Vorlesung Datenschutz - WS 2019/2020 Durchführung: Unabhängiges ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Vorlesung Datenschutz
WS 2019/2020
Durchführung:
Beschäftigte des Unabhängigen Landeszentrums für
Datenschutz Schleswig-Holstein (ULD), Kiel
Ansprechpartner:
Benjamin Bremert
Rechtsauffassungen sind solche der jeweiligen
Referentinnen und Referenten.
Vorlesung Datenschutz CAU WS 2019/2020
Datenschutz und Technik III
– Datenschutzfördernde Technik –
Vorlesung am 25.11.2019
Marit Hansen
Unabhängiges Landeszentrum für Datenschutz
Schleswig-Holstein, Kiel
Rechtsauffassungen sind solche der Referentin.
Überblick
• Gewährleistungsziele für datenschutzfördernde Technik
• Anforderungen aus der Europäischen Datenschutz-
Grundverordnung
• Beispiele und Diskussion
3
Datenschutz und Datensicherheit
Datenschutz Datensicherheit
• Schutz der Menschen vor • Schutz der
Missbrauch ihrer Daten(verarbeitung) vor
personenbezogenen unberechtigten Zugriffen
Daten und vor Zerstörung
• Datenschutz-Schutzziele: • Klassische Schutzziele der
Datensicherheit: „CIA“
Nicht-Verkettbarkeit Vertraulichkeit (Confidentiality)
Transparenz Integrität (Integrity)
Intervenierbarkeit Verfügbarkeit (Availability)
4
Gewährleistungsziele im Standard-DS-Modell →
TOMs
Vertraulichkeit Nichtverkettung
Klassische Schutzziele + Datenminimierung
der IT-Sicherheit
Integrität Intervenierbarkeit
Transparenz Verfügbarkeit
5
Was sind Privacy-Enhancing Technologies?
“Privacy-Enhancing Technologies (PET)
are a coherent system of ICT measures
that protects privacy [...]
by eliminating or reducing personal data or
by preventing unnecessary and/or
undesired processing of personal data;
all without losing the functionality
of the data system.”
Borking / Raab (2001)
6
Privacy-Enhancing Technologies (PETs) –
erweiterte Sicht
“The use of PETs can help to design information
and communication systems and services
in a way that minimises the collection and
use of personal data and
facilitate compliance with data protection rules.
The use of PETs should result in making breaches
of certain data protection rules more difficult
and/or helping to detect them.”
European Commission, MEMO/07/159
7
Anforderungen aus der Europäischen
Datenschutz-Grundverordnung
8
Vorbemerkung:
Wichtigkeit von „by Design“
Erwägungsgrund 4
„The processing of personal data should be designed
to serve mankind. […]“
9
Anforderungen der DSGVO zum
technischen Datenschutz
• Art. 32 DSGVO „Sicherheit der Verarbeitung“
• Art. 25 DSGVO „Datenschutz durch Technikgestaltung und durch
datenschutzfreundliche Voreinstellungen“
• Instrumente und Pflichten
Datenschutz-Folgenabschätzung (Art. 35 DSGVO)
Meldung von Datenschutz-Vorfällen (Art. 33+Art. 34 DSGVO)
• Begriffe
„Risiko für die Rechte und Freiheiten natürlicher Personen“
„Stand der Technik“
Vorhandensein geeigneter Garantien wie „Verschlüsselung oder
Pseudonymisierung“
10Datenschutz „by Design“ & „by Default“
• Art. 25 EU-Datenschutz-Grundverordnung
• Richtet sich primär an: Verantwortliche
• Indirekt (!): Hersteller von IT-Systemen
• Ziel: Gestaltung von Systemen + Diensten
von Anfang an über den gesamten Lebenszyklus
a) datensparsam
b) mit möglichst datenschutzfreundlichen Voreinstellungen
11Datenschutz durch Technikgestaltung
Artikel 25 Datenschutz durch Technikgestaltung […]
(1) Unter Berücksichtigung Viele möglicherweise
begrenzende Bedingungen! ↑↓
des Stands der Technik,
der Implementierungskosten und
der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung
sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere
der mit der Verarbeitung verbundenen Risiken für die Rechte und
Freiheiten natürlicher Personen
trifft der Verantwortliche sowohl zum Zeitpunkt der Festlegung der Mittel für die Verarbeitung
als auch zum Zeitpunkt der eigentlichen Verarbeitung geeignete technische und
organisatorische Maßnahmen – wie z. B. Pseudonymisierung – trifft, die dafür ausgelegt sind,
die Datenschutzgrundsätze wie etwa Datenminimierung wirksam umzusetzen und die
notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen dieser
Verordnung zu genügen und die Rechte der betroffenen Personen zu schützen.
