Schlagwortarchiv für: E-Government

,

Soll die AHV-Nr. als Personenidentifikator verwendet werden? Eine Auslegeordnung.

| 0 Kommentare
/0 Kommentare/in , /von

Ein im Oktober erschienenes ETH-Gutachten liefert neue Einsichten rund um die Verwendung der AHV-Nummer als sektorübergreifender Personenidentifikator. Es zeigt Sicherheitslücken im Status Quo auf, die es zu beheben gilt, wenn der Datenschutz sichergestellt werden soll. Um diese Risiken zu beheben, reicht es jedoch nicht aus, zwischen der AHV-Nummer oder einem sektoriellen Personenidentifikator zu entscheiden.

Im Oktober erschienen in der Presse mehrere Meldungen, die die Verwendung der AHV-Nummer zur eindeutigen Identifizierung und den damit einhergehenden Gefahren aus Sicht Datenschutz thematisieren. Anlass dafür gab die Veröffentlichung eines Gutachtens der ETH Zürich [2], das die Risiken der heutigen Verwendung der AHV-Nr. sowie einer Erweiterung deren Nutzung analysiert. Die kantonalen Datenschützer lesen das Gutachten als empirischen Beleg dafür, dass die aktuelle und jede weitere Verwendung der AHV-Nummer als Personenidentifikator den Datenschutz untergräbt und fordern Kantonsregierungen auf, auf die weitere Verwendung der AHV-Nummer als universellen Personenidentifikator zu verzichten. Bei genauerer Betrachtung des Gutachtens wird jedoch ersichtlich, dass dieser Schluss zu kurz greift und die tatsächlichen Gefahren für den Datenschutz übersehen werden.

Sektorieller Personenidentifikator hebt aktuelle Datenschutzrisiken nicht auf
Das ETH-Gutachten erklärt, dass der Einsatz von sektorspezifischen, nicht-sprechenden Identifikatoren das Risiko im Vergleich zur Verwendung eines nicht-sprechenden sektorübergreifenden Identifikators, wie sie die AHV-Nummer ist, minimiert. Es unterstreicht jedoch die Tatsache, dass diese Massnahme in geeigneter Weise umgesetzt werden muss, um ihre Wirkung zu entfalten. Das Gutachten betont, dass die Datenschutzrisiken durch das gemeinsame Aufbewahren von Registerdaten mit Identitätsattributen auch weiterbestehen würden, wenn lediglich die AHV-Nummer durch einen sektoriellen Personenidentifikator ersetzt wird. Aus ganzheitlicher Betrachtung ist also die Forderung der kantonalen Datenschutzbeauftragten nach einem sektoriellen Personenidentifikator nicht falsch. Sie ist jedoch, als alleinstehende Massnahme, nicht diejenige Massnahme, die die heutigen Datenschutzrisiken in wesentlichem Masse reduzieren wird.

Ein System mit sektoriellen Personenidentifikatoren kostet jährlich sieben Mal mehr
Zudem verweist das ETH-Gutachten darauf, dass die Wahl des Personenidentifikators auch von Kosten- und Effizienzüberlegungen geleitet sein sollte. Diese Aspekte bedürfen einer genauen Prüfung, wurden im betroffenen Gutachten jedoch nicht untersucht. Abhilfe schafft eine Analyse des E-Government-Instituts der Berner Fachhochschule. Die Analyse geht der Frage nach, wie hoch die Kosten für die Schweiz ausfallen, wenn die AHV-Nummer als sektorübergreifender Identifikator verwendet wird, und wie hoch sie für ein System mit sektoriellen, von der AHV-Nummer abgeleiteten Personenidentifikatoren ausfallen würden. Die Berechnungen beruhen auf Kostenmodellen, die auf Basis von Szenarien gebildet wurden und stützen sich auf effektive Ausgaben für den Aufbau und den Betrieb der UPI-Datenbank der Zentralen Ausgleichsstelle ZAS. Die Analyse kommt zum Ergebnis, dass die Eindeutigkeit der Personenidentifikation in Schweizer Behördenabläufen am kostengünstigsten damit sicherzustellen ist, indem Behörden ermächtigt werden, die AHVN13 systematisch als Personenidentifikator zu verwenden. Dieser Weg fällt im jährlichen Betrieb sogar um ein dreifaches günstiger aus, als wenn die Schweiz gänzlich auf einen nationalen Personenidentifikator verzichten würde. Ein System mit sektoriellen Personenidentifikatoren hätte mit ca. 21 Millionen jährlichen Betriebskosten sowie mit ca. 268 Millionen Initialkosten zu rechnen. Dabei sind die Identifikationskosten für jede natürliche Person pro Nummer nicht eingerechnet. Im Vergleich zu einem System, in dem die AHV-Nummer als nationaler Personenidentifikator für Behörden aller Ebenen verwendet wird, fallen hier die Kosten initial um das 2.5-fache und jährlich um das Siebenfache höher an [1].

AHV-Nummer oder nicht AHV-Nummer?
Werden also Kostenbetrachtungen berücksichtigt, so müsste sich die Schweiz klar für die Erweiterung der systematischen Verwendung der AHV-Nummer entscheiden. Der Bundesrat hat bereits Schritte in diese Richtung unternommen und das EDI mit der Vorbereitung der nötigen Gesetze beauftragt, die Behörden von Bund, Kantonen und Gemeinden generell zur systematischen Verwendung der AHVN13 im Rahmen ihrer gesetzlichen Aufgaben ermächtigt. Die Vernehmlassung dazu ist in nächster Zeit zu erwarten, wurde sie doch für das letzte Quartal 2017 geplant.

Die von der Risikoanalyse der ETH hervorgebrachten Punkte weisen jedoch auf konkrete Sicherheitslücken im heutigen System hin, die es anzugehen gilt. Werden diese Sicherheitslücken nicht behoben, so wird die Erweiterung der systematischen Nutzung der AHV-Nummer als Personenidentifikator auf zusätzliche Bereiche das Datenschutzrisiko erhöhen. Werden diese Lücken jedoch nicht behoben, so wird auch der Verzicht auf die systematische Verwendung der AHV-Nummer das Datenschutzrisiko nur minim reduzieren. Auch das Ersetzen der AHV-Nummer mit einem sektoriellen Identifikator vermag die Risiken nicht substanziell zu verringern. Die Frage, die es zu stellen gilt lautet demnach: Welche Massnahmen sind erforderlich, um die Datenschutzrisiken zu minimieren?

