Presseaussendung der GGI-Initiative am 07.12.2023<\/p>\n\n\n\n
W\u00e4hrend der Corona-Jahre wurden viele Menschen mit digitalen Mitteln weitgehend aus der Gesellschaft ausgeschlossen. Nun soll der Digitalisierungstrend mit der ID Austria fortgef\u00fchrt werden, die seit 5.12.2023 im regul\u00e4ren Betrieb ist. Die Datenschutzfolgenabsch\u00e4tzung 2022 erachtet das Risiko zur Nutzung der ID Austria f\u00fcr unbewusste oder irrt\u00fcmliche Datenherausgabe als akzeptabel. Die GGI-Initiative sieht die beschriebenen Schutzma\u00dfnahmen als unzureichend an, das Risiko bleibt hoch. Ohne Aufarbeitung gibt es kein Vertrauen, dass digitale Technik tats\u00e4chlich zum Wohl der Menschen eingesetzt wird.<\/strong><\/p>\n\n\n\n Die Corona-Jahre trieben die Digitalisierung voran. Am 5.12.2023 startete die ID Austria. Vorz\u00fcge werden betont, Datenschutzrisiken, Nutzungszwang und m\u00f6glicher staatlicher Missbrauch kaum diskutiert. Warum die Zusammenf\u00fchrung aller Daten einer Person mittels ID Austria kritisch zu betrachten ist, wurde in der Aussendung vom 05.12.2023 begr\u00fcndet. [1]<\/p>\n\n\n\n Die zwingend vorgeschriebene Datenschutzfolgenabsch\u00e4tzung (DSFA) aus dem Jahr 2022 analysiert die potenziellen Risiken der ID Austria f\u00fcr Personen, die sie beantragen und n\u00fctzen, sowie f\u00fcr Personen, die unabh\u00e4ngig davon leben wollen. [2]<\/p>\n\n\n\n In diesem Teil 2 einer mehrteiligen Serie wird ein Teilergebnis dieser Untersuchung betrachtet. Die ID Austria hat das Potential, Dritten umfassenden Zugang zu den Daten, Vertr\u00e4gen, etc. der Nutzer*innen zu erm\u00f6glichen, und zwar gegen deren Willen. Nachfolgend wird eine ausf\u00fchrliche Ausarbeitung zu diesem Aspekt zusammengefasst, der dem begrifflichen Duktus und der Struktur der DSFA folgt. [3]<\/p>\n\n\n\n Mit dem E-ID System (technische Grundlage f\u00fcr die ID Austria) wird erstmals eine M\u00f6glichkeit er\u00f6ffnet, hoheitlich qualifizierte personenbezogene Daten niederschwellig digital an Dritte, insbesondere Private, weiterzugeben. Es besteht die Gefahr, dass den Nutzer*innen aufgrund der Einfachheit dieser Prozesse die Tragweite ihrer Handlungen nicht bewusst wird.<\/p>\n\n\n\n Diese Datenweitergabe kann irrt\u00fcmlich erfolgen oder von Hackern bewusst herbeigef\u00fchrt werden, die Interesse am umfassenden Datenmaterial des E-ID-Systems haben.<\/p>\n\n\n\n Vor allem Menschen, die im Umgang mit digitalen Diensten nicht besonders ge\u00fcbt oder kognitiv eingeschr\u00e4nkt sind, k\u00f6nnen rasch Vorg\u00e4nge ausl\u00f6sen, die ihnen nicht bewusst sind und die sie eigentlich nicht ausl\u00f6sen wollten und dadurch ungewollt Dritten Zugang zu ihren Datensammlungen erm\u00f6glichen.<\/p>\n\n\n\n Dritte, die Daten erlangen wollen, k\u00f6nnen die oben beschriebenen Irrt\u00fcmer, Passivit\u00e4t oder Ignoranz vors\u00e4tzlich herbeif\u00fchren, um den Betroffenen ihre Daten zu entlocken. Die Begehrlichkeiten an die in der ID Austria gesammelten qualifizierten und personalisierten Daten heranzukommen, werden enorm sein.<\/p>\n\n\n\n Die angef\u00fchrten Sch\u00e4den werden von der DSFA als \u201emaximal\u201c eingestuft, was bedeutet, dass sie signifikante oder unumkehrbare Konsequenzen f\u00fcr Betroffene haben.<\/p>\n\n\n\n In der DSFA werden Schadensausma\u00df und Eintrittswahrscheinlichkeit zu einem Risiko kombiniert. Ein sich daraus ergebendes \u201ehohes Risiko\u201c bedeutet in diesem Zusammenhang eine hohe Wahrscheinlichkeit, durch die ID Austria irgendwann einen wesentlichen bis maximalen Schaden zu erleiden.