Data Governance and Protection 2024 FH St. Pölten

Summary

This presentation covers data governance and protection for the 2024 Data Science and Business Analytics program at FH St. Pölten. This detailed study guide covers topics like Data Governance, Data Management, Security Policies (regarding data safety, data privacy, etc).

Full Transcript

Data Governance and Protection Titel der Lehrveranstaltung: Data Governance & Protection Typ der LV (VO, ILV, SE,UE): ILV Unterrichtssprache: Deutsch ECTS: 4 SWS: 3 Lehrende/r: Dipl. Ing. Mag. Günther Tschabuschnig Mitwirkende: Externe Impulsvorträge Studiengang: Data Science and Busine...

Data Governance and Protection Titel der Lehrveranstaltung: Data Governance & Protection Typ der LV (VO, ILV, SE,UE): ILV Unterrichtssprache: Deutsch ECTS: 4 SWS: 3 Lehrende/r: Dipl. Ing. Mag. Günther Tschabuschnig Mitwirkende: Externe Impulsvorträge Studiengang: Data Science and Business Analytics Semester: BDS 3 Modul: Data Governance & Mining Lehrinhalte : Grundlage Governance Zuständigkeit, Bedeutung, Herangehensweise Grundlagen Data Governance / Managements / Data Curation / Data Litracy Begriffsdefinitionen Entität und Identität, Managements des Datenbestands und Datenzugriffs, Datenquellen und Datenformate, Datenqualität, Datenherkunft Metadaten Datenarchivierung und Speicherung Datenaktualisierung Lehrinhalte : Wertgenerierung aus Daten Open innovation Open Data / Semi Open Data / Closed Data Datensicherheit Grundlagen interne Kontrollen / Kontrollsysteme, Sicherheitsziele des Datenschutzes (Verfügbarkeit, Integrität, Vertraulichkeit, Nichtverkettbarkeit, Transparenz, Intervenierbarkeit) Organisatorische Grundlagen des Datenschutzes Grundlagen Risikoabschätzung, Datenschutzfolgeabschätzung Normen, Standards und Best Practices (ISO29xxx, ISO270xx, Standard Datenschutz Methode,...) DSGVO PSI, INSPIRE, IFG, IWG... Prüfung : 50 % Single Choice 50 % Use Case Einzelarbeit Datum: 8.9.2024 Data Governance and Protection 8.9.2024 To governte Data... To governte Data... Data Governance (DG) beschreibt das gesamte Management der Verfügbarkeit, Zugriffsmöglichkeit, Integrität und Sicherheit von Daten, die in einem Unternehmen verwendet werden. Ein vollständiges Data- Governance-Programm umfasst ein Organ oder einen Rat, einen definierten Satz von Verfahren und einen Plan, um diese Verfahren umzusetzen. Data Management Aspekte und Elemente der Datenerhebung, des Datenzugriffs und der Datenhaltung. Dazu gehören beispielsweise die Datenqualität, der Datenschutz, die Datenkonsistenz und das Data Lifecycle Management. Das Datenmanagement umfasst den kompletten Lebenszyklus von Daten von der Datenentstehung über die Datenerhebung bis zur Datenarchivierung oder -löschung. Data Management Data Lifecycle Management (DLM), Datenqualität, Datenschutz, Datensicherheit, Datenzugriff, Data Governance Data Lifecycle Management Wie, Wie oft, Woher, Prüfung... Wo, Zugriffszeiten, Wer, Metadaten gesetzliche Grundlagen Wo, Zugriffszeiten, Wer, Lizenzen, Wo, Kosten, gesetzliche Grundlagen Wie, Lizenzen, Bedingungen, Kosten Data Curation Data curation ist das individuelle Management von Daten während ihres Lifecycle. Von der Erstellung, Speicherung, Archivierung und Löschung. Data Litracy Data Literacy lässt sich mit dem Begriff Datenkompetenz ins Deutsche übersetzen. Die Datenkompetenz beschreibt die Fähigkeiten, mit Daten sachgerecht umzugehen, sie zu interpretieren und die Ergebnisse zu präsentieren. Zusammenhang... Exkurs Lizenzen Public Domain Lizenzfrei Lizenz Copyright Exkurs Lizenzen Creative Commons Creative Commons GNU General Pubic Licence GNU General Pubic Licence Die GPL ist eine Open-Source-Software-Lizenz, die weitreichende Rechte für die Nutzung der Software einräumt – auch für kommerzielle Projekte. Entwickler können kostenfrei und legal den GPL-lizenzierten Quellcode nutzen, kopieren, weiterverbreiten und ändern. Mit GPL sind jedoch auch Verpflichtungen verbunden, in erster Linie das sogenannte „Copyleft“. Es besagt, dass Veränderungen und Weiterentwicklungen, die auf einer frei zugänglichen Software basieren, ebenfalls offengelegt werden und frei zugänglich sein müssen. GNU General Pubic Licence Die Quelle muss offengelegt werden, sobald Bei Nutzung muss ein Verweis auf die AGPL 3.0 die Anwendung einem Netzwerk zugänglich Apache 2.0 Bibliothek erfolgen und beibehalten werden. gemacht wird. Die Quelle muss offengelegt werden, wenn das Produkt veröffentlicht wird; Nutzer Bei Nutzung muss ein Verweis auf die GPL v3 BSD oder MIT müssen die die Möglichkeit haben, den Code Bibliothek erfolgen und beibehalten werden. in einem "User Product" zu verändern. Die Quelle muss offengelegt werden, wenn Creative Vorgaben sind von der Art der CC-Lizenz GPL v2 das Produkt veröffentlicht wird. Commons abhängig. Die Quelle der Bibliothek muss offengelegt werden, wenn sie mit dem Produkt Public Open Source Code ist uneingeschränkt LGPL v3 zusammen veröffentlicht wird; Nutzer Domain nutzbar. müssen die die Möglichkeit haben, den Code in einem "User Product" zu verändern. Die kommerziellen