Privacy by Design in der Praxis

Transkript

1 Privacy by Design in der Praxis Marit Hansen Landesbeauftragte für Datenschutz Schleswig-Holstein Berlin, Datenschutz durch Technik: mehr als Datensicherheit Überblick Anforderungen der EU-Datenschutz- Grundverordnung Das Standard-Datenschutzmodell als Kompass für die Praxis Systemgestaltung mit Datenschutz: vom Minimum zum Optimum Best-Practice-Beispiele Fazit 2

2 Beim Datenschutz geht es um Daten Menschen mit ihren Rechten Prüffragen bei der Gestaltung: Auswirkungen auf Menschen? Auswirkungen auf die Gesellschaft? Photo: Ashtyn Renee 3 Datenschutz nötig: Machtgefälle Wichtig: verschiedene Perspektiven Foto: Hernán Piñera 4

3 Perspektive: Alice & Bob DV als Eingriff in Grundrechte: Eingreifer IT-Sicherheit: Der Angreifer ist Eve (oder Mallory). Datenschutz: Der Angreifer ist Bob! (Jedenfalls auch.) 5 Datenschutz durch Technik: mehr als Datensicherheit Überblick Anforderungen der EU-Datenschutz- Grundverordnung Das Standard-Datenschutzmodell als Kompass für die Praxis Systemgestaltung mit Datenschutz: vom Minimum zum Optimum Best-Practice-Beispiele Fazit 6

4 Datenschutz by Design & by Default Anforderung aus Art. 25 EU-Datenschutz-Grundverordnung Richtet sich primär an: Datenverarbeiter (auch im Auftrag) + (nur indirekt!) Hersteller von IT-Systemen Ziel: Gestaltung von Systemen + Diensten von Anfang an über den gesamten Lebenszyklus a) datensparsam b) mit möglichst datenschutzfreundlichen Voreinstellungen 7 Maßstab: Stand der Technik, Implementierungskosten, Verarbeitung, Risiken Datenschutz by Design in der DS-GVO: Art. 25 Bsp.: Pflicht zur Pseudonymisierung? 8

5 Unklar: Unterschied zum Erforderlichkeitsprinzip (Artikel 5)? Datenschutz by Default in der DS-GVO: Art. 25 Bsp.: Social Networks 9 Datenschutz by Design & by Default gemäß Erwägungsgrund 78 DS-GVO Nachweis durch interne Strategien & t+o Maßnahmen, u.a. Datenminimierung Schnellstmögliche Pseudonymisierung Transparenz in Bezug auf Funktionen+Verarbeitung Ermöglichung der Überwachung der Verarbeitung durch den Betroffenen Ermöglichung für Sicherheitsfunktionen durch Verantwortlichen Ermutigung für Hersteller Berücksichtigung in öffentlichen Ausschreibungen! 10

6 Maßstab: Stand der Technik, Implementierungskosten, Verarbeitung, Risiken Sicherheit: Art. 32 Wieder Pseudonymisierung Lebenszyklus: regelmäßige Überprüfung 11 Pseudonymisierung à la DS-GVO Art. 4 Begriffsbestimmungen Im Sinne dieser Verordnung bezeichnet der Ausdruck: [ ] Referenzliste Verschlüsselung Hashfunktion mit großem Wertebereich? 5. Pseudonymisierung die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden; 12

7 Nicht immer Pflicht Verfahren nicht genau vorgegeben Datenschutz-Folgenabschätzung: Art Geldbußen: Art

8 Lösungsansatz: Einsatz von Privacy- Enhancing Technologies (PETs) The use of PETs can help to design information and communication systems and services in a way that minimises the collection and use of personal data and facilitate compliance with data protection rules. The use of PETs should result in making breaches of certain data protection rules more difficult and/or helping to detect them. European Commission, MEMO/07/ PETs und ihr Reifegrad: State of the Art? PETs sind ein Baustein der Lösung (2014) (2015) 16

