Ein Überblick über Fachbegriffe und Themen rund um das Thema PET

Über die Notwendigkeit und Form datenschutzfördernder Maßnahmen gibt es in Wissenschaft, Wirtschaft und auch verstärkt beim Gesetzgeber zahlreiche Diskussionen und Meinungsverschiedenheiten. An dieser Stelle möchten wir aus neutraler Sicht „Datenschutzfördernde Technik“, deren Zweck und die damit verbundenen Grundsätze und Kriterien erklären.

Was sind "Privacy-Enhancing Technologies"?

Unter datenschutzfördernden oder manchmal auch „datenschutzfreundlich“ genannten Techniken (engl.: "Privacy Enhancing Technologies (PET)") versteht man Techniken, die den Datenschutz in Informations- und Kommunikationssystemen soweit wie möglich fördern und durchsetzen, zumindest aber unterstützen. Borking und Raab definierten in 2001 PET wie folgt: "Privacy Enhancing Technologies are a coherent system of ICT measures that protects privacy [...] by eliminating or reducing personal data or by preventing unnecessary and/or undesired processing of personal data; all without losing the functionality of the data system."

 

Zu den Kriterien und Grundsätzen für PET gehören:

  • Datenvermeidung und Datensparsamkeit, d.h. die Reduktion personenbezogener Daten in einem Informations- und Kommunikationssystem,
  • Systemdatenschutz, d.h. bereits technisch im System implementierte und organisatorisch verankerte Datenschutzmaßnahmen,
  • Selbstdatenschutz, d.h. ein Maximum an Steuerungsmöglichkeiten durch den Nutzer, sowie
  • Transparenz und andere vertrauensbildende Maßnahmen.

Was ist genau damit gemeint?

Datenschutz betrifft im Allgemeinen nicht nur die Datenerhebung selbst, sondern vor allem in der immer komplexer werdenden Welt der Kommunikationstechnologien auch die Verarbeitung und Nutzung von Daten. Dabei gilt es, durch technische und organisatorische Maßnahmen und durch den Einsatz von datenschutzfördernder Technik mit personenbezogenen Daten sehr sparsam umzugehen, Datenverarbeitungssysteme ausreichend zu schützen, dem Betroffenen selbst die Möglichkeit zu geben, seine Daten zu kontrollieren und mehr Transparenz über die Verwendung und die bestehenden Schutzmaßnahmen der personenbezogenen Daten zu schaffen.

 

Datenvermeidung und Datensparsamkeit

Gemäß § 3a des Bundesdatenschutzgesetzes (BDSG) hat die diesem Gesetz unterfallende Datenverarbeitung sich an dem Ziel auszurichten, keine (Datenvermeidung) oder so wenig personenbezogene Daten wie möglich (Datensparsamkeit) zu erheben, zu verarbeiten oder zu nutzen. Insbesondere ist von den Möglichkeiten der Anonymisierung und Pseudonymisierung Gebrauch zu machen, soweit dies möglich ist und der Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

Beispiele:

  • Anwendungsfunktionen zur Anonymisierung oder Pseudonymisierung des Anwenders,
  • Datenerhebungsprozesse, die eine Datenklassifizierung zulassen und damit z.B. eine zweckgebundene Datenerfassung und –verarbeitung zulassen, etc..

 

Systemdatenschutz

Der Begriff Systemdatenschutz wird fälschlicherweise oft als Datenschutz mit vor allem technischen Mitteln verstanden. Tatsächlich sind für einen effektiven Systemdatenschutz aber die folgenden drei Aufgabenbereiche zu berücksichtigen: (1) Technologie – Daten mit technologischen Lösungen wie z.B. Firewalls und Verschlüsselungstechniken schützen, (2) Prozesse – Datenflüsse innerhalb von Systemen oder z.B. auch von einer Einheit zur anderen durch organisatorische und technische Kontrollmaßnahmen schützen und (3) Mensch – Systeme durch organisatorische und bewußtseinsbildende Kommunikationsmaßnahmen auf die Datenschutzbedürfnisse und Verhaltensweisen des Anwenders hin ausrichten.

