Datenschutz durch Technikgestaltung: Ein Plädoyer

Transkript

1 Datenschutz durch Technikgestaltung: Ein Plädoyer Prof. Dr. Dominik Herrmann Privacy and Security in Information Systems Group Universität Bamberg Folien:

2 Datenschutz durch Technikgestaltung I. Schutz durch das Recht Haben wir hilft aber nicht (immer). II. Schutz durch die Technik Nutzen wir kaum (hilft ebenfalls nicht immer). III. Technik zur Kontrolle Vielleicht hilft ja das?

3 I. Der Gesetzgeber lässt uns im Stich. a) Datenschutzerklärung lesen 3

4 90% 86% unverständlich zu lang Art. 12 (1) DSGVO [ ] in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. warum? meistens gelogen Bitkom Research (2015): h6ps:// 4

5 Mai 2017 Mai Wörter 6358 Wörter Beispiel: Facebook Datenrichtlinie und Cookie-Richtlinie zusammen 5

6 I. Der Gesetzgeber lässt uns im Stich. a) Datenschutzerklärung lesen b) In Verarbeitung einwilligen 6

7 scrollen möglich! 7 Comic People (CC BY-NC 4.0)

8 DARK PATTERNS unethisch, aber legal Voreinstellung erscheint sehr datensparsam aber: blauer Knopf ist der richtige 8

9 I. Der Gesetzgeber lässt uns im Stich. a) Datenschutzerklärung lesen b) In Verarbeitung einwilligen c) Auskun9srecht wahrnehmen 9

10 Wie reagieren Anbieter auf Auskunftsanfragen? Evaluation von 120 Webseiten und 150 Apps Registrierung Paul Meier Vogt-Kölln-Str Hamburg Mobil: geb. am Sender: An: Paul Meier Datenschutzbeauftragter (sonst: Kunden-Support) informelle Anfrage Hiermit Sehr geehrte fordere Damen ich Sie und gem. Herren, 34 BDSG auf mir Auskun[ zu erteilen, welche Daten über mich bzw. mein Profil ich würde mich gerne darüber bei Ihnen informieren, gespeichert welche sind Daten und zu welchem Sie über mein Zweck Profil ( 34 paul.meier@barmail.de I-III BDSG i.v.m. 6 II, gespeichert 28 Abs. 4) haben und wie diese verwendet werden. Bitte lassen Sie Für mir diese Erledigung Informationen setze ich zeitnah Frist zukommen. auf den [+ 7 Tage]. Nach fruchtlosem Ablauf der Frist behalte ich mir vor, die für Sie zuständige Mit freundlichen Aufsichtsbehörde Grüßen gem. 38 BDSG einzuschalten. Paul Meier 10

11 Wie reagieren Anbieter auf Auskun0sanfragen? Evalua&on von 120 Webseiten und 150 Apps Registrierung Paul Meier Vogt-Kölln-Str Hamburg Mobil: geb. am Sender: An: Paul Meier Datenschutzbeauftragter (sonst: Kunden-Support) informelle Anfrage keine akzeptable Antwort innerhalb 1 Woche? formale Anfrage Sehr Hiermit geehrte fordere Damen ich Sie und gem. Herren, 34 BDSG auf mir Auskunft zu erteilen, welche Daten über mich bzw. mein Profil ich paul.meier@barmail.de würde mich gerne darüber bei Ihnen informieren, gespeichert welche sind Daten und zu Sie welchem über mein Zweck Profil ( 34 paul.meier@barmail.de I-III BDSG i.v.m. 6 II, gespeichert 28 Abs. 4) haben und wie diese verwendet werden. Bitte lassen Sie mir Für diese Erledigung Informationen setze ich zeitnah Frist zukommen. auf den [+ 7 Tage]. Nach fruchtlosem Ablauf der Frist behalte ich mir vor, die für Sie Mit zuständige freundlichen Aufsichtsbehörde Grüßen gem. 38 BDSG Paul einzuschalten. Meier 11

12 Wie reagieren Anbieter auf Auskun0sanfragen? Evalua&on von 120 Webseiten und 150 Apps Registrierung Paul Meier Vogt-Kölln-Str Hamburg Mobil: geb. am Fake-Anfrage keine akzeptable Antwort innerhalb 1 Woche? Sender: An: Paul Meier <paul.meier@fair-konsult.de> <paul.meier@barmail.de> Datenschutzbeauftragter (sonst: Kunden-Support)! informelle Anfrage keine akzeptable Antwort innerhalb 1 Woche? formale Anfrage Hiermit Sehr geehrte fordere Damen ich Sie und gem. Herren, 34 BDSG auf mir Auskunft zu erteilen, welche Daten über mich bzw. mein Profil paul.meier@barmail.de ich würde mich gerne darüber bei Ihnen informieren, gespeichert welche sind Daten und zu welchem Sie über mein Zweck Profil ( 34 paul.meier@barmail.de I-III BDSG i.v.m. 6 II, gespeichert 28 Abs. 4) haben und wie diese verwendet werden. Biee Bitte lassen Sie Für mir diese Erledigung Informationen Informa&onen setze ich zeitnah Frist zukommen. auf den [+ 7 Tage]. Nach fruchtlosem Ablauf der Frist behalte ich mir vor, die für Sie zuständige Mit freundlichen Aufsichtsbehörde Grüßen gem. 38 BDSG einzuschalten. Paul Meier 12

