Die

„Neuen Datenschutz-
Schutzziele“
because: code is not law

Martin Rost
Unabhängiges Landeszentrum für
Datenschutz Schleswig-Holstein (ULD)
Berlin, den 6.11.2009

www.datenschutzzentrum.de

Gliederung

1. Bestandsaufnahme „Datenschutz-
Interventionskonzepte“

2. Die alten und die „Neuen Schutzziele“

3. Was ist zu tun?

D21 Berlin 2009-1106 2

 www.datenschutzzentrum.de

Findungsphase des Datenschutzes:

normativer Datenschutz
• ab 1890 (Brandeis, USA): „The right to be let alone“,
spontanes Thematisieren von Datenschutzaspekten, etwa
„Recht am eigenen Bild“.
• Mitte 1960: Diskussion über Missstände in Kreditwirtschaft
in USA: 100Mio Kreditdossiers mit Merkmalen aufgrund
bspw. von Auskünften durch Nachbarn („Nachbar ist
neurotisch“) lösen erste politische Aktivitäten aus.
• ab 1970: Datenschutz wird Bürgerrechtsthema. Hessisches
DS-Gesetz ab Oktober 1970 in Kraft. 1973 entsteht die
Rechtsfigur „informationelle Selbstbestimmung“. Ausbau der
Verrechtlichung und Institutionalisierung des Datenschutzes,
Einrichtung der Landesdatenschutzbeauftragten.
• 1983: Volkszählungsurteil des BVerfG, das „Recht auf
informationelle Selbstbestimmung“, abgeleitet aus Art. 1 und
2 des Grundgesetzes

D21 Berlin 2009-1106 3

www.datenschutzzentrum.de

Der moderne „operative“ Datenschutz

• ab Mitte der 1990: Technisierung des Datenschutzes: „Privacy-
Enhancing-Technologies“ (PET), Reaktion auf Internet-Risiken durch
Verschlüsselung, Signieren, „Identity-Protektor“ (Borking).
Orientierung an Sicherheits-Schutzzielen Verfügbarkeit, Integrität,
Vertraulichkeit, Tranparenz Bestandteile von §10 DSG-NRW 2000.
• ab 2000: Ökonomisierung des Datenschutzes, Datenschutz-
Gütesiegel und –Audit: „Privacy sells“. Prototypen für nutzer-
kontrolliertes Identitätsmanagement und Credentials, Inbetriebnahme
eines ANON-Servers durch das ULD-SH
• 2006: „Datenschutz in die Prozesse!“ durch „Integration“ in Common
Criteria, ITIL, CoBIT, BSI-Grundschutz, IFG-Bund tritt am am 1.1.
2006 in Kraft: Jeder hat einen Anspruch auf Zugang zu amtlichen
Informationen. „EuroPrise“ europäisches Datenschutzgütesiegel, vom
ULD konzep. und prakt getrieben
• 2008.02: BVerfG: „Gewährleistungsgrundrecht auf Integrität und
Vertraulichkeit informations-technischer Systeme“: Der Staat hat zu
gewährleisten, dass Bürger das Grundrecht wahrnehmen können.
• Ab Sommer 2009: Systematische Entwicklung operativ zugänglicher
Datenschutz-Schutzziele: Transparenz, Kontingenz, Nicht-
Verkettbarkeit
D21 Berlin 2009-1106 4
 www.datenschutzzentrum.de

Geltende Datenschutznormen
• Bundesdatenschutzgesetz – erstreckt sich auf
Privatpersonen, Privatwirtschaft und Bundesbehörden
• Landesdatenschutzgesetze – erstreckt sich auf öffentliche
Verwaltung in Land und Kommunen
• speziell in SH zusätzlich: DS-Verordnung
• Spezialgesetze:
 TMG, TKG
 SGB, AO, LandesMeldeGes, LVerwGesetz/ PolizeiGes,
PassGes, PersonalausweisGes, AufenthaltsGes., …
• EU:
 Europäische Grundrechte-Charta
 DS-Richtlinie, Wirkung nur über Import in deutsche
Gesetze.

