Presseaussendung der GGI-Initiative am 05.12.2023
Während der Corona-Jahre wurden viele Menschen mit digitalen Mitteln weitgehend aus der Gesellschaft ausgeschlossen. Nun soll der Digitalisierungstrend mit der ID Austria fortgeführt werden, die seit heute (5.12.2023) im regulären Betrieb ist. Die Datenschutzfolgenabschätzung 2022 erachtet das Risiko zur Nutzung der ID Austria als staatliche Infrastruktur zur Überwachung als akzeptabel. Die GGI-Initiative sieht die beschriebenen Schutzmaßnahmen als unzureichend an, das Risiko von Missbrauch bleibt hoch. Ohne Aufarbeitung der letzten Jahre gibt es kein Vertrauen, dass digitale Technik tatsächlich zum Wohl der Menschen eingesetzt wird.
Hintergrund
Die Corona-Jahre trieben die Digitalisierung voran. Heute, am 5. 12. 2023, startet die ID Austria. Sie soll Ausweise bündeln und die Dokumentenunterzeichnung erleichtern. Die Vorzüge werden betont, Datenschutzrisiken, Nutzungszwang und möglicher staatlicher Missbrauch aber kaum diskutiert. Von der zwangsweisen Nutzung, um den Arbeitsplatz zu behalten, wurde bereits aus dem Sozialbereich und der Psychotherapie berichtet. [1] [2] Erfahrungen mit dem Grünen Pass zeigen, dass Grundrechte ausgehebelt werden können. Entsprechend kritisch sehen wir als Grüner Verein für Grundrechte und Informationsfreiheit daher die Zusammenführung aller Daten einer Person mittels der ID Austria.
Die zwingend vorgeschriebene Datenschutzfolgenabschätzung (DSFA) aus dem Jahr 2022 analysierte die potenziellen Risiken der ID Austria für Personen, die sie beantragen und nützen, sowie für Personen, die unabhängig davon leben wollen. [3]
Die ID Austria könnte als Wegbereiter einer Infrastruktur mit Überwachungspotenzial künftig von der Regierung zur Machtausübung über die Bevölkerung missbraucht werden – falls eine Regierung ihren Auftrag zu dienen, als Herrschaftsauftrag missversteht. In den nachfolgenden Abschnitten wird eine ausführliche Ausarbeitung zu diesem Aspekt zusammengefasst, welche dem begrifflichen Duktus der DSFA folgt. [4]
Risiko – staatliche Infrastruktur mit Überwachungspotenzial
Das E-ID-System, Basis von ID Austria, birgt die Gefahr einer staatlich-zentralisierten Überwachung durch Datensammlung und -verarbeitung.
Obwohl der gegenwärtig bekannte Zweck nicht zur Überwachung argumentiert wird, besteht die Gefahr einer Durchbrechung der Zweckbindung. Diese könnte diskriminierende Praktiken und autoritäre Strukturen fördern. Gesellschaftspolitische Krisen könnten policy windows öffnen, welche die Einrichtung und Nutzung staatlicher ID-Systeme zur Überwachung begünstigen.
Das Risiko betrifft österreichische und europäische BürgerInnen sowie potenzielle E-ID-NutzerInnen. Die Verarbeitung der E-ID umfasst sensible personenbezogene Daten und kann private Service Owner und Provider betreffen.
Komponenten des Risikos
Hier geht es um die Bewertung, ob Personen den potenziellen Schaden durch missbräuchliche E-ID-Nutzung einfach herbeiführen können oder ob dies schwer bis unmöglich ist.
Unbeabsichtigte Implementierung durch politische Entscheidungsträger kann zu Überwachung führen. Vorsätzliches Handeln dieser Entscheidungsträger kann Schäden für Betroffene in Kauf nehmen und Einzelpersonen könnten das E-ID-System missbrauchen. Staatliche Institutionen und Nachrichtendienste könnten für Strafverfolgung darauf zugreifen.
Die E-ID-Architektur selbst stellt eine technische Infrastruktur für Überwachungspraktiken dar.
Schaden bei Missbrauch
Die angeführten Schäden werden als „maximal“ eingestuft, das bedeutet signifikante oder unumkehrbare Konsequenzen für Betroffene.
- Physische Schäden: Mit Blick auf die historisch belegte (zweckfremde) Nutzung staatlicher ID-Systeme, sind sowohl körperliche, materielle wie auch immaterielle Schäden und die Repression spezifischer Bevölkerungsgruppen argumentierbar.
- Materielle Schäden: Diskriminierung, staatliche Leistungseinschränkung, Verweigerung von Zutritt und Dienstleistungen sind mögliche Folgen von Überwachungsprozessen.
- Immaterielle Schäden: Beeinträchtigung des politischen Gemeinwesens, der Entfaltungsmöglichkeiten und der Privatsphäre können zu gesellschaftlichen Nachteilen führen. Demokratiepolitische Schäden durch Einschüchterungseffekte könnten auftreten, wenn Betroffene ihre Rechte nicht wahrnehmen bzw. ihre Meinung nicht äußern. Dies ist bekannt als chilling effect. [5]
Bewertung des Risikos
In der DSFA werden Schadensausmaß und Eintrittswahrscheinlichkeit zu einem Risiko kombiniert. Ein sich daraus ergebendes „hohes Risiko“ bedeutet in diesem Zusammenhang eine hohe Wahrscheinlichkeit, durch die ID Austria irgendwann einen wesentlichen bis maximalen Schaden zu erleiden.
