Please disable Adblockers and enable JavaScript for domain CEWebS.cs.univie.ac.at! We have NO ADS, but they may interfere with some of our course material.
[Info]
Datenschutz
Die hier wiedergegebenen Aussagen sollen nur einen Hinweis auf die Problematik geben. Sie sind estenfalls eine Rechtsmeinung durch einen Nicht-Juristen ud sollen Kolleg!nnen vor Folgen schützen.
Ein Buchtip zu Beginn: «Klaudia Zotzmann-Koch: Dann haben die halt meine Daten. Na und‽»
- Elende Passwortregeln, unverständliche Pop-Ups, mittendrin die ewig klingelnde WhatsApp-Gruppe und Datenskandale überall. Wer sind “die” überhaupt, die meine Daten haben? Und was heißt das eigentlich?Klaudia Zotzmann-Koch erzählt, wie sie zur mündigen Online-Bürgerin wurde und warum. Sie zeigt, was jede*r in wenigen Minuten selbst tun kann, um online sicherer unterwegs zu sein.
Ein zweiter Buchtipp für Personen mit gutem Magen: Edward Snowden: Permanent Record.
Max Schrems sagte vor kurzen, dass der Datenschutz in Österreich nur auf dem Papier bestehe.
In Corona-Zeiten zeigte sich, dass insbesondere der Datenschutz fast völlig negiert wurde, außer bei der Besprechung der Corona-App, d.h. beim Contact-Tracing.
Diese Diskussion zeigt auch, dass viele nicht einmal Ansatzweise wissen, wie die App funktioniert bzw. was alles möglich ist.
Dazu einige Bemerkungen von mir als Informatiker, Mathematiker undinsbesondere als Vorsitzender des Datenschutzbeirates der Universität Wien (Christian Cenker):
- Das beste ist immer Datenschutz bei Design, dh, gewisse Daten weder zu erheben noch zu speichern noch irgendwie sonst aus den Big-Data rückrechnen.
- Wenn eine App oder Stelle beim Auftreten von Infektionen die Kontaktpersonen per SMS oder anderswie benachrichtigt, dann müssen personenbezogene Daten gespeichert und daher erhoben werden. Es kann nicht alles anonym sein (sonst könnte ich ja keine SMS schicken). Das alle Smartphones in Ö mit Namen registriert sind, kann man selbst aus möglicherweise pseudonymisierten Daten Namen rückrechnen.
- Pseudonymisierung müsste so vor sich gehen, dass beim Wegwerfen/Schreddern/Vernichten der Zuordnungsliste die Daten wirklich anonym sind.
- Eine automatische rückstandslose Löschung müsste implementiert sein, da nach zwei Wochen bis einem Monat die Kontakte entweder medizinisch nicht mehr auswertbar sind - oder aber so viele Kontakte stattgefunden haben, dass man darauf nicht mehr reagieren kann, außer mit einer Quarantäne der ganzen Stadt.
DSG- und DSGVO-Konformität
- DSG = Datenschutzgesetz
- DSGVO (GDPR) = Datenschutzgrundverordnung (General Data Protection Regulation)
Grundlagen
- Die DSGVO gilt seit 2016, seit 2018 gelten die Strafbestimmungen in der DSGVO.
- Die DSGVO gilt im beruflichen Bereich
- Im privaten Bereich ist die Nutzung von Tools möglichst frei erlaubt
- Es gibt auch im privaten Bereich Verstöße
- Sprachassistenzsysteme, die zB private Kommunikation mitschneiden und analysieren → Verstoß auf Seiten des Anbieters, als Bsp: Ein Tool, das im Schlafzimmer höchst Privates mitschnitt und durch Menschen analysieren ließ → Strafrahmen bis 20 Mill Euro oder 4% des Jahresumsatzes der Firma
- Sprachassistenzsysteme, die private Kommunikation eines Besuchs mitschnitt, ohne dass dieser vorher auf das System vom Besitzer hingewiesen wurde bzw das System nicht deaktiviert wurde → Verstoß des Besitzers/der Besitzerin → Zivilrechtliche Klagen möglich, bisherige "Urteile" in der EU von 500 - 70.000 Euro
- Im beruflichen Kontext dürfen ausschließlich Tools verwendet werden, die rechtskonform sind. Der Einsatz von nicht-rechtskonformen Tools kann von Strafen gegen den Arebitgeber/die Arbeitgeberin (diese sind als Letztverantwortliche zu klagen, ausschließlich natürliche Personen, am Ende vor dem EUGH zu klagen). Diese können sich an den Arbeitnehmer!nnen schadlos halten, dh Strafen einfordern und/oder die Personen entlassen.
