Datenschutz bei Technikeinsatz in der Wohnung Martin Rost, ULD. Bielefeld,

Transkript

1 Datenschutz bei Technikeinsatz in der Wohnung Martin Rost, ULD Bielefeld,

2 Es geht nicht um Privatheit, sondern um die soziale Beherrschbarkeit der Maschinerie. (Wilhelm Steinmüller, Autor des 1. Datenschutzgutachtens von 1971) 1. Zwei Folien vorweg Bielefeld, Datenschutz im AAL-Kontext Folie 2

3 Es dürfen keine personenbezogene Daten verarbeitet werden PUNKT Ausnahme: Regelung durch ein Gesetz oder eine Einwilligung Bielefeld, Datenschutz im AAL-Kontext Folie 3

4 Datenschutz- Schutzziele Vertraulichkeit Nicht- Verkettbarkeit in AAL- und Smarthome-Projekten systematisch planen Transparenz Verfügbarkeit Intervenierbarkeit Auftrags-DV/ DL des DL Prozesse Integrität Organisation/ Dienstleister Betroffener Daten Bielefeld, Datenschutz im AAL-Kontext Folie 4

5 Es geht nicht um Privatheit, sondern um die soziale Beherrschbarkeit der Maschinerie. (Wilhelm Steinmüller, Autor des 1. Datenschutzgutachtens von 1971) Bielefeld, Datenschutz im AAL-Kontext Folie 5

6

7 Aus: Fraunhofer, 2009: Marktpotenziale, Entwicklungschancen, Gesellschaftliche, gesundheitliche und ökonomische Effekte der zukünftigen Nutzung von Ambient Assisted Living (AAL)-Technologien Bielefeld, Datenschutz im AAL-Kontext Folie 7

8 Bielefeld, Datenschutz im AAL-Kontext Folie 8

9 Bielefeld, Datenschutz im AAL-Kontext Folie 9

10 Viele Sensoren und viel EDV muss in den Wohnungen installiert werden Bielefeld, Datenschutz im AAL-Kontext Folie 10

11 Bielefeld, Datenschutz im AAL-Kontext Folie 11

12 Bielefeld, Datenschutz im AAL-Kontext Folie 12

13 Ereignisgesteuerte Audio- und Videoüberwachung durch einen Angehörigen Bielefeld, Datenschutz im AAL-Kontext Folie 13

14 Bielefeld, Datenschutz im AAL-Kontext Folie 14

15 LiveMonitoring Arzt Bewegungssessel mit Sensoren für Vitalparametermessungen TV zur Visualisierung der Messwert, auch: Bewegungsanregung GesundheitsT-Shirt mit Sensoren für Vitalparametermessungen und Bluetoothverbindung zum Handy Bielefeld, Datenschutz im AAL-Kontext Folie 15

16 Bielefeld, Datenschutz im AAL-Kontext Folie 16

17 Es geht nicht um Privatheit, sondern um die soziale Beherrschbarkeit der Maschinerie. (Wilhelm Steinmüller, Autor des 1. Datenschutzgutachtens von 1971) 3. Was meint moderner Datenschutz? Bielefeld, Datenschutz im AAL-Kontext Folie 17

18 These: Datenschutz ist nur das, was im Datenschutzrecht formuliert ist! => Falsch: Dies wäre ein juristischer Kurzschluss. These: Technischer Datenschutz lässt sich weitgehend mit den bekannten Maßnahmen der IT- Sicherheit sicherstellen! => Falsch: Dies wäre ein technizistischer Kurzschluss. Was meint dann Datenschutz? Bielefeld, Datenschutz im AAL-Kontext Folie 18

19 Datenschutz beobachtet, bewertet und nimmt gestaltenden Einfluss auf die asymmetrischen Machtbeziehungen zwischen Organisationen und Personen. This file is licensed under the Creative Commons Attribution-Share Alike 2.0 Generic license Bielefeld, Datenschutz im AAL-Kontext Folie 19

20 Datenschutz beobachtet, beurteilt und gestaltet mit die externen Machtbeziehungen zwischen öffentlicher Verwaltung und deren externen Bürgern; privaten Unternehmen und deren Kunden; IT-Provider (Access, Mail, Platforms) und deren Nutzern / Kunden; Praxen / Instituten / Gemeinschaften und deren Patienten, AAL! Mandanten, Klienten; Wissenschaftsorganisationen und deren Individuen, Subjekte, Menschen; sowie die internen Machtbeziehungen zwischen Verwaltungen, Behörden, Unternehmen, Institute und deren Beamte und Angestellte; (Sport-)Verein, Partei, Kirche,... und deren Mitgliedern; Armee, Krankenhäuser, Gefängnisse, Schule und deren Angehörigen, Insassen, SchülerInnen Bielefeld, Datenschutz im AAL-Kontext Folie 20

