Ind2uce - das Security Framework für Datennutzungskontrolle

Schon gewusst? Am 28. Januar ist Data Protection Day!

Der europäische Datenschutztag (Data Protection Day) findet jährlich als Aktionstag am 28. Januar statt. Der Tag wurde ins Leben gerufen, weil an diesem Tag im Jahr 1981 die Europäische Datenschutzkonvention ratifiziert wurde. Die Bürger Europas sollen so für den Datenschutz sensibilisiert werden. Im Jahr 2008 schlossen sich die Vereinigten Staaten und Kanada der Initiative der Europäischen Union an. Dieser Blogbeitrag beleuchtet den Trade-off zwischen der Nutzung digitaler Services und dem Datenschutz kritisch und soll sensibilisieren.

Dieser Tag ist wichtig!

In unserer immer stärker digitalisierten Welt erlaubt uns die stetig steigende Zahl digitaler Services unseren Alltag in nahezu allen Belangen effizienter und komfortabler zu gestalten. Einerseits ermöglichen diese digitalen Services die Sammlung und Auswertung persönlicher Daten zu Vorlieben, Interessen, Bewegungsmustern oder Konsumverhalten der Nutzer – begründet mit dem Ziel, die Services individueller zu gestalten. Den Beginn dieses Datentrends kann man bei Suchmaschinen und Social Media verorten. Aber auch in anderen Branchen ist dies bereits ein Trend oder wird es werden: Online Shopping, Finanzwesen, Versicherungen, Gesundheitswesen. Dies ist sicherlich in vielen Fällen vorteilhaft für den Nutzer, denn Individualisierung an sich ist „gut“ und erhöht z.B. die Kundenzufriedenheit. Andererseits sammeln die Serviceanbieter auf diesem Weg sensible Daten über die Nutzer. Dies wäre nicht das größte Problem, wenn die Nutzer mitbestimmen könnten, was genau aus ihren Daten ausgewertet werden darf und an wen diese Ergebnisse im Detail oder aggregiert zu welchem Zweck weitergegeben werden dürfen. Meist gibt es diese Transparenz nicht und Möglichkeiten dies zu steuern fehlen nahezu gänzlich.

Für Menschen, die sich mit Datenschutz und Datensicherheit beschäftigen, waren die letzten Jahre zum Teil erschreckend: Massive Hackerangriffe mit dem Ergebnis des Diebstahls von Millionen von Nutzerdaten wie E-Mail Adressen, Profilen und Kreditkartendaten oder die Weitergabe von persönlichen Daten zwischen Unternehmen. Der Verkauf von Profildaten erzielt z.B. Preise ab ca. 10-15 EUR pro Profil – nach oben ist zurzeit keine echte Grenze auszumachen.

Haben wir eine Wahl?

Um es klar zu sagen: Jein! Ja, wir haben eine Wahl: Wir können die Entscheidung treffen, einen Service nicht zu nutzen und damit keine Daten vom Serviceanbieter über uns sammeln zu lassen. Nein, wir haben keine Wahl: Wir wollen einen Service zu unserem Vorteil nutzen und diesen Vorteil haben wir primär dann, wenn wir uns für die Nutzung entscheiden – mal ehrlich: wer liest schon die mehrseitigen AGB z.B. auf dem Smartphone vor der Zustimmung? Und was steht dort wirklich beschrieben über die Art der Datensammlung, -auswertung und -weitergabe? Wir stecken in einem Dilemma zwischen Datenfalle und dem Komfort, den der Service verspricht. Hoffnungslos?

Es gibt Hoffnung!

Aktuelle Studien zeigen klar, dass immer mehr Menschen das Thema Vertrauen (Trust) in Datenschutz bei der Auswahl von Anbietern (Services oder Produkte) in den Vordergrund stellen. Symantec hat in seinem State of Privacy Report 2015 – einer groß angelegten Studie, die in mehreren europäischen Ländern durchgeführt wurde – ermittelt, dass Sicherheit und Datenschutz bei Nutzungsentscheidungen inzwischen genauso wichtig sind wie Angebot und Kundenservice. Das bedeutet, dass die Sensibilisierung für den Umgang von Serviceanbietern mit Daten und dem Datenschutz bei den Nutzern steigt – das wird letztlich auch auf die Serviceanbieter wirken. Gleichzeitig handelt der Gesetzgeber auf europäischer Ebene mit der EU-Datenschutzgrundverordnung (DSGVO), die am 24. Mai 2016 in Kraft getreten und ab dem 25. Mai 2018 anzuwenden ist. Hier werden viele Aspekte der Handhabung, Speicherung und Übermittlung von Daten klarer und besser geregelt, als dies bisher der Fall ist, z.B. auch das Recht auf „Vergessen“, d.h. die Löschung von Daten. Insgesamt wird die informationelle Selbstbestimmtheit gestärkt. Außerdem hat eine Initiative von Bürgerinnen und Bürgern eine erste Version einer „Charta der Digitalen Grundrechte der Europäischen Union“ erarbeitet und am 5. Dezember 2016 an das Europäische Parlament und die Öffentlichkeit zur weiteren Diskussion übergeben.

Einige wenige große Serviceanbieter haben bereits Managementfunktionen für Datenerfassung über die Nutzung ihrer Services in ihren Lösungen integriert – sie sind tatsächlich als Vorbilder zu betrachten.

Es gibt Lösungen – bereits jetzt

 

Das Fraunhofer IESE arbeitet bereits seit mehreren Jahren am IND2UCE Framework für Datennutzungskontrolle, einer technologischen Unterstützung für Datenschutz.

IND²UCE befähigt Unternehmen das Potenzial datenzentrierter Geschäftsmodelle zu nutzen und gleichzeitig Datenmissbrauch zu verhindern.

IND²UCE befähigt Anwender ihre informationelle Selbstbestimmtheit aktiv auszuüben.

IND²UCE bietet somit eine Lösung für aktive und operative Datensicherheit und hohen Datenschutz für geschäftliche und private Anwendungen.
Lesen Sie hier mehr:

 

https://www.iese.fraunhofer.de/de/leistungen/security/datenschutz/ind2uce-framework.html

Seien Sie wachsam!

Es wird noch etwas dauern, bis Gesetze und Standards umfassend wirken und von Anbietern mit entsprechender Compliance umgesetzt sind. Bis dahin gilt: Seien Sie wachsam! Achten Sie bei der Nutzung von (neuen) Services darauf, welche Daten Sie preisgeben und welche nicht. Suchen Sie im Zweifelsfall nach einem alternativen Service, der weniger Daten über Sie benötigt. Haben Sie Zweifel, warum Ihre Daten an einer bestimmten Stelle verfügbar sind und genutzt werden? Dann fragen Sie nach! Sie haben bereits jetzt ein Recht auf Auskunft.

Genießen Sie den Data Protection Day am 28. Januar! Ich werde einmal versuchen, an diesem Tag keinen digitalen Service zu benutzen. Ich habe aber das Gefühl, dass mir das nicht gelingen wird.