Teil 4 unserer Blog-Serie zur DSGVO. Lesen Sie Teil 3 hier.
Am 25. Mai endet die Übergangsfrist von der alten EU-Datenschutzrichtlinie auf die neue EU-DSGVO, die damit zu diesem Datum vollständig in Kraft tritt. Dies bedeutet auch, dass die neue Bußgeldbewehrung bei Datenschutzverstößen ab diesem Tag greift. Grund genug, die grundlegenden Inhalte der DSGVO einmal näher zu betrachten und sie sowohl in Bezug zu Digitalen Diensten zu setzen als auch anhand aktueller Beispiele zu illustrieren, was sich bereits jetzt an Veränderungen abzeichnet, zu denen die DSGVO führen wird. Der Blog des Fraunhofer IESE setzt mit diesem Artikel seine vierteilige Artikelserie zur DSGVO fort.
Die Datenschutzrichtlinie der EU (1995/46/EG) ist angesichts der fortschreitenden Digitalisierung und der immer stärker datenbezogenen und explosionsartig wachsenden Menge von digitalen Diensten in die Jahre gekommen. Die Richtlinie, deren Umsetzung im Bundesdatenschutzgesetz verankert ist, stammt aus dem Jahr 1995 und damit genau aus dem Jahr, in dem HTML 2.0 erstmalig als Standard für Internet-basierte Informationsdienste veröffentlicht wurde. Zeit also, diese Richtlinie gründlich zu überarbeiten, um personenbezogenen Daten und deren Verarbeitung im Zeitalter der Digitalisierung gerecht zu werden. In der neuen EU-Datenschutzgrundverordnung, kurz DSGVO (2016/679/EU), wird dies neu geregelt. Gleichzeitig wird die Richtlinie zu einer Verordnung aufgewertet. Eine Besonderheit ist, dass für die DSGVO das Marktortprinzip gilt. Das heißt, dass auch Anbieter von Diensten, deren Firmensitz sich außerhalb der EU befinden, den Regularien unterliegen, wenn sie ihren Dienst innerhalb der EU anbieten.
Digitale datenbasierte Dienste und die Nutzung personenbezogener Daten
Die Digital Economy, die Kundendaten ins Zentrum neuer Geschäftsmodelle und Dienstleistungen stellt, ist inzwischen nicht mehr aus unser aller Alltag wegzudenken. Daten sind zu einem Rohstoff geworden, der eine Multimilliarden-Industrie antreibt.
Bisher hatten die Anbieter digitaler datenbasierter Dienste relativ freie Hand bei der Gestaltung ihrer Nutzungs- und Geschäftsbedingungen und auch der damit verbundenen Erhebung und Verarbeitung von personenbezogenen Daten. Nutzer von Digitalen Diensten zahlten mit ihren Daten für die Nutzung der Dienste nach dem Motto »If you don’t pay for the product, you are the product.«
Mit der DSGVO werden de facto die allgemeinen Geschäftsbedingungen bzw. Nutzungsbedingungen für Dienste mit den dort verankerten vertraglich relevanten Daten von weiteren möglichen Daten und deren Nutzung getrennt (vgl. Beispiele in Teil 1 der Serie). Für die Erhebung und Verarbeitung dieser weiteren Daten bedarf es einer gesonderten und freiwilligen Einwilligung (Artikel 7 DSGVO). Künftig werden also Datenschutz und Datensouveränität auf der einen und Customer Journey auf der anderen Seite in Unternehmen und insbesondere in der Digital Economy nicht mehr als Gegensatzpaar interpretiert werden können. Sie werden sich als zwei Seiten derselben Medaille gegenseitig bedingen und fördern (müssen).