Lizenz-vereinbarungen Die Quelle der Bibliothek muss offengelegt müssen beachtet werden (geht für LGPL v2.1 werden, wenn sie mit dem Produkt Commercial gewöhnlich mit Zahlungen und zusammen veröffentlicht wird. Geheimhaltungs-vereinbarungen einher). Die ursprüngliche Quelle der Bibliothek und EPL oder die an ihr vorgenommenen Änderungen Quellcode darf ohne explizite Erlaubnis des MPL müssen offengelegt werden, wenn sie mit No license Lizenz Matrix Wissenschaftliche Kommerziell Kommerziell Interne Verwendung Hochschule NC Partner extern Vewendung XYZ Datensatz 1 CC by nc AT 3.0 Firmenlizenz Firmenlizenz CC 0 Lizenz X Datensatz 2 CC by AT 3.0 GPL CC by AT 3.0 CC 0 Lizenz Y Datensatz 3 CC bynAT 3.0 GPL CC by AT 3.0 CC 0 Lizenz Z Use Case...Aufgabe Schreiben Sie eine Projektidee und präsentieren Sie es dem CEO/Vorstand Was sind Ziele / Nicht Ziele ihres Projektes Grob Datenplanung Welche Domänen (Litracy) benötigen Sie noch? Kostenschätzung / Kostenrahmen Use Case... 6 Gruppen Der Case bleibt der gleiche mit neuen Aufgaben. Dokumentation Use Case... Gruppe 1: Inhalte des RIS über eine App individuelle zusammenstellen und on demant drucken lassen. Gruppe 2: Ein Plug-in für Navigationssoftware, die bei Unwettern umroutet. Use Case... Gruppe 3: Sammeln von Umweltdaten über Sensoren am City Bike und diese als API zur Verfügung stellen. Gruppe 4: Eine Auswertung für Journalisten, die Beurteilt, ob es nicht politische Einflussfaktoren auf eine Wahl am Wahltag gibt. (zb. Wetter, Zeitraum...) Use Case...Aufgabe Schreiben Sie eine Projektidee und präsentieren Sie es dem CEO/Vorstand Was sind Ziele / Nicht Ziele ihres Projektes Grob Datenplanung Welche Domänen (Litracy) benötigen Sie noch? Kostenschätzung / Kostenrahmen Metadaten Categories for the Description of Works of Art (CDWA) – Beschreibung von Objekten der Kunst und Kultur Data Documentation Initiative (DDI), Standard für die Beschreibung von sozialwissenschaftlichen Daten Dublin Core, Beschreibung von Dokumenten und anderen Objekten im Internet Exchangeable Image File Format (Exif) für technische Zusatzinformationen in Bilddateien von Digitalkameras FGDC (Federal Geographic Data Committee), Geodaten ID3-Tags geben Auskunft über die Metadaten von MP3-Dateien ONIX – bibliografische Daten im herstellenden und verbreitenden Buchhandel Resource Description Framework (RDF) – syntaktischer Standard des W3C zur Beschreibung von Webressourcen VRA Core (Visual Resources Association) – Visuelle Objekte (Bilder, Filme, …) Metadatenmanagement Metadatenmanagement Dublin Core ID Technische Daten Format Type (zb. Sound, Image, Collection...) Language Beschreibung Title Subject Coverage description Dublin Core Personen und Rechte Creator Publisher Contributor Rights Vernetzung Source Relation Datum Dublin Core Dataquality Datenqualitätshandbuch Q ID Datensatz oder Referenz Abschätzung nach den 5 Kriterien Prüfmechanismen Verantwortlicher Prüfdatum Prüfzyklus Datenqualitätshandbuch ID Datumsreferenz Gültigkeit Korrektheit Vollständigkeit Prüfzyklus Prüfer 001 Wahlergebnisse Ab Durch Alle 9 Bei jeder NR Herr Nationalratswahl Veröffentli Datenquelle Bundesländer Wahl Tschabuschnig chung vorhanden; durch das Metadaten BMI vorhanden und Kernmetadaten ausgefüllt 002 Messdaten Messwert Zwischen Mind. 5 Werte Bei jeder Frau Temper Hollabrunn alle 10 -10 °C und pro Stunde Verwendung (Temperatur) Minuten +50 °C vorhanden; Metadaten vorhanden Daten Risikoabschätzung Als Risiken bezeichnet man all jene (Un)Abwägbarkeiten, die sich im Zuge der Durchführung eines Projekts auf das Projektziel selbst, oder auch auf Teile eines Projektes auswirken können. Dabei ist es in erster Linie nicht von Belang, ob diese Auswirkungen positiver oder negativer Natur sind; Daten Risikoabschätzung Risiko ID Datenbezug Risiko Eintrittswarscheinlickeit Risikokosten Owner Daten Risikoabschätzung ID Datumsreferenz Risiko Wahrscheinlichkeit Kosten Owner R01 Wahlergebnisse Daten nicht 10% 20.000 € Hr. Tschabuschnig Nationalratswahl vollständig, da ein Bundesland fehlt R02 Messdaten Hollabrunn Messfühler 30% 100.O00 € Fr. Müller (Temperatur) kaputt Risikobudget ∑ (Wahrscheinlichkeit x Kosten) Gegenmaßnahmen Versicherungen Frühzeitiges Erkennen Unterschiedliche Datenquellen Datenprüfung Alternative Daten Datensicherheit interne Kontrollen / Kontrollsysteme Ein IKS setzt sich aus allen Maßnahmen zusammen, die ein Unternehmen getroffen hat, um wichtige Ziele abzusichern. Datensicherheitshandbuch Sicherungsmaßnahmen um Daten zu schützen Wer hat Zugriff Wie werden Daten aufbewahrt Regelung von Zugriff und Zutritt Schulungen Unbedenklichkeitsbescheinigung Sicherheitsziele des Datenschutzes Verfügbarkeit Integrität Vertraulichkeit Nichtverkettbarkeit Transparenz Intervenierbarkeit Sicherheitsziele des Datenschutzes Verfügbarkeit Die Daten sind innerhalb einer zumutbaren Zeitspanne abrufbar. Sicherheitsziele des Datenschutzes Integrität Alle Daten sind – zumindest über einen bestimmten Zeitraum – echt, vollständig und aktuell (Unversehrbarkeit). Sicherheitsziele des Datenschutzes Vertraulichkeit Nur Berechtigte dürfen