Die „Neuen DatenschutzSchutzziele“

because: code is not law

Martin Rost Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) Berlin, den 6.11.2009

www.datenschutzzentrum.de

Gliederung

1. Bestandsaufnahme „DatenschutzInterventionskonzepte“ 2. Die alten und die „Neuen Schutzziele“ 3. Was ist zu tun?

D21 Berlin 2009-1106

2

www.datenschutzzentrum.de

Findungsphase des Datenschutzes: normativer Datenschutz
• ab 1890 (Brandeis, USA): „The right to be let alone“, spontanes Thematisieren von Datenschutzaspekten, etwa „Recht am eigenen Bild“. • Mitte 1960: Diskussion über Missstände in Kreditwirtschaft in USA: 100Mio Kreditdossiers mit Merkmalen aufgrund bspw. von Auskünften durch Nachbarn („Nachbar ist neurotisch“) lösen erste politische Aktivitäten aus. • ab 1970: Datenschutz wird Bürgerrechtsthema. Hessisches DS-Gesetz ab Oktober 1970 in Kraft. 1973 entsteht die Rechtsfigur „informationelle Selbstbestimmung“. Ausbau der Verrechtlichung und Institutionalisierung des Datenschutzes, Einrichtung der Landesdatenschutzbeauftragten. • 1983: Volkszählungsurteil des BVerfG, das „Recht auf informationelle Selbstbestimmung“, abgeleitet aus Art. 1 und 2 des Grundgesetzes
D21 Berlin 2009-1106 3

www.datenschutzzentrum.de

Der moderne „operative“ Datenschutz
• ab Mitte der 1990: Technisierung des Datenschutzes: „PrivacyEnhancing-Technologies“ (PET), Reaktion auf Internet-Risiken durch Verschlüsselung, Signieren, „Identity-Protektor“ (Borking). Orientierung an Sicherheits-Schutzzielen Verfügbarkeit, Integrität, Vertraulichkeit, Tranparenz Bestandteile von §10 DSG-NRW 2000. • ab 2000: Ökonomisierung des Datenschutzes, DatenschutzGütesiegel und –Audit: „Privacy sells“. Prototypen für nutzerkontrolliertes Identitätsmanagement und Credentials, Inbetriebnahme eines ANON-Servers durch das ULD-SH • 2006: „Datenschutz in die Prozesse!“ durch „Integration“ in Common Criteria, ITIL, CoBIT, BSI-Grundschutz, IFG-Bund tritt am am 1.1. 2006 in Kraft: Jeder hat einen Anspruch auf Zugang zu amtlichen Informationen. „EuroPrise“ europäisches Datenschutzgütesiegel, vom ULD konzep. und prakt getrieben • 2008.02: BVerfG: „Gewährleistungsgrundrecht auf Integrität und Vertraulichkeit informations-technischer Systeme“: Der Staat hat zu gewährleisten, dass Bürger das Grundrecht wahrnehmen können. • Ab Sommer 2009: Systematische Entwicklung operativ zugänglicher Datenschutz-Schutzziele: Transparenz, Kontingenz, Nicht-

Verkettbarkeit

D21 Berlin 2009-1106

4

www.datenschutzzentrum.de

Geltende Datenschutznormen
• Bundesdatenschutzgesetz – erstreckt sich auf Privatpersonen, Privatwirtschaft und Bundesbehörden • Landesdatenschutzgesetze – erstreckt sich auf öffentliche Verwaltung in Land und Kommunen • speziell in SH zusätzlich: DS-Verordnung • Spezialgesetze:  TMG, TKG  SGB, AO, LandesMeldeGes, LVerwGesetz/ PolizeiGes, PassGes, PersonalausweisGes, AufenthaltsGes., … • EU:  Europäische Grundrechte-Charta  DS-Richtlinie, Wirkung nur über Import in deutsche Gesetze.
D21 Berlin 2009-1106 5

www.datenschutzzentrum.de

Sieben Goldene Regeln des Datenschutzes
(entlehnt aus: Bizer, Johann: Sieben Goldene Regeln des Datenschutzes, in: DuD 2007/05: 350-356)

1. Rechtmäßigkeit 2. Einwilligung

Jede Datenverarbeitung mit Personenbezug bedarf einer rechtlichen Grundlage, entweder als Gesetz, Vertrag oder als betriebliche Regelung. Eine Einwilligung ist nur dann wirksam, wenn der Betroffene ausreichend informiert worden ist und seine Einwilligung freiwillig erteilt hat. Personen bezogene Daten dürfen nur für den explizierten Zweck verwendet werden. Die Datenverarbeitung ist auf den für den Erhebungszweck notwendigen Umfang zu begrenzen, insbesondere im Hinblick auf Menge und Art der verarbeiteten Daten. Sie umfasst auch Löschung von Teildaten, sobald diese nicht mehr benötigt werden. Erhebung und Verarbeitung personenbezogener Daten muss gegenüber Betroffenen transparent sein. Dies schließt Auskunfts-, Berichtigungs-, Sperrungs- und Löschungsrechte ein. Datenschutz ist nur dann gewährleistet, wenn personenbezogene Daten sicher verarbeitet werden.