Der bisherige Trend, dass Konsumenten für die Nutzung von Diensten mit ihren personenbezogenen Daten zahlen, könnte sich so tatsächlich sogar umkehren. Die Tendenz, dass Dienstanbieter in Zukunft durch die Erbringung des Dienstes und möglicherweise weiterer Leistungen für die Daten der Kunden zahlen, zeichnet sich bereits ab. Das klingt gleich? Ist es aber nicht. Zahlt der Dienstleister für die Kundendaten mit seinen Leistungen, kann der Kunde entscheiden, welche Daten er dem Dienstleister anbieten möchte, welche nicht und welche Dienstleistungen er dafür erhält – ganz im Sinne der DSGVO, eben echte Datensouveränität. Gleichzeitig beflügelt dies die Dienstanbieter im Verteilungskampf um die Kundendaten, ständig bessere Dienste zu kreieren und anzubieten. Das Recht auf Datenübertragbarkeit (vgl. Teil 3 der Serie) sichert die Grundlage für diesen Wettbewerb. Die Konsumenten können somit selbst entscheiden, ob die Daten, die bei einem Dienst vorgehalten werden, durch einen anderen Dienst genutzt werden dürfen. Beide Dienste können dabei auch im Wettbewerb zueinander stehen. Die DSGVO ist somit ein echter Innovationsbeschleuniger. Die nächsten Jahre werden zeigen, wie die Kunden das sich so verändernde Angebot annehmen werden.
Es ist also essenziell für digitale Dienstanbieter Mehrwertdienste und zugehörige Einwilligungen zur Verwendung von Daten effizient und effektiv zu managen und durchzusetzen. Ein Weg dies zu bewerkstelligen sind Privacy Cockpits.
Privacy Cockpits: Enabler für Datensouveränität in digitalen Ökosystemen und in der Plattformökonomie
Je mehr Kategorien von personenbezogenen Daten in einem Ökosystem oder einer Plattform vorhanden sind oder erhoben werden können, desto weniger wahrscheinlich ist es, dass die Verarbeitung all dieser Kategorien von personenbezogenen Daten ausschließlich unter die Erfüllung eines Vertrages fallen kann. Somit ist es erforderlich, dass auch freiwillige Einwilligungen zur Erhebung und Nutzung weiterer personenbezogener Daten durch den Dienstanbieter vom Nutzer eingeholt werden. Dies kann mit Privacy Cockpits sehr gut bewerkstelligt werden. Vor allem wird so die Möglichkeit, Einwilligungen zu geben und wieder zurückzunehmen, in ebenso einfacher Weise für den Nutzer ermöglicht. Dies ist auch eine Anforderung aus Artikel 7 DSGVO. Die Verbindung der Einwilligung zur Verwendung bestimmter Kategorien von Daten mit dem daraus entstehenden Nutzen oder Vorteil für den Dienstnutzer ist eine Lesson Learned, die wir am Fraunhofer IESE aus verschiedenen Projekten klar extrahieren konnten. Microsoft und Google verwenden ein ähnliches Schema in ihren Privacy Cockpits für Account-Besitzer. Beispielsweise wird bei Einwilligung in die Auswertung der Suchhistorie der Nutzen, dass man abgestimmte, individualisierte Werbung erhält, kommuniziert. Im Fall, dass diese Einwilligung entzogen wird, wird kommuniziert, dass man beliebige, nicht individualisierte Werbung in den Suchergebnissen erhält.
Ebenso wird es immer Nutzer und Konsumenten geben, die dem Thema Datensouveränität eher indifferent gegenüberstehen. Für solche Nutzer ist eine einfache und gröbere Variante eines Privacy Cockpits sicherlich ausreichend. Der Anteil der sensiblen Nutzer und Konsumenten steigt jedoch stetig an. Für diese Gruppe sollte eine detailliertere und feingranularere Variante eines Privacy Cockpits zur Verfügung stehen. Hier sind, bei Bedarf bis auf die Ebene einzelner Attribute und Verarbeitungszwecke für dieselben, Einstellungen machbar, die in der gröberen Variante nicht sichtbar sind. Die spannendste Herausforderung in diesem Zusammenhang – auch das ist eine Lesson Learned aus Projekten in diesem Umfeld – ist, die User Experience für die verschiedenen Granularitäten eines Privacy Cockpits so zu gestalten, dass die Nutzer mit Begeisterung die Privacy Einstellungen nutzen.
Auch weitere Funktionen rund um das Thema Datensouveränität sind durch Privacy Cockpits abbildbar. Werden dort beispielsweise neben den gegebenen Einwilligungen auch die Kategorien von Daten, die auf Basis des bestehenden Vertrages verarbeitet werden, genannt, so wird die Transparenz für den Nutzer erhöht. Eine weitere Funktionalität könnte der „digitale Datenauszug“ (vgl. Artikel 15 DSGVO, Recht auf Auskunft) sein, der aus dem Privacy Cockpit heraus abgerufen werden kann.
