fällen für den nicht im Fachgebiet beheimateten Benutzer verständlich. Die Forderung nach der Dokumentation ist ein Mehrwert für das verarbeitende Unternehmen - das seine Verarbeitungsprozesse klar dokumentieren darf - aber weniger für den "Besitzer" der Daten.
-
Kann angenommen werden, dass es bei entsprechend großer Datenmenge einen Schwellenwert gibt, ab dem der Wert der Daten einen signifikanten Sprung nach oben macht? Könnte weiters angenommen werden, dass der Schwellenwert bei verschiedenen Datentypen (Bank-Transaktionen, Gesundheitsdaten, Kommunikationsdaten) unterschiedlich hoch ist?
-
Unter der Annahme, dass Unternehmen erst ab einer bestimmten Mindestanzahl von Kunden in den Bereich Big Data einsteigen, und dass es erst ab dieser Mindestanzahl für eine Firma interessant wird, diese Daten zu analysieren könnte man zu dem Schluss kommen, dass die Äquivalenzklassen ab dieser Mindestgröße auch entsprechend Vielfältig sind. Anonymisierung wird normalerweise nicht "geknackt", meine Empfehlung wäre weglassen dieses Gedankens.
-
Die Menge der Daten spielt hier auch eine Rolle. Wenn ein Unternehmen nur eine Handvoll Kunden hat, dann werden diese auch mit anonymisierten Daten zuordenbar sein. Erst ab einer gewissen Menge an Kunden und einer entsprechenden Verteilung der Transaktionsdaten (z.B. Bestellungen, Transaktionen, Chats etc.) lässt sich die angestrebte Anonymität wirklich erreichen.
AKTIVSTE USER
P147
Bei den gegenwärtigen Marktverhältnissen gelingt es einigen Unternehmen eine dominante Stellung zu entwickeln und dadurch Marktmacht aufzubauen. Diese wiederum hilft dem Unternehmen noch mehr Daten zu sammeln und damit ihre Marktposition zu festigen oder noch weiter auszubauen. Google, Facebook, Amazon sind die wichtigsten Beispiele für diese Entwicklung. Strikte Datenschutzbestimmungen könnten dazu führen, dass diese Unternehmen ihre Datenbestände nicht mehr im vollen Ausmaß auswerten könnten, wodurch es kleineren Mitbewerbern möglich sein sollte, konkurrenzfähige Angebote zu erstellen.
Kommentare (2) anzeigen/hinzufügen
P148
Unklar ist bei dieser Argumentationslinie, ob die First Mover-Effekte die diese Unternehmen generiert haben, durch die neue DS-GVO tatsächlich abgeschwächt werden, bzw. die Unternehmen mit expliziter Zustimmung der NutzerInnen auf die Daten zugreifen können und strikte Datenschutzbestimmungen daher vor allem Marktneulinge stark treffen. Campbell et al. (2011) zeigen, dass gerade letzteres der Fall sein könnte, weil große, etablierte Unternehmen eher das Vertrauen von NutzerInnen erhalten, wenn es um die Einhaltung von Datenschutzstandards geht. Die strenge Regulierung von Kreditkarten in Neuseeland ist ein empirisches Beispiel dafür: die NachfragerInnen hatten den Eindruck, dass nur große etablierte Betreiber die Datenschutzrichtlinien einhalten konnten, und haben daher neue und kleine Anbieter gemieden.
Kommentar hinzufügen
P149
Diese Argumentationslinie gilt vor allem für Produkte die sich an KonsumentInnen richten. Dort ist es tatsächlich schwer zu sehen, dass die etablierten Betreiber auch unter verschärften Datenschutzbestimmungen an Marktmacht verlieren und damit neue Betreiber eintreten können. Dennoch sollten auch in diesem Segment die NutzerInnen von verbessertem Daten profitieren, auch wenn die Marktmacht der quasi Monopolisten nicht wirklich eingedämmt wird.
