Kontakt
Fraunhofer-Institut für Sichere Informationstechnologie
Rheinstraße 75
64295 Darmstadt
- Projekt-Koordination
Dr. Annika Selzer
Tel. +49 6151 869 367
Fax +49 6151 869 224
Diese Unterseite zeigt Neuigkeiten und Veröffentlichungen des Projekts Edumida während seiner Laufzeit (2021-2024). Das Projekt ist mittlerweile erfolgreich abgeschlossen.
Mitte März 2024 findet das Abschlusstreffen des Projektes statt. Im Rahmen des Abschlusstreffens werden die theoretischen Projektergebnisse sowie der Projekt-Demonstrator vor- und zur Diskussion gestellt.
Das Edumida-Konsortium bedankt sich bei Ihnen allen für das Interesse an dem Projektfortschritt über die gesamte Projektlaufzeit. Beim Projektfördergeber bedankt sich das Konsortium für die Förderung des Projektes und die somit geschaffene Möglichkeit, das wichtige Thema des Arbeitnehmerdatenschutzes in agilen Arbeitsumgebungen erforschen zu können; beim Projektträger bedankt sich das Konsortium für die inhaltliche und organisatorische Begleitung des Projektes über die gesamte Projektlaufzeit.
Neue EduMiDa-Veröffentlichung in der Zeitschrift für Datenschutz erschienen
Titel: Die (zufällige) Erhebung sensibler Daten
Abstract: Wenn der EuGH dahingehend zu verstehen ist, dass jegliches Datum, aus dem sich indirekt sensible Informationen nach Art. 9 Abs. 1 DSGVO ergeben können, unter Art. 9 DSGVO fällt, wird dessen Anwendungsbereich massiv ausgedehnt. Das gilt insbesondere, weil einige sensible Informationen eng mit dem äußeren Erscheinungsbild von Personen zusammenhängen und darüber hinaus durch den technischen Fortschritt mit Big Data und KI-Anwendungen immer mehr Zusammenhänge hergestellt werden können. Das stellt die verantwortlichen Stellen in der Praxis vor große Herausforderungen. Dieser Beitrag versucht diese praktischen Herausforderungen über einen dreistufigen Ansatz interessengerecht und im Einklang mit der Rechtsprechung des EuGH zu lösen.
Alle Projektmeilensteine erreicht
Das Edumida-Projekt hat den Meilenstein Drei – und somit den letzten Meilenstein des Projektes – erreicht:
Nach einem Projektjahr wurde der erste Meilenstein des Projekts erreicht: Die formelle Beschreibung und Analyse von Anwendungsszenarien und Zielgruppen der Metriken sowie die strukturierte Erfassung von Anforderungen des Mitarbeiterdatenschutzes war abgeschlossen.
Nach der Hälfte der Projektzeit wurde der zweite Meilenstein des Projekts erreicht: Ein Kriterienkatalog einschließlich Gütekriterien von Metriken speziell für den Mitarbeiterdatenschutz wurde erstellt und die zur Messung eingesetzten technischen Daten identifiziert. Letztlich wurde die Spezifikation der lokalen und serverseitigen Komponenten der EduMiDa-Architektur als Grundlage für die nachfolgende Implementierung vollendet.
Ein halbes Jahr vor Projektende wurde nun der dritte Meilenstein des Projekts erreicht: ein Demonstrator (Version 1), der im Projekt EduMiDa definierte Metriken zu Verifikation des Mitarbeiterdatenschutzes umsetzt. Der Demonstrator der Version 1 wurde getestet und im Laufe des Projekts auf Basis der Testergebnisse weiter optimiert.
Das Edumida-Konsortium wird am 3. September 2023 im Rahmen der Konferenz “Mensch und Computer 23“ Teilergebnisse des Projektes präsentieren.
Titel: Legal Requirements and Technical Metrics for Controlling Privacy of Employees’ Location Data
Abstract: Companies usually store a lot of personal data about their employees. Metrics for automated verification of the compliance with the data minimization and storage limitation requirements provided in the General Data Protection Regulation (GDPR) can help companies meet their monitoring obligations. Furthermore, employees can monitor the processing of their personal data and verify that the processing of their personal data is lawful. In particular, metrics can be used to monitor complex data privacy requirements such as the data minimization or storage limitation. For this purpose, suitable data sources are combined in a meaningful way to obtain indicators of data protection. This paper outlines basic metrics for an application scenario from the field of agile workforce management in logistics. The metrics are intended to verify compliance when processing real-time location data for rescheduling employees. To this end, the local logistics and workforce management system is supplemented by a proxy server and a metrics service - two trusted components within the logistics enterprise network. In particular, the metrics system prevents the internal company network from directly accessing employee location data. Depending on the role in the company (e.g., data subject, management, works council, data protection officer), it can provide different sets of metrics on current data protection.
