Gefahren der Digitalisierung

Die Europäische Kommission eröffnete in einer Pressemitteilung am 10. November 2020, ein weiteres Verfahren gegen den Anbieter Amazon einzuleiten, in welchem untersucht werden soll, ob es sich bei der aggressiven Preispolitik Amazons um eine Verzerrung des Wettbewerbes und einen Verstoß gegen das Kartellrecht handelt. Das ist nicht das erste Verfahren, mit dem sich der Technikgigant Amazon konfrontiert sieht, so wurde in den Jahren zuvor bereits wegen Verstößen gegen das Datenschutzrecht geklagt. Zur Last gelegt wird Amazon, sich durch die Analyse von Daten unabhängiger Verkäufer*- und Käufer*innen Wettbewerbsvorteile verschafft und Konkurrenten vom Markt verdrängt zu haben. Was hat das nun mit Sozialwirtschaft zu tun, fragt man sich. Auf den ersten Blick vermeintlich nichts, da diese Prozesse sich allesamt auf den privatwirtschaftlichen Sektor beziehen. Die Sozialwirtschaft scheint weit von solchen Bedrohungsszenarien entfernt zu sein, die Nutzung von digitaler Technologie in den Organisationen beschränkt sich meist auf Dokumentation, Vernetzung mit Akteuren und mobilen Zugang zu Klient*innendaten über digitale Arbeitsgeräte. Und doch hat die weltweite Digitalisierung und der Handel mit Daten einen wesentlichen Einfluss auf die soziale Organisationslandschaft. (vgl.

Althammer 2018: 225)

2.2.1. Herausforderungen, Umgang mit sensiblen Daten

Einrichtungen der Sozialwirtschaft arbeiten üblicherweise mit großen Datenbanken, in denen unter Beachtung des Datenschutzgesetzes klient*innenrelevante Informationen gespeichert sind. Diese stehen auch den am Leistungserbringungsprozess beteiligten Institutionen zur Verfügung und werden ausgetauscht. Davon profitieren sowohl Klient*innen als auch Bearbeiter*innen, denn durch die schnelle und einheitliche Verfügbarkeit von relevanten Informationen können Prozesse vereinfacht und beschleunigt werden. Diese Daten sind im Sinne der DSGVO zu behandeln, Klient*innen müssen dazu schriftlich, elektronisch oder auch mündlich ihr Einverständnis geben, denn es gilt das europäische Recht auf informationelle Selbstbestimmung. Das bedeutet das Grundrecht auf die Befugnis des*der Einzelnen, selbst über die Preisgabe und Verwendung der eigenen Daten zu bestimmen. (vgl. Althammer 2018: 226) Für die fallführenden Person gelten Schweigepflicht und strenge Kriterien für die Datenaufbewahrung, -sicherung und -weitergabe. Im Gegensatz zum Datenschutz ist die Pflicht zur Verschwiegenheit strafrechtlich relevant, was bei der Gestaltung von technischen und organisatorischen Prozessen und Abläufen eine entscheidende Rolle spielt.(ebd.: 226) Laut Althammer fiel mit dem Sommer 2017 diese große Hürde für die

Sozialwirtschaft, mit dem Gesetz „zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen“. Das stellt für Leitungskräfte in der Wahrnehmung und Ausübung ihrer Pflichte eine ungemeine Erleichterung dar, denn zuvor hatten Mitarbeiter*innen aus Angst vor Strafrechtlichen Konsequenzen, Verstöße gegen Verschwiegenheit und Datenschutz nicht gemeldet, was ein zusätzliches Sicherheitsrisiko für die Daten darstellt. Mit dieser Gesetzesänderung ist es nun möglich, externe Anbieter*innen und Akteur*innen im Rahmen der Verschwiegenheit an digitalen Prozessen zu beteiligen oder diese externe auszulagern.

Damit wird es möglich, Expert*innen in die Entwicklung von digitalen Prozesse und Strategien wie die Optimierung von Datenbearbeitungsprogramme einzubinden und technische Lösungen unabhängig oder gemeinsam zu entwickeln.