Identitätsdaten von anderen Daten entkoppeln
Das ETH-Gutachten beschreibt ein System als besonders datenschutzfreundlich, wenn darin administrative und organisationale Daten von Identitätsdaten voneinander entkoppelt geführt werden. Als Identitätsdaten verstanden werden jedoch nicht nur eindeutige Personenidentifikatoren, sondern alle Attribute, die Informationen zur Identität einer Person beinhalten, wie z. B. Name, Geburtsdatum oder aber auch Vorname der Eltern. Eine Identifikation von Personen ist also auch unter Verwendung dieser Attribute möglich, nur nicht immer eindeutig. Durch die Kombination verschiedener Identitätsattribute ist jedoch auch ohne Personenidentifikator eine eindeutige Identifikation möglich. Diese «Quasi-Identifikatoren» können mittels einer Kombination von verschiedenen Identitätsattributen gebildet werden. So bildet z. B. die Kombination von Vorname, Name und Geburtsdatum ein Quasi-Identifikator, der mehr als 99.98% der Personen in der Schweiz zu identifizieren vermag. 75.89% der Personen können anhand der Kombination von Namen und Vornamen eindeutig identifiziert werden. Je mehr Identitätsattribute in einem System geführt werden, umso mehr steigt die Wahrscheinlichkeit, damit einen Quasi-Identifikator bilden zu können. Um den Datenschutz zu gewährleisten, ist das reine Verhindern einer zusätzlichen Anreihung der AHV-Nummer an bereits im System geführte Identitätsattribute deshalb nicht hinreichend.

Daten reorganisieren und verteilt speichern
Die Reorganisation der Daten und deren verteilte Speicherung wird im Gutachten mehrmals als Voraussetzung für den Datenschutz genannt. Solange Angaben z.B. zu einer begangenen Strafe einer Person X im selben System gespeichert werden, wie auch die Angaben der tatsächlichen Identität der Person X, ist der Datenschutz gefährdet. Diese Gefährdung liegt auch vor, wenn in den gespeicherten Identitätsattributen die AHV-Nummer nicht vorkommt. Die getrennte Speicherung von Identitätsattributen und administrativen Daten, und der angemessene Schutz der Verknüpfungstabellen, die die Verknüpfung der administrativen Datensätze mit den entsprechenden Identitätsdaten sicherstellt, wird demnach als Schlüsselmassnahme gesehen, die den Datenschutz, in heutigen Systemen stark zu verbessern vermag.

Weitere zu behebende Mängel im Status quo
Im Gutachten stellt Prof. Basin fest, dass der Bund an ihre eigenen Systeme höhere Sicherheitsanforderungen stellt als an Systeme ausserhalb der Bundesverwaltung, die die AHV-Nummer führen. So wird in der Tendenz die Sicherheit der Systeme auf Kantons- oder Gemeindeebene, wie z. B. bei Schulen oder Spitälern als niedriger eingestuft als bei Systemen innerhalb der Bundesverwaltung. Nichts destotrotz empfiehlt er die Erhöhung der Sicherheitsanforderungen sowohl für die Systeme ausserhalb wie auch innerhalb der Bundesverwaltung.
Letztlich weist das ETH-Gutachten darauf hin, dass Datenschutz nur dann gewährleistet werden kann, wenn ein System sicher ist und der Zugang zu Daten kontrolliert abläuft. Eine hundertprozentige Sicherheit gibt es jedoch nicht, und mit Cyberangriffen ist auch zu rechnen, wenn ein System nach dem neuesten und höchsten Sicherheitsstandard geschützt wird. Daraus kann gefolgert werden, dass unabhängig davon, ob ein System die AHV-Nummer mitführt oder nicht, es immer notwendig ist, ein Massnahmenplan für den Fall eines Cyberangriffs zu entwickeln.

Weckruf an Politik und Verwaltung
Das ETH-Gutachten zeigt deutliche Mängel im Bereich Datenschutz auf, die es dringend zu beheben gibt. Diese Mängel lassen sich nicht durch die Diskussion über sektorielle oder universelle Personenidentifikatoren lösen, sondern bedürfen einer grundlegenden Diskussion darüber, welche Identitätsdaten der Staat überhaupt erhebt, wo sie gespeichert werden und wer sie bearbeiten und darauf zugreifen darf und zu welchem Zweck. Es ist an der Zeit, dass die Diskussion rund um die eindeutige Identifikation von Personen in den IT-Systemen der öffentlichen Verwaltungen sich wegbewegt von der Frage sektorieller oder sektorübergreifender Identifikator und eher Antworten auf die Frage liefert: Wie kann der Datenschutz von Personen sichergestellt werden, die bereits mittels Namen und Vornamen eindeutig identifizierbar sind?
Wir können hierfür von den Erfahrungen anderer Länder lernen. In Dänemark empfiehlt der Rat der Digitalen Sicherheit die Nummer nicht zur Online-Authentifikation von Personen zuzulassen und die Möglichkeit, einmal vergebene Nummern z.B. nach einem Identitätsdiebstahl, zu wechseln [3].

Referenzen
[1] Dungga, Angelina und Andreas Spichiger: Personenidentifikatoren. Analyse der gesamtschweizerischen Kosten. In: Stember, Jürgen / Eixelsberger, Wolfgang / Spichiger, Andreas (Hrsg.) 2017: Wirkungen von E-Government. Neue Strategien, Instrumente und Beispiele für die wirkungsgesteuerte und technikinduzierte Verwaltungsreform. Wiesbaden: Springer Gabler.

