Workshop. Privacy by Design in Berlin. Ergebnisse

Transkript

1 Workshop Privacy by Design in Berlin Ergebnisse

2 1. Allgemeines Am 18. März 2011 fand in den Räumendes DIN Deutsches Institut für Normung e.v. der Workshop "Privacy By Design" statt. Der Workshop wurde vom DIN Präsidialausschuss FOCUS.ICT und den Fachgruppen "Datenschutzfördernde Technik" (PET - Privacy Enhanced Technologies) und "Evaluierung, Zertifizierung, Qualitätssicherung und Normung" (EZQN) der Gesellschaft für Informatik (GI) organisiert. 25 Experten aus Wissenschaft, Wirtschaft und Verwaltung diskutierten, wie eine Standardisierung im Bereich Privacy By Design aussehen könnte. Es wurden Erwartungen, Anforderungen und bereits gefundene Lösungsansätze für Teilaspekte des Datenschutzes präsentiert und diskutiert. Eröffnet wurde der Workshop mit einem Rückblick auf den FOCUS.ICT/GI Workshop vom , der die Motivation für diesen Workshop begründete. Auf dem vorhergehenden Workshop wurde das Thema Privacy by Design das meistgenannte Thema mit Standardisierungsbedarf. Dabei überschnitten sich die bereits identifizierten Rahmenbedingungen mit den vier Eckpunkten, die von EU Kommissar Vivan Reding als Säulen für die Arbeit der EU Kommission zur Umsetzung des Rechtes auf den Schutz personenbezogener Daten genannt wurden. Diese vier Säulen sind: - das Recht vergessen zu werden (right to be forgotten) - Transparenz - privacy by default - Schutz unabhängig vom Ort der Datenverarbeitung Die Motivation für diesen Workshop wurde damit von unabhängiger Seite bestätigt. In der Eröffnungspräsentation wurden noch einmal die Ziele des Workshops vorgestellt: Aufgreifen der Ergebnisse des Workshops vom Genauere Betrachtung der Sektoren und Teilaspekte Konkretisierung eines Privacy by Design Konzeptes Startpunkt für konkrete Standardisierungsprojekte - 1 -

3 2. Vorträge und Diskussionen Der Vormittag war gekennzeichnet durch eine Reihe interessanter Vorträge, die Aspekte des Datenschutzes beleuchteten, welche für einen systematischen Privacy By Design Ansatz Berücksichtigung finden könnten. Ziel war es, aus den verschiedenen Betrachtungswinkeln auf das Thema Klarheit zu gewinnen, wie das Thema unter Berücksichtigung der verschiedenen Teilaspekte bearbeitet werden kann. Der erste betrachtete Aspekt waren die Auswirkungen von Cloud Computing auf den Datenschutz. Als Beispielhaftes Anwendungsszenario wurde Clouc Computing in der öffentlichen Verwaltung vorgestellt. Es wird erwartet, das in Zukunft vermehrt Bürger eine Auskunft über die von Ihnen gespeicherten Daten abfragen. Solche Abfragemöglichkeiten müssen beim Einsatz von Cloud Computing gesondert berücksichtigt werden. Ziel des Cloud Computing ist die Nutzung von Synergieeffekten durch die Nutzung einer großen Cloud. Der Einsatz von vielen kleineren geschlossenen Clouds würde diesem Ziel zuwiderlaufen. Daher gibt es das Bestreben, eine Kooperation verschiedener Behörden einzurichten und eine gemeinsame Cloud zu verwenden. Lösungen für die sich daraus ergebenden Probleme wie Verfügbarkeitskontrollen und Zugriffskontrollen werdend derzeit erarbeitet. Zur Sicherstellung des Datenschutzes müssten alle Transaktionen (Löschen, umbenennen) in der Cloud protokolliert werden. Solche Protokolle sind in der Entwicklung, aber noch nicht verfügbar. Ein weiterer Diskussionspunkt war die seit 2009 geänderte Gesetzeslage, wonach jeder betriebliche Auftraggeber in der Lage sein muss, den Auftragnehmer hinsichtlich der organisatorischen und technischen Sicherstellung der Einhaltung des Datenschutzes überprüfen zu können. Das Cloud Computing stellt hier eine besondere Herausforderung dar. Eine Möglichkeit, den Datenschutz im Cloud Computing zu befördern wären z.b. zertifizierte Service-Anbieter in diesem Bereich. Hierzu müsste eine Zertifizierungsgrundlage erstellt werden, die auch Datenschutzaspekte umfasst. Dies könnte den Markt auch für kleinere Unternehmen öffnen, welche oft mit den Anforderungen des Datenschutzes überfordert sind. Auf internationaler Ebene gibt es bereits ein Gremium, welches sich mit der Standardisierung im Bereich Cloud Computing befasst, JTC1 /SC38 "Distributed Application Platforms and Services (DAPS)". Eine Untergruppe dieses Gremiums, die Cloud Computing Study Group hat einen Report erstellt, in dem Themenfelder des Cloud Computing mit Standardisierungsbedarf identifiziert wurden. Derzeit wird noch diskutiert, ob dieser Report öffentlich zugänglich gemacht werden soll. Des weiteren wurde das Konzept der "neuen Schutzziele" diskutiert und inwiefern damit das Konzept des Privacy by Design umgesetzt werden kann. Allgemein bekannt sind die drei - 2 -