Ebenso wären Funktionalitäten wie der Export von Daten (vgl. Artikel 20 (1) DSGVO, Recht auf Datenübertragbarkeit) oder die Einwilligung zur Nutzung (oder Übertragung) der Daten in einem Dienst eines Ökosystems oder einer Plattform durch einen anderen Dienst oder eine andere Plattform zu verankern (vgl. Artikel 6 zur Einwilligung und Artikel 20 (2) DSGVO für das Recht auf Datenübertragbarkeit). Diese zusätzlichen Funktionalitäten würden die User Experience von Privacy Cockpits weiter erhöhen.
Neben dem Thema der Einwilligungen durch Nutzer sind in Privacy Cockpits auf Unternehmensebene im Zusammenhang zu Berechtigungen für Zugriff auf und Nutzung von Daten im Unternehmen denkbar und möglich. Beispiele für sensible Daten, die hier in Frage kommen, sind Arbeitnehmerdaten oder Kundendaten. Mitarbeiter eines Unternehmens sollten – abhängig von ihren Rollen und Funktionen – nicht auf alle Daten in gleicher Weise zugreifen oder diese auch nutzen können. Beispielsweise sollte beim Zugriff auf Daten aus dem HR-Bereich nicht jeder Mitarbeiter aus dem Personalbereich die Gehälter aller Kollegen bzw. aller Hierarchieebenen im Unternehmensehen können. Gleiches gilt für arbeitsmedizinische Informationen.
Privacy Cockpits sind also ein wichtiger Aspekt zur Erfüllung von Anforderungen in Artikel 25 (1) DSGVO (Privacy by Design), die unter anderem geeignete technische Maßnahmen zur Durchsetzung von Datenschutz und Informationssicherheit fordern.
Ebenso können in Privacy Cockpits gemäß Artikel 25 (2) DSGVO (Privacy by Default) datenschutzfreundliche Voreinstellungen durch den Dienstanbieter vorgenommen werden. Hierzu könnte zum Beispiel gehören, dass Ortungsdienste, die für die Nutzung eines Dienstes gar nicht erforderlich sind, nicht standardmäßig aktiviert sind, sondern deaktiviert.
Wie können Einwilligungen und Berechtigungen auf Nutzer- bzw. Unternehmensebene während des Betriebs der digitalen Dienste durchgesetzt werden?
Vom Privacy Cockpit zum Privacy Enforcement
Es können verschiedene technische Ansätze zur Durchsetzung von Einwilligungen und Berechtigungen im Betrieb von Digitalen Diensten benutzt werden. Eine einfache Möglichkeit ist die Verwendung von klassischen IF-THEN-ELSE-Konstrukten oder ähnlichen Konzepten in den verarbeitenden Systemen. Diese Herangehensweise würde den Anforderungen zu Privacy by Design sicherlich genügen. Sie wäre jedoch sehr aufwendig und fehleranfällig. Dies gilt insbesondere im Fall von datenbasierten Digitalen Diensten für erwartungsgemäß viele relevante Attribute an vielen betroffenen Stellen in den verarbeitenden Systemen. Bei Änderungen am Datenmodell eines Digitalen Dienstes ist der IF-THEN-ELSE-Ansatz nicht gerade wartungsarm und potenziell sehr fehleranfällig. Gerade im Zusammenhang mit der Rechtmäßigkeit der Verarbeitung von Daten bewegen wir uns somit im Bereich der Grundsätze der DSGVO. Jeder Fehler an solchen Stellen könnte, abhängig vom Systemkontext des Fehlers, eine meldepflichtige Verletzung des Schutzes personenbezogener Daten bedeuten.