in Ihre personenbezogene Daten Einsicht nehmen. Sicherheitsziele des Datenschutzes Nichtverkettbarkeit Diese stellt sicher, dass die persönlichen Daten nicht zu einem Profil vernetzt werden können. Davon ausgenommen sind in der DSGVO vorgesehene Umstände des Profiling. Sicherheitsziele des Datenschutzes Transparenz Die Algorithmen der Verarbeitung personenbezogener Daten sind vollständig, aktuell und in einer Weise dokumentiert, dass sie von – in der Sache Kundigen - in zumutbarer Zeit nachvollzogen werden können. Sicherheitsziele des Datenschutzes Intervenierbarkeit Die Rechte des Betroffenen auf Auskunft, Berichtigung und Löschung seiner Daten werden durch geeignete Maßnahmen sichergestellt. Datenschutz Organisatorisch Verhindern, dass Unbefugte Zutritt zu den Alarmanlage Zutrittskontrolle Datenverarbeitungsanlagen haben. Verhindern, dass Unbefugte Passwortverfahren Zugangskontrolle Datenverarbeitungsanlagen nutzen können. Verschlüsselung Gewährleisten, dass nur Berechtigte auf Daten zugreifen können und diese nicht unbefugt Berechtigungskonzepte Zugriffskontrolle gelesen, verändert, kopiert oder entfernt Protokollierung werden können. Gewährleisten, dass Daten bei der elektronischen Übertragung/Transport nicht Verschlüsselung Weitergabekontrolle unbefugt gelesen, kopiert, verändert oder VPN entfernt werden können. Gewährleisten, dass nachträglich überprüft Protokollierung Eingabekontrolle werden kann, ob und wer Daten verändert Protokollauswertungssysteme oder entfernt hat. Gewährleisten, dass Daten, die im Auftrag verarbeitet werden, nur entsprechend den Auftragskontrolle Vertragsgestaltung Anweisungen des Auftraggebers verarbeitet werden können. Gewährleisten, dass Daten gegen zufällige Datensicherung/Backup Verfügbarkeitskontrolle Zerstörung oder Verlust geschützt sind. Firewall/Virenschutz Gewährleisten, dass zu unterschiedlichen Trennungsgebot Zwecken erhobene Daten getrennt verarbeitet Trennung der Systeme werden Datenschutzbeauftragter Die Unterrichtung und Beratung der Unternehmer und Mitarbeiter hinsichtlich ihrer Pflichten nach dem Datenschutzrecht. Die Überwachung und Überprüfung der Einhaltung der Datenschutzvorschriften und Strategien für den Schutz personenbezogener Daten, einschließlich der Zuweisung von Zuständigkeiten, Sensibilisierung und Schulung der Mitarbeiter. Beratungen – auf Anfrage - im Zusammenhang mit der Datenschutz- Folgenabschätzung und der Überwachung ihrer Durchführung. Die Zusammenarbeit mit der Aufsichtsbehörde und Anlaufstelle für diese. Datenbreach Von einem Datendiebstahl oder -missbrauch (Englisch: Data Breach) spricht man, wenn sensible, vertrauliche oder anderweitig geschützte Daten von einer unautorisierten Person eingesehen, gestohlen oder genutzt wurden. Solche Datenpannen können persönliche Gesundheitsdaten, andere persönliche Informationen, mit denen sich jemand identifizieren lässt umfassen https://www.dsb.gv.at/documents/22758/1188945/Meldung+von+Verletzungen+des+Schutzes+personenbez ogener+Daten+gemäß+Art.+33+DSGVO+Notification+of+a+personal+data+breach+(Art.+33+GDPR)+.pdf/61fc 399f-f77f-4b61-b994-e4db7a7656b5 Datenschutzfolgeabschätzung Mindestinhalt: Systematische Beschreibung der Verarbeitungsvorgänge und Zwecke Notwendigkeit und Verhältnismäßigkeit der Verarbeitung im Verhältnis zum Zweck der Verarbeitung Risikobewertung Geplante Abhilfemaßnahmen zur Bewältigung der Risiken Top down & Bottom up Zentrales Daten- Dezentralisiertes Daten- Ökosystem Ökosystem Data Governance Agile Data Governance Was sind Daten-Ökosysteme? Data Market Data Service Customer Provider Provider Broker End User Research, Education & Developmen Infrastructur t e Provider Zentrale und Dezentrale Ökosysteme Dezentrale Zentrale Ökosysteme Ökosysteme Zentralität Dezentralität potentieller Hoheitsverlust Souveränität statische Datensätze dynamische Daten geeignet für wenige Interoperabilität Partizipienten Trust ressourcenintensiv bei großen, dynamischen Domänenspezifität Datenmengen Nachhaltigkeit Aufbau zentrales Daten-Ökosystem All fits into one ○ Unabhängig von Inhalt, Herkunft und Aussage soll Zentralität geschaffen werden Aufbau zentrales Daten-Ökosystem Bestehende Daten müssen gleichgestellt werden Aufbau zentrales Daten-Ökosystem hoher Personalaufwand Zentrale Datensysteme in der Realität Top Down - Welche Rolle spielt Data Governance? Zentrales Daten- Ökosystem Data Governance Was bedeutet Data Governance? Rollen & Verantwortlichkeiten Sicherheit Trust & Risikoabschätzun g Data Qualität & Governance Compliance Datenkataloge Prozessdefinitione Beschreibung & n Identifikation von Daten Wo passiert Data Governance in einem zentralen Ökosystem? Bottom up - Der Weg zur Agile Data Governance Dezentralisiertes Daten- Ökosystem Agile Data Governance Aufbau eines dezentralen Daten- Ökosystems Dezentrale Verwaltung Individualität und Integrität bleibt erhalten Aufbau eines dezentralen Daten- Ökosystems Bestehende Daten werden nicht gleichgestellt, sondern über einen Meta- Daten-Katalog definiert Aufbau eines dezentralen Daten- Ökosystems Heterogenität der Daten bleibt erhalten