Datenschutz durch Technikgestaltung: Ein Plädoyer

Ähnliche Dokumente
WER BLICKT DA NOCH DURCH? Techniken für mehr Transparenz bei der Datenverarbeitung

Sie haben kein Recht zu schweigen:

Privacy and Security in Information Systems Group. Prof. Dr. Dominik Herrmann O0o-Friedrich Universität Bamberg

Obtaining personal data and asking for erasure

Analyse von Webseiten auf Sicherheits- und Privatheitsprobleme: Konzept und rechtliche Zula ssigkeit

Tracking im Internet sichtbar gemacht

PrivacyScore.org Eine Plattform zum Vergleich von Privacy- und Security-Eigenschaften von Webseiten

PRIVACYSCORE.ORG Sicherheit und Privatheit auf deutschen Hochschulwebseiten: Eine Analyse mit PrivacyScore

Mehr Schutz mit weniger Aufwand

Unzureichend informiert und ungefragt überwacht. Dr. Dominik Herrmann

PRIVACYSCORE.ORG. Ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsprobleme. Dominik Herrmann Universität Bamberg

Datenschutzerklärung für die Nutzung von Google Analytics

Feldstudie zum Umgang mit Datenschutz-Anfragen

Privacy by Design - Begriff und Relevanz in Digitalisierungsprozessen

Wer ist verantwortlich für die Datenerfassung auf dieser Website?

EU-Datenschutz-Grundverordnung (DSGVO) und die damit verbundenem Privatsphäre im Internet Kreativität und Technik Andrea Hornik und Fabian Richter

Mehr Schutz mit weniger Aufwand

Datenschutzerklärung. Datenschutz

Datenschutzerklärung zu Bewerbungen der

Datenschutzerklärung. Grundlegendes

Wer ist verantwortlich für die Datenerfassung auf dieser Website?

Verantwortlicher gemäß Art. 4 Nr. 7 Datenschutz-Grundverordnung ( DS-GVO ) ist die

Sofern Sie uns eine Einwilligung erteilt haben, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen.

MatchWare Datenschutzrichtlinie

Das Schreckgespenst Datenschutzgrundverordnung (DSGVO)

Datenschutzrechtliche Einwilligungserklärung

Datenschutz und Transparenz...

Datenschutzerklärung gemäß EU-DSGVO

Die rechtlichen Grundlagen des Datenschutzes finden sich im Bundesdatenschutzgesetz (BDSG) und dem Telemediengesetz (TMG).

Werner Beck Datenschutzerklärung

Mensa-Förderverein Schulzentrum Hittfeld e.v. Essen für alle. - Patenschaften für den Mittagstisch - Einzugsermächtigung per Lastschrift

Diese Daten werden ohne Ihre ausdrückliche Zustimmung nicht an Dritte weitergegeben.

EU-Datenschutz- Grundverordnung

Datenschutzerklärung

I. Verzeichnis von Verarbeitungstätigkeiten gem. Art 30 DSGVO

Aufgepasst IT-Leiter! Kennen Sie Ihre Pflichten aus der neuen EU DSGVO?

DATENSCHUTZ- UND COOKIE-RICHTLINIE

Datenschutzerklärung für VEA-Online und VEA-Extranet

Das Zürich Office befindet sich an der Seefeldstrasse 5a, 8008 Zürich.

Datenschutzhinweise zur Website

Datenschutzerklärung

Datenschutzerklärung

Verantwortliche Stelle im Sinne der Datenschutzgesetze, insbesondere der EU- Datenschutzgrundverordnung (DSGVO), ist:

Datenschutz und die EU-Datenschutzgrundverordnung

Datenschutzerklärung

Datenschutzerklärung. 1. Datenschutz auf einen Blick. 2. Allgemeine Hinweise und Pflichtinformationen. Allgemeine Hinweise

Angaben gemäß EU-Datenschutz-Grundverordnung (DSGVO)

Datenschutzerklärung Phicomm Smart Scale S7. Inhalt. (1) Einleitung

Datenschutzerklärung gem. DS-GVO der tec4u-solutions GmbH

Datenschutzerklärung. Revisionsstand 05/2018. Seite 1/5

Rechtsanwalt Christoph Bork Fachanwalt für Medizin- und Strafrecht WEIMER I BORK. Rechtsanwälte Fachanwälte

1. Datenschutz auf einen Blick

EU-Datenschutz- Grundverordnung

1 Information über die Erhebung personenbezogener Daten

Datenschutzerklärung (Mai 2018)

Unter den angegebenen Kontaktdaten unseres Datenschutzbeauftragten können Sie jederzeit folgende Rechte ausüben:

