It can take a while depending on the size of the document..please wait
Discuto
Big Data, Innovation und Datenschutz
Wirtschaftspolitische Empfehlungen diskutieren
0 Tage noch (endet 23 Okt)
Beschreibung
Update: Feedback eingearbeitet, Endbericht und "Change-Report" zum Download
Vielen Dank für das umfangreiche Feedback zur Rohfassung der Studie. Dieses wurde in der Zwischenzeit eingearbeitet. Welche Änderungen vorgenommen wurden, können im "Change-Report" nachvollzogen werden.
Die Studie wurde mittlerweile dem BMVIT übermittelt und abgenommen.
Wir glauben, dass eine konsequente Umsetzung der Datenschutz-Grundverordnung - trotz aller noch offenen Punkte - ein wesentlicher Schritt in Richtung einer eigenständigen europäischen Digitalisierungsstrategie sein kann und daher deutlich mehr Aufmerksamkeit erhalten sollte als bisher.
Für weitere Diskussionen und Anregungen stehen wir gerne zur Verfügung (Mail: office(at)cbased.com).
Kann man Big Data, Innovation und Datenschutz unter einen Hut bringen?
Das war - salopp formuliert - die Aufgabenstellung für den hier zur Diskussion gestellten Entwurf unserer Studie für das Bundesministerium für Verkehr, Innovation und Technologie (BMVIT):
- Ist Big Data mit dem Inkrafttreten der neuen Datenschutz-Grundverordnung (DS-GVO) im Mai 2018 in Europa Geschichte? Wenn ja, ist das gut so?
- Wird Innovation massiv behindert oder gibt es Wege trotzdem neue Produkte und Dienstleistungen einzuführen?
- Etabliert die DS-GVO ein neues Paradigma und stellt sich Europa damit vollends ins Abseits in der Welt der digitalen Plattformökomie?
Die Fragen zum Thema sind vielfältig und fundamental. Wir stellen daher unsere Sicht der Dinge auf den Prüfstand, versuchen unterschiedliche Sichtweisen, neue Einsichten oder schlicht Fehler zu finden, mißverständliche Aussagen zu korrigieren etc. und die grundlegenden Handlungslinien festzuzurren - wenn Sie uns dabei helfen.
Die Empfehlungen der Studie können hier bis zum 09.10.17 diskutiert werden. Danach werden Sie von uns überarbeitet und an das BMVIT übermittelt. Wir geben Feedback, was wir aus der Diskussion übernommen und eingebaut haben bzw. wo wir einen anderen Standpunkt vertreten.
Wir freuen uns auf Ihr Feedback!
LETZTE AKTIVITÄT
GRAD DER ZUSTIMMUNG
AM MEISTEN DISKUTIERT
LETZTE KOMMENTARE
-
Wie schon von anderen erwähnt geht es hier zuviel um die Quantität und weniger um die Qualität der Daten - in diesem Zusammenhang vor allem um die passenden Daten für den richtigen Zweck (Thema Korrelation against Causation). Ausserdem geht es in Data Science immer mehr um das Thema Algorithmen und deren Schwachstellen - hier sind die Themen 'black boxes', 'Objektivität von Algorithmen' usw. extrem wichtig. Ein gutes Buch zu diesem Thema ist 'Weapons of math destruction' von Cathy O'Neill.
P19
3. Basierend auf diesen Analyseschritten werden Empfehlungen für die Wirtschaftspolitik abgeleitet.
Kommentar hinzufügen
P20
Das Einholen expliziter Einwilligung zur Verwendung oder Weitergabe von personenbezogenen Daten von betroffenen Personen ist ein zentraler Bestandteil der DS-GVO. Die Einwilligung kann elektronisch eingeholt werden, wobei der Verwendungszweck klar hervorheben ist. Die Verarbeitung personenbezogener Daten darf nicht über diesen Verwendungszweck hinausgehen. Im folgenden Kapitel werden die damit verbundenen technischen Herausforderungen analysiert.
Kommentare (2) anzeigen/hinzufügen
P21
Zustimmung ist auf verschiedene Arten möglich: 1. Generelle Zustimmung wie zum Beispiel derzeit üblich bei den Nutzungsbedingungen von Webseiten oder 2. Opt in, die explizite Einwilligung eine bestimmte Dienstleistung nutzen zu wollen.
Kommentar (1) anzeigen/hinzufügen
P23
- Kategorisierung: Um die BenutzerIn nicht zu überfordern oder mit unnötig vielen Interaktionsschritten zu konfrontieren, geht man derzeit davon aus, dass Anfragen um Einwilligung analog zu den verschiedenen Verarbeitungsschritten gruppiert werden und per Kategorie nach Einwilligung gefragt wird.
