Datenschutz und Technik Datenschutzfördernde Technik Privacy Enhancing Technologies (PETs)

Transkript

1 Datenschutz und Technik Datenschutzfördernde Technik Privacy Enhancing Technologies (PETs) Vortrag und Diskussion mit Abgeordneten der Fraktionen der Piratenpartei aus NRW und S-H Kiel, 6. September 2016 Harald Zwingelberg

2 Motivation: Spannungsfeld Datenschutz Technik Überblick Schutzziele: Datenschutz Datensicherheit Grundsätze für datenschutzfördernde Technik Möglichkeit der Durchsetzung gegenüber Verantwortlichen und Herstellern (Rasmus Robrahn) Beispiele und Diskussion Datenschutz durch Technik / PETs 2

3 Spannungsfeld Technik Datenschutz Technik-Ziel: Vermeidung von Redundanzen (und daraus resultierenden Fehlern) in Datenbanken Naive Lösung: eine weltweite Zentral-Datenbank für alle Informationen zu jeder Person Probleme: Begehrlichkeiten von Marketing-Abteilungen, Arbeitgeber, Versicherungen, Kriminellen... Zentraler Angriffspunkt Möglichkeit zur Verhaltenskontrolle / Profilbildung Änderungen in einem Bereich: unsichtbar für andere? Einfluss des Betroffenen, wer welche Information über ihn hat? Datenschutz durch Technik / PETs 3

4 Spannungsfeld Technik Datenschutz Technik-Ziel: mehrfach verwendbare Applikationen Naive Lösung: umfassende Digitalisierung, kontextübergreifende Identifikatoren, Interoperabilität und Offenheit für vielseitige Nutzungsmöglichkeiten Probleme: Begehrlichkeiten Unkontrollierte und unkontrollierbare Verkettbarkeit Function Creep ; Aufweichung einer Zweckbindung Durchsetzbarkeit von Löschen und Sperren getrennt nach Betroffenen und jeweiligen Zwecken / Löschfristen Datenschutz durch Technik / PETs 4

5 Datenschutz und Datensicherheit Datenschutz Schutz der Menschen vor Missbrauch ihrer personenbezogenen Daten Datensicherheit Schutz der Daten(verarbeitung) vor unberechtigten Zugriffen und vor Zerstörung Datenschutz-Schutzziele: Nicht-Verkettbarkeit Transparenz Intervenierbarkeit Klassische Schutzziele der Datensicherheit: CIA Vertraulichkeit (Confidentiality) Integrität (Integrity) Verfügbarkeit (Availability) Datenschutz durch Technik / PETs 5

6 Datenschutz-Schutzziele Vertraulichkeit Nicht-Verkettbarkeit Integrität Intervenierbarkeit Transparenz Verfügbarkeit Legal aspects on "Privacy and Usability" 6

7 Standard-Datenschutzmodell (SDM) Schutzziele sind Teil des SDM SDM wird genutzt für: Anforderungsdefinition Evaluation von Lösungen Prüfungspraxis des ULD Vorschlag als neuer Baustein Datenschutz im BSI-Prüfkatalog Mehr: Datenschutz durch Technik / PETs 7

8 Verhältnis Datenschutz Datensicherheit? 1 2 DaSchu DaSi DaSi DaSchu 3 4? DaSchu DaSi DaSchu DaSi Datenschutz durch Technik / PETs 8

9 Datenschutzfördernde Technik Datenschutzfreundliche Technik Privacy-Enhancing Technologies Datenschutz durch Technik / PETs 9

10 Was sind Privacy-Enhancing Technologies? Privacy-Enhancing Technologies (PET) are a coherent system of ICT measures that protects privacy [...] by eliminating or reducing personal data or by preventing unnecessary and/or undesired processing of personal data; all without losing the functionality of the data system. Borking / Raab (2001) Hier: erweiterte Sicht, d.h. keine Beschränkung auf Datensparsamkeit Datenschutz durch Technik / PETs 10

11 Privacy-Enhancing Technologies (PETs) erweiterte Sicht The use of PETs can help to design information and communication systems and services in a way that minimises the collection and use of personal data and facilitate compliance with data protection rules. The use of PETs should result in making breaches of certain data protection rules more difficult and/or helping to detect them. European Commission, MEMO/07/159 Datenschutz durch Technik / PETs 11

12 Datenschutzfreundliche Technik D.h.: datenschutzgerechte und datenschutzfördernde Technik Begriffe: Privacy-Enhancing Technologies (PET): Datenschutzfördernde Technik Systemdatenschutz: Datenschutz eingebaut in Technik und Verfahren Selbstdatenschutz: Steuerung/Kontrolle durch den Nutzer über seinen Datenschutz Mehrseitige Sicherheit: Alle Parteien formulieren ihre Schutzziele und setzen sie (gemäß Aushandlungsergebnis) durch Datenschutz durch Technik / PETs 12

13 angestrebtes Design-Ziel Maßnahmen Grundsätze für datenschutzfördernde Technik Sicherheit der pers.bez. Daten Schutzziele: Vertraulichkeit, Integrität, Verfügbarkeit Datenvermeidung / Datensparsamkeit juristisch technisch Transparenz (für Betroffene) Schutzziel: Nicht-Verkettbarkeit organisatorisch Schutzziel: Transparenz Qualitätssicherung / Kontrollen Evaluation der Balancierung und Umsetzung bzgl. der Schutzziele Steuerbarkeit (für Betroffene) Schutzziel: Intervenierbarkeit Datenschutz durch Technik / PETs 13

14 Datenvermeidung / Datensparsamkeit Für personenbezogene Daten minimieren: Erfassungsmöglichkeit Erfassung Verwendungsmöglichkeit Verwendung Datensparsamkeit Erforderlichkeit + Zweckbindung auch für die Gestaltung technischer Systeme Datenvermeidung: maximale Datensparsamkeit Frühzeitiges Löschen Verfahren zu Anonymität und Pseudonymität zur Nutzung und Bezahlung von Diensten Datenschutz durch Technik / PETs 14

15 Transparenz für Betroffene Ziel: Bewusstsein des Betroffenen über Verarbeitung seiner Daten und etwaige Konsequenzen sowie eigene Steuerungsmöglichkeiten Transparenz über die Zwecke der Verarbeitung (z.b. Datenschutzerklärungen)... über die verarbeiteten Daten (z.b. Auskunftsrecht)... über die tatsächliche/stattgefundene Datenverarbeitung: Dokumentation und Unterrichtung Offenlegung von Quellcode / Verfahren Evaluation, Zertifizierung, Gütesiegel Aktives Informieren vs. Vorhalten von Informationen Komplexität: Wieviel versteht der Betroffene? Datenschutz durch Technik / PETs 15

16 Steuerbarkeit für Betroffene im Vorfeld: Steuerung... der Hergabe eigener Daten: Bestimmung des Personenbezugs (Pseudonymität, Datenumfang) Formulierung Aushandlung... der Anforderungen an die Verwendung: Bedingungen wie Zweck, Dauer, Gegenleistung während / nach Verwendung: Technikunterstützung bei: Einwilligung Widerspruch Auskunft Berichtigung Löschen Nachprüfbarkeit: Einzelnutzungsnachweis / Datenbrief abfragbares Logfile eigene Protokollierung Datenschutz durch Technik / PETs 16

17 Möglichkeiten den Einsatz von PETs zu stärken nach der europäischen Datenschutz-Grundverordnung => Vortrag Rasmus Robrahn, ULD Datenschutz durch Technik / PETs 17

18 PETs und Privacy by Design mit der DSGVO fördern und fordern Ass. iur. Rasmus Robrahn

19 Problemaufriss Hersteller und Verantwortliche sind häufig unterschiedliche Entitäten Grundsätzlich sind nur Verantwortliche Adressaten des Datenschutzrechts PETs und Privacy by Design mit der DSGVO fördern und fordern 19

20 Mögliche Lösung: Privacy by Design durchsetzen Verantwortliche müssen datenschutzfreundliche Verarbeitungsmittel bevorzugen Konkurrenzdruck zwischen Herstellern Voraussetzung: Konsequentes Vorgehen gegen fehlerhafte Auswahl der Verarbeitungsmittel PETs und Privacy by Design mit der DSGVO fördern und fordern 20

21 Bisherige Regelung: 3a BDSG 3a BDSG: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten und die Auswahl und Gestaltung von Datenverarbeitungssystemen sind an dem Ziel auszurichten, so wenig personenbezogene Daten wie möglich zu erheben, zu verarbeiten oder zu nutzen. Nicht straf- und bußgeldbewehrt Bezieht sich nur auf Datenminimierung PETs und Privacy by Design mit der DSGVO fördern und fordern 21

