Wien. Daten sind das neue Gold. Und genau dieses neue Gold soll die neue Datenschutzverordnung, kurz DSGVO, seit 25. Mai besser schützen.

Betriebe und Institutionen müssen also ihre Kunden genau aufklären, welche Informationen gespeichert werden, was mit ihnen passiert und wer darauf zugreifen darf. Bürger haben damit ein Recht auf Auskunft und auf Löschung ihrer Daten. Können die Unternehmen diese Datensicherheit nicht gewährleisten oder verstoßen sie dagegen, drohen Strafen von bis zu vier Prozent des Unternehmensumsatzes oder höchstens 20 Millionen Euro.

Nicht ganz so streng nimmt es der Gesetzgeber bei der Forschung, genauer bei der sogenannten Registerforschung. Ab 2019 dürfen Forschungseinrichtungen nämlich einfacher auf personenbezogene Registerdaten von Behörden, zum Beispiel auf das Melderegister, zugreifen. Das soll Forschung und Entwicklung fördern und die Verknüpfung von Daten und deren Verarbeitung zu wissenschaftlichen Zwecken erleichtern.

Forschungseinrichtungen konnten auch bisher auf behördliche Daten zugreifen. Allerdings nur mit Einwilligung der Studienteilnehmer, einer eigenen Gesetzesgrundlage oder mittels Genehmigung der Datenschutzbehörde. Letztre hat das 2016 insgesamt 23 mal erlaubt.

Ab kommendem Jahr dürfen personenbezogene Daten aus Registern auch ohne expliziter Zustimmung der Betroffenen oder durch Prüfung der Datenschutzbehörde abgeschöpft werden, wenn sie "pseudonymisiert" sind. Also wenn zum Beispiel der Name durch eine Nummer oder einen Code ersetzt wird.

Anfrage zu Datensicherheit

"Das ist nicht genug", meint die Digitalsprecherin der Liste Pilz, Stephanie Cox. Diese schickt am heutigen Donnerstag dazu eine parlamentarische Anfrage an Wissenschaftsministerin Margarete Schramböck und Sozialministerin Beate Hartinger-Klein. "Je mehr Daten von uns gespeichert werden, desto gläserner werden wir", so Cox. Es reiche nicht, einfach den Namen einer Person zu Codieren. Man könne über eine Vielzahl anderer Verknüpfungen Rückschlüsse über die Identität machen. Konkret will die Liste Pilz von den zuständigen Ministerinnen wissen, wie man dem Problem einer möglichen Reidentifizierung trotz Verschlüsselung begegnet. Oder etwa ob Elga-Daten grundsätzlich für externe Forschungseinrichtungen tabu sein sollen.

Auch Andreas Krisch von der Datenschutzagentur sieht die sogenannte Pseudonymisierung von Daten kritisch. "Rein technisch ist die Pseudonymisierung schlechter als eine echte Anononymisierung", meint Krisch. Denn das Pseudonym sei irgendwo abrufbar und damit könne man auch keine vollständige Datensicherheit gewährleisten.