Die ID Austria birgt nicht nur das Risiko von Datenmissbrauch durch Behörden: Für die staatliche App „Digitales Amt“ wird die technische Infrastruktur amerikanischer IT-Konzerne genutzt, zu deren Geschäftsmodell bekanntlich die Verwendung personenbezogener Daten beispielsweise für Werbezwecke gehört. Auch ein Zugriff auf die Daten durch US-Sicherheitsbehörden ist möglich. Nutzer der ID Austria sollten sich dieser Risiken bewusst sein. Die Freiwilligkeit der Nutzung dieser digitalen ID muss nach Ansicht der GGI-Initiative in jedem Fall gewährleistet bleiben.
Beachten Sie auch Teil 1 und Teil 2 dieser Artikelreihe.
ID Austria (Teil 3) – Abhängigkeit von Big Tech
Presseaussendung der GGI-Initiative am 12.12.2023
Während der Corona-Jahre wurden viele Menschen mit digitalen Mitteln weitgehend aus der Gesellschaft ausgeschlossen. Nun soll der Digitalisierungstrend mit der ID Austria fortgeführt werden, die seit 5.12.2023 im regulären Betrieb ist. Die Datenschutzfolgenabschätzung 2022 erachtet das Risiko des Missbrauchs einer Abhängigkeit von den Systemen der Technologie-Riesen bei der Nutzung der ID Austria als akzeptabel. Die GGI-Initiative sieht die beschriebenen Schutzmaßnahmen als unzureichend an, das Risiko bleibt hoch. Ohne Aufarbeitung gibt es kein Vertrauen, dass die digitale Technik tatsächlich zum Wohl der Menschen eingesetzt wird.
Hintergrund
Die Corona-Jahre trieben die Digitalisierung voran. Am 5.12.2023 startete die ID Austria. Die Vorzüge dieses Systems werden betont, Datenschutzrisiken, Nutzungszwang und möglicher staatlicher Missbrauch jedoch kaum diskutiert. Warum die Zusammenführung aller Daten einer Person mittels der ID Austria kritisch zu betrachten ist, wurde bereits in den vergangenen Aussendungen – Teil [1] und Teil [2] – begründet.
Die zwingend vorgeschriebene Datenschutzfolgenabschätzung (DSFA) aus dem Jahr 2022 analysierte die potenziellen Risiken der ID Austria. [3]
In diesem Teil 3 der mehrteiligen Serie wird ein Teilergebnis dieser Untersuchung vorgestellt: Nutzer*innen der ID Austria setzen sich unfreiwilliger oder unbewusster Abhängigkeit von privaten IT-Dienstleistern oder fremden Regierungen aus. In den nachfolgenden Abschnitten wird eine ausführliche Ausarbeitung zu diesem Aspekt zusammengefasst, im begrifflichen Duktus und der Struktur wird dabei der DSFA gefolgt. [4]
Risiko der Abhängigkeit von Google und Apple
Für Zugänglichkeit und Verwendung der staatlichen App „Digitales Amt“ wird die technische Infrastruktur amerikanischer IT-Konzerne genutzt. Dadurch entsteht ein Abhängigkeitsverhältnis. Die Verfügbarkeit der Dienste hängt somit von den Entscheidungen der IT-Konzerne und vom Goodwill ausländischer Regierungen ab, was sich auf die Verfügbarkeit der Dienste negativ auswirken kann.
Die Betroffenen sind einmal mehr angehalten, sich entsprechende Accounts (Nutzerkonten) bei den transatlantischen Unternehmen anzulegen bzw. mit diesen zu kontrahieren. Über die Nutzung der App-Stores von Google und Apple kann es zu einer Datenverarbeitung zu inkompatiblen Zwecken kommen, wie etwa die Verwendung der Daten für Werbezwecke. Eine derartige Verwendung personenbezogener Daten gilt als zentraler Bestandteil der Geschäftsmodelle dieser Unternehmen.
Es kommt zudem zu einem transatlantischen Datentransfer und dem damit verbundenen Risiko des Zugriffs auf die Daten durch US-Sicherheitsbehörden.
Komponenten des Risikos
- Betreiber (IT-Abteilung des Bundes) sehen sich dazu gezwungen, auf die Plattformen und Technologien Dritter zurückzugreifen, um das E-ID System zu implementieren und für weite Teile der Bevölkerung möglichst einfach verfügbar zu machen bzw. die Nutzung zu fördern.
- Ebendiese Betreiber und ihre Auftraggeber nehmen Schaden für die Betroffenen billigend in Kauf, weil beispielsweise versucht wird, die niederschwellige Zugänglichkeit und Benutzer*innenfreundlichkeit der ID Austria zu erhöhen.