Vergleichbarkeit wird mittels Meta-Daten ermöglicht Interoperabilität über Hubs Wo passiert Data Governance in einem dezentralen Ökosystem? Was sind die Vorteile von Agile Data Governance? bessere Ergebnisse ressourcenschonende schneller einsetzbar durch Umsetzung durch durch dezentrale Domänenwissen einzelne Anbindung Verwaltung Anwendungsbeispiel Data Daten & Recht Open Data... Governance Arbeitsgruppe Logistik Finanzen Datenraum Geldwäsche- Mobilität Bekämpfung Unfall-... vermeidung Datenkreis Verkehrs- sicherheit POI COVID-19 Gesundheit Geodaten Geo- Daten Information Neuro-... Onkologie Zusammengefasst Zusammengefasst Datenarten Geschützte Daten Geschlossene Daten Semioffene Daten Offene Daten (Open Data oder Open Government Data) Persönliche Daten (vgl. Personenbezogene Daten) Big Data Geschützte Datenarten Geschlossene Datenarten Semioffene Datenarten Open Data NICHT personenbezogene – NICHT schützenswerte – NICHT sicherheitskritische Daten Frei verfügbar Maschinenlesbar Barrierefreier Zugriff Open Government Data (OGD) … Daten der Verwaltung und Politik Ziele von Open Data Öffnung von Daten ist selbstverständlich Sorgenfreies Publizieren von Daten Proaktive Erfüllung von gesetzlichen Verpflichtungen PSI-Richtlinie, IWG, WIWG ; IFG Transparenz und Partizipation Mehr Spielraum für Unternehmen – Förderung Wirtschaftsstandort Innovation und Kreativität fördern Prinzipien von Open Data 1.Vollständigkeit 2.Primärquelle 3.Zeitnahe Zurverfügungstellung 4.Leichter Zugang 5.Maschinenlesbar 6.Diskriminierungsfreiheit 7.Verwendung offener Standards 8.Lizenzierung 9.Dokumentation (Dauerhaftigkeit) 10.Nutzungskosten Open Data in Österreich http://www.opendatainside.com/wp-content/themes/odi/img/logo_odi.png Open Data in Österreich Open Data data.gv.at CKAN OGD Metadaten Standard Österreich Schnittstelle zu europeandataportal.eu Für PSI-Anforderungen erweitert 67 veröffentlichende Stellen Ca. 9.100 Datensätze Ca. 100 Open Government Documents Über 350 Anwendungen Finanziert von Bund und Ländern Open Data Rahmenbedingungen Rahmenbedingungen für Open Government Data Plattformen URI Datenformate CC BY 3.0 AT / 4.0 AT OGD Metadatenstandard INSPIRE: profil.AT INSPIRE Positionspapier zu OGD Positionspapier Open Data Portale Infoblatt “Open Government Data – Portale für Städte, Länder und Gemeinden” http://data.gv.at/hintergrund-infos/cooperation-ogd-oesterreich/ Open Documents Open Data Portal Open Data Portal Use Case...Aufgabe Welchen Datensatz könnten Sie auf ODP publizieren? Beschreiben sie den Datensatz Metadaten Lizenz Data Ownership Publizieren sie den Datensatz wenn möglich Verwenden sie „Open Data Inside“ http://www.opendatainside.com/wp-content/themes/odi/img/logo_odi.png Open Data Inside Open Data in Anwendungen und Services Wert von Open Data repräsentieren EinzelunternehmerInnen, Firmen, Vereine, CoderInnen, (Hoch)Schulen, NGOs/NPOs, BloggerInnen, DatenjournalistInnen, private & staatliche Organisationen, uvm… Open Data BotschafterIn werden http://www.opendatainside.com/ PSI Public Sektor Information Die Public-Sector-Information-Richtlinie (PSI-RL) hat zum Ziel, die unterschiedlichen nationalen Bestimmungen für die Weiterverwendung von Informationen des öffentlichen Sektors in allen Mitgliedstaaten anzugleichen. Es handelt sich um eine Richtlinie, die in weiterer Folge innerstaatlich umgesetzt werden muss. Die PSI-RL aus 2013 wurde mit dem Informationsweiterverwendungsgesetz (IWG) 2015 vollständig umgesetzt (9+1 Regelung). In Umsetzung von Artikel 9 (Practical arrangements) der PSI-Novelle können die öffentlichen Informationen über die Open Government Data Austria Plattform (data.gv.at) verfügbar gemacht werden. IWG Die Weiterverwendung der Informationen steht nach Art. 6 der Richtlinie unter Gebührenvorbehalt. Den öffentlichen Stellen bleibt es daher unbenommen, Gebühren oder Entgelte für die Weiterverwendung zu verlangen. Hierfür muss allerdings dem Transparenz-, dem Gleichbehandlungsgebot und dem Missbrauchsverbot genüge getan werden. Die Weiterverwendung kann weiterhin von Bedingungen abhängig gemacht werden, wenn dies den angesprochenen Geboten und Verboten nicht widerspricht. IFG Das Informationsfreiheitsgesetz (IFG) regelt den Anspruch auf Zugang zu amtlichen Informationen gegenüber Bundesbehörden und sonstigen Bundesorganen. Siehe auch : Freedom of Information Act INSPIRE Am 15. Mai 2007 trat die vom Europäischen Parlament und Rat der EU verabschiedete Richtlinie 2007/2/EG in Kraft. Ziel dieser Richtlinie ist die Schaffung einer Geodateninfrastruktur in der Europäischen Gemeinschaft (INSPIRE: Infrastructure for Spatial Information in the European Community). Diese Richtlinie verlangt von den Mitgliedstaaten neben einer nationalen rechtlichen Umsetzung auch die Errichtung einer nationalen Koordinierungsstruktur, einer nationalen Anlaufstelle des Mitgliedstaates gegenüber der Europäischen Kommission INSPIRE in Österreich Rechtliche Grundlage 9 +1 Gesetz Koordinierungsstelle: BMNT Monitoring: UBA Technisch: LFRZ INSPIRE in Österreich INSPIRE in Österreich Zb.: http://www.austrianmap.at/amap/index.php?SKN=1&XPX=637&YPX=492 http://bfw.ac.at/rz/bfwcms2.web?dok=7066 https://ehyd.gv.at/ https://secure.umweltbundesamt.at/edm_portal/home.do https://www.hora.gv.at/ UI Aahrus Die Aarhus-Konvention ist ein Übereinkommen der Wirtschaftskommission für Europa (UNECE) über den Zugang zu Informationen, die Öffentlichkeitsbeteiligung an Entscheidungsverfahren und den Zugang zu Gerichten in Umweltangelegenheiten. 