Mit der verstärkten Konzentration auf die Datensicherheit bei der Anwendung von digitalen Techniken erwachsen für die leitenden Angestellten von Organisationen der Sozialwirtschaft neue Herausforderungen und Aufgabenstellungen. Das impliziert ein gewisses Knowhow und auch Abstraktionslevel für das Verständnis von digitalen Prozessen wie die Handhabung von Datenmanagementsystemen, Datenverwaltung und erfordert die regelmäßigen Überprüfung von Arbeitsweisen auf Schwachstellen und Sicherheitslücken. Um diese näher zu beleuchten, wird die Autorin kurz auf die für die Sozialwirtschafte relevanten Bereiche der DSGVO eingehen, um dann im nächsten Kapitel mögliche Sicherheitslücken zu beschreiben. Eine Einschätzung und Beurteilung dieser Risiken bestimmt in weiterer Folge den Handlungsspielraum und beschreibt den Aktionsrahmen von Leitungskräften, um entsprechend auf die mögliche Bedrohungsszenarien und rechtliche Fallstricke zu reagieren. Diese Auseinandersetzung betrifft folglich auch die Rahmenbedingungen von digitaler Arbeit und Formen der Zusammenarbeit, wie sie im Home-Office stattfindet.

2.2.2. Datenschutz Grundverordnung

Die Datenschutz Grundverordnung (DSGVO) wurde 2015 von der EU für alle Länder vereinheitlicht, mit länderspezifischen Zusätzen und hinausgehenden Vorgaben. Für die Sozialwirtschaft sind insbesondere folgende Regelungen wichtig:

• Privacy by Design: Datenschutz durch Technikgestaltung, das bedeutet, dass sich Soft- und Hardware bereits in der Entwicklung an den Datenschutzanforderungen orientiert.

• Privacy by Default schützt die User insofern, dass neue Software, Hardware und Services bereits nach der Auslieferung und Installation datenschutzfreundlich voreingestellt sind, damit die Privatsphäre geschützt wird.

• Umfangreiche Dokumentationsanforderungen und Umkehr der Beweislast. Im Falle von Kontrollen seitens der Datenschutzbehörde müssen die Verantwortlichen ein wirksames Datenschutzmanagement vorweisen. Im Falle eines Verstoßes können Schadenersatzklagen, Strafen und Sanktionen erfolgen.

(vgl. Althammer 2018: 228)

Die Datenschutz-Grundverordnung verleiht Personen auch das Recht, die Löschung ihrer Daten zu verlangen und Organisationen sind verpflichtet, dieser Aufforderung nachzukommen. Hierbei kommt das Recht auf „Vergessenwerden“ zum Einsatz.

Organisationen sind dazu angehalten, angemessene Maßnahmen (auch technischer Art) zu treffen, um dieser Aufforderung nachzukommen. Eine weitere wichtige Regelung der DSGVO betrifft die Speicherung und Löschung von hochsensiblen Klient*innendaten, dabei legt die EU-Datenschutz-Grundverordnung (DSGVO) die Speicher-, Verjährungs- und Aufbewahrungsfristen von Personendaten fest, die je nach Branche auf eine Aufbewahrungsfrist von zwei bis sieben Jahre festgelegt ist. (vgl. WKO Österreich 2020 EU-Datenschutz-Grundverordnung)

2.2.3. Sicherheitslücken

Dass Daten geschützt aufbewahrt und verarbeitet werden, obliegt den Institutionen und Behörden, die sich der DSGVO verpflichten. Ihre Einhaltung ist jedoch nur schwer zu kontrollieren, vieles basiert auf das Vertrauen, das Organisationen ihren Mitarbeiter*innen entgegenbringen. Dass dies oft nicht ausreicht, zeigt ein jüngstes Beispiel der Büchereien Wien. 2019 wurden von über 713.000 Nutzer*innen Daten geleakt. Die Datensätze, die entwendet wurden, beinhalteten umfassende personenbezogene Daten zu den Mitgliedern wie Sozialversicherungsnummer, Wohnadresse, Beschäftigungsverhältnis, AMS-Meldung, Bankdaten, Familienstand sowie teilweise auch höchstpersönliche Vermerke der Bibliotheksmitarbeiter*innen über einzelne Personen. (vgl. Riegler 2019) Das Prozedere ist dabei immer das gleiche. Durch irrtümlich heruntergeladene Cookies, die sich als update tarnen oder die Installation und Anwendung von externer Software werden oft Cookies als Ransomware installiert, die unbemerkt am Arbeitsgerät Daten