- Es ist selbverständlich, dass zum Datgenschutz und zur Datensecurity State-of-the-Art Methoden verwendet werden müssen. Elektronische Geräte und Devices, die personenbezogene Datten enthalten (und sei es "nur" eMailadressen), müssen verschlüsselt sein. Das gilt insbesondere für USB-Sticks.
- Kinder unter 14 bzw 16 Jahren sind durch DSG und DSGVO besonders geschützt. Hier müssen zu einigen Dingen die Erzeihungsberechtigeten vorher zustimmen, zu einigen Dingen können auch diese keine Zustimmung geben (wenn es zB um verfassungsrechtlich abgesicherte Rechte geht)
- Grundlegende Datenarten
- personenbezogene Daten: Name, Adresse, aber auch Bild-, Ton- und Videoaufnahmen (hier sind auch Persönlichkeitsrechte betroffen)
- darunter: besonders schützenswerte Daten wie Gesundheitsdaten, Ethnie, Religion etc.
- anonyme Daten
- pseudonyme Daten
Vorgehensweisen
Am einfachsten und sichersten ist, wenn die Arbeitgeberin (Schule oder Universität) oder das zuständige BM Tools rechtskonform zur Verfügung stellt, denn dann müssen sich diese Stellen um Rechtskonformität der Tools sowie um die Schulungen jener, die diese Tools verwenden, kümmern. Als Beispiel: Moodle in der Schule. Eventuell auch Office 365 und MS-Teams. Untis.
Die Benutzung von Whats-App wurde zB vor einiger Zeit vom Ministerium als Kommunikationstool zwischen Schüler!nnenn und Lehrer!nnen untersagt.
Eine kleine Hilfestellung findet sich auch unter «https://www.bmbwf.gv.at/Themen/schule/schulrecht/ds.html», allerdings werden die Fallstricke eben ausgelassen.
Arbeitsrechtler!nnen und Arbeitspsycholog!nnen geben immer wieder den Hinweis, Privates und Berufliches so gut wie möglich - möglicherweise strikt - zu trennen. Sonst kann es zu rechtlichen oder psychischen Problemen führen. In Zeiten von Corona und HomeOffice sowie HomeSchooling sollte dies einigen bewusst geworden sein.
Das Ministerium bzw die Schulen (in ihrer "Autonomie") sollten Datenschutzbeauftragte haben!
Ich will ein eTool, SaaS, Webservice oÄ benützen, das nicht von meinem Arbeitgeber/meiner Arbeitgeberin zur Verfügung gestellt wurde:
- Dann bin ich (rechtlich) Verantwortliche/r im Sinne des DSG
- Benötige ich eine rechtlichen Grund für die Verwendung des Tools
- Werden personenbezogene Daten verarbeitet (IP, eMail-Adressen, Audio oder Video wie zB bei Videokonferenzen oÄ) dann
- benötige ich einen Auftragsverarbeitungsvertrag mit dem Anbieter des Tools/Services
- Der Anbieter des Tools ist der Auftragsverarbeiter, dem ich durch die Nutzung des Services indirekt oder direkt einen Auftrag erteile. Das Problem bei einigen Tools ist, dass die Server nicht im EU-Raum stehen und daher nicht ausschließlich eurpäischem Recht unterliegen (vgl weiter unten).
- benötige ich eine Risikofolgeabschätzung (was passiert, wenn es zB ein Datenleck gibt, welche Folgen entstehen für die Nutzer!nnen)
- muss ich diese Dinge in ein Verarbeitungsverzeichnis des Arbeitgebers eintragen (lassen) und mich selbst als Verantwortliche/n ausweisen.
