1 datenschutzbewusstsein bettina berendt 9.7.2012
TRANSCRIPT
1
Datenschutzbewusstsein
Bettina Berendt
9.7.2012
2
Bürger sind besorgt
3
Staaten sind bemüht
4
Unternehmen sind bemüht
5
Forscher sind bemüht
6
Bürger sind besorgt?Oder: es ist gut, Sie zu kennen!
• X kam als Schneemann verkleidet zu seinem Praktikum!• Diese zwei sind Freunde (und sie haben sich auf der Party P
kennengelernt):
• Das ist Ys Freundin:• Aber Z ist noch zu haben!
7
Staaten sind bemüht?
8
Unternehmen und Forscher sind bemüht?
9
• Stimmt da was nicht mit dem Datenschutzbewusstsein?
10
Datenschutzbewusste Informationssysteme
1. Was ist das?• Informatisch• Nicht-informatisch
2. Was sollte man als Informatiker/in wissen?
3. Was kann man als Informatiker/in tun?
11
Worum geht es hier eigentlich?Juristische Sicht von „Wissen ist Macht“
12
Worum geht es hier eigentlich?Juristische Sicht von „Wissen ist Macht“
Datenschutz :Transparenz
undRechenschafts-
pflichten vonDatenverarbeitern
13
Worum geht es hier eigentlich?Juristische Sicht von „Wissen ist Macht“
Privacy :Opakheitdes IndividuumsalsDatensubjekt
Datenschutz :Transparenz
undRechenschafts-
pflichten vonDatenverarbeitern
14
Prinzipien des europäischen Datenschutzrechts: Gegenstand (1)personenbezogene Daten :
alle Informationen über eine bestimmte oder bestimmbare natürliche Person ("betroffene Person"); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann,
insbesondere durch Zuordnung zu einer Kennummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind
(Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr) Weiteres in „E-Privacy Directive“ (2002/58/EC)
z.B. IP-Adresse
Datensubjekt
15
Prinzipien des europäischen Datenschutzrechts: Gegenstand (2)"Verarbeitung personenbezogener Daten" ("Verarbeitung"):
jede[r] mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Speichern, die Organisation, die Aufbewahrung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, die Kombination oder die Verknüpfung sowie das Sperren, Löschen oder Vernichten
16
Prinzipien des europäischen Datenschutzrechts: Pflichten des Datenverarbeiters
1. Rechenschaftspflicht / Verantwortlichkeit (accountability)2. Verbot mit Erlaubnisvorbehalt
• insb. ausdrückliche gesetzliche Regelung oder informierte Einwilligung3. Datenqualität
• Korrektheit, Erforderlichkeit, Verhältnismäßigkeit, Datensparsamkeit, Datenvermeidung, Aufbewahrungsfristen
4. Zweckbindung5. Vertraulichkeit und Sicherheit
• Angemessene technische und organisatorische Maßnahmen zum Schutz der Daten vor zufälligen oder unrechtmäßigen Zerstörung, Verlust, Änderung, unautorisierter Offenlegung oder Zugang, und zum Schutz vor allen anderen unrechtmäßigen Formen der Verarbeitung
6. Transparenz• Benachrichtigung des Datensubjekts und der relevanten Autorität
(z.B. Datenschutzbeauftragter)7. Übertragung außerhalb der EU nur, wenn dort ein entsprechendes
Schutzniveau herrscht
17
Prinzipien des europäischen Datenschutzrechts: Rechte des Datensubjekts
• Erlaubnis (oder nicht) der Verarbeitung eigener Daten zu einem bestimmten Zweck
• Benachrichtigung / Information, insb.– Identität der Organisation– Grund der Verarbeitung
• Zugang• Korrektur von Fehlern• Löschung• Widerspruch gegen die Verarbeitung seiner
personenbezogenen Daten
18
Prinzipien des europäischen Rechts zu Privacy / Privatsphäre
Artikel 8 Europäische Menschenrechtskonvention Recht auf Achtung des Privat- und Familienlebens
(1) Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung und ihrer Korrespondenz.(2) Eine Behörde darf in die Ausübung dieses Rechts nur eingreifen, soweit der Eingriff gesetzlich vorgesehen und in einer demokratischen Gesellschaft notwendig ist für die nationale oder öffentliche Sicherheit, für das wirtschaftliche Wohl des Landes, zur Aufrechterhaltung der Ordnung, zur Verhütung von Straftaten, zum Schutz der Gesundheit oder der Moral oder zum Schutz der Rechte und Freiheiten anderer.
Entspricht den Ideen des Grundgesetzes, hat in Deutschland de facto übergesetzlichen Rang.
Verpflichtet den Staat zum Unterlassen oder Tun Erzwingt z.T. auch staatliches Handeln gegenüber Privatparteien Kann Daten-Zurückhalten oder -Verbreiten beinhalten
19
Juristische und andere Sichtweisen Privacy reloaded
Juristische Begriffe
Datenschutz
Privacy
Jura, Informatik, Soziologie …:Recht des Individuums auf …
Informationelle SelbstbestimmungKontrolle
Auch: „(informational, data) privacy“
Vertraulichkeit
Identitätskonstruktion
Privacy-Typen
[Gürses & Berendt, In: Privacy-Aware Knowledge Discovery, 2010 ]
20
Datenschutzbewusste Informationssysteme
1. Was ist das?• Informatisch• Nicht-informatisch
2. Was sollte man als Informatiker/in wissen?
3. Was kann man als Informatiker/in tun?
Privacy-aware Informationssysteme
21
Privacy-aware Informationssysteme
„Wissen um Privacy“ beinhaltet Wissen auf Seiten aller Akteure eines IS um– Rechte und Pflichten– Muster – Technische Möglichkeiten– Verantwortung
und die Ausrichtung an diesem Wissen im beruflichen wie zivilgesellschaftlichen Handeln
Was sollte man als
Informatiker/in wissen?
Was kann man als
Informatiker/in tun?
22
Privacy-aware Informationssysteme
1. Was ist das?• Informatisch• Nicht-informatisch
2. Was sollte man als Informatiker/in wissen?
3. Was kann man als Informatiker/in tun?
23
Was sollte man als Informatiker/in wissen?
„Wissen um Privacy“ beinhaltet Wissen auf Seiten aller Akteure eines IS umRechte und Pflichten– Muster
• Informatisch• Psychologisch / soziologisch• Ökonomisch
– Technische Möglichkeiten– Verantwortung
und die Ausrichtung an diesem Wissen im beruflichen wie zivilgesellschaftlichen Handeln
24
Inferenzprobleme:Intersection attacks auf relationale
Daten mit Record linkageDatabase 1 Database 2
12345 Female 1960 Aids Alice 12345 Female 1960
12345 Male 1930 Aids Bob 12345 Male 1960
12345 Male 1930 Husten Charlie 12345 Male 1930
56789 Female 1930 Aids Doreen 56789 Female 1960
56789 Female 1960 Husten Elaine 56789 Female 1930
25
Record linkage und k-anonymity
K-anonymity (einer Tabelle in einer relationalen DB):• Jeder Record in der Tabelle ist un-unterscheidbar von
mindestens k-1 anderen Records in Hinsicht auf jede Menge von Quasi-Identifier-Attributen
Database 1 Database 2
12345 Female 1960 Aids Alice 12345 Female 1960
12345 Male 1930 Aids Bob 12345 Male 1960
12345 Male 1930 Husten Charlie 12345 Male 1930
56789 Female 1930 Aids Doreen 56789 Female 1960
56789 Female 1960 Husten Elaine 56789 Female 1930
26
Record linkage und k-anonymity
K-anonymity (einer Tabelle in einer relationalen DB):• Jeder Record in der Tabelle ist un-unterscheidbar von
mindestens k-1 anderen Records in Hinsicht auf jede Menge von Quasi-Identifier-Attributen
Database 1 Database 2
12345 Female 1960 Aids Alice 12345 Female 1960
12345 Male 1930 Aids Bob 12345 Male 1960
12345 Male 1930 Husten Charlie 12345 Male 1930
56789 Female 1930 Aids Doreen 56789 Female 1930
56789 Female 1960 Husten Elaine 56789 Female 1930
Zur Nutzung des Wissens um Inferenzen für Analytics Services:[Berendt, Preibusch & Teltzrow, Int. Journal of E-Commerce, 2008]
27
Intersection attacks auf nicht-relationale Daten
• Texte und Ratings• Queries• (z.B. Soziale) Graphen
28
Einstellungen und Verhalten;Kontextabhängigkeit
[Berendt, Günther & Spiekermann, CACM 2005 ]
29
Externe Effekte
• (Preibusch & Beresford, 2008): Deutsches soziales Netzwerk mit
– 120K Nutzern, davon 26K aktiv:
• 1900 Nutzer mit verborgener Freundeliste,
– davon konnte für 1300 ≥ 1 Freund inferiert werden
Öffentliche Freundesliste:AliceBobCharlie…
VerborgeneFreundeliste
30
FF
FoFF
Konflikte
?
[Gürses & Berendt, In: Privacy-Aware Knowledge Discovery, 2010 ]
31
Geschäftsmodelle
Aber:Signifikante Minderheit
von Webnutzern istbereit, „für Privacy zu zahlen“
32
Privacy ist ein dynamischer, gesellschaftlich verhandelter Begriff
33
Was sollte man als Informatiker/in wissen?
„Wissen um Privacy“ beinhaltet Wissen auf Seiten aller Akteure eines IS umRechte und PflichtenMuster– Technische Möglichkeiten– Verantwortung
und die Ausrichtung an diesem Wissen im beruflichen wie zivilgesellschaftlichen Handeln
34
Technische Möglichkeiten
Privacy-Typ Privacy-Enhancing Technologies,
Gebiete der Informatik
Vertraulichkeit Anonymizers, …
Kryptographie, Data Mining, Datenbanken, Sichere Systeme
Kontrolle Access control, …
Datenbanken, Sichere Systeme
Identitätskonstruktion Identity management, Privacy feedback & awareness, …
s.o. + HCI + Inf. & Gesellschaft
35
Was kann man als Informatiker/in tun?
• Privacy-enhancing Technologien bauen• Im Systementwurf, -einsatz usw. privacy-
bewusst handeln• Einen breiten Blick haben
– statt DAU-Annahmen zu machen (als Sysadmin)– statt eines rein monodisziplinären (als Forscher)
• Sein Wissen teilen
– und den Humor und die Begeisterung nicht verlieren !
36
Ausblick:Noise injection, client-side
37
Zusammenfassung
1. Datenschutzbewusste / privacy-aware Informationssysteme: Was ist das?
• Informatisch• Nicht-informatisch
2. Was sollte man als Informatiker/in wissen?
3. Was kann man als Informatiker/in tun?
38
Zum Nach- und Weiterlesen
• Literaturliste wie immer auf der Webseite!
39
43
Privacy ist ein spannendes interdisziplinäres Feld!
„Wissen um Privacy“ beinhaltet Wissen auf Seiten aller Akteure eines IS um– Regularitäten/Gesetzmäßigkeiten
Naturwissenschaftlich und sozialwissenschaftlich
– Rechte und Pflichten juristisch
– Verantwortungethisch
und die Ausrichtung an diesem Wissen im beruflichen wie zivilgesellschaftlichen Handeln
Das evt. Nur sagen!