4 klassischen Schutzziele der Datensicherheit: Verfügbarkeit, Vertraulichkeit und Integrität. Bei der Erhebung und Verarbeitung von personenbezogenen Daten können nun drei weitere Schutzziele betrachtet werden: Transparenz, Nichtverkettbarkeit (als Operationalisierung der Zweckbindung) und Intervenierbarkeit. Eine Konkrete Auswirkung des Schutzziels Zweckbindung wurde im Rahmen der Vorstellung eines Datenlöschkonzeptes, welches bei der Firma Toll-Collect bei der Verarbeitung von Mautdaten zum Einsatz kommt erörtert. Die erhobenen Daten könnten auch genutzt werden, um bspw. Verkehrsplanungen zu optimieren. Dies würde aber eine Zweckänderung der erhobenen Daten bedeuten. Bei einer Zweckänderung muss der Betroffene aber dieser Zweckänderung zustimmen, ohne die Zustimmung müssen die Daten gelöscht werden. Das vorgestellt Löschkonzept geht so weit, das bestimmte Daten nicht an das Backup zur Datensicherung übernommen werden. Dieser Widerspruch des Schutzziels Verfügbarkeit, operationalisiert durch die Datensicherung (Backup) und dem "Right to be forgotten" wurde andiskutiert. Eine Lösung dieses Widerspruchs erfordert eine fallabhängige Betrachtung und konnte nicht abschließend gefunden werden. Der von Toll-Collect gefundene Ansatz zu einer systematischen Datenlöschung wurde mit großem Interesse aufgenommen. Der vorgestellte systematische Ansatz wurde als ein geeigneter Ausgangspunkt für die Entwicklung eines standardisierten allgemeinen Modells angesehen. Ein solches Modell könnte bei der Entwicklung von Anwendungen die Entwicklung und Implementierung eines Löschkonzeptes befördern und so bereits im Entwicklungsprozess eine Berücksichtigung des Datenschutzes erleichtern. Ein weiterer Punkt, der die konkrete Umsetzung eines Privacy by Design Konzeptes erleichtern würde wäre die Klassifikation von Daten bezüglich ihres Schutzbedarfes. Aufgrund der Verschiedenartigkeit von Daten können nicht die Datenklassen selbst standardisiert werden, aber Weg, wie solche Klassen gebildet und bezüglich des Datenschutzes behandelt werden können. Es wurden verschiedene bereits vorhanden Ansätze zur Klassifikation erörtert, so z.b. die Common Criteria oder der IT-Grundschutz. Im weiteren Verlauf wurden noch weitere Punkte diskutiert, so etwa das allgemeine Akzeptanzproblem von technischen Lösungen zur Einhaltung des Datenschutzes. Es ist ein generelles Phänomen, das komplexen und für den Endanwender undurchsichtigen IT Lösungen im Bereich des Datenschutzes ein grundlegendes Misstrauen entgegengebracht wird. Die Anwendung von Normen und Standards könnte hier als vertrauensfördernde Maßnahme dazu beitragen, dieses Akzeptanzproblem im Bereich des Datenschutzes zu überwinden. Eine favorisierte Herangehensweise für die Entwicklung eines Privacy by Design Konzeptes bzw. von Konzepten zu Teilaspekten des Privacy by Design ist die Entwicklung von Anwendungsszenarien (Use cases) und eine anschließende Herausarbeitung von - 3 -

5 Gemeinsamkeiten dieser Use cases. Diese Gemeinsamkeiten können ein Rahmen für einen systematischen Ansatz bilden. In JTC1 /SC38 wird ein ähnlicher Ansatz verfolgt, dort werden solche Use Cases als Technical Reports veröffentlicht. Im Falle des Datenschutzes könnte die Norm ISO/IEC "Information technology - Security techniques - Privacy framework" den Ausgangspunkt für solche Anwendungsszenarien bilden. 3. Resultierende Normungsvorhaben Als Ergebnis des Workshops wurden zwei Themenfelder identifiziert, die zunächst eine weitere Bearbeitung erfahren sollen. Diese Themen sind: 1. ein systematischer Ansatz zur Entwicklung eines Löschkonzeptes 2. Ein systematischer Ansatz zur Klassifikation von Daten bezüglich ihres Schutzbedarfes Es soll langfristig versucht werden, diese beiden Themen als Normungsprojekte international einzubringen. Als zuständiges internationales Normungsgremium wurde JTC1 /SC27 /WG5 identifiziert. Auf nationaler Eben werden diese Arbeiten dem NIA AK "Identitätsmanagement und Datenschutz-Technologien" im Normenausschuss Informationstechnik und Anwendungen (NIA) zugeordnet. Mit diesen Projekten soll ein Ansatz zur Verfügung gestellt werden, der die Berücksichtigung von Datenschutzaspekten bereits bei der Entwicklung von Anwendungen und Services durch die systematische Herangehensweise wesentlich vereinfacht und somit den Datenschutz befördert - 4 -