Der WebWi-Blog

Digitale Hilfsmittel für mehr Transparenz bei der Verarbeitung personenbezogener Daten

Artikel von Waas, C./Kurz, T.  (2012). Digitale Hilfsmittel für mehr Transparenz bei der Verarbeitung personenbezogener Daten. In: Datenschutz und Datensicherheit – DuD. S. 748-752. SP Gabler Verlag.

Einleitung

Durch die Daten, welche Unternehmen sammeln, sei es nun über das Kaufverhalten von Usern, persönliche Daten (Geschlecht, Alter, etc.), wird die Markttransparenz wesentlich beeinflusst. Nicht jeder Kunde/ Kundin bekommt den gleichen Preis angezeigt, dazu gibt es einen interessanten Beitrag von Frau Löffler über das Thema Preis- und Suchdiskriminierung.

Für die Bearbeitung des Themas Markttransparenz habe ich den Artikel von Waas und Kurz gewählt, da er einen möglichen Lösungsansatz, das ENDORSE-Projekt, zur Bewältigung der Unsicherheit in Bezug auf personenbezogenen Daten im Web bietet. Dieser Artikel zeigt welchen Nutzen ENDORSE beim Online-Shopping hat und wie er sowohl dem User als auch dem Anbieter unterstützen kann.
Zudem behandelt der Artikel den Datentransfer zwischen Europa und den USA, sowie das Thema Safe Harbor, welches aus Aktualität kurz behandelt wird. 

Die Ausgangslage

Eine Studie aus dem Jahr 2014 zeigt, dass sich 41% der Befragten Österreicherinnen und Österreicher vor Datenmissbrauch fürchten (vgl. Q1), wohin gegen die Anzahl der elektronisch, verarbeiteten Daten zunimmt. User fordern mehr Transparenz sowie den gesetzeskonformen Umgang mit ihren persönlichen Daten im Web. Mit dieser Thematik setzt sich das EU-Forschungsprojekt ENDORSE auseinander, welches „konkrete Lösungsansätze, Benutzern von Online-Diensten mehr Transparenz und Selbstbestimmung über ihre Daten zu verschaffen und Unternehmen zu helfen, ihre Datenschutzbestimmungen gesetzeskonform in ihre IT-Systeme zu integrieren.“
Die beiden Themen, Transparenz und Vertrauen, spielen eine essentielle Rolle, nicht nur für private Personen, sondern auch für Unternehmen welche Daten verarbeiten. Diese profitieren wirtschaftlich aus dem Vertrauen Ihrer User.

 (Q1)

Die rechtliche Basis

Das Auskunftsrecht, gemäß § 26 Datenschutzgesetz 2000, steht den betreffenden Personen zu, deren Daten von Dritten (hier Unternehmen) verwendet wurden. Somit hat jeder/ jede den Anspruch auf eine Auskunft über seine/ ihre personenbezogenen Daten bzw. die Änderung oder Löschung dieser. Zudem muss die Übermittlung der Daten in einer Sprache, welche für den User verständlich ist, erfolgen. (vgl. Q3)
Um den EuropäerInnen diesen Schutz auch in den USA zu gewährleisten wurde das Safe Harbor abkommen getroffen. Somit verpflichteten sich amerikanische Unternehmen die europäischen Datenschutzstandards einzuhalten. (vgl. Q2) Am 06. Oktober 2015 erklärte der EuGH dieses Datenabkommen für ungültig. Dennoch ist der Datenfluss zwischen Europa und den USA nicht gestoppt. Die USA werden nun wie jedes andere nicht-europäische Land behandelt.  Unternehmen wie Facebook deutete an europäische und nicht-europäische Daten zu trennen, welches den Bau von neuen Rechenzentren in Europa erfordern würde. Wie es weitergeht wird sich zeigen, noch zeigt sich Europa uneinig über das Thema Datenschutz. (vgl. Q4)

 Video zum Thema Safe Harbor:

