Nachbericht zum ersten NGI-Talk „Privacy“

Der erste NGI Talk fand erfolgreich am 27. November in den Räumlichkeiten der OVE in Wien statt. In den drei Präsentationen und der daran anschließenden Diskussion waren „Werte“ ein zentrales Element.

Die Folien der Vorträge können auf der Veranstaltungsseite heruntergeladen werden. Einen ausführlicher Bericht über die Veranstaltung finden Sie in der Computerwelt.

Zusammenfassung

Der eigentliche Initiator der „NGI Talks“, Helmut Leopold, Head of Center for Digital Safety & Security am AIT, betonte in seiner Begrüßung die Wichtigkeit der Zusammenarbeit aller relevanten Akteure in der Internet-Arena, damit technologische Innovationen aus der Forschung auch ihren Weg in die Märkte finden. „Die jetzt angelaufene Dialogplattform ist dazu gedacht, die Zukunft unserer digitalen Umgebung aktiv mitzugestalten und dabei Vorsorge zu tragen, dass unsere gesellschaftlichen Grundwerte wie Privatsphäre, Freiheit und Unabhängigkeit auch im Internet von morgen nachhaltig sichergestellt sind“, so Leopold.

Auch Oliver Hoffmann vom Partner bmvit gab sich in seinen Begrüßungsworten überzeugt, „dass die Umsetzung eines zukunftsfähigen Internets auf Basis unserer europäischen Werte die interdisziplinäre Zusammenarbeit der besten Köpfe im Land erfordert.“

Der Projektverantwortliche und Moderator der NGI Talks, Senior Research Engineer am AIT und IoT-Experte, Mario Drobics, setzt mit der Themenwahl für die 5 Talks auf unterschiedlichste Perspektiven, die einen breiten Diskurs zwischen Industrie, Politik, Wissenschaft und vor allem auch der Gesellschaft ermöglichen sollen.

Zum Einstieg stand die wohl drängendste Frage bei der allgegenwärtigen Nutzung des Internets im Brennpunkt der Diskussion: Der Schutz unserer privaten Daten. In den weiteren Talk-Runden wird sich die Gesprächsreihe Themen wie „Vertrauen“, „Künstliche Intelligenz“, „Echokammern und Fake News“ sowie dem „Dezentralisierten Internet“ widmen.

Das Format der NGI-Talks wurde so konzipiert, dass 3 Sprecherinnen bzw. Sprecher mit unterschiedlichem beruflichen Hintergrund und damit auch Themenzugang die Kernfrage des jeweiligen Talks in ihren Impuls-Referaten aus verschiedenen Perspektiven beleuchten, damit das Auditorium am Ende immer mit einem vielschichtigen Bild des Problems und möglicher Lösungen nach Hause gehen kann.

Beim Thema „Data Privacy“ des ersten Talks hat es sich daher quasi von selbst angeboten, den Themenkreis gesellschaftlich, technologisch und rechtlich zu erörtern.

Für die NGI-Talks gilt der Anspruch, die 3 Perspektiven des Themenzugangs sprachbildlich eingängig aufzulösen. So wurde dann im Talk #1 das Metathema „Data Privacy“ auch mit Blick auf den Wert von Daten (Value), den Schutz von Daten (Protection) und die rechtliche Einfassung der Thematik (Policy) diskutiert.

Für diese 3 Blickwinkel konnten mit Axel Quitt (T-Systems Austria), Thomas Lorünser (AIT) und Christof Tschohl (Research Institute AG & Co KG Zentrum für digitale Menschenrechte) drei Experten gewonnen werden, die mit ihrem Know how zusammen alle Aspekte des NGI Talks #1 zum Thema „Data Privacy“ abdeckten:

  • Big Data-Plattformen, Daten-Analyse, Künstliche Intelligenz (Axel Quitt),
  • Digitalisierungsexpertise, IT-Security und angewandte Kryptografie (Thomas Lorünser)
  • Datenschutz, Daten- und Informationssicherheit sowie Cybercrime, Medien- und E-Commerce-Recht und letztlich „Privacy by design“ und begleitende Technologiefolgenabschätzung (Christof Tschohl).