[2] Basin, David 2017: Risk Analysis on Different Usages of the Swiss AHV Number. Evaluation on behalf of the Federal Office of Justice and the Federal Data Protection and Information Commissioner. Zurich: ETH, Department of Computer Science, Information Security Group. Online: https://www.edoeb.admin.ch/datenschutz/00786/00946/index.html?lang=de

[3] Brian, Oliver, Jérôme Brugger, Angelina Dungga, Esther Hefti, Thomas Selzam, Andreas Spichiger, Katinka Weissenfeld 2015: AHV-Nummer als einheitlicher, organisations-übergreifender Personenidentifikator. Gutachten. URL: https://www.egovernment.ch/index.php/download_file/force/265/3343/

[4] Der Bundesrat 2017: Breitere Verwendung der AHV-Nummer. Medienmitteilung vom 1.02.2017. https://www.admin.ch/gov/de/start/dokumentation/medienmitteilungen.msg-id-65458.html

Creative Commons LicenceCreate PDF

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

Wir kennen Trumps neusten Tweet – aber nicht unsere Umgebung

| 0 Kommentare
/0 Kommentare/in /von

Einwohnerinnen und Einwohner sollen lokal besser vernetzt werden, Behörden niederschwellig mit Bürgerinnen und Bürgern in Kontakt treten. Der Online-Dorfplatz 2324.ch will den Dialog in den 2’324 Gemeinden der Schweiz fördern und Bürgerpartizipation stärken. Winterthur, Sargans und Untereggen sind bereits dabei.

Unser Medienkonsum geschieht heutzutage primär online und auf dem Smartphone; wir sind in sozialen Netzwerken aktiv und informieren uns über Neuigkeiten weitgehend im Internet. So wissen wir gut Bescheid über nationales oder internationales Geschehen und sind mit Menschen auf der ganzen Welt vernetzt; was aber direkt vor unserer Haustüre vorgeht, gelangt häufig nicht auf den Radar. Hyperlokale Inhalte bleiben uns verborgen – obwohl sie vorhanden sind. Meist könnten wir sie nachlesen in Gemeindeblättern oder amtlichen Anzeigern. Und meist auf Papier. Dass wir das in einer Welt, die je länger je mehr via Smartphone funktioniert, nicht tun, leuchtet ein. 2324.ch stellt hier die Verbindung her: eine Kombination der Vorteile von sozialem Netzwerk und lokaler Zeitung.

Alle lokal Beteiligten können 2324.ch nutzen: Die Gemeindeverwaltung präsentiert ihre amtlichen Mitteilungen auf eine attraktive Weise und kann Bürger bei anstehenden Projekten frühzeitig einbinden. Indem Fragen geklärt werden können, bevor ein Projekt nach langer und teurer Planung abgelehnt wird, spart die Gemeinde Aufwand und Geld. Bürger können aber auch selbst Ideen einreichen und diskutieren. Im Unterschied zu einer organisierten Gemeindeversammlung muss die Verwaltung hier nicht Inputgeber sein, sondern kann beobachten, was die Einwohner bewegt. Das informelle Veröffentlichen einer Idee via Smartphone stellt sodann eine wesentlich geringere Hürde dar, als die Teilnahme an einer Gemeindeversammlung.

Nicht zuletzt können ortsansässige Vereine über ihre Aktivitäten informieren und durch eine bessere Verbreitung neue Mitglieder oder Kunden ansprechen. Gerade Neuzuzügern erleichtert dies die Integration. So wird 2324.ch zum digitalen Abbild des Dorfplatzes, wo sich das Dorf oder die Stadt jederzeit treffen und informieren kann, um am Wochenende den Markt nicht zu verschlafen.

Im Moment gibt es den Online-Dorfplatz in drei Gemeinden, so z.B. seit August in Untereggen SG. Untereggen kämpft mit den klassischen Herausforderungen kleiner ländlicher Gemeinden wie dem Ladensterben oder dem Pendeln der Einwohner in die nahe Stadt. Um diesen Herausforderungen Herr zu werden, wurde eine Kommission gegründet, die sich dem Dorfleben widmet; beispielsweise indem sie Vereine in den Bemühungen um ein aktives Dorfleben unterstützt. Die Kommission diskutierte diverse Ideen und Projekte und kam zum Schluss, dass nicht primär mehr Aktivitäten im Dorf gefragt sind, sondern mehr Möglichkeiten, um auf Bestehendes aufmerksam zu machen, zu zeigen, was schon vorhanden ist. Bald war klar, dass der Online-Dorfplatz 2324.ch das geeignete Werkzeug hierfür ist.

Nach einer kurzen und intensiven Projektierungsphase wurde die Bevölkerung zu einer Einführungsveranstaltung eingeladen, wo 2324.ch vorgestellt wurde. Rund vierzig Vertreter von Vereinen, Organisationen und Medien sowie Private nahmen die Chance wahr, sich 2324.ch erklären zu lassen. Wer wollte, konnte auf die Unterstützung der Kommission Dorfleben sowie des Teams von 2324.ch zählen, die den Bürgerinnen und Bürgern am mitgebrachten Laptop oder Tablet mit Rat und Tat zur Seite standen. Schon eine Woche später hatten sich rund zehn Prozent der Einwohner registriert.

In Zukunft plant die Kommission als Ergänzung zum Online-Dorfplatz einen Offline-Dorfplatz-Tag, um die Einwohnerinnen und Einwohner mit ihren Kompetenzen nicht nur virtuell sondern auch physisch zusammenzuführen. Es wird damit klar, was der Online-Dorfplatz ist: nicht «Digitalisierung als Selbstzweck» sondern ein Werkzeug, um mit Herausforderungen wie zunehmender Mobilität und fortschreitender Digitalisierung Schritt zu halten. Eine optimal eingesetzte Kommunikationsplattform bereichert den Dialog auf lokaler Ebene, indem Zielgruppen eingebunden werden, die nicht an formellen politischen Prozessen teilnehmen, sehr mobil sind oder digitale Kommunikationswege bevorzugen. Voraussetzung dafür ist, dass über den Einsatz digitaler Mittel ein Konsens besteht und die Verantwortlichen am gleichen Strang ziehen. Wie in Untereggen.

Creative Commons LicenceCreate PDF

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

,,,

Big Data ist eine ethische Entscheidung!

| 0 Kommentare
/0 Kommentare/in , , , /von

Der Einsatz von Big Data ist immer eine Frage nach dem großen Ganzen und erfordert im Gesundheitswesen den Blick über den Tellerrand hinaus. Denn bei allen Vorteilen, die Big Data mit sich bringt, erfordert das Thema auch ein proaktives Nachdenken über den Umgang mit den Daten, findet Prof. Reinhard Riedl, wissenschaftlicher Leiter des Fachbereichs Wirtschaft an der Berner Fachhochschule. So wird Big Data vor allem zu einer ethischen Herausforderung. Riedl stößt damit eine Diskussion an, die derzeit noch zu wenig Beachtung findet.