12Datenschutz durch datenschutzfreundliche
Voreinstellungen
Artikel 25 […] durch datenschutzfreundliche Voreinstellungen
Betont das Erforderlichkeits-
prinzip (Artikel 5)
(2) Der Verantwortliche trifft geeignete technische und
organisatorische Maßnahmen, die sicherstellen, dass durch
Voreinstellung grundsätzlich nur personenbezogene Daten, deren
Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck
erforderlich ist, verarbeitet werden. Diese Verpflichtung gilt für die
Menge der erhobenen personenbezogenen Daten, den Umfang ihrer
Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit.
Solche Maßnahmen müssen insbesondere sicherstellen, dass
personenbezogene Daten durch Voreinstellungen nicht ohne
Eingreifen der Person einer unbestimmten Zahl von natürlichen
Personen zugänglich gemacht werden.
Nicht nur minimaler Datenkatalog;
auch generelle Risikominimierung
13Best Practices „Datenschutz by Default“
Grundentscheidung: Personenbezogenes Tracking:
• Was ist überhaupt vom • Grundsätzlich zu
Nutzer konfigurierbar? deaktivieren
• Anonyme Analysen
In Social Networks: möglich
• Keine personenbezogenen
Daten für alle sichtbar, Personalisierte Dienste:
wenn nicht vom Nutzer • Nutzer-Entscheidung für
aktiv bestimmt Dienst-Nutzung
• Bewusste Nutzer- • Dann Default im Rahmen
Entscheidung, welche der Erforderlichkeit
„Friends“ Zugriff haben
14„… by Default“:
Drei Fälle der (Vor-)Konfiguration
„One size fits all“ vs. Funktionalität/ “by design”
zielgruppenspezifischem „Default“, Systemverhalten
z.B. für Kinder
Duch Nutzerin
Ja konfigurierbar?
Nein
Ja Vorkonfiguriert? Nein
Voreinstellung; Keine Voreinstellung; Eingebaut;
Änderung durch Auswahl der Nutzerin Keine Auswahl
Nutzerin möglich möglich oder notwendig durch Nutzerin
Welche Einstellung?
Wer hat entschieden?
Wer hat entschieden? Welche Einstellung?
Wann und wie ist Einstellung
Wann und wie sind Wer hat entschieden?
möglich?
Änderungen möglich?
Bsp.: anonyme Nutzung, Bsp.: Auswahl des Bsp.: verschlüsselte
kein Tracking Bezahl-Systems Kommunikation
s.a.: Marit Hansen: Data Protection by Default
in Identity-Related Applications. Proc. IDMAN
15
2013, IFIP AICT 396, S. 4-17.Heutiges Internet-Modell
„Free“-Modell mit dem
Startpunkt „Datenschutz
by Default“ noch
denkbar?
http://geek-and-poke.com/geekandpoke/
2010/12/21/the-free-model.html
16Datenschutz „by Design“ & „by Default“
gemäß Erwägungsgrund 78 DS-GVO
• Nachweis durch interne Strategien & t+o Maßnahmen, u.a.