Kommentar hinzufügen
P150
Wenn die DS-GVO tatsächlich ein wirksames Instrument ist um ungewollte Datenweitergabe (auch für Werbezwecke) zu unterbinden – und damit auch das Datenschutz-Paradoxon abschwächt – dann sollte es deutlich mehr Bezahlangebote und weniger „Daten für Produktnutzungs-Tauschgeschäfte“ geben. Es wäre daher naheliegend, die Betreiber zu verpflichten, für alle kostenlosen Produkte auch eine Bezahlversion anzubieten, bei der es zu keiner Weitergabe der Daten und keinen Werbeschaltungen kommt. Damit – sofern die Preise für diese Dienste fair gerechnet werden – haben die KundInnen die Wahl, ob und in welchem Umfang sie ihre Daten preisgeben wollen. Diese Logik kann man natürlich auch andersrum formulieren. Die User erhalten Preisreduktionen, wenn sie dafür Zugriff auf ihre Daten gewähren.
Kommentare (2) anzeigen/hinzufügen
1.3.2.3 Technologie- und Innovationspolitik
P151
Die Hypothese, dass Datenschutzgesetze Innovationen bei Anbietern von Datenschutztechnologien stimulieren (wie z.B. Verschlüsselung), bleibt aufrecht auch wenn in Europa derzeit die Rahmenbedingungen dafür nicht günstig sind, weil die Unsicherheiten und Zielkonflikte im Rahmen der DS-GVO groß sind und daher nicht klar ist, in welche Richtung sich die Technologien entwickeln können bzw. sollen. Diese Unsicherheit wird durch die Formulierungen und Forderungen der DS-GVO erzeugt und kann auch durch weitere Klarstellungen durch die entsprechenden Stellen korrigiert bzw. eingeschränkt werden.
Kommentar hinzufügen
P152
Eine wesentliche Aufgabe für die öffentliche Hand ist die Beseitigung der Unsicherheiten, die die DS-GVO selbst mit sich bringt. Obwohl vieles ausjudiziert werden muss, gibt es auch andere Möglichkeiten mit den Unsicherheiten umzugehen. Dazu gehören weiterführende Erläuterungen oder die Option verschiedene Ansätze mit den Behörden vorab zu diskutieren. Wenn es gelingt die Unsicherheiten abzubauen, dann haben Entwickler von Datenschutztechnologien mehr Anreize in innovative Produkte und Dienstleistungen zu investieren, weil dadurch ein Markt geschaffen wird.
Kommentare (2) anzeigen/hinzufügen
P153
Dieser Ansatz ist konsistent in eine horizontale Strategie einzubauen, die die folgenden Bereiche umfasst:
Kommentar hinzufügen
P154
- Ausbildung: ein Wettbewerbsvorteil durch besseren Datenschutz ist nur zu erzielen wenn die Nutzer dies auch wahrnehmen. Hierzu ist Awareness in der breiten Öffentlichkeit herzustellen und in der Ausbildung anzusetzen. Datenschutzaspekte sollten im Rahmen der Digitalisierungsstrategie „Schule 4.0“ eine wichtige Rolle spielen.
Kommentar (1) anzeigen/hinzufügen
P155
- Forschung: In dieser Studie wird eine Reihe von Forschungsfragen vorgestellt, durch die eine effiziente Umsetzung der DS-GVO ermöglicht wird. Diese sollten in die Grundlagenforschung und angewandte Forschung Eingang finden (z.B. Informationserhaltung bei Anonymisierung, Ledgerarchitekturen zur Herstellung von Transparenz, Lösung des Widerspruchs Recht auf Vergessenwerden und Nachvollziehbarkeit)..Förderung: Neben der entsprechenden Forschungsförderung z.B. durch die FFG sind auch Startups, die entsprechende Lösungen anbieten, zu fördern. Hier ist insbesondere eine Verbindung zu den Blockchain Aktivitäten (https://www.blockchain-austria.gv.at/, Blockchain Village) herzustellen, zumal durch diese Technologie eine von Grund auf andere Basis für die Verarbeitung personenbezogener Daten gelegt wird.
Kommentar (1) anzeigen/hinzufügen
P156
- Gesetzliche Rahmenbedingungen: Wie oben aufgezeigt ist eine adäquate Auslegung der Vorschriften für die Einwilligung entscheidend für die Effizienz von Big Data Anwendungen. Eine zu detaillierte Beschreibung zieht laufende Adaptionen der Einwilligungen und Unverständnis bei den Anwendern nach sich. Im Rahmen der Möglichkeiten sollte daher auf eine pragmatische Praxis hingewirkt werden.