21 Die Person ist der Angreifer! Datenschutz: Die Organisation ist der Angreifer! Die Folgen...? 1. IT-Sicherheit: Personen müssen sich gegenüber Organisationen als vertrauenswürdig ausweisen. 2. Datenschutz: Organisationen müssen sich gegenüber Personen als vertrauenswürdig ausweisen. 3. IT-Sicherheitsmanagement (ISO 27001) sichert Geschäftsprozesse einer Organisation und ist deshalb kein Datenschutzmanagement. 4. Datenschutz ist auf die Maßnahmen der Datensicherheit und des IT-Sicherheitsmanagements angewiesen, muss aber in der Lage sein, auch die IT-Sicherheit zu kontrollieren Bielefeld, Datenschutz im AAL-Kontext Folie 21

22 Es geht nicht um Privatheit, sondern um die soziale Beherrschbarkeit der Maschinerie. (Wilhelm Steinmüller, Autor des 1. Datenschutzgutachtens von 1971) 3. Was meint moderner Datenschutz? 1. Datenschutzrechtliche Essentials Bielefeld, Datenschutz im AAL-Kontext Folie 22

23 Artikel 1 Grundgesetz (1) Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist Verpflichtung aller staatlichen Gewalt. (2) Das Deutsche Volk bekennt sich darum zu unverletzlichen und unveräußerlichen Menschenrechten als Grundlage jeder menschlichen Gemeinschaft, des Friedens und der Gerechtigkeit in der Welt. (3) Die nachfolgenden Grundrechte binden Gesetzgebung, vollziehende Gewalt und Rechtsprechung als unmittelbar geltendes Recht. Artikel 2 Grundgesetz (1) Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt. (2) Jeder hat das Recht auf Leben und körperliche Unversehrtheit. Die Freiheit der Person ist unverletzlich. In diese Rechte darf nur auf Grund eines Gesetzes eingegriffen werden Bielefeld, Datenschutz im AAL-Kontext Folie 23

24 Zentrale Datenschutz-Figur: Recht auf informationelle Selbstbestimmung (BVerfGE 65, 1 - Volkszählung ( 1. Unter den Bedingungen der modernen Datenverarbeitung wird der Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten von dem allgemeinen Persönlichkeitsrecht des Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 1 GG umfaßt. Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. 2. Einschränkungen dieses Rechts auf "informationelle Selbstbestimmung" sind nur im überwiegenden Allgemeininteresse zulässig. Sie bedürfen einer verfassungsgemäßen gesetzlichen Grundlage, die dem rechtsstaatlichen Gebot der Normenklarheit entsprechen muß. Bei seinen Regelungen hat der Gesetzgeber ferner den Grundsatz der Verhältnismäßigkeit zu beachten. Auch hat er organisatorische und verfahrensrechtliche Vorkehrungen zu treffen, welche der Gefahr einer Verletzung des Persönlichkeitsrechts entgegenwirken Bielefeld, Datenschutz im AAL-Kontext Folie 24

25 Es dürfen keine personenbezogene Daten verarbeitet werden PUNKT Eine Ausnahme von diesem Grundsatz ist zulässig, wenn eine zweckgebundene Erhebung und Verarbeitung durch ein Gesetz oder eine Einwilligung geregelt vorliegt. Verbot mit Erlaubnisvorbehalt (BDSG 4ff.) Bielefeld, Datenschutz im AAL-Kontext Folie 25

26 An eine Einwilligung (siehe 4a BDSG) sind Bedingungen geknüpft: Bestimmung des Zwecks, Freiwilligkeit, Informiertheit und Bestimmtheit der Verarbeitung, abschließende Bestimmung der Empfänger Bielefeld, Datenschutz im AAL-Kontext Folie 26