Datenschutzerklärung und Datenschutzinformationen nach der DS-GVO

Welche personenbezogenen Daten wir sammeln und warum wir sie sammeln

Informationen zur Verarbeitung personenbezogener Daten von Kunden gem. Art. 12 bis 14 der Datenschutzgrundverordnung (DSGVO) Stand

DATENSCHUTZERKLÄRUNG DER BUNDESARCHITEKTENKAMMER e.v. (BAK) ZU BEWERBUNGEN

Datenschutzerklärung Naumann Optik Schweiggerstr Nürnberg

DSGVO der EU: Auswirkungen auf Schweizer Website-Betreiber

Die verantwortliche Stelle für die Datenverarbeitung auf dieser Website ist:

Datenschutzerklärung

Verantwortliche Stelle im Sinne der Datenschutzgesetze, insbesondere der EU- Datenschutzgrundverordnung (DSGVO), ist:

Datenschutzerklärung und Informationen gemäß Art. 13 DS-GVO

Wer ist verantwortlich für die Datenerfassung auf dieser Website?

Datenschutz im Web

Als betroffene Person im Sinne der DSGVO haben Sie folgende Rechte:

DATENSCHUTZERKLÄRUNG LIEFERANTEN (SUPPLIER RELATIONSHIP MANAGEMENT; SRM) vom 25. April 2018 PERSTORP GROUP

DATENSCHUTZ in der Praxis

Die Datenverarbeitung auf dieser Website erfolgt durch den Websitebetreiber. Dessen Kontaktdaten können Sie dem Impressum dieser Website entnehmen.

Alga Pangea GmbH Thurnbichl 14 A-6345 Kössen. AP Datenschutzerklärung

Datenschutzrechtliche Bestimmungen

Verantwortlich für die Verarbeitung von personenbezogenen Daten auf dieser Website ist:

Warum sich Schweizer um die DSGVO kümmern sollten

Impressum. Aeroservice Donauwörth GmbH. Forstmahd Genderkingen. Tel.: 0906/5755. Fax: 0906/23655

Datenschutzerklärung

Die Datenverarbeitung auf dieser Website erfolgt durch den Websitebetreiber. Dessen Kontaktdaten können Sie dem Impressum dieser Website entnehmen.

2 Ihre Rechte (1) Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

Datenschutzinformation. für die Website der Schwarz Schönherr Rechtsanwälte KG

Datenschutzerklärung:

1. Information über die Erhebung personenbezogener Daten und Anbieterkennzeichnung

COBI Datenschutzrichtlinie

In dieser Datenschutzerklärung geht es um die personenbezogenen Daten meiner Kunden, die natürliche Personen sind.

Datenschutzerklärung. 1. Datenschutz auf einen Blick. Allgemeine Hinweise. Datenerfassung auf unserer Website

Quo vadis Datenschutz bei Tracking und Geolokalisation - ein Ausblick -

Rechte nach dem EKD-Datenschutzgesetz, EU-Datenschutz-Grundverordnung, Bundesdatenschutzgesetz (neu)

Verantwortliche Stelle im Sinne der Datenschutzgesetze, insbesondere der EU-Datenschutzgrundverordnung (DSGVO), ist:

Welche personenbezogenen Daten wir sammeln und warum wir sie sammeln

Datenschutzerklärung

- Welche Auswirkungen hat die neue Verordnung für den Mittelstand? -

Datenschutzerklärung

Allgemeine Hinweise Datenerfassung auf unserer Website

Informationen zur Verarbeitung personenbezogener Daten von Kunden gem. Art. 12 bis 14 der Datenschutzgrundverordnung (DSGVO) Stand

Transkript:

Datenschutz durch Technikgestaltung: Ein Plädoyer Prof. Dr. Dominik Herrmann Privacy and Security in Information Systems Group Universität Bamberg Folien: https://dhgo.to/dgri18-slides

Datenschutz durch Technikgestaltung I. Schutz durch das Recht Haben wir hilft aber nicht (immer). II. Schutz durch die Technik Nutzen wir kaum (hilft ebenfalls nicht immer). III. Technik zur Kontrolle Vielleicht hilft ja das?

