"Das generische Datenschutzmodell" Datenschutz standardisiert planen und. prüfen Martin Rost

Transkript

1 "Das generische Datenschutzmodell" Datenschutz standardisiert planen und prüfen Martin Rost Folie 1

2 Gliederung Es geht nicht um Privatheit, sondern um die soziale Beherrschbarkeit der Maschinerie. (Wilhelm Steinmüller, Autor des 1. Datenschutzgutachtens von 1971) 1. Was macht ein Landesbeauftragter für den Datenschutz und die Informationsfreiheit? 2. Was meint Datenschutz? 3. Systematisierung von Datenschutzanforderungen durch die Neuen Schutzziele 4. Referenzmodell Datenschutzprüfung Folie 2

3 Stand: mr Standard-Datenschutzmodell: Prüfen und Gestalten SOLL Prüfen Betreiben DSB Auditieren IST DSB Gestalten Norm Gesetze Verordnungen Verträge Policies Schutzziele (6) Nichtverkettbarkeit Intervenierbarkeit Verfahrenkomponenten (3) - Daten - Systeme - Prozesse Transparenz Vertraulichkeit Integrität Verfügbarkeit Schutzbedarfs- / RisikoAnalyse (3) - normal - hoch - sehr hoch ReferenzSchutzmaßnahmen Dokumentation Mandantentr. IdentityMan. Datens.-Mang. Auditierung Verschlüsseln Betriebsver. DS-Erklärung. Policies Datenschutzmanagement Prüfung. Standard-Datenschutzmodell (SDM) Reale Schutzmaßnahmen, Verantwortlichkeiten Dokumentation Mandantentr. IdentityMan. Datens.-Mang. Auditierung Verschlüsseln Betriebsver. DS-Erklärung. Policies Datenschutzmanagement Prüfung, Tatbestand bzw. Verfahren mit Personenbezug Gesicherte VerfahrensVerantwortlichkeit Schutz-Mechanismen Logging, Monitoring Rollendef. im LDAP Pseudonymisierung Anonymisierung PGP / SSL, TSL MD5-Hashwertvergl. Aus-Schalter Spiegelsystem und Vertretungsregel Virensc-Signatur Rechte/ Pflichten und Rollen - Rechtsgrundl. - Betroffener - Organisation - Betreiber - Auftr-DV Betriebssystem Applikation Firewall Virenscanner Betriebsvereinb. Verträge mit Dienstleistern Technik und Organisation

4 Kurzvorstellung: Was macht das ULD? Prüfung Primäre Adressaten: Beratung Schulung inkl. DATENSCHUTZAKADEMIE IT-Labor Öffentl. Verwaltungen Unternehmen Modellprojekte Gütesiegel Audit Wirtschaft, Wissenschaft, Verwaltung Bürger, Kunden, Patienten Folie 4

5 Auswahl Projekte & Studien TClouds Trustworthy Clouds Privacy and Resilience for Internet-scale Critical Infrastructure ABC4Trust Attribute-based Credentials for Trust SurPriSe Surveillance, Privacy and Security Identitätsmanagement PrimeLife, PRIME, FIDIS EuroPriSe Europäisches Datenschutz-Gütesiegel RISER Europäische Melderegisterauskunft DOS Datenschutz in Online-Spielen AAL Juristische Fragen im Bereich Altersgerechter Assistenzsysteme AN.ON Anonymität im Internet TAUCIS Technikfolgen-Abschätzung Ubiquitäres Computing und Informationelle Selbstbestimmung Verkettung digitaler Identitäten Verbraucherdatenschutz und Datenschutzrecht im Scoring Folie 5

6 Datenschutz als Wettbewerbsvorteil Datenschutz-Audit Datenschutz-Gütesiegel European Privacy Seal Innovationszentrum Datenschutz & Datensicherheit Folie 6

7 Was meint Datenschutz? Folie 7

8 Datenschutz Datenschutz ist nicht nur das, was als Anforderungen im Datenschutzrecht steht (juristischer Kurzschluss). ist nicht mit Maßnahmen der Datensicherheit gleichzusetzen (technizistischer Kurzschluss). Was meint dann Datenschutz? Folie 8