Value – Was ist der Wert von Daten und wie beeinflusst Privacy die entsprechenden Business-Modelle

Der Senior Sales Manager für Big Data-Plattformen bei T-Systems Austria und Partner von Data Market Austria, einem Projekt zur Etablierung eines Daten-Services Ökosystems in Österreich mit den Stoßrichtungen verbesserte Technologiebasis, Cloud-Interoperabilität und Schaffung eines Daten-Innovationsumfeldes, Axel Quitt, begann sein Impulsreferat mit einer aktuellen Bestandsaufnahme: „Täglich werden bis zu 3 Trillionen Bytes an Daten generiert, sie kommen von überall her und wissen alles, ihr Name ist „Big Data“ und sie leben in der Cloud“.

Das ist semantisch nur etwas anders dargestellt die Situation in der wir uns heute befinden. Daten sind das Öl oder Gold des 21. Jahrhunderts. Wenn dem so ist, muss man sich auch fragen, haben Daten einen Wert? Ist Big Data gleich Big Value?

Axel Quitt blieb vorerst noch bei einem ökonomischen Beispiel: Big Data ist charakterisiert durch die vier „V“: Volume, Velocity. Variety und Value. In diesem Zusammenhang hat er dem Konzernbericht 2015 der UNIQA Group ein paar interessante Zahlen entnommen:

In den Kernmärkten der Versicherungsgruppe gab es pro Tag mehr als 1 Million versicherungsbezogene Suchanfragen (Volume), Positive Interneterfahrung motiviert weltweit zu Empfehlungen und Zusatzkäufen; 47 – 48 % würden ihren Versicherer weiterempfehlen (Variety) und Der Einsatz intelligenter Geräte könnte die Versicherungsrisiken im Haushalt um 40 – 60 % und im Kfz-Bereich um 15 -20 % reduzieren (Value).

Und wenn man der Stimme des Kunden traut, dann empfinden viele Unsicherheiten in den Bereichen Bildung, Status, persönlicher Ruf, Daten und Mobilität, doch die Versicherungsbranche hat diese Bereiche bisher kaum mit Produktangeboten bedient. Fazit: Die Monetarisierung von Daten ist noch nicht überall sehr ausgeprägt.

Dieses Beispiel veranlasste den Big Data-Experten die Wertefrage philosophisch anzugehen. Dann ergeben sich so elementare Fragen wie „Wofür steht Wert eigentlich?“ „Von welchem Wert sprechen wir?“ Ein Wert lässt sich als Zahl, als Funktionswert (mathematisch), als Messwert, als Größenwert (physikalisch) oder wirtschaftlich im Sinne der Bedeutung von Gütern ausweisen.

Diese letzte Klassifizierung von Wert muss jedoch näher betrachtet werden. Ein Gut bekommt erst einen Wert, wenn man es besitzt oder besitzen möchte. Aristoteles unterschied in diesem Zusammenhang zwischen Tauschwert und Gebrauchswert. Noch intrinsischer klingt das Axiom von Hildebrand: „Der Wert einer Sache existiert nur für und durch die Menschen.“

Auf die Frage nach dem Wert von Daten umgelegt, müsste man nach diesen Definitionen wohl zuallererst klären, ob man Daten besitzen kann wie andere Güter, wie z.B. Öl oder Gold, denn erst im Besitz, wie wir mittlerweile wissen, entfalten Güter ihren Wert. Sind Daten demnach Güter, oder geht ihre Konsistenz darüber hinaus?

Wenn man sich darauf geeinigt hat, dass Daten einen Wert haben bzw. annehmen können, dann muss man allerdings auch fragen ob der Wert vorhanden, konstant, variabel bzw. Zeit/Ortsabhängig ist und in weiterer Folge, wie sich der Datenwert verändert, wenn man Daten verkauft, vermietet, verschenkt, teilt, den Zugang öffnet oder beschränkt. Wirken die Mechanismen des Handels/Marktes auch bei Daten? Ist Wertschöpfung eine Grundlage der wissenschaftlichen Wertetheorie?