Bislang ist Datensicherheit das Thema Nr. 1
„In allen Gesprächen, die zu Big Data stattfinden, wird bei der Diskussion der Gefahren von Big Data der Fokus sehr stark auf den Bereich Datenschutz gelegt. Obwohl dies ein sehr wichtiger Aspekt ist, gibt es auch andere Fragen, die gestellt werden müssen“, führt Reinhard Riedl in das Thema ein. Denn einerseits ist die Nutzung von Big Data für Forschung und Praxis in der Medizin unverzichtbar, weil der Nutzen sehr hoch ist. Anderseits kann aber eine unprofessionelle Nutzung von Big Data schnell zu einem Albtraum werden. Nicht nur hinsichtlich einer möglichen Verletzung der Privatsphäre, sondern auch aufgrund der Situationen und Fragestellungen, mit denen Menschen plötzlich konfrontiert sein können.

„Ein System möglichst sicher zu gestalten ist heutzutage keine Herausforderung mehr, sondern eher eine Kostenfrage. Dies ist auch der Grund, warum das Thema der Datenhaltung und Datensicherheit an vielen Stellen so wenig beachtet wird. Oft fehlen einfach die nötigen finanziellen Mittel“, gibt Riedl zu. „Doch die weit wichtigere Frage ist eher philosophisch: Wie gehen wir mit den gewonnenen Daten und den damit verbundenen möglich gewordenen Vorhersagen richtig um?“

Dieser Aspekt findet in der Öffentlichkeit bislang kaum Beachtung. Denn mit der Nutzung von Big Data und den daraus entstehenden Möglichkeiten für Vorhersagen entstehen Fragestellungen psychischer und emotionaler Art, die den Arzt stärker in die Rolle des Psychologen versetzen. „Der behandelnde Arzt nimmt zunehmend die Rolle eines Beraters ein, der den Patienten bei seinen Entscheidungen emotional begleitet und psychisch stützt“, verdeutlicht Riedl das sensible Thema.

Der Patient wird selbstständiger
Dass der Patient generell mehr Entscheidungskraft übertragen bekommt, ist nur ein Teil der Geschichte. Dass er dabei nicht allein gelassen werden darf, eine ganz andere Seite der Medaille. „Die Erklärung der Datenlage gegenüber dem Patienten wird am Ende immer eine Einzelfallentscheidung des Arztes bleiben. Derzeit trifft der Arzt eine bewusste Entscheidung darüber, was er dem Patienten weitergibt oder nicht. Manchmal kann es schädlicher sein, den Patienten emotional mit Wissen zu belasten, als ihm dieses Wissen vorzuenthalten“, macht Riedl deutlich.

Doch was, wenn vor dem Hintergrund von Big Data Voraussagen für die kommenden 20 Jahre möglich werden? „Plötzlich ergibt sich eine viel bessere Informationslage“, so Riedl. „Wir sammeln eine Menge stochastisches Wissen und in vielen Lebensbereichen werden wir eine Regulierung brauchen, wie wir mit diesem Wissen umgehen wollen. Ein klassisches Beispiel ist der Versicherungsmarkt, wo ja heute schon teilweise personenbezogene Daten genutzt werden, um individuelle Risiken und Tarife für die Kunden zu berechnen“, verdeutlicht Riedl. „Auch Prämienverbilligungen werden oft für jene gewährt, die sich von Versicherungen überwachen lassen.“

Im Umkehrschluss bedeutet dies: Jeder ist für sein Schicksal selbst verantwortlich. „Wenn Menschen nur noch zu günstigen Konditionen versichert werden, wenn sie entsprechend gesund und risikoarm leben, was immer auch die Definition jeweils dafür sein mag, oder wenn sie abgestraft werden, wenn sie ungesund und riskant leben, „dann muss man regulieren, wie weit diese Diskriminierung gehen darf“, bringt Riedl es auf den Punkt und ergänzt: „Kein Mensch hat zu jedem einzelnen Zeitpunkt seines Lebens und in Bezug auf jeden Kontext eine positive Datenlage.“

Datendiskriminierung und Datenemanzipation
Datendiskriminierung ist ein neuer Terminus, auf den wir in Zukunft häufiger treffen werden. Doch noch beschäftigen sich zu wenige Arbeitsgruppen mit dieser Thematik. „Am Ende wird es eine politische Entscheidung darüber geben müssen, welches Wissen man berücksichtigt und welches nicht“, betont der Experte.

Er sieht aber auch Chancen für einen selbstbestimmten Umgang mit Daten. „In der Europäischen Datenschutzgrundverordnung gibt es den Artikel 20, der das Recht auf die Kopie und Weitergabe der einen selber betreffenden Daten in maschinenlesebarer Form regelt. „Damit kann ich meine Daten einer Plattform zur Verfügung stellen, die eine Nutzung für die medizinische Forschung unter kontrollierten Bedingungen ermöglicht“, führt Riedl aus. „Das Problem ist nur, dass wir Governance Regeln entwickeln müssen, die auch zukünftige Risiken und Konsequenzen mit berücksichtigen. Die Vorstellungen der digitalen Transformation sind bislang sehr konventionell. Was die Sache aber so schwierig macht, ist, dass Big Data Methoden, beispielsweise Maschinenlernen, so unglaublich wirkungsvoll sein können.“

„Es ist keine Option Big Data nicht zu nutzen, denn dies wäre unethisch.“ konstatiert Riedl. Dafür birgt die Datenauswertung zu große Vorteile für Medizin und Menschen. „Es ist aber auch unethisch, Big Data zu nutzen, ohne über die Folgen nachzudenken.“ Und: „Für uns als Lieferanten der Daten stellt sich die soziale Frage: Wie weit sind wir auf unsere Sicherheit bedacht, dass wir uns verweigern unsere Daten nutzbar zu machen? Natürlich können wir einseitig von den Daten anderer profitieren ohne sie von unseren Daten profitieren zu lassen, aber wenn zu viele so handeln profitiert niemand. Big Data stellt uns allen nichttriviale ethische Fragen. Auf die Herangehensweise kommt es an!“

Reinhard Riedl promovierter in Reiner Mathematik und hat in verschiedenen Disziplinen zu Fragen rund um das Design und die praktische Nutzung von Informatiklösungen geforscht. Heute leitet er das transdisziplinäre BFH-Forschungszentrum „Digital Society“, an dem Forscher aus über zehn Disziplinen und insgesamt sechs Fakultäten der Berner Fachhochschule zusammenarbeiten. 1995 – 2006 gab er Zürichs Zynischen Theaterindex heraus. Seit 2015 ist Präsident der Internationalen Gesellschaft für Neue Musik Bern.