I. Der Gesetzgeber lässt uns im Stich. a) Datenschutzerklärung lesen 3

90% 86% unverständlich zu lang Art. 12 (1) DSGVO [ ] in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. warum? meistens gelogen Bitkom Research (2015): h6ps://www.bitkom.org/presse/presseinforma@on/internetnutzer-gehen-pragma@sch-mit-datenschutz-um.html 4

Mai 2017 Mai 2018 4360 Wörter 6358 Wörter Beispiel: Facebook Datenrichtlinie und Cookie-Richtlinie zusammen 5

I. Der Gesetzgeber lässt uns im Stich. a) Datenschutzerklärung lesen b) In Verarbeitung einwilligen 6

scrollen möglich! 7 Comic People by @blinry (CC BY-NC 4.0)

DARK PATTERNS unethisch, aber legal Voreinstellung erscheint sehr datensparsam aber: blauer Knopf ist der richtige 8

I. Der Gesetzgeber lässt uns im Stich. a) Datenschutzerklärung lesen b) In Verarbeitung einwilligen c) Auskun9srecht wahrnehmen 9

Wie reagieren Anbieter auf Auskunftsanfragen? Evaluation von 120 Webseiten und 150 Apps Registrierung Paul Meier Vogt-Kölln-Str. 30 22527 Hamburg paul.meier@barmail.de Mobil: 0151-21512491 geb. am 05.03.1981 Sender: An: Paul Meier <paul.meier@barmail.de> Datenschutzbeauftragter (sonst: Kunden-Support) informelle Anfrage Hiermit Sehr geehrte fordere Damen ich Sie und gem. Herren, 34 BDSG auf mir Auskun[ zu erteilen, welche Daten über mich bzw. mein Profil paul.meier@barmail.de ich würde mich gerne darüber bei Ihnen informieren, gespeichert welche sind Daten und zu welchem Sie über mein Zweck Profil ( 34 paul.meier@barmail.de I-III BDSG i.v.m. 6 II, gespeichert 28 Abs. 4) haben und wie diese verwendet werden. Bitte lassen Sie Für mir diese Erledigung Informationen setze ich zeitnah Frist zukommen. auf den [+ 7 Tage]. Nach fruchtlosem Ablauf der Frist behalte ich mir vor, die für Sie zuständige Mit freundlichen Aufsichtsbehörde Grüßen gem. 38 BDSG einzuschalten. Paul Meier 10

Wie reagieren Anbieter auf Auskun0sanfragen? Evalua&on von 120 Webseiten und 150 Apps Registrierung Paul Meier Vogt-Kölln-Str. 30 22527 Hamburg paul.meier@barmail.de Mobil: 0151-21512491 geb. am 05.03.1981 Sender: An: Paul Meier <paul.meier@barmail.de> Datenschutzbeauftragter (sonst: Kunden-Support) informelle Anfrage keine akzeptable Antwort innerhalb 1 Woche? formale Anfrage Sehr Hiermit geehrte fordere Damen ich Sie und gem. Herren, 34 BDSG auf mir Auskunft zu erteilen, welche Daten über mich bzw. mein Profil ich paul.meier@barmail.de würde mich gerne darüber bei Ihnen informieren, gespeichert welche sind Daten und zu Sie welchem über mein Zweck Profil ( 34 paul.meier@barmail.de I-III BDSG i.v.m. 6 II, gespeichert 28 Abs. 4) haben und wie diese verwendet werden. Bitte lassen Sie mir Für diese Erledigung Informationen setze ich zeitnah Frist zukommen. auf den [+ 7 Tage]. Nach fruchtlosem Ablauf der Frist behalte ich mir vor, die für Sie Mit zuständige freundlichen Aufsichtsbehörde Grüßen gem. 38 BDSG Paul einzuschalten. Meier 11

Wie reagieren Anbieter auf Auskun0sanfragen? Evalua&on von 120 Webseiten und 150 Apps Registrierung Paul Meier Vogt-Kölln-Str. 30 22527 Hamburg paul.meier@barmail.de Mobil: 0151-21512491 geb. am 05.03.1981 Fake-Anfrage keine akzeptable Antwort innerhalb 1 Woche? Sender: An: Paul Meier <paul.meier@fair-konsult.de> <paul.meier@barmail.de> Datenschutzbeauftragter (sonst: Kunden-Support)! informelle Anfrage keine akzeptable Antwort innerhalb 1 Woche? formale Anfrage Hiermit Sehr geehrte fordere Damen ich Sie und gem. Herren, 34 BDSG auf mir Auskunft zu erteilen, welche Daten über mich bzw. mein Profil paul.meier@barmail.de ich würde mich gerne darüber bei Ihnen informieren, gespeichert welche sind Daten und zu welchem Sie über mein Zweck Profil ( 34 paul.meier@barmail.de I-III BDSG i.v.m. 6 II, gespeichert 28 Abs. 4) haben und wie diese verwendet werden. Biee Bitte lassen Sie Für mir diese Erledigung Informationen Informa&onen setze ich zeitnah Frist zukommen. auf den [+ 7 Tage]. Nach fruchtlosem Ablauf der Frist behalte ich mir vor, die für Sie zuständige Mit freundlichen Aufsichtsbehörde Grüßen gem. 38 BDSG einzuschalten. Paul Meier 12