3. Zweckbindungsprinzip

4. Erforderlichkeit und Datensparsamkeit

5. Transparenz und Betroffenenrechte

6. Datensicherheit

7. Kontrolle Ist nur Teilaspekt Die Datenverarbeitung muss einer internen und externen Kontrolle unterliegen. des Datenschutzes! D21 Berlin 2009-1106

6

www.datenschutzzentrum.de

Datenschützer beobachten und bewerten derart orientiert…
- d.h. sie planen, (installieren Prüfpunkte), kontrollieren, prüfen und bewerten (organisationsintern oder -extern) - das Verhältnis von…  öffentlicher Verwaltungen und deren externen Bürgern  privaten Unternehmen und deren externen Kunden  Praxen/ Instituten und deren externen Patienten, Mandanten, Klienten, Menschen, Subjekten.  IT-Infrastrukturanbietern und deren Nutzern (bspw. Access-Providern, Suchmaschinen-Betreiber, Mail/Socialnetwork-Portal-Betreiber)  Vereinigungen und deren internen Mitgliedern  genereller: Organisationen und deren Mitarbeitern im Hinblick darauf, ob und wie diese organisierten Kommunikationen zwischen Organisationen und deren Klientel als Verarbeitung von Daten unter Bedingungen gestellt werden (können).
D21 Berlin 2009-1106 7

www.datenschutzzentrum.de

Dabei bestehen drei aktuelle Strukturprobleme, nämlich…
Organisationen unterlaufen 1. Organisationen haben im Hinblick auf die mit Hilfe von EDV Kapazitäten der Datenverarbeitung gegenüber ihrer externen Klientel (Bürger, Kunden, „imperialistisch“ die Patienten), ihren internen Mitgliedern, Nutzern funktional differenzierte und Mitarbeitern, eindeutig die operativGesellschaft, die gekennzeichnet ist durch kognitive Übermacht. Sie strukturieren und Marktkonkurrenz und kontrollieren latent unfair und somit nicht Gewaltenteilung, offenem vertrauenswürdig. wissenschaftlichen Diskurs und 2. „Bei diesem Strauß von Aufgaben entfällt die autonomen Individuen. Arbeitskraft von 2 bis 2,5 Personen auf die Kontrolle der Beschäftigten-kontrolleure Vollzugsdefizit insbesondere in den 700.000 Unternehmen und allen der Aufsichtsbehörden, aber Behörden in NRW. (…) Das entspricht für ein auch der Auftraggeber bei Unternehmen etwa dem Risiko von 1 Auftrags-DV. Unzureichende Datenschutzkontrolle in 1000 Jahren. (…)“ Qualitätskontrolle bei
(Bettina Gayk, Referatleiterin bei der Landesbeauftragten für Datenschutz und Informationsfreiheit NRW https://www.datenschutzzentrum.de/sommerakademie/ 2009/sak09-gayk-datenschutzkontrolle-derbeschaeftigtenkontrolleure.pdf) Installation und Betrieb großer IT-Infrastrukturen.

D21 Berlin 2009-1106

8

www.datenschutzzentrum.de

Beurteilung des BDSGes
• „Das bisherige Datenschutzkonzept (…) ist in den 70er Jahren am Paradigma zentraler Großrechner entwickelt worden, zwischen denen ein Datenaustausch die Ausnahme war.“
(Roßnagel, Pfitzmann, Garstka 2001: Modernisierung des Datenschutzrechts: 22)

• „Die Forschreibung des BDSG ist anlassbezogene, symbolische Gesetzgebung, die allzu hastig reagiert und damit mehr einer politischen als einer sachlichen Logik folgt. (…) ein funktionsloses Schaustück des Reformwillens (…).“
(Prof. Thüsing, 2009: Datenschutz im Arbeitsverhältnis, in: NZA 2009/16: 870)

Das BDSG ist sachlich veraltet, logisch widersprüchlich und unüberschaubar. Es kann als Ergebnis keine

angemessene Erwartungssicherheit
erzeugen.

• „Noch keiner BDSG-Novelle zuvor ist es so eindrucksvoll gelungen zu belegen, dass eine Grundsanierung des Datenschutzrechts überfällig ist.“
(Dirk Fox, 2009: Nach der Novelle ist vor der Sanierung, in DuD 2009/10: 583)
D21 Berlin 2009-1106 9

www.datenschutzzentrum.de

Wie lassen sich diese drei Strukturprobleme konstruktiv angehen?
Gefordert ist die Entwicklung einer Orientierung gebenden „positiven Stellgröße“ für Datenschutz, 1. die Organisationen weltweit verstehen und im Hinblick auf ihre Klientel operativ beherrschbar, sozial fair und subjektiv vertrauenswürdig operativ umsetzen können, 2. die organisationsextern und weitgehend automatisierbar zur Behebung des Vollzugsproblems bei Prüfungen zugänglich ist, 3. die transparent, verständlich, logisch zugänglich als schlank gehaltene normative Anforderungen den Datenschutz-Gesetzen entnehmbar ist.
D21 Berlin 2009-1106 10

www.datenschutzzentrum.de

Ein vielversprechender Kandidat für eine solches Stellgrößenkonzept sind….

Schutzziele!

D21 Berlin 2009-1106

11

www.datenschutzzentrum.de

Vorteil von Schutzzielen
Schutzziele sind Attraktoren, auf die Hin etwas positiv konstruiert werden kann, wobei sich die Ziele durch Prozesse mit ausgewiesenen Soll-IstBilanzen ansteuern lassen. Alle Beteiligten können sich an Schutzzielen orientieren und wissen, welche Maßnahmen sie zu ergreifen haben. Und sie können darüber hinaus analysieren, wenn etwas falsch lief!

D21 Berlin 2009-1106

12

www.datenschutzzentrum.de

Welche Schutzziele sollen es denn sein?

D21 Berlin 2009-1106

13

www.datenschutzzentrum.de

Die konventionellen Schutzziele der Datensicherheit
IT-Infrastrukturen sind im Hinblick auf Daten-Sicherheit so einzurichten, dass sie den folgenden Anforderungen genügen:  Verfügbarkeit Personenbezogene Daten stehen zeitgerecht zur Verfügung und können ordnungsgemäß verarbeitet werden.  Integrität Personenbezogene Daten bleiben während der Verarbeitung unversehrt, vollständig und aktuell.  Vertraulichkeit Nur Befugte können personenbezogene Daten zur Kenntnis nehmen.
D21 Berlin 2009-1106 14

www.datenschutzzentrum.de

Reichen diese?
So nach dem Motto: Wir haben damit ja eigentlich alles: Man nehme die BSI-Grundschutz-Bausteine und sorge dafür, dass Organisationen die Maßnahmen umsetzen, (bzw. weist nach, dass man die Maßnahmen umgesetzt hat).

D21 Berlin 2009-1106

15

www.datenschutzzentrum.de

Bisherige Schutzziele-Konzepte
• Schwächen (in der „Theorie“, keine Systematik der SZ)  Die Beziehung von Schutzzielen untereinander ist kaum untersucht. (Beispiel: Können Verfügbarkeit und
Vertraulichkeit von Daten zugleich angestrebt werden?)

 Die Schutzziel-Kataloge ufern, so scheint es, beliebig aus.  Das erzeugende System für Schutzziele ist unklar. • Stärken (in den Maßnahmen und Methoden)  Security-Targets und Protection Profiles (CC)  Trennung Ziele/Maßnahmen, DB-gestützte Modellierungen (BSI-GS)
D21 Berlin 2009-1106 16

www.datenschutzzentrum.de

Unterscheidung: Schutzziele / Maßnahmen
Schutzziele werden urch Schutzziel-Maßnahmen umgesetzt. Typische Maßnahmen für Datensicherheit sind:  Gewährleistung von Verfügbarkeit durch Redundanz im Systemaufbau (bspw. durch Ersatzkomponenten und automatisiertes Umschalten) oder bei der DatenÜbermittlung (erneute Anforderung von Daten)  Kontrolle der Integrität nach Systemaufbau oder nach Datenübermittlung durch Hashwert-Vergleiche (Signaturen, Systemconfigs-Absicherung mit „Tripwire“)  Sicherstellung der Vertraulichkeit von Daten(übermittlungen) oder Systemen durch Verschlüsselung von Daten, Systembereichen oder von Systemzugängen durch passwortgestützte Logins.
D21 Berlin 2009-1106 17

www.datenschutzzentrum.de

Baustein 1.5 Datenschutz, integriert im BSI-Grundschutz
• neu seit 2007 • abgestimmt zwischen BfDI, LfDs, Aufsichtsbehörden • Integration in die IT-Grundschutz-Kataloge • auf den Webseiten des BSI verfügbar: http://www.bsi.de/gshb/bausteindatenschutz/index.htm • bildet 13 Datenschutz-Gefährdungen und 16 Datenschutz-Maßnahmen ab

D21 Berlin 2009-1106

18

www.datenschutzzentrum.de

GS-Tool des BSI

D21 Berlin 2009-1106

19

www.datenschutzzentrum.de

Spezielle Datenschutz-Schutzziele?

Lassen sich Schutzziele (mit entsprechenden Maßnahmen) ausweisen, die die Anforderungen des

Datenschutzes ganz spezifisch fokussieren?

Mit der Folge, den gesicherten Kanon der Datensicherheits-Schutzziele (Verfügbarkeit, Integrität, Vertraulichkeit) zu ergänzen und seinerseits spezifischer als bislang zuzuspitzen?

D21 Berlin 2009-1106

20

www.datenschutzzentrum.de Referenz: Rost/ Pfitzmann, 2009: Schutzziele revisited; in: DuD 2009/06: 353ff

Systematik der Schutzziele

Abstreitbarkeit Kontingenz
SelbstFindbar- > bezug

?

Nicht-Verkettbarkeit
Dual Dual l ua D

keit Verfügbarkeit Ermit- Verbindlichkeit telbar- Erreichbarkeit keit Transparenz

> VerdecktVertraulichkeit heit Anonymität Unbeobachtbarkeit

Integrität Zurechenbarkeit
(Authentizität)
D21 Berlin 2009-1106

Legende: Informations-Inhalte Informations-Umfeld
21

www.datenschutzzentrum.de

Schutzziele (elementare und abgeleitete) auf einen Blick
Inhalte Umfeld

Verdecktheit Vertraulichkeit Kontingenz Integrität Verfügbarkeit Findbarkeit

Unentdeckbarkeit Unbeobachtbarkeit Anonymität Abstreitbarkeit Zurechenbarkeit Verbindlichkeit Erreichbarkeit Ermittelbarkeit Transparenz

Nichtverkettbarkeit
D21 Berlin 2009-1106 22

www.datenschutzzentrum.de

Definitionen der Schutzziele
• • • • • • • • • • • • festgelegte Zeit). Integrität: Information ist (ggf. beschränkt auf eine festgelegte Zeit) gesichert echt. Kontingenz: Information ist (ggf. beschränkt auf eine festgelegte Zeit) gesichert nicht gesichert echt. Verbindlichkeit/ Erreichbarkeit: Verfügbarkeit der Kommunikationsumstände, (…). Anonymität: Vertraulichkeit der Identität einer Entität. Zurechenbarkeit: Integrität der Kommunikationsumstände, d.h. Verpflichtungen einer Entität sind überprüfbar. Abstreitbarkeit: Kontingenz der Kommunikationsumstände, d.h. Verpflichtungen einer Entität sind abstreitbar. Ermittelbarkeit: Verfügbarkeit einer Entität, d.h. gesicherter Zugriff auf Entität innerhalb einer festgelegten Zeit. Unbeobachtbarkeit: Unentdeckbarkeit für alle an der Kommunikation Unbeteiligten (alle außer Sender und Empfänger) und Anonymität gegenüber an der Kommunikation Beteiligten (beides ggf. beschränkt auf eine festgelegte Zeit). Transparenz: Transparenz eines Systemteils S bezeichnet seine Durchsichtigkeit für Entität E im Sinne einer Blickdurchlässigkeit für E mit dem Zweck, S für E beobachtbar bzw. erkennbar zu machen. Unverkettbarkeit (von Daten und Entitäten): Die Unmöglichkeit der Verkettung von Daten und Entitäten untereinander und miteinander.
D21 Berlin 2009-1106 23

Verfügbarkeit: Gesicherter Zugriff auf Information innerhalb einer festgelegten Zeit. Vertraulichkeit: Gesicherter Nichtzugriff auf Information (ggf. beschränkt auf eine

www.datenschutzzentrum.de

Beispiele für Maßnahmen der Neuen Schutzziele

(Transparenz, Kontingenz, Nichtverkettbarkeit)