Artikel in „Le Monde“ erschienen
Pünktlich zum 5. Jahrestag des Anwendbarwerdens der DSGVO ist, basierend auf einem Interview mit Fraunhofer SIT im Rahmen des Edumida-Projektes, in der französischen Tageszeitung „Le Monde“ ein Artikel zum Bußgeldrahmen der DSGVO erschienen. Der Artikel ist (in Teilen) unter nachfolgendem Link einsehbar: https://www.lemonde.fr/pixels/article/2023/05/25/rgpd-quel-bilan-en-matiere-de-sanctions-cinq-apres-l-entree-en-vigueur-du-reglement_6174748_4408996.html.
Neue Edumida-Veröffentlichung erscheint im Juni in der Fachzeitschrift Datenschutz und Datensicherheit
Titel: Metrikensysteme als Beitrag zur Umsetzung des risikobasierten Ansatzes – Angemessene Umsetzung des technisch- organisatorischen Datenschutzes durch Metrikensysteme.
Abstract: Um angemessene technische und organisatorische Maßnahmen gem. Art. 32 DSGVO auszuwählen und umzusetzen, müssen Organisationen das Risiko für die Rechte und Freiheiten natürlicher Personen einerseits sowie den Stand der Technik und die Implementierungskosten der zum Schutz der betroffenen Personen zu treffende technische und organisatorische Maßnahmen andererseits gegeneinander abwägen. Diese Abwägung stellt Organisationen vor große Herausforderungen, Hilfestellung stehen bisher kaum zur Verfügung. Der vorliegende Beitrag befasst sich vor diesem Hintergrund mit der Frage der Abwägung dieser grundverschiedenen Aspekte.
Neue Edumida-Veröffentlichung erscheint im Mai in der Fachzeitschrift Datenschutz und Datensicherheit
Titel: Angemessene technische und organisatorische Maßnahmen – Organisationen im (ökonomischen) Balanceakt zwischen Risiken und Kosten.
Abstract: Um angemessene technische und organisatorische Maßnahmen gem. Art. 32 DSGVO auszuwählen und umzusetzen, müssen Organisationen das Risiko für die Rechte und Freiheiten natürlicher Personen einerseits sowie den Stand der Technik und die Implementierungskosten der zum Schutz der betroffenen Personen zu treffende technische und organisatorische Maßnahmen andererseits gegeneinander abwägen. Diese Abwägung stellt Organisationen vor große Herausforderungen, Hilfestellung stehen bisher kaum zur Verfügung. Der vorliegende Beitrag befasst sich vor diesem Hintergrund mit der Frage der Abwägung dieser grundverschiedenen Aspekte.
Seminar "Beschäftigtendatenschutz in der Gig-Ökonomie"
Vor dem Hintergrund des EduMiDa-Projekts veranstaltet die Forschungsgruppe IT-Sicherheit der Westfälischen Wilhelms-Universität Münster im Sommersemester 2023 ein Bachelor-Seminar, das den "Beschäftigtendatenschutz in der Gig-Ökonomie" beleuchtet. Die Gig-Ökonomie bezeichnet einen Teil des Arbeitsmarktes, bei dem kurzfristigen kleine Einzelaufträge über Online-Plattformen wie etwa Wolt, Uber oder Gorillas vermittelt werden. Die Unternehmen verarbeiten insbesondere Standortdaten Beschäftigter in Echtzeit. Im Rahmen des Seminars werden – zum Teil im Rahmen des Projekts EduMiDa erarbeitete – Grundlagen des Datenschutzrechts, des Datenschutz durch Technik und der Ökonomie des Datenschutzes vermittelt. Die Seminararbeiten werden etwa ökonomische Aspekte des Beschäftigtendatenschutzes, technische Datenschutzmaßnahmen bei der Verarbeitung von Echtzeit-Standortdaten oder technischen Fragen der Implementierung von Datenschutzmetriken behandeln.
