Systematisches Privacy Engineering mit LINDDUN

Eine verbreitete Privacy Engineering-Methode ist LINDDUN, die an der KU Leuven entwickelt wurde. Sie ist in der Praxis verbreitet und wurde im Rahmen der Forschungsarbeit von K. Wuyts positiv evaluiert. Der Fokus der Methode liegt auf der systematischen Identifikation von Datenschutz-Bedrohungen («Privacy Threats») in Services. Sie basiert auf Microsoft’s STRIDE-Methode für die Informationssicherheit und berücksichtigt daher neben Datenschutz- auch Informationssicherheitsaspekte. Denkbar ist z.B. dass die Methode in einem gemeinsamen Workshop mit Business Owner und Application Owner, eines Service sowie dem Security-Verantwortlichen und Datenschutzbeauftragten genutzt wird.

In der ersten Phase der Methode («Problem Space») liegt der Fokus auf der Identifikation von Bedrohungen. Dabei wird zunächst ein Datenflussdiagram (DFD) des Service erstellt, in dem der Fluss der personenbezogenen Daten zwischen Objekten (z.B. Benutzer), Prozessen (z.B. Webportal) und Datenspeichern visualisiert wird.

Anschliessend werden verschiedene Arten von Privacy Threats an den einzelnen Stellen des Diagramms identifiziert, die in die namensgebenden Bedrohungskategorien fallen: Verknüpfbarkeit (Linkability), Identifizierbarkeit (Identifiability), Nachweisbarkeit (Non-repudiation), Detektierbarkeit (Detectability), Veröffentlichung von Informationen (Disclosure of information), Unwissenheit (Unawareness), Nichtkonformität (Non-compliance). Beispielsweise könnte eine Bedrohung darin bestehen, dass die Benutzerdaten einfach mit anderen Daten zu einem detaillierten Profil verknüpft werden können (Verknüpfbarkeit).

Matrix

Die einzelnen Bedrohungen werden im Anschluss noch näher untersucht. Dabei unterstützt ein umfangreicher Katalog, der je Kategorie diverse Bedrohungen auflistet («Threat-Trees»).

In Phase 2 («Solution Space») werden die Bedrohungen entsprechend potenziellen Auswirkungen und Eintrittswahrscheinlichkeit der Bedrohung priorisiert. Für die ausgewählten Bedrohungen werden schliesslich Vermeidungsstrategien, Systemanforderungen und mögliche Lösungstechnologien (Privacy Enhancing Technologies, PETS) festgelegt. Beispielsweise könnte das Risiko der Verknüpfbarkeit der Benutzerdaten dadurch reduziert werden, dass die Daten generalisiert werden (z.B. durch geeignete Anonymisierungsverfahren).

Die Methode (inkl. Anwendungsbeispielen) ist vollständig im Web veröffentlicht.

Was bedeutet Privacy-by-Design?

Während vielen Unternehmen mittlerweile klar ist, wie die Anforderungen der EU-Datenschutzgrundverordnung (z.B. das Verzeichnis der Verarbeitungstätigkeiten) umgesetzt werden können, wirft ein Aspekt immer noch diverse Fragen auf. Die Verordnung macht für viele Unternehmen «Data Protection by Design and By Default» (respektive im deutschen Gesetzestext Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen) verpflichtend. Konkret sollen zum Beispiel die «Hersteller der Produkte, Dienste und Anwendungen ermutigt werden, das Recht auf Datenschutz bei der Entwicklung und Gestaltung der Produkte, Dienste und Anwendungen zu berücksichtigen […]». Doch wie kann der Datenschutz in der Entwicklung und Gestaltung von Produkten, Diensten und Anwendungen (nachfolgend Service Design) berücksichtigt werden?

In der Forschung wird der Datenschutz im Service Design schon seit vielen Jahren untersucht. Lange Zeit lag der Fokus jedoch vor allem auf spezifischen Technologien z.B. zur Gewährleistung von Anonymität. In den letzten 20 Jahren rückte jedoch der Aspekt der generellen Gestaltungen von Services in den Vordergrund (d.h. Kultur, Policies, Organisation, Prozesse, Architektur und Technologie). 2001 wurde erstmals der Begriff «Privacy-by-Design» erwähnt und 2009 durch Ann Cavoukian, die damalige Datenschutzbeauftragte der Provinz Ontario in Kanada, und ihre sieben Prinzipien popularisiert. Nach Cavoukian soll z.B. die Menge der durch Unternehmen verarbeiteten personenbezogenen Daten bewusst minimiert werden. Im deutschsprachigen Raum wurde vor allen über «Schutzziele» des Datenschutzes diskutiert. Beispielweise soll durch Massnahmen gewährleistet werden, dass unterschiedliche Datensätze von Personen nicht einfach verknüpft werden können («Unverkettbarkeit»), um keine detaillierten Profile erstellen zu können.

“Privacy-by-Design”-Prinzipien oder Schutzziele können als Richtlinien für Software-Entwickler, Projektleiter, Service Designer und Datenschutzbeauftrage (nachfolgend Service Designer) verstanden werden, die deutlich über die bekannte Informationssicherheit (z.B. Gewährleistung der Vertraulichkeit von Daten) hinausgehen. Nach den Richtlinien müssen sich z.B. Webdesigner fragen, ob die Menge der im Onlineformular erfassten personenbezogenen Daten wirklich erforderlich sind oder ob nicht weniger Daten genauso zur Erbringung des Service für den Nutzer ausreichen. Gleichermassen stellt sich für die Entwickler einer Fitnesstracker-App die Frage, ob der Nutzer sich tatsächlich mit einem Klarnamen registrieren muss oder ob nicht ein Pseudonym genügt. Und auch die IT-Architektin in der Versicherung muss gewährleisten können, dass die Daten des Versicherten bei Bedarf tatsächlich aus allen System gelöscht werden.

Während die genannten Richtlinien vor allem Ziele wie Datenminimierung («Was») beschreiben, bleibt für die Service Designer die Frage nach dem «Wie». In vielen Unternehmen werden die Datenschützer zwar situativ in Projekten hinzugezogen und die Entwickler geschult, systematische Ansätze für die Datenschutzgestaltung fehlen jedoch oder beschränken sich auf generelle Guidelines (z.B. von Nokia). In anderen Gebieten wie der Software-Entwicklung und im Bereich IT-Security sind systematische Entwurfsmethoden jedoch seit langem bekannt. Bei der Entwicklung von datenschutzfreundlichen Services stehen diese allerdings erst am Anfang. Beispielhaft seien die LINDDUN– und PRIPARE-Methode sowie die Methode des NIST genannt. Diese Methoden haben bisher (zumindest in der Schweiz) geringen Einzug in die Praxis gefunden haben. Es ist aber abzusehen, dass die Bedeutung des systematischen «Privacy Engineerings» auch in der Praxis zunimmt. Bereits heute stellen einige US-Unternehmen gezielt Privacy Engineers ein und die Carnegie Mellon University lancierte eigens einen Studiengang für Privacy Engineering.