Datenschutz und Technik...Vortrag und Diskussion mit Abgeordneten der Fraktionen der Piratenpartei...

Vortrag und Diskussion mit Abgeordneten der Fraktionen der Piratenpartei aus NRW und S-H

Kiel, 6. September 2016

Harald Zwingelberg

Datenschutz und Technik – Datenschutzfördernde Technik –

– Privacy Enhancing Technologies (PETs) –

www.datenschutzzentrum.de

Überblick

• Motivation: Spannungsfeld Datenschutz Technik

• Schutzziele: Datenschutz Datensicherheit

• Grundsätze für datenschutzfördernde Technik

• Möglichkeit der Durchsetzung gegenüber Verantwortlichen und Herstellern (Rasmus Robrahn)

• Beispiele und Diskussion

Datenschutz durch Technik / PETs 2


Spannungsfeld Technik Datenschutz

• Technik-Ziel: Vermeidung von Redundanzen (und daraus resultierenden Fehlern) in Datenbanken

• Naive Lösung: eine weltweite Zentral-Datenbank für alle Informationen zu jeder Person

• Probleme:

Begehrlichkeiten von Marketing-Abteilungen, Arbeitgeber, Versicherungen, Kriminellen ...

Zentraler Angriffspunkt

Möglichkeit zur Verhaltenskontrolle / Profilbildung

Änderungen in einem Bereich: unsichtbar für andere?

Einfluss des Betroffenen, wer welche Information über ihn hat? Datenschutz durch Technik / PETs 3


Spannungsfeld Technik Datenschutz

• Technik-Ziel: mehrfach verwendbare Applikationen

• Naive Lösung: umfassende Digitalisierung, kontextübergreifende Identifikatoren, Interoperabilität und Offenheit für vielseitige Nutzungsmöglichkeiten

• Probleme:

Begehrlichkeiten …

Unkontrollierte und unkontrollierbare Verkettbarkeit

„Function Creep“; Aufweichung einer Zweckbindung

Durchsetzbarkeit von Löschen und Sperren getrennt nach Betroffenen und jeweiligen Zwecken / Löschfristen



Datenschutz und Datensicherheit

Datenschutz

• Schutz der Menschen vor

Missbrauch ihrer personenbezogenen Daten

• Datenschutz-Schutzziele:

Nicht-Verkettbarkeit

Transparenz

Intervenierbarkeit

Datensicherheit

• Schutz der

Daten(verarbeitung) vor unberechtigten Zugriffen und vor Zerstörung

• Klassische Schutzziele der Datensicherheit: „CIA“

Vertraulichkeit (Confidentiality)

Integrität (Integrity)

Verfügbarkeit (Availability)



Datenschutz-Schutzziele

6

Integrität

Vertraulichkeit

Verfügbarkeit

Legal aspects on "Privacy and Usability"

Intervenierbarkeit

Transparenz

Nicht-Verkettbarkeit


Standard-Datenschutzmodell (SDM)

• Schutzziele sind Teil des SDM

• SDM wird genutzt für:

Anforderungsdefinition

Evaluation von Lösungen

Prüfungspraxis des ULD

Vorschlag als neuer Baustein Datenschutz im BSI-Prüfkatalog

• Mehr: www.datenschutzzentrum.de/sdm


http://www.datenschutzzentrum.de/sdm


Verhältnis Datenschutz – Datensicherheit?

DaSchu DaSi

1

DaSi DaSchu

2

DaSchu DaSi

3

DaSchu DaSi

4 ?



Datenschutzfördernde Technik

„Datenschutzfreundliche“ Technik

Privacy-Enhancing Technologies



Was sind Privacy-Enhancing Technologies?

“Privacy-Enhancing Technologies (PET)

are a coherent system of ICT measures

that protects privacy [...]

by eliminating or reducing personal data or

by preventing unnecessary and/or

undesired processing of personal data;

all without losing the functionality

of the data system.”

Borking / Raab (2001)

Hier: erweiterte Sicht, d.h. keine Beschränkung auf Datensparsamkeit Datenschutz durch Technik / PETs 10


Privacy-Enhancing Technologies (PETs) – erweiterte Sicht

“The use of PETs can help to design information

and communication systems and services

in a way that minimises the collection and

use of personal data and

facilitate compliance with data protection rules.

The use of PETs should result in making breaches

of certain data protection rules more difficult

and/or helping to detect them.”

European Commission, MEMO/07/159



„Datenschutzfreundliche“ Technik

D.h.: datenschutzgerechte und datenschutzfördernde Technik

Begriffe:

Privacy-Enhancing Technologies (PET): Datenschutzfördernde Technik

Systemdatenschutz: Datenschutz eingebaut in Technik und Verfahren

Selbstdatenschutz: Steuerung/Kontrolle durch den Nutzer über seinen Datenschutz

Mehrseitige Sicherheit: Alle Parteien formulieren ihre Schutzziele und setzen sie (gemäß Aushandlungsergebnis) durch



Transparenz

(für Betroffene)

Transparenz

(für Betroffene)

Grundsätze für datenschutzfördernde Technik

Datenvermeidung /

Datensparsamkeit

Sicherheit der

pers.bez. Daten

Steuerbarkeit

(für Betroffene) Qualitätssicherung

/ Kontrollen

juristisch technisch

organisatorisch

angestrebtes

Design-Ziel

Maßnahmen

Datenvermeidung /

Datensparsamkeit

Sicherheit der

pers.bez. Daten

Steuerbarkeit

(für Betroffene) Qualitätssicherung

/ Kontrollen

Schutzziel: Nicht-Verkettbarkeit Schutzziel:

Transparenz

Schutzziel: Intervenierbarkeit

Schutzziele: Vertraulichkeit, Integrität, Verfügbarkeit

Evaluation der Balancierung und Umsetzung bzgl. der Schutzziele



Datenvermeidung / Datensparsamkeit

• Für personenbezogene Daten minimieren: Erfassungsmöglichkeit Erfassung Verwendungsmöglichkeit Verwendung

• Datensparsamkeit Erforderlichkeit + Zweckbindung

auch für die Gestaltung technischer Systeme

• Datenvermeidung: maximale Datensparsamkeit

• Frühzeitiges Löschen

• Verfahren zu Anonymität und Pseudonymität zur Nutzung und Bezahlung von Diensten



Transparenz für Betroffene • Ziel: Bewusstsein des Betroffenen über Verarbeitung seiner Daten

und etwaige Konsequenzen sowie eigene Steuerungsmöglichkeiten

• Transparenz ...

... über die Zwecke der Verarbeitung (z.B. Datenschutzerklärungen)

... über die verarbeiteten Daten (z.B. Auskunftsrecht)

... über die tatsächliche/stattgefundene Datenverarbeitung:

Dokumentation und Unterrichtung

Offenlegung von Quellcode / Verfahren

Evaluation, Zertifizierung, Gütesiegel

• Aktives Informieren vs. Vorhalten von Informationen

• Komplexität: Wieviel versteht der Betroffene?



Steuerbarkeit für Betroffene

im Vorfeld: Steuerung

• ... der Hergabe eigener

Daten:

– Bestimmung des

Personenbezugs

(Pseudonymität,

Datenumfang)

– Formulierung

– Aushandlung

• ... der Anforderungen an

die Verwendung:

– Bedingungen wie

Zweck, Dauer,

Gegenleistung

während / nach Verwendung:

• Technikunterstützung bei:

– Einwilligung

– Widerspruch

– Auskunft

– Berichtigung

– Löschen

• Nachprüfbarkeit:

– „Einzelnutzungs-

nachweis“ / Datenbrief

– abfragbares Logfile

– eigene Protokollierung



Möglichkeiten den Einsatz von PETs zu stärken nach der europäischen Datenschutz-Grundverordnung


=> Vortrag Rasmus Robrahn, ULD

PETs und Privacy by Design mit der DSGVO fördern und fordern

Ass. iur. Rasmus Robrahn

06.09.2016

[email protected]


Problemaufriss

• Hersteller und Verantwortliche sind häufig unterschiedliche Entitäten

• Grundsätzlich sind nur Verantwortliche Adressaten des Datenschutzrechts

PETs und Privacy by Design mit der DSGVO fördern und fordern 19


Privacy by Design durchsetzen

• Mögliche Lösung:

Verantwortliche müssen datenschutzfreundliche Verarbeitungsmittel bevorzugen

Konkurrenzdruck zwischen Herstellern

Voraussetzung: Konsequentes Vorgehen gegen fehlerhafte Auswahl der Verarbeitungsmittel




§ 3a BDSG

• Bisherige Regelung:

§ 3a BDSG: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen sind an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen.