- Die Teilnehmenden müssen in einfachen Worten darüber aufgeklärt werden, was mit ihren Daten wo geschieht (das muss eben auch im Vertrag geregelt sein, ein belibter Videodienst gibt zZt zB die Daten an ungenannte Subunternehmer weiter - dazu gibts ein aktuelles Gutachten in Deutschland, und zumindest zwei verschwommene Passagen in deren aktuellen Datenschutzerklärung). Insbesondere müssen sie auch darüber aufgeklärt werden, wer der/die Verantwortliche ist sowie wo ihre Daten wie verarbeitet werden.
- Die Teilnehmenden müssen über ihre Rechte nach DSG aufgeklärt werden - und der/die Verantwortliche muss diese Rechte gegenüber dem Auftragsverarbeiter auch durchsetzen können bzw. vertraglich abgesichert haben. Die Datenschutzerklärung bzw die AGB reichen dafür nicht aus, da sie jederzeit geändert werden können. Siehe auch «https://www.dsb.gv.at/rechte-der-betroffenen»
- Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht
- Recht auf Auskunft: Es muss Auskunft über die gespeicherten Daten gegeben werden
- Recht auf Berichtigung der Daten (Bem: schwierig wenn ich mich in einer Videokonferenz "versprochen" habe)
- Recht auf Löschung, insbesondere von Daten, die nicht mehr relevant sind.
- Recht auf Einschränkung der Verarbeitung
- Recht auf Datenübertragbarkeit (hier gab es zB bereits ein Urteil bez Banken, die die Kontobewegungen von mehreren Jahren in maschinenlesbarer Form entgeltfrei herausgeben müssen)
- Widerspruchsrecht
- Recht, nicht einer ausschließlich automatisierten Entscheidung unterworfen zu sein. Bem.: Eventuell bei Online-Prüfungen relevant.
- Recht auf Beschwerde bei der Datenschutzbehörde «https://www.dsb.gv.at»
Persönliche Überlegungen
- Als Lehrende/r sollte man Vorbild für Lernende sein: Wie sieht es aus, wenn man in der Schule lernt, dass wenn es der Bequemlichkeit und Einfachheit dient, bestehende Gesetze missachtet werden können?
- Die Lehrenden - und hier insbesondere Informatiker!nnen - haben mE die Pflicht, die Schüler!nnen auf die Möglichkeiten aber auch die Gefahren der Nutzung von eTools hinzuweisen.
- Es gibt keine nicht-personenbezogenen Daten mehr, außer eventuell naturwissenschaftliche Messreihen. Präziser: Im Internet gibt es keine nicht-personenbezogene Daten mehr, da über Big-Data, dh Datenverknüpfung aus IP, verwendetem Browser und System, Social-Media-Accounts etc.
- Aus Video und Audioaufnahmen können fast beliebige Deep-Fakes hergestellt werden, sodass es in Zukunft schwierig sein kann, Fiktion von Realität zu unterscheiden, jeder Telefonanruf könne ein Fake sein. Fake-News und Verschwörungstheorien "beherrschen" ja zZt die (a)sozialen Medien.
- Mit Profiling, Datenverkauf und Werbung werden Milliarden Dollar Umsatz erzielt. Unsere Daten haben offensichtlich einen Wert, der bei weitem die Gratis-Nutzung von eServices und eTools übertrifft. Und dafür werden wenige bis keine Steuern im EU-Raum abgeliefert.
- Die EU und auch Österreich will die "digitale Hoheit" (was immer das ist) widererlangen und technologisch Voreiter spielen. Dann verstehe ich nicht, dass der österreichische Staat (zB durch ein Ministerium) US-amerikanischen Firmen Millionengewinne beschert. Wenn wir gewisse Tools "gratis" für die Schule bekommen, so heißt das auch, dass man zuhause ebenso diese Tools haben muss - und dafür rechtmäßig zB einen zB "Softwaremietvertrag" abschließen muss, da die Tools ad personam zugewiesen werden (personenbezogene Useraccounts). Dann will ich diese Tools auch nach der Schule nutzen und … Dann fordere ich das eventuell auch von meinem zukünftigen Arbeitgeber ein etc.Mir ist nicht klar, was ich/der Staat/die Steuerzahlenden dafür bekommen.
Letzte Änderung: 11.06.2020, 16:50 | 1384 Worte