1.Zugang der Öffentlichkeit zu Informationen über die Umwelt 2.Beteiligung der Öffentlichkeit an bestimmten umweltbezogenen Entscheidungen 3.Zugang zu Gerichten bzw. Tribunalen in Umweltangelegenheiten Zusammenspiel IFG INSPIRE PSI Transparenz Aktivierung des Teilhabe Wertschöpfungspotentials Vereinfachung von Verwaltungsdaten Berichtspflichten Aktivierung Wertschöpfungspotential Metadaten UI - Aarhus OGD Transparenz Transparenz Daten, Dokumente Teilhabe Metadaten Schaffung von freiwillig Umweltbewusstsein Metadaten Daten - Technik & Recht Was sind Daten & Datenökosysteme? Datenökosysteme & Daten(handels)plattformen digitale Plattformen bzw. Systeme mit mehreren Teilnehmern, die Schnittstellen und Prozesse anbieten, um Daten wechselseitig anzubieten, zu produzieren, zu teilen und zu konsumieren bzw. anzureichern 99 Daten - Technik & Recht Data Service Data Consumer Provider Provider Broker End User Research, Education & Development Infrastructure Provider eigene Darstellung 100 Daten - Technik & Recht Was braucht ein Datenökosystem Organisation Netzwerk Vernetzung Domänen / Fachwissen Governance Interoperabilität Kernmitarbeiter Informationen und Wissen Technik Community Schnittstellen Privatwirtschaft Dezentralität Öffentliche Verwaltung TRUST Verknüpfen – nicht duplizieren 101 Daten - Technik & Recht GAIA-X Quelle: BMWi und Gaia-X AISBL Daten - Technik & Recht GAIA-X ist keine Cloud! ist keine Standardisierung ist kein Produkt ist ein Framework fördert Souveränität Implementiert rechtliche Rahmenwerke (Data Act, Data Governance Act, EIDAS, AI Act…) Daten - Technik & Recht GAIA-X Prinzipien Souveränität Dezentralität Trust Identität Green Data Unabhängigkeit der Hyperscaler Technologie Organisation Use Case Welche Daten Domänen Wünschenswert? zusammenbringen Dataspace Machbar? Business integrieren Data Governance Überlebensfähig? Regulatorien Connectoren Data Act Konsortialleitung? Data Gov Act Digital Contracts AI Act Finanzierung? DSGVO Rollen Daten - Technik & Recht Rollen in der Datenökonomie ⮚ Data Provider ○ Sensordaten (Wetter, Industrie, Energie,...) ⮚ Infrastructure Provider ○ technische Voraussetzung ⮚ Data Consumer ⮚ Broker ⮚ Service Provider ○ Mehrwert durch Nutzen, Beispiel: Apps ⮚ Research, Education & Development ⮚ End User 107 Daten - Technik & Recht Rollen in der Datenökonomie ⮚ Data rights holder (role) ⮚ Data provider (role) ⮚ Data receiver (role) ⮚ Data user (role) ⮚ Data space enabler (role) ⮚ Data intermediary (role) Quelle: www.ccnullde CC0 108 Daten - Technik & Recht Rollen in der Data Governance CDO (Chief Data Officer) Data Owner Data Steward Data Producer Springer 109 Datenaustausch & Technische Standards Mittwoch, 14. Juni 2023 Daten - Technik & Recht Datenaustausch ⮚ peer 2 peer ⮚ Metadaten ○ Daten, die Daten Beschreiben ⮚ Policies ○ Bedingungen als einzelne Regeln formuliert ○ Erlaubnis, Verbot, Verpflichtung wikipedia 111 Daten - Technik & Recht Datenaustausch - was wollen wir austauschen? Data Assets: Datenquelle Metadaten Die Daten bleiben dort wo Die Quelldaten werden mit Data Asset sie abgelegt wurden. Nur Hilfe von Metadaten im ein Verweiss auf die Quelle Data Asset beschrieben kommt in das Asset Lorem ipsum dolor sit amet, dolor at consectetur adipiscing elit, sed do eiusmod tempor. Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do Access Policies Usage Policies eiusmod tempor. Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor. Die Zugriffsvereinbarungen Die Nutzungsrechte der für Daten und Metadaten Daten werden in den sind Bestandteil des Assets Useage Policies geregelt 112 Daten - Technik & Recht Welche Daten eignen sich für einen Austausch und wie müssen diese Daten aufbereitet werden? ⮚ keine einheitliche Regelung oder Aussage möglich ○ Rohdaten, Information, Wissen, Kosten, Rechte, Qualität… ⮚ Möglichkeiten für erweiterten Handlungsspielraum ○ anonymisieren, pseudonymisieren, synthetisieren, Samples, … 113 Daten - Technik & Recht Architektur eigene Darstellung 114 Daten - Technik & Recht Technische Frameworks (Auszug) ⮚ International Data Spaces Association (IDSA) ⮚ iSHARE ⮚ Gaia-X Federation Services (GXFS-DE) ⮚ Gaia-X Web3 Ecosystem (Pontus-X) ⮚ Eclipse Dataspace Components (EDC) ⮚ FIWARE ⮚ Tools, um Herausforderungen zu meistern ○ Interoperabilität ○ Vertrauen/Trust ○ Identitäten und Zugriffe ○ Semantik ○ Verträge https://internationaldataspaces.org/wp-content/uploads/dlm_uploads/IDSA-Data- ○ Föderation… Connector-Report-7_May-2023.pdf 115 Dateninfrastrukturen International Plattformökonomie Unter der Plattform-Ökonomie lassen sich durch die Digitalisierung angestoßene Veränderungen von Prozessen verstehen, die es sich zur Aufgabe