Zum Abschluss der Wertdiskussion warf Axel Quitt noch die Frage auf, ob es einen Zusammenhang zwischen Datenmenge und Wert gibt. Um eine Wertrelation zu bestimmen, griff er ein Beispiel aus der Gamification Industry heraus. Mit dem Spiel „Sea Hero“ wurde die Weltgesundheitsherausforderung „Demenz-Erkrankung“ mit steigender Inzidenz von 47 Millionen Erkrankten 2016 und hochgerechneten 135 Millionen Erkrankten im Jahr 2050 adressiert. Durch freiwillige Teilnahme von 2,7 Millionen Betroffenen in 193 Ländern konnte in 70 Jahren Spielzeit durch spielinhärente Datenerhebung ein Äquivalent im Daten-Outcome erzielt werden, welches über 10.000 Jahren ähnlich gelagerter Labor basierter Forschung entspricht.

Zum Abschluss seiner Kurzpräsentation ging Axel Quitt noch den Fragen nach, welchen Grad an Vertrauen Konsumenten verschiedenen Dienstleistern entgegenbringen, dass diese ihre privaten Daten vertraulich und sicher behandeln und warum Menschen Anonymität online wertschätzen.

Sehr zuversichtlich zeigten sich die Befragten einer Pew Research Center Umfrage vom Sommer 2014 was den Schutz ihrer Privatsphäre entspricht gegenüber Kreditkartenunternehmen (9 % sehr hoher Vertrauenslevel, 29 % hoher Vertrauenslevel). Gute Werte erhielten auch Behörden sowie die Telefon- und Mobilfunkanbieter. Am unteren Ende der Skala rangieren Social Media-Kanäle und Online-Werbeunternehmen, denen gegenüber 46 % bzw. 53 % überhaupt kein Vertrauen in die Geheimhaltung ihrer persönlichen Daten aufbringen.

Bezüglich der zweiten Frage (Zusammenhang Value/Privacy) sehen 21 % der Befragten Anonymität als wertvoll, weil sie befürchten, dass ihr E-Mail oder Social Networking Account durch jemanden ohne Erlaubnis kompromittiert werden könnte. An zweiter Stelle (13 %) rangiert hier die Angst, dass man durch irgendwelche Online-Postings Schwierigkeiten in familiären und freundschaftlichen Beziehungen bekommt. Und schon an dritter Stelle wird Anonymität geschätzt, weil man online schon einmal Stalking oder Belästigung erlebt hat (12 %).

Sein Abschluss war jedoch sehr versöhnlich: „Don’t Forget: Data is beautiful!!!

Protection – Wie können Daten geschützt werden während man sie weiter teilt

 Der zweite Impuls-Talk zur Auftaktveranstaltung der NGI Talk Serie über Data Privacy widmete sich dem Thema „Protection“. Der AIT Scientist Thomas Lorünser, der sich in seiner Arbeit mit den Schwerpunkten Digitalisierung, IT Security und angewandte Verschlüsselung befasst, subsummierte in seiner Präsentation unter dem Metathema „Protection“ (Schutz) die dominanten Forschungsherausforderungen für die Entwicklung des Next Generation Internet wie „Dezentralisierung“, „Privatheit“ und „Vertrauen und Security“. „Das NGN muss ein Internet der menschlichen Werte sein – widerstandsfähig, vertrauenswürdig und nachhaltig“, so der AIT Sicherheitsexperte.

Dezentralisierung darf man ruhig im doppelten Wortsinn verstehen: Dezentralisierung der Macht und der Infrastrukturen. Dazu sind Technologien im Vormarsch wie Edge Computing, Blockchain, IoT und end-to-end Security. Und es wird Forschung gebraucht, um festzustellen, welche sozioökonomischen Implikationen von großen Unternehmen ausgehen, die über ein Monopol verfügen. Dabei gilt es nach möglichen Optionen zu fragen, wie diese Implikationen adressiert werden können, ausgehend von Lernerfahrungen früherer ökonomischer Situationen, in denen Monopole nach Kontrolle verlangten.

