ENISA-Projekt zu Privacy by Design. Marit Hansen Landesbeauftragte für Datenschutz Schleswig-Holstein

Transkript

1 ENISA-Projekt zu Privacy by Design Marit Hansen Landesbeauftragte für Datenschutz Schleswig-Holstein

2 Überblick ENISA Anforderungen der EU-Datenschutz- Grundverordnung Best-Practice-Beispiele aus der ENISA- Studie Reifegrad von Privacy-Enhancing Technologies Fazit

3 Disclaimer Ich spreche nicht für die Europäische Agentur für Netzund Informationssicherheit (ENISA). Ich war in den letzten 10 Jahren mehrmals als Expertin in verschiedenen ENISA-Projekten zu Datenschutz-Themen eingebunden. (2014) (2015)

4 ENISA Europäische Agentur für Netz- und Informa;onssicherheit Folie: Stefan Schiffner / ENISA

5 ENISA Ac;vi;es Recommenda;ons Suppor&ng Communi&es Policy implementa;on Hands-on Folie: Stefan Schiffner / ENISA 5

6 Überblick ENISA Anforderungen der EU-Datenschutz- Grundverordnung Best-Practice-Beispiele aus der ENISA- Studie Reifegrad von Privacy-Enhancing Technologies Fazit

7 Datenschutz by Design & by Default Kommt mit der EU-Datenschutz-Grundverordnung (Art. 25) Richtet sich primär an: Datenverarbeiter (auch im Auftrag) + (nur indirekt!) Hersteller von IT-Systemen Ziel: Gestaltung von Systemen + Diensten von Anfang an über den gesamten Lebenszyklus a) datensparsam b) mit möglichst datenschutzfreundlichen Voreinstellungen

8 Maßstab: Stand der Technik, Implementierungskosten, Verarbeitung, Risiken Datenschutz by Design in der DS-GVO: Art. 25 Bsp.: Pflicht zur Pseudonymisierung?

9 Unklar: Unterschied zum Erforderlichkeitsprinzip (Artikel 5)? Datenschutz by Default in der DS-GVO: Art. 25 Bsp.: Social Networks

10 Datenschutz by Design & by Default gemäß Erwägungsgrund 78 DS-GVO Nachweis durch interne Strategien & t+o Maßnahmen, u.a. Datenminimierung Schnellstmögliche Pseudonymisierung Transparenz in Bezug auf Funktionen+Verarbeitung Ermöglichung der Überwachung der Verarbeitung durch den Betroffenen Ermöglichung für Sicherheitsfunktionen durch Verantwortlichen Ermutigung für Hersteller Berücksichtigung in öffentlichen Ausschreibungen

11 Maßstab: Stand der Technik, Implementierungskosten, Verarbeitung, Risiken Sicherheit: Art. 32 Wieder Pseudonymisierung Lebenszyklus: regelmäßige Überprüfung

12 Nicht immer Pflicht Verfahren nicht genau vorgegeben Datenschutz-Folgenabschätzung: Art. 35

13 Geldbußen: Art. 83

14 Lösungsansatz: Einsatz von Privacy- Enhancing Technologies (PETs) Privacy-Enhancing Technologies (PET) are a coherent system of ICT measures that protects privacy [...] by eliminating or reducing personal data or by preventing unnecessary and/or undesired processing of personal data; all without losing the functionality of the data system. Borking / Raab (2001)

15 Lösungsansatz: Einsatz von Privacy- Enhancing Technologies (PETs) The use of PETs can help to design information and communication systems and services in a way that minimises the collection and use of personal data and facilitate compliance with data protection rules. The use of PETs should result in making breaches of certain data protection rules more difficult and/or helping to detect them. European Commission, MEMO/07/159

16 Privacy by Design à la Ann Cavoukian

17 Systemgestaltung mit Datenschutz Minimum: Defensive Interpretation der gesetzlichen Regelungen Dokumentation von Strategie und Maßnahmen Warten auf kommende Anforderungen der Aufsichtsbehörden Klare Verantwortlichkeit (Vorstand; möglichst unterstützt von betriebl. DSB) Für Optimum zusätzlich: Proaktiv agieren Lösungsraum kennen und erweitern Zertifizierung anstreben Datenschutz-Managementsystem für gesamten Lebenszyklus einsetzen Mit anderen Akteuren und Disziplinen interagieren: Technik und Prozesse

18 Für umfassendes Privacy-by-Design vielfältige Disziplinen nötig Recht: Zulässigkeit Technik: Engineering Wirtschaftswiss.: Organisatorische Prozesse Geschäftsmodelle Psychologie++: Nutzerinteraktion, Organisationskultur Foto: Ken Teegardin Ethik & Sozial- / Politikwissenschaften

19 Überblick ENISA Anforderungen der EU-Datenschutz- Grundverordnung Best-Practice-Beispiele aus der ENISA- Studie Reifegrad von Privacy-Enhancing Technologies Foto: Josh Hallett Fazit

20 Aus dem Inhaltsverzeichnis der ENISA-Studie [ ] 2 Engineering Privacy 3 Privacy Design Strategies 3.1 Software design patterns, strategies, and technologies 3.2 Eight privacy design strategies 4 Privacy Techniques 4.1 Authentication 4.2 Attribute based credentials 4.3 Secure private communications 4.4 Communications anonymity and pseudonymity 4.5 Privacy in databases 4.6 Technologies for respondent privacy: statistical disclosure control 4.7 Technologies for owner privacy: privacy-preserving data mining 4.8 Technologies for user privacy: private information retrieval 4.9 Storage privacy 4.10 Privacy-preserving computations 4.11 Transparency-enhancing techniques 4.12 Intervenability-enhancing techniques [ ] Einfluss des Standard- Datenschutzmodells

