Privacy by Design in der Praxis - computas.de · Datenschutz „by Design“ & „by Default“ • Anforderung aus Art. 25 EU-Datenschutz-Grundverordnung • Richtet sich

Privacy by Design in der Praxis

Marit HansenLandesbeauftragte für Datenschutz

Schleswig-Holstein

Berlin, 14.06.2016

www.datenschutzzentrum.de

Überblick

• Datenschutz durch Technik: mehr als Datensicherheit

• Anforderungen der EU-Datenschutz-Grundverordnung

• Das Standard-Datenschutzmodell als Kompass für die Praxis

• Systemgestaltung mit Datenschutz: vom Minimum zum Optimum

• Best-Practice-Beispiele

• FazitPrivacy by Design in der Praxis 2


Beim Datenschutz geht es um Daten


Menschenmit ihrenRechten

Photo: Ashtyn Renee

Prüffragen bei der Gestaltung:

• Auswirkungen auf Menschen?

• Auswirkungen auf die Gesellschaft?

3



Foto: Hernán Piñera

Datenschutznötig:

Machtgefälle

Wichtig:verschiedenePerspektiven

4


Perspektive: Alice & Bob


IT-Sicherheit: Der Angreifer ist Eve (oder Mallory).

Datenschutz: Der Angreifer ist Bob!(Jedenfalls auch.)

DV als Eingriff in Grundrechte:„Eingreifer“

5


Überblick






• FazitPrivacy by Design in der Praxis 6


Datenschutz „by Design“ & „by Default“

• Anforderung aus Art. 25 EU-Datenschutz-Grundverordnung

• Richtet sich primär an: Datenverarbeiter (auch im Auftrag) + (nur indirekt!) Hersteller von IT-Systemen

• Ziel: Gestaltung von Systemen + Dienstenvon Anfang an über den gesamten Lebenszyklusa) datensparsamb) mit möglichst datenschutzfreundlichen Voreinstellungen

Privacy by Design in der Praxis 7


Datenschutz „by Design“in der DS-GVO: Art. 25


Maßstab: • Stand der Technik,• Implementierungskosten,• Verarbeitung, • Risiken

Bsp.: Pflicht zurPseudonymisierung? 8


Datenschutz „by Default“in der DS-GVO: Art. 25


Unklar: Unterschied zumErforderlichkeitsprinzip(Artikel 5)?

Bsp.: SocialNetworks

9


Datenschutz „by Design“ & „by Default“gemäß Erwägungsgrund 78 DS-GVO

• Nachweis durch interne Strategien & t+o Maßnahmen, u.a.

Datenminimierung

Schnellstmögliche Pseudonymisierung

Transparenz in Bezug auf Funktionen+Verarbeitung

Ermöglichung der Überwachung der Verarbeitung durch den Betroffenen

Ermöglichung für Sicherheitsfunktionen durch Verantwortlichen

• Ermutigung für Hersteller

• Berücksichtigung in öffentlichen Ausschreibungen!Privacy by Design in der Praxis 10



Sicherheit:Art. 32

Maßstab: • Stand der Technik,• Implementierungs-

kosten,• Verarbeitung, • Risiken

Lebenszyklus: regelmäßige Überprüfung

Wieder Pseudonymisierung

11


Pseudonymisierung à la DS-GVO

Art. 4 BegriffsbestimmungenIm Sinne dieser Verordnung bezeichnet der Ausdruck:[…]5. „Pseudonymisierung“ die Verarbeitung personenbezogener

Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden;


• Referenzliste• Verschlüsselung• Hashfunktion mit

großem Wertebereich?

12


Datenschutz-Folgenabschätzung: Art. 35


• Nicht immer Pflicht• Verfahren nicht genau

vorgegeben

13


Geldbußen: Art. 83



Lösungsansatz: Einsatz von Privacy-Enhancing Technologies (PETs)


“The use of PETs can help to design information

and communication systems and services

in a way that minimises the collection and

use of personal data and

facilitate compliance with data protection rules.

