Datenschutz durch Technikgestaltung: Ein Plädoyer Prof. Dr. Dominik Herrmann Privacy and Security in Information Systems Group Universität Bamberg Folien: https://dhgo.to/dgri18-slides
Datenschutz durch Technikgestaltung I. Schutz durch das Recht Haben wir hilft aber nicht (immer). II. Schutz durch die Technik Nutzen wir kaum (hilft ebenfalls nicht immer). III. Technik zur Kontrolle Vielleicht hilft ja das?
I. Der Gesetzgeber lässt uns im Stich. a) Datenschutzerklärung lesen 3
90% 86% unverständlich zu lang Art. 12 (1) DSGVO [ ] in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. warum? meistens gelogen Bitkom Research (2015): h6ps://www.bitkom.org/presse/presseinforma@on/internetnutzer-gehen-pragma@sch-mit-datenschutz-um.html 4
Mai 2017 Mai 2018 4360 Wörter 6358 Wörter Beispiel: Facebook Datenrichtlinie und Cookie-Richtlinie zusammen 5
I. Der Gesetzgeber lässt uns im Stich. a) Datenschutzerklärung lesen b) In Verarbeitung einwilligen 6
scrollen möglich! 7 Comic People by @blinry (CC BY-NC 4.0)
DARK PATTERNS unethisch, aber legal Voreinstellung erscheint sehr datensparsam aber: blauer Knopf ist der richtige 8
I. Der Gesetzgeber lässt uns im Stich. a) Datenschutzerklärung lesen b) In Verarbeitung einwilligen c) Auskun9srecht wahrnehmen 9
Wie reagieren Anbieter auf Auskunftsanfragen? Evaluation von 120 Webseiten und 150 Apps Registrierung Paul Meier Vogt-Kölln-Str. 30 22527 Hamburg paul.meier@barmail.de Mobil: 0151-21512491 geb. am 05.03.1981 Sender: An: Paul Meier <paul.meier@barmail.de> Datenschutzbeauftragter (sonst: Kunden-Support) informelle Anfrage Hiermit Sehr geehrte fordere Damen ich Sie und gem. Herren, 34 BDSG auf mir Auskun[ zu erteilen, welche Daten über mich bzw. mein Profil paul.meier@barmail.de ich würde mich gerne darüber bei Ihnen informieren, gespeichert welche sind Daten und zu welchem Sie über mein Zweck Profil ( 34 paul.meier@barmail.de I-III BDSG i.v.m. 6 II, gespeichert 28 Abs. 4) haben und wie diese verwendet werden. Bitte lassen Sie Für mir diese Erledigung Informationen setze ich zeitnah Frist zukommen. auf den [+ 7 Tage]. Nach fruchtlosem Ablauf der Frist behalte ich mir vor, die für Sie zuständige Mit freundlichen Aufsichtsbehörde Grüßen gem. 38 BDSG einzuschalten. Paul Meier 10
Wie reagieren Anbieter auf Auskun0sanfragen? Evalua&on von 120 Webseiten und 150 Apps Registrierung Paul Meier Vogt-Kölln-Str. 30 22527 Hamburg paul.meier@barmail.de Mobil: 0151-21512491 geb. am 05.03.1981 Sender: An: Paul Meier <paul.meier@barmail.de> Datenschutzbeauftragter (sonst: Kunden-Support) informelle Anfrage keine akzeptable Antwort innerhalb 1 Woche? formale Anfrage Sehr Hiermit geehrte fordere Damen ich Sie und gem. Herren, 34 BDSG auf mir Auskunft zu erteilen, welche Daten über mich bzw. mein Profil ich paul.meier@barmail.de würde mich gerne darüber bei Ihnen informieren, gespeichert welche sind Daten und zu Sie welchem über mein Zweck Profil ( 34 paul.meier@barmail.de I-III BDSG i.v.m. 6 II, gespeichert 28 Abs. 4) haben und wie diese verwendet werden. Bitte lassen Sie mir Für diese Erledigung Informationen setze ich zeitnah Frist zukommen. auf den [+ 7 Tage]. Nach fruchtlosem Ablauf der Frist behalte ich mir vor, die für Sie Mit zuständige freundlichen Aufsichtsbehörde Grüßen gem. 38 BDSG Paul einzuschalten. Meier 11
Wie reagieren Anbieter auf Auskun0sanfragen? Evalua&on von 120 Webseiten und 150 Apps Registrierung Paul Meier Vogt-Kölln-Str. 30 22527 Hamburg paul.meier@barmail.de Mobil: 0151-21512491 geb. am 05.03.1981 Fake-Anfrage keine akzeptable Antwort innerhalb 1 Woche? Sender: An: Paul Meier <paul.meier@fair-konsult.de> <paul.meier@barmail.de> Datenschutzbeauftragter (sonst: Kunden-Support)! informelle Anfrage keine akzeptable Antwort innerhalb 1 Woche? formale Anfrage Hiermit Sehr geehrte fordere Damen ich Sie und gem. Herren, 34 BDSG auf mir Auskunft zu erteilen, welche Daten über mich bzw. mein Profil paul.meier@barmail.de ich würde mich gerne darüber bei Ihnen informieren, gespeichert welche sind Daten und zu welchem Sie über mein Zweck Profil ( 34 paul.meier@barmail.de I-III BDSG i.v.m. 6 II, gespeichert 28 Abs. 4) haben und wie diese verwendet werden. Biee Bitte lassen Sie Für mir diese Erledigung Informationen Informa&onen setze ich zeitnah Frist zukommen. auf den [+ 7 Tage]. Nach fruchtlosem Ablauf der Frist behalte ich mir vor, die für Sie zuständige Mit freundlichen Aufsichtsbehörde Grüßen gem. 38 BDSG einzuschalten. Paul Meier 12