9 Privacy by Design à la Ann Cavoukian 17 Datenschutz durch Technik: mehr als Datensicherheit Überblick Anforderungen der EU-Datenschutz- Grundverordnung Das Standard-Datenschutzmodell als Kompass für die Praxis Foto: Margaret W. Carruthers Systemgestaltung mit Datenschutz: vom Minimum zum Optimum Best-Practice-Beispiele Fazit 18

10 Sechs Schutzziele Vertraulichkeit Nichtverkettbarkeit Klassische Schutzziele der IT-Sicherheit Inkl. Datensparsamkeit Integrität Intervenierbarkeit Transparenz Verfügbarkeit 19 Schutzziele adressieren nicht nur Technik insbesondere Intervenierbarkeit Intervenierbarkeit kaum in Privacy-Engineering-Literatur Gründe: Schwer zu formalisieren und zu messen Verglichen mit Forschung zu Datenminimierung sehr viel weniger Techniken und Lösungen Kann oft nicht allein im IT-System gelöst werden Erfordert ein laufendes System mit klaren Verantwortlichkeiten (Betreiber, Nutzer) nicht auf Prototyp-Ebene Nicht eine fixe Lösung, sondern prozessorientiert für den gesamten Lebenszyklus der Systemevolution 20

11 Das Standard-Datenschutzmodell (SDM) überführt datenschutzrechtliche Anforderungen in einen Katalog von Gewährleistungszielen: Es gliedert die betrachteten Verfahren in Daten, IT-Systeme und Prozesse, berücksichtigt die Einordnung von Daten in drei Schutzbedarfsabstufungen, ergänzt diese um entsprechende Betrachtungen für Prozesse und IT-Systeme und bietet einen hieraus systematisch abgeleiteten Katalog mit standardisierten Schutzmaßnahmen. (2015) Schutzbedarfsabstufungen Normal : personenbezogene Daten Hoch : besondere personenbezogene Daten und/oder erhebliche Konsequenzen für Betroffenen möglich und/oder keine effektiven Interventionsmöglichkeiten Sehr hoch : hoch plus existenzielle Abhängigkeit der Betroffenen und keine Transparenz für sie Außerdem Kumulierungseffekte 22

12 Soll-Ist-Vergleich beim DSB 23 Soll-Ist-Abgleich anhand von Referenz- Maßnahmen des Standard-Datenschutzmodells Risikobewertung Schwierig! Risk = Impact x Probability Perspektive: Betroffenensicht Motivation + Mittel der Organisation, den Zweck zu ändern Verarbeitung der Daten in Drittstaaten mit abweichendem Schutzniveau und geringerem Rechtsschutz Konfliktresolution zwischen IT-Sicherheit und Datenschutz 24

13 Datenschutz durch Technik: mehr als Datensicherheit Überblick Foto: Martin Cox Anforderungen der EU-Datenschutz- Grundverordnung Das Standard-Datenschutzmodell als Kompass für die Praxis Foto: Paul B Systemgestaltung mit Datenschutz: vom Minimum zum Optimum Best-Practice-Beispiele Fazit 25 Systemgestaltung mit Datenschutz Foto: Martin Cox Minimum: Für Optimum zusätzlich: Foto: Paul B Defensive Interpretation der gesetzlichen Regelungen Dokumentation von Strategie und Maßnahmen Warten auf kommende Anforderungen der Aufsichtsbehörden Klare Verantwortlichkeit (Vorstand; möglichst unterstützt von betriebl. DSB) Proaktiv agieren Lösungsraum kennen und erweitern Zertifizierung anstreben Datenschutz-Managementsystem für gesamten Lebenszyklus einsetzen Mit anderen Akteuren und Disziplinen interagieren: Technik und Prozesse 26

