LEVEL OF AGREEMENT

MOST DISCUSSED PARAGRAPHS

P13 Die DS-GVO bringt auch das Recht auf „Verges
8 3
P9 die Digitalisierung aller Gesellschaftsberei
8 5
P5 Die wichtigste Ressource der Welt ist nicht
7 0
P32 Das in der DS-GVO stipulierte Recht auf Verg
6 1
P53 Eine weitere technische Lösung stellt eine s
6 0
P31 Außerdem sind etliche der beschriebenen masc
5 0
P102 Konkret – und etwas vereinfacht – wird kein
5 0
P39 Entstehen im Rahmen interner Datenverarbeitu
5 1
P14 Die DS-GVO etabliert damit strengere Regeln
5 2
P164 Klar ist, dass die derzeitigen Schritte auf
5 4
P50 Allerdings kann diese Forderung auch mit dem
4 1
P12 Die Daten - und das ist im Zusammenhang mit
4 3
P8 in Wirtschaft und Gesellschaft bei vielen Tr
4 2
P46 Eines der Hauptprobleme beim praktischen Ein
4 0
P49 Die Forderung nach einer transparenten Verar
4 1
P42 Anonymisierung von sensiblen Daten gewinnt d
3 3
P48 Diese Faktoren bewirken, dass der Einsatz vo
3 0
P162 Die DS-GVO ist gesellschaftspolitisch gewüns
3 3
P156 - Gesetzliche Rahmenbedingungen: Wie oben au
3 2
P55 Eine alternative Architektur von Zyskind et
3 0
P64 Im Vergleich zur „naiven“ Big Data Entwicklu
3 2
P68 Keine spezifische Evidenz wurde gefunden, da
3 3
P38 Speziell im Fall von Sensordaten kann die Ei
3 1
P119 Datenschutz muss in allen Aktivitäten des Un
3 2
P85 Theoretische Modellierung dieser Situation z
3 1
P61 Da das konkret einzusetzende Data Mining Ver
3 2
P26 Nachträgliche Einwilligung: Ein weiterer Asp
3 2
P15 Die Frage lautet also, ob strenger Datenschu
3 0
P10 Die landläufige Vorstellung, dass man im übe
3 3
P28 Die präzise Darstellung der Verarbeitungssch
3 1
P29 Die DS-GVO macht klar, dass informierte und
3 3
P152 Eine wesentliche Aufgabe für die öffentliche
2 1
P24 Anpassung und Widerruf: Die AnwenderIn muss
2 4
P150 Wenn die DS-GVO tatsächlich ein wirksames In
2 0
P66 In einer zunehmend digitalen Gesellschaft un
2 1
P88 Angesichts dieser Ausgangslage bringt die ne
2 2
P147 Bei den gegenwärtigen Marktverhältnissen gel
2 3
P20 Das Einholen expliziter Einwilligung zur Ver
2 2
P37 Die Wahl der konkreten Sicherheitsparameter
2 1
P113 1. Konkrete Hinweise, welche Maßnahmen die U
2 2
P95 Die postulierten Grundsätze widersprechen si
2 0
P96 Viele Bestimmungen sind nicht wirklich opera
2 0
P99 5. Weniger Spielraum für Prozessinnovationen
2 0
P17 1. Die rechtlichen Bestimmungen wurden auf
2 1
P60 Der Vorteil der ersten Variante ist, dass au
2 1
P25 Verständlichkeit: Die Einwilligungserklärung
2 5
P11 Explizite und informierte Zustimmung zur Ver
2 4
P35 Allerdings hat sich in extrem kritischen Ber
2 0
P51 Wesentlich bei der Durchsetzung dieses Aspek
2 0
P27 Diese Einwilligungserklärungen sind natürlic
2 1
P41 Zu klären ist auch der Zielkonflikt in Hinbl
2 0
P30 Anstatt monolithischer, statischer Einwillig
2 2
P43 Wesentlich für die Sicherstellung der Anonym
2 1
P54 Dabei wird immer eine lokale Transparenzschi
2 1
P45 Ohne an dieser Stelle auf die verschiedenen
2 2
P111 Wenn man der Analyse bis hierher folgt, dann
1 0
P112 Generell braucht es mehr Awareness bei den U
1 2
P167 Die DS-GVO bringt Einschränkungen für Big Da
1 2
P163 Gerade die Entwicklungen in den letzten Mona
1 3
P115 In Summe ist zu erwarten, dass europäische U
1 2
P116 Missbraucht man dieses Vertrauen, dann werde
1 2
P120 Die Wirtschaftspolitik sollte darauf bedacht
1 3
P118 Ein Framework, das Unternehmen bei der proak
1 4
P126 Sensitivitätsanalyse
1 0
P127 Werden personenbezogene Daten gespeichert/ge
1 0
P145 Aus derzeitiger Sicht dürfte die Umstellung
1 1
P146 Natürlich werden alle Organisationen die per
1 0
P161 Die Erkenntnisse können auch für die Weitere
1 0
P160 Die lokale Software Community kann durch den
1 1
P105 Die Chancen von Bezahlangeboten im Privatkun
1 1
P154 - Ausbildung: ein Wettbewerbsvorteil durch b
1 3
P155 - Forschung: In dieser Studie wird eine Rei
1 3
P107 Chancen hätten derartige Angebote im Privatk
1 2
P36 Basierend auf den in diesem Projekt durchgef
1 1
P18 2. Der Bewertung der technischen Möglichkeit
1 0
P67 Die unterschiedlichen Entwicklungsoptionen f
1 2
P34 Um diese Wiederherstellung unmöglich zu mach
1 1
P40 Welche Form des Löschens ist ausreichend und
1 0
P33 Forensische Tools, die solcherart „gelöschte
1 1
P44 Es gibt eine Reihe von Strategien und Method
1 0
P47 Geringer Informationsgehalt bedeutet, dass d
1 1
P52 Transparenz im Zusammenhang mit der Verarbei
1 2
P57 Aufgrund der rechtlichen Anforderungen ist s
1 0
P58 Auf Basis dieser Erkenntnisse bietet sich al
1 1
P59 Bereits bei der Entwicklung der datengenerie
1 1
P7 es mittlerweile technisch möglich ist, das o
1 3
P65 Diesen Nachteilen steht allerdings der Vorte
1 0
P21 Zustimmung ist auf verschiedene Arten möglic
1 0
P100 Mit der Einführung der DS-GVO im Mai 2018 ka
1 1
P69 Es geht vor allem um technische Lösungen, di
1 0
P72 Grundsätzlich könnte hier die neue Datenschu
1 2
P73 Startups – bei denen das Projekt gleichzeiti
1 0
P76 Gegen diese Sichtweise spricht, dass Innovat
1 1
P79 Natürlich kann man obiges Problem auch durch
1 1
P82 2. Werbe- und datenfinanzierte Business Mode
1 1
P89 Mit Inkrafttreten der DS-GVO im Mai 2018 ist
1 2
P92 Allerdings müssen die gesetzlichen Bestimmun
1 1
P93 Nicht gemeint ist, dass man sich auf bestimm
1 0
P97 Die Klärung dieser Fragen wird Großteils von
1 1
P98 In Summe bewirken diese Unschärfen, dass es
1 0
P168 Europa ist aber auch gefordert, die strengen
1 0