machen, Anbieter und Interessenten ganzheitlich auf einer digitalen Plattform zusammenzubringen. Data - Tech & Law 2. Data Governance Act (I) Data Governance Act – VO (EU) 2022/868 vom 30.05.20222 gilt ab 24.09.2023 unmittelbar in Österreich gilt für personenbezogene und nicht-personenbezogene Daten drei Bereiche werden im DGA geregelt: i. Bedingungen für Weiterverwendungen von Daten bestimmter Datenkategorien, die im Besitz öffentlicher Stellen sind ii. Anmelde- und Aufsichtsrahmen für die Erbringung von Diensten für die gemeinsame Datennutzung iii. Einrichtungen iZm „Datenaltruismus“ Definitionen von Daten, Dateninhaber und Datennutzer (Art 2) 118 Data - Tech & Law 2. Data Governance Act (II) Weiterverwendung geschützter Daten gilt grds. für öffentliche Stellen = Staat, Gebietskörperschaften und Einrichtungen des öffentlichen Rechts (Art 2 Z 17 und 18) gilt nicht für öffentliche Unternehmen (Art 2 Z 19) Daten sind aus gewissen Gründen geschützt (z.B. Geschäftsgeheimnis, Datenschutz, geistiges Eigentum) Verbot von Ausschließlichkeitsvereinbarungen (Art 4) Bedingungen für die Weiterverwendung (Art 5): öffentliche Stellen müssen für den Schutz der Daten sorgen + Gebühren Bereitstellung von High Value Datasets (DVO [EU] 2023/138) ab 9.6.2024, sofern öffentliche Stelle im der Daten Besitz ist (API) 119 Data - Tech & Law 2. Data Governance Act (III) Anforderungen an Datenvermittlungsdienste („DVD“) Sehr weitreichende Definition: Art 2 Z 11: „Dienst, mit dem durch technische, rechtliche oder sonstige Mittel Geschäftsbeziehungen zwischen einer unbestimmten Anzahl von betroffenen Personen oder Dateninhabern einerseits und Datennutzern andererseits hergestellt werden sollen, um die gemeinsame Datennutzung, auch für die Zwecke der Ausübung der Rechte betroffener Personen in Bezug auf personenbezogene Daten, zu ermöglichen“ 120 Data - Tech & Law 2. Data Governance Act (III) Art 10 lit a: „zu diesen Diensten können auch der zwei- oder mehrseitige Austausch von Daten oder die Einrichtung von Plattformen oder Datenbanken, die den Austausch oder die gemeinsame Nutzung von Daten ermöglichen, sowie die Einrichtung anderer spezieller Infrastrukturen für die Vernetzung von Dateninhabern mit Datennutzern gehören “ 121 Data - Tech & Law 2. Data Governance Act (IV) Anforderungen an DVD Anmeldung des Dienstes vor Tätigkeitsbeginn inkl. Mindestinhalt dieser Meldung (Art 11) Zahlreiche Bedingungen für die Diensterbringung (Art 12): Grundgedanke: Neutralität und Transparenz Keine Monetarisierung der Daten durch DVD, Zusatzdienste bzw. Zusatzwerkzeuge nur mit Zustimmung gesonderte juristische Person, Zugang zum Dienst unter FRAND-Bedingungen TOMs, „Data Breach“-Meldung, Protokoll über Tätigkeiten 122 Data - Tech & Law 2. Data Governance Act (V) Datenaltruismus (Art 2 Z 16, Art 16ff) „die freiwillige gemeinsame Nutzung von Daten auf der Grundlage der Einwilligung betroffener Personen zur Verarbeitung der sie betreffenden personenbezogenen Daten oder einer Erlaubnis anderer Dateninhaber zur Nutzung ihrer nicht personenbezogenen Daten, ohne hierfür ein Entgelt zu fordern oder zu erhalten, das über eine Entschädigung für die ihnen durch die Bereitstellung ihrer Daten entstandenen Kosten hinausgeht, für Ziele von allgemeinem Interesse gemäß dem nationalen Recht, wie die Gesundheitsversorgung, die Bekämpfung des Klimawandels, die Verbesserung der Mobilität, die einfachere Entwicklung, Erstellung und Verbreitung amtlicher Statistiken, die Verbesserung der Erbringung öffentlicher Dienstleistungen, die staatliche Entscheidungsfindung oder die wissenschaftliche Forschung im allgemeinen Interesse“ 123 Data - Tech & Law 2. Data Governance Act (VI) Datenaltruismus (Art 2 Z 16, Art 16ff) Öffentliche Register + Eintragungsprozedere (Art 17, 18, 19) Transparenzanforderungen, u.a. jährlicher Tätigkeitsbericht (Art 20) Einwilligungsformular DSGVO gilt zusätzlich – „doppelte“ Einwilligung Europäischer Dateninnovationsrat (Art 29) hauptsächlich Beratung & Unterstützung der Kommission u.a. Unterbreitung zu Leitlinien zu gemeinsamen europäischen Datenräumen 124 Data - Tech & Law 3. Data Act (I) Data Act - Vorschlag für eine Verordnung vom 23.02.2022 (COM 68 final); aktuell Verhandlungen – Abänderung des Europäischen Parlaments vom 14.3.2023 (erste Lesung) gilt für personenbezogene und nicht-personenbezogene Daten Unterschiedlichste Regelungsbereiche, u.a. Datenbereitstellung bei Nutzung von Produkten/Diensten, Datenbereitstellung für öffentliche Stellen, Regelungen für Cloud-Betreiber und iZm Datenräumen und Smart Contracts („intelligente Verträge“) sowie Ausschluss von sui generis Datenbankschutz. 