Upload
phungkien
View
229
Download
2
Embed Size (px)
Citation preview
Privacy by Design in der Praxis
Marit HansenLandesbeauftragte für Datenschutz
Schleswig-Holstein
Berlin, 14.06.2016
www.datenschutzzentrum.de
Überblick
• Datenschutz durch Technik: mehr als Datensicherheit
• Anforderungen der EU-Datenschutz-Grundverordnung
• Das Standard-Datenschutzmodell als Kompass für die Praxis
• Systemgestaltung mit Datenschutz: vom Minimum zum Optimum
• Best-Practice-Beispiele
• FazitPrivacy by Design in der Praxis 2
www.datenschutzzentrum.de
Beim Datenschutz geht es um Daten
Privacy by Design in der Praxis
Menschenmit ihrenRechten
Photo: Ashtyn Renee
Prüffragen bei der Gestaltung:
• Auswirkungen auf Menschen?
• Auswirkungen auf die Gesellschaft?
3
www.datenschutzzentrum.de
Privacy by Design in der Praxis
Foto: Hernán Piñera
Datenschutznötig:
Machtgefälle
Wichtig:verschiedenePerspektiven
4
www.datenschutzzentrum.de
Perspektive: Alice & Bob
Privacy by Design in der Praxis
IT-Sicherheit: Der Angreifer ist Eve (oder Mallory).
Datenschutz: Der Angreifer ist Bob!(Jedenfalls auch.)
DV als Eingriff in Grundrechte:„Eingreifer“
5
www.datenschutzzentrum.de
Überblick
• Datenschutz durch Technik: mehr als Datensicherheit
• Anforderungen der EU-Datenschutz-Grundverordnung
• Das Standard-Datenschutzmodell als Kompass für die Praxis
• Systemgestaltung mit Datenschutz: vom Minimum zum Optimum
• Best-Practice-Beispiele
• FazitPrivacy by Design in der Praxis 6
www.datenschutzzentrum.de
Datenschutz „by Design“ & „by Default“
• Anforderung aus Art. 25 EU-Datenschutz-Grundverordnung
• Richtet sich primär an: Datenverarbeiter (auch im Auftrag) + (nur indirekt!) Hersteller von IT-Systemen
• Ziel: Gestaltung von Systemen + Dienstenvon Anfang an über den gesamten Lebenszyklusa) datensparsamb) mit möglichst datenschutzfreundlichen Voreinstellungen
Privacy by Design in der Praxis 7
www.datenschutzzentrum.de
Datenschutz „by Design“in der DS-GVO: Art. 25
Privacy by Design in der Praxis
Maßstab: • Stand der Technik,• Implementierungskosten,• Verarbeitung, • Risiken
Bsp.: Pflicht zurPseudonymisierung? 8
www.datenschutzzentrum.de
Datenschutz „by Default“in der DS-GVO: Art. 25
Privacy by Design in der Praxis
Unklar: Unterschied zumErforderlichkeitsprinzip(Artikel 5)?
Bsp.: SocialNetworks
9
www.datenschutzzentrum.de
Datenschutz „by Design“ & „by Default“gemäß Erwägungsgrund 78 DS-GVO
• Nachweis durch interne Strategien & t+o Maßnahmen, u.a.
Datenminimierung
Schnellstmögliche Pseudonymisierung
Transparenz in Bezug auf Funktionen+Verarbeitung
Ermöglichung der Überwachung der Verarbeitung durch den Betroffenen
Ermöglichung für Sicherheitsfunktionen durch Verantwortlichen
• Ermutigung für Hersteller
• Berücksichtigung in öffentlichen Ausschreibungen!Privacy by Design in der Praxis 10
www.datenschutzzentrum.de
Privacy by Design in der Praxis
Sicherheit:Art. 32
Maßstab: • Stand der Technik,• Implementierungs-
kosten,• Verarbeitung, • Risiken
Lebenszyklus: regelmäßige Überprüfung
Wieder Pseudonymisierung
11
www.datenschutzzentrum.de
Pseudonymisierung à la DS-GVO
Art. 4 BegriffsbestimmungenIm Sinne dieser Verordnung bezeichnet der Ausdruck:[…]5. „Pseudonymisierung“ die Verarbeitung personenbezogener
Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden;
Privacy by Design in der Praxis
• Referenzliste• Verschlüsselung• Hashfunktion mit
großem Wertebereich?
12
www.datenschutzzentrum.de
Datenschutz-Folgenabschätzung: Art. 35
Privacy by Design in der Praxis
• Nicht immer Pflicht• Verfahren nicht genau
vorgegeben
13
www.datenschutzzentrum.de
Geldbußen: Art. 83
Privacy by Design in der Praxis 14
www.datenschutzzentrum.de
Lösungsansatz: Einsatz von Privacy-Enhancing Technologies (PETs)
Privacy by Design in der Praxis
“The use of PETs can help to design information
and communication systems and services
in a way that minimises the collection and
use of personal data and
facilitate compliance with data protection rules.
The use of PETs should result in making breaches
of certain data protection rules more difficult
and/or helping to detect them.”