27 Bundesdatenschutzgesetz (BDSG) erstreckt sich auf Privatpersonen, Privatwirtschaft und Bundesbehörden Landesdatenschutzgesetze erstrecken sich auf öffentliche Verwaltung in Land und Kommunen speziell in SH: DS-Verordnung EU: Europäische Grundrechte-Charta Datenschutz-Richtlinie Wirkung über Import in deutsche Gesetze (Entwurf: EU-DS-Verordnung, die unmittelbar gälte, BDSG/LDSGe ersetzte!) Spezialgesetze (haben Vorrang): Telemedien-Gesetz, T-Kommunik-Gesetz, SGB, AO, LandesMeldeGes, LVerwGesetz/ PolizeiGes, PassGes, PersonalausweisGes, AufenthaltsGes., Rechtmäßigkeit der Datenverarbeitung Gesetzliche Rechtsgrundlagen Einwilligung Grundsatz der Zweckbindung Grundsatz der Erforderlichkeit Grundsatz der Datenvermeidung und Datensparsamkeit Grundsatz der Transparenz Grundsatz der klaren Verantwortlichkeit Grundsatz der Kontrolle Grundsatz der Gewährleistung der Betroffenenrechte Verbot der Profilbildung Verbot der Sammlung auf Vorrat Verbot der automatisierten Einzelentscheidung Nutzung anonymisierter oder pseudonymisierter Daten Bielefeld, Datenschutz im AAL-Kontext Folie 27

28 Wortlaut 1 Abs. 3 BDSG: gehen dem BDSG voraus Soweit andere Rechtsvorschriften des Bundes auf personenbezogene Daten einschließlich deren Veröffentlichung anzuwenden sind, gehen sie den Vorschriften dieses Gesetzes vor. Beispiele: Telekommunikationsgesetz (TKG) Telemediengesetz (TMG) 35 Sozialgesetzbuch I; 67a ff. Sozialgesetzbuch X Bielefeld, Datenschutz im AAL-Kontext Folie 28

29 (1) Jeder Diensteanbieter hat angemessene technische Vorkehrungen oder sonstige Maßnahmen zum Schutze 1. des Fernmeldegesetzes und personenbezogener Daten und 2. der Telekommunikations- und Datenverarbeitungssysteme gegen unerlaubte Zugriffe zu treffen Bielefeld, Datenschutz im AAL-Kontext Folie 29

30 Datenverarbeitungsrecht zur IT-Sicherheit BDSG enthält wenige konkrete Rechtsvorschriften zu Technik und Organisation. Technisch-organisatorische Schutzmaßnahmen leiten sich im BDSG hauptsächlich aus dem 9 und der Anlage zu 9 ab Bielefeld, Datenschutz im AAL-Kontext Folie 30

31 Sphärenmodell Zutrittskontrolle Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Eingabekontrolle Auftragskontrolle Verfügbarkeitskontrolle Abschottungsgebot Zugriff Zugang Zutritt Zweck: Sicherung von Vertraulichkeit, Integrität und Transparenz der Datenverarbeitung vornehmlich für die datenverarbeitende Stelle Bielefeld, Datenschutz im AAL-Kontext Folie 31

32 Es geht nicht um Privatheit, sondern um die soziale Beherrschbarkeit der Maschinerie. (Wilhelm Steinmüller, Autor des 1. Datenschutzgutachtens von 1971) 3. Was meint moderner Datenschutz? 1. Datenschutzrechtliche Essentials 2. Standard-Datenschutzmodell (SDM) Bielefeld, Datenschutz im AAL-Kontext Folie 32

33 10 Technische und organisatorische Maßnahmen (DSG-NRW) (1) Die Ausführung der Vorschriften dieses Gesetzes sowie anderer Vorschriften über den Datenschutz ist durch technische und organisatorische Maßnahmen sicherzustellen. (2) Dabei sind Maßnahmen zu treffen, die geeignet sind zu gewährleisten, dass 1. nur Befugte personenbezogene Daten zur Kenntnis nehmen können (Vertraulichkeit), 2. personenbezogene Daten während der Verarbeitung unversehrt, vollständig und aktuell bleiben (Integrität), 3. personenbezogene Daten zeitgerecht zur Verfügung stehen und ordnungsgemäß verarbeitet werden können (Verfügbarkeit), 4. jederzeit personenbezogene Daten ihrem Ursprung zugeordnet werden können (Authentizität), 5. festgestellt werden kann, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat (Revisionsfähigkeit), 6. die Verfahrensweisen bei der Verarbeitung personenbezogener Daten vollständig, aktuell und in einer Weise dokumentiert sind, dass sie in zumutbarer Zeit nachvollzogen werden können (Transparenz). (3) ( ) Bielefeld, Datenschutz im AAL-Kontext Folie 33