Für Dezentralisierung muss man disruptiven Technologien und Innovationen kleinerer Player Raum, Freiheit und Sichtbarkeit schaffen, damit sie ihr Potenzial demonstrieren können. Darüber hinaus müssen die Chancen für positive Regulierungseffekte der EU herausgearbeitet und ein gesetzlicher Ausgleich gegenüber den Kosten einer Verfolgung dieser Chancen geschaffen werden. Eine besonders wichtige Forschungsfrage ist letztendlich, wie Regulierung Diversität, Pluralität und Wahlfreiheit fördern kann, ohne die Serviceangebote zu kompromittieren, die von Incumbents bereitgestellt werden und in der allgemeinen Öffentlichkeit populär sind.

Beim zweiten Schwerpunkt „Privatheit“ geht es vor allem darum, die Bürger und Unternehmen dazu zu ermächtigen, wieder die Kontrolle und damit die Hoheit über ihre Daten zurück zu gewinnen. Eingesetzte, Privatheit verstärkende, Technologien verlangen nach Datenminimierung und nach „Privacy by design“ bzw. „default“. Gefordert sind zudem eine verbesserte Transparenz über Datenverarbeitungsvorgänge und auch eine größere Bewusstheit im Umgang mit Daten auf Seiten der Anwender. Das Endziel müssen hier einfach zu bedienende Mechanismen, Protokolle sowie eine verständliche Rechtslage sein, damit „Privatheit“ im Sinne der GDPR (General Data Protection Regulation) auch praktisch umgesetzt werden kann.

Der dritte Building Block für Data Security zielt auf die Beherrschung von Sicherheitsbedrohungen und den Aufbau von Vertrauen in eingesetzte Technologien. Experten sprechen beim Status Quo letztverfügbarer Netztechnologien heute von einer Trinität an Schwierigkeiten, welche die Einlösung von Vertrauen und Cyber Security erschweren: Komplexität, Vernetzung und Dynamik. Diese Eigenschaften zeitgemäßer IKT finden derzeit z.B. im Übergang von der Cloud zu IoT ihren unmittelbaren Ausdruck.

In Amerika versuchte man mit dem „Internet of Things (IoT) Cybersecurity Improvement Act of 2017“ einen Cybersecurity Minimal Betriebsstandard für mit dem Internet verbundene Endgeräte zu etablieren. Die dort eingeschlagene Richtung stimmt.

Transparenz ist der zentrale Enabler von Privatheit und Vertrauen. Daher müssen wir die Forschungsanstrengungen betreffend die Impacts jüngster Technologieentwicklungen deutlich verstärken. Wir müssen hinterfragen welchen Einfluss und welche Auswirkungen eingesetzte IoT Devices und physikalische und zusammengeschaltete Systeme (Netze, Endgeräte, Ressourcen, Menschen) auf die Qualität der Cybersecurity haben. Auch bei AI (Artificial Intelligence) ist künftig Transparenz ein ganz großes Thema. Neben all den wissenschaftlichen Untersuchungen über mögliche Sicherheitskonsequenzen durch Nutzung fortschrittlicher IT (Thema: Technologiefolgenabschätzung) müssen wir uns soziologisch auch mit den Vertrauensfolgen bestehender Machtkonzentrationen im Netz auseinandersetzen.

Für Lorünser steht Kryptographie im Mittelpunkt einer widerstandsfähigen Netz-Gesellschaft. Im letzten Drittel seiner Präsentation stellte er daher heute bereits existierende und auch kommende Verschlüsselungsmethoden vor, die der Komplexität des NGN in punkto Data Security gewachsen sind bzw. sein werden.

Die Zukunft gehört sicher daten- und kryptoagilen Lösungen, wo man Daten auch in der Cloud verschlüsselt abspeichern und gleichzeitig jedoch mit ihnen arbeiten bzw. über verteilte Systeme auch verschiedene Sichtweisen auf Daten entwickeln kann. Die übergeordneten Ziele dabei sind bestmögliche Privatheit durch Datenminimierung und ein präventiver Schutz durch echte Ende-zu-Ende-Sicherheit.

