WER BLICKT DA NOCH DURCH? Techniken für mehr Transparenz bei der Datenverarbeitung

Transkript

1 WER BLICKT DA NOCH DURCH? Techniken für mehr Transparenz bei der Datenverarbeitung Prof. Dr. Dominik Herrmann Universität Bamberg Folien:

2 TRANSPARENZ? WOFÜR TECHNIK? (Wir haben doch Datenschutzgesetze!)

3 I Denn Sie wissen nicht, was sie tun. 3

4 Bürger sollen aber wissen können, wer was wann und bei welcher Gelegenheit über sie weiß. Recht auf informa/onelle Selbstbes/mmung (1 BvR 209/83) 4

5 I Welche Möglichkeiten haben Sie? (in Deutschland) a) Verfahrensverzeichnis anfordern seit nicht mehr möglich 5

6 Studie zur Anforderung des Verfahrensverzeichnisses (2018) Der Beauftragte für den Datenschutz macht die Angaben nach 4e [ ] auf Antrag jedermann in geeigneter Weise verfügbar. ( 4g Abs. 2 BDSG a.f.) hiermit fordere ich für Ihre Einrichtung ( ) das Verfahrensverzeichnis gemäß Bundesdatenschutzgesetz 4g Abs. 2 an. Vielen Dank im Voraus! (Versand Anfang Mai) Typ Bundesbehörden Hochschulen Unternehmen Anzahl Antwort erhalten 48 % 53 % 53 % Anfrage per 49 % 51 % 48 % Anfrage per Brief: 47 % 56 % 57 % Davon: VV übermittelt 44 % 24 % 63 % Anfrage per 39 % 21 % 56 % Anfrage per Brief: 49 % 28 % 68 %? 6 Comic People (CC BY-NC 4.0)

7 Reaktionen (Auswahl) [ ] Nach BDSG 4g Absatz 2, ist dem Beauftragten für den Datenschutz von der verantwortlichen Stelle eine Übersicht über die in 4e Satz 1 genannten Angaben sowie über zugriffsberechtigte Personen zur Verfügung zu stellen. Bitte weisen Sie mir nach, dass Sie der Beauftragte für den Datenschutz sind. Aufgrund der Vielzahl von datenschutzrechtlichen Anfragen und der deutlich erhöhten Arbeitsbelastung wegen der Umstellung auf die DSGVO können Anfragen derzeit oumals nicht ohne zeitliche Verzögerung beantwortet werden. [ ] (Antwort nach 4,5 Monaten) [ ] es freut mich sehr, dass sich jetzt, zum Ende der Geltungsdauer des BDSG, tatsächlich doch mal jemand für unsere Angaben gemäß 4e Satz 1 Nr. 1 8 BDSG interessiert. [ ] 7

8 I Welche Möglichkeiten haben Sie? a) Verfahrensverzeichnis anfordern b) Datenschutzerklärungen lesen 8

9 90% 86% unverständlich zu lang Art. 12 (1) DSGVO [ ] in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermiqeln. warum? meistens gelogen Bitkom Research (2015): 9

10 Mai 2017 Mai Wörter 6358 Wörter Beispiel: Facebook Datenrichtlinie und Cookie-Richtlinie zusammen 10

11 Wie viel Zeit würde das Lesen pro Jahr beanspruchen? Stunden h"ps://boingboing.net/2018/05/07/tldr.html Lösung durch Technik? McDonald, AleeciaM., and Lorrie Faith Cranor. "The cost of reading privacy policies." ISJLP 4 (2008):

12 DuckDuckGo Extension 12

13 I Welche Möglichkeiten haben Sie? a) Verfahrensverzeichnis anfordern b) Datenschutzerklärungen lesen c) Auskun<srecht wahrnehmen (Art. 15 DSGVO) Voraussetzung: Sie sind schon Kunde 13

14 14

15 Wie reagieren Anbieter auf Auskunftsanfragen? Evaluation von 120 Webseiten und 150 Apps Registrierung Paul Meier Vogt-Kölln-Str Hamburg Mobil: geb. am Fake-Anfrage keine akzeptable Antwort innerhalb 1 Woche? Sender: An: Paul Meier <paul.meier@fair-konsult.de> <paul.meier@barmail.de> Datenschutzbeauftragter (sonst: Kunden-Support)! informelle Anfrage keine akzeptable Antwort innerhalb 1 Woche? formale Anfrage Hiermit Sehr geehrte fordere Damen ich Sie und gem. Herren, 34 BDSG auf mir Auskun^ zu erteilen, welche Daten über mich bzw. mein Profil paul.meier@barmail.de ich würde mich gerne darüber bei Ihnen informieren, gespeichert welche sind Daten und zu welchem Sie über mein Zweck Profil ( 34 paul.meier@barmail.de I-III BDSG i.v.m. 6 II, gespeichert 28 Abs. 4) haben und wie diese verwendet werden. BiQe lassen Sie Für mir diese Erledigung InformaSonen setze ich zeitnah Frist zukommen. auf den [+ 7 Tage]. Nach fruchtlosem Ablauf der Frist behalte ich mir vor, die für Sie zuständige Mit freundlichen Aufsichtsbehörde Grüßen gem. 38 BDSG einzuschalten. Paul Meier 15

16 Ergebnisse für Datenauskunft bei Webseiten Fake-Anfrage OK (0.18) 0.07 informelle Anfrage OK (0.28) unvollständig keine ReakDon (0.43) 0.02Ausk. verweigert (0.30) Konto verschwunden unvollständ. (0.28) 0.01 keine Reaktion (0.31) formale Anfrage OK (0.43) nicht erreichbar unvollst. k. ReakDon (0.23) verweigert D. Herrmann and J. Lindemann: Obtaining personal data and asking for erasure: Do app vendors and website owners honour your privacy rights? Proc. Sicherheit 2016, LNI P-256, GI,