The use of PETs should result in making breaches

of certain data protection rules more difficult

and/or helping to detect them.”

European Commission, MEMO/07/159

15


PETs und ihr Reifegrad: State of the Art?


https://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/privacy-and-data-protection-by-design (2014)

https://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/pets (2015)

PETs sind ein Baustein der Lösung

16


Privacy by Design à la Ann Cavoukian


http://privacybydesign.ca/

17


Überblick






• FazitPrivacy by Design in der Praxis

Foto: Margaret W. Carruthers

18


Sechs Schutzziele


Integrität

Vertraulichkeit Nichtverkettbarkeit

Intervenierbarkeit

Transparenz Verfügbarkeit

Klassische Schutzzieleder IT-Sicherheit

Inkl. Daten-sparsamkeit

19


Schutzziele adressieren nicht nur Technik –insbesondere Intervenierbarkeit

• Intervenierbarkeit kaum in Privacy-Engineering-Literatur

• Gründe:

Schwer zu formalisieren und zu messen

Verglichen mit Forschung zu Datenminimierungsehr viel weniger Techniken und Lösungen

Kann oft nicht allein im IT-System gelöst werden

Erfordert ein laufendes System mit klaren Verantwortlichkeiten (Betreiber, Nutzer) – nicht auf Prototyp-Ebene

Nicht eine fixe Lösung, sondern prozessorientiert für den gesamten Lebenszyklus der Systemevolution



Das Standard-Datenschutzmodell (SDM) …

… überführt datenschutzrechtliche Anforderungen in einen Katalog von Gewährleistungszielen:

• Es gliedert die betrachteten Verfahren in Daten, IT-Systeme und Prozesse,

• berücksichtigt die Einordnung von Datenin drei Schutzbedarfsabstufungen,

• ergänzt diese um entsprechende Betrachtungen für Prozesse und IT-Systeme und

• bietet einen hieraus systematisch abgeleiteten Katalogmit standardisierten Schutzmaßnahmen.


https://www.datenschutzzentrum.de/uploads/sdm/SDM-Handbuch.pdf (2015)

https://www.datenschutzzentrum.de/sdm/

21


3 Schutzbedarfsabstufungen

• „Normal“: personenbezogene Daten

• „Hoch“:besondere personenbezogene Daten und/odererhebliche Konsequenzen für Betroffenen möglich und/oder keine effektiven Interventionsmöglichkeiten

• „Sehr hoch“:„hoch“ plus existenzielle Abhängigkeit der Betroffenen und keine Transparenz für sie

• Außerdem Kumulierungseffekte



Soll-Ist-Vergleich beim DSB



Risikobewertung

• Soll-Ist-Abgleich anhand von Referenz-Maßnahmen des Standard-Datenschutzmodells

• Risk = Impact x Probability

• Perspektive: BetroffenensichtMotivation + Mittel der Organisation, den Zweck zu ändern Verarbeitung der Daten in Drittstaaten mit abweichendem Schutzniveau und geringerem RechtsschutzKonfliktresolution zwischen IT-Sicherheit und Datenschutz


Schwierig!

24


Überblick







Foto: Martin Cox

Foto: Paul B

25


Systemgestaltung mit Datenschutz

Minimum:

• Defensive Interpretation der gesetzlichen Regelungen

• Dokumentation von Strategie und Maßnahmen

• Warten auf kommende Anforderungen der Aufsichtsbehörden

• Klare Verantwortlichkeit(Vorstand; möglichst unterstützt von betriebl. DSB)

Für „Optimum“ zusätzlich:

• Proaktiv agieren

• Lösungsraum kennen und erweitern

• Zertifizierung anstreben

• Datenschutz-Management-system für gesamten Lebenszyklus einsetzen

• Mit anderen Akteuren und Disziplinen interagieren:Technik und Prozesse


Foto: Martin Cox Foto: Paul B

26


Für umfassendes Privacy-by-Design vielfältige Disziplinen nötig


Foto: Ken Teegardin

• Recht: Zulässigkeit

• Technik: Engineering

• Wirtschaftswiss.:

