Ein Instrument zur Bewertung der Auswirkungen auf die Privatsphäre aufgrund der Datenverarbeitung im Internet der Dinge (IoT)

,
Einleitung

Die Daten­schutz-Grund­ver­ord­nung der EU (DSGVO) hat die Daten­schutz-Fol­gen­ab­schät­zung (DSFA) als Instru­ment zur Bewer­tung der Risi­ken ein­ge­führt, die mit der Tech­no­lo­gie und der Ver­ar­bei­tung von Daten für die Pri­vat­sphä­re ver­bun­den sind. Die DSFA zielt also dar­auf ab, die Risi­ken von Schä­den für natür­li­che Per­so­nen zu iden­ti­fi­zie­ren und zu redu­zie­ren. Um dies zu errei­chen, wird die DSFA immer dann durch­ge­führt, wenn eine hohe Wahr­schein­lich­keit besteht, dass die Daten­ver­ar­bei­tung zu Risi­ken für die Rech­te und Frei­hei­ten der betref­fen­den Per­so­nen füh­ren kann. Die­se Art von Bewer­tung ermög­licht es nicht nur, die Ein­hal­tung der Geset­ze zu mes­sen, son­dern auch sicher­zu­stel­len, dass Daten­schutz­fra­gen von Anfang an bei der Ent­wick­lung und Nut­zung von Infor­ma­ti­ons­tech­no­lo­gien berück­sich­tigt wer­den. So ermög­licht die DSFA den Datenverwalter:innen, die nega­ti­ven Aus­wir­kun­gen von Daten­ver­ar­bei­tungs­tech­no­lo­gien auf Ein­zel­per­so­nen zu erken­nen, zu behan­deln und abzu­schwä­chen. Da die gesetz­li­che Bestim­mung der DSGVO jedoch abs­trakt ist, wird die Durch­füh­rung sol­cher Bewer­tun­gen häu­fig als sub­jek­tiv kri­ti­siert (Wag­ner und Boi­ten 2018). Daher ist es not­wen­dig, kon­kre­te und detail­lier­te Richt­li­ni­en in den Bewer­tungs­pro­zess ein­zu­füh­ren sowie auto­ma­ti­sier­te Tools, die die Ana­ly­se beschleu­ni­gen können.

Forschungsansatz

Um die Metho­dik zur Bewer­tung von Daten­schutz­ri­si­ken zu ver­bes­sern, haben wir ein prak­ti­sches Werk­zeug ent­wi­ckelt, das es Orga­ni­sa­tio­nen ermög­licht, objek­ti­ve­re Bewer­tun­gen vor­zu­neh­men. Da die­se Art der Bewer­tung je nach Ein­satz­be­reich vari­iert, behan­deln wir ein spe­zi­el­les Sze­na­rio der Ver­ar­bei­tung von Daten aus dem Inter­net der Din­ge (IoT) in der ver­netz­ten Über­wa­chung. IoT-Initia­ti­ven mit trag­ba­ren Gerä­ten und Sen­sor­net­zen ermög­li­chen den Zugriff auf ver­schie­de­ne Arten von Daten. Sie wer­den in Orga­ni­sa­tio­nen für die digi­ta­le Über­wa­chung vor allem ein­ge­setzt, um Gesund­heits­pro­ble­me zu erken­nen und zu ver­hin­dern und um Gesund­heits­ri­si­ken zu min­dern. Ihre Ver­wen­dung ist jedoch mit Risi­ken für die Pri­vat­sphä­re ver­bun­den. Wir möch­ten einen Bei­trag zur Dis­kus­si­on über die Umset­zung der DSFA leis­ten, indem wir Datenkontrolleur:innen prak­ti­sche Hil­fe in Form eines auto­ma­ti­sier­ten DSFA-Tools für IoT-Pro­jek­te anbie­ten. Im Rah­men eines kon­ti­nu­ier­li­chen Risi­ko­ma­nage­men­t­an­sat­zes schla­gen wir einen struk­tu­rier­ten Bewer­tungs­pro­zess vor, der meh­re­re Pha­sen umfasst. In der ers­ten Pha­se beant­wor­tet das Tool Fra­gen zum Ziel des Pro­jekts, zum Kon­text und zur Art der Daten­ver­ar­bei­tung. Die zwei­te Pha­se umfasst detail­lier­te Fra­gen zur Ana­ly­se des Daten­flus­ses, d. h. zur Samm­lung, Spei­che­rung und Nut­zung von Daten. In die­ser Pha­se wer­den auch die ver­schie­de­nen Rol­len ermit­telt, um die unter­schied­li­chen Per­so­nen zu doku­men­tie­ren, die in den Pro­zess invol­viert sind. Die drit­te Pha­se besteht aus einer Daten­schutz­ana­ly­se, bei der die Risi­ken für die Pri­vat­sphä­re anhand einer Rei­he rele­van­ter Fra­gen ermit­telt und im Hin­blick auf die Grund­sät­ze des Daten­schut­zes bewer­tet wer­den. Die letz­te Pha­se beinhal­tet die Doku­men­ta­ti­on und Visua­li­sie­rung der Ergeb­nis­se in einem Bericht, in dem die Aus­wir­kun­gen auf die Pri­vat­sphä­re ana­ly­siert werden.

