Der Bundesrat beschäftigt sich seit ca. zwei Jahren mit Unterstützung von Kovar & Partner damit Zukunftsthemen zu treiben. Die aktuelle Präsidentschaft unter Präsident Todt hat das Thema “Digitale Zukunft sozial gerecht gestalten” herausgegriffen. Es läuft derzeit eine online Konsultation unter www.digitalerwandel.at.

Präsident Todt bei der Keynote

Gestern (10.4.2018) fand dazu ein World Cafe im Parlament statt. Ich hatte dabei die Ehre und das Vergnügen den Tisch rund um “Security und Datenschutz” zu moderieren. Im Folgenden versuche ich die Ergebnisse der Diskussion von zwei Durchgängen wiederzugeben.

Die Ergebnisse der Online Konsultation und des World Cafe werden vom Institut für Höhere Studien (IHS) und Kovar & Partners zusammengefasst, in einem parlamentarischen Symposium und in Ausschüssen des Bundesrates wird im Parlament dieses wesentliche Thema diskutiert.

Sicherheit

Als Gesellschaft fehlt uns das Gefühl dafür was sicher ist. Wenn wir uns einen Schlüssel ansehen, dann wissen wir intuitiv, wie sicher die Türe damit geschützt ist. Da IT nicht “angreifbar” ist, fehlt hier vielen das Gefühl dafür. Hier kann nur Bildung ansetzen. IT Sicherheit muss bereits in der Schule vermittelt werden. Derzeit wird aber teilweise nicht einmal in der technischen Ausbildung (ein Diskutant war HTL Absolvent) dieses Wissen vermittelt. Wenn die Menschen dieses Gefühl nicht entwickeln, dann können wir auch nicht erwarten, dass sie mit dem Thema eigenverantwortlich umgehen.

Öffentliche Stellen sollten Vorreiter sein und als Vorbild fungieren. Oft hinken aber öffentliche Stelen hinterher. Als Beispiel wurde hier das BMI genannt, das tagelang Probleme mit seinen Sicherheitszertifikaten hatte. (siehe https://derstandard.at/2000074509351/Repulik-Oesterreich-und-Zertifikatsfehler-beim-Innenministerium)

Sicherheit versus Benutzbarkeit. Wieviel Sicherheit braucht es und ab wann werden bestimmte Dinge nicht mehr benutzbar? Sicherheit ist notwendig aber zu viel an Sicherheit steht der Benutzbarkeit entgegen.

„Security by Design“, „Security by Default“. Sicherheit sollte bei Geräten defaultmäßig eingebaut sein müssen. Der Benutzer kann und muss Technik nicht verstehen können. Er geht auch davon aus, dass die Bremse eines Autos funktioniert, und muss die dahinterliegende Technik nicht verstehen. Eine Zertifizierung (Pickerl) sorgt dafür, dass die Technik funktioniert. Bei technischen Geräten (Beispiel IoT) wird Sicherheit oft aus Kostengründen vernachlässigt, das kann und wird in Zukunft große Probleme schaffen.

Der Staat sollte großes Interesse haben, dass die digitale Infrastruktur sicher ist. Derzeit wird mit dem „Bundestrojaner“ exakt das Gegenteil gemacht. Der Staat fördert, dass IT Systeme unsicher bleiben. Der Wert dieses Tools im Gegensatz zum Schaden, den es für die Sicherheit der digitalen Infrastruktur anrichtet ist unschätzbar. Zusätzlich werden durch den Ankauf von Sicherheitslücken (eine aktuelle Sicherheitslücke für ein iPhone kostet beispielsweise ca. 250.000 USD) kriminelle Organisationen finanziert.

Die Technik entwickelt sich immer weiter. Wenn Quantencomputer funktionieren, werden alle derzeitigen Sicherheitsmaßnahmen unwirksam. Was machen wir dann?

Datenschutz

Auch beim Datenschutz fehlt das Gefühl und Bewusstsein dafür, was Menschen preisgeben, wenn sie sich im Internet bewegen, und was mit diesen Daten angestellt werden kann. Niemand hat wohl bedacht, dass etwa Cambridge Analytika mit Daten die man auf Facebook preisgibt, das Wahlverhalten vorhersagen und gezielt versuchen kann Wähler zu beeinflussen. Auch hier muss mit Medienbildung angesetzt werden, damit Menschen für das Thema sensibilisiert werden. Entwicklungen rund um die (versuchte) Manipulation von Wahlverhalten ist auch ein großes Problem für die Demokratie.