44
Worum geht es hier eigentlich?„Wissen ist Macht“ 101
53
Regularitäten/Gesetzmäßigkeiten
• Informatisch– Inferenzprobleme (z.B. intersection attacks,
prozessuale Probleme)– Konflikte ( Security; Logik; Software Engineering)
• Ökonomisch / politisch– Geschäftsmodelle– Informationsgüter– Externe Effekte– Aufmerksamkeitsökonomie
• Psychologisch / soziologisch– Einstellungen und Verhalten– Privacy as Practice
54
Privacy-aware IT-Systeme?
• Analogie zu „context awareness“, „location awareness“
• „Privacy-aware“ wird seltener in der Informatik benutzt, aber ähnliche Begriffe für Methoden, z.B.– Privacy-enhancing technologies– Privacy-preserving data mining– Private information retrieval– Discrimination-aware data mining
• Privacy-aware IT Systeme? „Privacy by design“?
55
Über die juristische Sicht hinaus:Privacy reloaded
• Privacy as hiding: Confidentiality– „the right to be let alone“
• Privacy as control: Informational self-determination– the ability to control what
happens with one‘s personal information
• Privacy as practice: Identity construction– the freedom from unreasonable
constraints on the construction of one’s own identity, be it by strategically being able to reveal or conceal data.
56
Prinzipien des europäischen Datenschutzrechts: Gegenstand (1)personenbezogene Daten :
alle Informationen über eine bestimmte oder bestimmbare natürliche Person ("betroffene Person"); als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann,
insbesondere durch Zuordnung zu einer Kennummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind
(Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr) Weiteres in „E-Privacy Directive“ (2002/58/EC)
§3 Abs. 9 BDSG: Sensible Daten dürfen nur unter besonderen Bedingungen verarbeitet werden
z.B. IP-Adresse
Datensubjekt
57
Prinzipien des europäischen Rechts zu Privacy / Privatsphäre
Artikel 8 Europäische Menschenrechtskonvention Recht auf Achtung des Privat- und Familienlebens
(1) Jede Person hat das Recht auf Achtung ihres Privat- und Familienlebens, ihrer Wohnung und ihrer Korrespondenz.(2) Eine Behörde darf in die Ausübung dieses Rechts nur eingreifen, soweit der Eingriff gesetzlich vorgesehen und in einer demokratischen Gesellschaft notwendig ist für die nationale oder öffentliche Sicherheit, für das wirtschaftliche Wohl des Landes, zur Aufrechterhaltung der Ordnung, zur Verhütung von Straftaten, zum Schutz der Gesundheit oder der Moral oder zum Schutz der Rechte und Freiheiten anderer.
Entspricht den Ideen des Grundgesetzes, hat in Deutschland de facto übergesetzlichen Rang.
Verpflichtet den Staat zum Unterlassen oder Tun Kann Daten-Zurückhalten oder -Verbreiten beinhalten Erzwingt z.T. auch staatliches Handeln gegenüber Privatparteien Auslegung: auch „öffentliche“ Daten können u.U. „privat“ sein das ist Rotaru
v Romania, was ich aber nicht ganz verstehe
58
Externe Effekte
Alice
Bob
59FF FoF F
CommonFriends
Konflikte(Bsp. Soziale Netzwerke)
64
Het is goed om jullie te kennen (2)
• Dit is C zijn vriendin:
• ... Maar student D
is nog vrij:
72
Privacy ist ein dynamischer, gesellschaftlich verhandelter Begriff
73
Privacy ist ein dynamischer, gesellschaftlich verhandelter Begriff
74
Juristische und andere Sichtweisen Privacy reloaded
Juristische Begriffe
Datenschutz
Privacy
Jura, Informatik, Soziologie …:Recht des Individuums auf …
Informationelle SelbstbestimmungKontrolle
Auch: „(informational, data) privacy“
Vertraulichkeit
Identitätskonstruktion
Privacy-Typen
[Gürses & Berendt, In: Privacy-Aware Knowledge Discovery, 2010 ]