SmartRegio

Tag Archive: Recht

Smart Data Begleitforschung Workshop 2017

Vergangene Woche trafen sich in den Räumen des Smart Data Forums Berlins im Rahmen der Workshops der Smart Data Begleitforschung die geförderten Smart Data Projekte, um über aktuelle und künftige rechtliche und technische Herausforderungen zu diskutieren – auch wir von SmartRegio waren vor Ort. Die wie immer bestens organisierten Workshops konnten so in besonderer Weise zu einem effektiven Informationsaustausch beitragen.

Erster Workshoptag – Datenschutz und Sicherheit

Den Auftakt des gemeinsam veranstalteten Workshops der Fachgruppen Recht und Sicherheit der Begleitforschung am Donnerstag bildete ein gemeinschaftlicher Einführungsvortrag von Smart Regio Mitarbeiter Dr. Sebastian Bretthauer sowie den Kollegen der Begleitforschung Manuela Wagner und Dr. Matthias Huber zum Thema „Anonymisierung und Risikominimierung“. Dabei wurde auf die rechtlichen und technischen Herausforderungen eingegangen und insbesondere das im vergangenen Jahr erlassene Urteil des Europäischen Gerichtshofs (EuGH) zum Personenbezug von dynamischen IP-Adressen vorgestellt und analysiert. Auch eine Einführung in die technischen Methoden der Anonymisierung wurde vorgestellt.

In den sich anschließenden zwei folgenden Vorträgen wurden Tools zur technischen Anonymisierung präsentiert. Dr. Fabian Prasser (TUM) widmet sich zunächst der Anonymisierung relationaler Daten, bevor Dr. Matthias Ihle konkret das Averbis DeID-Tool zur Anonymisierung und De-Identifizierung von Freitexten vorstellte. Die dabei vorgestellten technischen Methoden zur Anonymisierung personenbezogener Daten wurden auch in SmartRegio geprüft und auf ihre Anwendbarkeit für das Projekt untersucht.

Der nach der Mittagspause stattfindende Gedankenaustausch in den einzelnen Breakout-Gruppen konnte ebenfalls zu neuen Erkenntnissen beitragen. Dabei standen insbesondere die Abgrenzung von Sach- und Personendaten, die Anonymisierung von Gesundheits- und Bilddaten sowie das Text Mining öffentlich zugänglicher Daten im Vordergrund. Besonders informativ waren die rechtlichen Ausführungen zum Text Mining öffentlich zugänglicher Daten, stellen sich dort besondere datenschutzrechtliche Herausforderungen unter Geltung der kommenden Europäischen Datenschutzgrundverordung (DS-GVO).

Abgerundet wurde der Workshoptag durch eine interessante und kontroverse Podiumsdiskussion zwischen Dr. Jens Eckhardt, Dr. Matthias Ihle, Dr. Thilo Weichert und Dr. Fabian Prasser; moderiert von PD. Dr. Oliver Raabe. Besonders umstritten war dabei die Reichweite des Urteils des EuGH zum Personenbezug von dynamischen IP-Adressen und die damit verbundene Frage nach der rechtlichen Auslegung des Begriffs der personenbezogenen Daten. Mit Dr. Eckhardt, der einen relativ geprägten Personenbezug vertritt und Dr. Weichert, der einen tendenziell absolut geprägten Personenbezugsbegriff vertritt, trafen zwei gegenläufige Standpunkte aufeinander, die die Diskussion aber gerade besonders interessant machten.

Zweiter Workshoptag – Daten als Wirtschaftsgut

Der zweite Workshoptag der Smart Data Begleitforschung am Freitag war schließlich urheberrechtlichen Fragen im Kontext von Smart Data gewidmet. Zunächst hielt Prof. Matthias Leistner (LUM) eine informative Keynote zum Thema „Konflikt zwischen Zugangsrechten und Geheimnisschutz“. Dabei stand insbesondere die im vergangenen Jahr verabschiedete EU-Richtlinie über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen vor rechtswidrigem Erwerb sowie rechtswidriger Nutzung und Offenlegung im Mittelpunkt. Die Vielzahl von damit verbundenen rechtlichen Probleme wurde in diesem Zusammenhang überblicksartig dargestellt. Dem folgte der Vortrag von Dr. Till Kreutzer zum Thema „Konflikt zwischen Data Mining und Urheberrecht“. Dabei stand auch der Kommissionsentwurf zu einem reformierten EU-Urheberrrecht im Mittelpunkt der Ausführungen. Schließlich präsentierte Filiz Elmas vom DIN e.V. die DIN SPEC 91349, die eine Taxonomie zu Regelwerken bei Smart Data bereitstellt.

Beide Workshoptage konnten die rechtlichen und technischen Herausforderungen in beeindruckender Weise illustrieren. Auch in SmartRegio stellen sich derartige Anforderungen. Deshalb bleibt zu hoffen, dass auch weiterhin ein intensiver Austausch zwischen Juristen und Technikern stattfindet, um sichere und rechtskonforme Smart Data Lösungen zu generieren.

SmartRegio zu Gast beim Smart Data Jahreskongress 2016

Am 14. November fand unter dem Titel „Mit Sicherheit Smart Data“ in den Räumen des Bundesministeriums für Wirtschaft und Energie (BMWi) der diesjährige Smart Data Jahreskongress statt. SmartRegio war diesmal besonders prominent in der Paneldiskussion durch Prof. Indra Spiecker gen. Döhmann von der Forschungsstelle Datenschutz der Goethe-Universität Frankfurt am Main vertreten. Unter dem Thema „Smart Data – im Spannungsfeld zwischen Datenschutz und wirtschaftlicher Nutzung“ wurden insbesondere die rechtlichen Chancen und Risiken beleuchtet. Deutlich wurde bei der Diskussion, dass Smart Data Anwendungen auf eine Vielzahl rechtlicher Anforderungen treffen. Viele davon sind kaum im Nachhinein erfüllbar. Sie müssen schon bei der

Smart Data Jahreskongress Paneldiskussion

Foto: Nina Hrkalovic

technischen Entwicklung von Anfang an konsequent mitbedacht werden. Und man darf sich auch nicht auf das momentane Recht beschränken, denn ab 2018 tritt die neue Europäische Datenschutzgrundverordnung (DS-GVO) in Kraft. Diese folgt zwar in ihren Grundzügen dem bisherigen Recht, aber es gibt auch Neuerungen. So werden beispielsweise explizit Forderungen nach ‚data protection by design‘ und ‚data protection by default‘ gestellt. Für Software folgt daraus: Erstens soll die Einhaltung von Datenschutzregeln technisch sichergestellt werden. Das heißt im Idealfall kann sie nicht datenschutzwidrig eingesetzt werden. Zweitens soll sie standardmäßig nur ein Minimum an personenbezogenen Daten erfassen. Anwendungen, bspw. auf einem Smartphone, müssten danach ganz anders ausehen als heute. Alle Basisfunktionen müssen mit einem Minimum an persönlichen Daten auskommen. Alle Zusatzfunktionen, die Daten benötigen, müssten bei Installation grundsätzlich deaktiviert sein. Erst wenn der Nutzer zusätzliche Features bewusst aktiviert, dürften mehr Daten übertragen werden. Und im Backend müsste jede nicht vorgesehene Verwendung der Daten idealerweise technisch ausgeschlossen sein.

Smart Data Jahreskongress

Foto: Nina Hrkalovic

Für die Hersteller von Software folgt daraus: Juristen werden nicht erst gerufen, um eine fertiges Produkt zu begutachten. Sie sind fest in den Design- und Entwicklungsprozess eingebunden. In SmartRegio wird dies bereits getan. So wird die Berücksichtigung rechtlicher Normen in SmartRegio zielstrebig verfolgt und somit auch ein ‚Compliance-by-design‘ sichergestellt. Ein ständiger Austausch zwischen Technikern und Juristen ist damit sichergestellt. Insgesamt zeigte der Jahreskongress deutlich auf, dass Smart Data auch weiterhin ein dringendes Thema der kommenden Jahre ist, das die Gesellschaft vor neue facettenreiche Herausforderungen stellt.

 

Artikel „Compliance-by-Design-Anforderungen“ in ZD erschienen

In der aktuellen Ausgabe der Zeitschrift für Datenschutz (ZD 2016, 267 ff.) befasst sich ein im Rahmen von Smart Regio entstandener Artikel ausführlich mit dem rechtlichen Phänomen von „Compliance-by-Design-Anforderungen. Hinter „Compliance by Design“ steht die Erkenntnis, dass rechtliche Anforderungen oft tief in die Prozesse und die Architektur einer Software hineinwirken. SmartRegio ist ein gutes Beispiel: Eine SmartRegio-Plattform die, auf bestimmte Daten angewandt, Recht bricht, ist illegal. Werden alle kritischen Quellen eliminiert, ist sie mögicherweise nutzlos. Soll sie differenzieren und so auch kritische Daten im Rahmen des Zulässigen nutzen dürfen, ist jeder Teil der Plattform betroffen, von der Integration über die Verarbeitung bis hin zur Visualisierung von Daten. Das erreicht man am ehesten, wenn rechtliche Anforderungen schon vor der eigentlichen Entwicklung im Systementwurf berücksichtigt werden. In einer solchen Lösung ist Rechtskonformität Teil des Designs, also Compliance-by-Design realisiert. Der Beitrag setzt sich damit auseinander:

Fokus 0001

In der zunehmend datengeprägten und -zentrierten Informationsgesellschaft des 21. Jahrhunderts sind Daten der neue Rohstoff. Steigende Speicherkapazitäten, immer schnellere Rechnergeschwindigkeiten, sinkende Kosten und eine immer stärker werdende Vernetzung und Digitalisierung ermöglichen es, große Datenbestände in immer kürzeren Zeiten zu analysieren und auszuwerten. Häufig werden damit die Begriffe „Big Data” bzw. „Smart Data” verknüpft. Gleichzeitig geht damit aber auch das Risiko einher, dass personenbezogene Daten Gegenstand derartiger Analysen und Auswertungen werden, sodass die Datenverarbeitung für die betroffenen Personen ein erhöhtes Gefahrpotenzial birgt. Deshalb müssen die rechtlichen Rahmenbedingungen und Anforderungen zwingend berücksichtigt werden, da nur rechtskonforme Lösungen zur gesellschaftlichen Akzeptanz neuartiger technischer Innovationen führen. Der Aufsatz untersucht daher das Phänomen „Smart Data” näher und geht insbesondere auf die Nutzung von Smart Data im Energiesektor ein.

Big Data und Smart Data in der universitären juristischen Ausbildung

Smart Dlogo_goethe-uniata Technologien – wie sie auch in SmartRegio entwickelt und erforscht werden – stellen insbesondere auch das Recht vor neue Herausforderungen. So müssen etwa neben urheber-, wettbewerbs-, vertrags- und haftungsrechtlichen Fragen auch datenschutzrechtliche Anforderungen berücksichtigt und erfüllt werden. Dabei erwächst augenblicklich dem Datenschutzrecht eine besondere Aufmerksamkeit, da die bisher geltenden nationalen Regelungen des Bundesdatenschutzgesetzes (BDSG) nur noch bis Anfang 2018 Gültigkeit beanspruchen. Die ab dem 25. Mai 2018 geltende Europäische Datenschutzgrundverodnung wird das bisherige Recht in weiten Teilen verdrängen. Gleichwohl verbleibt den Mitgliedstaaten in einzelnen Teilen weiterhin ein gewisser Spielraum für eigene Regelungen (sogenannte Öffnungsklauseln, die insbesondere den öffentlichen Bereich betreffen).

Im Rahmen des Seminars „Die neue Europäische Datenschutzgrundverordnung“ am Lehrstuhl für Öffentliches Recht, Informationsrecht, Umweltrecht und Verwaltungswissenschaften an der Goethe-Universität Frankfurt am Main beschäftigen sich Jurastudentinnen und -studenten u.a. auch mit rechtlichen Fragestellungen rund um das Thema Big Data / Smart Data. So gibt es etwa Themen zur allgemeinen datenschutzrechtlichen Zulässigkeit von Big Data Anwendungen und zu Big Data Anwendungen und dem Grundsatz der Zweckbindung. Damit werden bereits frühzeitig aktuelle Themen, die an der Schnittstelle zwischen Technik und Recht angesiedelt sind, in die universitäre Ausbildung mit einbezogen. Juristinnen und Juristen werden zeitig geschult, sich auch mit technischen Sachverhalten und deren datenschutzrechtlicher Bewertung auseinanderzusetzen. Gewonnene Erkenntnisse aus Smart Regio können so unmittelbare in die universitäre Ausbildung einfließen.

Rechtssicherheit in Smart Data Anwendungen

Am 23. Februar 2016 fand der 2. Workshop der Fachgruppe „Recht“ im Rahmen der Smart Data Begleitforschung im SpreePalais in Berlin statt. Er wurde von PD Dr. Oliver Raabe und Manuela Wagner geleitet. Das Ziel der Veranstaltung bestand darin, die geförderten Smart Data Leuchtturmprojekte zu vernetzen, um Rechtssicherheit in Smart Data Anwendungen zu ermöglichen. Dazu wurden gemeinsame rechtliche Fragestellungen gesammelt, diskutiert und erste Lösungen gefunden.

DSC_0132Die zentralen Themen des aktuellen Workshops waren diesmal „Daten als Wirtschaftsgut“ und „(neue) Datenschutzkonzepte“. Zum Auftakt der Veranstaltung hielt Dr. Duisberg (Partner der Kanzlei Bird & Bird) einen Vortrag zum Thema „Datenhoheit und Recht des Datenbankherstellers“. Konkret ging es darum, ob es rechtlich ein „Eigentum an Daten“ geben müsse und wenn ja, was dann darunter zu verstehen sei. Anschließend ging Frau Prof. Weber von der Hochschule Hof auf „Smart Data und Wettbewerbsrecht“ ein. (Anmerkung: Das Wettbewerbsrecht will einen fairen Wettbewerb auf Märkten garantieren. Es setzt sich aus mehreren Gesetzen und vielen Einzelvorschriften zusammen.) Nach ihrer Ansicht wird dabei zu sehr auf personenbezogene Daten geschaut. Andere Probleme würden nicht separat diskutiert und blieben so oft ungelöst. (Anmerkung: In SmartRegio gilt wettbewerbsrechtlich, dass Strom- und Gasnetzbetreiber alle Lieferanten gleich behandeln müssen. Die Stadtwerke sind aber Lieferant UND Netzbetreiber. Deshalb darf der interne Netzbetrieb keine Daten an den internen Lieferanten geben, die andere Lieferanten nicht bekommen – egal ob personenbezogen oder nicht). Sie erachtet eine getrennte Betrachtung einzelner Rechtsthemen als zielführender. Erst dann könne man die Ergebnisse zusammen führen und in ihrer Gesamtwirkung  betrachten. Teilweise würden zudem Wettbewerbsrecht und Datenschutzrecht gegeneinander ausgespielt. (Anmerkung: Dieses Ausspielen betrifft auch SmartRegio. In einem fairen Wettbewerb müssen alle Wettbewerber die gleichen Informationen haben. Das schließt auch auch Informationen über Personen mit ein, was das Datenschutzrecht aber verbietet.)

Am Nachmittag wurden DSC_0134projektübergreifend verschiedene besonders wichtige Themenfelder identifiziert. Am vordringlichsten ist der Konflikt zwischen Big Data und dem Prinzip der Zweckbindung. Danach dürfen Daten nur für einen zuvor fest definierten Zweck erhoben (gespeichert) und verarbeitet werden. Bei Massendaten für Big respektive Smart Data entscheidet sich aber oftmals erst danach, zu welchem Zweck man sie verwenden kann und will. Dieser Widerspruch ist bisher völlig ungeklärt. Erste mögliche Ansätze stellte hierzu Maximilian von Grafenstein in seinem Vortrag „Das Zweckbindungsprinzip – Vom Ausschluss abstrakter Gefahren zur Kontrolle spezifischer Risiken“ vor. Der Titel sagt schon viel über den Inhalt. Das Zweckbindungsprinzip will den Missbrauch personenbezogener Daten verhindern. Dazu gibt es zwei Wege. Derzeit ist nur die Verarbeitung zu dem vorher angegebenen und nicht missbräuchlichen Zweck erlaubt. Dadurch werden viele unproblematische Anwendungen von Big oder Smart Data  verboten. Oder man verbietet spezifische riskante Formen der Verarbeitung. Das würde solche Anwendungen ermöglichen.

Weitere identifizierte rechtliche Themenfelder waren die Anonymisierung und Pseudonymisierung von personenbezogenen Daten, der Umgang mit frei zugänglichen und öffentlichen Daten und die unterschiedlichen Datenarten.

DSC_0170Der bestens organisierte Workshop konnte die rechtlichen Herausforderungen der unterschiedlichen Smart Data Projekte zusammenbringen, gemeinsame Problemfelder identifizieren und auch erste Lösungsvorschläge eruieren. Es bleibt zu hoffen, dass in kommenden Workshops die rechtlichen Problemfelder bei der Nutzung von Smart Data weiter vertieft werden können, um neue Lösungskonzepte zu entwickeln, sodass derartige technische Innovationen auch rechtskonform gestalten werden können.

SmartRegio bei Smart Data Begleitforschung Workshop

Am 16.07.2015 fanden im Bundeswirtschaftsministerium (BMWi) in Berlin die Workshops „Sicherheit“ und „Recht“ der Smart Data Begleitforschung statt. Smart Regio war dabei selbst mit vier Teilnehmern zahlreich vertreten.

Nach einer kurzen Begrüßung und Einführung durch die Fachgruppenleiter Prof. Müller-Quade (Fachgruppe Sicherheit) und Dr. Raabe (Fachgruppe Recht) hob MinR Dr. Tettenborn (BMWi) hervor, dass im Smart Data Programm datenschutzrechtliche Belange besonders wichtig und zentral sind, hier aber oftmals Abwägungsentscheidungen getroffen werden müssen. Auch der europäische Rechtsrahmen müsse stetig berücksichtigt werden, da mit der aktuell diskutierten Europäischen Datenschutzgrundverordnung ein einheitlicher europäischer Standard geschaffen werden soll. Neben konkreten anwendungsbezogenen Lösungen in den einzelnen Smart Data Projekten müssen gleichwohl auch generell-abstrakte Lösungen gefunden werden, die über den Einzelfall hinausgehen.

DSC_0009Anschließend gab Dr. Weichert (ehemaliger Landesdatenschutzbeauftragter Schleswig-Holsteins) einen interessanten Überblick über die rechtlichen Rahmenbedingungen im Kontext von Smart Data Techniken. In der sich anschließenden Diskussion wurde deutlich, dass oftmals (noch) ein stark unterschiedliches Verständnis bei Technikern und Juristen besteht, wie einzelne Begriffe zu verstehen sind. Hier sei exemplarische nur der Begriff der Anonymisierung genannt.

Dr. Raabe schlug schließlich die Brücke zwischen der rechtlichen und technischen Perspektive zur Datensparsamkeit und zeigte auf, dass nur ein Zusammenwirken von Technik und Recht zu effektiven Lösungen beitragen kann. Prof. Müller-Quade widmete sich den technischen Maßnahmen zur Datensparsamkeit und ging hierbei insbesondere auf Anonymisierungsmechanismen ein. Schließlich gab Murat Sariyar (Projekt SAHRA) aus praktischer Sicht einen Einblick in unterschiedliche Anonymisierungsverfahren und Sicherheitsbegriffe.

DSC_0030

In der sich anschließenden Diskussion und Schlussrunde wurde nochmal deutlich, dass vielschichtige rechtliche und technische Herausforderungen für Smart Data Technologien bestehen. Diesen Herausforderungen stellen sich die einzelnen Smart Data Projekte und insbesondere Smart Regio, um effektive und sinnvolle Lösungen anzubieten.