Kommentare (3) anzeigen/hinzufügen
P157
- Aufbau eines „MyData Local Hub“ in Österreich: Durch eine Mitgliedschaft beim MyData Projekt können mehrerer dieser Maßnahmen unterstützt werden:
Kommentar hinzufügen
P158
- Öffentliche Anbieter können ihre Expertise als Trusted Entitites im Rahmen eines Public Private Partnerships einbringen
Kommentar hinzufügen
P159
- Den Anwendern wird bewusst welche ihrer Daten wo gespeichert sind. Dadurch wird der verantwortungsvolle Umgang mit Einwilligungen gefördert, andererseits werden die Vertrauensprobleme kleinerer Anbieter verringert.
Kommentar hinzufügen
P160
- Die lokale Software Community kann durch den Open Source Charakter an der Entwicklung teilhaben und wird gefördert.
Kommentar (1) anzeigen/hinzufügen
P161
- Die Erkenntnisse können auch für die Weiterentwicklung des eGovernment verwendet werden.
Kommentar (1) anzeigen/hinzufügen
1.3.2.3 Geopolitisch
P162
Die DS-GVO ist gesellschaftspolitisch gewünscht, industriepolitisch interessant und als Teil einer geopolitischen Strategie unerlässlich. Europa hat digitale Technologien als gewöhnliche generische Technologien verkannt und die weiteren ökonomischen und geopolitischen Implikationen unterschätzt. Wohl aus der Verbundenheit gegenüber den USA, dem ständigen Drang wettbewerbsfähig zu bleiben und dem Versuch bestehende Rückstände aufzuholen, hat Europe vor allem auf die schnelle Diffusion von digitalen Technologien gesetzt und die Appropriierung dieser vernachlässigt. Anstelle eines strategischen Ansatzes – wie etwa China oder Russland – wurde ein laissez faire Ansatz gewählt.
Kommentare (3) anzeigen/hinzufügen
P163
Gerade die Entwicklungen in den letzten Monaten haben gezeigt, dass diese Positionierung nicht tragfähig ist und es eine eigenständige und europazentrierte Herangehensweise braucht. Europa ist in vielen der heißen Themen rund um die Digitalisierung nicht vertreten (z.B. AI im militärischen Bereich). Diese Vakua kann man sich nicht auf Dauer leisten, weil man ohne diese „hand on“ Expertise auch nicht bei der Gestaltung der Rahmenbedingungen mitarbeiten kann. Damit man hier Fortschritte macht, muss die europäische Dimension bei diesen Fragen deutlich stärker ausgebaut werden. Das ist zwar schwierig, aber die Rahmenbedingungen sind mit einer funktionierenden deutsch-französischen Achse deutlich besser als noch vor Kurzem. Die österreichische Positionierung über die tagesaktuellen Themen hinaus ist hier nicht zu erkennen. Es wäre wünschenswert hier die europäische Dimension aktiv zu stärken und so an der geopolitischen Neupositionierung mitzuarbeiten.
Kommentar (1) anzeigen/hinzufügen
P164
Klar ist, dass die derzeitigen Schritte auf europäischer Ebene – Verfolgung von Marktmachtmissbrauch, Einhaltung der Datenschutzbestimmungen – Defensivstrategien sind und als solche zwar wichtig, aber nur dann erfolgreich sein werden, wenn auch aktive Elemente eingebaut werden. Die DS-GVO kann ein Aktivposten werden, wenn sie durch andere Politikmaßnahmen im Sinne einer horizontalen Strategie gestützt wird und die NutzerInnen wieder Verfügungsgewalt über ihre Daten haben. Am besten kann dies durch System erfolgen, wo NutzerInnen den Zugriff auf Ihre Daten zentral verwalten können und alle Abfragen dokumentiert werden.
Haben Sie gewusst, dass man über Kommentare abstimmen kann? Sie können auch direkt auf Kommentare antworten!