22 Datenschutz durch Technikgestaltung Regelung in der DSGVO: Art. 25 Abs. 1: Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und organisatorische Maßnahmen wie z. B. Pseudonymisierung trifft, die dafür ausgelegt sind, die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen. PETs und Privacy by Design mit der DSGVO fördern und fordern 22

23 Datenschutz durch Technikgestaltung Hersteller sollen (lediglich) ermutigt werden, Datenschutzgrundsätzen soll bei öffentlichen Aussschreibungen Rechnung getragen werden, EG 78 Es sind alle Datenschutzgrundsätze erfasst. Datenminimierung ist nur ein Beispiel. Einholung von Einwilligungen Betroffenenrechte Informationspflichten Auskunft Löschung Berichtigung Konfiguration durch den Betroffenen PETs und Privacy by Design mit der DSGVO fördern und fordern 23

24 Bußgeldvorschriften Bei Verstößen gegen Art. 25 können Geldbußen von bis zu oder 2% des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens verhängt werden, Art. 83 Abs. 4 a). PETs und Privacy by Design mit der DSGVO fördern und fordern 24

25 ikopa - Integrierte Kommunikationsplattform für automatisierte Elektrofahrzeuge Projekte SeDaFa Selbstdatenschutz im vernetzen Fahrzeug Diese Arbeit wurde im Rahmen der Projekte ikopa und SeDaFa durch das Bundesministerien für Bildung und Forschung (BMBF) gefördert. PETs und Privacy by Design mit der DSGVO fördern und fordern 25

26 Beispiele aus dem Datenschutz-Labor Anonymisierung / Pseudonymisierung => Vortragender Harald Zwingelberg, ULD Datenschutz durch Technik / PETs 26

27 Identifizierbarkeit Anonymität Verschiedene Abstufungen des Personenbezugs: Wem gegenüber wie anonym? Identifizierbarkeit <Pseudonymität> Anonymität wer bestimmt Pseudonym? einer Person fest zugeordnet? Zuordnung aufdeckbar? Gebrauch verkettbar? Berechtigungen enthalten?... Datenschutz durch Technik / PETs 27

28 towo Schutz gegen unberechtigte Zugriffe Datenschutz durch Technik / PETs 28

29 Warum Verschlüsselung nicht reicht Anwältin Müller Kanzlei FUSION & Co. Kommunikationsbeziehungen lassen Rückschlüsse auf Kommunikationsinhalte zu. AN.ON Datenschutz durch Technik / PETs 29

30 Anonymizer Anonymisierer, z.b. AN.ON, TOR auf Ebene der IP-Adressen Eine technische Anonymitätsmethode: Gleichmacherei, denn viele Nutzer teilen sich dieselben Proxies (und Ketten von Proxies ( Mix-Kaskaden )) Datenschutz durch Technik / PETs 30

31 Problem: Wenige Nutzer für TOR / Johndonym Lösungsidee: Anonymisierung bereits auf Ebene der ISPs: Anonymisierung zum Teil der Infrastruktur des Internets machen, so dass Kunden eines ISP gegenüber Dritten nicht mehr unterschieden werden können. Anonymisierungsprotokoll kompatibel mit vielen Anwendungen und Geräten auch mit Unterstützung von Audio- und Videoformaten Auch für kommende 5G-Netzwerke (LTE-Nachfolger) Zero-effort-privacy Kompromiss: ISP bleibt möglicher Angreifer Datenschutz durch Technik / PETs 31

32 Beispiel: Attributbasierte Credentials Datenschutz durch Technik / PETs 32

33 Best Practice Datenminimierung : Authentifikation ohne Identifikation Vorab Prüfen der Anforderungen: Welche Daten sind wirklich erforderlich? Vollständige Daten: Minimale Daten: Oft sind nicht alle Daten erforderlich Datenschutz durch Technik / PETs 33

34 Normalfall: Verkettbare Informationen Driver's License Insurance Cars Quelle: Folie von Jan Camenisch, IBM Research Zürich Datenschutz durch Technik / PETs 34

35 Datensparsamkeit durch attributbasierte Credentials Driver's License Insurance Vertrauenswürdiger Dritter Cars Quelle: Folie von Jan Camenisch, IBM Research Zürich Datenschutz durch Technik / PETs 35