uploaden. In den gravierenden Fällen legen diese ganze Systeme lahm, indem sie den Zugriff der Computerinhaber*innen auf Daten und Nutzung verhindern. Davon sind vor allem kleinere Unternehmen im sozialen Sektor, die nicht in die großen Datenbanken eingebunden sind und dementsprechende Sicherheitsvorkehrungen installiert haben, betroffen. Aber auch große Organisationen der Sozialwirtschaft sind von Data Breach nicht gefeit. Der Privacy by Design-Bereich stellt in der Sozialwirtschaft immer noch eine Schwachstelle dar, vermutlich aus Kostengründen. Mangelhaft ausgestattete Geräte und Anwendungen sind willkommene Hintertüren für Datendiebstahl oder -missbrauch.

Organisationen sparen auch bei der Löschung von Daten und kaufen lieber Speicherplätze zu. Das hat damit zu tun, dass der Wertverfall von externen Speichermedien und Storage-Möglichkeiten in den letzten Jahren extrem stieg. Im Gegensatz hierzu steigen jedoch die Kosten für die Löschung von Daten, da sie meist manuell von Mitarbeiter*innen getätigt werden. (vgl. Althammer 2018: 230) Der Trend, Daten und ihre Verknüpfungen auf größere Datenträger auszuweiten, anstatt diese regelmäßig zu verwalten und zu löschen, führt zu immer größeren Datenakkumulationen, die im Falle einer Cyberattacke auf einmal geleakt werden können, wie es bei der städtischen Bücherei Wien der Fall war. Generell spielen die datenspezifischen Anforderungen an Datenverwaltungsprogramme in der Sozialwirtschaft nur eine untergeordnete Rolle bei der Gestaltung von datensparsamer und datenschutzkonformer Softwarearchitektur. In den meisten Fällen wird bei der Konzeption genau das Gegenteil bezweckt, nämlich das Sammeln und Aufbewahren von Daten. Organisationen, die es sich leisten können, sind aus diesem Grund dazu übergegangen, bereits vorhandene Software aus der Privatwirtschaft für ihre Bereiche zu adaptieren. So arbeiteten viele der großen Organisationen des Wohnungslosenhilfe Netzwerks in Wien mit einem ursprünglich aus der Hotellerie entnommenen und für ihre Zwecke angepassten Hotel Property Management System (PMS).

In einer vernetzten Welt wurden inzwischen die Arbeitsgeräte in einer Bürolandschaft um viele andere Gerätevarianten erweitert. Oft hängen an einem Endgerät über Wireless- und Bluetooth-Funktion Drucker, Scanner, Telefonanlagen, automatische Cloud-Dienste und Unterhaltungsmedien. Diese heterogene IT-Büro-Landschaft ist aber auch anfälliger für Sicherheitslücken, es stellt sich hier wiederum die Frage nach der Verantwortlichkeit, also wer den Überblick über sichere und mögliche unsichere Systeme behält. (vgl.

Althammer 2018: 232) Auch das Aufkommen von New-Work-Modellen wie mobile Arbeits- und Office-Zeiten stellt ein weiteres Sicherheitsrisiko dar. Um im Home-Office arbeiten zu können, werden oft sensible klient*innen und organisationsspezifische

Daten von der Arbeit über Speichermedien nach Hause mitgenommen. Wie der Transport und die Aufbewahrung dieser Informationen passiert, liegt wiederum im Ermessensspielraum der Organisationen, das Schlagwort hierbei ist das „Vertrauen“, das man den Mitarbeiter*innen entgegenbringt.

Ein weiteres Sicherheitsrisiko in diesem Bereich stellen sogenannte Phishing-Attacken dar. Hierbei wird versucht, mit E-Mails und Kurznachrichten an Daten von User*innen zu kommen. Diese meist als E-Mails getarnten Falschinformationen zielen darauf ab, Menschen dazu zu bewegen, Überweisungen zu tätigen oder firmeninternes Wissen preiszugeben. Die Klassiker seien laut Saskia Etschmaier falsche Zahlungsanweisungen und angstmachende E-Mails, seit geraumer Zeit auch mit Coronavirus-Fokus.

(Etschmaier 2021) Die Gefahr ist im Home-Office umso mehr gegeben, da die Kolleg*innen wegfallen, die man im Zweifelsfall um Rat fragen konnte.

Abb. 3: APA/ORF.at; Quelle: onlinesicherheit.gv.at (ORF 2021)