Forschungsdatenbank als "Datenschutzkatastrophe"
Die Regierung plant eine Datenplattform, die zahlreiche Daten von Bürgern bündelt und Institutionen für Forschungszwecke zur Verfügung stellt. Für die Datenschutz-NGO "Epicenter.works" ist das Vorhaben eine regelrechte "Datenschutzkatastrophe". Die Datenschutzexperten ortet im vorgelegten Gesetzesentwurf zur Registerforschung "gravierende Mängel aus Datenschutzsicht und das Risiko für den Missbrauch an einer enormen Menge an Daten über die gesamte Bevölkerung".
Diese Meldung wurde aktualisiert. Neu: Stellungnahme der Datenschutzbehörde (letzte zwei Absätze)
Am 10. August endet die Begutachtungsfrist für die Novelle, mit der das Bundesstatistikgesetz 2000 und das Forschungsorganisationsgesetz geändert werden sollen. Damit werde der langjährige Wunsch einiger Gruppen in der österreichischen Wissenschaftscommunity erfüllt, Zugriff auf staatliche Datenbanken (Registerdaten) zu bekommen. "Diese Änderung bedeutet einen grundlegenden Paradigmenwechsel im Umgang des Staates mit unseren Daten", warnte "Epicenter.works" am Mittwoch in einer Stellungnahme.
Kritik an mangelnder Anonymisierung
Mit dem Gesetz soll der Zugriff auf staatliche Register beim neu geschaffenen Austrian Micro Data Center (AMDC) gebündelt werden. "Leider versäumt der vorliegende Entwurf eine Sicherstellung der Anonymisierung der Daten, sowie die Unabhängigkeit und Transparenz der durchgeführten Forschungsvorhaben. Durch diese Reform entsteht an einer Stelle ein extrem eingriffstiefes Bild über die gesamte Bevölkerung", so die NGO.
So werden mit der Plattform alle Daten, die die Statistik Austria heute schon hat, geöffnet und mit Daten aus allen anderen staatlichen Registern, die durch Verordnung des zuständigen Ministeriums freigegeben wurden, verbunden. Personenbezogenen Daten würden dabei unzureichend anonymisiert.
Das Gesetz lege zudem nahe, dass auch Banken oder Ministerien zugriffsberechtigt sein könnten. Es fehle die Sicherstellung, dass nur anerkannte Forschungsinstitutionen, unabhängig von wirtschaftlichen Interessen, Zugriff auf die Daten bekommen, warnt "Epicenter.works". So hätte etwa die Lobbyorganisation Agenda Austria Zugriff. Zudem gebe es in dem Gesetz keine Einschränkung auf in Österreich ansässige Einrichtungen. Weiters können die Daten, sobald jemand einmal Zugriff bekommen hat, auch für andere Untersuchungen, abseits des eingereichten Forschungsvorhaben, verwendet werden. Es gebe kein unabhängiges Fachgremium zur Prüfung von Forschungsvorhaben, sowie zur Prüfung vor Zugriffsberechtigung von weiteren Einrichtungen.
Statistik Austria als einzige Kontrollinstanz
Die einzige Kontrollinstanz bei Missbrauch der Daten sei die Statistik Austria, die keine Berichtspflichten habe, keinen Zwang zu handeln und für die der Zugriff auf Daten mittels Austro Micro Data Center eine Geldquelle sei. Protokollpflichten beim Zugriff auf die Daten würden damit abgebaut, anstatt intensiviert zu werden. Unternehmensdaten gelten als schützenswerter, als der Schutz personenbezogener Daten. "Forschung ist wichtig. Sich das Deckmäntelchen der Forschung anzulegen, um unkontrollierten Zugang zu sensiblen Daten der Verwaltung zu bekommen, ist es nicht", kritisieren die Datenschützer. "Epicenter.works" nominierte Kanzler Sebastian Kurz (ÖVP) wegen des Gesetzes für den Big Brother Award.
Scharfe Kritik an dem geplanten Gesetze hatte kürzlich auch SPÖ-Datenschutzsprecher Christian Drobits gegenüber der APA artikuliert. Die SPÖ sieht bei dem Vorhaben noch viel Diskussions- und Verbesserungsbedarf. Der Gesetzesentwurf biete in seiner derzeitigen Form viele Missbrauchsmöglichkeiten, warnte auch Drobits.
Kritik auch von Datenschutzbehörde
Kritisch äußert sich in ihrer Stellungnahme zum Begutachtungsentwurf auch die Datenschutzbehörde. "Der vorliegende Entwurf zeigt exemplarisch das Spannungsverhältnis zwischen der Datenverarbeitung für statistische Zwecke und dem Schutz personenbezogener Daten auf." Die DSB kritisiert unter anderem, dass eine derart weitgehende Ermächtigung zum elektronischen Zugriff auf externe Datenbestände nicht bloß durch eine Verordnungsermächtigung gedeckt sein sollte. Vielmehr müsse bereits die gesetzliche Grundlage ausreichend präzise festlegen, unter welchen Voraussetzungen personenbezogene Daten überhaupt verarbeitet werden dürfen, wobei auch geeignete Garantien zum Schutz personenbezogener Daten vorzusehen wären. "Eine weitgehend pauschale Verordnungsermächtigung, gepaart mit nicht vorhandenen Einschränkungen zugunsten des Schutzes personenbezogener Daten", erfülle die Anforderungen der Datenschutzverordnung nicht.
Zudem fehlen jeglich Anforderungen für eine "Schnittstelle für den elektronischen Datenaustausch". Die DSB gibt zu bedenken, dass "jede Schnittstelle potenziell geeignet ist, von Externen kompromittiert zu werden und damit gleichsam als 'Einfallstor' genutzt werden kann, um Zugriff auf interne Datenbestände zu erlangen. Der Datenschutzbehörde ist aus ihrer Vollzugspraxis bekannt, dass diese Möglichkeit nicht nur eine theoretische, sondern eine praktisch relevante ist", warnen die Experten.