Vortrag „Gestaltung von Datenschutz-Grundsätzen und -Schutzmaßnahmen in IT-Systemen“ am 13.12.22 im Rahmen der IT-Tage 365
Eine Mitarbeiterin des Fraunhofer SIT hat im Rahmen der IT-Tage 365 im Rahmen eines Vortrags Teilergebnisse des Edumida-Projektes vorgestellt, die darauf abzielen, Datenschutzanforderungen im Rahmen von Entwicklungsprozessen (insbesondere im Rahmen der Entwicklung eines Metrikensystems zur Messung der Qualität des Mitarbeiterdatenschutzes) angemessen umzusetzen.
Neue Edumida-Veröffentlichung in der HMD Praxis der Wirtschaftsinformatik erschienen (online first).
Titel: Ein Vorschlag für die datenschutzkonforme Gestaltung von Datenschutz-Grundsätzen und -Schutzmaßnahmen in IT-Systemen – Angemessene technische und organisatorische Schutzmaßnahmen nach Art. 32 DSGVO.
Abstract: Plant eine Organisation ein neues IT-System, mit dem es personenbezogene Daten ihrer Kunden oder Mitarbeiter verarbeiten möchte, so stellt es den Planer des IT-Systems häufig vor große Herausforderungen, die Entwicklung und Inbetriebnahme des neuen IT-Systems unter Beachtung der einschlägigen datenschutzrechtlichen Anforderungen umzusetzen. Häufigster Hemmschuh für eine datenschutzkonforme Entwicklung und Inbetriebnahme eines neuen IT-Systems sind einerseits fehlende Fachkenntnisse zu datenschutzrechtlichen Rahmenbedingungen – insbesondere die datenschutzrechtlichen Anforderungen, die sich aus der Datenschutz-Grundverordnung ergeben und die entsprechend des darin verankerten risikobasierten Ansatzes angemessen umzusetzen sind – sowie andererseits fehlende Erfahrungen zur Gestaltung der Umsetzung dieser Anforderungen, auch hinsichtlich der Einbindung von Funktionsträgern innerhalb der Organisation seitens des Planers des IT-Systems. Der vorliegende Aufsatz möchte vor diesem Hintergrund einen Beitrag dazu leisten, Planern von IT-Systemen die wichtigsten einschlägigen Datenschutzanforderungen aufzuzeigen sowie Empfehlungen zur Umsetzung dieser Anforderungen zu geben.
Le Monde-Interview
Die französische Zeitschrift Le Monde hat das Fraunhofer SIT zu ihrem Vortrag im Rahmen des CNIL-Privacy-Research-Days interviewt, im Rahmen dessen Zwischenergebnisse des Edumida-Projektes zur Angemessenheit technischer und organisatorischer Schutzmaßnahmen vorgestellt wurden.
Das Edumida-Konsortium wird am 26. September im Rahmen der GI-Jahrestagung “Informatik 2022“ Teilergebnisse des Projektes präsentieren.
Titel: Messung der Datenminimierung für den Beschäftigtendatenschutz am Beispiel von Standortdaten -- Verifikation der datenschutzrechtlichen Anforderungen an die Datenminimierung mithilfe von Metriken.
Abstract: Metriken zur automatisierten Verifizierung der Umsetzung des Datenminimierungsgebots können Unternehmen darin unterstützen, ihren Kontrollpflichten nachzukommen und das Vertrauen ihrer Beschäftigten in eine datenschutzkonforme Verarbeitung ihrer Daten zu stärken. Um sich durch eine Metrik einer komplexen datenschutzrechtlichen Anforderung wie dem Gebot der Datenminimierung anzunähern, sind geeignete Datenquellen sinnvoll miteinander zu kombinieren. Diese Arbeit skizziert grundlegende Metriken zur Kontrolle der Datenminimierung anhand eines Anwendungsszenarios im Bereich der agilen Personaleinsatzplanung und beschreibt die prototypische Umsetzung dieser Metriken.
Der Beitrag ist im „Tagungsband INFORMATIK 2022“ der 52. Jahrestagung der Gesellschaft für Informatik erschienen und unter folgendem Link abrufbar: https://nextcloud.gi.de/s/4HZNzZGRxrrxGLs.
Vorstellung von Edumida-Ergebnissen beim CNIL-Privacy-Research-Day
Die Zwischenergebnisse zur rechtlich-ökonomischen Untersuchung im Rahmen des Edumida-Projektes wurden von Fraunhofer SIT am 28. Juni 2022 beim Privacy Research Day der französischen Datenschutzaufsichtsbehörde CNIL in Paris präsentiert und diskutiert.
Das Edumida-Konsortium hat die Priorisierung der datenschutzrechtlichen Anforderungen abgeschlossen.
Dieser Schritt stellte eine Vorarbeit der Metrikenspezifikation dar und erfolgte aus Sicht potenzieller Nutzer sowie aus rechtlicher und technischer Sicht. Die Priorisierung der Anforderungen ergab, dass die Verifikation der Einhaltung der Grundsätze der Rechtmäßigkeit, der Datenminimierung, der Speicherbegrenzung und der Integrität und Vertraulichkeit sowie die Einhaltung der Betroffenenrechte höchste Wichtigkeit in den Edumida-Anwendungsszenarien haben. Die Metrikenspezifikation wird sich zunächst mit der Verifikation der Rechtmäßigkeit (insbesondere Verifikation einer datenschutzkonformen Einwilligung in die Erhebung von Geolokationsdaten und Vitalwerten) und der Datenminimierung (insbesondere Verifikation des datensparsamen Erhebens von Geolokationsdaten und Vitalwerten) beschäftigen. Im weiteren Projektverlauf werden weitere Anforderungen der Prioritätsstufe 1 spezifiziert.
Projektmitarbeiter der Universität Bremen und des Fraunhofer SIT haben einen Beitrag zu einem der möglichen Edumida-Verarbeitungsszenarien veröffentlicht:
Ein relevantes Verarbeitungsszenario im Kontext der agilen Ressourcenplanung stellt die Verarbeitung des geographischen Standorts der Mitarbeitenden dar. Um kurzfristig auf Aufgaben reagieren zu können und so eine effiziente Ressourcenplanung zu ermöglichen, kann die Erhebung der Standortdaten auch während der Pausenzeit erforderlich werden. Hierbei ist u.a. sicherzustellen, dass die Verarbeitung der Standortdaten rechtmäßig erfolgt, z.B. indem eine datenschutzkonforme Einwilligung des betroffenen Mitarbeitenden im Einzelfall eingeholt wird. Für die Verifizierung dieser Anforderung wurde im Rahmen des Beitrags ein erster Vorschlag für automatisiert verifizierbare Metriken erarbeitet.
Der Beitrag ist in der zwölften Ausgabe 2021 der Fachzeitschrift „Datenschutz und Datensicherheit“ erschienen und unter folgendem Link abrufbar: https://rdcu.be/cBZHX.
Projektmitarbeiter der Universität Münster und des Fraunhofer SIT haben einen ersten Beitrag zur ökonomischen Untersuchung des Edumida-Projektes veröffentlicht:
Untersucht wurden die Implementierungskosten der Umsetzung technischer und organisatorischer Maßnahmen sowie die Kosten für Verstöße gegen geltendes Datenschutzrecht gemäß den Bestimmungen der Datenschutz-Grundverordnung anhand einer Auswertung ergangenen Bußgeldbescheide und Entscheidungen zu Schadensersatzforderungen. Die Autoren nehmen eine Abwägung der Kosten vor und leiten daraus Rückschlüsse auf die Frage der angemessenen Umsetzung von Datenschutzmaßnahmen ab.
Der Beitrag ist in der dritten Ausgabe 2021 der „European Data Protection Law Review“ erschienen und unter folgendem Link abrufbar: https://edpl.lexxion.eu/article/EDPL/2021/3/15.
Im Rahmen erster inhaltlicher Workshops wurden die Zielgruppen des EduMiDa-Metrikensystems (u.a. betriebl./behördl. Datenschutzbeauftragte, Mitarbeitende) identifiziert. Des Weiteren wurden die im Rahmen des Projektes näher zu betrachtenden Anwendungsszenarien im Bereich der Logistik (u.a. Umplanung des Mitarbeitereinsatzes wegen Technikausfall, Pausenplanung der Mitarbeitenden) identifiziert und beschrieben.
Das Projekt „EduMiDa“ ist am 1.6. mit einer Laufzeit von 30 Monaten gestartet. Ziel des Konsortiums ist die Entwicklung automatisiert verifizierbarer Metriken für den Mitarbeiterdatenschutz. Als erste Aufgaben nimmt sich das Konsortium der Planung des für das 2. Halbjahr 2021 geplanten Anwenderworkshops an.
Dr. A. Selzer