Nicht straf- und bußgeldbewehrt

Bezieht sich nur auf Datenminimierung


Datenschutz durch Technikgestaltung

• Regelung in der DSGVO:

Art. 25 Abs. 1: Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen — wie z. B. Pseudonymisierung — trifft, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.



Datenschutz durch Technikgestaltung

• Hersteller sollen (lediglich) ermutigt werden, Datenschutzgrundsätzen soll bei öffentlichen Aussschreibungen Rechnung getragen werden, EG 78

• Es sind alle Datenschutzgrundsätze erfasst. Datenminimierung ist nur ein Beispiel.

Einholung von Einwilligungen

Betroffenenrechte Informationspflichten

Auskunft

Löschung

Berichtigung

Konfiguration durch den Betroffenen



Bußgeldvorschriften

• Bei Verstößen gegen Art. 25 können Geldbußen von

bis zu 10.000.000 €

oder 2% des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens

verhängt werden, Art. 83 Abs. 4 a).



Projekte

• iKoPA - Integrierte Kommunikationsplattform für automatisierte Elektrofahrzeuge

• SeDaFa – Selbstdatenschutz im vernetzen Fahrzeug

• Diese Arbeit wurde im Rahmen der Projekte iKoPA und SeDaFa durch das Bundesministerien für Bildung und Forschung (BMBF) gefördert.



Beispiele aus dem Datenschutz-Labor

Anonymisierung / Pseudonymisierung


=> Vortragender Harald Zwingelberg, ULD


Identifizierbarkeit Anonymität

Anonymität Identifizierbarkeit <Pseudonymität>

Zuordnung

aufdeckbar?

Gebrauch

verkettbar?

wer bestimmt

Pseudonym?

einer Person

fest zugeordnet?

Verschiedene Abstufungen des Personenbezugs:

Wem gegenüber wie anonym?

Berechtigungen

enthalten? ...



Schutz gegen unberechtigte Zugriffe

tow

o



Warum Verschlüsselung nicht reicht

Anwältin Müller Kanzlei FUSION & Co.

Kommunikationsbeziehungen lassen Rückschlüsse auf Kommunikationsinhalte zu. AN.ON



„Anonymizer“

• Anonymisierer, z.B. AN.ON, TOR auf Ebene der IP-Adressen

• Eine technische Anonymitätsmethode: „Gleichmacherei“, denn viele Nutzer teilen sich dieselben Proxies (und Ketten von Proxies („Mix-Kaskaden“))



• Problem: Wenige Nutzer für TOR / Johndonym

• Lösungsidee: Anonymisierung bereits auf Ebene der ISPs:

Anonymisierung zum Teil der Infrastruktur des Internets machen, so dass Kunden eines ISP gegenüber Dritten nicht mehr unterschieden werden können.

Anonymisierungsprotokoll kompatibel mit vielen Anwendungen und Geräten auch mit Unterstützung von Audio- und Videoformaten

Auch für kommende 5G-Netzwerke (LTE-Nachfolger)

„Zero-effort-privacy“

Kompromiss: ISP bleibt möglicher Angreifer



Beispiel: Attributbasierte Credentials



Best Practice „Datenminimierung“: Authentifikation ohne Identifikation

Vollständige Daten:

Oft sind nicht alle Daten erforderlich

Minimale Daten:

Datenschutz durch Technik / PETs

Vorab Prüfen der Anforderungen: Welche Daten sind wirklich erforderlich?

33


Normalfall: Verkettbare Informationen

Driver's License

Insurance

Cars

Quelle: Folie von Jan Camenisch, IBM Research Zürich



Datensparsamkeit durch attributbasierte Credentials

Driver's License

Insurance

Cars

Vertrauens-würdiger Dritter


Quelle: Folie von Jan Camenisch, IBM Research Zürich


Beispiel: Attributbasierte Credentials in der Schulkommunikation

https://abc4trust.eu/soederhamn



Beispiel:

Apps und Mobilanwendungen



• Problem: Mangel an datenschutzkonformen Apps

• Lösungsvorschlag: App-Programmierer ansprechen

„P-Library“ mit wichtigen Modulen, um datenschutzkonforme Apps zu erstellen, u.a. für Verschlüsselung, Dialoge zur Herstellung der Transparenz und Einholen von Einwilligungen

P-Services: Infrastruktur in der personenbezogene Daten sicher verarbeitet werden können, z.B. Anonymisierungsdienst, Dateiablage

http://app-pets.org/home/ Datenschutz durch Technik / PETs 38

http://app-pets.org/home/




Komplexes Beispiel:

Anti-Doping-Kontrollen



• Problem 1: Dopingkontrolle erfordert jederzeitige Auffindbarkeit der Athleten. Bisher: Pflicht zur Kalendereintragung der „whereabouts“ auf Servern in Kanada. Kontrolleure haben weitgehend freien Zugriff.