European Commission, MEMO/07/159
15
www.datenschutzzentrum.de
PETs und ihr Reifegrad: State of the Art?
Privacy by Design in der Praxis
https://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/privacy-and-data-protection-by-design (2014)
https://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/pets (2015)
PETs sind ein Baustein der Lösung
16
www.datenschutzzentrum.de
Privacy by Design à la Ann Cavoukian
Privacy by Design in der Praxis
http://privacybydesign.ca/
17
www.datenschutzzentrum.de
Überblick
• Datenschutz durch Technik: mehr als Datensicherheit
• Anforderungen der EU-Datenschutz-Grundverordnung
• Das Standard-Datenschutzmodell als Kompass für die Praxis
• Systemgestaltung mit Datenschutz: vom Minimum zum Optimum
• Best-Practice-Beispiele
• FazitPrivacy by Design in der Praxis
Foto: Margaret W. Carruthers
18
www.datenschutzzentrum.de
Sechs Schutzziele
Privacy by Design in der Praxis
Integrität
Vertraulichkeit Nichtverkettbarkeit
Intervenierbarkeit
Transparenz Verfügbarkeit
Klassische Schutzzieleder IT-Sicherheit
Inkl. Daten-sparsamkeit
19
www.datenschutzzentrum.de
Schutzziele adressieren nicht nur Technik –insbesondere Intervenierbarkeit
• Intervenierbarkeit kaum in Privacy-Engineering-Literatur
• Gründe:
Schwer zu formalisieren und zu messen
Verglichen mit Forschung zu Datenminimierungsehr viel weniger Techniken und Lösungen
Kann oft nicht allein im IT-System gelöst werden
Erfordert ein laufendes System mit klaren Verantwortlichkeiten (Betreiber, Nutzer) – nicht auf Prototyp-Ebene
Nicht eine fixe Lösung, sondern prozessorientiert für den gesamten Lebenszyklus der Systemevolution
Privacy by Design in der Praxis 20
www.datenschutzzentrum.de
Das Standard-Datenschutzmodell (SDM) …
… überführt datenschutzrechtliche Anforderungen in einen Katalog von Gewährleistungszielen:
• Es gliedert die betrachteten Verfahren in Daten, IT-Systeme und Prozesse,
• berücksichtigt die Einordnung von Datenin drei Schutzbedarfsabstufungen,
• ergänzt diese um entsprechende Betrachtungen für Prozesse und IT-Systeme und
• bietet einen hieraus systematisch abgeleiteten Katalogmit standardisierten Schutzmaßnahmen.
Privacy by Design in der Praxis
https://www.datenschutzzentrum.de/uploads/sdm/SDM-Handbuch.pdf (2015)
https://www.datenschutzzentrum.de/sdm/
21
www.datenschutzzentrum.de
3 Schutzbedarfsabstufungen
• „Normal“: personenbezogene Daten
• „Hoch“:besondere personenbezogene Daten und/odererhebliche Konsequenzen für Betroffenen möglich und/oder keine effektiven Interventionsmöglichkeiten
• „Sehr hoch“:„hoch“ plus existenzielle Abhängigkeit der Betroffenen und keine Transparenz für sie
• Außerdem Kumulierungseffekte
Privacy by Design in der Praxis 22
www.datenschutzzentrum.de
Soll-Ist-Vergleich beim DSB
Privacy by Design in der Praxis 23
www.datenschutzzentrum.de
Risikobewertung
• Soll-Ist-Abgleich anhand von Referenz-Maßnahmen des Standard-Datenschutzmodells
• Risk = Impact x Probability
• Perspektive: BetroffenensichtMotivation + Mittel der Organisation, den Zweck zu ändern Verarbeitung der Daten in Drittstaaten mit abweichendem Schutzniveau und geringerem RechtsschutzKonfliktresolution zwischen IT-Sicherheit und Datenschutz
Privacy by Design in der Praxis
Schwierig!