Eine effiziente, wirkungsvolle und wartungsarme Alternative ist das Einziehen einer Privacy-by-Design-konformen Architekturschicht in den verarbeitenden Systemen. Solch eine Architekturschicht kann jeglichen Zugriff auf Daten erkennen und hinsichtlich gegebener Einwilligungen und vorhandener Berechtigungen überprüfen. Auf Basis von entsprechenden Policies können so Entscheidungen getroffen werden, die zuvor prüfen, ob der Zugriff auf oder die Verwendung eines oder mehrerer Attribute konform zu den Policies und damit letztlich zu den gegebenen Einwilligungen oder vorhandenen Berechtigungen sind. Die Policies sind dabei praktisch ein Output des Privacy Cockpits. Somit wäre die Durchsetzung (Enforcement) von Einwilligungen und Berechtigungen im laufenden Betrieb der verarbeitenden Systeme Ende-zu-Ende sichergestellt. Die Umsetzung technischer Maßnahmen für Datenschutz und Datensicherheit zum Zeitpunkt des Betriebs von datenverarbeitenden Systemen ist ebenfalls eine Kernanforderung von Privacy by Design in der DSGVO.
IND²UCE als Lösung für Ende-zu-Ende Privacy Enforcement
Am Fraunhofer IESE wurde die Lösung IND²UCE für Datennutzungskontrolle entwickelt. IND²UCE stellt eine mögliche Umsetzung von Privacy-by-Design-Konzepten in Form einer Architekturschicht für Datenschutz- und Informationssicherheit dar. Die Technologie zielt im Kontext der DSGVO auf die sichere Durchsetzung von Einwilligungen und Berechtigungen zur Nutzung von personenbezogenen Daten ab.
IND²UCE unterstützt Ende-zu-Ende Privacy Enforcement auf drei Ebenen:
- Enforcement Ebene: Durchsetzung von Einwilligungen und Berechtigungen in datenverarbeitenden System;
- Decision Ebene: Herbeiführung von Entscheidungen zu Zugriff und Verwendung bzw. Nutzung von Daten und bedarfsweise Anreicherung mit Daten zum Kontext des Zugriffs oder der Nutzung bzw. Verwendung von Daten;
- Management Ebene: Administration von Policies, z.B. auf Basis der Einstellungen im Privacy Cockpit, Management von Policies, z.B. Aktivierung und Deaktivierung von Policies und die Speicherung von Policies.
Die Enforcement Ebene wird in die verarbeitenden Systeme integriert. Sie überwacht Zugriffe auf Daten und deren Verwendung, die so genannten Events, und setzt die gegebenen Einwilligungen und Berechtigungen auf Basis der Entscheidungen, der Decision Ebene, im Betrieb des Systems durch. Daneben besteht die Möglichkeit weitere Aktionen auszulösen wie z.B. Logging von Zugriffen oder Verarbeitungsschritten, Benachrichtigungen in Verdachtsfällen von Missbrauch oder die Verschlüsselung von Daten.
Die Decision Ebene steht als Dienst, auf den die Enforcement Ebene im Fall auftretender Events zugreift, zur Verfügung. Sie liefert eine Entscheidung zu einem Event an die Enforcement Ebene zurück, die dort dann entsprechend durchgesetzt wird. Dazu kann in der Decision Ebene auf zusätzliche Informationen zum Kontext, in welchem ein Event auftritt, zugegriffen werden. Dies kann z.B. ein Ort oder ein Zeitpunkt sein, aber auch jede andere relevante Information um eine Entscheidung zu einem Event zu unterstützen oder zu ermöglichen.
In der Management Ebene werden Policies zu Einwilligungen und Berechtigungen spezifiziert, gepflegt und gespeichert. Sie bietet einen technischen Policy Editor, der auch mit einem Privacy Cockpit verbunden werden kann. Weiter werden die Policies in der Management Ebene aktiviert und deaktiviert. Dies kann automatisch oder von Hand geschehen.
Das IND²UCE Framework ist mit allen drei Ebenen in der Abbildung unten dargestellt.
Die Art, wie IND²UCE als Architekturschicht für Datenschutz und Informationssicherheit in Systemen und digitalen Ökosystemen eingesetzt werden kann, ist in der Abbildung unten konzeptionell dargestellt. Hier werden die typischen Hook-in Punkte wie z.B. ein PEP, PXP oder PIP in einem Kontext von Systemen in einem Unternehmen, aber auch in der Verbindung mit z.B. mobilen Applikationen oder Systemen anderer Unternehmen oder Dienstanbieter dargestellt. PEP, PXP und PIP sowie das Privacy Cockpit (mittels PAP) sind mit dem Decision Service des PDP und dem PMP zum Management der Policies verbunden.
So wird die Ende-zu-Ende Durchsetzung vom Privacy Cockpit in die datenverarbeitenden Systeme erreicht.