D21 Berlin 2009-1106

24

www.datenschutzzentrum.de

Maßnahmen für Transparenz
Zutreffende Bezeichnung und gesicherte Dokumentation von • Entitäten (Komponenten, Systeme, Organisationen, Menschen) • Operationen, • Zeiten als für Beobachtungen und Analysen zugängliche Bestandteile von  Konzepten (Zukunft) Generelle Funktion: Systemerzeugung: Wer soll was bis wann machen? DS-Zweck: Prüffähigkeit über Soll-/Ist-Bilanzierungen im Betrieb herstellen  Monitoring (Gegenwart) Generelle Funktion: Systemstabilität: Wer oder was passiert aktuell? DS-Zweck: Vorraussetzung zur Umsetzung von Betroffenenrechten (auf Auskunft, Berichtigung, Sperrung, Löschung))  Protokollierung (Vergangenheit) Generelle Funktion: Fehler – bzw. Systemanalyse: Welche Operation fand zu einem bestimmten Zeitpunkt statt? DS-Zweck: Nachweis von Rechtskonformität, Revision, Beweis nicht nur mit jeweils unmittelbar erkennbarem Personenbezug von Daten, da bei technisch-organisatorischen Infrastrukturen Personenbeziehbarkeit latent gegeben ist.
D21 Berlin 2009-1106 25

www.datenschutzzentrum.de

Maßnahmen für Kontingenz
• keine Akzeptanz einer Dominanz der Technik gegenüber bestehenden sozialen Freiheitsgraden, Erhalt von Ermessensfragen und Einzelfallgerechtigkeit in Organisationen. Unabhängig von Fehlern soll ein „geschützter Unklarheitsbereich“ erhalten bleiben. • Mechanismen, die im Rahmen fehlertoleranter Systeme entwickelt wurden. • Technische Unterstützung insbesondere des Stornierens von Prozessen und des Löschens („Wipen“) von Daten (auch in der xten Backup-Kopie)

D21 Berlin 2009-1106

26

www.datenschutzzentrum.de

Maßnahmen für Nichtverkettbarkeit
DS-Zweck: Operationalisierung von Zweckbindung, Erforderlichkeit und Datensparsamkeit entsprechend der Umsetzung bestehender funktionaler Separierungen (Politik/ Wirtschaft, Recht, Wissenschaft, Religion), Gewaltenteilung, Ressorthoheiten, Bund/Länder/Gemeinden, Amtshilfe nur in eng festgelegten Grenzen möglich. • Nutzerkontrolliertes Identitätsmanagement: technisch gestützte Pseudonymnutzung in Anonymität gewährleistenden Netz-Infrastrukturen • Bereichsspezifische Personenkennzahl (bpK, Beispiel Österreich) • Nutzerkontrolliertes Workflow-Management (UCW) • Explikation des Schutzziels als WebServicePolicy, die ganz eng zweckgebunden auf den WebService zugeschnittenen ist, (ergänzt durch Testmethoden zur automatisierten Verifikation vom funkt. und rechtlichen Anforderungen und Zusicherungen)
D21 Berlin 2009-1106 27

www.datenschutzzentrum.de

Abgrenzung der Schutzziele für IT-Datensicherheit und Datenschutz
Datensicherheit Schutzzweck Anwendungsbereich Funktion Maßnahmen
Dient dem Interesse der datenverarbeitenden Stelle

Datenschutz
Dient dem Interesse des Betroffenen (und der Gesellschaft)

Bezieht sich auf automatisierte Datenverarbeitung Schützt vor dem Verlust der Vertraulichkeit, Integrität und Verfügbarkeit IT-Sicherheitsmassnahmen realisieren Teilaspekte des Datenschutzes

Bezieht sich auf alle Verarbeitungsarten Schützt vor technischem Determinismus, Intransparenz und ungerechtfertigten Verkettungen von Daten, Prozessen und Ereignissen mit Personenbezug Datenschutzmaßnahmen realisieren auch IT-Sicherheitsmaßnahmen

D21 Berlin 2009-1106

28

www.datenschutzzentrum.de

Beobachtung der Beobachter

John Keane bezeichnet in „The Life and Eath of Democracy“ (soeben bei Simon & Schuster 2009 erschienen) die heutigen westlichen Demokratien als

„monitory

democracy“

D21 Berlin 2009-1106

29

www.datenschutzzentrum.de

Was ist nun im Rahmen globaler IT-Infrastrukturen zu tun?

D21 Berlin 2009-1106

30

www.datenschutzzentrum.de

Schutzziele normativ festschreiben!
• Die sechs elementaren Datenschutz-Schutzziele sind in die Datenschutz-Gesetze als zentrale technischorganisatorische Ziele aufzunehmen (vgl. §10 NRW-DSG). • Die zu den Schutzzielen gehörigen Schutzmaßnahmen sollten in Verordnungen aufgenommen werden (vgl. DSVOSH).  Darin: Referenz bspw. auf Algorithmen-Kataloge etwa bei der Bundesnetzagentur oder dem BSI, die den „Stand der Technik“ (vgl. Anlage zu §9 BDSG) repräsentieren. • Schutzmaßnahmenkataloge sollten als Datenbank strukturiert sein (vgl. BSI-GS-Tool).
D21 Berlin 2009-1106 31

www.datenschutzzentrum.de

Schutzziele enthalten in §10 DSG-NRW
• § 10 Technische und organisatorische Maßnahmen • (…) • (2) Dabei sind Maßnahmen zu treffen, die geeignet sind zu gewährleisten, dass  nur Befugte personenbezogene Daten zur Kenntnis nehmen können (Vertraulichkeit),  personenbezogene Daten während der Verarbeitung unversehrt, vollständig und aktuell bleiben (Integrität),  personenbezogene Daten zeitgerecht zur Verfügung stehen und ordnungsgemäß verarbeitet werden können (Verfügbarkeit),  jederzeit personenbezogene Daten ihrem Ursprung zugeordnet werden können (Authentizität),  festgestellt werden kann, wer wann welche personenbezogenen Daten in welcher Weise verarbeitet hat (Revisionsfähigkeit),  die Verfahrensweisen bei der Verarbeitung personenbezogener Daten vollständig, aktuell und in einer Weise dokumentiert sind, dass sie in zumutbarer Zeit nachvollzogen werden können (Transparenz). D21 Berlin 2009-1106

32

www.datenschutzzentrum.de

Schutzziel Linkability Bestandteil der CC
Verkettbarkeit ist als Schutzziel „Linkability“ ausgewiesener Bestandteil der Common Criteria.
IST/ IEC 154 08: http://www.bsi.bund.de/literat/faltbl/F06CommonCriteria.htm

D21 Berlin 2009-1106

33

www.datenschutzzentrum.de

Maßnahmen für Transparenz in Verordnung: Beispiel DSVO-SH
„Einleitung“ • § 1 Anwendungsbereich • § 2 Begriffsbestimmungen „Hauptteil“ • § 3 Verfahrensdokumentation • § 4 Dokumentation der Sicherheitsmaßnahmen • § 5 Dokumentation des Tests und der Freigabe „Schluss“ • § 6 Übergangsregelung • § 7 Inkrafttreten und Gültigkeit
D21 Berlin 2009-1106 34

www.datenschutzzentrum.de

Schutzziele operativ umsetzen!
Die Schutzziele sind, anhand der ausgewiesenen Schutzziel-Maßnahmen, bspw. in Form von Policies für WebServices im Rahmen der XÖV bzw. auf Infrastrukturebene für OSCI2.0 - zu operationalisieren. Konkret:  Wer transformiert verantwortlich Normenanweisungen in technische Befehle der WS-Schemata, um die für den interoperablen Einsatz weltweit, bspw. in einer Verwaltungen und Unternehmen übergreifenden Cloud-Infrastruktur, nutzen zu können?  Wer stellt die aktuell gültigen Policies für die Schutzziele bei kritischen Infrastrukturen verantwortlich zur Verfügung? Ganz konkret gefragt:  Wer betreibt integer und hochverfügbar die zentralen PolicyServer? Landesweit, Deutschlandweit, EUweit, Weltweit?  Wer sorgt für die rechtlichen Konsentierungen und ggf. Übersetzbarkeiten, nur um ein drängendes Problem zu nennen, von Signaturen mit ihren unterschiedlichen Sicherheits-Niveaus? Wieder: letztlich im weltweiten Rahmen?
D21 Berlin 2009-1106 35

www.datenschutzzentrum.de

Schutzziel-Umsetzungen qualitativ sichern!
• Wer wird mit den Entwicklungen dieser Policies federführend unter Beteiligung welcher Instanzen verantwortlich beauftragt? • Wer sorgt für die Durchführung von Qualitätsmanagement für Policies, mit denen die Schutzziele umgesetzt werden, während der Projektphase und während des laufenden Betriebs? Konkreter:  Wer darf Konformitäts-Tests entwickeln und kann Tests durchführen (national/ international), ob Policies, in Deutschland: in den XÖV-Verfahren, konzeptionell angemessen sind und vor allem: tatsächlich genutzt und dann eingehalten werden?  Datenschutzrechtlich folgerichtig: Jede anfordernde Instanz muss die Zusicherungen eines Service prüfen, bevor sie den Service (als Auftrags-DV) nutzt.  Pragmatisch 1: Aufsichtsbehörden (Prüfungen, Gütesiegel, Auditierungen), Stiftung Warentest, TÜV agieren als für Qualität sorgende Instanzen.  Pragmatisch 2: Service-Validierungen von WS-Ketten (vgl. Rost/ Speck 2009)
D21 Berlin 2009-1106 36

www.datenschutzzentrum.de

(Referenz: Dr. Quiring-Kock, Der Hessische Datenschutzbeauftragte)