9 Artikel 1 Grundgesetz Grundrecht Datenschutz (1) Die Würde des Menschen ist unantastbar. Sie zu achten und zu schützen ist Verpflichtung aller staatlichen Gewalt. (2) Das Deutsche Volk bekennt sich darum zu unverletzlichen und unveräußerlichen Menschenrechten als Grundlage jeder menschlichen Gemeinschaft, des Friedens und der Gerechtigkeit in der Welt. (3) Die nachfolgenden Grundrechte binden Gesetzgebung, vollziehende Gewalt und Rechtsprechung als unmittelbar geltendes Recht. Artikel 2 (1) Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt. (2) Jeder hat das Recht auf Leben und körperliche Unversehrtheit. Die Freiheit der Person ist unverletzlich. In diese Rechte darf nur auf Grund eines Gesetzes eingegriffen werden. Folie 9

10 Volkszählungsurteil des BVerfG. von 1983 Zentrale Datenschutz-Figur: Recht auf informationelle Selbstbestimmung (BVerfGE 65, 1 - Volkszählung ( 1. Unter den Bedingungen der modernen Datenverarbeitung wird der Schutz des Einzelnen gegen unbegrenzte Erhebung, Speicherung, Verwendung und Weitergabe seiner persönlichen Daten von dem allgemeinen Persönlichkeitsrecht des Art. 2 Abs. 1 GG in Verbindung mit Art. 1 Abs. 1 GG umfaßt. Das Grundrecht gewährleistet insoweit die Befugnis des Einzelnen, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. 2. Einschränkungen dieses Rechts auf "informationelle Selbstbestimmung" sind nur im überwiegenden Allgemeininteresse zulässig. Sie bedürfen einer verfassungsgemäßen gesetzlichen Grundlage, die dem rechtsstaatlichen Gebot der Normenklarheit entsprechen muß. Bei seinen Regelungen hat der Gesetzgeber ferner den Grundsatz der Verhältnismäßigkeit zu beachten. Auch hat er organisatorische und verfahrensrechtliche Vorkehrungen zu treffen, welche der Gefahr einer Verletzung des Persönlichkeitsrechts entgegenwirken. Folie 10

11 Kernregelungsstrategie des BDSG: Verbot mit Erlaubnisvorbehalt. Grundsatz: Es dürfen keine personenbezogene Daten verarbeitet werden PUNKT Eine Ausnahme von diesem Grundsatz ist zulässig, wenn ein Gesetz die Verarbeitung regelt, was insbesondere für den öffentlichen Bereich gilt, oder wenn eine Einwilligung vorliegt, was inbesondere im privaten Bereich vorliegt, wobei an die Einwilligung Bedingungen geknüpft sind: Bestimmung des Zwecks Freiwilligkeit, vollumfängliche Informiertheit und Bestimmtheit der Verarbeitung, abchließende Bestimmung der Empfänger. Folie 11

12 Datenschutz Aktuell geltende Normen Bundesdatenschutzgesetz (BDSG) erstreckt sich auf Privatpersonen, Privatwirtschaft und Bundesbehörden Landesdatenschutzgesetze erstrecken sich auf öffentliche Verwaltung in Land und Kommunen speziell in SH: DS-Verordnung EU: Europäische Grundrechte-Charta Datenschutz-Richtlinie Wirkung über Import in deutsche Gesetze (Entwurf: EU-DS-Verordnung, die unmittelbar gälte, BDSG/LDSGe ersetzte!) Spezialgesetze (haben Vorrang): Telemedien-Gesetz, T-Kommunik-Gesetz, SGB, AO, LandesMeldeGes, LVerwGesetz/ PolizeiGes, PassGes, PersonalausweisGes, AufenthaltsGes., Rechtmäßigkeit der Datenverarbeitung Gesetzliche Rechtsgrundlagen Einwilligung Grundsatz der Zweckbindung Grundsatz der Erforderlichkeit Grundsatz der Datenvermeidung und Datensparsamkeit Grundsatz der Transparenz Grundsatz der klaren Verantwortlichkeit Grundsatz der Kontrolle Grundsatz der Gewährleistung der Betroffenenrechte Verbot der Profilbildung Verbot der Sammlung auf Vorrat Verbot der automatisierten Einzelentscheidung Nutzung anonymisierter oder pseudonymisierter Daten Folie 12

13 Datenschutz Es geht um die Konditionierung von Macht Datenschutz beobachtet die organisierte Informationsverarbeitung und Kommunikation in der asymmetrischen Machtbeziehung zwischen Organisationen und Personen. Konkret umfasst das die externen Beziehungen zwischen öffentlicher Verwaltung und deren externen Bürgern, privaten Unternehmen und deren Kunden, IT-Infrastruktur-Providern und deren Nutzern / Kunden (bspw. Access-, Suchmaschinen-, Mail-, Socialnetwork-Betreiber); Praxen / Instituten / Gemeinschaften und deren Patienten, Mandanten, Klienten; Wissenschaftsorganisationen und deren Forschungsobjekten Individuen, Subjekte, Menschen; sowie die internen Beziehungen zwischen Organisationen (Arbeitgeber, auch: Kirche, Militär, (Sport-)Verein) und deren Mitarbeitern oder Mitgliedern (Schüler, Patienten, Gefangenen, Soldaten, ). Folie 13

14 Zum Verhältnis von Datenschutz und Datensicherheit Datensicherheit: Die Person ist der Angreifer! Folge? Die Person muss nachweisen, dass sie kein Angreifer ist und dass sie ggfs. mit einem Zugriff auf ihre Person rechnen muss. Klassischer Schutz: Login/Authentisierung, Autorisierung der Person gegenüber Organisation, Rollenkonzepte, Kontrolle der MA. Datenschutz: Die Organisation ist der Angreifer! Folge? Die Organisation muss (jederzeit) prüffähig nachweisen (können), dass sie kein Angreifer ist, sich an die Regeln hält und bei all dem ihre Verfahren und Prozesse beherrscht. Gleichwohl gilt: Datenschutz kommt ohne Datensicherheit nicht aus. Folie 14

15 Datenschutz Paradigmen, Rechtsfiguren, Strategien im Schnellaufriss ab 1890 (Warren/Brandeis, USA): The right to be let alone. 1960: Missstände in Kreditwirtschaft, Einführung eines Melderegisters in den USA, in Deutschland Argwohn über Machtasymmetrie durch IT-Einsatz bzgl. Legislative / Exekutive. ab 1970: Erstes Hessisches DatenschutzGesetz, Einrichtung der Landes-DSBeauftragten, 1977 erster Entwurf des BDSG. 1983: Volkszählungsurteil des BVerfG: Recht auf informationelle Selbstbestimmung. ab etwa Mitte 1990: Technisierung des Datenschutzes: Privacy-Enhancing-Technologies (PET) und Privacy By Design. ab 2000: Ökonomisierung des Datenschutzes, Datenschutz-Gütesiegel und Audit. ab 2005: Datenschutz in die Prozesse! CC, ITIL, CoBIT, BSI-GS, IFG-Bund, EuroPrise-Gütesiegel : BVerfG: Gewährleistungsgrundrecht auf Integrität und Vertraulichkeit informationstechnischer Systeme. ab 2010: Erweiterung und Spezifikation der Schutzziele der Datensicherheit durch die Neuen Datenschutz-Schutzziele: Nicht-Verkettbarkeit, Intervenierbarkeit, Transparenz Phase des reaktiv und normativ ausgerichteten Datenschutzes Phase eines auch proaktiv und operativ ausgerichteten Datenschutzes: Privacy 1.0: Datenminimierung, z.b. durch Anonymitätsinfrastruktur Privacy 2.0: Nutzersteuerung durch Identitätenmanagement Privacy 3.0: Kontextuelle Integrität (Borcea-Pfitzmann et al. 2011) Folie 15

16 Moderner Datenschutz: Von Normen über Ziele zu Maßnahmen Folie 16

17 Big Picture Prozesse, DS-Management, Schutzziele, KPI/KRI Datenschutzmanagement, Organisationen gekoppelt an ISO-QM, ITIL, CoBIT, BSI-Grundschutz, Gesetzliche Normen Maßnahmen für technischorganisatorische Infrastrukturen, die über Schutzziele integriert und gesteuert werden. Musterprozesse des DS-Managements Prozesszustände müssen erkennbar/ bewertbar sein KPIs / KRIs interne / externe Datenschutz-Prüfungen, -Audits, -Beratungen datenschutzkonforme (Verfahren in) Organisationen Folie 17