Abbildung 1 | Verfahren zur Bewertung des Risikos für die Privatsphäre in dem von uns entwickelten Tool

Ergebnisse, Diskussionsgrundlage und Implikationen für Entscheidungsträger:innen

Das ent­wi­ckel­te Tool bie­tet Rat­schlä­ge zum DSFA-Pro­zess und doku­men­tiert die Ergeb­nis­se, damit Datenkontrolleur:innen die Risi­ken, die sich aus der Nut­zung der IoT-Tech­no­lo­gie erge­ben, erken­nen und ange­hen kön­nen. Dar­über hin­aus bie­ten wir mit­hil­fe der Check­lis­te eine Bestä­ti­gungs­ana­ly­se des Imple­men­tie­rungs­pro­zes­ses und der Ver­füg­bar­keit spe­zi­el­ler Garan­tien zur Wah­rung der Ver­trau­lich­keit von Daten. Obwohl die­ses Tool spe­zi­ell für den Kon­text der ver­netz­ten Über­wa­chung ent­wi­ckelt wur­de, kann sein Anwen­dungs­be­reich noch auf ande­re Tech­no­lo­gien wie KI-Sys­te­me mit algo­rith­mi­schem Manage­ment und auf ande­re Umge­bun­gen als den Gesund­heits­be­reich aus­ge­wei­tet wer­den. Für unse­re künf­ti­ge For­schung wird das Tool von Praktiker:innen eva­lu­iert, um mög­li­che Erwei­te­run­gen vor­schla­gen zu kön­nen. Wir möch­ten das Tool auch mit Nutzer:innen tes­ten, um die Rol­le des «Pri­va­cy Pri­ming» zu bewer­ten, d. h. über das Tool Infor­ma­tio­nen über die Risi­ken für die Pri­vat­sphä­re und die Akzep­tanz von ver­netz­ter Tech­no­lo­gie am Arbeits­platz zu erhalten.

Bemer­kung: Die­ser Arti­kel wur­de im Rah­men des IDHEAP Poli­cy Brief No. 6 veröffentlicht.

Refe­ren­zen:

  • Mett­ler, T., & Naous, D. (2022). Bey­ond Pan­op­tic Sur­veil­lan­ce: On the Ethi­cal Dilem­mas of the Con­nec­ted Work­place. In: Euro­pean Con­fe­rence on Infor­ma­ti­on Sys­tems ( ECIS ). Tim­isoa­ra, Romania

  • Wag­ner, I. & Boi­ten, E. (2018). Pri­va­cy Risk Assess­ment: From Art to Sci­ence, by Metrics. In: Data Pri­va­cy Manage­ment, Cryp­to­cur­ren­ci­es and Block­chain Tech­no­lo­gy, pp. 225–241: Springer.

Bild: unsplash.com

image_pdfimage_print
Article disponible en français