Presseaussendung der GGI-Initiative am 14.12.2023
Während der Corona-Jahre wurden viele Menschen mit digitalen Mitteln weitgehend aus der Gesellschaft ausgeschlossen. Nun soll der Digitalisierungstrend mit der ID Austria fortgeführt werden, die seit 5.12.2023 im regulären Betrieb ist. Die Datenschutzfolgenabschätzung 2022 erachtet das Risiko sozialer und bürokratischer Konsequenzen für Nicht-Anwender als akzeptabel. Die GGI-Initiative sieht die beschriebenen Schutzmaßnahmen als unzureichend an, das Risiko bleibt hoch. Ohne Aufarbeitung gibt es kein Vertrauen, dass digitale Technik tatsächlich zum Wohl der Menschen eingesetzt wird.
Hintergrund
Die Corona-Jahre trieben die Digitalisierung voran. Am 5.12.2023 startete die ID Austria. Ihre Vorzüge werden stets betont, Datenschutzrisiken, Nutzungszwang und möglicher staatlicher Missbrauch jedoch kaum diskutiert. In den vergangenen Aussendungen zum Thema wurde begründet, warum die Zusammenführung aller persönlichen Daten in der ID Austria kritisch zu betrachten ist. [1] [2] [3]
Die zwingend vorgeschriebene Datenschutzfolgenabschätzung (DSFA) aus dem Jahr 2022 analysierte die potenziellen Risiken der ID Austria für Personen, die sie beantragen und nützen, sowie für Personen, die unabhängig davon leben wollen. [4]
In diesem vorerst letzten Teil einer mehrteiligen Serie stellen wir ein Teilergebnis dieser Untersuchung vor. Bürger*innen, die unabhängig von einer elektronischen ID leben wollen, haben absehbar mit theoretischen und praktischen Konsequenzen zu rechnen. In den nachfolgenden Abschnitten wird eine ausführliche Ausarbeitung zu diesem Aspekt zusammengefasst, welche dem begrifflichen Duktus der DSFA folgt. [5]
Risiko – sozialer Druck zur Erstellung bzw. Nutzung einer E-ID
Es kommt zu Formen sozialen Drucks oder indirekten Zwangs zur Nutzung des E-ID Systems, um bestimmte Services überhaupt in Anspruch nehmen zu können.
Bei Diensten, die bis dato noch primär analog und anonym genutzt werden, kann es künftig dazu kommen, dass Service Provider die digitale Identifikation mittels staatlich geprüfter Identität verlangen. Dadurch wird die Verarbeitung personenbezogener Daten und der damit einhergehende Grundrechtseingriff zunehmend gefördert.
Bestimmte Verwaltungsprozesse werden unverhältnismäßig erschwert oder sind gar nicht mehr möglich ohne eine E-ID. Im privaten Bereich wäre beispielhaft das Szenario zu nennen, dass Banken bzw Anbieter*innen von Online-Banking nur noch das staatliche Identitätsmanagementsystem für den Login akzeptieren.
Komponenten des Risikos
- Interne Entscheidungsträger*innen können die Möglichkeit vernachlässigen, dass diverse Dienste, Services und Anwendungen, die mit dem E-ID System verbunden sind, bzw. durch dieses bedient werden, nach wie vor auch analog genutzt und niederschwellig erreicht werden können.
- Eine größere Zahl privater Service Owner bzw. deren Verhalten kann zu entsprechenden Drucksituationen führen.
- Politische Entscheidungen und/oder fortschreitende Verwaltungsdigitalisierung können zu einem faktischen Zwang zur Verwendung der E-ID führen, weil ohne diese bestimmte Verwaltungsprozesse unverhältnismäßig erschwert oder gar nicht mehr möglich sind.
Schaden bei Missbrauch
Die angeführten Schäden werden als „wesentlich“ eingestuft, das bedeutet signifikante Konsequenzen für Betroffene, die sie nur mit ernsthaften Schwierigkeiten überwinden können.
- Materielle Schäden: Möglicher Ausschluss von system- oder alltagsrelevanten Diensten, womit auch finanzielle Schäden verbunden sein könnten (z. B. Unmöglichkeit der Nutzung von Internetbanking).
- Immaterielle Schäden: Einschränkungen in Teilen der (z. B. privaten) Lebensführung, Einschränkungen in der Nutzung von Diensten aufgrund der Ablehnung der ID Austria, unfreiwillige Nutzung der ID Austria trotz grundsätzlicher Ablehnung aufgrund von Bedenken, unfreiwillige oder auch bloß unreflektierte Herausgabe der Identität oder einzelner Attribute (weil diese bei bestimmten Diensten nunmehr verlangt werden bzw. deren komfortable Herausgabe ermöglicht wird), verringerte Anonymität und verstärktes Hinterlassen personenbezogener Datenspuren im Alltagsleben.
Bewertung des Risikos
In der DSFA werden Schadensausmaß und Eintrittswahrscheinlichkeit zu einem Risiko kombiniert. Ein sich daraus ergebendes „hohes Risiko“ bedeutet in diesem Zusammenhang eine hohe Wahrscheinlichkeit, durch die ID Austria irgendwann einen wesentlichen bis maximalen Schaden zu erleiden.
Die Untersuchung ergab für diesen Aspekt ein hohes Risiko! Deshalb bedarf es einer Reihe von Maßnahmen, damit die beschriebenen Schäden weniger wahrscheinlich eintreten. Diese Maßnahmen gelten als zwingend erforderlich, ohne jene kann die Verwendung der ID Austria letztlich nicht empfohlen werden.
Nötige Maßnahmen zur Linderung des Risikos
Die DSFA führt als bereits umgesetzte Maßnahmen an:
- Prüfung privater Dienstleister, die am ID Austria-System teilnehmen wollen
- Forderung nach Verwaltungsprozessen, die den Betroffenen nach wie vor auch analog ohne Smartphone zu Verfügung stehen müssen
Wir betrachten diese Aufzählung sehr kritisch und merken Folgendes an:
Die genannten Forderungen werden von Behörden offensichtlich bereits im Jahr 2023 nicht konsequent umgesetzt.
Es sind keine Maßnahmen vorgesehen, um vor allem private Dienstleister, wie Online-Shops oder Banken daran zu hindern, nur noch das staatliche Identitätsmanagementsystem für den Login zu akzeptieren.
Die DSFA geht abermals nicht darauf ein, wie die Maßnahmen rein technisch abgesichert werden. Ohne derartige Absicherung wird jeglichem Missbrauch Tür und Tor geöffnet, auch durch private Dienstleister.
Missachtung der Forderungen der DSFA
Hier einige exemplarische Beispiele, wo die Forderungen der DSFA bereits heute missachtet werden oder wo bereits laut darüber nachgedacht wird:
- Per Gesetz: Unternehmen sind seit 1.1.2020 verpflichtet, an der elektronischen Zustellung teilzunehmen. RSa- und RSb-Briefe können heute nur mit ID Austria im Postfach des USP abgeholt werden.
- Für Mitarbeiter*innen des Landes Niederösterreich ist der Zugang zum Mitarbeiterportal mit ID Austria geregelt.
- Bereits jetzt wird von privaten Arbeitgeber*innen Druck auf Mitarbeiter*innen ausgeübt und mögliche Kündigungen in den Raum gestellt.
- Als „Hebel“ wurde der „Grüne Pass“ gesehen, der aufgrund der Zwangssituation als „Selbstläufer“ betrachtet wurde, aber vorerst eingestellt ist. [6] Der elektronische Impfpass, der künftig die einzig erlaubte Variante sein soll, ist ebenfalls nur über ID Austria verfügbar.
- Als „Hebel“ für die Verbreitung der ID Austria wird der digitale Schülerausweis angedacht, der für Schüler*innen ab 14 Jahren geplant ist. Die Ideen reichen von der Identitätsfeststellung an der Supermarktkasse oder beim Fahren im Zug bis hin zur Voraussetzung beim Nutzen schulinterner Services, wie dem Zugang zu Druckern oder dem Einloggen in das Schulnetz. „Es wird intensiv daran gearbeitet“. [6]
Weitere (weltweite) Bestrebungen, die konsequenterweise den sozialen Druck stark erhöhen werden, weil die bestehenden Maßnahmen nicht davor schützen:
- Die Wirtschaft will eine Garantie für eindeutige ID; auch die Gaming-Industrie
- Der politische Wunsch, Bürger*innen vollständig im virtuellen Raum zu haben
- Der Wunsch, alle Karten aufs Handy zu bekommen
- Die Implementierung des ID-Wallet – damit verbunden der politische Wunsch nach mehr Wirtschaftsleistung, falls die E-ID und ID-Wallet vollständig verbreitet ist (zum Beispiel 3-4% der Wirtschaftsleistung als Mehrwert für die BRD, wie es McKinsey verspricht)
Resümee
Das Risiko und damit die Gefahr, dass Betroffene durch die Verweigerung der ID Austria nachteilige Konsequenzen erleiden, bleibt hoch. Die beschriebenen Maßnahmen, die das Risiko gemäß DSFA auf ein gerade noch annehmbares Niveau senken, sind zu schwach. Warum diese Maßnahmen als ausreichend bewertet werden und keine datenschutzrechtliche Ablehnung ausgesprochen wurde, ist nicht nachvollziehbar.