Organisatorische ProzesseGeschäftsmodelle

• Psychologie++: Nutzerinteraktion, Organisationskultur

• Ethik & Sozial- / Politikwissenschaften …

27


Überblick







Foto: Josh Hallett

28


Referenzmaßnahmen des SDM

Schutzziel Komponente Maßnahmen

Verfügbarkeit Daten, Systeme,Prozesse

Redundanz, Schutz, Reparaturstrategien

Integrität Daten Hashwert-Vergleich

Systeme Einschränkung von Schreibrechten, Integritätsprüfungen

Prozesse Festlegung von Referenzwerten (min/max), Steuerung der Regulation

Vertraulichkeit Daten, Systeme Verschlüsselung

Prozesse Rechte- und Rollenkonzepte




Schutzziel Komponente Maßnahmen

NichtverkettbarkeitZweck-

bestimmung

Daten Anonymität, Pseudonymität,attributbasierte Credentials

Systeme Trennung (Isolierung) von Datenbeständen, Systemen und Prozessen

Prozesse Identity Management, Anonymitätsinfrastrukturen, Audits

TransparenzPrüffähigkeit

Daten Dokumentation, Protokollierung

Systeme Systemdokumentation, Protokollierung von Konfigurationsänderungen

Prozesse Dokumentation von Verfahren, Protokollierung

IntervenierbarkeitAnkerpunkte

Daten Zugriff auf Daten für Betroffene (Auskunft, Berichtigung, Sperrung, Löschung)

Systeme Aus-Schalter

Prozesse Helpdesk/einheitlicher Ansprechpartner für Änderungen/Löschungen, Change Management 30


Best Practice „Datenminimierung“: Authentifikation ohne Identifikation

Vollständige Daten:

Oft sind nicht alle Datenerforderlich

Minimale Daten:


Vorab Prüfen der Anforderungen: Welche Daten sind wirklich erforderlich?

31


Best Practice „Mehr Transparenz“


• Klare und einfache Sprache• „Layered Policies“: Aufbau in mehreren Ebenen• Standardisierte Bildsymbole (Art. 12 Abs. 7 DS-GVO: Aufgabe für Kommission)

• Maschinenlesbar

Beispiel zur Illustration; Quelle: http://www.dataprotectionpeople.com/5918-2/ (Januar 2016)

Achtung:Einbindung von (Sub-) Dienstleistern üblich.

Datenschutzgarantien?

32


Best Practice „Datenschutz by Default“

Grundentscheidung:• Was ist überhaupt vom

Nutzer konfigurierbar?

In Social Networks:• Keine personenbezogenen

Daten für alle sichtbar, wenn nicht vom Nutzer aktiv bestimmt

• Bewusste Nutzer-Entscheidung, welche „Friends“ Zugriff haben

Personenbezogenes Tracking:• Grundsätzlich zu deaktivieren• Anonyme Analysen möglich

Personalisierte Dienste:• Nutzer-Entscheidung für

Dienst-Nutzung• Erforderlichkeit bestimmt

Default (siehe auch Art. 7 Abs. 4 DS-GVO)


Datenschutz byDefault als Basis für Selbstdatenschutz

33


Überblick







Foto: Rob Pongsajapan

34


Fazit


Foto: Rob Pongsajapan

• Systemgestaltung ist wesentlich für Datenschutz

• Regelungen noch vage:Aussagen und Hilfsmittel von Aufsichtsbehörden in Sicht (SDM)

• Prozesse bzgl. „Datenschutz byDesign“ jetzt schon evaluieren;Vorgehen dokumentieren

• Privacy by Design als Chance begreifen

35

Marit [email protected]

Vielen Dank für die Aufmerksamkeit

Documents

Privacy by Design in der Praxis - computas.de · Datenschutz „by Design“ & „by Default“ • Anforderung aus Art. 25 EU-Datenschutz-Grundverordnung • Richtet sich