D21 Berlin 2009-1106 5

www.datenschutzzentrum.de

Sieben Goldene Regeln des Datenschutzes

(entlehnt aus: Bizer, Johann: Sieben Goldene Regeln des Datenschutzes, in: DuD
2007/05: 350-356)
1. Rechtmäßigkeit
Jede Datenverarbeitung mit Personenbezug bedarf einer rechtlichen Grundlage,
entweder als Gesetz, Vertrag oder als betriebliche Regelung.
2. Einwilligung
Eine Einwilligung ist nur dann wirksam, wenn der Betroffene ausreichend
informiert worden ist und seine Einwilligung freiwillig erteilt hat.
3. Zweckbindungsprinzip
Personen bezogene Daten dürfen nur für den explizierten Zweck verwendet
werden.
4. Erforderlichkeit und Datensparsamkeit
Die Datenverarbeitung ist auf den für den Erhebungszweck notwendigen
Umfang zu begrenzen, insbesondere im Hinblick auf Menge und Art der
verarbeiteten Daten. Sie umfasst auch Löschung von Teildaten, sobald diese
nicht mehr benötigt werden.
5. Transparenz und Betroffenenrechte
Erhebung und Verarbeitung personenbezogener Daten muss gegenüber
Betroffenen transparent sein. Dies schließt Auskunfts-, Berichtigungs-,
Sperrungs- und Löschungsrechte ein.
6. Datensicherheit
Datenschutz ist nur dann gewährleistet, wenn personenbezogene Daten sicher
verarbeitet werden.
7. Kontrolle
Ist nur Teilaspekt Die Datenverarbeitung muss einer internen und externen Kontrolle unterliegen.
des Datenschutzes! D21 Berlin 2009-1106 6
 www.datenschutzzentrum.de

Datenschützer beobachten und bewerten

derart orientiert…
- d.h. sie planen, (installieren Prüfpunkte), kontrollieren, prüfen und
bewerten (organisationsintern oder -extern) - das Verhältnis von…
 öffentlicher Verwaltungen und deren externen Bürgern
 privaten Unternehmen und deren externen Kunden
 Praxen/ Instituten und deren externen Patienten, Mandanten,
Klienten, Menschen, Subjekten.
 IT-Infrastrukturanbietern und deren Nutzern
(bspw. Access-Providern, Suchmaschinen-Betreiber, Mail-
/Socialnetwork-Portal-Betreiber)
 Vereinigungen und deren internen Mitgliedern
 genereller: Organisationen und deren Mitarbeitern
im Hinblick darauf, ob und wie diese organisierten Kommunikationen
zwischen Organisationen und deren Klientel als Verarbeitung von Daten
unter Bedingungen gestellt werden (können).
D21 Berlin 2009-1106 7

www.datenschutzzentrum.de

Dabei bestehen drei aktuelle Strukturprobleme,

nämlich…
1. Organisationen haben im Hinblick auf die Organisationen unterlaufen
Kapazitäten der Datenverarbeitung gegenüber mit Hilfe von EDV
ihrer externen Klientel (Bürger, Kunden, „imperialistisch“ die
Patienten), ihren internen Mitgliedern, Nutzern funktional differenzierte
und Mitarbeitern, eindeutig die operativ- Gesellschaft, die
kognitive Übermacht. Sie strukturieren und gekennzeichnet ist durch
kontrollieren latent unfair und somit nicht Marktkonkurrenz und
vertrauenswürdig. Gewaltenteilung, offenem
wissenschaftlichen Diskurs und
2. „Bei diesem Strauß von Aufgaben entfällt die autonomen Individuen.
Arbeitskraft von 2 bis 2,5 Personen auf die
Kontrolle der Beschäftigten-kontrolleure
in den 700.000 Unternehmen und allen Vollzugsdefizit insbesondere
Behörden in NRW. (…) Das entspricht für ein der Aufsichtsbehörden, aber
auch der Auftraggeber bei
Unternehmen etwa dem Risiko von 1 Auftrags-DV. Unzureichende
Datenschutzkontrolle in 1000 Jahren. (…)“ Qualitätskontrolle bei
(Bettina Gayk, Referatleiterin bei der Landesbeauftragten Installation und Betrieb großer
für Datenschutz und Informationsfreiheit NRW -
https://www.datenschutzzentrum.de/sommerakademie/ IT-Infrastrukturen.
2009/sak09-gayk-datenschutzkontrolle-der-
beschaeftigtenkontrolleure.pdf)

D21 Berlin 2009-1106 8

 www.datenschutzzentrum.de

Beurteilung des BDSGes

• „Das bisherige Datenschutzkonzept (…) ist in den
70er Jahren am Paradigma zentraler Großrechner
entwickelt worden, zwischen denen ein
Datenaustausch die Ausnahme war.“
(Roßnagel, Pfitzmann, Garstka 2001: Modernisierung des Das BDSG ist sachlich
Datenschutzrechts: 22) veraltet, logisch
• „Die Forschreibung des BDSG ist anlassbezogene, widersprüchlich und
unüberschaubar. Es kann
symbolische Gesetzgebung, die allzu hastig als Ergebnis keine
reagiert und damit mehr einer politischen als einer angemessene
sachlichen Logik folgt. (…) ein funktionsloses Erwartungssicherheit
Schaustück des Reformwillens (…).“ erzeugen.
(Prof. Thüsing, 2009: Datenschutz im Arbeitsverhältnis, in: NZA
2009/16: 870)
• „Noch keiner BDSG-Novelle zuvor ist es so ein-
drucksvoll gelungen zu belegen, dass eine Grund-
sanierung des Datenschutzrechts überfällig ist.“
(Dirk Fox, 2009: Nach der Novelle ist vor der Sanierung, in DuD
2009/10: 583)
D21 Berlin 2009-1106 9