Schaden bei Missbrauch
Die angeführten Schäden werden von der DSFA als „wesentlich“ eingestuft, das bedeutet signifikante Konsequenzen für Betroffene, die sie nur schwer abwenden können, sind zu erwarten.
- Immaterielle Schäden: gesellschaftliche und soziale Nachteile (durch weitere Monopolisierung privater IT-Konzerne), strukturelle Schädigung der Privatsphäre (Tracking über Webseiten, Applikationen und Endgeräte hinweg), sowie „Chilling Effects“, d. h. Menschen sehen davon ab, ihre Rechte wahrzunehmen oder ihre Persönlichkeit zu entfalten. [5]
Bewertung des Risikos
In der DSFA werden Schadensausmaß und Eintrittswahrscheinlichkeit zu einem Risiko kombiniert. Ein sich daraus ergebendes „hohes Risiko“ bedeutet in diesem Zusammenhang eine hohe Wahrscheinlichkeit, durch die ID Austria irgendwann einen wesentlichen bis maximalen Schaden zu erleiden.
Die Untersuchung ergab für diesen Aspekt ein hohes Risiko! Deshalb bedarf es einer Reihe von Maßnahmen, damit die beschriebenen Schäden weniger wahrscheinlich eintreten. Diese Maßnahmen gelten als zwingend erforderlich, ohne jene kann die Verwendung der ID Austria letztlich nicht empfohlen werden.
Maßnahmen zur Linderung des Risikos
Die DSFA führt als bereits umgesetzte Maßnahmen an:
- technische Optimierungen
- Forderung nach Verwaltungsprozessen, die den Betroffenen nach wie vor auch analog ohne Smartphone zur Verfügung stehen müssen
Wir betrachten diese Aufzählung sehr kritisch und merken Folgendes an:
Die genannte Forderung ist offensichtlich bereits im Jahr 2023 von Behörden nicht konsequent umgesetzt worden. Wegen des bereits begonnenen Betriebs der ID Austria sind die genannten Maßnahmen zum Teil obsolet, das ursprünglich erschlossene hohe Risiko bleibt zwangsläufig bestehen.
Anwender*innen der ID Austria sind weiterhin dazu angehalten, sich entsprechende Konten bei den transatlantischen Unternehmen anzulegen. Der Zugriff auf die Daten durch US-Sicherheitsbehörden wird nicht wirksam verhindert.
Resümee
Das Risiko und damit die Gefahr, dass Nutzer*innen der ID Austria durch deren Abhängigkeit von internationalen Konzernen eventuell nachteilige Konsequenzen erleiden, bleibt hoch. Die beschriebenen Maßnahmen, die das Risiko gemäß DSFA auf ein gerade noch annehmbares Niveau senken, sind zu schwach. Warum diese Maßnahmen als ausreichend bewertet werden und keine datenschutzrechtliche Ablehnung ausgesprochen wird ist nicht nachvollziehbar.
Die GGI-Initiative mahnt – im Hinblick auf die oben angeführten Risiken – die freie Entscheidung zur Registrierung der ID Austria und ihrer Verwendung ein. Ohne ordentliche Aufarbeitung der Geschehnisse seit 2020 vertrauen wir nicht darauf, dass die digitale Technik tatsächlich in erster Linie den Bürger*innen dient.
Quellenangaben
[1] Anonym. ID Austria (Teil 1) – Machtinstrument für Regierende. Grüner Verein für Grundrechte und Informationsfreiheit, 2023. online: https://ggi-initiative.at/wp/pm-78-id-austria-teil-1-machtinstrument-fuer-regierende
[2] Anonym. ID Austria (Teil 2) – Einfallstor für Datenmissbrauch. Grüner Verein für Grundrechte und Informationsfreiheit, 2023. online: https://ggi-initiative.at/wp/pm-79-id-austria-teil-2-einfallstor-fuer-datenmissbrauch/
[3] Tschohl C & al. ID Austria Datenschutz-Folgenabschätzung. Research Institute – Digital Human Rights Center, 2022. online: https://www.oesterreich.gv.at/dam/jcr:75b866bb-3735-4571-b859-39df84e2a281/DSFA_IDAUSTRIA_BMDW.pdf
[4] Anonym. ID Austria – Die Abhängigkeit von Google & Co. Grüner Verein für Grundrechte und Informationsfreiheit, 2023. online: https://ggi-initiative.at/wp/id-austria-die-abhaengigkeit-von-google-co
[5] Anonym. Chilling effect. Wikimedia Foundation Inc, 2023. online: https://de.wikipedia.org/w/index.php?title=Chilling_effect