24
www.datenschutzzentrum.de
Überblick
• Datenschutz durch Technik: mehr als Datensicherheit
• Anforderungen der EU-Datenschutz-Grundverordnung
• Das Standard-Datenschutzmodell als Kompass für die Praxis
• Systemgestaltung mit Datenschutz: vom Minimum zum Optimum
• Best-Practice-Beispiele
• FazitPrivacy by Design in der Praxis
Foto: Martin Cox
Foto: Paul B
25
www.datenschutzzentrum.de
Systemgestaltung mit Datenschutz
Minimum:
• Defensive Interpretation der gesetzlichen Regelungen
• Dokumentation von Strategie und Maßnahmen
• Warten auf kommende Anforderungen der Aufsichtsbehörden
• Klare Verantwortlichkeit(Vorstand; möglichst unterstützt von betriebl. DSB)
Für „Optimum“ zusätzlich:
• Proaktiv agieren
• Lösungsraum kennen und erweitern
• Zertifizierung anstreben
• Datenschutz-Management-system für gesamten Lebenszyklus einsetzen
• Mit anderen Akteuren und Disziplinen interagieren:Technik und Prozesse
Privacy by Design in der Praxis
Foto: Martin Cox Foto: Paul B
26
www.datenschutzzentrum.de
Für umfassendes Privacy-by-Design vielfältige Disziplinen nötig
Privacy by Design in der Praxis
Foto: Ken Teegardin
• Recht: Zulässigkeit
• Technik: Engineering
• Wirtschaftswiss.:
Organisatorische ProzesseGeschäftsmodelle
• Psychologie++: Nutzerinteraktion, Organisationskultur
• Ethik & Sozial- / Politikwissenschaften …
27
www.datenschutzzentrum.de
Überblick
• Datenschutz durch Technik: mehr als Datensicherheit
• Anforderungen der EU-Datenschutz-Grundverordnung
• Das Standard-Datenschutzmodell als Kompass für die Praxis
• Systemgestaltung mit Datenschutz: vom Minimum zum Optimum
• Best-Practice-Beispiele
• FazitPrivacy by Design in der Praxis
Foto: Josh Hallett
28
www.datenschutzzentrum.de
Referenzmaßnahmen des SDM
Schutzziel Komponente Maßnahmen
Verfügbarkeit Daten, Systeme,Prozesse
Redundanz, Schutz, Reparaturstrategien
Integrität Daten Hashwert-Vergleich
Systeme Einschränkung von Schreibrechten, Integritätsprüfungen
Prozesse Festlegung von Referenzwerten (min/max), Steuerung der Regulation
Vertraulichkeit Daten, Systeme Verschlüsselung
Prozesse Rechte- und Rollenkonzepte
Privacy by Design in der Praxis 29
www.datenschutzzentrum.de
Privacy by Design in der Praxis
Schutzziel Komponente Maßnahmen
NichtverkettbarkeitZweck-
bestimmung
Daten Anonymität, Pseudonymität,attributbasierte Credentials
Systeme Trennung (Isolierung) von Datenbeständen, Systemen und Prozessen
Prozesse Identity Management, Anonymitätsinfrastrukturen, Audits
TransparenzPrüffähigkeit
Daten Dokumentation, Protokollierung
Systeme Systemdokumentation, Protokollierung von Konfigurationsänderungen
Prozesse Dokumentation von Verfahren, Protokollierung
IntervenierbarkeitAnkerpunkte
Daten Zugriff auf Daten für Betroffene (Auskunft, Berichtigung, Sperrung, Löschung)
Systeme Aus-Schalter
Prozesse Helpdesk/einheitlicher Ansprechpartner für Änderungen/Löschungen, Change Management 30
www.datenschutzzentrum.de
Best Practice „Datenminimierung“: Authentifikation ohne Identifikation
Vollständige Daten:
Oft sind nicht alle Datenerforderlich
Minimale Daten:
Privacy by Design in der Praxis
Vorab Prüfen der Anforderungen: Welche Daten sind wirklich erforderlich?
31
www.datenschutzzentrum.de
Best Practice „Mehr Transparenz“
Privacy by Design in der Praxis
• Klare und einfache Sprache• „Layered Policies“: Aufbau in mehreren Ebenen• Standardisierte Bildsymbole (Art. 12 Abs. 7 DS-GVO: Aufgabe für Kommission)
• Maschinenlesbar
Beispiel zur Illustration; Quelle: http://www.dataprotectionpeople.com/5918-2/ (Januar 2016)
Achtung:Einbindung von (Sub-) Dienstleistern üblich.
Datenschutzgarantien?
32
www.datenschutzzentrum.de
Best Practice „Datenschutz by Default“
Grundentscheidung:• Was ist überhaupt vom
Nutzer konfigurierbar?
In Social Networks:• Keine personenbezogenen
Daten für alle sichtbar, wenn nicht vom Nutzer aktiv bestimmt
• Bewusste Nutzer-Entscheidung, welche „Friends“ Zugriff haben
Personenbezogenes Tracking:• Grundsätzlich zu deaktivieren• Anonyme Analysen möglich
Personalisierte Dienste:• Nutzer-Entscheidung für
Dienst-Nutzung• Erforderlichkeit bestimmt
Default (siehe auch Art. 7 Abs. 4 DS-GVO)
Privacy by Design in der Praxis
Datenschutz byDefault als Basis für Selbstdatenschutz
33
www.datenschutzzentrum.de
Überblick
• Datenschutz durch Technik: mehr als Datensicherheit
• Anforderungen der EU-Datenschutz-Grundverordnung
• Das Standard-Datenschutzmodell als Kompass für die Praxis
• Systemgestaltung mit Datenschutz: vom Minimum zum Optimum
• Best-Practice-Beispiele
• FazitPrivacy by Design in der Praxis
Foto: Rob Pongsajapan
34
www.datenschutzzentrum.de
Fazit
Privacy by Design in der Praxis
Foto: Rob Pongsajapan
• Systemgestaltung ist wesentlich für Datenschutz
• Regelungen noch vage:Aussagen und Hilfsmittel von Aufsichtsbehörden in Sicht (SDM)
• Prozesse bzgl. „Datenschutz byDesign“ jetzt schon evaluieren;Vorgehen dokumentieren
• Privacy by Design als Chance begreifen
35
Marit [email protected]
Vielen Dank für die Aufmerksamkeit