Datenminimierung
Schnellstmögliche Pseudonymisierung
Transparenz in Bezug auf Funktionen+Verarbeitung
Ermöglichung der Überwachung der Verarbeitung
durch die betroffenen Personen
Ermöglichung für Sicherheitsfunktionen
„on top“ durch Verantwortlichen
• Ermutigung für Hersteller
• Berücksichtigung in öffentlichen
Ausschreibungen
17Dashboard für eigene Eingebauter Datenschutz:
Verwaltungsdaten Technik
Auskunftsportal/
Datenbrief Schnittstellen zu
Selbstdatenschutz-Tools
Dezentralisierung/
lokal Maschinenlesbare
Policies
Datentrennung
Anonymisierung &
Unterschiedliche IDs Pseudonymisierung
für Nichtverkettung
Aggregation
& Unschärfen
Metadaten-Entfernung
Zwei-Faktor-
Automatisches Löschen Authentifizierung
(und Nicht-Sammeln) Einfache Sprache
und Bilder Verschlüsselung
Datensparsame
Formulare Kein Freitext Zweckkennzeichnung
Bild: Gerd Altmann via Pixabay 18Eingebauter Datenschutz:
Standardisierung
Prozesse
Zertifizierung
Umfassendes
Datenschutz-
management Open-Source-
Strategie
Datenschutz-
Folgenabschätzungen
Datenschutz
als Bedingung
Datenschutz- für Förderung
beauftragter
Datenschutz in
Ausschreibungen
Prozesse für
Betroffenenrechte
Festgelegte
Verantwortlichkeiten
Bild: Gerd Altmann via Pixabay 19Beispiel:
Videoüberwachung nach der DSGVO
Sichere und datenschutzfreundliche Gestaltung
Bei der Auswahl, der Installation und dem Betrieb von
Videoüberwachungssysteme ist auf die sichere (Art. 32 DSGVO) und
datenschutzfreundliche (Art. 25 DSGVO) Gestaltung zu achten.
Insbesondere muss der Verantwortliche prüfen, inwieweit eine
Videoüberwachung zeitlich eingeschränkt werden kann und welche
Bereiche der Überwachung ausgeblendet oder verpixelt werden
können.
Schon bei der Beschaffung der Videotechnik sollte auf „eingebauten
Datenschutz“ geachtet werden. Nicht benötigte Funktionalität (z. B.
freie Schwenkbarkeit, umfassende Überwachung per Dome-Kamera,
Zoomfähigkeit, Funkübertragung, Internetveröffentlichung,
Audioaufnahme) sollte von der beschafften Technik nicht unterstützt
oder zumindest bei der Inbetriebnahme deaktiviert werden.
20Beispiel:
Transparenz-Unterstützung
Datenschutzfördernde Technik
für Transparenz?
z.B. maschinenlesbare Information
Tätigkeitsbericht
2019 des ULD S-H,
Tz. 6.1.4:
https://uldsh.de/tb37
21Beispiel:
Wenn der Markt nichts hergibt, zumindest
Transparenz
Datenschutzfördernde Technik?
Im Gegenteil!
Hinweis auf „Yellow dots“
am Farbkopierer
Tätigkeitsbericht
2019 des ULD S-H,
Tz. 10.4:
https://uldsh.de/tb37
ULD (2019): Report „Vorsicht: Yellow Dots!
Versteckte Informationen in Farbkopien“,
https://www.datenschutzzentrum.de/
artikel/1274-Yellow-Dots.html
22Beispiel: Anonymisierung /
Pseudonymisierung
23Identifizierbarkeit ↔ Anonymität
Verschiedene Abstufungen des Personenbezugs:
Wem gegenüber wie anonym?
Identifizierbarkeit Anonymität
wer bestimmt Zuordnung Berechtigungen ...
Pseudonym? aufdeckbar? enthalten?
einer Person Gebrauch
fest zugeordnet? verkettbar?
