ID Austria – Die Abhängigkeit von Google und Apple

Dezember 2023

Die zwingend vorgeschriebene Datenschutzfolgenabschätzung (DSFA) aus 2022 1 analysierte die potentiellen Risiken der ID Austria für Personen, die sie beantragen und nützen, sowie für Personen, die unabhängig davon leben wollen.

Hier stellen wir ein Teilergebnis dieser Untersuchung vor: Die unfreiwillige oder unbewusste Abhängigkeit von privaten IT-Dienstleistern oder fremden Regierungen

Das Risiko: Abhängigkeit in der Nutzung der Ökosysteme von Google und Apple

Für die Zugänglichmachung sowie die weitere Verwendung der staatlichen App „Digitales Amt“ wird die technische Infrastruktur amerikanischer IT-Konzerne genutzt. Dadurch entsteht ein Abhängigkeitsverhältnis. Die Verfügbarkeit der Dienste hängt somit von den Entscheidungen der IT-Konzerne und ausländischer Regierungen ab, was sich auf die Verfügbarkeit der Dienste negativ auswirken kann.

Die Betroffenen werden einmal mehr dazu angehalten, sich entsprechende Konten/Accounts bei den transatlantischen Unternehmen anzulegen bzw mit diesen zu kontrahieren. Über die Nutzung der App Stores von Google und Apple kann es zu einer Datenverarbeitung zu inkompatiblen Zwecken kommen, wie etwa die Verwendung für Werbezwecke, da eine derartige Verwendung personenbezogener Daten als ein zentraler Bestandteil der Geschäftsmodelle dieser Unternehmen gilt.

Es kommt zudem zu einem transatlantischen Datentransfer und dem damit verbundenen Risiko des Zugriffs auf die Daten durch US-Sicherheitsbehörden.

Warum ist dies ein realistisches Risiko?

Für folgende Personen ist es einfach, eine Bedrohung eintreten zu lassen (Anmerkung: offenbar ist die Situation in Form der App “Digitales Amt” bereits eingetreten):

Aufgrund der Betreibenden (IT-Abteilung des Bundes), die sich dazu gezwungen sehen, auf die Plattformen und Technologien Dritter zurückzugreifen, um das E-ID System zu implementieren und für weite Teile der Bevölkerung möglichst einfach verfügbar zu machen bzw die Nutzung zu fördern.

Aufgrund von vorsätzlichem Handeln ebendieser Betreibenden und ihrer Auftraggeber, wenn sie Schaden für die Betroffenen billigend in Kauf nehmen, weil bspw versucht wird die niederschwellige Zugänglichkeit und Benutzer*innenfreundlichkeit der ID Austria zu erhöhen.

Mit welchem Schaden müssen Personen rechnen, wenn ihre ID Austria in dieser Weise missbraucht wird?

Die in der Folge genannten Schäden werden in der Untersuchung als „wesentlich“ eingestuft. Das bedeutet: Betroffene erleiden eventuell signifikante Konsequenzen, die sie nur mit ernsthaften Schwierigkeiten überwinden können:

Immaterielle Schäden: gesellschaftliche und soziale Nachteile (durch weitere Monopolisierung privater IT-Konzerne), strukturelle Schädigung der Privatsphäre (Tracking über Webseiten, Applikationen und Endgeräte hinweg);

Immaterielle Schäden: „Chilling Effects“ 2, wenn Menschen davon absehen, ihre Rechte wahrzunehmen oder ihre Persönlichkeit zu entfalten

Wie bewertet die Untersuchung das Risiko?

In der Datenschutzfolgenabschätzung wird das potentielle Schadensausmaß und die Eintrittswahrscheinlichkeit zu einem Risiko kombiniert. Ein sich daraus ergebendes „hohes Risiko“ bedeutet ein hohes Risiko, durch die ID Austria irgendwann einen wesentlichen bis maximalen Schaden zu erleiden!

Die Untersuchung ergab für diesen Aspekt ein hohes Risiko! Deshalb bedarf es einer Vielzahl von Maßnahmen, damit die beschriebenen Schäden weniger wahrscheinlich eintreten.

Gibt es genügend Zusatzmaßnahmen, damit das Risiko nicht schlagend wird?

Aufgrund der Einschätzung, dass es hier um ein „hohes Risiko“ geht, sind zwingend Maßnahmen erforderlich. Ohne diese Maßnahmen dürfte die Verwendung der ID Austria letztlich nicht empfohlen werden.

Die Untersuchung führt als geplante Maßnahmen an: Neben technischen Optimierungen wird vor allem gefordert, dass Verwaltungsprozesse den Betroffenen nach wie vor auch analog ohne Smartphone zu Verfügung stehen müssen.

Kritisch anzumerken ist hier, dass diese Forderung offensichtlich bereits im Jahr 2023 von Behörden nicht konsequent umgesetzt wird und somit Schaden nicht wirksam abgewendet wird.

Kritisch anzumerken ist auch, dass die Anwender*innen der ID Austria weiterhin dazu angehalten werden, sich entsprechende Konten/Accounts bei den transatlantischen Unternehmen anzulegen und dass der Zugriff auf die Daten durch US-Sicherheitsbehörden nicht wirksam verhindert wird.

Resümee

Das beschriebene Risiko und damit die Gefahr, dass Betroffene dadurch eventuell signifikante Konsequenzen erleiden, die sie nur mit ernsthaften Schwierigkeiten überwinden können, bleibt. Die angedachten Maßnahmen, die das Risiko auf ein gerade noch annehmbares Niveau senken könnten, sind zu schwach. Es ist nicht nachvollziehbar, warum die Untersuchung diese Maßnahmen als ausreichend bewertet, um keine datenschutzrechtliche Ablehnung aussprechen zu müssen.

1https://www.oesterreich.gv.at/dam/jcr:75b866bb-3735-4571-b859-39df84e2a281/DSFA_IDAUSTRIA_BMDW.pdf

2https://de.wikipedia.org/wiki/Chilling_effect

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert