“Weniger Daten” als Privacy-by-Design-Strategie

Die Minimierung der erforderlichen Personendaten ist die offensichtlichste Strategie zur Umsetzung von Privacy-by-Design und explizit in der EU-DSGVO formuliert (s. Art. 5). Wenn keine oder wenige Daten mit Personenbezug in einem Service verarbeitet werden, reduziert sich logischerweise das Risiko für Datenschutzbedrohungen (z.B. Diebstahl der Daten). Aufwendige Schutzmassnahmen entfallen, wenn es keine schützenswerten Daten gibt.

Naheliegend wird die Strategie «Datenminimierung» dadurch umgesetzt, dass weniger Daten gesammelt werden («Select before you collect»). Dies bedeutet, dass – anders als heute oftmals üblich – nicht zunächst breit Personendaten gesammelt werden und später entschieden wird, wie und ob diese genutzt werden können. Stattdessen werden die Daten nur in dem Umfang gesammelt, wie sie für einen Verarbeitungszweck auch tatsächlich erforderlich sind. Dies setzt natürlich voraus, dass der Zweck überhaupt hinreichend im Vorfeld bekannt ist. Während der Zweck der Datennutzung z.B. für die Verarbeitung von Bestellungen im Online-Shop noch klar definiert werden kann, ist dies bei Big Data-Analysen deutlich schwieriger. Bei Letzteren geht es ja gerade darum explorativ noch nicht bekannte Muster in den Daten zu entdecken und für neue, unbekannte Verfahren zu nutzen. Typische Beispiele aus Datenschutzerklärungen sind Begriffe wie «Marketing-Analysen» oder «Verbesserung des Nutzererlebnisses».

Die Verwendung von Pseudonymen und die Anonymisierung sind weitere Beispiele zur Umsetzung der Datenminimierung. Wenn die Person statt Name und Anschrift ein Pseudonym zur Registrierung auf einer Website nutzt oder wenn identifizierbare Merkmale im Nachhinein durch ein Pseudonym ersetzt werden, erhöht dies das Datenschutz-Niveau. Die EU-DSGVO nennt die Pseudonymisierung explizit als Beispiel für eine technische Schutzmassnahme (s. Art. 25). Ein soziales Netzwerk könnte z.B. statt der Anmeldung mit dem Klarnamen auch lediglich ein Pseudonym zur Anmeldung einfordern ohne den Zweck «Kommunikation» zwangsläufig einzuschränken (bei Facebook wird dies durch die Nutzungsbedingungen untersagt). Weiter führt die Anonymisierung. Hierbei werden z.B. Identifikatoren bzw. Eigenschaften der Daten, die zur Identifikation führen, gelöscht. «Statistische Auswertungen» können dann immer noch umsetzbar sein. Von Datenminimierung kann im Fall von Pseudonymisierung bzw. Anonymisierung jedoch nur gesprochen werden, wenn nicht die Zuordnung zwischen Identifikator und Pseudonym bzw. die Eingangsdaten vor der Anonymisierung trotzdem gespeichert werden.

Die genannten Umsetzungswege sind nur einige Beispiele für die Strategie «Datenminimierung». Weitere Strategien sind z.B. das Löschen von Daten, wenn diese nicht mehr genutzt werden, die Begrenzung der Verteilung von Daten über verschiedene Systeme bzw. Abteilungen oder der «Zero-Knowledge Proof».  Egal, wie die Datenminimierung umgesetzt wird: in jedem Fall muss der genaue Zweck der Verarbeitung im Vorfeld klar oder festgelegt werden, damit die Datenminierung bereits im Entwurf von Systemen stattfinden kann.

Weiterführende Literatur: Hoepmann (2014) und Gürses et al. (2011) 

Verzeichnis der Verarbeitungstätigkeiten nach DSGVO

Während für viele deutsche Unternehmen schon länger als Verfahrensverzeichnis bekannt, stellt das Verzeichnis der Verarbeitungstätigkeiten nach Artikel 30 DSGVO für viele Schweizer Unternehmen ein Novum dar. Sind sie von der DSGVO betroffen, müssen auch die Unternehmen in der Schweiz aller «Prozesse» führen, in denen personenbezogene Daten verarbeitet werden. Einen Überblick zu Aufbau, Inhalten und weiterführender Literatur habe ich in einem Vortrag im Rahmen eines Fachkurses des KMU Digital Summit zusammengefasst.