Unter den folgenden Links finden Sie nähere Informationen zu IND²UCE, die probeweise Buchung des Free Decision Service in der Cloud sowie das IND²UCE SDK in Java Spring Technologie.
Zusammenfassung und Ausblick
Somit stehen wir am Ende unserer Serie zur DSGVO und Digitalen Diensten. Privacy by Design und Privacy by Default in der Plattformökonomie und in digitalen Ökosystemen, gerade auch unter dem Aspekt, dass die DSGVO die Datennutzung über Dienst- und Unternehmensgrenzen hinaus ermöglicht, umzusetzen, ist eine der spannendsten und am meisten herausfordernden Fragen im Zusammenhang mit Datenschutz. »Handgemachte« Überprüfungen von Berechtigungen und Einwilligung zur Verarbeitung von personenbezogenen Daten in Systemen bergen ein hohes Potenzial für Fehler, die zu meldepflichtigen Verletzungen des Schutzes personenbezogener Daten führen können. Da solche Verletzungen im Bereich der Grundsätze der DSGVO liegen würden, wären sie für Unternehmen bei Auftreten besonders unangenehm. Es ergibt also sehr viel Sinn, fortgeschrittene Konzepte wie IND²UCE für Privacy by Design in Form von entsprechenden Architekturschichten, die Einwilligungen und Berechtigungen im laufenden Betrieb von datenverarbeitenden Systemen durchsetzen, in eigenen Systemen einzusetzen.
Die vier wichtigsten Take-aways:
- Privacy by Design ist ein neuer und wichtiger Bestandteil der DSGVO und hängt mit vielen Artikeln zu den Grundsätzen – z.B. Einwilligungen, Datenminimierung, Transparenz – der DSGVO eng zusammen. Einer von vielen Aspekten von Privacy by Design ist die Entwicklung von Software und die Software selbst – auch im Betrieb.
- Als Anbieter digitaler Dienste kann man sich das Enforcement von Datensouveränität in den datenverarbeitenden Systemen schwermachen (IF-THEN-ELSE – tausendfach an internen und externen Schnittstellen) oder leicht, z.B. mit IND²UCE. Wie würden Sie sich entscheiden?
- Privacy by Default kann mit Privacy Cockpits einfach und intuitiv umgesetzt werden. Sie bündeln außerdem alle relevanten Verarbeitungsarten für Daten und deren Kategorien an einem Punkt. Außerdem können viele Aspekte von Transparenz in der DSGVO für den Nutzer verfügbar gemacht werden.
- Es gibt immer Nutzer, die eher indifferent sind bzgl. Datenschutz und Datensouveränität. Voraussichtlich werden diese aber im Verlauf der Zeit weniger werden. Für diese Nutzer reicht eine einfache Variante eines Privacy Cockpits. Diejenigen Nutzer, die eher sensibel sind bzgl. Datenschutz und Datensouveränität, sollten feingranulare Einstellungen in ihrem Privacy Cockpit vornehmen können. Diese Gruppe von Nutzern wird voraussichtlich im Verlauf der Zeit durch die steigende Sensibilität zum Thema Datensouveränität größer werden.
Am Ende der Serie soll noch auf die vieldiskutierte Frage eingegangen werden: Ist die DSGVO eine Gängelung für Unternehmen und Behörden oder ist sie ein echter Innovationstreiber? Wir am Fraunhofer IESE haben uns zu dieser Antwort entschieden: Sie ist ein echter Innovationstreiber und ermöglicht einen »New Deal on Data«.
Ab Ende Mai wünschen wir den Lesern zunehmend mehr Vergnügen bei der Nutzung digitaler Dienste mit sich stetig verbessernder Datensouveränität, Privatsphäre und der Möglichkeit auch Daten von verschiedenen Dienstanbietern und Plattformen nach ihren Wünschen für andere Zwecke zusammenzuführen und zu nutzen. Die digitale Zukunft hält noch Einiges bereit!
Rechtlicher Hinweis
Die Inhalte dieses Artikels und der Artikelserie zur DSGVO stellen keine Rechtsberatung dar.
Sie repräsentieren lediglich die Auslegung und technische Interpretation der Inhalte der DSGVO nach dem Verständnis des Autors.
2 thoughts:
Comments are closed.