Datensicherheit bei der Umsetzung der Vorratsdatenspeicherung in Österreich

Die vorliegende Arbeit ist eine rechtswissenschaftliche Untersuchung der Datensicherheit im Rahmen der österreichischen Umsetzung der Vorratsdatenspeicherung gemäß der Richtlinie 2006/24/EG, welche die flächendeckende vorrätige Speicherung von Telekommunikationsverbindungs- und Zugangsdaten durch alle Anbieter öffentlicher elektronischer Kommunikationsnetze und -Dienste innerhalb der EU vorschreibt. Die Bereitstellung solcher Dienste beinhaltet regelmäßig die Verarbeitung von personenbezogenen Daten der Nutzer. Die österreichische Umsetzung der Richtlinie erfolgte durch eine Novelle zum Telekommunikationsgesetz (TKG 2003) und wurde am 18. Mai 2011 im Bundesgesetzblatt kundgemacht (BGBl. I Nr. 27/2011), wobei die Speicherverpflichtung für die Anbieter erst mit 1.4.2012 in Kraft treten wird. Das Gesetz enthält jedoch zur Datensicherheit nur relativ grobe Vorgaben, die detaillierte Ausgestaltung bleibt einer Verordnung in Ausführung der §§ 94 Abs. 4 und 102c TKG vorbehalten. Um dem Datenschutzgesetz und dem Telekommunikationsgeheimnis sowie den Vorgaben der Europäischen Menschenrechtskonvention, insbesondere dessen Artikel 8 zum Schutz des Privatlebens und der Korrespondenz zu entsprechen, müssen diese Daten geheim gehalten werden, wozu insbesondere auch Maßnahmen auf der technischen Ebene notwendig sind, die auf der rechtlichen Ebene erfasst und beschrieben werden müssen. Die Verpflichtung zur effektiven Wahrung der Grundrechte aller Nutzer erfordert dabei auch, ein System einer revisionssicheren Protokollierung zu etablieren und so eine ausreichende Nachvollziehbarkeit für den Rechtsschutz zu gewährleisten. Die Zielsetzung dieser Dissertation ist, im ersten Teil (Kapitel II) ausgehend von den Grundrechten und dem Europarecht bis hin zur innerstaatlichen Umsetzung den normativen Unterbau zu evaluieren, der für die Beschreibung eines Sorgfaltsmaßstabs auf rechtlicher und technischer Ebene bei der Verarbeitung und Übermittlung von Verkehrsdaten relevant ist, unter besonderer Beachtung eines hohen Niveaus an Datensicherheit und Grundrechtsschutz. Die Arbeit behandelt sowohl das Thema der Datensicherheit bei den Anbietern unternehmensintern, als auch im Zusammenhang mit der Übermittlung von personenbezogenen Daten im Falle einer Auskunft an Sicherheits- und Strafverfolgungsbehörden. Da in der Praxis der Schwerpunkt der Datensicherheitsprobleme eindeutig bei der sicheren Übermittlung der Daten liegt, steht im Zentrum des zweiten Teils ein Konzept einer zentralen Datendrehscheibe (Kapitel III). Die sogenannte „Durchlaufstelle“ (DLS) wird in der Arbeit als Referenzmodell entwickelt und dargestellt. Personenbezogene Inhalte werden nach diesem Konzept verschlüsselt zwischen Absender und Empfänger ausgetauscht und sind der DLS nicht zugänglich. Die Beteiligten sind über gesicherte Transportverbindungen mit fortgeschrittenen Signaturen angebunden, identifiziert und authentifiziert. Das System wirkt durch die zentrale Protokollierung aller Auskunftsvorgänge auch auf die Datensicherheit beim Anbieter und die Rechtsschutzmöglichkeiten zurück. Im Dritten Teil werden im Speziellen insgesamt 13 wesentliche Problemkreise und deren Fragestellungen diskutiert, die für die Praxis mit den Anforderungen an eine sichere Datenübermittlung einhergehen. Die Behandlung jedes Problemkreises schließt mit einem konkreten Vorschlag, wie den jeweiligen Fragen im Rahmen einer Umsetzungsverordnung zur Datensicherheit begegnet werden könnte, um den Vorgaben aus der normativen Analyse des ersten Teils zu entsprechen. Technische Anforderungen werden dabei normativ formuliert, um die wesentlichen Funktionen technischer Hilfsmittel rechtlich hinreichend zu determinieren.This paper is a jurisprudential dissertation on data security within the framework of the Austrian transposition of data retention in accordance with Directive 2006/24/EC, which requires the coverage of stock retention of telecommunications connectivity and access by all providers of public electronic communications networks and services within the EU. The provision of such services regularly includes the processing of personal data of users. The Austrian implementation of the directive through an amendment to Telecommunication Law (TKG 2003) was promulgated in the Federal Law Gazette on 18 May 2011 (BGBl. I Nr. 27/2011), the obligation on the side of the providers to store data will enter into force until 1 April 2012. The Act contains relatively crude specifications regarding data security standards. Data security standards will be included in a detailed manner by a regulation to § § 94 para 4 and 102c TKG. To comply with the Data Protection Act and the secrecy of telecommunications as well as the European Convention on Human Rights, particularly Article 8 concerning the private life and correspondence, this data must be kept secret. In this regard, there are in particular measures necessary at the technical level. The demand for effective protection of fundamental rights of all users requires establishing a system of tamper-proof logging and thus ensuring adequate accountability for the legal protection. The objective of this dissertation in its first part (chapter II) is to evaluate technical solutions based on the legal requirements from Fundamental Rights and European Law to the national implementation with relevance for the description of the standard of care for the transmission of traffic data on legal and technical level. A special focus is put on the high standard of data protection and the protection of Fundamental Rights. The work deals with both the issues of data security for the provider internally, as well as the transfer of personal data and information in context of requests for disclosure by security and law enforcement authorities. In practice the emphasis focuses on problems of data security linked to the transmission of data. Therefore the second part (chatpter III) of the dissertation will mainly deal with the concept of a data-hub. The so called „Durchlaufstelle“ (DLS), a special mailbox-system, is developed and explained as reference model in this work. According to this concept personal data will be encrypted and exchanged through the DLS between sender and receiver but can’t be seen from the point of the DLS. Those involved will be connected, identified and authenticated through a secured communication channel using an advanced electronic signature. The system will also perform the central record of all requests and will hereby play an important role in data security on the side of the supplier and in the possibility of appeals. In the third part the most relevant practical problems that arise are divided into 13 fields of topics and discussed in detail. This discussion will emphasize the requirements on a secure data transmission. Every covered topic is followed by a definite proposal, which points out how the certain question could be solved in an implementing regulation on data security in order to match the normative analysis from the first part. Technical requirements will be verbalized in a normative way in order to determine technical equipments legally