LATEST COMMENTS

Hier zu erwähnen ist eine Dissertation an der KTH Stockholm: 'Privacy-by-Design for Cyber-Physical Systems' - http://urn.kb.se/resolve?urn=urn:nbn:se:kth:diva-211908 - hier wird ein Szenario aufgezeigt wie Smart Meter mit der DSGVO vereinbar sind.
Sind hier die Schritte zu erklären oder das Ziel der Algorithmen wie zum Beispiel Bestimmung der Betrugswahrscheinlichkeit?
In diesem Zusammenhang möchten wir auf einen Artikel von Bruce Schneier verweisen: https://www.schneier.com/blog/archives/2016/02/the_internet_of_1.html - interessant hier ist dass es nicht mehr möglich ist 'offline' zu gehn da zu viele Sensoren um jede Person existieren.
Wie schon von anderen erwähnt geht es hier zuviel um die Quantität und weniger um die Qualität der Daten - in diesem Zusammenhang vor allem um die passenden Daten für den richtigen Zweck (Thema Korrelation against Causation). Ausserdem geht es in Data Science immer mehr um das Thema Algorithmen und deren Schwachstellen - hier sind die Themen 'black boxes', 'Objektivität von Algorithmen' usw. extrem wichtig. Ein gutes Buch zu diesem Thema ist 'Weapons of math destruction' von Cathy O'Neill.
Ich habe es bereits an anderer Stelle erwähnt, dass die Datenminimierungs-Vorgabe in der DSGVO im Widerspruch zu Big Data steht.
Das ist eine Forderung die man ausweiten könnte. Es braucht eine Ansprechstelle für Fragen in Zusammenhang mit der DS-GVO, um im vorhinein abzuklären, ob eine Lösung DS-GVO konform ist.
Sowohl nach bestehender wie auch nach künftiger Rechtslage ist die Anonymisierung der Löschung wohl gleichzustellen. Sowohl nach derzeitiger Rechtslage als auch nach GDPR kennt das Gesetz auf der obersten Ebene die Unterscheidung zwischen personenbezogenen und anonymen Daten. Erstere sollen dem Datenschutzrecht unterliegen, letztere nicht. Es kann nicht als im Sinne des Gesetzes interpretiert werden, dass eine Maßnahme, nach deren Anwendung Daten als offenbar nicht mehr schutzwürdig betrachtet werden, der Zustimmung des Betroffenen bedürfen. Auch die ePrivacy Richtlinie sowie ihre Nachfolgerin nennen Löschen und Anonymisierung von Daten Seite an Seite, was darauf schließen lässt, dass diese beiden Maßnahmen vom Gesetzgeber als gleichwertig betrachtet werden.
Argumentation zielt nahezu durchgängig und ausschliesslich auf die geschäftlichen Zwecke von BigData ab. Dem Bereich Kriminalitätsbekämpfung wird zuwenig (keinerlei?) Aufmerksamkeit geschenkt. Hier sollten etwas geänderte Datenschutz/Bankgeheimnis-Bestimmungen gelten, damit die Behörden und Finanzinstitute die Chance bekommen, Geldwäsche und Betrug überhaupt zu erkennen bzw. zu verfolgen. Natürlich unter entsprechenden Rahmenbedingungen, nicht auf nationaler, sondern gleich auf EU Ebene (um die Wirksamkeit sicherzustellen, sodass keine widersprüchlichen/blockierenden nationalen Gesetzgebungen/Standards behindernd wirken). Weitergehende EU Regulations und Services im Umfeld von BigData siehe beigefügtes Schaubild.
JA! Und Österreich auch :D
Wo hören "Nutzungsdaten" auf und fangen "personenbezogene Daten" an? Weit gefasste Einverständniserklärungen sind in diesem Kontext nur dann unbedenklich, wenn es sich zu 100% nicht um personenbezogene oder pseudonymisierte Daten handelt.
Sinnvoller wäre hier die Schaffung einheitlicher Standards und APIs für die Etablierung eines föderalen Systems, welches dann z.B. über Apps oder Portale von Drittanbietern für die BenutzerInnen nach deren Wünschen zusammengefasst werden können. Welchen Apps, Portalen die BenutzerInnen dann vertrauen, liegt nicht an einer zentralen Stelle.
Die Errichtung (weiterer) zentraler Register ist (nicht nur) in diesem Kontext strikt abzulehnen. Damit gäbe es zentrale Kontrollinstanzen, die alle personenbezogenen Daten sehen würden und denen die BenutzerINnen auch wieder den Zugriff auf personenbezogene Daten erlauben muss.
Wir würden für Österreich hier einen nicht-militärischen Ansatz erwarten.
JA!!!!
Public Money! Public Code! https://publiccode.eu/de/
Public Money! Public Code! https://publiccode.eu/de/
Ein "pragmatischer" Zugang zu dem Thema endet in einem weiteren "Ich akzeptiere" Dialog auf jeder Homepage, wie sie die EU Cookie Richtline bewirkte
Unverständnis erntet mensch bei den AnwenderInnen nur, wenn die Beschreibungen und Adaptionen der Einwilligungen unverständlich und nicht nachvollziehbar formuliert werden. Hier sind also die Unternehmen gefragt, diese klar, leicht verständlich und nachvollziehbar zu formulieren - was u.U. sogar neue Arbeitsplätze schaffen könnte.
Dieser Text liest sich wie eine Aussendung einer der zahlreichen Interessensvertretungen, die gegen eine Umsetzung der DS-GVO Stellung nehmen.
Ein heheres Ziel. Kurzfristig zielführender wären enstprechende Schulungs- und Vortbildungsangebote. Die Suche nach Vortragendenden zum Thema "Privacy by Design" für die PrivacyWeek des Chaos Computer Club Wien hat uns gezeigt, dass dieses Thema auf technischer Ebene in Österreich quasi noch nicht angekommen ist.
Über Verordnungen, Empfehlungen und Best-Practices wäre hier durchaus einiges machbar, ohne erst auf Entscheidungen der Gerichte warten zu müssen.
Gesetzgeber und Interessensverbände hatten über 2 Jahre Zeit, diese Unsicerheiten auszuräumen. Warum dies nicht geschehen ist, wäre zu kommunizieren.
Geld für persönliche Daten, wie es etwa Versicherungen bereits praktizieren, sind, genaus wie die angesprochenen "Daten für Produktnutzungs-Tauschgeschäfte“ abzulehnen. Diese Geschäftspraxis läuft auch dem Geist der DS-GVO zuwieder.
Nein, Anbieter zu etwas zwingen zu wollen, kann und wird nicht funktionieren. Stattdessen sollten Interessensvertretungen, Datenschützer, ... alternative Dienste mit Bezahlmodellen promoten, welche die DS-GVO ernst nehmen (z.B. posteo anstelle von Gmail/Outlook).
So die europäischen Regierungen die DS-GVO nicht auch gegenüber den dominanten, nicht-europäischen Unternehmen durchsetzt und gleichzeitig die lokalen, kleineren MItbewerber unterstützt (Ausschreibungen, ...) wird diese Überlegung Wunschdenken bleiben.
Prinzipiell ja und dafür. Wenn wir uns allerdings die Praxis, zum Beispiel mit dem e-Commerce Gütesiegel ansehen, wo Sites noch immer nicht per Default TLS verwenden und max. 8 Zeichen lange Passwörter verlangen, sind wir skeptisch, ob die Zertifizierung und das Gütesiegel in der zur Verfügung stehenden Zeit sinnstiftend umgesetzt und dann auch kontrolliert werden können.
Unbedingt. Seit 2 Jahren. Mit Hochdruck.
Von Übergangsfristen, etc. sollte abgesehen werden. Wessen Unternehmen nicht der DSG2000 entspricht und seit Veröffentlichung der DS-GVO keine Maßnahmen gesetz hat, wird es auch bis 2018 nicht schaffen, diese zeitgerecht umzusetzen. Unternehmen, deren Geschäftsmodell mit der DS-GVO nicht komplatibel ist, hätten jetzt schon über 2 Jahre Zeit gehabt, sich entsprechend umzuorientieren.
Unbedingt. Dies hätte in den letzten beiden Jahren nachdrücklich vermittelt gehört.
Das würde aber implizieren, dass entsprechende Verstöße gemeldet bzw. erkannt und dann auch geahndet und publiziert werden. Das würde eine entsprechend ausgestattete und dotierte Datenschutzbehörde voraussetzen.
Wir würden formulieren ".. weniger durch eine Unmenge an Daten zu den gewünschten Einsichten kommen, als mit einem anderen Marktauftritt und innovativen, privacy-schonenden Technologien und damit den ..."
Und zwar Abseits von "HR braucht eine Schulung" und "wir brauchen einen Datenschutzbeauftragten".
Unbedingt. Hier haben Interessensvertretungen, Bundesregierung usw. in den letzten beiden Jahren komplett versagt.
... auf Unternehmensebene, im e-Government Bereich, der Technologie- ...
China in einer Studie zum Thema "Privatsphäre" als positives Beispiel zu bringen ist "mutig".
Zahlen, Studien, ... welche diese Aussage unterstützen, wären in der Argumentation mit Unternehmen hilfreich
Und das ist gut so.
Und das ist gut so.