Ergebnisse für Datenauskunft bei Webseiten Fake-Anfrage OK (0.18) 0.07 informelle Anfrage OK (0.28) unvollständig keine Reaktion (0.43) 0.02Ausk. verweigert (0.30) Konto verschwunden unvollständ. (0.28) 0.01 keine Reaktion (0.31) 0.07 0.05 formale Anfrage OK (0.43) nicht erreichbar unvollst. k. Reaktion (0.23) 0.08 0.08 0.16 0.01 verweigert D. Herrmann and J. Lindemann: Obtaining personal data and asking for erasure: Do app vendors and website owners honour your privacy rights? Proc. Sicherheit 2016, LNI P-256, GI, 2016. 13
Art und Umfang der ausgestellten Auskünfte variiert erheblich. 14
CODE IS LAW Lawrence Lessig https://www.harvardmagazine.com/2000/01/code-is-law-html 15
II. Schutz durch Technik Privacy Enhancing Technologies: 40 Jahre Forschung, kaum Transfer in die Praxis 16
Hürden: fehlende Anreize, hoher Aufwand, Komfortverlust und dann funktioniert es nicht einmal zuverkässig. unilaterale Systeme Privacy by Design bilaterale Systeme multilaterale Systeme für Nerds Warum sollte ich mehr Aufwand betreiben als nötig? Oft nur Pseudonymisierung oder unzureichende Anonymisierung. hohe Komplexität siehe Tor-Netz und DifferenHal Privacy https://www.priv.gc.ca/en/opc-actions-and-decisions/research/explore-privacy-research/2017/pet_201711/ 17
Anderer Ansatz: Technik hil2 bei der Ausübung der Rechte des Betroffenen Text-Mining in Privacy Policies Untersützung bei Datenauskunft siehe auch selbstauskunft.net 18
III. Technik zur Kontrolle a) Google Analytics rechtskonform nutzen 19
Aus einer Datenschutzerklärung Comic People by @blinry (CC BY-NC 4.0) 20
Nur ein Einzelfall? Überprüfung der ersten 100 Seiten: 48 nutzen Google Analy=cs gar nicht 25 nutzen es, aber ohne IP-Masking! Laufende Studie (1,3 Mio. DE-Seiten): ca. 13% ohne korrektes IP-Masking 21
unwirksam da vertauscht Comic People by @blinry (CC BY-NC 4.0) 22
Wer sanktioniert die vielen kleinen Verstöße? Wiederkehrende Durchführung nötig. Google Analytics ist nur ein Aspekt. 23
III. Technik zur Kontrolle a) Google Analytics rechtskonform nutzen b) PrivacyScore 24
Ziel: öffentliche Benchmarks, um Anreize für Betreiber zu schaffen, den Schutz der Privatsphäre zu verbessern. Jeder kann Listen von Webseiten hochladen und das Ranking beeinflussen. Open Source (GPLv3+) und Open Data 25
Tests von PrivacyScore Privatsphäre und Tracking Verschlüsselung Webserver Verschlüsselung Mailserver andere Angriffe Third Parties Bekannte Tracker Server-Standorte HTTPS/STARTTLS verfügbar? Zertifikat: gültig / Schlüssellänge Unsichere Protokolle: SSLv3, Schwachstellen: Heartbleed, Referer-Policy Security-Header Sicherheitslücken HSTS HPKP AutomaJsche Umleitung zu HTTPS server-status.svn server.key backup.sql.git 26
Detail-Ergebnisse
Kontroverser Ansatz: Überprüfung und Veröffentlichung der Ergebnisse Auf [ ] unserer Homepage werden [ ] personenbezogene Daten gespeichert. [ ] über Sicherheitstests [bin] ich nicht amüsiert [und] darf Sie bitten, derartige Tests künftig zu unterlassen [ ] anderenfalls [stelle ich] eine Strafanzeige nach 202a StGB. 11.06.2018 aber: Betrieb in Deutschland legal möglich auch ohne Einwilligung des Anbieters :-) Ethische Abwägung: Transparenz hilft u.u. auch Angreifern (eigtl. gut: zusätzlicher Anreiz!) Maass, M., Laubach, A. & Herrman, D., (2017). PrivacyScore: Analyse von Webseiten auf Sicherheits- und Privatheitsprobleme Konzept und rechtliche Zulässigkeit. In: Eibl, M. & Gaedke, M. (Hrsg.), INFORMATIK 2017. GI, Bonn (S. 1049-1060). 30
Datenschutz durch Technikgestaltung Prof. Dr. Dominik Herrmann Universität Bamberg Kontrolle Recht Schutz wird umgangen Technik Schutz ist mühsam Folien: https://dhgo.to/dgri18-slides @herdom auf Twitter