• Außerdem: Athleten wollen Komfort- und Zeitgewinn mittels GPS-unterstützer Positionsmeldung. Außerdem sollen „missed tests“ im eigenen Interesse der Athleten zwingend vermieden werden.

• Lösung: System mit Kontrollhoheit bei den Athleten. Zugriff beschränkt auf Kontrolleure mit aktuellem Auftrag. Detaillierte Logs der Zugriffe und Einsichtsmöglichkeit für Athleten. Speicherung nur der jeweils letzten GPS Position außerhalb von Kontrollen. Ablage der Daten in einer Sealed Cloud Umgebung im Inland.

• In Abwägung: „Fake“-Abrufe der Position, um Warnung vor Dopingkontrolle durch Abfangen der GSM-Signale zu verhindern.

• Mehr: https://privacy-paradise.de


https://privacy-paradise.de/




Komplexes Beispiel:

Erstellen einer PKI



Vertrauenswürdige Verteilung von Verschlüsselungsschlüssen (VVV)

• Problem: Ende-zu-Ende-Verschlüsselung ist gewünscht scheitert aber an fehlender vertrauenswürdiger Verteilung von Schlüsseln (PKI)

• Lösungsidee: Mailanbieter des Empfängers verteilt Keys

Anbieter kann einfach und vertrauenswürdig sicherstellen, dass Kontrolle über das Mailpostfach besteht. Ggf. weitergehende Garantien mit vertiefter Kontrolle möglich.

Einfacher Zugriff über DNS-Service des Anbieters

Kein „Mehr“ an Informationen, weil Mailanbieter an Kommunikation wenige Minuten später ohnehin beteiligt ist.

Plugin für Thunderbird und Outlook Exchange geplant

Datensparsam: nur wenige Keys pro Intervall abfragbar

Differenzierte Lösungen für Private und Unternehmen geplant • https://www.keys4all.de/


https://www.keys4all.de/


Fazit des Referenten

• PETs sind wichtige Lösungen zum (Selbst-)Datenschutz von Bürgern

• Anreiz / Zwang zum Einsatz für Verantwortliche und Hersteller möglichst datenschutzfördernd auslegen

• Und da es viele PETs ohne finanziell starken Hersteller gibt, Unterstützung durch Förderung (bei Entwicklung, Betrieb, Weiterentwicklung).

• Tendenz zur „Usability“ / „Zero-effort-privacy“: Neue PETs sollen im Gebrauch einfacher für die Nutzer sein. Dafür sind oftmals Kompromisse erforderlich, die sorgfältig abgewogen und den Nutzern transparent gemacht werden müssen. Mittelfristig stellen diese Lösungen eine Gewinn für große Teile der Nutzer dar.



Optionen für (Landes-)Gesetzgeber

• Einsatz bzw. Akzeptanz von PETs bei öffentlichen Stellen im Land forcieren.

• Beachtung der Privacy by Design (PbD) als Pflicht für alle öffentlichen Beschaffungen ("public tender" laut DS-GVO)

• Datenschutzfördernde Landes-Infrastrukturen mit Angeboten an den kommunalen Bereich Sicherstellung einer Transportverschlüsselung im zwischen allen öffentlich-rechtlichen Stellen im Land. Besser: PKI für öffentliche Stellen für Senden und Empfangen von Ende-zu-Ende-verschlüsselten Nachrichten



Legal aspects on "Privacy and Usability"

Vielen Dank

Unabhängiges Landeszentrum für

Datenschutz Schleswig-Holstein

Phone: +49 431 988 – 1222

[email protected]

http://www.datenschutzzentrum.de/

Kontakt für Rückfragen

Harald Zwingelberg

I

C U

Iv

T A

45

Datenschutz und Technik...Vortrag und Diskussion mit Abgeordneten der Fraktionen der Piratenpartei...

Documents

Transcript of Datenschutz und Technik...Vortrag und Diskussion mit Abgeordneten der Fraktionen der Piratenpartei...