Creative Commons LicenceCreate PDF

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

,

Sind Big Data, Innovation und Datenschutz vereinbar?

| 0 Kommentare
/0 Kommentare/in , /von

Bedeutet erfolgreicher Datenschutz das Ende von Big Data oder wird Europa durch die ab Mai 2018 geltende Datenschutz-Grundverordnung gar weniger innovativ? Dieser Beitrag beleuchtet die Auswirkungen dieser neuen Vorschriften und zeigt auf, wie Datenschutz Innovation beeinflusst.

Die wichtigste Ressource der Welt ist nicht mehr Rohöl, sondern Daten – so der Titel des Economists vom 6. Mai 2017. Auch wenn für Big Data keine allgemeingültige Definition vorliegt, ist es das Thema, was die Wirtschaft und die Politik in den letzten Jahren beschäftigt. Die Auswertung und Analyse von Daten verspricht ein besseres Verständnis der Nutzer und somit das Potential Innovationen abzuleiten und sich Vorsprünge zu sichern.

Doch nun tritt im Mai 2018 die europaweit geltende Datenschutz-Grundverordnung (DS GVO 2016/679) in Kraft. Darin enthalten sind strenge Vorschriften zum Umgang mit personenbezogenen Daten von EU-Bürgern. Damit richtet sich die DS-GVO nicht nur an Unternehmen aus der EU, sondern auch an Unternehmen, die ihre Dienste an EU-Bürger vermarkten. Verstöße gegen das neue Regelwerk können mit einer Strafe von 4% des Umsatzes oder maximal 20 Millionen Euro belegt werden.

Ist Big Data damit in Europa Geschichte? Schießen wir uns in puncto Innovationskraft damit selbst ins Aus oder können Datenschutz und die Einführung neuer, wettbewerbsfähiger Produkte und Dienstleistungen vereint werden? Können wir bei den Trendthemen Digitale Plattformen und Big Data weiterhin mitziehen oder wird Innovation durch die DS-GVO massiv behindert?

Um diese Fragen zu beantworten, hat das österreichische Bundesministerium für Verkehr, Innovation und Technologie (bmvit) ein Forschungsteam beauftragt. Die crowdbasierte Wiener Innovationsagentur cbased hat gemeinsam mit SBA Research und der Wirtschaftsuniversität Wien untersucht wie sich die neuen Vorschriften auswirken. Der erste Entwurf der Studie wurde öffentlich auf der crowdbasierten Plattform Discuto.io diskutiert und kann dort vollständig eingesehen werden.

Behindert strenger Datenschutz Innovation?
Im Rahmen der DS-GVO kommen neue Vorschriften in Bezug auf den Umgang mit personenbezogenen Daten auf Unternehmen zu. Der Verarbeitung von Daten muss explizit zugestimmt werden, wobei bereits das Speichern oder Anonymisieren der Daten als Verarbeitung angesehen wird. Der Verwendungszweck der Datenverarbeitung muss klar hervorgehoben werden und die Daten dürfen nicht über diesen Zweck hinaus analysiert werden.

Weiterhin bringt die DS-GVO das Recht auf Vergessenwerden und damit die Löschung der Daten mit sich. Klingt simpel, ist aber ein rechtlich unscharf definiertes Feld. Denn der Terminus “Löschen” wird in Datenanwendungen unterschiedlich verwendet. Oft verbirgt sich dahinter keine endgültige Vernichtung, wie es die DS-GVO vorsieht, sondern lediglich eine Entfernung aus der Informationsverarbeitung.

Daten dürfen zwar analysiert werden – was für Big Data wichtig ist, aber nur wenn sie anonym weiterverarbeitet werden. Für die Anonymisierung der Daten bedarf es der expliziten Einwilligung. Zudem hat die Verarbeitung der Daten transparent zu erfolgen, d.h. der Besitzer der Daten besitzt weitreichende Kontrolle über die Verwendung seiner Informationen. Diese Vorschriften zur Transparenz können sich teils mit dem Recht auf Vergessenwerden widersprechen. Hinzu kommt, dass auch die technische Umsetzung vieler Vorgaben noch Forschung benötigt, um definitive Aussagen zu den Wirkungen zuzulassen.

Mit der DS-GVO treten also strenge Datenschutzregeln in Kraft. Schon in der Entstehungsphase des Gesetzestextes wurde kritisiert, dass die neuen Regeln Innovation behindern. Aus der Innovationsforschung ist wiederum bekannt, dass Regulierungen durchaus auch zu Innovation beitragen können. Ein Beispiel ist die Umweltgesetzgebung. Trotz strenger Auflagen wurde das Wirtschaftswachstum nicht beeinflusst, aber die Nachfrage nach innovativen Umwelttechnologien erhöht.

Fünf Wirkungsketten von Innovation
Im Rahmen der Studie wurden die rechtlichen Bestimmungen auf ihre technischen Implikationen untersucht und analysiert, wie sich diese wiederum auf Innovation auswirken können.

Die Kernfrage der Studie lautete, ob strenger Datenschutz Unternehmen bei Innovationen behindert oder ob er dazu beiträgt, dass sie neue Angebote, Business Modelle und Technologien entwickeln, die sowohl die regulatorischen Vorgaben als auch die Wünsche der Abnehmer erfüllen.

In dem Zusammenhang wurden 5 Wirkungsketten identifiziert, über die Datenschutz Innovationsaktivitäten beeinflussen kann.