17 Art und Umfang der ausgestellten Auskünfte variiert erheblich. 17

18 I Welche Möglichkeiten haben Sie? a) Verfahrensverzeichnis anfordern b) Datenschutzerklärungen lesen c) Auskunftsrecht wahrnehmen Fazit: mühsam für alle Beteiligten Aber: zunehmende technische Unterstützung 18 Comic People (CC BY-NC 4.0)

19 Transparent? 19

20 TRANSPARENZ? WOFÜR TECHNIK? Damit wir Fehlverhalten belegen können.

21 II Denn sie Denn Sie wissen nicht, was sie tun. a) Leicht auffindbare Sicherheitslücken 21

22 22

23 Szenario nachgestellt 23

24 83D21A252177B867CA9FD76471D8AA16-memc1.pla3tom0 ersetzen 24

25 83D21A252177B867CA9FD76471D8AA16-memc1.pla3tom0 ersetzen Beim Einkauf über die Schulter schauen 25

26 Persönliche und Bestellhistorie einsehen 26

27 II Denn sie Denn Sie wissen nicht, was sie tun. a) Leicht auffindbare Sicherheitslücken 27

28 II Denn sie Denn Sie wissen nicht, was sie tun. a) Leicht auffindbare Sicherheitslücken b) Einsatz unsicherer (veralteter) So<ware 28

29 II Denn sie Denn Sie wissen nicht, was sie tun. a) Leicht auffindbare Sicherheitslücken b) Einsatz unsicherer (veralteter) So<ware c) Unzulässige Nutzung von Google AnalyEcs 29

30 Aus einer Datenschutzerklärung Comic People (CC BY-NC 4.0) 30

31 Nur ein Einzelfall? Überprüfung der ersten 100 Seiten: 48 nutzen Google Analy=cs gar nicht 25 nutzen es, aber ohne IP-Masking! Laufende Studie (1,3 Mio. DE-Seiten): ca. 13% ohne korrektes IP-Masking 31

32 unwirksam da vertauscht Comic People (CC BY-NC 4.0) 32

33 II Denn sie Denn Sie wissen nicht, was sie tun. a) Leicht auffindbare Sicherheitslücken b) Einsatz unsicherer (veralteter) Software c) Unzulässige Nutzung von Google Analytics Fazit: Die Öffentlichkeit sollte das erfahren! Aber: Gelegentliche Studien reichen nicht. 33

34 II Denn sie Denn Sie wissen nicht, was sie tun. Oder doch? 34

35 Beispiel: Einwilligung Comic People (CC BY-NC 4.0) scrollen möglich! 35

36 DARK PATTERNS unethisch, aber legal Voreinstellung: sehr datensparsam blauer Knopf ist der richtige 36

37 Wir haben in Europa das beste Datenschutz-Gesetz der Welt nur erzielt es nicht (immer) die gewünschte Wirkung.

38 III Wehrhafter Datenschutz durch Transparenz und Öffentlichkeit 38

39 Exis'erende Scanner zur Erkennung gängiger Sicherheitsmaßnahmen 39

40 Ziel: öffentliche Benchmarks, um Anreize für Betreiber zu schaffen, den Schutz der Privatsphäre zu verbessern. Jeder kann (annotierte) Listen von Webseiten hochladen und (bald) das Ranking beeinflussen. Open Source (GPLv3+) Open Data 40

41 Tests von PrivacyScore Privatsphäre und Tracking Verschlüsselung Webserver Verschlüsselung Mailserver andere Angriffe Third Par)es Bekannte Tracker Server-Standorte HTTPS/STARTTLS verfügbar? Zertifikat: gültig / Schlüssellänge Unsichere Protokolle: SSLv3, Schwachstellen: Heartbleed, Referer-Policy Security-Header Problematische Inhalte HSTS HPKP Automa)sche Umleitung zu HTTPS server-status phpinfo.php server.key backup.sql.git.svn 41

42

43 Sortierung ändern

44 Detail-Ergebnisse

45 Kontroverser Ansatz: Überprüfung und Veröffentlichung der Ergebnisse Auf [ ] unserer Homepage werden [ ] personenbezogene Daten gespeichert. [ ] über Sicherheitstests [bin] ich nicht amüsiert [und] darf Sie bitten, derartige Tests künftig zu unterlassen [ ] anderenfalls [stelle ich] eine Strafanzeige nach 202a StGB Betrieb in Deutschland legal auch ohne Einwilligung des Anbieters ;-) Ethische Abwägung: Transparenz hilft u.u. Angreifern (zusätzlicher Anreiz!) Maass, M., Laubach, A. & Herrman, D., (2017). PrivacyScore: Analyse von Webseiten auf Sicherheits- und Privatheitsprobleme Konzept und rechtliche Zulässigkeit. In: Eibl, M. & Gaedke, M. (Hrsg.), INFORMATIK GI, Bonn (S ). 45

46 III Wehrha&er Datenschutz durch Transparenz und Öffentlichkeit Fazit: wirksames Mittel, aber mühsamer Betrieb 46

47 WER BLICKT DA NOCH DURCH? Techniken für mehr Transparenz bei der Datenverarbeitung Prof. Dr. Dominik Herrmann Universität Bamberg DARK PATTERNS legal, aber unethisch TRANSPARENZ unbequem, aber legal AKTUELL IN ARBEIT: Folien: auf Twitter