Heute bereits verfügbare Systeme betreffen z.B. Distributed Storage (z,B LIN:BIT, SETL, fragementiX) oder dezentralisierte Web-Applikationen wie OpenBazaar, Graphite Docs, CryptPad, Textile Photos, Matrix, DTube oder Akasha und Diaspora (allesamt offene Dokumenten- und Social Media-Alternativen). Multi-Party Computation auf verteilten Systemen mit Bearbeitung verschlüsselter Daten und Sicherheit basierend auf Nichtkollision – Beispeil IPFS (Interplanetary File System) – oder mit Attribute-Based Encryption oder Anonymous Authentication stehen neue Methoden der Datensicherheit technologisch bereits ante portas.

In Conclusio wird es im Next Generation Internet vielfach darum gehen, schon bestehende Technologien mit neuen Ansätzen zu nutzen und damit die gesamte Verschlüsselungsthematik in eine neue Ära überzuführen.

Policy – Die Bedeutung der Datenschutz-Grundverordnung (DSGVO) und ein Ausblick in die künftige Technologie-Entwicklung

Zum Abschluss des Auftaktes der NGI Talk-Serie zum Meta-Thema „Data Privacy“ referierte Christof Tschohl, Wissenschaftlicher Leiter und Gesellschafter der Resarch Institute AG & Co KG Zentrum für digitale Menschenrechte, der sich als Nachrichtentechniker und Jurist auf IT-Recht sowie Grund- und Menschenrechte spezialisierte, über die Bedeutung der seit 2018 in Kraft befindlichen DSGVO für einen funktionierenden Datenschutz und machte dabei insbesondere auf den Datenschutz durch Technikgestaltung (Privacy by design) aufmerksam.

Für Tschohl ist Datenschutz ein mehrfach verankertes Grundrecht, so z.B. in Art. 8 der Grundrechte der EU (GRC), in Art. 8 der Europäischen Menschenrechtskonvention (EMRK) und auch in $ 1 des Datenschutzgesetzes (DSG) im Verfassungsrang. Alle diese Grundrechtsakte folgen dem Grundsatz, dass die Verarbeitung personenbezogener Daten verboten ist, wenn sie nicht ausdrücklich erlaubt wird.

Mit Hinblick auf den angeführten Grundrechtsschutz markiert die EU-Datenschutzreform einen echten Meilenstein. Seit 24. Mai 2016 gehört die DSGVO zum Rechtsbestand der EU und seit 25. Mai 2018 gilt sie einheitlich im gesamten Gebiet der Europäischen Union. Sie hat die zuvor geltende EU-Datenschutzrichtlinie RL 95/46/EG abgelöst. In Österreich wurden ihre Bestimmungen durch umfassende Änderung des Datenschutzgesetzes (DSG) in nationales Datenschutzrecht übergeführt.

In seinem Ansatz des Datenschutzes zielte der Menschenrechtler zentral auf die Würde des Menschen, weil er den Datenschutz als eine Art Katalysator für alle Menschenrechte hält. Schutzgut sind dabei nicht die Daten selbst, sondern verschiedene grundrechtlich geschützte Sphären des Menschen, über die Informationen verarbeitet werden wie z.B. Privatsphäre, Opferschutz, Antidiskriminierung und ähnliches mehr.

„Human Dignity by Design“ ist damit der Anker guten Datenschutzes und in weiterer Folge auch der Garant dafür, dass er nicht bloßer Selbstzweck bleibt, sondern immer das Funktionieren einer freien demokratischen Gesellschaft und die Zuerkennung zahlreicher Grundrechte im Auge behält. Ferner ist Datenschutz einer Abwägung zugänglich, d.h. das Grundrecht gilt nicht vorbehaltlos, aber unter Gesetzesvorbehalt. Damit erfüllt Datenschutz auch die Qualität eines „Rule of Law by Design.“

Entschieden stellte sich Tschohl auch gegen die immer wieder vorgebrachte These „Wer nichts zu verbergen hat, hat auch nichts zu befürchten.“ Das ist eine Umkehrung der Rechtfertigungslast und verletzt das Prinzip der Europäischen Menschenrechtskonvention (EMRK).

Die DSGVO schützt „Personenbezogene Daten“, also alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen wie z.B. Alter, Beruf, Anschrift oder auch die IP-Adresse (EuGH C-582/14). Und im Besonderen geschützt sind dabei sensible Daten wie rassische und ethnische Herkunft, politische Meinungen, religiöse und weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, Verarbeitung von genetischen und biometrischen Daten zur eindeutigen Identifizierung der Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung.