34 (1) Die Ausführung der Vorschriften dieses Gesetzes sowie anderer Vorschriften über den Datenschutz im Sinne von 3 Abs. 3 ist durch technische und organisatorische Maßnahmen sicherzustellen, die nach dem Stand der Technik und der Schutzbedürftigkeit der Daten erforderlich und angemessen sind. Sie müssen gewährleisten, dass Verfahren und Daten zeitgerecht zur Verfügung stehen und ordnungsgemäß angewendet werden können (Verfügbarkeit), Daten unversehrt, vollständig, zurechenbar und aktuell bleiben (Integrität), nur befugt auf Verfahren und Daten zugegriffen werden kann (Vertraulichkeit), die Verarbeitung von personenbezogenen Daten mit zumutbarem Aufwand nachvollzogen, überprüft und bewertet werden kann (Transparenz), personenbezogene Daten nicht oder nur mit unverhältnismäßig hohem Aufwand für einen anderen als den ausgewiesenen Zweck erhoben, verarbeitet und genutzt werden können (Nicht-Verkettbarkeit) und Verfahren so gestaltet werden, dass sie den Betroffenen die Ausübung der ihnen zustehenden Rechte nach den 26 bis 30 wirksam ermöglichen (Intervenierbarkeit) Bielefeld, Datenschutz im AAL-Kontext Folie 34

35

36 Integrität Nichtverkettbarkeit Verfügbarkeit Vertraulichkeit Transparenz Intervenierbarkeit Rost, Martin / Pfitzmann, Andreas, 2009: Datenschutz-Schutzziele - revisited; in: DuD - Datenschutz und Datensicherheit, 33. Jahrgang, Heft 6, Juli 2009: Bielefeld, Datenschutz im AAL-Kontext Folie 36

37 Sicherstellung von Verfügbarkeit Daten/Prozesse: Redundanz, Schutz, Reparaturstrategien Sicherstellung von Integrität Daten / Systeme: Hash-Wert-Vergleiche Prozesse: Festlegen von Min./Max.-Referenzen, Steuerung der Regulation Sicherstellung von Vertraulichkeit Daten: Verschlüsselung Systeme / Prozesse: Rollentrennungen, Abschottung, Containern Sicherstellen von Transparenz durch Prüffähigkeit Daten / Systeme / Prozesse: Protokollierung, Dokumentation von Verfahren Sicherstellen von Nichtverkettbarkeit durch Zweckbestimmung/-bindung Daten: Pseudonymität, Anonymität (anonyme Credential) Prozesse: Identitymanagement, Anonymitätsinfrastruktur, Audit Sicherstellen von Intervenierbarkeit durch Ankerpunkte Daten: Zugriff auf Betroffenen-Daten durch den Betroffenen Prozesse: SPOC für Änderungen, Korrekturen, Löschen, Aus-Schalter, Changemanagement, Bielefeld, Datenschutz im AAL-Kontext Folie 37

38 ((*) Orientierung an BSI-Grundschutzdefinition(*), doch Einnahme der Perspektive einer Person, die von dem Verfahren betroffen ist: Normal: Schadensauswirkungen sind begrenzt und überschaubar und etwaig eingetretene Schäden für Betroffene relativ leicht durch eigene Aktivitäten zu heilen. Hoch: die Schadensauswirkungen werden für Betroffene als beträchtlich eingeschätzt, z.b. weil der Wegfall einer von einer Organisation zugesagten Leistung die Gestaltung des Alltags nachhaltig veränderte und der Betroffene nicht aus eigener Kraft handeln kann sondern auf Hilfe angewiesen wäre. sehr hoch: Die Schadensauswirkungen nehmen ein unmittelbar existentiell bedrohliches, katastrophales Ausmaß für Betroffene an. df, S. 49.) Bielefeld, Datenschutz im AAL-Kontext Folie 38

39 Ein Verfahren besteht aus drei zu betrachtenden Komponenten, die einen Bezug zu einer Person haben: Daten (und Datenformate) IT-Systeme (und Schnittstellen) Prozesse (und adressierbare Rollen) Bielefeld, Datenschutz im AAL-Kontext Folie 39

40 6 Schutzziele, hinterlegt mit Maßnahmen-Katalog! 3 Schutzbedarfsabstufungen, aus der Personenperspektive! 3 Verfahrenskomponenten! Das ergibt ein Referenzmodell für 54 spezifische Datenschutzmaßnahmen zur standardisierten Prüfung personenbezogener Verfahren Bielefeld, Datenschutz im AAL-Kontext Folie 40