Da die Grundrechte absehbar mehr als versprochen berührt werden, besteht die Notwendigkeit, die Dynamik, die hinter der E-ID steht, auf eine neue Grundlage zu stellen. Nicht die Bedürfnisse der Wirtschaft oder einer mutmaßlich wirtschaftlicheren Verwaltung dürfen die treibenden Kräfte sein, sondern der konkrete Dienst an den Bürger*innen im Bewusstsein, dass ihre Bedürfnisse weit über die wirtschaftlichen Aspekte hinaus gehen.
Die Gefahr besteht, dass manche Verantwortungsträger*innen ihre Macht nicht dafür einsetzen, die potentiellen Schäden, die realistisch zu erwarten sind, zu verhindern, sondern nur dafür, die Berichterstattung über diese Schäden zu verhindern.
Die GGI-Initiative mahnt die freie Entscheidung für die Bürger*innen zur Registrierung der ID Austria und ihrer Verwendung ein bzw. eine derartige Umgestaltung der digitalen Identität, dass die in unseren vier Aussendungen angeführten Risiken verhindert werden. Diese Hauptrisiken sind: 1. Umfassende staatliche Überwachung. 2. Datenmissbrauch durch Dritte. 3. Abhängigkeit von internationalen Konzernen. 4. Massive Einschränkungen bei Nichtnutzung.
Wir sammeln und dokumentieren Verstöße gegen die Forderungen der DSFA und werden auf unserer Website über Möglichkeiten informieren, wie sich Bürger*innen gegen Verstöße gegen die Datenschutzbestimmungen zur Wehr setzen können.
Quellenangaben
[1] Anonym. ID Austria (Teil 1) – Machtinstrument für Regierende. Grüner Verein für Grundrechte und Informationsfreiheit, 2023. online: https://ggi-initiative.at/wp/pm-78-id-austria-teil-1-machtinstrument-fuer-regierende
[2] Anonym. ID Austria (Teil 2) – Einfallstor für Datenmissbrauch. Grüner Verein für Grundrechte und Informationsfreiheit, 2023. online: https://ggi-initiative.at/wp/pm-79-id-austria-teil-2-einfallstor-fuer-datenmissbrauch
[3] Anonym. ID Austria (Teil 3) – Abhängigkeit von Big Tech. Grüner Verein für Grundrechte und Informationsfreiheit, 2023. online: https://ggi-initiative.at/wp/pm-80-id-austria-teil-3-abhaengigkeit-von-big-tech
[4] Tschohl C & al. ID Austria Datenschutz-Folgenabschätzung. Research Institute – Digital Human Rights Center, 2022. online: https://www.oesterreich.gv.at/dam/jcr:75b866bb-3735-4571-b859-39df84e2a281/DSFA_IDAUSTRIA_BMDW.pdf
[5] Anonym. ID Austria – Mögliche Folgen für Nichtanwender. Grüner Verein für Grundrechte und Informationsfreiheit, 2023. online: https://ggi-initiative.at/wp/id-austria-moegliche-folgen-fuer-nichtanwender
[6] Aussagen von Sprechern der Veranstaltung “14. Public Management Impulse: ID Austria – was, warum und wie?”, FH OÖ Campus Linz, am 29.11.2022
3 Gedanken zu „PM: #81 ID Austria (Teil 4) – Folgen der Weigerung“
Vielen Dank für die ausführliche Beschreibung des Problems! Welche Kanäle könnten wir nutzen, um eine breitere öffentliche Debatte anzustoßen?
Vielleicht ist jetzt in der Vorwahlzeit eine gute Gelegenheit, auf diese Problematik hinzuweisen. Da sich im letzten halben Jahr herauskristallisiert hat, dass vor allem die ÖVP die treibende Kraft hinter dem Aufdrängen bis Aufzwingen der ID Austria ist, wäre es eine gute Gelegenheit, sie dafür zur Verantwortung zu ziehen.
Alle Landwirte werden aktuell genötigt die ID-Austria zu verwenden, ohne digitale Signatur ist ein Landwirt automatisch von allen ausgleichszahlungen für erbrachte Umweltleistungen ausgeschlossen…
Der Staat benutzt Mafia Methoden !