Varonis Expertengespräch: Privacy by Default

Dr. Ann Cavoukian zu Privacy by Design, Privacy by Default und der 2018 in Kraft tretenden EU-Datenschutz-Grundverordnung

Dr. Cavoukian, nach ihrer politischen Karriere inzwischen Executive Director of Ryerson University’s Privacy and Big Data Institute hat maßgeblich das Privacy by Design-Konzept mit entwickelt. Darüber hinaus, und das ist es, was uns an dieser Stelle interessieren soll, haben ihre Sprachregelungen Eingang in die 2018 in Kraft tretenden EU-Datenschutz-Grundverordnung gefunden. Privacy by Design ist übrigens ganz und gar keine neue Idee und wurde bereits 1990 entwickelt. Es erlangt allerdings vor allem in Bezug auf das Internet der Dinge wieder verstärkt Bedeutung. Gerade in der Wirtschaft war und ist allerdings vielfach zu hören, dass sich Privacy by Design-Grundsätze nur eingeschränkt mit technologischem Fortschritt und wirtschaftlicher Prosperität verbinden lassen. Das sieht Cavoukian, die auch Regierungsbehörden und Unternehmen berät, anders. Ihrer Meinung nach lässt sich ein Big-Data-Anspruch sehr wohl mit dem Schutz der Privatsphäre verbinden. Die Botschaft von Cavoukian mutet simpel an, die ehemalige Politikerin und Wissenschaftlerin ist aber überzeugt, dass es möglich ist Daten zu erheben und gleichzeitig die Privatsphäre zu schützen.

Eine große Schwierigkeit, die Cavoukian benennt ist, dass man zwar – wie im Staat Ontario geschehen, wo sie selbst als Information and Privacy Commissioner tätig war – Gesetze und entsprechende Vorschriften erlassen kann. Ignoriert man aber die Bedenken von Mandatsträgern und vor allem Unternehmen gestaltet sich die Umsetzung nicht unbedingt einfach. Es besteht also durchaus Erklärungsbedarf. Warum ist ein solcher Ansatz im Interesse aller und warum profitieren letztlich sowohl Behörden und Unternehmen als auch Kunden und Endverbraucher davon? Für Cavoukian geht es ganz klar darum eine Win-Win-Situation für alle beteiligten herzustellen, für die Unternehmen, die Daten erheben, verwenden und gegebenenfalls aufbewahren wie für deren Kunden.

Ja. Und ja

Gerade in Europa wird die Situation allerdings deutlich anders gehandhabt und diskutiert als in den USA. Beispiel Biometrie. Dr. Cavoukian hebt hervor, dass es in Europa die höchste Zahl an Information und Privacy Officers und Sicherheitsexperten in ähnlichen Positionen gibt. Trotzdem wurde nicht ein weiterer regionaler Experte, sondern Cavoukian als Board-Member in das Biometrie-Forum berufen. Sie fragte sich warum. Die Antwort: Sie sagt „Ja“ zur Biometrie, votiert aber gleichzeitig für den Schutz der Privatsphäre (und habe sogar Konzepte in der Tasche). Eine deutlich andere Position als das europäische „entweder oder“.

Grundlage für einen Ansatz, in dem Profitabilität, Big Data-Nutzung und der Schutz der Privatsphäre natürlich zusammenspielen ist das Privacy by Design-Konzept.

Die Initialzündung war vor allem, dass es nach 9/11 in den USA eine ganz klare Forderung und ein vitales Interesse gab, die Öffentlichkeit zu schützen und Sicherheitsmaßnahmen erheblich zu verstärken. Das ging massiv auf Kosten der Privatsphäre jedes einzelnen. Nun ist aber nicht nur in den USA die Privatsphäre jedes Menschen ein ganz essentieller Bestandteil einer demokratischen Grundordnung und Teil des freiheitlichen Selbstverständnisses. Innerhalb dieser Diskussion hat Cavoukian von Anfang an die These vertreten, dass die öffentliche Sicherheit wie ein allumfassender Schirm funktionieren müsse. Und zwar als einer, unter dem Privacy von Anfang an Bestandteil des Prozesses ist.

Privacy by Default: Schutz der Privatsphäre als Standardeinstellung

Der Schutz der Privatsphäre verstanden als Standardeinstellung. Übertragen auf die Situation in einem Unternehmen bedeutet das, den Schutz der Privatsphäre gleich von Anfang an zu gewährleisten und dies gegenüber bestehenden und potenziellen Kunden zu kommunizieren.

Damit ist aber für Unternehmen und Behörden gleichzeitig eine Pflicht verbunden.
Nämlich genau darzulegen, für welchen Zweck Daten gesammelt und dass sie ausschließlich für genau diesen dargelegten Zweck verwendet werden. Es sei denn, die Kunden haben auf Nachfrage ausdrücklich zugestimmt, dass das betreffende Unternehmen die Daten für weitergehende (und dargelegte) Zwecke ebenfalls verwenden und aufbewahren darf.

Die Standardeinstellung bei diesem Konzept ist aber immer die: Die Daten werden nur für den ausdrücklich ausgewiesenen Zweck verwendet. Für nichts sonst. Der ungehemmten Datensammelwut einzelner Unternehmen erteilt Cavoukian nicht nur eine klare Absage, sondern macht ausgesprochen deutlich, dass sich dieses Verhalten sehr wohl als Boomeramg für das eigene Unternehmen erweisen kann.

Sensible Daten, von denen ein Unternehmen nicht genau weiß, wo sie sich befinden, wer darauf zugreifen kann und welche Aktivitäten mit diesen Daten verknüpft sind, sieht sie als eine an Hacker ausgesprochene Einladung an. Gerade sogenannte PII-Daten, also die Daten, über die sich eine Person eindeutig identifizieren lässt und die im Zuge der EU-Datenschutz-Grundverordnung deutlich erweitert worden sind, müssen sicher, verschlüsselt und nachvollziehbar verwendet und gespeichert werden.

Die Serie von spektakulären Hackerattacken, Insiderangriffen und Leaks in den vergangenen zwei, drei Jahren hat gezeigt, dass Angreifer früher oder später dahin gelangen wo sie hin gelangen wollen. Aus Sicht von Cavoukian ist es einigermaßen verstörend zu sehen wie nicht nur Unternehmen, sondern auch Behörden und Regierungsinstitutionen mit denen ihnen anvertrauten Daten umgehen und Vertrauen verspielen. Und mehr noch: Zusehen wie die Daten, anschließend von Hackern oder Insidern veröffentlicht, weiter verwendet oder zum Verkauf angeboten werden.

Eine Grundvoraussetzung, solche Desaster zu vermeiden ist es laut Cavoukian, die Daten in einer nicht identifizierbaren Form aufzubewahren, beispielsweise nur stark verschlüsselt. Genauso sollten nur diejenigen darauf zugreifen können, die diese Daten tatsächlich brauchen und die das über ein entsprechendes Autorisierungsverfahren tun. Ein besonders augenfälliges Beispiel sind sicherlich Patientendaten und jegliche Art von Gesundheitsdaten – auch sie in den letzten beiden Jahren überproportional vielen (erfolgreichen) Angriffen ausgesetzt. Auch in Deutschland sind inzwischen etliche Angriffe auf Einrichtungen im Gesundheitswesen bekannt geworden. Und immer geht es um hochsensible Daten. Gerade dieses Beispiel, bei dem sich jeder ein hohes Maß an persönlicher Betroffenheit gut vorstellen kann, führe oftmals dazu, dass Unternehmen einsehen wie notwendig ein Konzept wie PbD ist. Und ganz schlicht: um Schwierigkeiten zu vermeiden. Es ist neben den ersten offensichtlichen Schäden vor allem der Rufschaden, den Cavoukian ausdrücklich hervorhebt. Es kostet Unternehmen oft im wahrsten Sinne des Wortes Jahre ihren guten Ruf und ihre Glaubwürdigkeit wiederherzustellen. Dass dies bei weitem kein „weicher“ Faktor ist, sondern eine harte wirtschaftliche Währung, damit befasst sich bereits die entsprechende Literatur.

Meine Daten gehören mir?

Eine Schlüsselrolle beim Umgang mit den erhobenen Daten spielt es wem diese Daten gehören. Sicherlich nicht dem Unternehmen, das sie erhoben hat, sondern denen, die sie zur Verfügung gestellt haben. Daraus erwächst für alle, die Daten sammeln, verarbeiten und speichern, eine enorme Verantwortung, was sie wie mit diesen Daten tun. Und wie sie gewährleisten, dass die Daten tatsächlich geschützt sind.

Dazu gehört ein entsprechendes Berechtigungsmanagement bei dem sichergestellt ist, dass nur die dazu autorisierten Personen auf die Daten zugreifen können. Und dies nur im Hinblick auf den Zweck, zu dem die Daten erhoben worden sind. Privacy by Default gibt Kunden die Sicherheit, dass die erhobenen Daten von Anfang an standardmäßig geschützt werden.

Für Cavoukian bietet das Privacy by Default-Konzept allerdings nicht nur Vorteile in Sachen Informationssicherheit. Dass Unternehmen ihren Kunden diese Sicherheit geben können, darin liegt für sie ein ganz klarer Wettbewerbsvorteil. Zahlreiche in den letzten Monaten veröffentlichte Studien, haben deutlich gezeigt, dass eine überwältigende Mehrzahl von Befragten (nahezu 90 %) Privacy by Design befürwortet. Seit den Enthüllungen von Edward Snowden sind die Zahlen auf die höchsten jemals erhobenen Werte geklettert. Gleichzeitig war die Öffentlichkeit gegenüber Unternehmen und Regierungsinstitutionen noch nie so misstrauisch wie heute, wenn es um den Umgang mit persönlichen Daten und der Privatsphäre geht. Hier lässt sich laut Cavoukian sehr gut beobachten wie die Forderungen nach mehr Schutz der Privatsphäre und ein bereits weitreichender Vertrauensverlust Hand in Hand gehen.

Veränderung tut Not – Privacy by Default

Datenschutzvorfälle und Leaks werden vermutlich nicht schlagartig verschwinden. Lässt sich die Situation trotzdem ändern? Auf jeden Fall ist klar, dass Unternehmen und Behörden gleichermaßen aktiv werden müssen, um einen weiteren Vertrauensverlust zu verhindern beziehungsweise das ursprüngliche Vertrauen wiederherzustellen. Das bedeutet, nicht zu warten, bis Kunden oder Bürger ihr Recht auf Privatsphäre einfordern oder einklagen. Vielmehr muss Privacy by Design zu Privacy by Default werden. Unternehmen beginnen das zu verstehen. Es ist laut Cavoukian nicht Sache der Verbraucher sich mit seitenlangen Allgemeinen Geschäftsbedingungen und Richtlinien herumzuschlagen, diese dann – nicht selten ohne die Elaborate gelesen oder die tatsächliche juristische Tragweite ermessen zu können – mit einem Haken im entsprechenden Kästchen zu bestätigen. Cavoukian hält diesen Ansatz für falsch und die Ergebnisse von Befragungen geben ihr Recht. Spricht man Kunden und Endverbraucher direkt darauf an, wollen sie genau das: ein Konzept, bei dem der Schutz der Privatsphäre quasi von Anfang an mit „eingebaut“beziehungsweise als eine Art Standardeinstellung vorgegeben ist (und nicht in einem Prozess wie oben beschrieben mühsam ermittelt oder eingefordert werden muss).

Wie gesagt, bei all dem hat Cavoukian immer beide Seiten im Blick. Unternehmen profitieren davon, wenn sie ihren Kunden den Schutz der Privatsphäre von Anfang an, gleichzeitig mit einem Produkt, einer Lösung, einem Dienst anbieten können. Neben dem Wettbewerbsvorteil liegen hier zusätzliche unternehmerische Potenziale.

Und dann ist da noch das Internet Der Dinge

Neben mobilen Endgeräten existiert bereits eine Vielzahl von Geräten, die mit dem Internet verbunden sind. Ob das Wearables sind, elektronische Steuerungen für Garagen, Rollos oder Alarmanlagen, Kameras, Monitore, Kühlschränke, Fernseher oder Automobilelektronik. Die Zahl der Geräte, die mit einer Internetverbindung ausgestattet sind, ist schier unübersehbar, genauso wie die professionellen Anwendungen in der Industrie. Immer noch läge aber der Fokus nicht auf Sicherheitseinstellungen, sondern darauf, dass eine App, ein Dienst oder ein Gerät funktioniert. Erst danach – und nicht selten, wenn das Kind schon in den Brunnen gefallen ist – machen Entwickler sich Gedanken um die potenziellen Sicherheitslücken und die Folgen. An dieser Stelle genügt es nicht, die Verantwortung auf Drittanbieter aus der IT-Sicherheit abzuwälzen. Dabei kommen – so Cavoukian – nur unbefriedigende Lösungen heraus. Viel einfacher sei es Sicherheitsaspekte gleich bei der Entwicklung mit zu berücksichtigen. Hier bestehe aber enormer Aufklärungsbedarf. Gerade bei der Generation App-Entwickler bestehe oft nicht ein mal ein Bewusstsein dafür, Privacy-by-Design-Konzepte überhaupt zu berücksichtigen. „Viele Zuhörer*innen in einem meiner jüngsten Vorträge hatten es, wenn ich es ein Mal salopp formulieren darf, schlicht nicht auf dem Schirm. Für diese Entwickler steht das Produkt im Vordergrund, seine schnelle Marktfähigkeit. Sonst nichts.“

Privacy by Default – und warum Gesetze nie ausreichen

Dazu kommt, dass Privacy-by-Design-Konzepten ein gewisser Qualitätsstandard zugrunde liegen muss. Ob und an welcher Stelle Zertifizierungen vielleicht sinnvoll sind, wird die Praxis zeigen. Eine solche Zertifizierung wurde unter anderem am Privacy und Big Data Institute der Ryerson University, an der Cavoukian lehrt, in Zusammenarbeit mit Deloitte entwickelt. Auch wenn immer mehr Firmen und Regierungen dazu übergehen, Spezialisten für Informationssicherheit und Privacy einzustellen, rät Cavoukian davon ab, solche Positionen ausschließlich mit Juristen zu besetzen. Ihrer Meinung nach führt das nicht selten dazu, die Perspektive auf Gesetze und Richtlinien zu verengen und diese dann durchzusetzen.
Compliance zu gewährleisten und Regularien zu genügen ist unabdingbar, aber nicht alles.
Privacy by Design gleich zu Beginn in einen technologischen Prozess zu implementieren und als Teil der Architektur zu verstehen, ist keine juristische Angelegenheit. Laut Cavoukian bedarf es gerade auf der politischen und unternehmerischen Ebene weit mehr als „nur“ nach bestehenden Gesetzen zu handeln. Wissenschaftliche Erkenntnisse sollten ebenso in Betracht gezogen werden, Technologien wie eine starke Verschlüsselung, Sicherheit auf Protokollebene, Identitätssicherung und ein entsprechendes Rahmenwerk sind kritische Bestandteile eines PbD-Konzeptes. Das Spektrum dessen, was zu berücksichtigen ist, geht also deutlich über eine rein juristische Betrachtungsweise hinaus.