125 Data - Tech & Law 3. Data Act (II) Nutzer ist jene „Person, die ein vernetztes Produkt besitzt oder einen verbundenen Dienst in Anspruch nimmt oder der vom Eigentümer eines vernetzten Produkts auf Grundlage eines Miet- oder Leasingvertrags eine vorübergehende Genehmigung erteilt wurde, das vernetzte Produkt zu nutzen oder die verbundenen Dienste in Anspruch zu nehmen […]“ Dateninhaber ist jene „Person, die auf Daten aus dem vernetzten Produkt zugegriffen oder bei der Erbringung eines verbundenen Dienstes Daten erzeugt hat und die das vertraglich vereinbarte Recht hat, diese Daten zu nutzen, und die gemäß dieser VO […] verpflichtet ist, dem Nutzer oder einem Datenempfänger bestimmte Daten zur Verfügung zu stellen“ 126 Data - Tech & Law 3. Data Act (III) Datenempfänger ist jene „Person, die nicht der Nutzer eines vernetzten Produktes oder verbundenen Dienstes ist, und der ein Dateninhaber Daten, auf die von dem vernetzten Produkt aus zugegriffen wurde oder die während der Erbringung eines verbundenen Dienstes erzeugt wurden, auf ausdrückliches Verlangen des Nutzers oder im Einklang mit einer Rechtspflicht aus anderen Rechtsvorschriften der Union oder aus nationalen Rechtsvorschriften zur Umsetzung des Unionsrechts Daten bereitstellt“ Vernetztes Produkt „einen Gegenstand, der zugängliche Daten über seine Nutzung oder Umgebung erlangt, erzeugt oder sammelt und Daten über einen elektronischen Kommunikationsdienst, eine physische Verbindung oder einen geräteinternen Zugang übermitteln kann und dessen Hauptfunktion nicht die Speicherung, Verarbeitung und Übertragung von Daten im Namen Dritter ist“ 127 Data - Tech & Law 3. Data Act (IV) Pflicht zur Datenbereitstellung (B2B & B2C) – Art 3 Vernetzte Produkte müssen so konzipiert werden, dass „die von ihnen erhobene, erzeugte oder anderweitig erhaltende Daten, auf die die Dateninhaber bzw. Datenempfänger zugreifen können, für den Nutzer standardmäßig kostenlos und einfach sicher und – soweit relevant und technisch machbar – in einem umfassenden, strukturierten, gängigen und maschinenlesbaren Format unmittelbar zugänglich sind“ – einschließlich Metadaten – Ausnahmen für Prototypen Nicht weiterzugeben sind aber „Informationen, die mithilfe komplexer proprietärer Algorithmen aus diesen Daten abgeleitet bzw. gefolgert wurden, insbesondere wenn dabei die Ausgabe mehrerer Sensoren in dem vernetzten Produkt kombiniert wurde“ Kein Datenzugang, wenn durch Unionsrecht oder nationales Recht verboten Im Wesentlichen ähnliche Regelung für verbundene Dienste 128 Data - Tech & Law 3. Data Act (V) Wenn kein direkter Zugriff vom Produkt/Dienst aus möglich, dann Ersuchen auf Datenzugang an Dateninhaber möglich >> grds. unverzügliche Bereitstellung, kostenlos, kontinuierlich und in Echtzeit; im Ergebnis daher sinngemäß ähnliche Regelungen wie bei direktem Zugriff Dateninhaber dürfen nicht personenbezogene Daten nur auf Grundlage einer vertraglichen Vereinbarung mit dem Nutzer nutzen – Nutzung zu Zwecken der Funktionsverbesserung, Entwicklung neuer Produkte, Anreicherung mit anderen Daten Pflicht zur Informationsbereitstellung (B2B & B2C) – Art 3 Vor Kauf eines vernetzten Produkts muss Hersteller oder ggf. der Verkäufer dem Nutzer zahlreiche Informationen bereitstellen u.a. Informationen zu technischen Mittel für Datenzugriff, wie Software Development Kits oder Anwendungsprogrammierschnittstellen 129 Data - Tech & Law 3. Data Act (VI) Weitergabe von Daten an Dritte Nutzer hat das Recht auf Weitergabe der Daten an Datenempfänger, kann auch Datenvermittlungsdienste dafür einsetzen; Datenempfänger darf Daten nur für die Zwecke verarbeiten, die mit dem Nutzer vereinbart worden sind; Bereitstellung an andere Dritte nur, wenn der Nutzer Zustimmung erteilt; Löschung, wenn Zweck erreicht, außer anderes vereinbart keine Weitergabe an Torwächter/Gatekeeper (große Online-Plattformen) Geschäftsgeheimnisse sind grds. zu wahren, sind aber grds. an Nutzer als auch Datenempfänger offenzulegen, sofern die Vertraulichkeit gewahrt wird (z.B. TOMS – auch z.B. Verschlüsselung, smart contracts, Haftungsbestimmungen, Vertraulichkeitsvereinbarungen) – keine Entwicklung eines Konkurrenzprodukts Datenschutz ist einzuhalten – der Data Act bietet keine gesonderten Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten (Art 5 Abs 6) 130 Data - Tech & Law 3. Data Act (VII) Die Pflichten iZm Datenbereitstellung/-weitergabe (Art 3 und 4), Datenweitergabe an Dritte (Art 5) sowie die Pflichten von Datenempfängern (Art 6) gelten grds. nicht für Kleinst- oder Kleinunternehmen gemäß Empfehlung 2003/361/EG, sofern ein solches Unternehmen nicht als Unterauftragnehmer mit der Herstellung oder dem Entwurf eines Produkts oder der Erbringung eines verbundenen Dienstes beauftragt wurde. Kleinstunternehmen = weniger als 10 Personen & Jahresumsatz/Jahresbilanz 2 Mio EUR nicht überschreitet Kleinunternehmen = weniger als 50 Personen & Jahresumsatz/Jahresbilanz EUR 10 Mio nicht übersteigt 131 Data - Tech & Law 3. Data Act (VIII) Wenn Dateninhaber dem Datenempfänger Daten bereitstellen muss, hat dieser mit dem Datenempfänger die Modalitäten der Bereitstellung zu vereinbaren, wobei das zu FRAND-Bedingungen erfolgen muss (Art 8) gewisse Klauseln sind verboten bzw. unzulässig – z.B. Einschränkungen Datenzugangsrecht Im B2B-Bereich kann grds. angemessene Gegenleistung für Bereitstellung von Dateninhaber an Datenempfänger vereinbart werden, von Konsumenten darf kein Entgelt verlangt werden Optionale Möglichkeit einer Streitbeilegung, wenn Streitigkeiten bei Bereitstellung