41 Bielefeld, Datenschutz im AAL-Kontext Folie 41

42

43

44 1. Der Arbeitskreis Technik empfiehlt die Nutzung des Standard-Datenschutzmodells (SDM). 2. Der Arbeitskreis Technik empfiehlt die Entwicklung eines Katalogs mit Referenzmaßnahmen des technisch-organisatorischen Datenschutzes für das SDM. 3. Die Weiterentwicklung des SDM und des Maßnahmenkatalogs soll in einer Arbeitsgruppe des Arbeitskreis Technik und in Abstimmung mit der Datenschutzkonferenz erfolgen Bielefeld, Datenschutz im AAL-Kontext Folie 44

45 Es geht nicht um Privatheit, sondern um die soziale Beherrschbarkeit der Maschinerie. (Wilhelm Steinmüller, Autor des 1. Datenschutzgutachtens von 1971) 4. Der AAL-Würfel und das SDM Bielefeld, Datenschutz im AAL-Kontext Folie 45

46 Umsetzung der Schutzmaßnahmen Datenschutz- Schutzziele 1. Rechtliche Abwägung der Schutzziele 2. Schutzmaßnahmenkataloge 2011/05 Vertraulichkeit Nicht- Verkettbarkeit Transparenz Verfügbarkeit Intervenierbarkeit Auftrags-DV/ DL des DL Prozesse Rechtsbeziehungen Prozesseigentümer = Verantwortlichkeiten Integrität Organisation/ Dienstleister Betroffener Daten Technische Systeme Schutzbedarfs- Feststellung Bielefeld, Datenschutz im AAL-Kontext Folie 46

47

48 Souveränität über den bevorzugten Aufenthaltsort innezuhaben etwa: Pflege und medizinische Versorgung zuhause ist ein wesentlicher Aspekt informationeller Selbstbestimmung. AAL läuft auf eine Industrialisierung das heisst: standardisierte, technisierte, verwissenschaftlichte, durchökonomisierte und verrechtlichte Betreuung hilfebedürftigen Menschen hinaus. Schrecken? Freiheit durch Abhängigkeit von Technik und privat-organisierten Organisationen mit Kapital- und Sicherheitsinteressen ist alltägliche, eingeübte, breit akzeptierte Praxis in Industriegesellschaften. Hohe Datenschutzrelevanz von AAL, weil der Kernbereich des Privatlebens von Menschen betroffen ist Bielefeld, Datenschutz im AAL-Kontext Folie 48

49 Weil wahrscheinlich lange noch gesetzliche Rechtsgrundlagen fehlen werden, wird vieles über Einwilligungen und Verträge abgewickelt. Sehr schwierig. Gefordert sind technisch-organisatorische Maßnahmen für eine Datenverarbeitung mit überwiegend sehr hohem Schutzbedarf, absehbar wegen Erhebung hochauflösender Medizin- und Verhaltensdaten. Es besteht ein hohes Risiko der Verantwortungsdiffusion für AAL-Systeme, gefordert ist nicht nur Einzelkomponentensondern Systemverantwortung. Sich bei zwar unvernünftigem aber sozial üblichen Verhalten nicht rechtfertigen zu müssen, ist ebenfalls ein wesentlicher Aspekt informationeller Selbstbestimmung, jedoch gilt: Beobachtbarkeit erzeugt Rechtfertigungsdruck. Stärkung des Datenschutzes bei AAL wäre ein weltweit verwertbarer Akzeptanz- und Wettbewerbsfaktor Bielefeld, Datenschutz im AAL-Kontext Folie 49

50 AAL-Würfel Martin Rost: Datenschutz in 3D, in: Datenschutz und Datensicherheit (DuD), 2011, Nr. 05 Datenschutz-Schutzmaßnahmen Thomas Probst: Generische Schutzmaßnahmen für Datenschutz- Schutzziele; in: Datenschutz und Datensicherheit (DuD), 2012, Nr. 06 Standard-Datenschutzmodell Martin Rost: Standard- Datenschutzmodell, in: Datenschutz und Datensicherheit (DuD), 2012, Nr. 06 Verfügarbar unter: Bielefeld, Datenschutz im AAL-Kontext Folie 50

51 Vielen Dank für Ihre Aufmerksamkeit Martin Rost e Holstenstraße 98, Kiel Bielefeld, Datenschutz im AAL-Kontext Folie 51