Datenschutznormung. Beitrag im Rahmen der Konferenz. E-Government-Standards für Wirtschaft und Verwaltung. ausgerichet von D21, Berlin im November2010

Transkript

1 Datenschutznormung Beitrag im Rahmen der Konferenz E-Government-Standards für Wirtschaft und Verwaltung ausgerichet von D21, Berlin im November2010 Jan Schallaböck, ULD und Vice-Convenor of ISO/IEC JTC1/SC 27/WG 5

2 Überblick A.! Datenschutzstandards & rechtliche Anknüpfungspunkte B.! ISO/IEC JTC 1/SC 27/WG 5 1.! Überblick 2.! Ausgewählte Projekte a.! b.! c.! d.! ISO Privacy Framework ISO Privacy Architecture ISO Privcy CMM Identitätsmanagement (insbes. ISO Identity Management Framework) 3.! ggf. Exkurs: Prozesse in der ISO C.! W3C und weitere 2

3 A. Datenschutzstandardisierung & rechtliche Anknüpfungspunkte 3

4 Bundesverfassungsgericht zur Informationellen Selbstbestimmung: Mit dem Recht auf informationelle Selbstbestimmung wären eine Gesellschaftsordnung und eine diese ermöglichende Rechtsordnung nicht vereinbar, in der Bürger nicht mehr wissen können, wer was wann und bei welcher Gelegenheit über sie weiß. [ ] Wer unsicher ist, ob abweichende Verhaltensweisen jederzeit notiert und als Information dauerhaft gespeichert, verwendet oder weitergegeben werden, wird versuchen, nicht durch solche Verhaltensweisen aufzufallen.

5 Sieben goldene Regeln des Datenschutzes im Überblick Regel 1: Rechtmäßigkeit Regel 2: Einwilligung Regel 3: Zweckbindung Regel 4: Erforderlichkeit Regel 5: Transparenz Regel 6: Datensicherheit Regel 7: Kontrolle Folie: nach Johann Bizer

6 a. Anforderungen aus 9 BDSG Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen!! haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. - Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. 6

7 b. Anlage zu 9 BDSG Werden personenbezogene Daten automatisiert verarbeitet oder genutzt ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen die je nach Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind 1.! Unbefugten den Zutritt zu Datenverarbeitungsanlagen mit denen personenbezogene Daten verarbeitet oder genutzt werden zu verwehren (Zutrittskontrolle) 2.! zu verhindern daß Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle) 3.! zu gewährleisten dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können und dass personenbezogene Daten bei der Verarbeitung Nutzung und nach der Speicherung nicht unbefugt gelesen kopiert verändert oder entfernt werden können (Zugriffskontrolle) 4.! zu gewährleisten dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen kopiert verändert oder entfernt werden können und dass überprüft und festgestellt werden kann an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle) 5.! zu gewährleisten dass nachträglich überprüft und festgestellt werden kann ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben verändert oder entfernt worden sind (Eingabekontrolle) 6.! zu gewährleisten dass personenbezogene Daten die im Auftrag verarbeitet werden nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle) 7.! zu gewährleisten dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle) 8.! zu gewährleisten dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.!! Zutrittskontrolle!! Zugangskontrolle!! Zugriffskontrolle!! Weitergabekontrolle!! Eingabekontrolle!! Auftragskontrolle!! Verfügbarkeitskontrolle!! Datentrennungsprinzip 7

8 c. 3 a BDSG Datenvermeidung und Datensparsamkeit Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen sind an dem Ziel auszurichten,! so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Insbesondere sind personenbezogene Daten zu anonymisieren oder zu pseudonymisieren, "! soweit dies nach dem Verwendungszweck möglich ist und keinen im Verhältnis zu dem angestrebten Schutzzweck unverhältnismäßigen Aufwand erfordert. 8

9 d. Erwägungsgrund 46 der Richtlinie 95/46/EG ( Datenschutzrichtlinie ) Für den Schutz der Rechte und Freiheiten der betroffenen Personen bei der Verarbeitung personenbezogener Daten "! müssen geeignete technische und organisatorische Maßnahmen getroffen werden "! und zwar sowohl zum Zeitpunkt der Planung des Verarbeitungssystems "! als auch zum Zeitpunkt der eigentlichen Verarbeitung, "! um insbesondere deren Sicherheit zu gewährleisten und "! somit jede unrechtmäßige Verarbeitung zu verhindern. "! Die Mitgliedstaaten haben dafür Sorge zu tragen, daß der für die Verarbeitung Verantwortliche diese Maßnahmen einhält. Diese Maßnahmen müssen unter Berücksichtigung des Standes der Technik und der bei ihrer Durchführung entstehenden Kosten ein Schutzniveau gewährleisten, das den von der Verarbeitung ausgehenden Risiken und der Art der zu schützenden Daten angemessen ist. 9

10 e. Rechtsfolgen der Nichteinhaltung, 38 BDSG, n.f. (5) Zur Gewährleistung der Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz kann die Aufsichtsbehörde Maßnahmen zur Beseitigung festgestellter Verstöße bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten oder technischer oder organisatorischer Mängel anordnen. Bei schwerwiegenden Verstößen oder Mängeln, insbesondere solchen, die mit einer besonderen Gefährdung des Persönlichkeitsrechts verbunden sind, kann sie die Erhebung, Verarbeitung oder Nutzung oder den Einsatz einzelner Verfahren untersagen, wenn die Verstöße oder Mängel entgegen der Anordnung nach Satz 1 und trotz der Verhängung eines Zwangsgeldes nicht in angemessener Zeit beseitigt werden. Sie kann die Abberufung des Beauftragten für den Datenschutz verlangen, wenn er die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit nicht besitzt. 10

11 f. Zusammenfassung: Standards sind Leitlinien und ein mögliches Auslegungskriterium für die vorgenannten Bestimmungen M.a.W. Standards können dazu dienen herauszufinden wie z.b. geeignete technisch-organisatorische Maßnahmen ( 9 BDSG) die Sicherheit des datenverarbeitenden Systems (EG 46 d. RL 95/46/EG) schon in der Planung (RL 95/46/EG) die Zugriffskontrolle (Anlage zu 9 BDSG) die Datentrennung (Anlage zu 9 BDSG) die Datenvermeidung und -sparsamkeit die Anonymisierung und Pseudonymisierung ( 3a BDSG)... nach dem Stand der Technik (RL 95/46/EG) zu gewährleisten sind. 11

12 B. ISO/IEC JCT 1/SC 27/WG 5 Working Group 5 Identity Management & Privacy Technologies within SC 27 IT Security Techniques 12

13 1. Überblick 13

14 Standards für IT-Sicherheit (Exemplarisch) System- oder Verfahrensbezug ISO/IEC (BSI-Standards Grundschutz-Kataloge) ISO/IEC 2700x (vormals British Standards) Unterstützend: ISO/IEC (Prozess-Reifegradmodell) Produktbezug ISO/IEC (Common Criteria) technische Ausrichtung Managementausrichtung Folie: nach M. Meints 14

15 WGs within ISO/IEC JTC 1/SC 27 IT Security Techniques Assessment Guidelines Techniques Product System Process Environment Folie: K. Rannenberg 15

16 SC 27 und Spiegelgremien ISO/IEC JTC 1/SC 27 Information technology Security techniques Chairman Mr. W. Fumy SC 27 Secretariat DIN Ms. K. Passia Working Group 1 Information security management systems Working Group 4* Security controls & services Working Group 2 Cryptography & security mechanisms Working Group 3 Security evaluation criteria Working Group 5 Identity management & Privacy technologies NIA Hr. Wappenschmidt NIA Hr. v. Sommerfeld NIA Hr. Krüger NIA Fr. Rohde NIA 27 (NA ) Obmann H. von Sommerfeld Folie: nach H. v. Sommerfeld * WG4 ist derzeit nicht durch einen eigenen AK gespiegelt, die Aufgabe unterfällt daher dem NIA 27 Plenum

17 Organigramm der ISO 17

18 WG 5: Scope Working Group 5 Identity management & Privacy technologies Development and maintenance of standards and guidelines addressing security aspects of: "! Identity management "! Biometrics and "! Privacy 18

19 2. Ausgewählte Projekte im Detail 19

20 a. ISO Privacy Framework Scope: Principles and Definitions of Terminology Prinzipien: 1. Consent and Choice 2. Purpose Specification 3. Collection Limitation 4. Use, Retention and Disclosure Limitation 5. Data Minimization 6. Accuracy and Quality 7. Openness, Transparency and Notice 8. Individual Participation and Access 9. Accountability 10. Security Controls 11. Compliance ISO/IEC JTC 1/SC 27/WG 5 IdM and Privacy

21 c. ISO Privacy Architecture Ziel: High Level-Architektur Integrität Diskussion: Neue Schutzziele Intervenierbarkeit Skizze: nach M. Rost ISO/IEC JTC 1/SC 27/WG 5 IdM and Privacy

22 c. ISO Privacy CMM Table of Contents (early draft): a) Inventory b) Policy c) Governance d) Risk Management e) Procedures & Controls f) Information Security g) Third Party Management h) Compliance i) Incident Management j) Training & Awareness ISO/IEC JTC 1/SC 27/WG 5 IdM and Privacy

23 Zum Vergleich: ISO/IEC Aufbau des Prozess-Reifegradmodells Stufe 5: Optimiert (Optimizing) Der Prozess wird unter Auswertung der KPI beständig optimiert Stufe 4: Vorhersehbar (Managed) Es existieren für Arbeitsschritte und Teilprozesse Qualitätskriterien, so genannte Key Performance Indikatoren (KPI) Stufe 3: Standardisiert (Defined) Arbeitsschritte und Teilprozesse laufen wiederholbar ab, Prozess ist dokumentiert Stufe 2: Reproduzierbar (Repeatable) auf Ebene der kleinsten Organisationseinheiten ist der Prozess organisiert, Input und Ergebnis sind definiert Stufe 1: Ausgangszustand (Initial) Chaotisch, eher Projekte als Prozesse, Input und Ergebnis sind nicht definiert, Abläufe wiederholen sich nur selten Folie: nach Meints und Deming

24 d. Identitätsmanagement 24

25 Identitätsmanagement 2 Seiten einer Medaille People live their life - in different roles (professional, private, volunteer) - using different identities/pseudonyms ( accounts, SIM cards, ebay trade names, chat names, Second Life names, ) Organisations aim to sort out - user accounts in different IT systems - Authentication - Rights management - Access control Folie: nach K. Rannenberg 25

26 Identitätsmanagement 2 Seiten einer Medaille Differentiated identities help to - protect - privacy, especially anonymity - personal security/safety - enable reputation building at the same time Unified identities help to - ease administration - manage customer relations Folie: nach K. Rannenberg 26

27 Identitätsmanagement 2 Seiten einer Medaille Identity management systems - support users using role based identities - help to present the right identity in the right context Identity management systems - ease single-sign-on by unify accounts - solve the problems of multiple passwords Folie: nach K. Rannenberg 27

28 ISO IdM Framework Einige beispielhafte Definitionen: Identity / Partial Identity: A set of attributes related to an entity. Reference Identifier: attribute or a combination of attributes of an entity that can uniquely represent the entity in a specific context Multipart-Standard: 1.! Terminology and Concepts 2.! Reference architecture and requirements 3.! Practice Identifier: reference to a unique object used by an entity to be uniquely represented within the specific context of the object; the validity of the identifier is limited to the entity and object lifecycle; examples are passport numbers, credit card numbers, identity card numbers, driver s licence numbers; the validity of a identifier may depend on a number of factors (e.g., context, time) FCD für Teil 1 Basisterminologie war sehr kontrovers

29 Datenflussmodell nach ITU-T, FG IdM und Alternativvorschlag der ISO (rechts) 29

30 3. Exkurs Prozesse i.d. ISO

31 * Zukünftig: Draft International Standard (DIS), was die Option bietet, den Status FDIS bei Konsens zu übersprigen. Study Period & Working Group drafts Committee Drafts Final Committee Draft * Final Draft International Standard International Standard New Work Item Proposal NP WD CD FCD FDIS IS NB/Liaisons Organisation files Comments Circulation for Study and Comment NB/Liaisons Organisation Ballot by NBs Experts give Comments Comments Circulation for Study and Comment

32 WD & Disposition of Comments (DOC) NB/Liaisons Organisation files Comments Circulation for Study and Comment Experts give Comments w/in NBs & Liaisons

33 CD & DOC NBs vote and file comments (Liaisons only file comments) Circulation for Study and Comment Comments Comments by Voting Experts by NBs w/in NBs and Liaisons

34 C. W3C und weitere 34

35 1. P3P (Grundkonzept) P3P ist eine formale Beschreibung von Datenschutzerklärungen Verbreitung stagniert Weiterentwicklung derzeit eingefroren Dennoch ein Erfolgsmodell! Problem, die Überwachung der Einhaltung (Enforcement) preferences user agent user agreement user data repository proposal service data practices Screenshot: wikipedia.org 35

36 Policy Languages Interest Group (PLING) Ziel: Architecture and Application, in particular, use cases in "! compliance, "! privacy, "! access control, "! identity management and "! obligation management areas [ ] a forum to support researchers, developers, solution providers, and users of policy languages such as "! XACML (extensible Access Control Markup Language), "! the IETF's Common Policy framework and related work, and "! P3P (W3C's Platform for Privacy Preferences Project). Focus on policy languages that are already specified and broadly address the privacy, access control, and obligation management areas; it is not expected to engage in the design of new policy or rule languages. 36

37 3. IETF und IAB: z. B. Privicons 37

38 Herzlichen Dank! Management WG5: Secretariat: Krystyna Passia Convenor: Kai Rannenberg Vice-Convenor: Jan Schallaböck Further reading SD6 Glossary of IT Security Terminology SD7 Catalogue of SC 27 Standards & Projects 38