13 Ergebnisse für Datenauskunft bei Webseiten Fake-Anfrage OK (0.18) 0.07 informelle Anfrage OK (0.28) unvollständig keine Reaktion (0.43) 0.02Ausk. verweigert (0.30) Konto verschwunden unvollständ. (0.28) 0.01 keine Reaktion (0.31) formale Anfrage OK (0.43) nicht erreichbar unvollst. k. Reaktion (0.23) verweigert D. Herrmann and J. Lindemann: Obtaining personal data and asking for erasure: Do app vendors and website owners honour your privacy rights? Proc. Sicherheit 2016, LNI P-256, GI,

14 Art und Umfang der ausgestellten Auskünfte variiert erheblich. 14

15 CODE IS LAW Lawrence Lessig 15

16 II. Schutz durch Technik Privacy Enhancing Technologies: 40 Jahre Forschung, kaum Transfer in die Praxis 16

17 Hürden: fehlende Anreize, hoher Aufwand, Komfortverlust und dann funktioniert es nicht einmal zuverkässig. unilaterale Systeme Privacy by Design bilaterale Systeme multilaterale Systeme für Nerds Warum sollte ich mehr Aufwand betreiben als nötig? Oft nur Pseudonymisierung oder unzureichende Anonymisierung. hohe Komplexität siehe Tor-Netz und DifferenHal Privacy 17

18 Anderer Ansatz: Technik hil2 bei der Ausübung der Rechte des Betroffenen Text-Mining in Privacy Policies Untersützung bei Datenauskunft siehe auch selbstauskunft.net 18

19 III. Technik zur Kontrolle a) Google Analytics rechtskonform nutzen 19

20 Aus einer Datenschutzerklärung Comic People (CC BY-NC 4.0) 20

21 Nur ein Einzelfall? Überprüfung der ersten 100 Seiten: 48 nutzen Google Analy=cs gar nicht 25 nutzen es, aber ohne IP-Masking! Laufende Studie (1,3 Mio. DE-Seiten): ca. 13% ohne korrektes IP-Masking 21

22 unwirksam da vertauscht Comic People (CC BY-NC 4.0) 22

23 Wer sanktioniert die vielen kleinen Verstöße? Wiederkehrende Durchführung nötig. Google Analytics ist nur ein Aspekt. 23

24 III. Technik zur Kontrolle a) Google Analytics rechtskonform nutzen b) PrivacyScore 24

25 Ziel: öffentliche Benchmarks, um Anreize für Betreiber zu schaffen, den Schutz der Privatsphäre zu verbessern. Jeder kann Listen von Webseiten hochladen und das Ranking beeinflussen. Open Source (GPLv3+) und Open Data 25

26 Tests von PrivacyScore Privatsphäre und Tracking Verschlüsselung Webserver Verschlüsselung Mailserver andere Angriffe Third Parties Bekannte Tracker Server-Standorte HTTPS/STARTTLS verfügbar? Zertifikat: gültig / Schlüssellänge Unsichere Protokolle: SSLv3, Schwachstellen: Heartbleed, Referer-Policy Security-Header Sicherheitslücken HSTS HPKP AutomaJsche Umleitung zu HTTPS server-status.svn server.key backup.sql.git 26

27

28

29 Detail-Ergebnisse

30 Kontroverser Ansatz: Überprüfung und Veröffentlichung der Ergebnisse Auf [ ] unserer Homepage werden [ ] personenbezogene Daten gespeichert. [ ] über Sicherheitstests [bin] ich nicht amüsiert [und] darf Sie bitten, derartige Tests künftig zu unterlassen [ ] anderenfalls [stelle ich] eine Strafanzeige nach 202a StGB aber: Betrieb in Deutschland legal möglich auch ohne Einwilligung des Anbieters :-) Ethische Abwägung: Transparenz hilft u.u. auch Angreifern (eigtl. gut: zusätzlicher Anreiz!) Maass, M., Laubach, A. & Herrman, D., (2017). PrivacyScore: Analyse von Webseiten auf Sicherheits- und Privatheitsprobleme Konzept und rechtliche Zulässigkeit. In: Eibl, M. & Gaedke, M. (Hrsg.), INFORMATIK GI, Bonn (S ). 30

31 Datenschutz durch Technikgestaltung Prof. Dr. Dominik Herrmann Universität Bamberg Kontrolle Recht Schutz wird umgangen Technik Schutz ist mühsam Folien: auf Twitter