Während der Corona-Jahre wurden viele Menschen mit digitalen Mitteln weitgehend aus der Gesellschaft ausgeschlossen. Nun soll der Digitalisierungstrend mit der ID Austria fortgeführt werden, die seit 5.12.2023 im regulären Betrieb ist. Die Datenschutzfolgenabschätzung 2022 erachtet das Risiko zur Nutzung der ID Austria für unbewusste oder irrtümliche Datenherausgabe als akzeptabel. Die GGI-Initiative sieht die beschriebenen Schutzmaßnahmen als unzureichend an, das Risiko bleibt hoch. Ohne Aufarbeitung gibt es kein Vertrauen, dass digitale Technik tatsächlich zum Wohl der Menschen eingesetzt wird.
Presseaussendung der GGI-Initiative am 07.12.2023
Hintergrund
Die Corona-Jahre trieben die Digitalisierung voran. Am 5.12.2023 startete die ID Austria. Vorzüge werden betont, Datenschutzrisiken, Nutzungszwang und möglicher staatlicher Missbrauch kaum diskutiert. Warum die Zusammenführung aller Daten einer Person mittels ID Austria kritisch zu betrachten ist, wurde in der Aussendung vom 05.12.2023 begründet. [1]
Die zwingend vorgeschriebene Datenschutzfolgenabschätzung (DSFA) aus dem Jahr 2022 analysiert die potenziellen Risiken der ID Austria für Personen, die sie beantragen und nützen, sowie für Personen, die unabhängig davon leben wollen. [2]
In diesem Teil 2 einer mehrteiligen Serie wird ein Teilergebnis dieser Untersuchung betrachtet. Die ID Austria hat das Potential, Dritten umfassenden Zugang zu den Daten, Verträgen, etc. der Nutzer*innen zu ermöglichen, und zwar gegen deren Willen. Nachfolgend wird eine ausführliche Ausarbeitung zu diesem Aspekt zusammengefasst, der dem begrifflichen Duktus und der Struktur der DSFA folgt. [3]
Risiko unbewusster oder irrtümlicher Datenherausgabe
Mit dem E-ID System (technische Grundlage für die ID Austria) wird erstmals eine Möglichkeit eröffnet, hoheitlich qualifizierte personenbezogene Daten niederschwellig digital an Dritte, insbesondere Private, weiterzugeben. Es besteht die Gefahr, dass den Nutzer*innen aufgrund der Einfachheit dieser Prozesse die Tragweite ihrer Handlungen nicht bewusst wird.
Diese Datenweitergabe kann irrtümlich erfolgen oder von Hackern bewusst herbeigeführt werden, die Interesse am umfassenden Datenmaterial des E-ID-Systems haben.
Komponenten des Risikos
Vor allem Menschen, die im Umgang mit digitalen Diensten nicht besonders geübt oder kognitiv eingeschränkt sind, können rasch Vorgänge auslösen, die ihnen nicht bewusst sind und die sie eigentlich nicht auslösen wollten und dadurch ungewollt Dritten Zugang zu ihren Datensammlungen ermöglichen.
Dritte, die Daten erlangen wollen, können die oben beschriebenen Irrtümer, Passivität oder Ignoranz vorsätzlich herbeiführen, um den Betroffenen ihre Daten zu entlocken. Die Begehrlichkeiten an die in der ID Austria gesammelten qualifizierten und personalisierten Daten heranzukommen, werden enorm sein.
Schaden bei Missbrauch
Die angeführten Schäden werden von der DSFA als „maximal“ eingestuft, was bedeutet, dass sie signifikante oder unumkehrbare Konsequenzen für Betroffene haben.
- Materielle Schäden: Wirtschaftliche Schäden, berufliche Nachteile (zB entgangene Einstellung oder Beförderung, Jobverlust), Beschneidung staatlicher Leistungen (zB Arbeitslosengeld, Sozialhilfe), Diskriminierung (zB bei Versicherungsabschlüssen oder Wohnungssuche), ungerechtfertigte Gebühren usw.
- Immaterielle Schäden: Gesellschaftliche und soziale Nachteile (zB Rufschädigung oder Verleumdung, Mobbing, Diskriminierung usw), Schädigung der Privatsphäre (zB das Gefühl ausgespäht zu werden), ungerechtfertigte Beeinträchtigung von Rechten (durch Verarbeitung ohne ausreichende Rechtsgrundlage), Misstrauen in das System, Hemmungen, das E-ID System weiter zu nutzen.