36 Beispiel: Attributbasierte Credentials in der Schulkommunikation Datenschutz durch Technik / PETs 36

37 Beispiel: Apps und Mobilanwendungen Datenschutz durch Technik / PETs 37

38 Problem: Mangel an datenschutzkonformen Apps Lösungsvorschlag: App-Programmierer ansprechen P-Library mit wichtigen Modulen, um datenschutzkonforme Apps zu erstellen, u.a. für Verschlüsselung, Dialoge zur Herstellung der Transparenz und Einholen von Einwilligungen P-Services: Infrastruktur in der personenbezogene Daten sicher verarbeitet werden können, z.b. Anonymisierungsdienst, Dateiablage Datenschutz durch Technik / PETs 38

39 Komplexes Beispiel: Anti-Doping-Kontrollen Datenschutz durch Technik / PETs 39

40 Problem 1: Dopingkontrolle erfordert jederzeitige Auffindbarkeit der Athleten. Bisher: Pflicht zur Kalendereintragung der whereabouts auf Servern in Kanada. Kontrolleure haben weitgehend freien Zugriff. Außerdem: Athleten wollen Komfort- und Zeitgewinn mittels GPSunterstützer Positionsmeldung. Außerdem sollen missed tests im eigenen Interesse der Athleten zwingend vermieden werden. Lösung: System mit Kontrollhoheit bei den Athleten. Zugriff beschränkt auf Kontrolleure mit aktuellem Auftrag. Detaillierte Logs der Zugriffe und Einsichtsmöglichkeit für Athleten. Speicherung nur der jeweils letzten GPS Position außerhalb von Kontrollen. Ablage der Daten in einer Sealed Cloud Umgebung im Inland. In Abwägung: Fake -Abrufe der Position, um Warnung vor Dopingkontrolle durch Abfangen der GSM-Signale zu verhindern. Mehr: Datenschutz durch Technik / PETs 40

41 Komplexes Beispiel: Erstellen einer PKI Datenschutz durch Technik / PETs 41

42 Vertrauenswürdige Verteilung von Verschlüsselungsschlüssen (VVV) Problem: Ende-zu-Ende-Verschlüsselung ist gewünscht scheitert aber an fehlender vertrauenswürdiger Verteilung von Schlüsseln (PKI) Lösungsidee: Mailanbieter des Empfängers verteilt Keys Anbieter kann einfach und vertrauenswürdig sicherstellen, dass Kontrolle über das Mailpostfach besteht. Ggf. weitergehende Garantien mit vertiefter Kontrolle möglich. Einfacher Zugriff über DNS-Service des Anbieters Kein Mehr an Informationen, weil Mailanbieter an Kommunikation wenige Minuten später ohnehin beteiligt ist. Plugin für Thunderbird und Outlook Exchange geplant Datensparsam: nur wenige Keys pro Intervall abfragbar Differenzierte Lösungen für Private und Unternehmen geplant Datenschutz durch Technik / PETs 42

43 Fazit des Referenten PETs sind wichtige Lösungen zum (Selbst-)Datenschutz von Bürgern Anreiz / Zwang zum Einsatz für Verantwortliche und Hersteller möglichst datenschutzfördernd auslegen Und da es viele PETs ohne finanziell starken Hersteller gibt, Unterstützung durch Förderung (bei Entwicklung, Betrieb, Weiterentwicklung). Tendenz zur Usability / Zero-effort-privacy : Neue PETs sollen im Gebrauch einfacher für die Nutzer sein. Dafür sind oftmals Kompromisse erforderlich, die sorgfältig abgewogen und den Nutzern transparent gemacht werden müssen. Mittelfristig stellen diese Lösungen eine Gewinn für große Teile der Nutzer dar. Datenschutz durch Technik / PETs 43

44 Optionen für (Landes-)Gesetzgeber Einsatz bzw. Akzeptanz von PETs bei öffentlichen Stellen im Land forcieren. Beachtung der Privacy by Design (PbD) als Pflicht für alle öffentlichen Beschaffungen ("public tender" laut DS-GVO) Datenschutzfördernde Landes-Infrastrukturen mit Angeboten an den kommunalen Bereich Sicherstellung einer Transportverschlüsselung im zwischen allen öffentlich-rechtlichen Stellen im Land. Besser: PKI für öffentliche Stellen für Senden und Empfangen von Ende-zu-Ende-verschlüsselten Nachrichten Datenschutz durch Technik / PETs 44

45 C U Vielen Dank I Iv Kontakt für Rückfragen Harald Zwingelberg T A Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Phone: uld6@datenschutzzentrum.de Legal aspects on "Privacy and Usability" 45