14 Für umfassendes Privacy-by-Design vielfältige Disziplinen nötig Recht: Zulässigkeit Technik: Engineering Wirtschaftswiss.: Organisatorische Prozesse Geschäftsmodelle Psychologie++: Nutzerinteraktion, Organisationskultur Foto: Ken Teegardin Ethik & Sozial- / Politikwissenschaften 27 Datenschutz durch Technik: mehr als Datensicherheit Überblick Anforderungen der EU-Datenschutz- Grundverordnung Das Standard-Datenschutzmodell als Kompass für die Praxis Systemgestaltung mit Datenschutz: vom Minimum zum Optimum Best-Practice-Beispiele Foto: Josh Hallett Fazit 28

15 Referenzmaßnahmen des SDM Schutzziel Komponente Maßnahmen Verfügbarkeit Daten, Systeme, Prozesse Redundanz, Schutz, Reparaturstrategien Integrität Daten Hashwert-Vergleich Systeme Einschränkung von Schreibrechten, Integritätsprüfungen Prozesse Festlegung von Referenzwerten (min/max), Steuerung der Regulation Vertraulichkeit Daten, Systeme Verschlüsselung Prozesse Rechte- und Rollenkonzepte 29 Schutzziel Komponente Maßnahmen Nichtverkettbarkeit Zweckbestimmung Transparenz Prüffähigkeit Intervenierbarkeit Ankerpunkte Daten Systeme Prozesse Daten Systeme Prozesse Daten Systeme Prozesse Anonymität, Pseudonymität, attributbasierte Credentials Trennung (Isolierung) von Datenbeständen, Systemen und Prozessen Identity Management, Anonymitätsinfrastrukturen, Audits Dokumentation, Protokollierung Systemdokumentation, Protokollierung von Konfigurationsänderungen Dokumentation von Verfahren, Protokollierung Zugriff auf Daten für Betroffene (Auskunft, Berichtigung, Sperrung, Löschung) Aus-Schalter Helpdesk/einheitlicher Ansprechpartner für Änderungen/Löschungen, Change Management 30

16 Best Practice Datenminimierung : Authentifikation ohne Identifikation Vorab Prüfen der Anforderungen: Welche Daten sind wirklich erforderlich? Vollständige Daten: Minimale Daten: Oft sind nicht alle Daten erforderlich 31 Best Practice Mehr Transparenz Klare und einfache Sprache Layered Policies : Aufbau in mehreren Ebenen Standardisierte Bildsymbole (Art. 12 Abs. 7 DS-GVO: Aufgabe für Kommission) Maschinenlesbar Achtung: Einbindung von (Sub-) Dienstleistern üblich. Datenschutzgarantien? Beispiel zur Illustration; Quelle: (Januar 2016) 32

17 Best Practice Datenschutz by Default Grundentscheidung: Was ist überhaupt vom Nutzer konfigurierbar? Personenbezogenes Tracking: Grundsätzlich zu deaktivieren Anonyme Analysen möglich In Social Networks: Keine personenbezogenen Daten für alle sichtbar, wenn nicht vom Nutzer aktiv bestimmt Bewusste Nutzer- Entscheidung, welche Friends Zugriff haben Personalisierte Dienste: Nutzer-Entscheidung für Dienst-Nutzung Erforderlichkeit bestimmt Default (siehe auch Art. 7 Abs. 4 DS-GVO) Datenschutz by Default als Basis für Selbstdatenschutz 33 Datenschutz durch Technik: mehr als Datensicherheit Überblick Anforderungen der EU-Datenschutz- Grundverordnung Das Standard-Datenschutzmodell als Kompass für die Praxis Systemgestaltung mit Datenschutz: vom Minimum zum Optimum Best-Practice-Beispiele Foto: Rob Pongsajapan Fazit 34

18 Systemgestaltung ist wesentlich für Datenschutz Fazit Regelungen noch vage: Aussagen und Hilfsmittel von Aufsichtsbehörden in Sicht (SDM) Prozesse bzgl. Datenschutz by Design jetzt schon evaluieren; Vorgehen dokumentieren Foto: Rob Pongsajapan Privacy by Design als Chance begreifen 35 Vielen Dank für die Aufmerksamkeit Marit Hansen