Kommentar hinzufügen
P24
- Anpassung und Widerruf: Die AnwenderIn muss dann in der Lage sein - entgegen dem status quo, der nur Zustimmung oder Ablehnung erlaubt - die Einwilligungen partiell und feingranular zu verwalten. Damit ist auch die Möglichkeit verbunden, schon gegebene Einwilligungen zu widerrufen.
Kommentare (2) anzeigen/hinzufügen
P25
- Verständlichkeit: Die Einwilligungserklärungen/-anfragen müssen in verständlicher Form präsentiert werden und die BenutzerIn nicht überfordern. Dies ist speziell in Big Data-Szenarien herausfordernd, weil dort komplexe Datenverarbeitungsschritte, die auf nicht-trivialen Algorithmen und Verarbeitungsschritten basieren, erklärt werden müssen. Hier ist es schwierig das Mittelmaß zwischen Überforderung und Abstraktion zu finden.
Kommentare (2) anzeigen/hinzufügen
P26
- Nachträgliche Einwilligung: Ein weiterer Aspekt für datenverarbeitende Firmen ist die Unantastbarkeit von Daten für neue Verwendungszwecke für deren Verwendung noch keine explizite Einwilligung existiert. Daher muss man technische Möglichkeiten schaffen, dass Einwilligungen unkompliziert (für beide, den Datenverarbeiter und die BenutzerInnen) eingeholt werden können.
Kommentare (3) anzeigen/hinzufügen
P27
Diese Einwilligungserklärungen sind natürlich unterschiedlich, je nachdem welche Verarbeitungsschritte gesetzt und welche Daten dabei verwendet werden. Die Konzeption einer DS-GVO gerechten Einwilligungserklärung ist daher nicht trivial und stellt für viele Anbieter eine veritable Herausforderung dar. Zuallererst sind hier die Interessenvertretungen gefragt, ihre Mitglieder zu unterstützen.
Kommentare (2) anzeigen/hinzufügen
P28
Die präzise Darstellung der Verarbeitungsschritte ist natürlich eine Herausforderung, wenn Innovationen entwickelt werden, weil es dort ausgesprochen schwierig ist, ex ante anzugeben, welche Schritte gesetzt werden. Von Seiten der Datenverarbeiter ist es wünschenswert, dass die Einwilligung zur Datenverarbeitung soweit wie möglich auch die Entwicklung neuer innovativer Dienste und Business Intelligence-Lösungen ermöglicht, ohne jedes Mal den Benutzer mit neuen detaillierten Einwilligungsanfragen konfrontieren zu müssen. Aber dazu weiter unten mehr.
Kommentare (3) anzeigen/hinzufügen
P29
Die DS-GVO macht klar, dass informierte und spezifische Einwilligungserklärungen eingeholt werden müssen. In rezenten Forschungsarbeiten sind Zweifel aufgekommen, ob dies tatsächlich möglich ist. Zum einen zeigt sich, dass kurze Pausen bei der Präsentation der Datenschutzerklärungen/-bedingungen, die zur Kommunikation irrelevanter Informationen genutzt werden, genügen, um die Aufmerksamkeit für bzw. das Verständnis von Datenschutzerklärungen/-bedingungen zu vermindern oder gar zu eliminieren. Auch tendieren NutzerInnen dazu, solchen Bedingungen zuzustimmen ohne sich im Klaren zu sein, welche ihrer Daten gesammelt werden, sodass ihre Einwilligung nicht als informierte Zustimmung zu werten ist. Andererseits wurde beobachtet, dass ein Mehr an Kontrolle zu fahrlässiger Handhabung und höherer Risikobereitschaft führt. Diese Einsichten legen nahe, dass es hier durchaus noch Forschungsbedarf gibt, wie man tatsächlich zu einer informierten Einwilligung kommen kann. Gleichzeitig heißt das aber auch, dass auch bei besten Absichten und tadelloser Umsetzung das Ziel einer bewusste Einwilligung zur Verwendung von personenbezogene Daten nicht einfach zu erreichen ist.