18 Zurechenbarkeit Integrität (Unversehrtheit) Selbstbezug Nichtverkettbarkeit Selbstbezug > Findbarkeit Verfügbarkeit Ermittelbarkeit Verbindlichkeit Transparenz Rost, Martin / Pfitzmann, Andreas, 2009: Datenschutz-Schutzziele - revisited; in: DuD - Datenschutz und Datensicherheit, 33. Jahrgang, Heft 6, Juli 2009: Schutzziele Systematik > Vertraulichkeit Verdecktheit Unbeobachtbarkeit Anonymität Intervenierbarkeit (Eingreifbarkeit) Kontingenz, Abstreitbarkeit Legende: Informations-Inhalte Informations-Umfeld Folie 18

19 Schutzziele im Gesetz (LDSG-SH, Januar 2012, 5) (1) Die Ausführung der Vorschriften dieses Gesetzes sowie anderer Vorschriften über den Datenschutz im Sinne von 3 Abs. 3 ist durch technische und organisatorische Maßnahmen sicherzustellen, die nach dem Stand der Technik und der Schutzbedürftigkeit der Daten erforderlich und angemessen sind. Sie müssen gewährleisten, dass Verfahren und Daten zeitgerecht zur Verfügung stehen und ordnungsgemäß angewendet werden können (Verfügbarkeit), Daten unversehrt, vollständig, zurechenbar und aktuell bleiben (Integrität), nur befugt auf Verfahren und Daten zugegriffen werden kann (Vertraulichkeit), die Verarbeitung von personenbezogenen Daten mit zumutbarem Aufwand nachvollzogen, überprüft und bewertet werden kann (Transparenz), personenbezogene Daten nicht oder nur mit unverhältnismäßig hohem Aufwand für einen anderen als den ausgewiesenen Zweck erhoben, verarbeitet und genutzt werden können (Nicht-Verkettbarkeit) und Verfahren so gestaltet werden, dass sie den Betroffenen die Ausübung der ihnen zustehenden Rechte nach den 26 bis 30 wirksam ermöglichen (Intervenierbarkeit). Folie 19

20 Maßnahmen für Verfügbarkeit, Vertraulichkeit, Integrität Werden personenbezogene Verfahren betrieben, sind Maßnahmen zu treffen, die je nach Art der zu schützenden Daten gewährleisten, dass Verfahren und Daten zeitgerecht zur Verfügung stehen und diese ordnungsgemäß angewendet werden können (Verfügbarkeit). Wesentliche Maßnahme: Redundanz nur befugt auf Verfahren und Daten zugegriffen werden kann (Vertraulichkeit). Wesentliche Maßnahme: Abschottung von Systemen, Verschlüsselung von Daten und Kommunikationen sowie Rollentrennungen. Daten aus Verfahren unversehrt, zurechenbar und vollständig bleiben (Integrität). Wesentliche Maßnahme: Hash-Wert-Vergleiche vorher/nachher Folie 20

21 Schutzziel Transparenz, Maßnahmen Sorge dafür, dass die Daten, Prozesse und Systeme mit Perso-nenbezug dokumentiert werden, so dass diese jederzeit für die eigene Organisation, betroffenen Personen und externen Aufsichtsbehörden im Hinblick auf Umsetzung der Schutzmaßnahmen prüffähig sind! Operationalisierung eines wesentlichen Rechtstaatsprinzips sowie Voraussetzung für EinwilligungsFähigkeit. Maßnahmenbündel: Projektmanagement, Berichtswesen, Verfahrens- bzw. Technikdokumentation, Information und Kommunikation mit den Betroffenen Dokumentation der IT des Verfahrens, der Daten und der Datenflüsse, der Sicherheitsmaßnahmen, der Systeme und Prozesse, der Tests und Freigaben. Setzen von Prüfankern in Systemen und Prozessen. Unterrichtung von Betroffenen (Publikation eines Datenbriefs?). Die in einem Verfahren beteiligten Entitäten, Daten und Operationen sind in ihrem Zusammenspiel zu konzipieren (Zukunft), zu überwachen im Sinne eines Monitorings (Gegenwart) und zu protokollieren (Vergangenheit). Quickfreeze-Option, gesamtverfahrensoder einzelfallbezogen, um jederzeit einen Systemzustand feststellen zu können. Es gelten die Grundsätze ordnungsgemäßer Buchführung. Die Dokumentation eines Verfahrens ist ein Bestandteil des Verfahrens. Folie 21

22 Schutzziel Nichtverkettbarkeit, Maßnahmen Sorge dafür, dass die Daten, Prozesse und Systeme mit Personenbezug klar und systematisch definiert und gegeneinander separiert sind! Maßnahmenbündel: Rollen- und Strukturkonzept Angemessene Funktionstrennungen zwischen oder auch innerhalb von Organisationen mit Verantwortungszuweisungen an kompetente MitarbeiterInnen. Kontrollierte Konzeption, Implementierung, Konfiguration, Betriebnahme und Außerbetriebnahme, mit Tests und Simulationen in den jeweiligen Phasen nach best-practice Gesichtspunkten. Steuern von regulierten Prozessen des Erhebens, Verarbeitens, Nutzens, Löschens von Daten mit Techniken jeweils auf dem Operationalisierung des aktuellen Stand. Prinzips der Gewaltenteilung Identitätenmanagement durch bzw. der Zweckbindung nutzerkontrolliertes, (sowie daraus abgeleitet auch der systemgestütztes Erforderlichkeit und Datensparsamkeit.) Pseudonymmanagement Folie 22

23 Sorge dafür, dass die Prozesse und Systeme mit Personenbezug ohne Schaden zu nehmen jederzeit unterbrochen und personenbezogene Daten (z.b. bei Fehlern) verändert werden können! Operationalisierung der Betroffenenrechte auf Korrektur und Löschung von Daten sowie Anforderungen nach Vorhalten eines gesteuerten Changemanagements. Schutzziel Intervenierbarkeit Maßnahmenbündel: Operativ gegebener Zugriff auf Daten und deren Verarbeitung Einrichtung eines SPOC (SinglePoint-Of-Contact) für Betroffene zur Adressierung einer Intervention mit Verfolgbarkeitsoption. Gestalten und Steuern von Prozessen, Stoppen und Wiederanfahren von Systemen, geregelt. Changemanagement Sinnvoll wären feingranulare und keine pauschalen Einwilligungen aus Verfahren heraus sowie eine zeitliche Beschränkung von gegebenen Einwilligungen. Vorhandene Daten und laufende Verfahren müssen, im Grundsatz auch vom Betroffenen oder von einem von ihm beauftragten Stellvertreter, ausgelöst werden können und einsehbar, änderbar, korrigierbar, sperrbar, löschbar sein. Folie 23

24 Intermezzo Facebook im Lichte der Datenschutz-Schutzziele Integrität Verfügbarkeit des Dienstes? Integrität der Daten? Keine Zusicherung, München war weg Nichtverkettbarkeit Vertraulichkeit Verfügbarkeit Transparenz Intervenierbarkeit Keine Manipulationssicherheit, facebook KANN ALLES mit den Daten anstellen. Vertraulichkeit der Daten? Transparenz der Aktivitäten von Facebook? Keinerlei Transparenz über facebooks-aktivitäten. Intervenierbarkeit? Keine Vertraulichkeit für Inhalts- und Verkehrsdaten, das Briefgeheimnis (Art. 10 GG) wird nicht gewahrt, Facebook LIEST ALLES mit, jede Nachricht, und absehbar jedwede Geldtransaktion. facebook gibt über insights jeder Organisation, die dafür bezahlt, Zugriff auf (angereicherte) Daten. Nutzer werden bei Anmeldung aufgefordert, facebook durch Überlassung des Passwortes Zugriff auf Accounts von Webmailern zu gewähren. Kein Beachtung von Nutzerwidersprüchen oder Kommunikationsbegehren zuständiger Aufsichtsbehörden. Ein Ausstieg mit Löschen des Accounts und nachweislich aller bei facebook bislang gespeicherter Daten wird dem Nutzer nicht ermöglicht. Verkettbarkeit der gesammelten Daten? Vorratsdatenspeicherung findet statt. Es werden ohne Zweckbindung sämtliche Daten und Aktivitäten von Nutzern, einschl. facebook-externer Internetnutzer, angereichert, verkettet, analysiert. Nutzer werden über timeline genötigt, ihre Leben zu dokumentieren. Folie 24