Das ENDORSE-Projekt

Dieses Projekt soll als Werkzeug für mehr Transparenz dienen, nicht nur für den privaten User sondern auch für Klein-und Mittelbetriebe. Die Leitung besteht aus dem irischen Waterford Institute of Technologies, welches in Kooperation mit verschiedenen Universitäten aus unterschiedlichen Ländern, an diesem Projekt arbeitet.
Der Nutzen des ENDORSE-Projekts für jeden privaten Nutzer, der Daten zu seiner Person auf einer Website preisgibt, soll sein, dass er/sie die Möglichkeit hat zu verstehen was mit seinen/ihren Daten passiert, wozu der Anbieter diese verwendet und das in einer verständlichen Sprache. Der Fokus liegt dabei auf die PRDL, Privacy Rule Definition Language, welche eine klare und unmissverständliche Formulierung dieser Erklärungen sein soll. Dieses PRDL reduziert Grammatik auf ein Minimum und ist zudem nur in englischer Sprache verfügbar, zudem kann sie direkt in der IT-Infrastruktur umgesetzt werden. Dies soll die Kommunikation von komplexen Datenschutzerklärungen vereinfachen.

Beispiel- Privater User:

Ein User namens Herr Meier möchte in einem Online-Shop bestellen, doch zuvor holt er sich von der ENDORSE Website ein Plug-In, namens „End-User Verification Tool“, für seinen Browser. Auch der anbietende Online-Shop benutzt das Framework von ENDORSE, dadurch bekommt dieser ein silbernes Siegel, sodass der User weiß dieser Online-Shop wurde geprüft. Mit dem silbernen Siegel kann sich der Kunde/die Kundin vergewissern, dass es sich um eine vertrauenswürdige Seite handelt und es keine etwaigen „Hintertürchen“ gibt. Ein Fenster zeigt zusätzlich wozu die Kundendaten verwendet werden. 
Herr Meier möchte wissen wozu seine Daten erfasst werden, deshalb klickt er auf „Clear Purpose“. Dabei überprüft das System alle Datenzugriffsregeln im System und stellt die Suchergebnisse, die Gründe für die Datenerhebung, da.
Es können auch Erklärungen verwendet werden, welche nicht das ENDORSE Framework nutzen. Hierbei muss die Datenschutzerklärung manuell in das Plug-In kopiert werden. (vgl. Q2)

Beispiel- KMU's:

Für KMU’s innerhalb der Europäischen Union dient ENDORSE als Hilfestellung für die Umsetzung von gesetzeskonformen Datenschutzerklärungen. Diese sind im Web komplexer, da man mit Online-Angeboten oftmals international tätig ist und man länderspezifische, rechtliche Rahmenbedingungen vorgegeben hat. Zudem soll ENDORSE den Unternehmen helfen die Datenschutzerklärungen direkt in deren IT-System zu integrieren. Primär soll ENDORSE den KMU’s einen Vertrauens- und somit Wettbewerbsvorteil verschaffen.
Zum Vertiefen der Thematik Internet und E-Commerce gibt es einen interessanten Beitrag von Herrn Kroisamer auf Collabor.