Kommentare (3) anzeigen/hinzufügen
P30
Anstatt monolithischer, statischer Einwilligungserklärungen besteht eine Notwendigkeit, Technologien zu entwickeln, die die dynamische Anpassung von Zustimmung erlauben, mit speziellem Fokus auf rechtliche und auch ethische Aspekte sowie Benutzbarkeit. Solche Technologien und Mechanismen sollten es einerseits Benutzern ermöglichen Daten zu korrigieren, die Nutzung ihrer Daten nachzuvollziehen und anzupassen.[2]
Kommentare (2) anzeigen/hinzufügen
P31
Außerdem sind etliche der beschriebenen maschinenlesbaren Policy-Sprachen bereits in RDF modelliert, die zur Beschreibung und Verifikation von Nutzungsstrategien, rechtlichen Regularien und Geschäftspraktiken verwendet werden können und mit Datenprovenienz-Informationen und Transparenzinformationen und -ereignissen verknüpft werden können zur automatischen Verifikation von End-User Abkommen. Hier existieren im Hinblick auf die Skalierbarkeit offene Forschungsfragen zur notwendigen Ausdrucksstärke solcher Sprachen und zur Komplexität und Skalierbarkeit entsprechender Verifikationsmethoden. Vokabulare zur Beschreibung von Strategien wie ODRL, die derzeit von der Permissions and Obligations working group des W3C standardisiert werden, leiden nach wie vor unter teilweiser semantischer Ambiguität, die einer Maschinenverarbeitung im Weg stehen, bzw. könnten sie sich in der Praxis als unvollständig oder unzureichend entpuppen, um komplexe Strategien zur Verarbeitung personenbezogener Daten zu beschreiben. Zusätzlich muss RDF zum sicheren Zugriff auf Daten um Verschlüsselungsmethoden erweitert werden, die es erlauben Statements in feingranularer Weise zu verschlüsseln, was ein weitgehend offenes Forschungsfeld darstellt.
Kommentare (5) anzeigen/hinzufügen
P32
Das in der DS-GVO stipulierte Recht auf Vergessenwerden ermöglicht es in gewissem Rahmen sensible und personenbezogene Daten aus datenverarbeitenden Umgebungen und Anwendungen zu löschen. So simpel diese Vorschrift erscheinen mag, eröffnet sie ein herausforderndes und gleichzeitig auch rechtlich unscharf definiertes Feld, weil der Terminus „Löschen“ in Datenanwendungen unterschiedlich verwendet wird. In vielen Datenanwendungen und Produkten wird dabei keine endgültige Vernichtung („physikalisches Löschen“) der Daten gemeint, sondern lediglich eine Entfernung aus der Informationsverarbeitung („logisches Löschen“), d.h. der Speicherplatz an dem die zu löschenden Daten stehen wird als frei markiert.[3]
Kommentare (6) anzeigen/hinzufügen
P33
Forensische Tools, die solcherart „gelöschte“ Dateien wiederherstellen können sind jedoch schon seit vielen Jahrzehnten verbreitet. Der Erfolg einer Wiederherstellung hängt im Wesentlichen davon ab, ob die Blöcke schon wieder genutzt wurden. Dies wiederum hängt von der seit der Löschung vergangenen Zeit und der Nutzungsintensität im Sinn der Speicherung neuer Daten auf dem Speichermedium ab.
Kommentar (1) anzeigen/hinzufügen
P34
Um diese Wiederherstellung unmöglich zu machen, wurde in der Vergangenheit ein Set an Möglichkeiten der „endgültigen“ Löschung entwickelt, von denen das Überschreiben der Speicherbereiche mit Zufallswerten die populärste ist. Für diese Form gibt es auch eine umfangreiche Sammlung an Tools. Obwohl es in diesem Bereich durchaus noch Diskussionen über die richtige Form des Überschreibens gibt (random, patterns, mehrfach), da nach einmaligem Überschreiben mit fixen Mustern in akademischen Labors noch ursprüngliche Daten wiederhergestellt werden konnten, gilt diese Methode in der praktischen Anwendung als hinreichend sicher um von einer endgültigen Löschung der Dateien ausgehen zu dürfen.
Kommentar (1) anzeigen/hinzufügen
P35
Allerdings hat sich in extrem kritischen Bereichen durchaus die physische Zerstörung von Datenträgern eingebürgert. Dies ist speziell dann sinnvoll, wenn eine lange vorgehaltene große Datenmenge als Gesamtheit endgültig vernichtet werden muss. Dieser Zugang ist allerdings für die Umsetzung eines Rechts auf Vergessenwerden, bei dem es lediglich um die Löschung einzelner oder einer kleinen Menge an sensiblen Informationen geht, wirtschaftlich nicht vertretbar und in hochverfügbaren Systemen auch technisch nicht realisierbar.
Haben Sie gewusst, dass man über Kommentare abstimmen kann? Sie können auch direkt auf Kommentare antworten!