Verzeichnis der Verarbeitungstätigkeiten

Das Verzeichnis der Verarbeitungstätigkeiten bildet das Herzstück der Dokumentation im Rahmen der GDPR. Es gibt zunächst Auskunft darüber, wo im Unternehmen überhaupt personenbez. Daten vorhanden sind und wer für diese verantwortlich ist. Es bildet somit einen Baustein einer generellen «Data Governance» und bildet den Ausgangspunkt für das Risikomanagement, die Auskunft gegenüber Datensubjekten und Behörden und die Umsetzung von Massnahmen zum Schutz der Daten.

Interessant wird vor allem die Frage sein, wie gewährleistet werden kann, dass das Verzeichnis mit der Realität im Unternehmen übereinstimmt. In einer deutschen Studie aus dem Jahr 2015 gaben viele der Befragten zum damaligen Verfahrensverzeichnis an, dass ein grosse Zahl der Verfahren nicht erfasst würde.

Systematisches Privacy Engineering mit LINDDUN

Eine verbreitete Privacy Engineering-Methode ist LINDDUN, die an der KU Leuven entwickelt wurde. Sie ist in der Praxis verbreitet und wurde im Rahmen der Forschungsarbeit von K. Wuyts positiv evaluiert. Der Fokus der Methode liegt auf der systematischen Identifikation von Datenschutz-Bedrohungen («Privacy Threats») in Services. Sie basiert auf Microsoft’s STRIDE-Methode für die Informationssicherheit und berücksichtigt daher neben Datenschutz- auch Informationssicherheitsaspekte. Denkbar ist z.B. dass die Methode in einem gemeinsamen Workshop mit Business Owner und Application Owner, eines Service sowie dem Security-Verantwortlichen und Datenschutzbeauftragten genutzt wird.

In der ersten Phase der Methode («Problem Space») liegt der Fokus auf der Identifikation von Bedrohungen. Dabei wird zunächst ein Datenflussdiagram (DFD) des Service erstellt, in dem der Fluss der personenbezogenen Daten zwischen Objekten (z.B. Benutzer), Prozessen (z.B. Webportal) und Datenspeichern visualisiert wird.

Anschliessend werden verschiedene Arten von Privacy Threats an den einzelnen Stellen des Diagramms identifiziert, die in die namensgebenden Bedrohungskategorien fallen: Verknüpfbarkeit (Linkability), Identifizierbarkeit (Identifiability), Nachweisbarkeit (Non-repudiation), Detektierbarkeit (Detectability), Veröffentlichung von Informationen (Disclosure of information), Unwissenheit (Unawareness), Nichtkonformität (Non-compliance). Beispielsweise könnte eine Bedrohung darin bestehen, dass die Benutzerdaten einfach mit anderen Daten zu einem detaillierten Profil verknüpft werden können (Verknüpfbarkeit).

Matrix

Die einzelnen Bedrohungen werden im Anschluss noch näher untersucht. Dabei unterstützt ein umfangreicher Katalog, der je Kategorie diverse Bedrohungen auflistet («Threat-Trees»).

In Phase 2 («Solution Space») werden die Bedrohungen entsprechend potenziellen Auswirkungen und Eintrittswahrscheinlichkeit der Bedrohung priorisiert. Für die ausgewählten Bedrohungen werden schliesslich Vermeidungsstrategien, Systemanforderungen und mögliche Lösungstechnologien (Privacy Enhancing Technologies, PETS) festgelegt. Beispielsweise könnte das Risiko der Verknüpfbarkeit der Benutzerdaten dadurch reduziert werden, dass die Daten generalisiert werden (z.B. durch geeignete Anonymisierungsverfahren).

Die Methode (inkl. Anwendungsbeispielen) ist vollständig im Web veröffentlicht.

Was bedeutet Privacy-by-Design?