Genetic newborn screening and digital technologies: A project protocol based on a dual approach to shorten the rare diseases diagnostic path in Europe.

Since 72% of rare diseases are genetic in origin and mostly paediatrics, genetic newborn screening represents a diagnostic "window of opportunity". Therefore, many gNBS initiatives started in different European countries. Screen4Care is a research project, which resulted of a joint effort between the European Union Commission and the European Federation of Pharmaceutical Industries and Associations. It focuses on genetic newborn screening and artificial intelligence-based tools which will be applied to a large European population of about 25.000 infants. The neonatal screening strategy will be based on targeted sequencing, while whole genome sequencing will be offered to all enrolled infants who may show early symptoms but have resulted negative at the targeted sequencing-based newborn screening. We will leverage artificial intelligence-based algorithms to identify patients using Electronic Health Records (EHR) and to build a repository "symptom checkers" for patients and healthcare providers. S4C will design an equitable, ethical, and sustainable framework for genetic newborn screening and new digital tools, corroborated by a large workout where legal, ethical, and social complexities will be addressed with the intent of making the framework highly and flexibly translatable into the diverse European health systems

The Human Right to Water in Law and Implementation

Recent concerns about alleged insufficient water provision to the poor in Detroit, USA, has put the Human Right to Water (HRW) into the international discussion. The paper asks: “To what extent did international human rights treaties make HRW judiciable?” and “How did government policies implement it?” In a cross-country comparison of performance indicators, merely accepting HRW has not been helpful in promoting affordable access to potable water or sanitation facilities close to the home, amongst the reasons being deficiencies in water-governance. Case-law confirmed that with respect to affordable access HRW obliges governments to a “progressive realization” only, also in countries accepting HRW (India, South Africa). The paper focuses on the resulting positive state obligation to establish funding programs for better water and sanitation services and analyzes funding policies by a mathematical model of policy goals. It identifies two viable goals namely the successful support for the poor, as in developing countries, and the most economic use of public funds, as in industrialized countries. Other goals conceivable for the model have been tried in the past and failed

The Microsoft Ireland case, the cloud act and the cyberspace sovereignty trilemma: Post-territorial technologies and companies question regulatory state monopolies

The Microsoft Ireland case brought before the Supreme Court in 2018 and dropped the very same year has attracted attention world-wide from policymakers and scholars. This contri- bution focusses on two important features of the case: the conflicting and often chaotic ap- proaches to the notion of sovereignty of many of the players and the remarkable move of a private company to trigger regulation in a world where companies, technologies, data flows and governments transgress borders with growing acceptance of the inadequacy of older territorial com- prehensions of the world order