Art. 28 der DS-GVO regelt die Verpflichtungen des Auftragsverarbeiters auch relativ genau. Das würde auch neue Geschäftschancen für Verarbeiter, die entsprechend Compliant auftreten, eröffnen.
Hier fehlte/fehlt einerseits der Wille der Interessensvertretungen, hierfür in den letzten 2 Jahren Empfehlungen ausgearbeitet zu haben als auch eine Ermächtigung und die (technische) Befähigung der zuständigen Stellen (DSB, ...), hierzu entsprechende Empfehlungen, ... auszusprechen und zu erarbeiten.
Hier fehlte/fehlt einerseits der Wille der Interessensvertretungen, hierfür in den letzten 2 Jahren Empfehlungen ausgearbeitet zu haben als auch eine Ermächtigung und die (technische) Befähigung der zuständigen Stellen (DSB, ...), hierzu entsprechende Empfehlungen, ... auszusprechen und zu erarbeiten.
Hier wäre der Weg über Verordnungen, Standards und/oder Best-Practices zu wählen.
Diese sollten auch nicht über ein Gesetz definiert werden, da sich die technischen Gegebenheiten zu schnell ändern und eine ständige Gesetzesänderung bedingen würden.
Der Aufwand ist - aus unserer Sicht - durchaus gewollt. Das Speichern und Verarbeiten soll so "teuer" sein, dass man sich dies vor Implementierung einer Anwendung gut überlegt.
Gesetzgeber und Interessensverbände hatten über 2 Jahre Zeit, diese Spannungsfelder auszuräumen. Jetzt ist es natürlich schon ein wenig spät.
Unbedingt. Genau so!
Aus unserer Sicht sind die Forderungen zu „Löschen von Daten“ oder „Transparenz“ oder „Datensparsamkeit“ für ein Unternehmen, das den "Spirit" der DS-GVO verstanden hat, ausreichend klar bzw. können diese ihre Interpretation vor Gericht so argumentieren, dass es zu keiner Existenzgefährdung durch die Strafen kommt. Die "Angstmache" hinsichtlich des Interpretationsspielraums kommt unserer Beobachtung nach von Unternehmen, welche die DS-GVO prinzipiell nicht umsetzen wollen.
Dies noch klarer zu kommunizieren wäre Aufgabe der Interessensvertretungen, Bundesregierung, DSB, RTR, ...
Es wäre zu wünschen, dass hier das laute Wehklagen der Datenhändler weitesgehent zum Wohle der Bevölkerung ignoriert wird.
Dies noch klarer zu kommunizieren wäre Aufgabe der Interessensvertretungen, Bundesregierung, DSB, RTR, ...
Und das ist gut so.
Und das ist gut so.
"Recht auf Löschung", nicht "Recht auf Vergessen"
Für den wissenschaftlichen Bereich sind in der DS-GVO bereits zahlreiche Ausnahmen definiert. Daher sollte hier darauf eingegangen werden, warum diese Ausnahmen nicht ausreichend wären.
Das Startups nicht mit "Big Data" hantieren würden wir anzweifeln. Ganz im Gegenteil. Oft ergibt sich der Mehrwert eines "Startup-Produkts" erst aus den Ergebnissen einer Big Data Analyse.
Warum wird hier zwischen Startups und "etablierten Unternehmen" unterschieden?
Ein Bewusstsein für die notwendigen technischen Änderungen bzw. gar eine Entwicklung der fehlenden technischen Lösungen findet bislang nicht statt. Der Fokus der Unternehmen liegt derzeit auf der Schaffung der betrieblichen Datenschutzbeauftragten, sowie der Fortbildung der HR- und Rechts-MitarbeiterInnen. Auch dies ist der bislang fehlenden Kommunikation bzw. Druck von Seiten der Gesetzgebung zu schulden.
Die Angst, sich mit der DS-GVO hier aus einem Wachstumsmarkt zu verabschieden, wird vor allem von den zu erwartenden Verlierern dieser Gesetzgebung (Datenhändler, Adressverlage, ...) kommuniziert.
Fehlende positive Auswirkungen auf Innovation stammen aus unserer Sicht auch daher, dass bislang kaum Unternehmen DS-GVO spezifische Lösungen anbieten oder entwickeln, was der fehlenden Kommunikation bzw. Druck von Seiten der Gesetzgebung zu schulden ist.
Aus unserer Sicht darüber hinaus Handel (on- und offline), e-Government und alle anderen Breiche des öffentlichen und privaten Lebens.
Bessere Einsicht in ablaufende Prozess war schon immer ein Vorteil. Die so genannte "Digitalisierung" ermöglicht lediglich das Sammeln und Auswerten von wesentlich mehr Daten in immer kürzerer Zeit.
"Recht auf Löschung", nicht "Recht auf Vergessen"
Gerade die Verwendung der Daten birgt grosses Potential für Vor- aber insbesondere auch Nachteile für Betroffene. Wenn z.B. korrellierte Daten oder durch Machine-Learning gewonnene "Erkenntnisse" automatisierten Einfluss auf Entscheidungen haben, wie z.B. Preise für Dienstleistungen, Gewährung von Krediten uder Versicherungspolizzen oder Verweigerung von Vertragsformen.
Wenn ein Unternehmen den Nutzen einer Anwendung nicht auch auf der Basis "fremder" Daten vermitteln kann, wird das auch nicht mit den "eigenen" Daten funktionieren.
Wir begrüßen diese Entwicklung.
Das wäre ein Beispiel für den in P14 angesprochenen "Markt für Datenschutztechnologien", der sich entwickeln wird.
Begrüßenswert wäre hier die Schaffung eines europäischen Standards für maschinenlesbare Data Mining Verfahren, udgl. . Dies würde auch zu einem weiten Feld an Drittlösungen (Apps, Bots, ...) führen, mit deren Hilfe BürgerInnen die Kontrolle der Verarbeitung automatisieren bzw. vereinfachen könnten.
Für eine informierte Entscheidung zur Einwilligung ist das Wissen um die "Data Mining Verfahren" relevant. Ev. wollen die BenutzerInnen auf Basis dieser Verfahren ihre Geschäftsbeziehung zu dem Diensteanbieter ändern, ....
Der Ansicht, dass die "Anonymisierungsmethode" nicht angegeben werden sollte, können wir uns nicht anschließen. Für eine informierte Entscheidung, ob die Daten durch den Algorithmus zu einem bestimmten Zeitpunkt noch ausreichend "anonymisiert" sind, ist das Wissen um die "Anonymisierungsmethode" relevant. Ev. wollen die BenutzerInnen auf Basis dieser Methode ihre Geschäftsbeziehung zu dem Diensteanbieter ändern, .... Zum Beispiel, wenn die "Anonymisierungsmethode" des Diensteanbieters nicht mehr "State of the Art" ist.
Wie bereits zuvor ausgeführt. Der angesprochene "Informationsverlust" ist von Sinn und Zweck der Analyse abhängig und kann gewünscht bzw. für die Anwendung irrelvant sein.
Uns erschließt sich hier nicht der Unterschied zwischen den zwei Möglichkeiten. "Data Mining" Algorithmen" können auch auf anonymisierte Daten angewendet werden. Hier sollte die Formulierung überarbeitet werden
Falscher kommentar.
Dies zu erreichen war Sinn und Zweck der DS-GVO. Wir begrüßen diese Entwicklung ausdrücklich.
Nachdem eine Anlyse der nicht-funktionalen Aspekte momentan noch nicht möglich ist, sollte dieser Punkt einfach gestrichen werden.
Wenn der Zugang zu personenbezogenen Daten über "eine Blockchain" gemanaged und geloggt werden soll, fallen damit personenbezogene Daten der zugreifenden Personen an. Nachdem in einer Blockchain per se nichts gelöscht werden kann, widerspricht dieser Einsatz der DS-GVO.
Ahh. Endlich "Blockchain". Ohne geht ja momentan kein Text raus.
Die Erfahrungen mit "Vertrauensdiensteanbietern" wie der A minus Trust lassen uns derartige Konstrukte mit einem sehr unangenehmen Beigeschmack beurteilen.
Das würde implizieren, dass es wieder eine oder mehrere "zentrale" Drittorganisationen gibt, denen die BenutzerInnen zusätzlich Zugriff auf personenbezogene Daten erlauben muss, damit die Konformität der Datenverarbeitung attestiert werden kann? Das kanns ja nicht sein.
Die beschriebenen Eigenschaften sind aus unserer Sicht aber für ein DS-GVO konformes System unabdingbar.
Dieser Absatz ist für jemanden, der nicht täglich mit dieser Materie vertraut ist, unverständlich. Was ist diese Transparenzschicht, wo wird diese definiert?
Artikel 4 der DS-GVO "Begriffsbestimmungen definiert „personenbezogene Daten“ aus unserer Sicht bereits recht gut. Standard-Schemata sind eine begrüßenswerte Hilfestellung entbinden einen Diensteanbieter aber nicht von der Pflicht, sich genau zu überlegen, welche personenbezogenen Daten er nun tatsächlich erheben und verarbeiten muss. Dies kann nicht verallgemeinert werden, sondern muss von den Diensteanbietern von Fall zu Fall betrachtet und entschieden werden.
Das Recht auf Vergessen/Datenlöschung steht im Widerspruch zur Pflicht, Geschäftsdaten aufzuheben. Uns fehlt eine Klärung hierzu (zumindest haben wir noch keine Erläuterung gefunden, ob ein Recht auf komplette Löschung dadurch aufgehoben wird). Eine Klarstellung, welche Daten aus Geschäftsvorfällen auf Verlangen gelöscht werden müssen und welche aufbewahrt werden dürfen oder müssen fehlt.
Die Führung eines Audit-Logs, auf das nur ein spezieller Personenkreis zugriff hat, etc. wäre technisch durchaus möglich und auch entsprechend für die Zustimmung und Transparenz kommunizierbar. Damit wäre die "Löschung" im täglichen Betrieb, ... durchgeführt, eine Nachvollziehbarkeit im Rahmen eines Audits durch speziell ermächtigte Personen aber (protokolliert und an den Dateninhaber kommunizierbar) gewährleistet.
Erneut "Recht auf Löschung", nicht "Recht auf Vergessenwerden"
Hier wären aber auch Interessensvertretungen, BMVIT, DSB und RTR gefragt, entsprechende Guidance anzubieten bzw. Rahmenbedingungen zu definieren. Insbesondere, was die lesbarkeit und Verständlichkeit sowie Barrierearmut (einfache Sprache, ...) betrifft.
Das wäre ein Beispiel für den in P14 angesprochenen "Markt für Datenschutztechnologien", der sich entwickeln wird.
Begrüßenswert wäre hier die Schaffung eines europäischen Standards für maschinenlesbare Verarbeitungsschritte, udgl. . Dies würde auch zu einem weiten Feld an Drittlösungen (Apps, Bots, ...) führen, mit deren Hilfe BürgerInnen die Kontrolle der Verarbeitung automatisieren bzw. vereinfachen könnten.
Hier wären aber auch Interessensvertretungen, BMVIT, DSB und RTR gefragt, entsprechende Guidance anzubieten bzw. Rahmenbedingungen zu definieren.
Das wäre ein Beispiel für den in P14 angesprochenen "Markt für Datenschutztechnologien", der sich entwickeln wird.
Problematisch ist diese Thematik vor allem bei "kleinen" Datensätzen, wie sie bei österr. KMUs vermutlich auftreten werden. Hier wären zusätzliche Hilfestellung, Standards, vortlaufende Zertifizierungen und Überprüfungen (Stichproben) etc. dringend notwendig, damit die Unternehmen hier die "richtigen" Maßnahmen setzen und es nicht zu einer Pseudonymisierung kommt.
Hier wären aber auch Interessensvertretungen, BMVIT, DSB und RTR gefragt, entsprechende Guidance anzubieten bzw. Rahmenbedingungen zu definieren.
Das wäre ein Beispiel für den in P14 angesprochenen "Markt für Datenschutztechnologien", der sich entwickeln wird.
Problematisch ist diese Thematik vor allem bei "kleinen" Datensätzen, wie sie bei österr. KMUs vermutlich auftreten werden. Hier wären zusätzliche Hilfestellung, Standards, vortlaufende Zertifizierungen und Überprüfungen (Stichproben) etc. dringend notwendig, damit die Unternehmen hier die "richtigen" Maßnahmen setzen und es nicht zu einer Pseudonymisierung kommt.
Das ist eine Verallgemeinerung, der wir so nicht zustimmen können. In vielen Fällen (z.B: SmartCity, Verkehrsaufkommen, ...) ist der Informationsgehalt "anonymer" Daten für den Anwendungszweck (Verkehrsplanung) vollkommen ausreichend. Hier muss stärker differenziert werden.
Siehe dazu auch die Vorträge und Workshops von Philipp Schaumann im Rahmen der PrivacyWeek 2017 .
Siehe dazu auch die Vorträge und Workshops von Philipp Schaumann im Rahmen der PrivacyWeek 2017 .
Spannend in diesem Zusammenhang ist auch der derzeitige Hype nach "Blockchain" Lösungen, den die österreichische Bundesregierung auch forciert. Hier kann technisch nicht gelöscht werden, was "Blockchain" für viele Anwendungen aus Sicht der DS-GVO unbenützbar macht.
Auch dieser Punkt fokusiert sich (leider) noch immer viel zu sehr auf den technischen Aspekt des Löschens von Daten, die in einer Datenbank gespeichert werden. Backups, "Cloud Daten", etc. werden nicht addressiert.
Auch dieser Punkt fokusiert sich (leider) noch immer viel zu sehr auf den technischen Aspekt des Löschens von Daten, die auf einer Festplatte gespeichert werden/wurden. Backups, logisches Löschen (siehe P 32 und P 33) werden zwar angesprochen, aber Themen wie "Cloud Daten" (P34, P35) werden noch immer nicht addressiert.
Wie definieren sich "sensitive Datenströme" bzw. sensiblen Daten" gemäß DS-GVO, ...?
Das wäre ein Beispiel für den in P14 angesprochenen "Markt für Datenschutztechnologien", der sich entwickeln wird. * Hier ergeben sich viele, auch fakultätsubergreifende, Forschungsfelder.
Die aufgeworfenen Fragestellung sind allerdings valide.
Hier erschließt sich uns nicht, wie die Autorinnen vom Thema "Recht auf Löschung" auf einmal zu sensitiven Datenströme kommen. Dieser Sprung ist nicht nachvollziehbar und würde eher in den Bereich "1.1.3 Anonymisierung passen.
Das wäre ein Beispiel für den in P14 angesprochenen "Markt für Datenschutztechnologien", der sich entwickeln wird. * Hier ergeben sich viele, auch fakultätsubergreifende, Forschungsfelder.
Die aufgeworfenen Fragestellung sind allerdings valide.
Hier erschließt sich uns nicht, wie die Autorinnen vom Thema "Recht auf Löschung" auf einmal zu Sensordaten kommen. Dieser Sprung ist nicht nachvollziehbar und würde eher in den Bereich "1.1.3 Anonymisierung passen.
Die aufgeworfenen Fragestellung sind allerdings valide.
Hier erschließt sich uns nicht, wie die Autorinnen vom Thema "Recht auf Löschung" auf einmal zum k-Anonymitäts Datenschutzmodell und anonymisierten Datensätzen kommen. Dieser Sprung ist nicht nachvollziehbar und würde eher in den Bereich "1.1.3 Anonymisierung passen.
Wie bereits in den Punkten 32 bis 35 ausgeführt, fokusiert sich dieser Breich (leider) zu sehr auf den technischen Aspekt des Löschens von Daten, die auf einer Festplatte gespeichert werden/wurden.
Auch dieser Punkt fokusiert sich (leider) zu sehr auf den technischen Aspekt des Löschens von Daten, die auf einer Festplatte gespeichert werden/wurden. Wesentlich relevantere Aspekte werden leider nicht angesprochen: + Siehe P 32 + Siehe P 33 + Wie wird mit Backups auf Tape umgegangen? + Treffen die Ausführungen auch auf Daten zu, die auf SSD bzw. Tape oder "in der Cloud" gespeichert werden? ;)
Auch dieser Punkt fokusiert sich (leider) zu sehr auf den technischen Aspekt des Löschens von Daten, die auf einer Festplatte gespeichert werden/wurden. Wesentlich relevantere Aspekte werden leider nicht angesprochen: + Siehe P 32 + Siehe P 33 + Wie wird mit Backups auf Tape umgegangen? + Treffen die Ausführungen auch auf Daten zu, die auf SSD bzw. Tape oder "in der Cloud" gespeichert werden? ;)
Auch dieser Punkt fokusiert sich (leider) zu sehr auf den technischen Aspekt des Löschens von Daten, die auf einer Festplatte gespeichert werden/wurden. Wesentlich relevantere Aspekte werden leider nicht angesprochen: + Siehe P 32 + Wie wird mit Backups auf Tape umgegangen? + "Cloud Speicher" + Daten werden heutzutage auf SSDs zumindest zwischengespeichert + RAM Caches bzw. In-Memory Datenbanken
"Recht auf Löschung", nicht "Recht auf Vergessen"
Wie ist "Cloud Speicher" in dieser Spannungsfeld zu beuurteilen, u.a. wenn sich dieser physikalisch nicht im EU-Raum befindet oder einer außereuropäischen Rechtssprechung unterworfen ist?
Es gibt derzeit keine Instanz, welche über das rechtliche Portfolio und die finanziellen und personaltechnischen Mittel hätte, diese Löschungen auch zu kontrollieren.
Bei Boinitätsauskunftsdiensten, ... wird eine (logische) Löschung gemäß §27 DSG2000 (widerwillig) durchgeführt, der Datensatz aber entsprechend markiert ("Löschung durch Kunde/Kundin gemäß DSG2000" oder ähnlichem). Damit entsteht aber auch wieder Informationsgehalt ("hat etwas zu verbergen"). Hier müssten die Betreiber der Datenanwendungen zu einer restlosen Löschung angehalten werden.
Müsste eine Löschung auch in archivierten Daten bzw. Backups (Tape) durchgeführt werden. Bereits hier gab und gibt es beispielsweise Probleme mit Löschungen gemäß §27 DSG2000, die nach dem betriebsnotwendigen einspielen eines Backups, quasi rückgängig gemacht wurden, weil der Betreiber der Datenanwendung diesen Usecase nicht berücksichtigt hatte.
Dieser und die folgenden Punkte fokusieren sich (leider) zu sehr auf den technischen Aspekt des Löschens von Daten, die auf einer Festplatte gespeichert werden/wurden. Wesentlich relevantere Aspekte werden leider nicht angesprochen.
Schade, dass hier die Zeit seit 2016 nicht genutzt wurde, die Forschung voran zu bringen.
Das wäre ein Beispiel für den in P14 angesprochenen "Markt für Datenschutztechnologien", der sich entwickeln wird. * Hier ergeben sich viele, auch fakultätsubergreifende, Forschungsfelder.
Begrüßenswert wäre hier die Schaffung eines europäischen Standards für maschinenlesbare Einwilligungen bzw. Verarbeitungsschritte, Nutzungsszenarien und Kategorien. Dies würde auch zu einem weiten Feld an Drittlösungen (Apps, Bots, ...) führen, mit deren Hilfe BürgerInnen Einwilligungen automatisieren bzw. vereinfachen könnten.
Das wäre ein Beispiel für den in P14 angesprochenen "Markt für Datenschutztechnologien", der sich entwickeln wird. * Hier ergeben sich viele, auch fakultätsubergreifende, Forschungsfelder.
Begrüßenswert wäre hier die Schaffung eines europäischen Standards für maschinenlesbare Einwilligungen bzw. Verarbeitungsschritte, Nutzungsszenarien und Kategorien. Dies würde auch zu einem weiten Feld an Drittlösungen (Apps, Bots, ...) führen, mit deren Hilfe BürgerInnen Einwilligungen automatisieren bzw. vereinfachen könnten.
Das wäre ein Beispiel für den in P14 angesprochenen "Markt für Datenschutztechnologien", der sich entwickeln wird. * Hier ergeben sich viele, auch fakultätsubergreifende, Forschungsfelder.
Die Panik einger DS-GVO Gegner, dass diese "informierte Einwilligung" nie korrekt umgesetzt werden kann und Unternehmen aufgrund des möglichen Strafmaßes in den Ruin getrieben werden, teilen wir nicht. Selbst wenn Unternehmen diesbezüglich geklagt werden - was bei komplexen Themen wie diesem durchaus möglich ist - gehen wir davon aus, dass die Richterschaft die Strafen mit Augenmaß und verantwortungsvoll verhängen wird. Die oft zitierten Strafen in der Höhe von von 4% des Umsatzes oder maximal €20 Millionen stellen das OBERE ENDE des Strafmaßes dar.
Die Möglichkeit, die Einwillgung jederzeit anzupassen oder zu widerrufen sollten die Probleme der "informierten Einwilligung" etwas abdämpfen.
Hier wären aber auch BMVIT, DSB und RTR gefragt, entsprechende Guidance anzubieten bzw. Rahmenbedingungen zu definieren.
Das wäre ein Beispiel für den in P14 angesprochenen "Markt für Datenschutztechnologien", der sich entwickeln wird.
Dieser Absatz liest sich wie ein Wunschzettel der Interessenvertretungen. Es fehlt ein Absatz, der dem Wunsch nach einer breiten Einwilligung zur Entwicklung neuer Dienste die Abwägung mit den Privatsphäre-Interessen der BürgerInnen entgegenstellt.
Hier wären aber auch Interessenvertretungen, BMVIT, DSB und RTR gefragt, entsprechende Guidance anzubieten bzw. Rahmenbedingungen zu definieren.
Das wäre ein Beispiel für den in P14 angesprochenen "Markt für Datenschutztechnologien", der sich entwickeln wird. * Hier ergeben sich viele, auch fakultätsubergreifende, Forschungsfelder.
Hier muss sichergestellt werden, dass die für die nachträgliche Kommunikation erhobenen Kontaktdaten auch nur für diese Zwecke verwendet werden.
Sehr dafür! * Das wäre ein Beispiel für den in P14 angesprochenen "Markt für Datenschutztechnologien", der sich entwickeln wird.
Sehr dafür! * Das wäre ein Beispiel für den in P14 angesprochenen "Markt für Datenschutztechnologien", der sich entwickeln wird. * Hier ergeben sich viele, auch fakultätsubergreifende, Forschungsfelder.
Das wäre ein Beispiel für den in P14 angesprochenen "Markt für Datenschutztechnologien", der sich entwickeln wird.
Sehr dafür!
Hier wäre es wünschenswert, wenn der Gesetzgeber Empfehlungen und Vorschriften hinsichtlich der Einschränkungen der Dienstleistungen vorgibt, wenn BenutzerInnen die Einwilligung nicht erteilen. Es kann gesellschaftlich nicht wünschenswert sein, dass mensch sich Privatsphäre "leisten können" muss. Eine Dienstleistung darf BürgerInnen nicht vorenthalten oder teurer gemacht werden, wenn sie der Erfassung und/oder Weitergabe personenbezogener Daten nicht zustimmen.
Im Mai 2016 wurde die EU Datenschutz-Grundverordnung im EU-Amtsblatt veröffentlicht, am 25. Mai 2016 ist sie in Kraft getreten. Die Übergangsfrist für Unternehmen endet am 25. Mai 2018. Wir fragen uns hier schon, warum diese wichtigen und guten Fragen erst im September 2017 gestellt werden.
Wie bereits ausgeführt: // für die Datenlöschung sollten Unternehmen gemäß §27 DSG2000 bereits Lösungen haben // Anonymisierung ist schwer - hier müssen enstprechende Hilfestellungen, Best-Practices, Dienstleistungen, Standards und damit auch Zertifizierungen, ... angeboten werden // Das "Recht auf Vergessen" ist ein sehr schlechter Begriff. Kirsten Fiedler von der Datenschutz NGO EDRI hat die Probleme bereits für Netzpolitik.org zusammengefasst: Artikel 17 der DS-GVO hat als primären Namen auch "Recht auf Löschung", was aus unserer Sicht auch mehr Sinn ergibt.
Vermutlich "werden auf ihre technischen Implikationen" anstelle von "wurden auf ihre technischen Implikationen"
Der letzte Absatz ist leider zu wahr.
Diese Frage stellt sich unserer Meinung nach nicht. Die DS-GVO ist geltendes europäisches Recht, dessen ÜBERGANGSFRIST im Mai 2018 endet. Daher haben die Unternehmen gar keine andere Wahl, als neue Angebote, Business Modelle und Technologien entwickeln, die sowohl die regulatorischen Vorgaben als auch die Unternehmensziele erfüllen.
Die "regulatorischen Vorgaben" entsprechen aus unserer Sicht den "Wünschen der AbnehmerInnen". Hier sind vermutlich die Unternehmensinteressen bzw. Unternehmensziele gemeint.
Den Vergleich mit dem Umweltgesetzgebung können wir nur unterstreichen. Die DS-GVO eröffnet neue Möglichkeiten.
Wie man bereits öfter bei der Digitalisierung erkennen konnte, schaltet diese überflüssig gewordene Mittelsmänner und Zwischenhändler aus. Wenn aufgrund der DS-GVO einige Datenhändler ihre Unternehmen schließen müssen, sehen wir das als positiven Nebeneffekt für die Gesellschaft. Die wenigen Arbeitsplätze, die dadurch verloren gehen, werden durch das Potential der neu geschaffenen (Datenschutbeauftragte, Anonymisierungs-Experten, ...) aus unserer Sicht mehr als aufgefangen.
Die europäischen und österreichischen Gesetzgeber sind hier gefragt, einen Interessensausgleich zwischen den Interessen der Bürgerinnen und Bürgern auf der einen Seite und den Unternehmen und deren Risikoevasion auf Basis von "Big Data" auf der anderen Seite zu schaffen. Kritik bzw. lauter Widerspruch zur Umsetzung der DS-GVO in ihrer derzeitigen Form kommt primär von Unternehmen, deren Geschäftsmodell auf dem Handel von Daten beruht, die entweder sowieo öffentlich oder in einem rechtlichen Graubereich entstanden sind. Dass diese Unternehmen ein Problem mit der DS-GVO haben ist verständlich, sollte die Gesetzgeber aber nicht davon abhalten, die DS-GVO wie geplant umzusetzen.
In den USA, und mittlerweile auch schon in Europa (Schufa-Auskunft Deutschland; KSV1870, Compass et.al in Österreich) hat der geringe Datenschutz dazu geführt, dass bestimmte Gesellschaftsgruppen am Wohlstand, technologischen Fortschritt und dem gesellschaftlichen Leben nur noch bedingt teilhaben können. Wenn Internetzugang, Mobilfunk-Vertrag oder der Kredit für beispielsweise Wohnungseigentum aufgrund von nicht rechtmäßig erhobenen bzw. gespeicherten Zahlungsinformationen (verjährte Konkurse, ....) nicht leistbar oder beziehbar sind, wird das zum gesellschaftlichen Problem. Ebenso, wenn die verpflichtende Versicherungsdienstleistung teurer wird, wenn man personenbezogene Gesundheitsdaten nicht "freiwillig" preis gibt (SVA-Versicherung) oder die Auto-Haftpflichtversicherung billiger wird, wenn mensch sich von der Versicherung tracken lässt oder bestimmte "problematisch" Gegenden nicht befährt.
Der Blick in die USA ist, nicht zuletzt aufgrund der Dominanz der Social Media und E-Commerce Anbieter aus dieser Region, nachvollziehbar aber nicht begrüßenswert. Das Selbstbewusstsein "der EU" und damit auch Österreichs muss stark genug sein, um sagen zu können, dass wir hier nicht einer Herunternivellierung der hohen Datenschutzniveaus Europas tatenlos zusehen.
Das Recht auf Vergessen/Datenlöschung steht im Widerspruch zur Pflicht, Geschäftsdaten aufzuheben. Uns fehlt eine Klärung hierzu (zumindest haben wir noch keine Erläuterung gefunden, ob ein Recht auf komplette Löschung dadurch aufgehoben wird). Eine Klarstellung, welche Daten aus Geschäftsvorfällen auf Verlangen gelöscht werden müssen und welche aufbewahrt werden dürfen oder müssen fehlt.
Eine rechtlich korrekte Löschung widerspricht unserer Meinung nach nicht der Forderung nach Transparenz. Rechtlich ordnungsgemäß abgewickelte Löschungen, wie beispielsweise Konkurse, verjährte Strafdaten, Adressen udgl. im Rahmen eines häuslichen Disputs, usw. haben gelöscht zu werden und dürfen nicht wie ein Damoklesschwert für den Rest ihres Lebens über den Betroffenen schweben.
Die Strafen in der Höhe von 4% des Umsatzes oder maximal €20 Millionen begrüßen wir. Diskussionen in der Vergangenheit haben gezeigt, dass erst dieses Strafmaß die Unternehmen dazu "motiviert" sich mit dem Thema auseinanderzusetzen. Wir gehen davon aus, das die österr. RichterInnenschaft im Rahmen ihrer Tätigkeit diese Strafen verantwortungsvoll verhängt.
Spannend ist in diesem Kontext auch der aktuelle Blockchain-Hype, wo konzeptbedingt keine Daten gelöscht werden können.
Technisch müssten Unternehmen, Behörden, ... die technischen Voraussetzungen für eine Löschung, Richtigstellung bereits aufgrund §27 DSG2000 geschaffen haben. Dies kann nicht als ein Argument für Übergangsfristen, etc. .... herangezogen werden.
Etwaige Tatbestände, die über die in der bestehenden Rechtssprechung hinaus gehen, hätten im Rahmen einer korrkten Umsetzung der DS-GVO in österreichisches Recht klar definiert werden können. Hier hat die österr. Bundesregierung mit Ihrer Husch-Pfusch Aktion leider mehr Schaden als Nutzen angerichtet.
Das "Recht auf Vergessenwerden", das in der EU als "Suchmaschinen zeigen bestimmte Treffer nicht an" exekutiert wird, erachten wir als nicht sinnvoll. Fehlerhafte Angaben, Aussagen, personenbezogene Daten, udgl. können bereits auf Basis der aktuellen Gesetzgebung (Urheberrechtsgesetz, Mediengesetz, Strafgesetzbuch, ...) an der Quelle gelöscht werden, wenn ein Rechtsanspruch besteht. Mit den "Recht auf Vergessenwerden" wird eine weitere potentielle Zensur-Infrastruktur aufgebaut, was wir ablehnen.
Das wichtige Recht auf Richtigstellung oder Löschung personenbezogener Daten besteht in Österreich bereits seit Etablierung des DSG2000 (§27).
Es fehlt eine Kontrollinstanz, die auf Zuruf bzw. stichprobenartig die Anonymisierungsmethoden der Unternehmen auf Wirksamkeit, ... kontrolliert (der Datenschutzbehörde fehlen dazu derzeit die Mittel, ...)
Pseudonymisierung kann hier keine Lösung sein.
Problematisch erscheint uns hier, dass das Wissen rund um eine korrekte Anonymisierung bei (österreichischen) Unternehmen derzeit quasi nicht gegeben ist. Hier handelt es sich um ein durchaus problematisches Themenfeld mit einigen Fallstricken, die es ermöglichen, aus "anonymisierten" Daten sehr wohl wieder auf einzelne Personen oder Personengruppen zurückzuschließen. Siehe dazu auch die Vorträge und Workshops von Philipp Schaumann im Rahmen der PrivacyWeek 2017 . Auch Erich Neuwirth kann dazu sicherlich einiges Beitragen.
Dass sich aufgrund der DS-GVO Datenhändler und Sammler - also quasi mittlerweile jedes Unternehmen - bereits im Vorfeld überlegen müssen, welche Daten sie denn nun sammeln wollen (je mehr, desto mehr Aufwand) und was sie mit diesen Daten machen wollen, begrüßen wir ausdrücklich.
Danke für die klaren Worte - schön so etwas auch mal aus einem Ministerium zu hören
Ev. wäre hier noch herauszustreichen, dass sich die DS-GVO nicht ausschließlich auf "Big Data", sondern auf alle Anwendungen erstreckt, welche Daten erheben und speichern.
Fantasien", nicht "Phantasien" ;)
Die Möglichkeit, aus den gesammelten Daten, neue Erkenntnisse und Verbesserungen für die Gesellschaft zu generieren, erachten wir prinzipiell positiv und begrüßenswert. Dabei müssen allerdings die Daten und Privatsphäre der Einzelnen geschützt und geachtet, das Prinzip der Datensparsamkeit weiterhin eingehalten und Rückschlüsse auf einzelne Personen oder Personengruppen unterbunden werden.
"und produzieren dabei große Datenmengen ..." würden wir in "und produzieren dabei Daten ..." umformulieren. "Groß" ist sehr relativ.
Aus unserer Sicht ist der Fokus auf die Produktions- und Vertriebsprozesse mit dem Marketingbegriff aus der deutschen Industrie (Industrie 4.0) nicht weitreichend genug. Die Erfassung der Daten ist wesentlich weitreichender und wird durch die verschiedensten "Internet of Things" (IoT) Lösungen noch voran getrieben. Im Off/Online-Handel (Retail) genauso, wie beispielsweise in der Verwaltung oder im medizinischen Bereich. Aber auch im Privaten (Smart Home, Ambient Assisted Living, Smart-Meter, Fitness-Tracker, Versicherungen) oder im öffentlichen Raum (Video-Maut, Stauüberwachung, Smart City) schreitet die Datensammlung rasant voran.
nicht nur das Verhalten von Personen, sondern auch Dingen (Internet of Things) und Prozessen (LoRaWan Netze für Sensoren in Landwirtschaft, Wetter, ...) kann immer leichter erfasst werden * nicht nur wirtschaftliche und technische Vorgänge, sondern auch soziale, politische und Verwaltungsabläufe - also quasi alle Bereiche des täglichen Lebens, können mit immer weniger Aufwand "digital" abgebildet werden.
es ist nicht so sehr die Digitalisierung per se, sondern die kontinuierlich sinkenden Kosten (Moore's Law), Daten über Personen, Prozesse und Dinge aufzubewahren und auszuwerten.
Die erste Waschmaschine mit Mikroprozessor wurde in Deutschland 1974 von Miele auf den Markt gebracht. Die Digitalisierung hat also bereits in der Vergangenheit viel verändert und wird dies auch in der Zukunft noch tun.
Ansonsten "FULL ACK"
Die Daten sind "schon immer" "entstanden", aber dank Moore's Law ist es mittlerweile quasi kostenlos, diese aufzuheben und technisch möglich, diese zeitnah zu analysieren.
prinzipiell ist die Aussage dieses Absatzes korrekt, es handelt sich dabei aber nicht um eine Grund, warum "Big Data ausgesprochen viel Aufmerksamkeit erhält"
"personenbezogene Daten", nicht "persönliche Daten"
Dieser Kommentar geht uns nicht weit genug. Der Schwerpunkt sollte hier nicht auf den Geheimdiensten und (US) Online-Diensten liegen, sondern Unternehmen generell und den in Österreich beheimateten insbesonders. Quasi jede größere "heimisch" Handelskette (REWE, McArthurGlen, ...) Verfolgt ihre Kunden in den "offline" Geschäften mittels Gesichts/Personenerkennung, WLAN- und Bluetooth Tracking oder anderen Mitteln und verknüpft diese Daten mit den "online" Personen, sobald diese mit Bankomat- oder Kreditkarte zahlen. Auch Versicherungen nutzen "Online-Mittel", um die von Ihnen versicherten Autos "offline" zu tracken und deren Besitzern für die Vermeidung von "bedenklichen" Gebieten pekuniäre Anreize zu bieten. Die Trennung von "offline" und "online" ist also schon lange gefallen. US-Internetriesen wie Amazon oder Facebook kaufen von Kreditkartenunternehmen Transaktionsdaten ihrer Kunden ein, um einen Einblick in deren "offline" Kaufverhalten zu bekommen. Oder bieten selbst Kreditkarten an, um einen besseren Einblick in das Kaufverhalten ihrer Kunden zu bekommen.
Hervorzheben ist auch die Verwendung der Datenbestände um automatisierte Entscheidungen zu treffen. Es wurden Berichte in der Presse veröffentlicht, nachdenen Personen ein Versicherungsvertrag aufgrund der Wohnadresse verweigert wurde (Korrelation von Riksiko und Adresse). Nicht nur die Datenverarbeitung sondern auch die Datenhörigkeit von Unternehmen ist eine Herausforderung.