Beispiel für aktuelle konzeptionelle Probleme bei Authentisierung, Signatur, Verschlüsselung

• In der Regel werden Dokumente elektronisch signiert. Eine manuelle Unterschrift gilt ab sofort und unbefristet, deshalb: Prüfung der Dokument-Signatur auf den Zeitpunkt der Erstellung der Signatur! • Strikte Trennung der Funktionen Authentisierung, Signatur und Verschlüsselung: Pro Verwendungszweck ein eigenes Schlüsselpaar mit genau einem Zertifikat. Denn nur so besteht Transparenz für Nutzende und es kann kein falscher Kontext untergeschoben werden. • Entsprechend müssen zutreffende, klare Bezeichnungen schon der Spezifikation zu entnehmen sein, sprich:  „authentication“ anstatt wie bislang „digital signature“  „content commitment“ anstatt „non repudiation“
D21 Berlin 2009-1106 37

www.datenschutzzentrum.de

Daraus abgeleitete DS-Anforderungen
• Auf bessere Übersetzbarkeit von Gesetzestexten in technisch ausführbare Policies achten. (vgl. LKIF, Verw.Informatik) • Vermehrt über hochauflösende OptIn-Anfragen aus Verfahren heraus Betroffene einbinden. (vgl. Peters) • Nutzdaten containern mit Freigabe eines Datums erst nach Zweckangabe (vgl. Schwaiger (TU-München), Prototyp „Zerberus“) • Mechanismen des Prozesscontrollings ohne zwangsläufigen Inhaltszugriff einrichten. (vgl. Rost 2008: UCW beim EAP) • Nutzerkontrolle durch Identitymanagement Type 3 ermöglichen. (vgl. FIDIS, PRIME, Hansen) • Die Selbstauskunft technischer Systeme, über das was sie tun (können) verbessern („Selbstdokumentation“). • Prozess-übergreifendes Protokollieren als dedizierten Service nutzbar machen. (vgl. Ringelstein 2007: „WS-Logging“, Rost 2007)
D21 Berlin 2009-1106 38

www.datenschutzzentrum.de

Auszug: Beschluss der DSB-Konferenz Oktober 2009 in Berlin zum IT-Planungsrat
„Die Beauftragten für Datenschutz und Informationsfreiheit des Bundes und der Länder bieten deshalb dem zu bildenden IT-Planungsrat ihre umfassende und frühzeitige Mitwirkung im Rahmen eines kontrollierten Qualitätsmanagements an, zu denen insbesondere die datenschutzgerechte Festsetzung und Handhabung von Interoperabilitäts- und IT- Sicherheitsstandards sowie die Umsetzung spezifischer Datenschutzziele zählen. Anderenfalls laufen die Projekte von vornherein Gefahr, erst im Nachhinein mit enormen Kosten an die jeweils erforderlichen Datenschutzvorkehrungen angepasst werden zu müssen. Dieser Gefahr sollte der IT-Planungsrat vorbeugend begegnen.“
D21 Berlin 2009-1106 39

www.datenschutzzentrum.de

Fazit: Was versprechen die Schutzziele (SZ)?
• pragmatisch: SZ erzeugen anhand von Maßnahmen Kontrollfähigkeit von Organisationen, normative Zusagen und Anforderungen an automatisierte DV werden ihrerseits automatisiert testbar. • rechtsdogmatisch: SZ erweitern die Grundrechte um operative Aspekte staatlicher Gewährleistungen -> Der Einstieg war das „Integritäts- und Vertraulichkeitsurteil“ des BVerfG! • rechtspragmatisch: SZ erzeugen zwangsläufig die Erwartung, dass der Gesetzestext selber den in ihm formulierten Anforderungen genügt. • soziologisch: SZ machen „Systemvertrauen“ im Hinblick auf operative Beherrschbarkeit, soziale Fairness und subjektive Vertrauenswürdigkeit von Systemen kalkulierbar. • philosophisch: SZ ergänzen als verallgemeinerungsfähige, vernünftige, operativ umsetzbare Anforderungen an gesellschaftliche Systeme die Anforderungen an eine vernünftige Rede (vgl. Jürgen Habermas 1981: Theorie des kommunikativen Handelns). -> Vollständigkeitsvermutung
D21 Berlin 2009-1106 40

www.datenschutzzentrum.de

Schutzziele, DS-Managment, KPI, PenTests
Ziel: Datenschutz in Organisationen
Normen

The Big Picture

Musterprozesse des DS-Managements
M Sc ache er hut n re zz ich ie ba le r

Techn/org. operationalisiert durch Schutzziele und -maßnahmen, operationalisiert durch Security-/ Privacy-Policies (z.B. WS)

Prozeßzustand muss erkennbar/ bewertbar sein KPIs VerfahrensPenetrations-Tests intern/ extern

v

Managementprozess und KPIs

messbares und bewertbares Datenschutz-Management datenschutzkonforme (Verfahren in) Organisationen
D21 Berlin 2009-1106

41

www.datenschutzzentrum.de
• Schutzziel-Kataloge
    

Referenzen

CAN 1992: The Canadian Trusted Computer Product Evaluation Criteria Version 3.0e, April 1992. Common Criteria/ IST/IEC 15408: http://www.bsi.bund.de/literat/faltbl/F06CommonCriteria.htm, Common Criteria Portal: http://www.commoncriteriaportal.org/ DoD, 1985: Department of Defense Trusted Computer System Evaluation Criteria; December 1985, DOD 5200.28-STD, Supersedes CSC-STD-001-83, dtd 15 Aug 83, Library No. S225, 711 ITSEC 1991: European Communities - Commission: ITSEC: Information Technology Security Evaluation Criteria; (Provisional Harmonised Criteria, Version 1.2, 28 June 1991) Office for Official Publications of the European Communities, Luxembourg 1991. IT-Grundschutz: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/itgrundschutz_node.html Wolf, Gritta / Pfitzmann, Andreas; 2000: Charakteristika von Schutzzielen und Konsequenzen für Benutzungsschnittstellen; in: Informatik Spektrum, 2000/ 06: 173-191. Federrath, Hannes / Pfitzmann, Andreas, 2000: Gliederung und Systematisierung von Schutzzielen in IT-Systemen; in: DuD, Datenschutz und Datensicherheit, Vieweg-Verlag 24/12: S. 704-710.

Systematische Untersuchungen zu Schutzzielen
 

Rost, Martin / Pfitzmann, Andreas, 2009: Datenschutz-Schutzziele - revisited; in: DuD Datenschutz und Datensicherheit, 33. Jahrgang, Heft 6, Juli 2009: 353-358 Kontext Datenschutz-Schutzziele und Maßnahmen, Informationsfreiheit 
        

Anderson,T. / Lee, P. A., 1981: Fault Tolerance - Principles and Practice; Prentice Hall, Englewood Cliffs, New Jersey Rost, Martin 2004: Verkettbarkeit als Grundbegriff des Datenschutzes?; in: Innovativer Datenschutz, Für Helmut Bäumler 2004: 315-334, http://www.maroki.de/ Rost, Martin (Hrsg.): Schwerpunktthema Protokollierung,in: DuD 2006/ 05, DuD 2007/ 10. ULD / TU-Dresden 2007: BMBF-Studie: Verkettung digitaler Identitäten https://www.datenschutzzentrum.de/studien/verkettung/ BVerfG: Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme: http://www.bundesverfassungsgericht.de/entscheidungen/rs20080227_1bvr037007.html Schutzziele in WebService-Policies: Rost, Martin / Speck, Andreas, 2009: Modellgestützte Validierung von WebService-Ketten; in: DuD - Datenschutz und Datensicherheit, 33. Jahrgang, Heft 6, Juli 2009: 359-363 Rost, Martin, 2008: Das etwas andere Modell vom Einheitlichen Ansprechpartner EAP; in: Verwaltung und Management, 14. Jahrgang, Heft 4: 220-223 (User-Controlled-Workflow) Schutzziele als verallgemeinerungsfähige Anforderungen an vernünftig gesteuerte organisatorische und technische Systeme: Habermas, Jürgen, 1981: Theorie des kommunikativen Handelns, Frankfurt am Main: Suhrkamp Schoch, Fr., 2009: Aktuelle Fragen des Informationsfreiheitsrechts; in: NJW 2009/ 41: 2987-2994 D21 Berlin 2009-1106 42

www.datenschutzzentrum.de

Kontakt?

Martin Rost
E-Mail Telefon Adresse Web martin.rost@datenschutzzentrum.de 0431 9881391 Holstenstraße 98, 24103 Kiel www.datenschutzzentrum.de
D21 Berlin 2009-1106 43

Sign up to vote on this title
UsefulNot useful