<\/p>\n\n\n\n Die Untersuchung ergab f\u00fcr den Aspekt der ungewollten Datenweitergabe ein hohes Risiko! Deshalb bedarf es einer Reihe von Ma\u00dfnahmen, damit die beschriebenen Sch\u00e4den weniger wahrscheinlich eintreten. Diese Ma\u00dfnahmen gelten als zwingend erforderlich, ohne jene kann die Verwendung der ID Austria letztlich nicht empfohlen werden.<\/p>\n\n\n\n Die DSFA f\u00fchrt als bereits umgesetzte Ma\u00dfnahmen an:<\/p>\n\n\n\n Wir betrachten diese Ma\u00dfnahmen als viel zu lasch<\/strong> und merken Folgendes an: Es ist empirisch erwiesen – und wird in der DSFA sogar erw\u00e4hnt -, dass Nutzungsbedingungen, zu denen datenschutzrechtliche Informationstexte geh\u00f6ren, in der Regel kaum gelesen, sondern aus Bequemlichkeit oder Eile sofort zur Kenntnis genommen werden. Diese bieten also kaum Schutz vor ungewollter Zustimmung zur umfassenden Datenweitergabe. [4]<\/p>\n\n\n\n Von der DSFA nicht erfasst wird das Risiko, das entsteht, wenn Amtstr\u00e4ger und Personen mit Machtbefugnissen f\u00fcr den Zugang zu ihren staatlichen IT-Systemen ebenfalls die ID Austria verwenden, was zum Teil bereits geschieht. Dadurch ergibt sich ein weiteres, generelles Risiko f\u00fcr Staat, L\u00e4nder und Gemeinden. F\u00fcr Dritte, ob Kriminelle oder fremde Regierungen, k\u00f6nnte diese neue M\u00f6glichkeit ebenfalls gro\u00dfe Begehrlichkeiten wecken, wodurch letztlich bev\u00f6lkerungsweiter Schaden entstehen k\u00f6nnte.<\/p>\n\n\n\n Das Risiko<\/strong>, dass eine einmal ausgestellte ID Austria von Dritten gegen den Willen der Inhaber*innen verwendet wird und dass betroffene Menschen die Konsequenzen nicht mehr abwenden k\u00f6nnen, bleibt hoch<\/strong>. Die beschriebenen Ma\u00dfnahmen<\/strong>, die das Risiko gem\u00e4\u00df DSFA auf ein gerade noch annehmbares Niveau senken sollen, sind zu schwach<\/strong>. Warum diese Ma\u00dfnahmen als ausreichend bewertet werden und keine datenschutzrechtliche Ablehnung<\/strong> ausgesprochen wird ist nicht nachvollziehbar<\/strong>.<\/p>\n\n\n\n Die GGI-Initiative mahnt – im Hinblick auf die oben angef\u00fchrten Risiken – die freie Entscheidung zur Registrierung der ID Austria und ihrer Verwendung ein. Ohne ordentliche Aufarbeitung der Geschehnisse seit 2020 vertrauen wir nicht darauf, dass die ID Austria in ihrer jetzigen Form tats\u00e4chlich in erster Linie den B\u00fcrgerInnen dient.<\/p>\n\n\n\n [1] Anonym. ID Austria (Teil 1) \u2013 Machtinstrument f\u00fcr Regierende<\/em>. Gr\u00fcner Verein f\u00fcr Grundrechte und Informationsfreiheit, 2023. online: https:\/\/ggi-initiative.at\/wp\/pm-78-id-austria-teil-1-machtinstrument-fuer-regierende\/<\/a><\/p>\n\n\n\n [2] Tschohl C & al. ID Austria Datenschutz-Folgenabsch\u00e4tzung<\/em>. Research Institute \u2013 Digital Human Rights Center, 2022. online: https:\/\/www.oesterreich.gv.at\/dam\/jcr:75b866bb-3735-4571-b859-39df84e2a281\/DSFA_IDAUSTRIA_BMDW.pdf<\/a><\/p>\n\n\n\n [3] Anonym. ID Austria \u2013 neues Risiko f\u00fcr Datenmissbrauch<\/em>. Gr\u00fcner Verein f\u00fcr Grundrechte und Informationsfreiheit, 2023. online: https:\/\/ggi-initiative.at\/wp\/id-austria-neues-risiko-fuer-datenmissbrauch\/<\/a><\/p>\n\n\n\nHintergrund<\/strong><\/h4>\n\n\n\n
Risiko unbewusster oder irrt\u00fcmlicher Datenherausgabe<\/strong><\/h4>\n\n\n\n
Komponenten des Risikos<\/strong><\/h4>\n\n\n\n
Schaden bei Missbrauch<\/strong><\/h4>\n\n\n\n
\n
Bewertung des Risikos<\/strong><\/h4>\n\n\n\n
Ma\u00dfnahmen zur Linderung des Risikos<\/strong><\/h4>\n\n\n\n
\n
Risiko f\u00fcr staatliche Organe<\/strong><\/h4>\n\n\n\n
Res\u00fcmee<\/strong><\/h4>\n\n\n\n
Quellenangaben<\/em><\/h4>\n\n\n\n