an den Datenempfänger (Art 10) Unzulässige Klauseln B2B (Art 13): sehr weitgehende Formulierungen, tlw. ähnlich B2C (z.B. kein Ausschluss vorsätzliche & grob fahrlässige Handlungen, Ausschluss Rechtsbehelfe bei Nichterfüllung, aber auch einseitige Wahl des Gerichts) 132 Data - Tech & Law 3. Data Act (IX) Datenbereitstellung von Daten für öffentliche Stellen wegen außergewöhnlicher Notwendigkeit (Art 14ff) nur nicht-personenbezogene Daten (inkl. Metadaten) erfasst – aber unklar, weil vereinzelt von personenbezogenen Daten gesprochen wird, die zu pseudonymisieren sind nicht für kleine Unternehmen und Kleinstunternehmen Zur Bewältigung eines öffentlichen Notstands erforderlich oder für gesetzliche Aufgabe im öffentlichen Interesse (z.B. Vorbeugung von Notstand bzw. Erholung nach Notstand) Nutzer sind zu informieren, dass Daten weitergegeben werden können Bei Notstand grundsätzlich gratis Bereitstellung, sonst faire Vergütung (Art 20) 133 Data - Tech & Law 3. Data Act (X) Wechsel zwischen & Interoperabilität von Datenverarbeitungsdiensten (Art 22a ff) Schutzvorkehrungen für nicht personenbezogenen Daten im int. Umfeld (Art 27ff) Anforderungen an die Interoperabilität von Datenräumen (Art 28ff) Betrifft Teilnehmer von Datenräumen, die anderen Teilnehmern Daten oder Datendienste anbieten – diese müssen u.a. Datensatzinhalte, Nutzungsbeschränkungen, Lizenzen & Datenqualität in maschinenlesbarem Format beschreiben Regelungen zu Smart Contracts iZm Datenbereitstellungen (Art 30) freiwillig, sofern Smart Contracts eingesetzt werden Anforderungen u.a. Robustheit und Zugriffskontrolle, sichere Beendigung und Unterbrechung (Zurücksetzung eines intelligenten Vertrags), gleiches Maß an Schutz wie andere Verträge Mustervertragsbedingungen für Datenzugang/Nutzung von Kommission (Art 34) 134 Data - Tech & Law 3. Data Act (XI) im Detail komplizierte Zuständigkeitsregelungen Datenkoordinator (Art 31): u.a. Bearbeitung und Entscheidung über Beschwerden über mutmaßliche Verstöße gegen Data Act inkl. Verhängung wirksamer, verhältnismäßiger und abschreckender finanzieller Sanktionen Nutzer, Dateninhaber und Datenempfänger können sich von non-profit Organisationen vertreten lassen (Art 32a) Nationale Datenschutzbehörden bleiben grds. für personenbezogene Daten zuständig (parallele) Zuständigkeit der Gerichte: „Rechtsträger, die in den Anwendungsbereich der Verordnung fallen, unterliegen der Gerichtsbarkeit des Mitgliedsstaats, in dem der Rechtsträger niedergelassen ist“ (Art 31 Z 7a) & „unbeschadet eines anderen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs“ (Art 32) & Recht auf wirksamen gerichtlichen Rechtsbehelf (Art 32b & 32c) 135 Data - Tech & Law 4. Europäischer Gesundheitsdatenraum (I) Entwurf einer Verordnung über den europäischen Raum für Gesundheitsdaten (COM 197 final) vom 3.5.2022 Schaffung eines Raums für Gesundheitsdaten inkl. Regeln zur Primärnutzung (= für die Erbringung von Gesundheitsdiensten) und Sekundärnutzung (Weiterverarbeitung von Gesundheitsdaten) der Daten Zugriff der Patienten auf ihre elektronischen Gesundheitsdaten inkl. Kopie & Recht auf Übertragung an Datenempfänger aus dem Gesundheits-/Sozialversicherungsbereich 136 Data - Tech & Law 4. Europäischer Gesundheitsdatenraum (II) grds. Zugriffsmöglichkeit der Angehörigen von Gesundheitsberufen auf diese Daten im Rahmen von Behandlungen Sekundärnutzung nur zulässig für Entwicklungs- und Innovationszwecke, Ausbildung, Erprobung und Bewertung von Algorithmen oder Bildungs-/Lehrzwecken; unzulässig explizit für Werbe-/Marketingaktivitäten oder Entwicklung schädlicher Produkte Sekundärnutzung erfordert besondere Zustimmung durch zuständige Stelle, die von den MS einzurichten ist Regelungen zu Datenqualität und Interoperabilität Schaffung einer Infrastruktur für Primär-/Sekundärnutzung 137 Data - Tech & Law 5. Empfehlungen Interne Maßnahmen treffen, um mit neuen Datenarten und Datentypen umgehen zu können (z.B. Automobilhersteller mit Endkundendaten) Datensammlung entlang Wertschöpfungskette & Analyse Kategorisierung von Daten & Daten-Strategien entwickeln (z.B. interne Kostenreduktion, neue Business Cases) Datensicherheit & TOMs identifizieren und implementieren vertragliche Absicherung der Daten (in alle Richtungen) essenziell Frühzeitige Beschäftigung mit kommenden EU-Rechtsakten 138 Use Case... 6 Gruppen (4) Der Case bleibt der gleiche mit neuen Aufgaben. Dokumentation Use Case... Gruppe 1: Inhalte des RIS über eine App individuelle zusammenstellen und on demant drucken lassen. Gruppe 2: Ein Plug-in für Navigationssoftware, die bei Unwettern umroutet. Use Case...Aufgabe Beschreiben Sie die Metadaten zu ihren im Case verwendeten Daten Welche Lizenzen nutzen Sie und warum? Welche Lizenzen werden Sie Ihrem Projekt geben und warum? Erstellen Sie ein Datenqualitätshandbuch Welche Risikoabschätzung gibt es? Beschreiben sie ihr Risikobudget und seine Verwendung. Data Lifecycle Use Case...Aufgabe Schreiben Sie ein IKS für ihren Use Case Protokollieren Sie einen Data Breach Schreiben Sie einen DSFA für ihren Case

Use Quizgecko on...
Browser
Browser