Nur damit wir uns nicht missverstehen: Bei Big Data geht es natürlich um den Umfang von Daten. Es geht auch darum möglichst viele Daten breit verfügbar zu machen. Das ist nur der erste Schritt. Was wir daraus machen, dass ist die schwierige Sache. Wofür brauchen wir Daten? Wie analysieren wir diese? Geben wir anderen die Möglichkeit, unsere (belanglosen) Daten zu verwerten. Mir gings in erster Linie nur darum, dass wir diesen Nutzenfokus brauchen und auch erst verstehen müssen, was Daten denn sind.
Artikel 89: Garantien und Ausnahmen in Bezug auf die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken http://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DE
In diesem Abschnitt fehlt mir die Darstellung der methodischen Vorgehensweise. Man könnte z.B. Thesen aus Sicht der Stakeholder auflisten (User, Betreiber, öffentliche Hand, Gesellschaft, usw.). Und: für die Thesen würde es wohl auch grobe Zeiträume/Mengen brauchen. Zurzeit stehen sie eher generell im Raum ("je besser analysiert, desto höher der Wert" ...)
würde auch meinen, dass im derzeitigen Wording die Quantität im Vordergrund steht, es aber oft g'scheiter ist weniger und gute Daten zu haben als einfach "viele" Daten.
Siehe mein voriger Kommentar - "sensitive" oder "sensible" Daten iSd DSGVO ist nicht gleichbedeutend mit sensitiven Daten iS von Informationssicherheit oder personenbezogenen Daten "im allgemeinen".
Es gibt eine Reihe von bereits publizierten oder derzeit noch in Entwicklung befindlichen Frameworks zum Thema Datenschutz, Datenschutzrisikoanalyse und Datenschutzmanagement (ISO, ENISA, NIST, ...), die nicht nur auf spezifische Anwendungen wie RFID oder Cloud-Computing bezogen sind. Natürlich berücksichtigen diese auch oft nicht speziell DSGVO-Compliance, es sind aber auch keine DSGVO-Umsetzungsleitfäden, sondern eben - Frameworks.
Bei einer Auftragsverarbeitung (sprich Weitergabe von Daten an Dritte) dürfte ja auch der Verantwortliche selbst die Verarbeitung nur aufgrund von erlaubten Zwecken ausführen - und das bindet vertraglich den Auftragsverarbeiter. Somit wird es bei "üblichen" Verarbeitungsvorgängen (zB Personalverrechnung, Inkasso), wie auch bisher, solche vertragliche Regelungen geben, die eine Weitergabe oder zweckwidrige Verwendung der Daten durch den Verarbeiter untersagen. Art. 28 regelt die Stellung und die Verpflichtungen des Auftragsverarbeiters auch relativ genau - der Verantwortliche kann so zwar das Risiko für die Einhaltung bzw. den Betrieb von TOM an den Auftragsverarbeiter überbinden, aber nicht, dass die Verarbeitung aufgrund eines grundsätzlich legitimen Zweckes durchgeführt wird, der ja auch im Vertrag geregelt wird. Die Verantwortung (Haftung) ggüber einem geschädigten Betroffenen kann beide treffen. Das eröffnet sogar neue Geschäftschancen für Verarbeiter, die entsprechend Compliant auftreten.
Das "Verzeichnis der Verarbeitungstätigkeiten" nach Art. 30 ist nicht mehr öffentlich, aber für die Behörde jederzeit einsehbar. Da dort die Verarbeitungstätigkeiten relativ genau dokumentiert werden, es - zumindest derzeit - keine Standardanwendungen mehr gibt und zB auch TOM zur Absicherung der Verarbeitungsvorgänge beschrieben werden müssen, wäre eine Veröffentlichung im Hinblick auf Unternehmessicherheit wohl nicht zumutbar.
Dem Recht auf Vergessenwerden bzw. Löschung kann auch dort nicht gefolgt werden, wo andere Rechtspflichten oder die Interessen des Betroffenen - die evtl. von diesem selbst sogar anders bewertet werden - einer Löschung entgegenstehen (zB gesetzliche Aufbewahrungspflichten im Rechnungswesen oder in der Personalverwaltung, Amtswegige Verfolgung eines Rechtsanspruches).
Evtl. sollte der Begriff "Sensitive Daten" oder "Sensible Daten" iSd DSGVO näher erläutert werden, da er vom Verständnis "sensibler Daten" wie aus dem Zusammenhang der Informationssicherheit abweicht. (DSGVO Art. 9 - Besondere Kategorien von Daten = Sensible oder Sensitive Daten)
Die erwähnten Tools sind eher in dem Bereich Risikomanagement angesiedelt. Damit kann man auch Datenschutz-Risiken abbilden, als spezielle Form eines Unternehmensrisikos. Es gibt auch noch Datenschutzmanagement Tools, die bei der Umsetzung/Vorbereitung zur GDPR helfen können (zB. OneTrust, OTRIS).
p.s.: Eigentlich kompensieren solche tools zum Teil ja lediglich den Wegfall des DVR… haben wir in der Studie eigentlich schon irgendwo erwaehnt, dass dieser Wegfall vielleicht keine gute Idee ist/war? (Wodurch) wird das DVR nun eigentlich ersetzt? Wenn es keine einheitliche/standardisierten Prozesse gibt, wie die Verwendugn von personenbezogenen Daten zu erfolgen hat (das DVR hat da ja zumindest einen Mindest-Standard festegelegt und zumindest einen einheitlichen Zugang zu diesen minimalen Transparenzdaten ermöglicht), und die Dokumentation damit hier dann bedeutet der Wegfall ja de facto eine Verschlechterung, oder? Ich glaube, diese Befürchtung an mehreren Stellen schon in informellen Diskussionen gehört zu haben, habe es aber noch nicht in die offizielle Studie aufgenommen, da mir hier gute Quellen fehlen... waere hier fuer input dankbar!
Obwohl es noch keine Standard-Lösungen für die automatische Verwaltung einer Transparenzschicht im Sinne der DSGVO gibt, wie Sie hier im technischen Teil der Studie diskutiert werden, bestehen seht wohl einig europäische GRC (Governance, Risk, and Compliance Tools) die für Firmen-Assessments und Risiko-analyse verwendbar sind: · CRISAM von calpana business consulting (österreichisches Produkt aus Linz) https://www.crisam.net/de/crisam-datenschutz-management-system · Risk2Value von avedos (österreichisches Produkt aus Wien) http://www.avedos.com · HiScout (deutsches Produkt aus Berlin) https://www.hiscout.com/ · R2C_RM von Schleupen (deutsches Produkt): bildet grds. Funktionalität für Compliance Management / Risikomanagement ab , hat aber noch keinen spezifischen Inhalt für die GDPR https://www.schleupen.de/risikomanagement/software-loesungen/r2c-isms/ Die Einführung der DSGVO bietet zwar damit einen erweiterten Markt für solche Lösungen, aber bei Tools, die die technische Umsetzung der Transparenz und Compliance-Pflichten, bzw. die Automatisierung der Beantwortung von Datenherausgabe-Anfragen von Individuen ermöglichen, besteht nach wie vor eine Marktlücke.
Auch hier ist in der wissenschaftlichen Forschung, insbes. bei der Verwendung bestehender Bio-Datenbanken eine Ausnahmeregelung zu schaffen um für diese Rechtssicherheit zu schaffen und weitere Forschung nicht zu verhindern.
Hier muss es für die wissenschaftliche Forschung Ausnahmeregelungen geben. Es ist nicht möglich, für wissenschaftliche Forschung im Vorhinein den Verwendungszweck klar zu definieren. Forschung muss (!) immer Ergebnis-offen sein.
Big Data und die daraus resultierenden Möglichkeiten werden in einen rechtlichen Graubereich gedrängt. Die Verarbeitung von Big Data (=möglichst viele Daten) steht in potenziellem Konflikt mit dem Datenminimierungsgrundsatz der DSGVO
Ein ganz wesentlicher Aspekt ist die wissenschaftliche Forschung. Mit der derzeitigen Fassung der DSGVO sind insbes. die medizinische Forschung und Biodatenbanken, die ja unbestreitbar im öffentlichen Interesse stehen, massiv eingeschränkt bzw. tlw. sogar legal nicht mehr möglich. Es gab rund 130 Stellungnahmen zur DSGVO (öffentliche und nicht öffentliche) die deutlich die Be- und Verhinderungen aufgezeigt haben. Der Rat für Forschung und Technologieentwicklung hat eine Stellungnahme zur DSGVO bzw. DSAG (Datenschutz Anpassungs-Gesetz) verfasst, die unter http://www.rat-fte.at/tl_files/uploads/Stellungnahmen/170619_Stellungnahme_DSGVO_jr_final.pdf einsehbar ist. Hier die Bitte, dringend auch diesen Aspekt zu beleuchten!
Hier würde es sich anbieten, zu fragen, ob "personenbezogene Daten gezielt gesammelt werden?". Jedes Unternehmen, das Mitarbeiter hat, verarbeitet personenbezogene Daten.
Mit horizontaler Strategie ist eine Vorgangsweise gemeint, bei der die Maßnahmen über verschiedene Politikfelder hinweg koordiniert und aufeinander abgestimmt werden. Das ist das Gegenteil von Politiksilos, die wo nur für den eigenen Zuständigkeitsbereich gedacht und gehandelt wird - eine Vorgangsweise die verbreitet ist. Leider gibt es immer weniger Problem die man in einem Politiksilo wirklich lösen kann.