www.datenschutzzentrum.de

Wie lassen sich diese drei

Strukturprobleme konstruktiv angehen?
Gefordert ist die Entwicklung einer Orientierung
gebenden „positiven Stellgröße“ für Datenschutz,
1. die Organisationen weltweit verstehen und im
Hinblick auf ihre Klientel operativ beherrschbar,
sozial fair und subjektiv vertrauenswürdig
operativ umsetzen können,
2. die organisationsextern und weitgehend
automatisierbar zur Behebung des
Vollzugsproblems bei Prüfungen zugänglich ist,
3. die transparent, verständlich, logisch zugänglich als
schlank gehaltene normative Anforderungen
den Datenschutz-Gesetzen entnehmbar ist.
D21 Berlin 2009-1106 10
 www.datenschutzzentrum.de

Ein vielversprechender Kandidat für eine

solches Stellgrößenkonzept sind….

Schutzziele!

D21 Berlin 2009-1106 11

www.datenschutzzentrum.de

Vorteil von Schutzzielen

Schutzziele sind Attraktoren, auf die Hin etwas

positiv konstruiert werden kann, wobei sich die
Ziele durch Prozesse mit ausgewiesenen Soll-Ist-
Bilanzen ansteuern lassen.

Alle Beteiligten können sich an Schutzzielen

orientieren und wissen, welche Maßnahmen sie
zu ergreifen haben. Und sie können darüber
hinaus analysieren, wenn etwas falsch lief!

D21 Berlin 2009-1106 12

 www.datenschutzzentrum.de

Welche Schutzziele sollen es denn sein?

D21 Berlin 2009-1106 13

www.datenschutzzentrum.de
Die konventionellen Schutzziele der
Datensicherheit
IT-Infrastrukturen sind im Hinblick auf Daten-Sicherheit
so einzurichten, dass sie den folgenden Anforderungen
genügen:
 Verfügbarkeit
Personenbezogene Daten stehen zeitgerecht zur
Verfügung und können ordnungsgemäß verarbeitet
werden.
 Integrität
Personenbezogene Daten bleiben während der
Verarbeitung unversehrt, vollständig und aktuell.
 Vertraulichkeit
Nur Befugte können personenbezogene Daten zur
Kenntnis nehmen.
D21 Berlin 2009-1106 14
 www.datenschutzzentrum.de

Reichen diese?

So nach dem Motto: Wir haben damit ja eigentlich alles:

Man nehme die BSI-Grundschutz-Bausteine und sorge dafür,
dass Organisationen die Maßnahmen umsetzen,
(bzw. weist nach, dass man die Maßnahmen umgesetzt hat).

D21 Berlin 2009-1106 15

www.datenschutzzentrum.de

Bisherige Schutzziele-Konzepte
• Schwächen
(in der „Theorie“, keine Systematik der SZ)
 Die Beziehung von Schutzzielen untereinander ist
kaum untersucht. (Beispiel: Können Verfügbarkeit und
Vertraulichkeit von Daten zugleich angestrebt werden?)

 Die Schutzziel-Kataloge ufern, so scheint es,

beliebig aus.
 Das erzeugende System für Schutzziele ist unklar.
• Stärken
(in den Maßnahmen und Methoden)
 Security-Targets und Protection Profiles (CC)
 Trennung Ziele/Maßnahmen, DB-gestützte
Modellierungen (BSI-GS)
D21 Berlin 2009-1106 16
 www.datenschutzzentrum.de

Unterscheidung: Schutzziele / Maßnahmen

Schutzziele werden urch Schutzziel-Maßnahmen umgesetzt.

Typische Maßnahmen für Datensicherheit sind:
 Gewährleistung von Verfügbarkeit durch Redundanz
im Systemaufbau (bspw. durch Ersatzkomponenten und
automatisiertes Umschalten) oder bei der Daten-
Übermittlung (erneute Anforderung von Daten)
 Kontrolle der Integrität nach Systemaufbau oder nach
Datenübermittlung durch Hashwert-Vergleiche
(Signaturen, Systemconfigs-Absicherung mit „Tripwire“)
 Sicherstellung der Vertraulichkeit von
Daten(übermittlungen) oder Systemen durch
Verschlüsselung von Daten, Systembereichen oder
von Systemzugängen durch passwortgestützte Logins.

D21 Berlin 2009-1106 17

www.datenschutzzentrum.de

Baustein 1.5 Datenschutz, integriert im

BSI-Grundschutz

• neu seit 2007

• abgestimmt zwischen BfDI, LfDs, Aufsichtsbehörden
• Integration in die IT-Grundschutz-Kataloge
• auf den Webseiten des BSI verfügbar:
http://www.bsi.de/gshb/baustein-
datenschutz/index.htm
• bildet 13 Datenschutz-Gefährdungen und 16
Datenschutz-Maßnahmen ab

D21 Berlin 2009-1106 18

 www.datenschutzzentrum.de

GS-Tool des BSI

D21 Berlin 2009-1106 19

www.datenschutzzentrum.de

Spezielle Datenschutz-Schutzziele?

Lassen sich Schutzziele (mit entsprechenden

Maßnahmen) ausweisen, die die Anforderungen des
Datenschutzes ganz spezifisch fokussieren?
Mit der Folge, den gesicherten Kanon der
Datensicherheits-Schutzziele (Verfügbarkeit, Integrität,
Vertraulichkeit) zu ergänzen und seinerseits
spezifischer als bislang zuzuspitzen?

D21 Berlin 2009-1106 20

 www.datenschutzzentrum.de

Systematik der Schutzziele

Referenz: Rost/ Pfitzmann, 2009: Schutzziele revisited; in: DuD 2009/06: 353ff

?
Abstreitbarkeit
Kontingenz

Nicht-Verkettbarkeit
Selbst-
Findbar- > bezug > Verdeckt-
Dual
keit Verfügbarkeit al
Vertraulichkeit heit

Dual
Du
Ermit- Verbindlichkeit Anonymität Unbeob-
telbar- Erreichbarkeit achtbarkeit
keit
Transparenz
Integrität
Zurechenbarkeit Legende:
Informations-Inhalte
(Authentizität) Informations-Umfeld

D21 Berlin 2009-1106 21

www.datenschutzzentrum.de

Schutzziele (elementare und abgeleitete) auf

einen Blick
Inhalte Umfeld

Verdecktheit Unentdeckbarkeit
Unbeobachtbarkeit
Vertraulichkeit Anonymität
Kontingenz Abstreitbarkeit
Integrität Zurechenbarkeit
Verfügbarkeit Verbindlichkeit
Erreichbarkeit
Findbarkeit Ermittelbarkeit

Transparenz
Nichtverkettbarkeit

D21 Berlin 2009-1106 22

 www.datenschutzzentrum.de

Definitionen der Schutzziele

• Verfügbarkeit: Gesicherter Zugriff auf Information innerhalb einer festgelegten Zeit.
• Vertraulichkeit: Gesicherter Nichtzugriff auf Information (ggf. beschränkt auf eine
festgelegte Zeit).
• Integrität: Information ist (ggf. beschränkt auf eine festgelegte Zeit) gesichert echt.
• Kontingenz: Information ist (ggf. beschränkt auf eine festgelegte Zeit) gesichert nicht
gesichert echt.
• Verbindlichkeit/ Erreichbarkeit: Verfügbarkeit der Kommunikationsumstände, (…).
• Anonymität: Vertraulichkeit der Identität einer Entität.
• Zurechenbarkeit: Integrität der Kommunikationsumstände, d.h. Verpflichtungen einer
Entität sind überprüfbar.
• Abstreitbarkeit: Kontingenz der Kommunikationsumstände, d.h. Verpflichtungen einer
Entität sind abstreitbar.
• Ermittelbarkeit: Verfügbarkeit einer Entität, d.h. gesicherter Zugriff auf Entität innerhalb
einer festgelegten Zeit.
• Unbeobachtbarkeit: Unentdeckbarkeit für alle an der Kommunikation Unbeteiligten (alle
außer Sender und Empfänger) und Anonymität gegenüber an der Kommunikation
Beteiligten (beides ggf. beschränkt auf eine festgelegte Zeit).
• Transparenz: Transparenz eines Systemteils S bezeichnet seine Durchsichtigkeit für
Entität E im Sinne einer Blickdurchlässigkeit für E mit dem Zweck, S für E beobachtbar
bzw. erkennbar zu machen.
• Unverkettbarkeit (von Daten und Entitäten): Die Unmöglichkeit der Verkettung von
Daten und Entitäten untereinander und miteinander.
D21 Berlin 2009-1106 23

www.datenschutzzentrum.de

Beispiele für Maßnahmen der

Neuen Schutzziele
(Transparenz, Kontingenz, Nichtverkettbarkeit)

D21 Berlin 2009-1106 24

 www.datenschutzzentrum.de

Maßnahmen für Transparenz

Zutreffende Bezeichnung und gesicherte Dokumentation von
• Entitäten (Komponenten, Systeme, Organisationen, Menschen)
• Operationen,
• Zeiten
als für Beobachtungen und Analysen zugängliche Bestandteile von
 Konzepten (Zukunft)
Generelle Funktion: Systemerzeugung: Wer soll was bis wann machen?
DS-Zweck: Prüffähigkeit über Soll-/Ist-Bilanzierungen im Betrieb
herstellen
 Monitoring (Gegenwart)
Generelle Funktion: Systemstabilität: Wer oder was passiert aktuell?
DS-Zweck: Vorraussetzung zur Umsetzung von Betroffenenrechten (auf
Auskunft, Berichtigung, Sperrung, Löschung))
 Protokollierung (Vergangenheit)
Generelle Funktion: Fehler – bzw. Systemanalyse: Welche Operation fand
zu einem bestimmten Zeitpunkt statt?
DS-Zweck: Nachweis von Rechtskonformität, Revision, Beweis

nicht nur mit jeweils unmittelbar erkennbarem Personenbezug von Daten, da bei
technisch-organisatorischen Infrastrukturen Personenbeziehbarkeit latent
gegeben ist.
D21 Berlin 2009-1106 25

www.datenschutzzentrum.de

Maßnahmen für Kontingenz

• keine Akzeptanz einer Dominanz der Technik

gegenüber bestehenden sozialen Freiheitsgraden,
Erhalt von Ermessensfragen und Einzelfallgerechtigkeit
in Organisationen. Unabhängig von Fehlern soll ein
„geschützter Unklarheitsbereich“ erhalten bleiben.
• Mechanismen, die im Rahmen fehlertoleranter Systeme
entwickelt wurden.
• Technische Unterstützung insbesondere des
Stornierens von Prozessen und des Löschens („Wipen“)
von Daten (auch in der xten Backup-Kopie)

D21 Berlin 2009-1106 26

 www.datenschutzzentrum.de

Maßnahmen für Nichtverkettbarkeit

DS-Zweck: Operationalisierung von Zweckbindung,
Erforderlichkeit und Datensparsamkeit entsprechend der
Umsetzung bestehender funktionaler Separierungen (Politik/
Wirtschaft, Recht, Wissenschaft, Religion), Gewaltenteilung,
Ressorthoheiten, Bund/Länder/Gemeinden, Amtshilfe nur in eng
festgelegten Grenzen möglich.

• Nutzerkontrolliertes Identitätsmanagement: technisch

gestützte Pseudonymnutzung in Anonymität gewährleistenden
Netz-Infrastrukturen
• Bereichsspezifische Personenkennzahl (bpK, Beispiel
Österreich)
• Nutzerkontrolliertes Workflow-Management (UCW)
• Explikation des Schutzziels als WebServicePolicy, die ganz eng
zweckgebunden auf den WebService zugeschnittenen ist, (ergänzt
durch Testmethoden zur automatisierten Verifikation vom funkt.
und rechtlichen Anforderungen und Zusicherungen)
D21 Berlin 2009-1106 27

www.datenschutzzentrum.de

Abgrenzung der Schutzziele für

IT-Datensicherheit und Datenschutz
Datensicherheit Datenschutz
Dient dem Interesse
Dient dem Interesse der des Betroffenen (und der
Schutzzweck datenverarbeitenden Stelle Gesellschaft)

Bezieht sich auf alle

Anwendungs- Bezieht sich auf automati-
sierte Datenverarbeitung
Verarbeitungsarten

bereich Schützt vor

technischem Determinismus, Intrans-
Schützt vor dem Verlust
parenz und ungerechtfertigten
der Vertraulichkeit, Integrität
Funktion und Verfügbarkeit
Verkettungen von Daten, Prozessen und
Ereignissen mit Personenbezug

IT-Sicherheitsmassnahmen Datenschutzmaßnahmen
Maßnahmen realisieren Teilaspekte des
Datenschutzes
realisieren auch
IT-Sicherheitsmaßnahmen

D21 Berlin 2009-1106 28

 www.datenschutzzentrum.de

Beobachtung der Beobachter

John Keane bezeichnet in „The Life and Eath of

Democracy“ (soeben bei Simon & Schuster 2009
erschienen) die heutigen westlichen Demokratien als
„monitory democracy“

D21 Berlin 2009-1106 29

www.datenschutzzentrum.de

Was ist nun im Rahmen globaler

IT-Infrastrukturen zu tun?

D21 Berlin 2009-1106 30

 www.datenschutzzentrum.de

Schutzziele normativ festschreiben!

• Die sechs elementaren Datenschutz-Schutzziele sind in die

Datenschutz-Gesetze als zentrale technisch-
organisatorische Ziele aufzunehmen (vgl. §10 NRW-DSG).
• Die zu den Schutzzielen gehörigen Schutzmaßnahmen
sollten in Verordnungen aufgenommen werden (vgl. DSVO-
SH).
 Darin: Referenz bspw. auf Algorithmen-Kataloge etwa
bei der Bundesnetzagentur oder dem BSI, die den
„Stand der Technik“ (vgl. Anlage zu §9 BDSG)
repräsentieren.
• Schutzmaßnahmenkataloge sollten als Datenbank
strukturiert sein (vgl. BSI-GS-Tool).

D21 Berlin 2009-1106 31

www.datenschutzzentrum.de

Schutzziele enthalten in §10 DSG-NRW

• § 10 Technische und organisatorische Maßnahmen
• (…)
• (2) Dabei sind Maßnahmen zu treffen, die geeignet sind zu
gewährleisten, dass
 nur Befugte personenbezogene Daten zur Kenntnis nehmen können
(Vertraulichkeit),
 personenbezogene Daten während der Verarbeitung unversehrt,
vollständig und aktuell bleiben (Integrität),
 personenbezogene Daten zeitgerecht zur Verfügung stehen und
ordnungsgemäß verarbeitet werden können (Verfügbarkeit),
 jederzeit personenbezogene Daten ihrem Ursprung zugeordnet
werden können (Authentizität),
 festgestellt werden kann, wer wann welche personenbezogenen
Daten in welcher Weise verarbeitet hat (Revisionsfähigkeit),
 die Verfahrensweisen bei der Verarbeitung personenbezogener
Daten vollständig, aktuell und in einer Weise dokumentiert sind,
dass sie in zumutbarer Zeit nachvollzogen werden können
(Transparenz). D21 Berlin 2009-1106 32
 www.datenschutzzentrum.de

Schutzziel Linkability Bestandteil der CC

Verkettbarkeit ist als Schutzziel „Linkability“

ausgewiesener Bestandteil der Common Criteria.
IST/ IEC 154 08:
http://www.bsi.bund.de/literat/faltbl/F06CommonCriteria.htm

D21 Berlin 2009-1106 33

www.datenschutzzentrum.de

Maßnahmen für Transparenz in

Verordnung: Beispiel DSVO-SH
„Einleitung“
• § 1 Anwendungsbereich
• § 2 Begriffsbestimmungen
„Hauptteil“
• § 3 Verfahrensdokumentation
• § 4 Dokumentation der Sicherheitsmaßnahmen
• § 5 Dokumentation des Tests und der Freigabe
„Schluss“
• § 6 Übergangsregelung
• § 7 Inkrafttreten und Gültigkeit

D21 Berlin 2009-1106 34

 www.datenschutzzentrum.de

Schutzziele operativ umsetzen!

Die Schutzziele sind, anhand der ausgewiesenen Schutzziel-Maßnahmen,
bspw. in Form von Policies für WebServices im Rahmen der XÖV -
bzw. auf Infrastrukturebene für OSCI2.0 - zu operationalisieren. Konkret:
 Wer transformiert verantwortlich Normenanweisungen in technische
Befehle der WS-Schemata, um die für den interoperablen Einsatz
weltweit, bspw. in einer Verwaltungen und Unternehmen
übergreifenden Cloud-Infrastruktur, nutzen zu können?
 Wer stellt die aktuell gültigen Policies für die Schutzziele bei
kritischen Infrastrukturen verantwortlich zur Verfügung? Ganz
konkret gefragt:
 Wer betreibt integer und hochverfügbar die zentralen Policy-
Server? Landesweit, Deutschlandweit, EUweit, Weltweit?
 Wer sorgt für die rechtlichen Konsentierungen und ggf.
Übersetzbarkeiten, nur um ein drängendes Problem zu nennen,
von Signaturen mit ihren unterschiedlichen Sicherheits-Niveaus?
Wieder: letztlich im weltweiten Rahmen?

D21 Berlin 2009-1106 35

www.datenschutzzentrum.de

Schutzziel-Umsetzungen qualitativ sichern!

• Wer wird mit den Entwicklungen dieser Policies federführend unter
Beteiligung welcher Instanzen verantwortlich beauftragt?
• Wer sorgt für die Durchführung von Qualitätsmanagement für
Policies, mit denen die Schutzziele umgesetzt werden, während der
Projektphase und während des laufenden Betriebs? Konkreter:
 Wer darf Konformitäts-Tests entwickeln und kann Tests
durchführen (national/ international), ob Policies, in Deutschland:
in den XÖV-Verfahren, konzeptionell angemessen sind und vor
allem: tatsächlich genutzt und dann eingehalten werden?
 Datenschutzrechtlich folgerichtig: Jede anfordernde Instanz
muss die Zusicherungen eines Service prüfen, bevor sie den
Service (als Auftrags-DV) nutzt.
 Pragmatisch 1: Aufsichtsbehörden (Prüfungen, Gütesiegel,
Auditierungen), Stiftung Warentest, TÜV agieren als für Qualität
sorgende Instanzen.
 Pragmatisch 2: Service-Validierungen von WS-Ketten (vgl. Rost/
Speck 2009)
D21 Berlin 2009-1106 36
 www.datenschutzzentrum.de
Beispiel für aktuelle konzeptionelle Probleme bei
Authentisierung, Signatur, Verschlüsselung
(Referenz: Dr. Quiring-Kock, Der Hessische Datenschutzbeauftragte)

• In der Regel werden Dokumente elektronisch signiert.

Eine manuelle Unterschrift gilt ab sofort und unbefristet,
deshalb: Prüfung der Dokument-Signatur auf den
Zeitpunkt der Erstellung der Signatur!
• Strikte Trennung der Funktionen Authentisierung, Signatur
und Verschlüsselung: Pro Verwendungszweck ein eigenes
Schlüsselpaar mit genau einem Zertifikat. Denn nur so
besteht Transparenz für Nutzende und es kann kein
falscher Kontext untergeschoben werden.
• Entsprechend müssen zutreffende, klare Bezeichnungen
schon der Spezifikation zu entnehmen sein, sprich:
 „authentication“ anstatt wie bislang „digital signature“
 „content commitment“ anstatt „non repudiation“
D21 Berlin 2009-1106 37

www.datenschutzzentrum.de

Daraus abgeleitete DS-Anforderungen

• Auf bessere Übersetzbarkeit von Gesetzestexten in
technisch ausführbare Policies achten. (vgl. LKIF, Verw.Informatik)
• Vermehrt über hochauflösende OptIn-Anfragen aus
Verfahren heraus Betroffene einbinden. (vgl. Peters)
• Nutzdaten containern mit Freigabe eines Datums erst nach
Zweckangabe (vgl. Schwaiger (TU-München), Prototyp „Zerberus“)
• Mechanismen des Prozesscontrollings ohne zwangsläufigen
Inhaltszugriff einrichten. (vgl. Rost 2008: UCW beim EAP)
• Nutzerkontrolle durch Identitymanagement Type 3
ermöglichen. (vgl. FIDIS, PRIME, Hansen)
• Die Selbstauskunft technischer Systeme, über das was sie
tun (können) verbessern („Selbstdokumentation“).
• Prozess-übergreifendes Protokollieren als dedizierten
Service nutzbar machen. (vgl. Ringelstein 2007: „WS-Logging“, Rost 2007)
D21 Berlin 2009-1106 38
 www.datenschutzzentrum.de

Auszug: Beschluss der DSB-Konferenz

Oktober 2009 in Berlin zum IT-Planungsrat
„Die Beauftragten für Datenschutz und Informationsfreiheit
des Bundes und der Länder bieten deshalb dem zu
bildenden IT-Planungsrat ihre umfassende und frühzeitige
Mitwirkung im Rahmen eines kontrollierten
Qualitätsmanagements an, zu denen insbesondere die
datenschutzgerechte Festsetzung und Handhabung von
Interoperabilitäts- und IT- Sicherheitsstandards
sowie die Umsetzung spezifischer Datenschutzziele
zählen. Anderenfalls laufen die Projekte von vornherein
Gefahr, erst im Nachhinein mit enormen Kosten an die
jeweils erforderlichen Datenschutzvorkehrungen angepasst
werden zu müssen. Dieser Gefahr sollte der IT-Planungsrat
vorbeugend begegnen.“
D21 Berlin 2009-1106 39

www.datenschutzzentrum.de

Fazit: Was versprechen die Schutzziele (SZ)?

• pragmatisch: SZ erzeugen anhand von Maßnahmen Kontrollfähigkeit

von Organisationen, normative Zusagen und Anforderungen an
automatisierte DV werden ihrerseits automatisiert testbar.
• rechtsdogmatisch: SZ erweitern die Grundrechte um operative Aspekte
staatlicher Gewährleistungen -> Der Einstieg war das „Integritäts- und
Vertraulichkeitsurteil“ des BVerfG!
• rechtspragmatisch: SZ erzeugen zwangsläufig die Erwartung, dass der
Gesetzestext selber den in ihm formulierten Anforderungen genügt.
• soziologisch: SZ machen „Systemvertrauen“ im Hinblick auf operative
Beherrschbarkeit, soziale Fairness und subjektive Vertrauenswürdigkeit
von Systemen kalkulierbar.
• philosophisch: SZ ergänzen als verallgemeinerungsfähige, vernünftige,
operativ umsetzbare Anforderungen an gesellschaftliche Systeme die
Anforderungen an eine vernünftige Rede (vgl. Jürgen Habermas 1981:
Theorie des kommunikativen Handelns). -> Vollständigkeitsvermutung
D21 Berlin 2009-1106 40
 www.datenschutzzentrum.de The Big Picture
Schutzziele, DS-Managment, KPI, PenTests
Ziel:
Datenschutz
Musterprozesse des
in Organisationen
DS-Managements

ba le
Normen

er hut n
ich ie
Sc ache

r
re zz
Prozeßzustand
muss erkennbar/

M
Techn/org. operationalisiert durch bewertbar sein
Schutzziele und -maßnahmen,
operationalisiert durch Security-/
Privacy-Policies (z.B. WS) KPIs

Managementprozess
v und KPIs Verfahrens-
Penetrations-Tests
messbares und bewertbares intern/ extern
Datenschutz-Management

datenschutzkonforme
(Verfahren in) Organisationen
D21 Berlin 2009-1106 41

www.datenschutzzentrum.de
Referenzen
• Schutzziel-Kataloge
 CAN 1992: The Canadian Trusted Computer Product Evaluation Criteria Version 3.0e, April 1992.
 Common Criteria/ IST/IEC 15408: http://www.bsi.bund.de/literat/faltbl/F06CommonCriteria.htm,
Common Criteria Portal: http://www.commoncriteriaportal.org/
 DoD, 1985: Department of Defense Trusted Computer System Evaluation Criteria; December 1985, DOD
5200.28-STD, Supersedes CSC-STD-001-83, dtd 15 Aug 83, Library No. S225, 711
 ITSEC 1991: European Communities - Commission: ITSEC: Information Technology Security Evaluation
Criteria; (Provisional Harmonised Criteria, Version 1.2, 28 June 1991) Office for Official Publications of the
European Communities, Luxembourg 1991.
 IT-Grundschutz: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/itgrundschutz_node.html
• Systematische Untersuchungen zu Schutzzielen
 Wolf, Gritta / Pfitzmann, Andreas; 2000: Charakteristika von Schutzzielen und Konsequenzen für
Benutzungsschnittstellen; in: Informatik Spektrum, 2000/ 06: 173-191.
 Federrath, Hannes / Pfitzmann, Andreas, 2000: Gliederung und Systematisierung von Schutzzielen in
IT-Systemen; in: DuD, Datenschutz und Datensicherheit, Vieweg-Verlag 24/12: S. 704-710.
 Rost, Martin / Pfitzmann, Andreas, 2009: Datenschutz-Schutzziele - revisited; in: DuD -
Datenschutz und Datensicherheit, 33. Jahrgang, Heft 6, Juli 2009: 353-358
• Kontext Datenschutz-Schutzziele und Maßnahmen, Informationsfreiheit
 Anderson,T. / Lee, P. A., 1981: Fault Tolerance - Principles and Practice; Prentice Hall, Englewood Cliffs,
New Jersey
 Rost, Martin 2004: Verkettbarkeit als Grundbegriff des Datenschutzes?; in: Innovativer Datenschutz,
Für Helmut Bäumler 2004: 315-334, http://www.maroki.de/
 Rost, Martin (Hrsg.): Schwerpunktthema Protokollierung,in: DuD 2006/ 05, DuD 2007/ 10.
 ULD / TU-Dresden 2007: BMBF-Studie: Verkettung digitaler Identitäten
https://www.datenschutzzentrum.de/studien/verkettung/
 BVerfG: Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer
Systeme: http://www.bundesverfassungsgericht.de/entscheidungen/rs20080227_1bvr037007.html
 Schutzziele in WebService-Policies: Rost, Martin / Speck, Andreas, 2009: Modellgestützte Validierung von
WebService-Ketten; in: DuD - Datenschutz und Datensicherheit, 33. Jahrgang, Heft 6, Juli 2009: 359-363
 Rost, Martin, 2008: Das etwas andere Modell vom Einheitlichen Ansprechpartner EAP; in: Verwaltung und
Management, 14. Jahrgang, Heft 4: 220-223 (User-Controlled-Workflow)
 Schutzziele als verallgemeinerungsfähige Anforderungen an vernünftig gesteuerte
organisatorische und technische Systeme: Habermas, Jürgen, 1981: Theorie des kommunikativen
Handelns, Frankfurt am Main: Suhrkamp
 Schoch, Fr., 2009: Aktuelle Fragen des Informationsfreiheitsrechts; in: NJW 2009/ 41: 2987-2994
D21 Berlin 2009-1106 42
 www.datenschutzzentrum.de

Kontakt?

Martin Rost

E-Mail martin.rost@datenschutzzentrum.de
Telefon 0431 9881391
Adresse Holstenstraße 98, 24103 Kiel
Web www.datenschutzzentrum.de

D21 Berlin 2009-1106 43