Bewertung des Risikos
In der DSFA werden Schadensausmaß und Eintrittswahrscheinlichkeit zu einem Risiko kombiniert. Ein sich daraus ergebendes „hohes Risiko“ bedeutet in diesem Zusammenhang eine hohe Wahrscheinlichkeit, durch die ID Austria irgendwann einen wesentlichen bis maximalen Schaden zu erleiden.
Die Untersuchung ergab für den Aspekt der ungewollten Datenweitergabe ein hohes Risiko! Deshalb bedarf es einer Reihe von Maßnahmen, damit die beschriebenen Schäden weniger wahrscheinlich eintreten. Diese Maßnahmen gelten als zwingend erforderlich, ohne jene kann die Verwendung der ID Austria letztlich nicht empfohlen werden.
Maßnahmen zur Linderung des Risikos
Die DSFA führt als bereits umgesetzte Maßnahmen an:
- niederschwellige Erreichbarkeit der Datenschutzerklärungen
- FAQs zur E-ID
- transparente, leicht erreichbare Informationserteilung durch Verantwortliche
Wir betrachten diese Maßnahmen als viel zu lasch und merken Folgendes an: Es ist empirisch erwiesen – und wird in der DSFA sogar erwähnt -, dass Nutzungsbedingungen, zu denen datenschutzrechtliche Informationstexte gehören, in der Regel kaum gelesen, sondern aus Bequemlichkeit oder Eile sofort zur Kenntnis genommen werden. Diese bieten also kaum Schutz vor ungewollter Zustimmung zur umfassenden Datenweitergabe. [4]
Risiko für staatliche Organe
Von der DSFA nicht erfasst wird das Risiko, das entsteht, wenn Amtsträger und Personen mit Machtbefugnissen für den Zugang zu ihren staatlichen IT-Systemen ebenfalls die ID Austria verwenden, was zum Teil bereits geschieht. Dadurch ergibt sich ein weiteres, generelles Risiko für Staat, Länder und Gemeinden. Für Dritte, ob Kriminelle oder fremde Regierungen, könnte diese neue Möglichkeit ebenfalls große Begehrlichkeiten wecken, wodurch letztlich bevölkerungsweiter Schaden entstehen könnte.
Resümee
Das Risiko, dass eine einmal ausgestellte ID Austria von Dritten gegen den Willen der Inhaber*innen verwendet wird und dass betroffene Menschen die Konsequenzen nicht mehr abwenden können, bleibt hoch. Die beschriebenen Maßnahmen, die das Risiko gemäß DSFA auf ein gerade noch annehmbares Niveau senken sollen, sind zu schwach. Warum diese Maßnahmen als ausreichend bewertet werden und keine datenschutzrechtliche Ablehnung ausgesprochen wird ist nicht nachvollziehbar.
Die GGI-Initiative mahnt – im Hinblick auf die oben angeführten Risiken – die freie Entscheidung zur Registrierung der ID Austria und ihrer Verwendung ein. Ohne ordentliche Aufarbeitung der Geschehnisse seit 2020 vertrauen wir nicht darauf, dass die ID Austria in ihrer jetzigen Form tatsächlich in erster Linie den BürgerInnen dient.
Quellenangaben
[1] Anonym. ID Austria (Teil 1) – Machtinstrument für Regierende. Grüner Verein für Grundrechte und Informationsfreiheit, 2023. online: https://ggi-initiative.at/wp/pm-78-id-austria-teil-1-machtinstrument-fuer-regierende/
[2] Tschohl C & al. ID Austria Datenschutz-Folgenabschätzung. Research Institute – Digital Human Rights Center, 2022. online: https://www.oesterreich.gv.at/dam/jcr:75b866bb-3735-4571-b859-39df84e2a281/DSFA_IDAUSTRIA_BMDW.pdf
[3] Anonym. ID Austria – neues Risiko für Datenmissbrauch. Grüner Verein für Grundrechte und Informationsfreiheit, 2023. online: https://ggi-initiative.at/wp/id-austria-neues-risiko-fuer-datenmissbrauch/
[4] Niedermann A. Freiwillige und informierte Einwilligung? Die Nutzerperspektive. Institut für Demoskopie Allensbach, 2019. online: https://www.ifd-allensbach.de/fileadmin/IfD/sonstige_pdfs/FOCUS_deutsch.pdf