Beispiele:

  • Systemlösungen zur Absicherung von Netzwerken, Applikationen und Datenbanken,
  • Verschlüsselungsprogramme zur geschützten Kommunikation,
  • Automatisierte Hinweise über Datenschutzrisiken z.B. vor der Übermittlung von Daten über ungeschützte Kommunikationskanäle,
  • Technische Lösungen zur Abwehr von bösartigen Viren- und Spyware Programmen, etc..

 

Selbstdatenschutz

Zusätzlich zu den in einem System vorgesehenen Datenschutzmaßnahmen, gibt es unterschiedliche Möglichkeiten für den Anwender selbst, seine persönlichen Daten zu schützen. Obwohl sich immer noch zu viele Systemanwender zum Beispiel bei der Nutzung des Internets nicht darüber bewusst sind, wie die von ihnen selbst eingegebenen, personenbezogenen Daten oder selbst die unbeabsichtigt hinterlassen Datenspuren geschützt sind, gibt es mittlerweile zahlreiche technische Lösungen, die eigenen personenbezogenen Daten nach Bedarf zu selbst zu schützen.

Beispiele:

  • Tools zur Anonymisierung oder Pseudonymisierung des Anwenders,
  • Datenverschlüsselungsprogramme zur sicheren Kommunikation,
  • Vermeidung von Datenspuren durch Softwarelösungen, etc..

 

Transparenz und andere vertrauensbildende Maßnahmen

Neben den oben berücksichtigten technischen und organisatorischen Maßnahmen zu Förderung des Datenschutzes, ist die aktive und offene Kommunikation der eigenen Datenschutzpolitik z.B. eines Webshop-Anbieters, eine der wichtigsten Maßnahmen, um dem Anwender gegenüber Vertrauen zu geben. Mittlerweile gibt es auch zahlreiche, als datenschutzfördernder Technik (PET) zu definierende Lösungen, mehr Transparenz im Umgang mit dem Datenschutz zu ermöglichen.

Beispiele:

  • Durchführung und Kommunikation von Datenschutz Audits, Zertifizierungen und Gütesiegeln wie z.B. WebTrust u.a.,
  • Datenschutzerklärungen (P3P Version 1.0 bietet z.B. bietet die Möglichkeit, eine Webseite auf die Einhaltung der abgegebenen Datenschutzerklärung hin zu überprüfen und das Ergebnis den Anwendern transparent zu machen) etc.. 

 

Wozu dienen PETs?

Nicht zuletzt durch rechtliche Anforderungen der Datenschutzgesetze und auch unterschiedlicher Gesetze zur IT-Governance in der Wirtschaft ist beim Einsatz von Informations- und Kommunikationssystemen (IuK-Systeme) der Datenschutz personenbezogener Daten und generell die Datensicherheit von Vermögens- und Informationswerten zu gewährleisten. In den letzten Jahren aber stand bei der Erfüllung rechtlicher Anforderungen hauptsächlich der klassische Perimeterschutz und der Schutz vor Angriffen durch böswillige Softwareprogramme im Vordergrund. Der Datenschutz wurde dabei meist nur aus der organisatorischen Sicht betrachtet, nicht aber aus Sicht des Datengebers, also des Anwenders.

Technisch gesehen erfordert die immer stärker werdende Flexibilität, Komplexität und einfache Bedienbarkeit von IuK-Systemen notwendigerweise auch eine verstärkte Betrachtungsweise der Sicherstellung des Datenschutzes durch technische Maßnahmen – und das schon bei der Entwicklung der IT-Systeme. Der Einsatz datenschutzfördernder Technik kann hierbei ein geeignetes Mittel sein. „Privacy by Design“ könnte z.B. die Anonymisierung von Daten direkt in der Anwendung als Zusatzfeature ermöglichen.

 

< zurück zur Homepage der Fachgruppe PET