FAZIT

Der Artikel endet mit einer Vorschau auf die Zukunft, hierbei wird von künftigen Anwendertests gesprochen. (vgl. ebd.)  In meiner Recherche fand ich jedoch keinen aktuellen Stand der Entwicklung des ENDROSE-Projekts. Ich finde ENDORSE als Schritt in die richtige Richtung. Dennoch muss eine solche Anwendung zunächst die Kritische Masse erreichen, dies erweist sich jedoch schwierig. Einerseits muss man private User gewinnen, welche zunächst ENDORSE vertrauen und/ oder auch den Nutzen erkennen müssen, und andererseits ob sich Unternehmen überhaupt darauf einlassen und sich dieses Framework integrieren und den daraus resultierenden ökonomischen Gewinn darin sehen, ist fraglich.
Meiner Meinung nach können Unternehmen, welche sich „zertifizieren“ lassen, den Kunden/ die Kundin blenden. Das silberne Siegel weckt vertrauen, jedoch weiß man nicht was im Hintergrund des IT-Systems des Unternehmens läuft. Daher sehe ich es, als private Person, kritisch.
Ähnlich zum ENDORSE-Projekt gibt es „Platform for Privacy Preferences“, kurz P3P, diese Plattform fungiert als Austauschmöglichkeit von Datenschutzinformationen im Web. User können Datenschutzeinstellungen tätigen und der Webbrowser, welcher P3P installiert hat, prüft den Webanbieter oder mögliche Dritte. Diese Anwendung wurde im Jahr 2002 vom W3C als Standard empfohlen, diese Anwendung konnte sich aber nicht bei den Browsern durchsetzen. Lediglich der Internet Explorer unterstützt diese Funktion (vgl. Q6) Der Grund ist vermutlich, dass große Anbieter nicht transparent sein wollen, z.B. hat Google diese P3P Protokolle umgangen (vgl. Q7) Laut diesen Informationen, glaube ich, konnte sich auch ENDORSE nicht durchsetzen.

(Q1) Statisa – Das Statistik Portal (2014): Deutsche fürchten sich besonders vor Datenmissbrauch. http://ezproxy.fhstp.ac.at:2078/infografik/3220/angst-vor-datenmissbrauch-bei-internetnutzern/ (zuletzt aufgerufen am 14.10.2015)

(Q2) Artikel von Waas, C./Kurz, T.  (2012). Digitale Hilfsmittel für mehr Transparenz bei der Verarbeitung personenbezogener Daten. In: Datenschutz und Datensicherheit – DuD. S. 748-752. SP Gabler Verlag. (Aufrufbar durch JKU Datenbank. Springer Link. http://link.springer.com.springerlinkdb.han.ubl.jku.at/article/10.1007/s11623-012-0243-y (zuletzt aufgerufen am 14.10.2015)

 (Q3) Fair Information Principle (2012): http://firstmonday.org/ojs/index.php/fm/article/viewFile/4010/3274/33096 (zuletzt aufgerufen am 14.10.2015)

(Q4) Help.gv.at (o.J.): https://www.help.gv.at/Portal.Node/hlpd/public/content/244/Seite.2440220.html (zuletzt aufgerufen am 14.10.2015)

(Q5)  Schulzki-Haddouti, C. (2015): Nach Safe Harbor: Die Datenschutz-Aufsicht in der Selbstfindung. http://www.heise.de/newsticker/meldung/Nach-Safe-Harbor-Die-Datenschutz-Aufsicht-in-der-Selbstfindung-2844968.html (zuletzt aufgerufen am 14.10.2015)

(Q6) Zettabox (2015): https://www.youtube.com/watch?v=CFvztOW_JZQ (zuletzt aufgerufen am 14.10.2015)

(Q7) W3C Platform for Privacy Preferences (o.J.):

http://www.w3.org/P3P/implementations.html (zuletzt aufgerufen am 14.10.2015)

(Q8) Kaiser, T. (2012): Google Caught Bypassing Safari, Internet Explorer Privacy Setting; Claims It Did Nothing Wrong. http://www.dailytech.com/Google+Caught+Bypassing+Safari+Internet+Explorer+Privacy+Setting+Claims+It+Did+Nothing+Wrong/article24048.htm (zuletzt aufgerufen am 14.10.2015)

Ich Stimme mit Dir beim Punkt "blenden" überin. Für den durchschnittlichen Anwender wird es trotzdessen schwierig sein bzw. wird er möglicherweise nicht genügend Motivation aufbringen um solche Zertifikate zu hinterfragen und zu überprüfen, ähnlich in der analogen Welt mit Fair-Trade oder Bio-Zertifikaten, für die es zwar Kontrollen gibt, die aber anscheinend nicht ausreichend sind.