Was ist mit "stark politisch motiviert" gemeint?
Hier ist die Annahme, dass NutzerInnen nur sehr begrenzt nachvollziehen können was mit Ihren Daten passiert. Wüßten Sie, wie sich ihre Daten tatsächlich verbreiten, dann würde die Zustimmung seltener erteilt werden. Anders formuliert, wenn sie die Weiterverbreitung ausschließen können, weil sie dazu keine Zustimmung gegeben haben, dann sind sie wiederum bereit persönliche Daten zu übermitteln.
Merci!
Zentral verwaltet - Blockchain!?
Dies wird auch dadurch verstärkt, dass eine Nutzung des Services nur bei Einwilligung zur Weiterverwendung von persönlichen Daten möglich ist.
Schlussfolgerung: Es müssten sich innovative Businessmodelle im Bereich BigData entwickeln?
Man muss hier zwischen den Daten die automatisiert und den Daten die ein User selbst generiert (Kaufakt, Auskunft,...) unterscheiden!
Mit der Blockchain Technologie ist die physische Zerstörung von Datenträgern nicht notwendig um trotzdem eine endgültige Vernichtung der Daten zu erreichen. Hier sollte mehr geforscht werden!
Es wäre einmal Wert zu untersuchen, wieviel ein facebook- oder google-Nutzer für das konsumierte Service zahlen müsste, wenn die sekundären Einnahmen (Werbung, Datenanalyse, Unterstützung von diversen Organisation) komplett wegfallen würde. Gäbe es dann Nutzer, die das wirklich zahlen würden?
Welche "horizontalen Strategien" sind gemeint? Was bedeutet "horizontal" in diesem Kontext?
Diese Aussagen sind zu offensichtlich stark politisch motiviert; Belege oder Referenzen dazu wären hilfreich.
Es ist zu befürchten, dass dies Wunschvorstellung bleibt. Oder gibt es Beispiele wo diese "kleineren Mitberwerbern" nachhaltig gelungen ist?
Es ist zu bezweifeln, ob diese Aussage aufgrund empirischer Untersuchungen belegbar ist. Die Wachstumsraten bei Sozialen Medien (FB, Linkedin, Google etc.) und der Flut von apps auf mobilen Telefonen belegen, dass Anweder bereit sind, Dienste mit Informationen über sie und ihr Verhalten zu bezahlen.
Wenngleich es dialektisch zulässig ist, vermeintliche Nachteile als Herausforderungen zu betrachten, bedeutet dies, dass sich Europa damit aus einem Wachstumsmarkt verabschiedet.
Die Frage ist, ob unter dem Recht auf Vergessenwerden auch die Beiträge der Person zu bereits durchgeführten "Aggregaten" oder "Anonymisierungen" subsumiert ist.
Aggregation ist mit einem Informationsverlust verbunden. Dies trifft insbesondere auf Sentiment und Meinungsanalysen zu. Hier müsste im Zuge der Anonymiserung und Aggregation diese Sentimente und Meinungen aus den einzelnen Postings, e-mails, chats, etc. vorerst entnommen und in der Folge zusammengefasst werden. Die Erstellung dieses Mehrwerts ist zur Zeit den großen US Firmen (Google, FB, ... ) vorbehalten.
Die Umsetzung dieser Bestimmung setzt voraus, dass sowohl der Lieferant der Daten, als auch der potentielle Nutzer a priori wissen, in welchem Kontext, für welche Analysen die Daten in Zukunft verwendet werden. Dies stellt eine wesentliche Einschränkung für europäische Unternehmen im Gegensatz zu anderen Wirtschaftsräumen dar.
Besser vielleicht, um das weniger misverstaendlich zu machen: "Außerdem sind etliche der beschriebenen Policy-Sprachen bereits in standardisierten und leicht erweiterbaren maschinenlesbaren Formaten wie RDF (Resource Description Framework), ein Standard format des World Wide Web consortium zum Austausch von maschinenlesbaren Metadaten) modelliert"
Stichwort Aggregierung: Im Kontext der Anonymisierung und Pseudonymisierung ist für die Zwecke von Big Data auch die Bedeutung der Bereitstellung aggregierter, nicht-personenbezogener Daten (für andere) zu unterstreichen. Idealerweise könnten Unternehmen aus freien Stücken durch die Bereitstellung dieser Daten einen Mehrwert für die Wirtschaft insgesamt schaffen, denn ein Unternehmen selbst weiss oft nicht welchen Wert Daten ansonsten für die Gesellschaft und andere haben.
Hier wird lediglich dem Begriff der Quantität Rechnung getragen. Dies ist einerseits korrekt um den Begriff zu umschreiben, aber es geht auch darum zu unterstreichen, dass es um die Wiederverwendbarkeit von Daten geht für die Analyse und zum Nutzen der Gesellschaft. Eventuell könnte man die gesellschaftliche Dimension noch stärker hervorbringen (Verkehr, Landwirtschaft, Gesundheit). Kleiner Exkurs zum Thema Daten als Rohöl bzw. zur Inspiration: Im Rahmen der Konferenz zur Datenfreizügigkeit am 17.7.2017 in Tallinn wurde unter anderem betont: Daten seien kein Öl, das nur einmal verbrannt werden könne, Daten werden reproduziert. Dies seien Begriffe aus der Vergangenheit. Man sollte also eher von Daten als wertvollem Rohstoff sprechen, der wiederverwendbar ist - oder von Daten als Währung. Auch um die Grenzenlosigkeit zu unterstreichen (korrekt erwähnt wird, dass Rohöl eine definitiv begrenzte Ressource ist). Vgl. Lisbon Council Policy Brief, Vol. 11, No. 1 (2017) http://www.lisboncouncil.net/publication/publication/143-a-new-framework-for-free-movement-of-data.html
Der wesentliche Vorteil von privacy bei Design bei Unternehmen ist, dass diese mittelfristig weniger angreifbar gegen Hacker-Angriffe und Daten-Leaks sind. Dies könnte ein starker Motivator für Unternehmen bei der Umsetzung sein.
Die Verarbeitungsvorgänge sollten den Kunden / Nutzern des Service in einer verständlichen Art erklärt werden (d.h. ohne Fachtermini), sodass ein normaler Nutzer die Gelegenheit hat, die Verarbeitung seiner Daten und die Folgen der Verarbeitung abschätzen zu können.
Was beobachtbar ist, dass Kunden - beginnend bei den Online-Zeitungen - verstärkt die Fair Use Abos zu nutzen beginnen, um nicht übermäßig mit Werbung überschüttet zu werden. Es wird jedoch noch eine Weile dauern bis Kunden für Nicht-Analyse / Nicht-Weitergabe zahlen.
Nach den ersten Erfahrungen der Dokumentation von Verabeitungsvorgängen sind diese nur in sehr wenigen Fällen für den nicht im Fachgebiet beheimateten Benutzer verständlich. Die Forderung nach der Dokumentation ist ein Mehrwert für das verarbeitende Unternehmen - das seine Verarbeitungsprozesse klar dokumentieren darf - aber weniger für den "Besitzer" der Daten.
Kann angenommen werden, dass es bei entsprechend großer Datenmenge einen Schwellenwert gibt, ab dem der Wert der Daten einen signifikanten Sprung nach oben macht? Könnte weiters angenommen werden, dass der Schwellenwert bei verschiedenen Datentypen (Bank-Transaktionen, Gesundheitsdaten, Kommunikationsdaten) unterschiedlich hoch ist?
Unter der Annahme, dass Unternehmen erst ab einer bestimmten Mindestanzahl von Kunden in den Bereich Big Data einsteigen, und dass es erst ab dieser Mindestanzahl für eine Firma interessant wird, diese Daten zu analysieren könnte man zu dem Schluss kommen, dass die Äquivalenzklassen ab dieser Mindestgröße auch entsprechend Vielfältig sind. Anonymisierung wird normalerweise nicht "geknackt", meine Empfehlung wäre weglassen dieses Gedankens.
Ist dies so? Wenn nur die personenbezogenen Daten pseudonymisiert werden, bleibt der wesentliche Informationsgehalt in den meisten Fällen vorhanden (Pattern für Deep Learning, u.ä)
Die Menge der Daten spielt hier auch eine Rolle. Wenn ein Unternehmen nur eine Handvoll Kunden hat, dann werden diese auch mit anonymisierten Daten zuordenbar sein. Erst ab einer gewissen Menge an Kunden und einer entsprechenden Verteilung der Transaktionsdaten (z.B. Bestellungen, Transaktionen, Chats etc.) lässt sich die angestrebte Anonymität wirklich erreichen.

MOST ACTIVE USERS

	C3W	167	106

schoenf

10

0

Rudolf Bauer

8

11

gse

6

2

	hanspfisterer	5	92

jdr

5

2

cbased office_Moderator

5

0

wulf

4

6

	martin.semberger	3	1

apollere@wu.ac.at

3

1

sr

2

1

eric.wagner@chello.at

1

2

	Andreas Ekelhart	1	2

H. Acker

1

0

schluppe

1

0

Johannes Gadner

0

34

	Thomartin	0	4

franzdornig

0

2

Andrea72

0

1

hannesleo

0

1