Dezember 2023
Die zwingend vorgeschriebene Datenschutzfolgenabschätzung (DSFA) aus 2022 1 analysierte die potentiellen Risiken der ID Austria für Personen, die sie beantragen und nützen, sowie für Personen, die unabhängig davon leben wollen.
Hier stellen wir ein Teilergebnis dieser Untersuchung vor: das Potential der ID Austria, Dritten umfassenden Zugang zu den Daten, Verträgen, Ausweisen, u.s.w. … der Inhaber*in zu ermöglichen, und zwar gegen deren Willen.
Das Risiko: unbewusste oder irrtümliche Datenherausgabe
Mit dem E-ID System wird erstmals eine Möglichkeit eröffnet, hoheitlich qualifizierte personenbezogene Daten niederschwellig digital an Dritte, insbesondere Private, weiterzugeben. Es besteht die Gefahr, dass den Nutzer*innen aufgrund der Einfachheit dieser Prozesse die Tragweite ihrer Handlungen nicht bewusst wird. Das kann irrtümlich erfolgen oder von den Daten empfangenden Dritten sogar bewusst herbeigeführt werden, denn diese haben einen Anreiz, an die über das E-ID System bereitgestellten hochqualitativen Daten heranzukommen.
Warum ist dies ein realistisches Risiko?
Aufgrund von unbeabsichtigtem Handeln nicht IT-technisch versierter Anwender*innen: Besonders Menschen, die im Umgang mit digitalen Diensten nicht besonders geübt oder körperlich eingeschränkt sind, können rasch Vorgänge auslösen, die ihnen nicht bewusst sind und die sie eigentlich nicht auslösen wollten. Dieses Risiko besteht jedoch auch im Fall herkömmlicher Nutzer*innen. Zudem ist empirisch erwiesen, dass datenschutzrechtliche Informationstexte idR kaum gelesen werden, sondern die Betroffenen einfach auf „Weiter“ klicken um möglichst rasch ans Ziel zu gelangen.
Aufgrund von vorsätzlichem Handeln: Dritte, die Daten erlangen wollen, haben einen Anreiz, die oben beschriebenen Irrtümer, Passivität oder Ignoranz herbeizuführen, um den Betroffenen ihre Daten zu entlocken
Mit welchem Schaden müssen Personen rechnen, wenn ihre ID Austria in dieser Weise missbraucht wird?
Die in der Folge genannten Schäden werden in der Untersuchung als „maximal“ eingestuft. Das bedeutet: Betroffene erleiden eventuell signifikante oder sogar unumkehrbare Konsequenzen, die sie nicht überwinden können:
Materielle Schäden: wirtschaftliche Schäden, berufliche Nachteile (zB entgangene Einstellung oder Beförderung, Jobverlust), Beschneidung staatlicher Leistungen (zB Arbeitslosengeld, Sozialhilfe), Diskriminierung (zB bei Versicherungsabschlüssen oder Wohnungssuche), ungerechtfertigte Gebühren usw
Immaterielle Schäden: gesellschaftliche und soziale Nachteile (zB Rufschädigung oder Verleumdung, Mobbing, Diskriminierung usw), Schädigung der Privatsphäre (zB das Gefühl ausgespäht zu werden), ungerechtfertigte Beeinträchtigung von Rechten (durch Verarbeitung ohne ausreichende Rechtsgrundlage), Misstrauen in das System, Hemmungen, das E-ID System weiter zu nutzen
Wie bewertet die Untersuchung das Risiko?
In der Datenschutzfolgenabschätzung wird das potentielle Schadensausmaß und die Eintrittswahrscheinlichkeit zu einem Risiko kombiniert. Ein sich daraus ergebendes „hohes Risiko“ bedeutet ein hohes Risiko, durch die ID Austria irgendwann einen wesentlichen bis maximalen Schaden zu erleiden!
Die Untersuchung ergab für diesen Aspekt ein hohes Risiko! Deshalb bedarf es einer Vielzahl von Maßnahmen, damit die beschriebenen Schäden weniger wahrscheinlich eintreten.
Gibt es genügend Zusatzmaßnahmen, damit das Risiko nicht schlagend wird?
Aufgrund der Einschätzung, dass es hier um ein „hohes Risiko“ geht, sind zwingend Maßnahmen erforderlich. Ohne diese Maßnahmen dürfte die Verwendung der ID Austria letztlich nicht empfohlen werden.
Die Untersuchung führt als geplante Maßnahmen an: die niederschwellige Erreichbarkeit der Datenschutzerklärungen, FAQs zur E-ID, sowie „Transparente, leicht erreichbare Informationserteilung durch Verantwortlichen“.
Zu hinterfragen ist hier, warum diese Maßnahmen trotz besseren Wissens empfohlen und als ausreichend erachtet werden, obwohl es wie oben beschriebenen empirisch erwiesen ist, dass datenschutzrechtliche Informationstexte idR kaum gelesen werden!
Resümee
Das Risiko, dass eine einmal ausgestellte ID Austria von Dritten gegen den Willen der Inhaber*in verwendet wird, dass betroffene Menschen die Konsequenzen nicht mehr abwenden können und im schlimmsten Fall nicht damit leben können, bleibt hoch. Die angedachten Maßnahmen, die das Risiko auf ein gerade noch annehmbares Niveau senken könnten, sind zu schwach. Es ist nicht nachvollziehbar, warum die Untersuchung diese Maßnahmen als ausreichend bewertet, um keine datenschutzrechtliche Ablehnung aussprechen zu müssen.
1https://www.oesterreich.gv.at/dam/jcr:75b866bb-3735-4571-b859-39df84e2a281/DSFA_IDAUSTRIA_BMDW.pdf