Zum Hauptinhalt springen

Das Geschäft mit den Daten

Von Marina Delcheva

Politik

Forschungseinrichtungen sollen künftig leichter Zugang zu persönlichen Daten bekommen.

Wien. Daten sind das neue Gold. Und genau dieses neue Gold soll die neue Datenschutzverordnung, kurz DSGVO, seit 25. Mai besser schützen.

Betriebe und Institutionen müssen also ihre Kunden genau aufklären, welche Informationen gespeichert werden, was mit ihnen passiert und wer darauf zugreifen darf. Bürger haben damit ein Recht auf Auskunft und auf Löschung ihrer Daten. Können die Unternehmen diese Datensicherheit nicht gewährleisten oder verstoßen sie dagegen, drohen Strafen von bis zu vier Prozent des Unternehmensumsatzes oder höchstens 20 Millionen Euro.

Nicht ganz so streng nimmt es der Gesetzgeber bei der Forschung, genauer bei der sogenannten Registerforschung. Ab 2019 dürfen Forschungseinrichtungen nämlich einfacher auf personenbezogene Registerdaten von Behörden, zum Beispiel auf das Melderegister, zugreifen. Das soll Forschung und Entwicklung fördern und die Verknüpfung von Daten und deren Verarbeitung zu wissenschaftlichen Zwecken erleichtern.

Forschungseinrichtungen konnten auch bisher auf behördliche Daten zugreifen. Allerdings nur mit Einwilligung der Studienteilnehmer, einer eigenen Gesetzesgrundlage oder mittels Genehmigung der Datenschutzbehörde. Letztre hat das 2016 insgesamt 23 mal erlaubt.

Ab kommendem Jahr dürfen personenbezogene Daten aus Registern auch ohne expliziter Zustimmung der Betroffenen oder durch Prüfung der Datenschutzbehörde abgeschöpft werden, wenn sie "pseudonymisiert" sind. Also wenn zum Beispiel der Name durch eine Nummer oder einen Code ersetzt wird.

Anfrage zu Datensicherheit

"Das ist nicht genug", meint die Digitalsprecherin der Liste Pilz, Stephanie Cox. Diese schickt am heutigen Donnerstag dazu eine parlamentarische Anfrage an Wissenschaftsministerin Margarete Schramböck und Sozialministerin Beate Hartinger-Klein. "Je mehr Daten von uns gespeichert werden, desto gläserner werden wir", so Cox. Es reiche nicht, einfach den Namen einer Person zu Codieren. Man könne über eine Vielzahl anderer Verknüpfungen Rückschlüsse über die Identität machen. Konkret will die Liste Pilz von den zuständigen Ministerinnen wissen, wie man dem Problem einer möglichen Reidentifizierung trotz Verschlüsselung begegnet. Oder etwa ob Elga-Daten grundsätzlich für externe Forschungseinrichtungen tabu sein sollen.

Auch Andreas Krisch von der Datenschutzagentur sieht die sogenannte Pseudonymisierung von Daten kritisch. "Rein technisch ist die Pseudonymisierung schlechter als eine echte Anononymisierung", meint Krisch. Denn das Pseudonym sei irgendwo abrufbar und damit könne man auch keine vollständige Datensicherheit gewährleisten.

Dem widerspricht Matthias Schmidl von der Datenschutzbehörde: "Wir haben die Erfahrung gemacht, dass die Pseudonymisierung an sich auch ein gutes und sicheres Verschlüsselungsinstrument ist." Aber auch die Datenschutzbehörde sieht die Novellierung des Forschungsorganisationsgesetzes (FOG) kritisch. Vor allem wegen der Ausnahmen für Forschungseinrichtungen.

Im Gegensatz zu Betrieben und der kommerziellen Nutzung von Daten, müssen Forschungsinstitutionen nämlich nicht mit Geldstrafen rechnen, wenn sie gegen die DSGVO verstoßen. "Auch nicht Betriebe, die von diesen Forschungszentren mit der Datenverarbeitung beauftragt wurden, zum Beispiel Rechenzentren", sagt Krisch. Seit Inkrafttreten der DSGVO sind bei der Datenschutzbehörde übrigens mehr als 100 Beschwerden über vermeintliche Verstöße eingetroffen. Etwa, dass persönliche Daten trotz Aufforderung nicht gelöscht wurden.

Hinzu kommt, dass im Gesetz nicht ganz klar geregelt ist, was unter Forschungseinrichtung zu verstehen ist. Zugriff erhalten sollen ab 2019 nicht nur Universitäten, Fachhochschulen und Museen, auch Forschungsabteilungen von Industrieunternehmen und Einzelpersonen im In- und Ausland können beim Verkehrsministerium um eine Genehmigung ansuchen. Nach welchen Kriterien entschieden wird, ist aber noch nicht klar.

Ebenfalls schwierig zu beantworten wird wohl die Frage sein, was unter gemeinnütziger Forschung zu verstehen ist. "Was Cambridge Analytics mit den Daten tausender Wähler im US-Wahlkampf gemacht hat, war auch Forschung", meint Krisch vom Datenschutzrat. Es sei immer schwierig zu beurteilen, ob ein Forschungsprojekt gemeinnützig oder kommerziell ist. In vielen Fällen sei es nämlich beides.

Unklarheit um Elga-Daten

Eine genaue Liste, welche persönlichen Daten von Bürgern anonymisiert für die Forschung freigegeben werden, gibt es noch nicht. Sie soll per Verordnung festgelegt werden, wobei auch die zuständigen Minister zustimmen müssen. Explizit vom Zugriff ausgeschlossen werden im Forschungsorganisationsgesetz nur Datenbanken der Justiz und das Strafregister.

Für Aufregung sorgte jüngst die Frage, ob auch Elga-Daten im Zuge des neuen Forschungsorganisationsgesetzes zu Verfügung gestellt werden. Also die Krankendaten von Patienten. Sozialministerin Beate Hartinger-Klein lehnt das strikt ab. Sie wolle einen Abänderungsantrag einbringen, um sensible Gesundheitsdaten zu schützen. In der aktuellen Novelle hätte Hartinger-Klein als Ministerin die Möglichkeit, Anfragen zu Elga-Daten abzulehnen.