Während vielen Unternehmen mittlerweile klar ist, wie die Anforderungen der EU-Datenschutzgrundverordnung (z.B. das Verzeichnis der Verarbeitungstätigkeiten) umgesetzt werden können, wirft ein Aspekt immer noch diverse Fragen auf. Die Verordnung macht für viele Unternehmen «Data Protection by Design and By Default» (respektive im deutschen Gesetzestext Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen) verpflichtend. Konkret sollen zum Beispiel die «Hersteller der Produkte, Dienste und Anwendungen ermutigt werden, das Recht auf Datenschutz bei der Entwicklung und Gestaltung der Produkte, Dienste und Anwendungen zu berücksichtigen […]». Doch wie kann der Datenschutz in der Entwicklung und Gestaltung von Produkten, Diensten und Anwendungen (nachfolgend Service Design) berücksichtigt werden?

In der Forschung wird der Datenschutz im Service Design schon seit vielen Jahren untersucht. Lange Zeit lag der Fokus jedoch vor allem auf spezifischen Technologien z.B. zur Gewährleistung von Anonymität. In den letzten 20 Jahren rückte jedoch der Aspekt der generellen Gestaltungen von Services in den Vordergrund (d.h. Kultur, Policies, Organisation, Prozesse, Architektur und Technologie). 2001 wurde erstmals der Begriff «Privacy-by-Design» erwähnt und 2009 durch Ann Cavoukian, die damalige Datenschutzbeauftragte der Provinz Ontario in Kanada, und ihre sieben Prinzipien popularisiert. Nach Cavoukian soll z.B. die Menge der durch Unternehmen verarbeiteten personenbezogenen Daten bewusst minimiert werden. Im deutschsprachigen Raum wurde vor allen über «Schutzziele» des Datenschutzes diskutiert. Beispielweise soll durch Massnahmen gewährleistet werden, dass unterschiedliche Datensätze von Personen nicht einfach verknüpft werden können («Unverkettbarkeit»), um keine detaillierten Profile erstellen zu können.

“Privacy-by-Design”-Prinzipien oder Schutzziele können als Richtlinien für Software-Entwickler, Projektleiter, Service Designer und Datenschutzbeauftrage (nachfolgend Service Designer) verstanden werden, die deutlich über die bekannte Informationssicherheit (z.B. Gewährleistung der Vertraulichkeit von Daten) hinausgehen. Nach den Richtlinien müssen sich z.B. Webdesigner fragen, ob die Menge der im Onlineformular erfassten personenbezogenen Daten wirklich erforderlich sind oder ob nicht weniger Daten genauso zur Erbringung des Service für den Nutzer ausreichen. Gleichermassen stellt sich für die Entwickler einer Fitnesstracker-App die Frage, ob der Nutzer sich tatsächlich mit einem Klarnamen registrieren muss oder ob nicht ein Pseudonym genügt. Und auch die IT-Architektin in der Versicherung muss gewährleisten können, dass die Daten des Versicherten bei Bedarf tatsächlich aus allen System gelöscht werden.

Während die genannten Richtlinien vor allem Ziele wie Datenminimierung («Was») beschreiben, bleibt für die Service Designer die Frage nach dem «Wie». In vielen Unternehmen werden die Datenschützer zwar situativ in Projekten hinzugezogen und die Entwickler geschult, systematische Ansätze für die Datenschutzgestaltung fehlen jedoch oder beschränken sich auf generelle Guidelines (z.B. von Nokia). In anderen Gebieten wie der Software-Entwicklung und im Bereich IT-Security sind systematische Entwurfsmethoden jedoch seit langem bekannt. Bei der Entwicklung von datenschutzfreundlichen Services stehen diese allerdings erst am Anfang. Beispielhaft seien die LINDDUN– und PRIPARE-Methode sowie die Methode des NIST genannt. Diese Methoden haben bisher (zumindest in der Schweiz) geringen Einzug in die Praxis gefunden haben. Es ist aber abzusehen, dass die Bedeutung des systematischen «Privacy Engineerings» auch in der Praxis zunimmt. Bereits heute stellen einige US-Unternehmen gezielt Privacy Engineers ein und die Carnegie Mellon University lancierte eigens einen Studiengang für Privacy Engineering.