1. Produkt- und Dienstleistungsprozesse
Innovationsprozesse sind tendenziell datengetriebener als in der Vergangenheit. Ansätze wie Lean Startup propagieren die Bildung von Hypothesen und deren datenbasierte Validierung durch potentielle Kunden über den ganzen Innovationsprozess hinweg. Grundsätzlich könnte hier die DS-GVO Einschränkungen bringen, weil ein Teil der Datensubjekte keine Zustimmung zur Verwendung der Daten gibt bzw. weil für die Nutzung historischer Daten eine neuerliche Einwilligung notwendig ist. Allerdings gibt es für Unternehmen eine Reihe von Optionen, um mit den strengeren Vorgaben der DS-GVO umzugehen. Beispielsweise können Tests mit einer Gruppe von Testusern in den Entwicklungsprozess eingebunden werden. Es ist daher schwer zu argumentieren, dass Datenschutz die Entwicklung von Produkt- und Prozessinnovationen grundsätzlich behindert.

2. Werbe- und datenfinanzierte Businessmodelle
Businessmodelle, die auf Werbeeinnahmen oder verkauften Daten basieren, sind hauptsächlich von der DS-GSVO betroffen. Nutzer müssen der Datenverarbeitung und -weitergabe explizit zustimmen. Untersuchungen haben ergeben, dass schon die derzeit gültige Version der DS-GVO die Effizienz von Werbeschaltungen herabsetzt. Diese Tendenz wird durch die zukünftige DS-GVO weiter verstärkt. Abzuwarten bleibt, ob es den NutzerInnen in Zukunft leichter möglich ist, die Weitergabe ihrer Daten zu verfolgen bzw. ob es klarer sein wird, dass sie mit ihren Daten für kostenlose Produkte zahlen. In jedem Fall, kann davon ausgegangen werden, dass die DS-GVO Business Modelle mit werbe- und datenfinanzierte Innovationsaktivitäten weniger attraktiv macht.

3. Datenschutz als Teil der Marketingstrategie
Die Weitergabe von Daten bzw. die Schaltung von gezielter Werbung entsprechen schon heute nicht den Wünschen der Nutzer. Die überwiegende Mehrheit ist klar für strengen Datenschutz und Kontrollmöglichkeiten was die Weiterverbreitung von persönlichen Daten betrifft. In Kombination mit der DS-GVO können Unternehmen Datenschutz als integrierten Teil ihres Produktangebots platzieren und es als Teil ihrer Marketingstrategie kommunizieren. Insbesondere europäische Unternehmen können dies als Differenzierungsmerkmal im Vergleich zur “datenhungrigen” Konkurrenz wahrnehmen.

4. Gesetzliche Vorgaben ermöglichen die Entwicklung von Datenschutztechnologien
Die DS-GVO schafft grundsätzlich einen „Markt“ für Datenschutztechnologien. Die gesetzlichen Rahmenbedingungen sind gerade für die Entwicklung von Datenschutztechnologien wesentlich, weil Nachfrage für bestimmte Produkte und Dienstleistungen geschaffen wird. Allerdings müssen die gesetzlichen Bestimmungen hinreichend klar sein, um hier sowohl Nachfrage als auch Angebot zu stimulieren. Wenn Ziele zu viel Interpretationsspielraum lassen, steigt die Unsicherheit und nicht die Zahl der Lösungen zur Erreichung der Ziele. Konkret gibt es großen Interpretationsspielraum bei den Forderungeno zum „Löschen von Daten“ oder „Transparenz“ oder „Datensparsamkeit“. Hier kommt es höchstwahrscheinlich erst über die Gerichte zu einer Klärung der Begriffe.

5. Weniger Spielraum für Prozessinnovationen
Prozessinnovationen werden nach Goldfarb und Tucker (2012) durch mehr Datenschutz behindert und unternehmensinterne Abläufe weniger effizient. Denn persönliche Daten werden auch eingesetzt, um interne Abläufe neu zu gestalten und zu optimieren. Da hierbei oft Lösungen von Drittanbietern einbezogen werden, kann es hier ebenfalls zu Restriktionen bei der Datenweitergabe kommen.

Ergebnisse und Empfehlungen
Im Rahmen der Studie konnte kein Nachweis gefunden werden, dass sich strenge Datenschutzbestimmungen positiv auf Innovation auswirken. Dennoch sehen viele Beobachter eine Positionierung Europas als sicherer Hafen für persönliche Daten als Entwicklungschance für die europäische Wirtschaft. Ein Teilnehmer der Diskussion verwies darauf, dass durch strengere Regeln auch neue Chancen für Arbeitsplätze und Businessmodelle (bspw. Datenschutzbeauftragte, datenschutzkonforme Technologie) geschaffen werden.

Gleichzeitig konnte kein direkter negativer Zusammenhang zwischen Datenschutz, Innovation und Big Data festgestellt werden. Wichtig ist jedoch, dass Unternehmen alle begleitenden Maßnahmen setzen, sowohl auf technischer Seite (z.B. im Hinblick auf die Anonymisierung und Löschung der Daten) als auch auf der Aufklärungsseite, sodass alle Nutzer über die Datenverarbeitung informiert sind und entsprechend zustimmen können.

Welche Effekte die DS-GVO wirklich auf die Innovationskraft Europas hat, wird man natürlich erst nachweislich beobachten können, wenn diese ab Mai 2018 in Kraft getreten ist.

Die gesamte Studie kann auf Discuto.io eingesehen werden:
https://www.discuto.io/de/consultation/29627

Creative Commons LicenceCreate PDF

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

,

Bundesrat Ueli Maurer unterzeichnet Tallinn Declaration

| 0 Kommentare
/0 Kommentare/in , /von

Im Rahmen der «Ministerial eGovernment Conference» in Estland hat Bundesrat Ueli Maurer am Freitag, 6. Oktober 2017 eine von EU und EFTA gemeinsam erarbeitete «Declaration on eGovernment» unterzeichnet. Die Deklaration enthält fünf zentrale Prinzipien für E-Government und soll als Leitfaden zur Weiterentwicklung dienen. Societybyte hat Bundesrat Ueli Maurer dazu befragt.

Sie haben die Tallinn Declaration on eGovernment mitunterzeichnet. Was war Ihre Hauptmotivation?