Die Untersuchung ergab für diesen Aspekt ein hohes Risiko! Deshalb bedarf es einer Reihe von Maßnahmen, damit die beschriebenen Schäden weniger wahrscheinlich eintreten. Diese Maßnahmen gelten als zwingend erforderlich, ohne jene kann die Verwendung der ID Austria letztlich nicht empfohlen werden.
Maßnahmen zur Linderung des Risikos
Die DSFA führt als bereits umgesetzte Maßnahmen an:
- Erfüllung von Informationspflichten
- öffentlich verfügbare Beschreibungen des Systems
- Einbindung von Datenschutzbeauftragten
- Protokollierung von Vorgängen inkl. Rechenschaft
- Ermöglichen von Auskunftsersuchen
- Verträge mit Service Providern
- keine Einsicht in konkreten Daten seitens A-Trust
- Zertifizierung des Bundesrechenzentrums (BRZ)
Wir betrachten diese Aufzählung sehr kritisch und merken Folgendes an:
Diese Maßnahmen können offensichtlich nur dann eine Wirkung entfalten, wenn Regierung und Behörden sich diesen Regelungen und Verträgen freiwillig unterwerfen. Gerade bei absichtlichem Missbrauch dieser Infrastruktur würde das wohl nicht geschehen.
Viele Probleme werden gar nicht adressiert, wie etwa, dass dieses staatliche ID-System besonders in Zeiten gesellschaftspolitischer Krisen zum Zweck der Überwachung der Gesellschaft verwendet werden könnte. Dies kommt aus dem Bewusstsein, dass wir bereits in einer Zeit der gesellschaftspolitischen Krisen leben und daher diese Gefahr immanent vorhanden ist.
Die DSFA geht nicht darauf ein, wie die Maßnahmen rein technisch abgesichert werden. Ohne derartige Absicherung wird jeglichem Missbrauch Tür und Tor geöffnet. So z. B. wurden Meldedaten von der Gebühreninfo Service GmbH (GIS) immer wieder von Hackern erbeutet, zuletzt 2020. [6]
Resümee
Das Risiko, dass eine künftige Regierung die hiermit geschaffene Infrastruktur zum Schaden der Bevölkerung missbrauchen könnte und dass die betroffenen Menschen die Konsequenzen nicht mehr abwenden können und im schlimmsten Fall nicht damit leben können, bleibt hoch. Die beschriebenen Maßnahmen, die das Risiko gemäß DSFA auf ein gerade noch annehmbares Niveau senken, sind zu schwach. Warum diese Maßnahmen als ausreichend bewertet werden und keine datenschutzrechtliche Ablehnung ausgesprochen wird ist nicht nachvollziehbar.
Bedacht werden sollten hier auch Ereignisse der jüngsten Vergangenheit. Als die österreichische Regierung mithilfe des Impfpflichtgesetzes ein System zur Rasterfahndung einführen wollte brach sie damit ein Tabu. [7] Dazu wurde einer sehr heterogenen Bevölkerungsgruppe ausgerichtet, dass es mit Einführung der Impfpflicht eigentlich rechtswidrig wäre, in Österreich zu wohnen und nicht geimpft zu sein. [8] Damals stand noch kein umfassendes E-ID-System zur Verfügung.
Die GGI-Initiative mahnt für die (hoffentlich) freie Entscheidung zur Registrierung der ID Austria und ihrer Verwendung die Beachtung der obigen Ausführungen ein. Ohne ordentliche Aufarbeitung der Geschehnisse seit 2020 vertrauen wir nicht darauf, dass die digitale Technik tatsächlich in erster Linie den BürgerInnen dient.
Quellenangaben
[1] Anonym. Arbeiten im Sozialbereich: Ohne ID Austria bald nicht mehr möglich? TKP, 2023. online: https://tkp.at/2023/07/01/arbeiten-im-sozialbereich-ohne-id-austria-bald-nicht-mehr-moeglich
[2] Falkensteiner B. So wird Zwang zur Verwendung der ID Austria aufgebaut. TKP, 2023. online: https://tkp.at/2023/11/06/so-wird-zwang-zur-verwendung-der-id-austria-aufgebaut
[3] Tschohl C & al. ID Austria Datenschutz-Folgenabschätzung. Research Institute – Digital Human Rights Center, 2022. online: https://www.oesterreich.gv.at/dam/jcr:75b866bb-3735-4571-b859-39df84e2a281/DSFA_IDAUSTRIA_BMDW.pdf
[4] Anonym. ID Austria – als Machtinstrument für Regierende. Grüner Verein für Grundrechte und Informationsfreiheit, 2023. online: https://ggi-initiative.at/wp/id-austria-als-machtinstrument-fuer-regierende
[5] Anonym. Chilling effect. Wikimedia Foundation Inc, 2023. online: https://de.wikipedia.org/w/index.php?title=Chilling_effect&oldid=239712849
[6] Anonym. Großes Datenleck bei GIS vermutet. Futurezone GmbH, 2020. online: https://futurezone.at/digital-life/grosses-datenleck-bei-gis-vermutet/400854005
[7] Zeger H. Stellungnahme: COVID-19-Impfpflichtgesetz. ARGE DATEN, 2022. online: https://www.parlament.gv.at/PAKT/VHG/XXVII/SN/SN_52778/index.shtml
[8] Anonym. Solidarität – gefordert und gelebt? Grüner Verein für Grundrechte und Informationsfreiheit, 2023. online: https://ggi-initiative.at/wp/solidaritaet-gefordert-und-gelebt