21 Datenschutz für statistische Analysen Anonymisierung in Datenbanken nicht einfach: Verkettbarkeit mit beliebigen anderen Daten Anonymitätsgarantien können die Datenqualität verringern: Unschärfen ( noise ) einführen (wo?) Ausreißer herausnehmen Balance? Quelle: Microsoft: Whitepaper Differential Privacy for Everyone

22 weiß alles! Anonyme Internet-Nutzung: der simple Anonymisierungs-Proxy

23 Hintereinanderschaltung von Anonymisierungs-Proxies mit Verschlüsselung bewirkt Aufteilung der Information: keiner weiß alles!

24 MIX 1 MIX 2 Anonymität mit Mix-Rechnern (David Chaum 1981)

25 Anonymizer als Selbstdatenschutz-Tool Anonymisierer, z.b. AN.ON auf Ebene der IP-Adressen Eine technische Anonymitätsmethode: Gleichmacherei, denn viele Nutzer teilen sich dieselben Proxies (und Ketten von Proxies ( Mix-Kaskaden ))

26 Best Practice Datenminimierung : Authentifikation ohne Identifikation Vorab Prüfen der Anforderungen: Welche Daten sind wirklich erforderlich? Vollständige Daten: Minimale Daten: Oft sind nicht alle Daten erforderlich

27 Normalfall: Verkettbare Informationen Driver's License Insurance Cars Folie von Jan Camenisch, IBM Research Zürich

28 Datensparsamkeit durch attributbasierte Berechtigungsnachweise Driver's License Insurance Vertrauenswürdiger Dritter Cars Folie von Jan Camenisch, IBM Research Zürich

29 Beispiel: Attributbasierte Berechtigungsnachweise in der Praxis

30 Überblick ENISA Anforderungen der EU-Datenschutz- Grundverordnung Best-Practice-Beispiele aus der ENISA- Studie Reifegrad von Privacy-Enhancing Technologies Foto: Ian Ransley Fazit

31 Anecdotes about the state of the art End-to-end encryp&on is expensive But I do need this data to do XYZ Homomorphic encryp&on will solve cloud compu&ng security issues I asked for consent and now everything is fine But quantum compu&ng: we are all doomed / saved Folie: Stefan Schiffner / ENISA 31

32 NASA Technology Readiness Level

33 Technology Maturity: Reifegrad von Technik

34 Reifegrad von Technik PET? Folie: Meiko Jensen / ULD

35 PET-Reifegrad: Readiness Pilot Product Proof-of- Concept Outdated Research Idea Folie: Meiko Jensen / ULD

36 PET-Reifegrad: Quality? Folie: Meiko Jensen / ULD

37 PET-Reifegrad: Einstufung von Qualität Nicht rein automatisiert messbar Erfordert Expertenwissen Oft kein eindeutiges Ergebnis: verschiedene Expertenmeinungen Lernen vom wissenschaftlichen Diskurs

38 PET-Reifegrad: mögliche Werte Idea -- Idea - Idea 0 Idea + Idea ++ Research -- Research - Research 0 Research + Research ++ PoC -- PoC - PoC 0 PoC + PoC ++ Pilot -- Pilot - Pilot 0 Pilot + Pilot ++ Product -- Product - Product 0 Product + Product ++ Outdated -- Outdated - Outdated 0 Outdated + Outdated ++

39 Beispiel für eine Reifegrad-Evaluation: TOR The Onion Router

40 Beispiel-Evaluation: Readiness (Summer School im August 2015: Ergebnis nicht repräsentativ) 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% 79% 14% 7% 0% 0% 0% IDEA RESEARCH PoC PILOT PRODUCT OUTDATED Folie: Meiko Jensen / ULD

41 Beispiel-Evaluation: Quality -Zwischenwerte (Summer School im August 2015: Ergebnis nicht repräsentativ) 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Folie: Meiko Jensen / ULD

42 Beispiel-Evaluation: Quality (Summer School im August 2015: Ergebnis nicht repräsentativ) 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% 92% Product + 8% 0% 0% 0% Folie: Meiko Jensen / ULD

43 Überblick ENISA Anforderungen der EU-Datenschutz- Grundverordnung Best-Practice-Beispiele aus der ENISA- Studie Reifegrad von Privacy-Enhancing Technologies Foto: Rob Pongsajapan Fazit

44 Fazit (1/2) Systemgestaltung ist wesentlich für Datenschutz Regelungen noch vage: Aussagen und Hilfsmittel von Aufsichtsbehörden in Sicht Neue Möglichkeiten für Hersteller und Entwickler Zertifizierung! Foto: Rob Pongsajapan

45 Aufgabe für DSBs: Fazit (2/2) Lösungsraum kennen Prozesse bzgl. Datenschutz by Design evaluieren Ausschreibungen mitgestalten Hilfen von Datenschutzbehörden einfordern Source: Horia Varlan Versprochen: Ihr Job bleibt interessant!

46 Vielen Dank für die Aufmerksamkeit Marit Hansen