Ergebnisse für Datenauskunft bei Webseiten Fake-Anfrage OK (0.18) 0.07 informelle Anfrage OK (0.28) unvollständig keine Reaktion (0.43) 0.02Ausk. verweigert (0.30) Konto verschwunden unvollständ. (0.28) 0.01 keine Reaktion (0.31) 0.07 0.05 formale Anfrage OK (0.43) nicht erreichbar unvollst. k. Reaktion (0.23) 0.08 0.08 0.16 0.01 verweigert D. Herrmann and J. Lindemann: Obtaining personal data and asking for erasure: Do app vendors and website owners honour your privacy rights? Proc. Sicherheit 2016, LNI P-256, GI, 2016. 13

Art und Umfang der ausgestellten Auskünfte variiert erheblich. 14

CODE IS LAW Lawrence Lessig https://www.harvardmagazine.com/2000/01/code-is-law-html 15

II. Schutz durch Technik Privacy Enhancing Technologies: 40 Jahre Forschung, kaum Transfer in die Praxis 16

Hürden: fehlende Anreize, hoher Aufwand, Komfortverlust und dann funktioniert es nicht einmal zuverkässig. unilaterale Systeme Privacy by Design bilaterale Systeme multilaterale Systeme für Nerds Warum sollte ich mehr Aufwand betreiben als nötig? Oft nur Pseudonymisierung oder unzureichende Anonymisierung. hohe Komplexität siehe Tor-Netz und DifferenHal Privacy https://www.priv.gc.ca/en/opc-actions-and-decisions/research/explore-privacy-research/2017/pet_201711/ 17

Anderer Ansatz: Technik hil2 bei der Ausübung der Rechte des Betroffenen Text-Mining in Privacy Policies Untersützung bei Datenauskunft siehe auch selbstauskunft.net 18

III. Technik zur Kontrolle a) Google Analytics rechtskonform nutzen 19

Aus einer Datenschutzerklärung Comic People by @blinry (CC BY-NC 4.0) 20

Nur ein Einzelfall? Überprüfung der ersten 100 Seiten: 48 nutzen Google Analy=cs gar nicht 25 nutzen es, aber ohne IP-Masking! Laufende Studie (1,3 Mio. DE-Seiten): ca. 13% ohne korrektes IP-Masking 21

unwirksam da vertauscht Comic People by @blinry (CC BY-NC 4.0) 22

Wer sanktioniert die vielen kleinen Verstöße? Wiederkehrende Durchführung nötig. Google Analytics ist nur ein Aspekt. 23

III. Technik zur Kontrolle a) Google Analytics rechtskonform nutzen b) PrivacyScore 24

Ziel: öffentliche Benchmarks, um Anreize für Betreiber zu schaffen, den Schutz der Privatsphäre zu verbessern. Jeder kann Listen von Webseiten hochladen und das Ranking beeinflussen. Open Source (GPLv3+) und Open Data 25

Tests von PrivacyScore Privatsphäre und Tracking Verschlüsselung Webserver Verschlüsselung Mailserver andere Angriffe Third Parties Bekannte Tracker Server-Standorte HTTPS/STARTTLS verfügbar? Zertifikat: gültig / Schlüssellänge Unsichere Protokolle: SSLv3, Schwachstellen: Heartbleed, Referer-Policy Security-Header Sicherheitslücken HSTS HPKP AutomaJsche Umleitung zu HTTPS server-status.svn server.key backup.sql.git 26

Detail-Ergebnisse

Kontroverser Ansatz: Überprüfung und Veröffentlichung der Ergebnisse Auf [ ] unserer Homepage werden [ ] personenbezogene Daten gespeichert. [ ] über Sicherheitstests [bin] ich nicht amüsiert [und] darf Sie bitten, derartige Tests künftig zu unterlassen [ ] anderenfalls [stelle ich] eine Strafanzeige nach 202a StGB. 11.06.2018 aber: Betrieb in Deutschland legal möglich auch ohne Einwilligung des Anbieters :-) Ethische Abwägung: Transparenz hilft u.u. auch Angreifern (eigtl. gut: zusätzlicher Anreiz!) Maass, M., Laubach, A. & Herrman, D., (2017). PrivacyScore: Analyse von Webseiten auf Sicherheits- und Privatheitsprobleme Konzept und rechtliche Zulässigkeit. In: Eibl, M. & Gaedke, M. (Hrsg.), INFORMATIK 2017. GI, Bonn (S. 1049-1060). 30

Datenschutz durch Technikgestaltung Prof. Dr. Dominik Herrmann Universität Bamberg Kontrolle Recht Schutz wird umgangen Technik Schutz ist mühsam Folien: https://dhgo.to/dgri18-slides @herdom auf Twitter

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback