Modellierung und Validierung von Datenschutzanforderungen in Prozessmodellen

Transkript

1 Modellierung und Validierung von Datenschutzanforderungen in Prozessmodellen Sven Feja 1, Sören Witt 1, Andreas Brosche 1, Andreas Speck 1 und Christian Prietz 2 1 Arbeitsgruppe Angewandte Informatik (Wirtschaftsinformatik) Christian-Albrechts-Universität zu Kiel 2 Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein 25. März 2010 Folie: 1/29

2 Überblick Grundlagen Datenschutz Datenschutzanforderungen Prozessmodelle Integrierte Datenschutzmodellierung G-CTL Grafische Anforderungsmodellierung MultiView Komplexität in Modellen beherrschen Validierung Zusammenfassung Folie: 2/29

3 Datenschutz wieso? Einerseits gesetzliche Verpflichtung Andererseits Chance Missachtung birgt erhebliches Schadenspotential Folie: 3/29

4 Datenschutzanforderungen Rechtlicher Hintergrund Gesetz regelt Rechte, Pflichten und Voraussetzungen im Umgang mit personenbezogenen Daten In Deutschland: Bundesdatenschutzgesetz Landesdatenschutzgesetze bereichsspezifische Regelungen Gesetze unterliegen ständigem Wandel vgl. Steuergesetze und Wartungsaufwand für Software Gesetze sind oft auslegungsbedürftig Anforderungen schwierig abzuleiten Folie: 4/29

5 Datenschutzanforderungen Rechtlicher Hintergrund Grundprinzipien beim Umgang mit personenbezogenen Daten: Zulässigkeit Zweckbindung Beachtung der Rechte Betroffener Datenvermeidung & Datensparsamkeit Folie: 5/29

6 Datenschutzanforderungen Schutzziele Fundamentale/abstrakte Beschreibung von Anforderungen i.z.m. der Verarbeitung personenbezogener Daten Beschrieben und systematisiert durch Rost/Pfitzmann (ULD/TU-Dresden) unabhängig von konkreten Gesetzestexten Beispiele: Vertraulichkeit, (Un-)verkettbarkeit, Transparenz Aber: Nicht alle Anforderungen werden durch Schutzziele erfasst (z.b. Zulässigkeit, Einverständnis) Folie: 6/29

7 Datenschutzanforderungen Schutzziele Annahme: Einhaltung der Schutzziele bedeutet weitgehende Einhaltung der datenschutzrechtlichen Bestimmungen Schutzziele ermöglichen einfacheres Ableiten von Anforderungen Bestimmte Anforderungen müssen aus Gesetzen abgeleitet werden Folie: 7/29

8 Datenschutzmanagement Eine wichtige Grundlage: Definierte und abgesicherte Prozesse Eine wichtige Aufgabe: Prozesse müssen Datenschutzanforderungen genügen Folie: 8/29

9 Überblick Grundlagen Datenschutz Datenschutzanforderungen Prozessmodelle Integrierte Datenschutzmodellierung G-CTL Grafische Anforderungsmodellierung MultiView Komplexität in Modellen beherrschen Validierung Zusammenfassung Folie: 9/29

10 Ereignisgesteuerte Prozesskette (EPK) Ereignis 1 Prozess- Schnittstelle Ereignis 0 Funktion Ereignis 2 Cluster Wesentliche Bestandteile einer EPK: Ereignisse Funktionen Operatoren und Kontrollfluss Cluster (Daten) Prozessschnittstellen Eigenschaften: Verständlich für (Nicht-)Informatiker Formalisierbar bei Einhaltung einer definierten Syntax und Semantik Eine Basis für Modellgetriebene Softwareentwicklung Folie: 10/29

11 Ein Beispielprozess Folie: 11/29

12 Datenschutzmodellierung in EPKs Problem: Es fehlen Ausdrucksmöglichkeiten für... formale Anforderungen, die Prozesse erfüllen müssen (z.b. die Löschung nicht mehr benötigter Daten) Datenschutzbelange (z.b. Kennzeichnen, ob ein Datum überhaupt datenschutzrechtlich relevant ist) Überprüfung: Genügen die Prozesse den Anforderungen? Folie: 12/29

13 Überblick Grundlagen Datenschutz Datenschutzanforderungen Prozessmodelle Integrierte Datenschutzmodellierung G-CTL Grafische Anforderungsmodellierung MultiView Komplexität in Modellen beherrschen Validierung Zusammenfassung Folie: 13/29

14 Integrierte Datenschutzmodellierung Formale, grafische Notation für Anforderungen auf Prozessmodellebene Möglichkeit zur Verallgemeinerung der Anforderungen (Wiederverwendbarkeit) Annotation von Prozessen mit Metainformation Validierung der Prozessmodelle auf Einhaltung der Anforderungen Folie: 14/29

15 Überblick Grundlagen Datenschutz Datenschutzanforderungen Prozessmodelle Integrierte Datenschutzmodellierung G-CTL Grafische Anforderungsmodellierung MultiView Komplexität in Modellen beherrschen Validierung Zusammenfassung Folie: 15/29