Sollten Unternehmen wie Facebook nicht stärker reguliert werden? Ist Facebook nicht z.B. auch ein Telekommunikationsunternehmen? Telcos werden starken Regularien unterworfen, deren Wichtigkeit nimmt aber derzeit drastisch ab. Facebook wiederum kann tun und lassen was es will und es gibt wenig Regeln denen es unterworfen ist. Auch ist hier nicht einzusehen, warum Unternehmen wie Facebook in Österreich keine Steuern zahlen. Am Beispiel der DSGVO sieht man, dass Regularien für diese Unternehmen funktionieren können, wenn man sich auf europäischer Ebene einigt.

Datenschutz für Kinder und Jugendliche ist ein wichtiges Thema. Datenschutz muss ein persönliches Recht des Kindes sein, und nicht der Erziehungsberechtigten. Wie wird z.B. Facebook damit umgehen (derzeit ist ein Mindestalter von 13 Jahren – nach amerikanischem Recht definiert)? In Österreich werden Daten von Kindern ab dem Kindergarten in einer zentralen Datenbank erfasst. Da eine große Menge an Personen Zugriff auf diese Daten hat, und teilweise heikle Daten dort gespeichert werden scheint das problematisch zu sein.

Datenschutz Grundverordnung (DSGVO)

Ziel der Datenschutz Grundverordnung war es große Unternehmen zu regulieren, die Persönlichkeitsprofile über ihre Nutzer/Kunden anlegen. (Stichwort Facebook, Google, Amazon, …). Dass es hier Regelungen der Gesetzgebung gibt, ist gut und notwendig.

Wir brauchen auch Vertrauen in die Institutionen die unsere Daten speichern und Verwalten. Wie können wir kontrollieren, ob sich Organisationen (wie z.B. Facebook) in Zukunft an die DSGVO halten?

Es scheint auch problematisch zu sein, dass man keinen Einfluss darauf hat, welche Daten von einer Person im Internet landen. Persönliche Daten einer Person werden auch durch seine Bekannten und „Freunde“ im Internet preisgegeben. Wenn etwas einmal im Internet ist, dann verschwindet es nicht mehr (Das Internet vergisst nicht).

Im Bereich des Datenschutzes muss es Unterschiede in der Bewertung der Daten geben. Die DSGVO bringt nicht nur Regularien für die o.g. Unternehmen, sondern auch erhebliche Dokumentationsaufwände und Rechtsunsicherheit für Unternehmen, die keine besonders kritischen Daten haben. Als Beispiel wurde hier ein Fliesenleger genannt. Dieser wird von seinen Kunden nicht viel mehr als die Adresse speichern. Diese Daten standen früher im öffentlichen Telefonbuch, werden also nicht als besonders schützenswert gesehen. Warum werden hier dem Fliesenleger oder gemeinnützigen Vereinen hohe Dokumentationspflichten auferlegt?

Ein großes Problem der DSGVO für Unternehmen ist derzeit auch die mangelnde Rechtssicherheit. Die Formulierungen sind oft sehr vage und von der Interpretation abhängig. Wenn man 3 Berater fragt, bekommt man 4 Meinungen. Es wird befürchtet, dass hier viele Fragen erst durch die Gerichte geklärt werden.

Es braucht mehr konkrete Informationen darüber wie die DSGVO zu implementieren ist. Die Wirtschaftskammer wirft ein, dass hier bereits sehr viel an Information zur Verfügung gestellt wird. Als Beispiel wird hier ein einfacher Newsletter diskutiert. Es ist z.B. unklar, ob man alle Subscriber eines Newsletters nochmals explizit um ihr Einverständnis fragen muss um die Adresse im Newsletter zu behalten. Ein zweites Beispiel war die Notwendigkeit schriftlicher Verträge mit Auftragsverarbeitern. Das ist schwierig für kleine Unternehmen, wenn die Dienstleister im Ausland sind und selbst große Unternehmen sind.

Seitens Forschungsunternehmen wird befürchtet, dass Datenschutz innovationsverhindernd wird. Hier wird entgegengehalten, dass Daten zur Forschung nicht personenbezogen sein müssen. Daten können anonymisiert für Forschungszwecke verwendet werden.

Die Datenschutz Grundverordnung gilt auch für öffentliche Stellen. Es gibt allerdings derzeit keine definierten Konsequenzen, wenn sie nicht eingehalten wird. Eine Strafzahlung einer staatlichen Stelle erscheint hier nicht sinnvoll. Es sollte aber dennoch definierte Konsequenzen geben. Als Beispiel wurde die Tiroler Gebietskrankenkasse genannt, die die Daten ihrer Versicherten vor einigen Jahren „verloren“ hat, oder auch BIFIE Daten die auf Bulgarischen Servern „gefunden“ wurden.

Die Diskussion und weitere Inputs zum Thema “Digitaler Wandel sozial gerecht gestalten” ist unter der folgenden Adresse noch weiterhin möglich:
http://www.digitalerwandel.at