Daraus folgt, dass für die Verarbeitung personenbezogener Daten Grundlagen der Rechtfertigung erforderlich sind wie z.B. eine klare gesetzliche Grundlage, die Verarbeitung zur Erfüllung eines Vertrages erforderlich ist, der Betroffene seine Einwilligung erteilt hat oder überwiegende berechtigte Interessen eines Anderen an der Verarbeitung vorliegen. Am wichtigsten ist dabei die Zweckbindung, d.h. dass die Verarbeitung nur für eindeutige legitime Zwecke erfolgt. Die Datenverarbeitung durch Behörden ist nur aufgrund von Gesetzen möglich und sie muss im Sinne des Art. 8 Abs. 2 EMRK im öffentlichen Interesse liegen.

Die Einwilligung wird in Art. 4 Ziffer 11 DSGVO eindeutig definiert: „Einwilligung der betroffenen Person bedeutet, jede freiwillig für den bestimmten Fall in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.“

Eine besondere Herausforderung für den Datenschutz stellt nach Ansicht des Experten „Big Data“ dar. Dabei ist zuerst die Grundfrage entscheidend. Gibt es einen Personenbezug, denn nur personenbezogene Daten sind von der Jurisdiktion der DSGVO erfasst. Big Data kollidiert prima vista mit den Grundprinzipien des Datenschutzrechts wie z.B. Zweckbindung, Datenminimierung, Speicher(dauer)begrenzung, Richtigkeit, Rechtmäßigkeit oder Transparenz. Daher ist eine gesetzliche Grundlage wie z.B. die Zustimmung des Betroffenen zur Verarbeitung der Daten erforderlich.

Der Umgang mit Big Data erfordert eine ethische Position, bei der technische, legistische und organisatorische Maßnahmen zusammengeführt werden. Zentrale Maßnahme sollte die Datenminimierung oder Datensparsamkeit (Art der Daten, Umfang der Daten, Speicherdauer, Kreis der Zugriffsberechtigten) sein. Dafür braucht es die Etablierung einer Privacy by Design Mentalität in den Unternehmen, also einen unternehmenskulturellen Zugang. Die so definierten Einstellungen sollen dann im besten Fall in Prozesse über datenschutzkonforme Systembeschaffungen, die Dokumentation von Abschätzungen möglicher Datenschutzrisiken bei Systemplanungen sowie zur Verpflichtung von Systemherstellern zu „Privacy by Design“ münden.

Ganz am Schluss seiner Ausführungen skizzierte der Datenschutzexperte noch Wege der Rechtsdurchsetzung und führte dabei zuerst das aus den Medien bekannte Beispiel des „Data Protection Commissioner (DPC)-Verfahrens Max Schrems vs. Facebook“ an und schilderte dem Auditorium den Instanzenweg.

Danach erläuterte er die Option „Datenschutz NGOs vertreten nach Artikel 80“. Dieser Artikel erlaubt es mandatierten NGOs (z.B. Datenschutz-Vereinen) Datenschutzrechte mittels Verbandsklage durchzusetzen. Man kann ihn gut verwenden, wenn man aus Österreich heraus einen globalen Konzern klagen will. Die DSGVO hat damit NGOs ausdrücklich als Wächter der Bürgerrechte anerkannt.

In Österreich ist Christof Tschohl Gründungs- und Vorstandsmitglied im Datenschutzverein „noyb“ (non-of-your-business) von und mit Max Schrems, der als NGO nach Artikel 80 einzustufen ist.

Dieser Verein informiert im Detail über das Verfahren vor dem „European Data Protection Board“ (EDPB). Er vermittelt dabei Kenntnisse über die Verfahrensrechte vor der Einbringungsbehörde und vor der „Lead Authority“ und erläutert die Verfahrensregeln des Europäischen Datenschutzausschusses.

Sein Schlusswort betreffend den aktuellen Europäischen Datenschutz betraf den EuGH (Europäischer Gerichtshof): „Alle Wege führen nach Luxemburg.“

Posted by Mario Drobics