16 G-CTL Grafische Anforderungsmodellierung Grafische Notation für Computation Tree Logic (CTL) Grafische Umsetzung der CTL-Operatoren EXISTS FOR ALL Boolean Operators EX a a AX a a EG a a AG a a EF a a AF a a True T E(aUb) a U b A(aUb) a U b False F Atomare Aussagen in G-CTL werden durch Muster aus Prozesselementen beschrieben Anforderungen werden durch eine oder mehrere G-CTL-Regeln ausgedrückt Folie: 16/29

17 Datenschutzanforderung in G-CTL Beispiel: Löschregel Kunde gibt Daten ein Löschen der Prosa: Existiert eine Funktion Kunde gibt Daten ein, die ein Cluster erzeugt, dann muss auf jedem darauf folgenden Pfad eine Funktion Löschen der existieren, die das Cluster löscht. Folie: 17/29

18 Datenschutzanforderung in G-CTL Beispiel: Löschregel Kunde gibt Daten ein Löschen der Folie: 18/29

19 Datenschutzanforderung in G-CTL Beispiel: Löschregel Kunde gibt Daten ein Löschen der Folie: 18/29

20 Datenschutzanforderung in G-CTL Beispiel: Löschregel Kunde gibt Daten ein Löschen der Folie: 18/29

21 Datenschutzanforderung in G-CTL Beispiel: Löschregel Kunde gibt Daten ein Löschen der Folie: 18/29

22 Datenschutzanforderung in G-CTL Beispiel: Löschregel Kunde gibt Daten ein Löschen der Folie: 18/29

23 Datenschutzanforderung in G-CTL Beispiel: Löschregel Kunde gibt Daten ein Löschen der? Folie: 18/29

24 Datenschutzanforderung in G-CTL Beispiel: Löschregel Kunde gibt Daten ein Löschen der Nur anwendbar auf Prozesse mit genau diesen Elementbezeichnern Greift nicht bei anderen Funktionen, die ebenfalls personenbezogene Daten verarbeiten Naheliegender Wunsch: Allgemeinere Formulierung der Regel Ziel: Bessere Wiederverwendbarkeit Folie: 19/29

25 Verallgemeinerte Löschregel Prosa: Existiert eine Funktion, die personenbezogene Daten erzeugt, so muss eine Löschfunktion auf mindestens einem nachfolgenden Pfad im Prozess erreichbar sein, die genau diese personenbezogenen Daten löscht. Folie: 20/29

26 Verallgemeinerte Löschregel Unterschiede zur speziellen Regel Kunde gibt Daten ein Löschen der Platzhalter statt Namen Erkennung relevanter Prozessteile an Eigenschaften Eigenschaften durch Attribute annotiert: personenbezogenes Datum Löschfunktion Identität der Cluster explizit gefordert Löschung erfolgt nicht zwingend muss nur möglich sein Folie: 21/29

27 Datenschutz-Annotation im Prozess Ansicht im Beispielprozess Folie: 22/29

28 Datenschutz-Annotation im Prozess Ansicht im Beispielprozess Nachteile dieser Ansicht: Viele Prozesselemente betreffen den Datenschutz nicht Kommen weitere fachliche Annotationen hinzu: Übersichtlichkeit sinkt drastisch Komplexität der Modelle steigt Folie: 22/29

29 Überblick Grundlagen Datenschutz Datenschutzanforderungen Prozessmodelle Integrierte Datenschutzmodellierung G-CTL Grafische Anforderungsmodellierung MultiView Komplexität in Modellen beherrschen Validierung Zusammenfassung Folie: 23/29

30 MultiView Komplexität in Modellen beherrschen Eine View bezeichnet eine fachspezifische Sicht auf einen Prozess Beschränkung dargestellter Elemente auf die jeweils wesentlichen Datenschutz ist nur eine vieler möglicher Views Weitere Views: andere Rechtsgebiete Security Anforderungen spezieller Unternehmensbereiche Zeitliche Betrachtungen... Folie: 24/29

31 Datenschutz-View für den Beispielprozess Folie: 25/29

32 Überblick Grundlagen Datenschutz Datenschutzanforderungen Prozessmodelle Integrierte Datenschutzmodellierung G-CTL Grafische Anforderungsmodellierung MultiView Komplexität in Modellen beherrschen Validierung Zusammenfassung Folie: 26/29

33 Validierung Technik: Model-Checking Transformation des annotierten Prozesses in Kripke-Struktur Transformation der G-CTL-Regeln in textuelle CTL-Regeln Ergebnis im Fehlerfall: Gegenbeispiel Folie: 27/29

34 Zusammenfassung Datenschutz Vorgestellt wurde die Integrierte Datenschutzmodellierung G-CTL: Beschreibung formaler Anforderungen auf Prozessebene Annotation der Prozesselemente MultiView: Fachspezifische Sichten auf Prozesse reduzieren die Komplexität Datenschutz-View existiert gleichberechtigt neben anderen Views Validierung im Model Checker Folie: 28/29

35 Danke für Ihre Aufmerksamkeit! Folie: 29/29