24Begriffe in der DSGVO: Pseudonymisierung
Art. 4 Nr. 5 DSGVO:
„Pseudonymisierung“ die Verarbeitung personenbezogener
Daten in einer Weise, dass die personenbezogenen Daten
ohne Hinzuziehung zusätzlicher Informationen nicht
mehr einer spezifischen betroffenen Person zugeordnet
werden können,
↓ gezielte Nichtverfügbarkeit
sofern diese zusätzlichen Informationen gesondert
aufbewahrt werden und technischen und organisatorischen
Maßnahmen unterliegen, die gewährleisten, dass die
personenbezogenen Daten nicht einer identifizierten oder
identifizierbaren natürlichen Person zugewiesen werden;
25Begriffe in der DSGVO: Pseudonymisierung
Art. 4 Nr. 5 DSGVO (visualisiert)
26
Bild: Benjamin Walczak (ULD)Unterschiede Pseudo-/Anonymisierung
Pseudonymisierung Anonymisierung
Verarbeitung dergestalt, dass Verarbeitung dergestalt, dass
aus personenbezogenen Daten [Input] aus personenbezogenen Daten [Input]
veränderte Daten veränderte Daten ohne Personenbezug
(pseudonymisierte Daten) [Output] (anonymisierte Daten) [Output]
werden, werden.
die dann nur mit Hilfe „zusätzlicher
Informationen“ einer spezifischen
Person zugeordnet werden können.
(Pseudonymisierung ist selbst (Anonymisierung ist selbst
Verarbeitung i.S.d. DSGVO.) Verarbeitung i.S.d. DSGVO.)
weiterhin
personenbezogen!
27Begriffe in der DSGVO:
anonymisiert/anonym
Erwägungsgrund 26 DSGVO:
[…] Die Grundsätze des Datenschutzes sollten daher nicht
für anonyme Informationen gelten, d. h. für Informationen,
die sich nicht auf eine identifizierte oder identifizierbare
natürliche Person beziehen,
oder personenbezogene Daten, die in einer Weise
anonymisiert worden sind, dass die betroffene Person nicht
oder nicht mehr identifiziert werden kann.
Diese Verordnung betrifft somit nicht die Verarbeitung
solcher anonymer Daten, auch für statistische oder für
Forschungszwecke.
28Weiterhin wertvoll:
WP 216 der Art. 29-Datenschutzgruppe
• Art. 29 Data Protection Working Party:
Opinion 05/2014 on "Anonymisation Techniques” (WP 216)
https://ec.europa.eu/justice/article-29/documentation/opinion-
recommendation/files/2014/wp216_en.pdf
• Drei Risiken, die zur Identifizierung von Personen führen können:
Singling out
Linkability
Inference
• Anonymisierung möglich durch „randomization and generalization“
• Vielfache Möglichkeiten der Pseudonymisierung
29Schutz gegen unberechtigte Zugriffe
towo™
30Warum Verschlüsselung nicht reicht
Anwältin Müller
Kanzlei FUSION & Co.
Kommunikationsbeziehungen lassen
Rückschlüsse auf Kommunikationsinhalte zu. AN.ON
31Der einfache Anonymisierungs-Proxy
… weiß alles!
32Hintereinanderschaltung von
Anonymisierungs-Proxies
… mit Verschlüsselung bewirkt Aufteilung der Information:
keiner weiß alles!
33MIX 1 MIX 2
Anonymität mit
Mix-Rechnern
(David Chaum 1981)
34„Anonymizer“
• Anonymisierer, z.B.
AN.ON auf Ebene der
IP-Adressen
• Eine technische
Anonymitätsmethode:
„Gleichmacherei“,
denn viele Nutzer teilen
sich dieselben Proxies
(und Ketten von Proxies
(„Mix-Kaskaden“))
35Beispiel: Attributbasierte Credentials
36Normalfall: Verkettbare Informationen
Driver's License
Insurance
Cars
Folie von Jan Camenisch, 37
IBM Research ZürichDatensparsamkeit durch attributbasierte
Credentials
Driver's License
Insurance
Vertrauens-
würdiger
Dritter
Cars
Folie von Jan Camenisch, 38
IBM Research ZürichBeispiel: Attributbasierte Credentials
in der Schulkommunikation
https://abc4trust.eu/soederhamn
39Best Practice „Datenminimierung“:
Authentifikation ohne Identifikation
Vorab Prüfen der Anforderungen: Information auch
Welche Daten sind wirklich erforderlich? ohne pb Daten
Vollständige Daten: Minimale Daten:
Oft sind nicht alle Daten
erforderlich Attribute-based Credentials
Symbolbild (nicht belgischer Ausweis) 40Sie können auch lesen