Die Schweizer Behörden haben die Bedeutung des E-Government früh erkannt. Die aktuelle E-Government-Strategie Schweiz wurde für den Zeitraum 2016-2019 beschlossen. Sie soll in Kürze erneuert werden. Dazu bildet die Deklaration von Tallinn eine wichtige Leitlinie; die fünf darin beschriebenen Prinzipien sollen auch für die Schweiz zur Anwendung kommen und baldmöglichst umgesetzt werden.

Welche grundsätzlichen Herausforderungen sehen Sie auf die Verwaltung durch die Digitalisierung zukommen? [siehe 1] 

Im Rahmen des E Government müssen alle Behördenleistungen kritisch hinterfragt werden. Braucht es diesen Prozess noch? Kann der Ablauf vereinfacht und beschleunigt werden? Welche Medienbrüche können künftig vermieden werden? Solche Fragen müssen wir uns stellen, wenn wir Prozesse digitalisieren wollen. Eine wesentliche Herausforderung bleibt der Aufbau von nationalen Basisinfrastrukturen wie beispielsweise der E-ID und eines nationalen Adressregisters. Denn ohne diese Basisinfrastrukturen sind viele gute E-Government-Lösungen, welche zurzeit entwickelt werden, nur sehr schwer umsetzbar.

Wie kann der Bund die Datenwirtschaft in der Schweiz fördern? [siehe 2] 

Der Bund muss zuerst die Rahmenbedingungen schaffen, damit Datenwirtschaft in der Schweiz gefördert werden kann. Danach kann er unterstützend beim Aufbau der dafür notwendigen Infrastrukturen helfen und letztlich den Datenschutz sowie die Datensicherheit ge-setzlich verankern.

Was ist geplant, damit Schweizer Unternehmen ohne Nachteile am entstehenden Digitalen Binnenmarkt teilhaben können? [siehe 3] 

Durch die Schaffung eines europäischen Binnenmarktes werden Hindernisse nationaler Anbieter abgebaut, so dass diese einfach innerhalb des gesamten Binnenmarktes operieren können. Die Schweiz arbeitet deshalb seit einigen Jahren aktiv an der Strategie des «Digital Single Market» mit. Ausserdem sind wir mit dem Programm DaziT daran, die Zolldienstleistungen konsequent zu digitalisieren. Künftig wird der Import und Export deutlich effizienter ablaufen.

In welchen Bereichen soll in der Schweiz das Once-Only-Prinzip bis 2022 umgesetzt werden?

Um dieses Prinzip umzusetzen, bedarf es unter anderem sicherer Datenregister, welche es erlauben, dass verschiedene Behörden auf gemeinsame Daten zugreifen. Für den Bürger und Unternehmen bedeutet dies, dass sie persönliche Daten nur einmal eingeben müssen. In diesem Sinne soll das «once-only»-Prinzip möglichst überall zur Anwendung kommen.

Was ist geplant, um die Interoperabilität im Schweizer E-Government verstärkt zu fördern? Konkret: Wird es einen Schweizer Interoperabilitätsframework geben? [siehe 4]

Die technische Interoperabilität wird durch die Befolgung der relevanten E-Government-Standards bereits in der E-Government-Strategie sichergestellt. Via den gemeinnützigen Verein eCH wird die Umsetzung internationaler Standards gefördert. Erfolgreiche Praxisbeispiele sollen gefördert und Investitionen optimal genutzt werden. Dies ist für Interoperabilität essentiell.

Die Deklaration bekennt sich dazu, staatliche Lösungen für die eID, eSignature, eDelivery, eProcurement und eInvoicing der Privatwirtschaft zur Verfügung zu stellen. Was ist dazu in der Schweiz geplant?

Die Deklaration sagt, dass der Staat quasi die Spielregeln definiert, die konkrete Ausgestaltung aber kann durchaus auch mithilfe privater Firmen stattfinden. Dies zeigt sich aktuell auch bei der E-ID. Der Staat soll sich auf die Definition der rechtlichen Rahmenbedingungen und die Bereitstellung von Identitätsdaten konzentrieren.

Wie könnte in Zukunft die Zusammenarbeit in der Quadrupel-Helix [siehe 5] in Bezug auf E-Government aussehen? [siehe 6]

Die Zusammenarbeit auf der interföderalen Ebene ist bereits gut ausgebaut. Als Beispiel lässt sich das Nutzerboard von E-Government Schweiz nennen. Hier treffen sich Vertreterinnen und Vertreter von Staat, Hochschulen sowie Wirtschaft, um gemeinsam aktuelle Themen zu besprechen. Auch für die Erneuerung der E-Government Strategie Schweiz ab 2019 wollen wir intensiv mit den Kantonen und Städten den Dialog pflegen und diese neue Strategie gemeinsam erarbeiten.

Wie wollen Sie die Kooperation mit den anderen Staaten im Bereich Cybersecurity, beispielsweise bei operativen Herausforderungen und in der Forschung, fördern? [siehe 7]

Im Bereich Cybersecurity ist die internationale Zusammenarbeit äusserst wichtig. Der Austausch von Informationen zu entdeckten Schwachstellen und neuen Angriffsformen mit vertrauenswürdigen Partnern im In- und Ausland gehört zum täglichen Geschäft unserer Spezialisten. In der neuen Nationalen Strategie zum Schutz vor Cyberrisiken ist geplant, diese Zusammenarbeit wo nötig noch weiter auszubauen.

Wird es in Zukunft Experimente geben, in denen die Einwohner der Schweiz neue eGovernment-Dienstleistungen mitgestalten können? [siehe 8]

Im Rahmen des Dienstleistungskonzepts «Zugang zu Behördenleistung» entwickelt die Bundeskanzlei Massnahmen, um Behördenwebsites zu verbessern. Unter anderem geht es darum Dienstleistungen anzubieten, die auch wirklich einem Bedürfnis entsprechen und nicht solche, von denen die Behörden hoffen, dass sie allenfalls nachgefragt werden.

Was wäre Ihr Ziel: Wie viele Prozente der Informatikausgaben des Bundes sollen in E-Government-Programme fliessen? [siehe 9]

Sicherlich mehr als bisher. Es geht darum, die zugrundeliegenden Prozesse nachhaltig zu verbessern. Dazu braucht es neben finanziellen Mitteln vor allem hoch qualifizierte Mitarbeitende und eine Führung auf höchster Ebene, welche diese Transformation aktiv vorlebt.