25 Standardisiertes Datenschutzmodell Folie 25

26 Verfahrenskomponenten Ein Verfahren besteht aus drei zu betrachtenden Komponenten: Daten (und Datenformaten) IT-Systemen (und Schnittstellen) Prozesse (und adressierbare Rollen) Folie 26

27 Schutzbedarf Definition der Kategorien normal, hoch, sehr hoch Strukturelle Orientierung an BSI-Grundschutzdefinition(*), doch Wechsel der Perspektive von Geschäftsprozessen einer Organisation auf die Perspektive einer betroffenen Person: Normal: Schadensauswirkungen sind begrenzt und überschaubar und etwaig eingetretene Schäden für Betroffene relativ leicht zu heilen. Hoch: die Schadensauswirkungen werden von Betroffenen als beträchtlich eingeschätzt, z.b. weil der Wegfall einer von einer Organisation zugesagten Leistung die Gestaltung des Alltags nachhaltig veränderte und der Betroffene nicht aus eigener Kraft handeln kann sondern auf Hilfe angewiesen wäre. sehr hoch: Die Schadensauswirkungen nehmen ein unmittelbar existentiell bedrohliches, also: katastrophales Ausmaß für Betroffene an. ((*) f, S. 49.) Folie 27

28 Nun heisst es: Die Ernte einzufahren. 6 Schutzziele, gesetzlich geregelt und hinterlegt mit einem Maßnahmenkatalog! 3 Schutzbedarfsabstufungen aus der Personenperspektive! 3 Verfahrenskomponenten! Daraus lässt sich ein Referenzmodell für 54 spezifische Datenschutzmaßnahmen entwickeln, gegen das sich jedes personenbezogene Verfahren generisch und skalierbar prüfen lässt! Folie 28

29 Standard-Datenschutzmodell Folie 29

30 Standard-Datenschutzmodell: Prüfen und Gestalten Stand: mr SOLL Prüfen Betreiben DSB Auditieren IST DSB Gestalten Norm Gesetze Verordnungen Verträge Policies Schutzziele (6) Nichtverkettbarkeit Intervenierbarkeit Verfahrenkomponenten (3) - Daten - Systeme - Prozesse Transparenz Vertraulichkeit Integrität Verfügbarkeit Schutzbedarfs- / RisikoAnalyse (3) - normal - hoch - sehr hoch ReferenzSchutzmaßnahmen Dokumentation Mandantentr. IdentityMan. Datens.-Mang. Auditierung Verschlüsseln Betriebsver. DS-Erklärung. Policies Datenschutzmanagement Prüfung. Standard-Datenschutzmodell (SDM) Martin Rost: Standardisierte Datenschutzmodellierung; in: DuD - Datenschutz und Datensicherheit, 36. Jahrgang, Heft 6: Reale Schutzmaßnahmen, Verantwortlichkeiten Dokumentation Mandantentr. IdentityMan. Datens.-Mang. Auditierung Verschlüsseln Betriebsver. DS-Erklärung. Policies Datenschutzmanagement Prüfung, Tatbestand bzw. Verfahren mit Personenbezug Gesicherte VerfahrensVerantwortlichkeit Schutz-Mechanismen Logging, Monitoring Rollendef. im LDAP Pseudonymisierung Anonymisierung PGP / SSL, TSL MD5-Hashwertvergl. Aus-Schalter Spiegelsystem und Vertretungsregel Virensc-Signatur Rechte/ Pflichten und Rollen - Rechtsgrundl. - Betroffener - Organisation - Betreiber - Auftr-DV Betriebssystem Applikation Firewall Virenscanner Betriebsvereinb. Verträge mit Dienstleistern Technik und Organisation

31 Thomas Probst: Generische Schutzmaßnahmen für Datenschutz-Schutzziele ; DuD - Datenschutz und Datensicherheit, 36. Jahrgang, Heft 6, Juni 2012: Folie 31

32 Vielen Dank für Ihre Aufmerksamkeit! Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Martin Rost Telefon: Folie 32