[1] In der Deklaration wird festgestellt, dass die digitale Transformation die Rolle und Funktion der öffentlichen Verwaltung in Frage stellt und die Unterzeichner es als Ihre Pflicht ansehen, diese Herausforderung zu antizipieren und zu managen.

[2] Eine weitere gut nachvollziehbare Feststellung der Deklaration ist, dass eGovernment eine zentrale Rolle für die Datenökonomie und den digitalen Grenzabbau, das heisst die Schaffung eines Digitalen Binnenmarkts, spielt.

[3] Eine weitere gut nachvollziehbare Feststellung der Deklaration ist, dass eGovernment eine zentrale Rolle für die Datenökonomie und den digitalen Grenzabbau, das heisst die Schaffung eines Digitalen Binnenmarkts, spielt.

[4] Die Deklaration bekennt sich unter anderem zur Umsetzung des Only-Once-Prinzips für wichtige Dienstleistungen und zur Förderung der Nutzung nationaler eIDs und zur Arbeit an nationalen Interoperabilitätsframeworks.

[5] Quadrupel-Helix (QH) steht für die Vernetzung zwischen Wirtschaft, Verwaltung, Hochschulen und Zivilgesellschaft.

[6] Die Unterzeichner der Deklaration bekennen sich dazu, Schritte zu unternehmen, um die sektorübergreifende Zusammenarbeit zu fördern.

[7] Die Deklaration bekennt sich zu mehr Kooperation unter den Unterzeichner im Bereich Cybersecurity, insbe-sondere auch im operativen Bereich und in der Forschung.

[8] Die Deklaration bekennt sich zur benutzerzentrierten Gestaltung von Dienstleistungen, insbesondere zu einer vermehrten

[9] Involvierung der „Citizens“ in die Gestaltung von neuen Dienstleistungen.
Derzeit ist es etwa 1 Promille.

 

Creative Commons LicenceCreate PDF

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.

,

Success Matters, Doing is Not Good Enough

| 0 Kommentare
/0 Kommentare/in , /von

Swiss e-government is positive thinking in practice. All projects are successful. Permanent speed-up is taking place. And, last but not least, progress is pretty slow. Switzerland is lagging behind.

The Digital Switzerland Strategy has a roadmap about doing things: which agency will do what for which time period. This roadmap materializes what is called input controlling in public administration science. It will lead to good work measured in terms of input controlling, but we should not expect too much relevant progress.

Going for delivery culture
Output controlling, if it would matter, is materialized by roadmaps on achievements: What is achieved until when and who is responsible for each task. Even better is, if there exists a second road map with outcomes, and the relationship between output and outcome is scrutinized. Independent of whether we are looking at the output or the outcome roadmap, it is important to understand what is not on this roadmap: this is “who does what and when”. If you want to achieve a delivery culture, you have to get away from the spirit of input controlling and you have to get rid of the equality of tasks, accountability, and span of control.

If we move from input controlling to output controlling, and then from output controlling to outcome controlling, the public value created by tax payers’ money is each time increased. But in order to do so, we have to start evaluating project outputs and outcomes with scrutiny.

Features of the input culture
Typical features of input culture are high success rates, ignorance for key minor steps, and no sense of risk and urgency, whereby the latter can go well hand in hand with regular speed up initiatives.

In the past, Switzerland has monitored the success of its priority projects in e-government, but no one ever heard of a single failure. Maybe I have overlooked one, but in any case the success rate is fantastically close to 100%. And even more, no waste of money was reported. This is the record of several dozens of projects. Question: What does this tell us?

There are many small successes, for example in the area of registers for buildings and living places (link: not available in English) or in the area of government platforms for cantons. These successes are not celebrated and are much less well known than the many long-living construction sites of Swiss e-government. This highlights, that perceived success is not delivery, but doing. Question: What does this tell us?

Switzerland does have success culture in its companies, at least in some, but it lacks a success culture in e-government. Projects are not evaluated in a both clear and differentiated way. Risk registers look like they had been written by students, if they exist at all. This is natural, because if you never fail, you can never understand the concept of risk.

Remarkably enough, contrary to real success, speed does matter in Swiss e-government. And speed is achieved by getting rid of expertise that could block progress. Practitioners work hard to kick out experts – and if they have to invite experts, they invite them from abroad. As a foreign expert, you are usually polite. Personally, I have experienced in Norway, that I was much nicer in evaluations than the locals – although these locals were very charming people. But when the local experts looked at innovation projects, their judgements were harsh. In Switzerland, usually no local experts help foreign experts to benchmark their politeness. Even worse, no academic research deals seriously with success in public innovation. There are no funds for academic scrutiny. Question: What does this tell us?

Different types of accountability
It is important to note, that Switzerland does have a strong accountability. Its public administration is in the large not corrupt at all. It outperforms most public administrations of the world – and even most large companies. But it is culturally adapted to a slow change of environment conditions. In such environments it is good enough to hold people accountable for the money they spend. In environments with fast change, this type of traditional accountability fails. There, outcome matters – not input, and not output either. Very good is not excellent enough. And zero or one perspectives do not properly describe the outcome, but you have to look closer to learn for the future.

What should change?
Switzerland has about 13.5 years* to start changing its e-government culture – that is a very looooong time. It is good enough to start up a success culture in 13.5 years. But if we only start in 13.5 years, we shall not be allowed any mistakes anymore. Whoever thinks that she or he does make mistakes, should start earlier. From a practitioner’s point of view – as theory does not make predictions on this – starting last year was on time.

Quite seriously, we have to look closely at the output and the outcome of e-government projects. We have to learn from success and from failure. We have to celebrate the small successful steps, even if they do not look great. We have to keep responsible managers and politicians accountable for outcome, even if they have no ability to fully control it. There is no good or bad management other than successful or unsuccessful management.

A delivery culture demands entrepreneurial behavior. It is simply a myth, that entrepreneurial behavior of managers in public administration contradicts public law. The sovereign wants more than just correct spending of tax payers’ money. And if you do not believe that, ask the sovereign!

* Of course, “13.5 years” is a biblical number. You can equally assume one third of forty years.

 

Creative Commons LicenceCreate PDF

Ähnliche Beiträge

Es wurden leider keine ähnlichen Beiträge gefunden.