Sichere und datenschutzkonforme Benutzerverwaltung als Online-Service

Datenverarbeitung nach Nutzerpräferenzen
Datenverarbeitung nach Nutzerpräferenzen.
© Daniel Janusz u. Jochen Taeschner
Motivation

In einer Zeit zunehmender Internetkriminalität stehen Anbieter von Online-Services wie Web-Shops, Partnervermittlungen oder Lieferdienste vor der Herausforderung, die von ihnen gesammelten Kundendaten vor Angriffen und Datendiebstahl zu schützen. Darüber hinaus müssen bei der Speicherung und der Verarbeitung personenbezogener Daten datenschutzrechtliche Vorschriften eingehalten werden, die alle Anbieter hinsichtlich einer technisch konformen Implementierung vor große Herausforderungen stellt.

Aufgabenstellung

Marktübliche Datenbanksysteme zur Verwaltung von Benutzerdaten verfügen in der Standardkonfiguration nicht über besondere Funktionalitäten für den Datenschutz. Betreiber von Online-Services stehen daher vor der grundlegenden Aufgabe, eine Reihe von Maßnahmen zu ergreifen, um die gespeicherten Kundendaten vor Missbrauch und Diebstahl zu schützen (Zugriffsschutz). Darüber hinaus müssen Vorkehrungen getroffen werden, um personenbezogene Daten entsprechend den geltenden Rechtsvorschriften verarbeiten zu können (zweckmäßige Verwendung).

Die technische Implementierung einer sicheren und datenschutzkonformen Benutzerverwaltung ist nicht trivial. Leider zeigt sich immer wieder, dass selbst große Unternehmen, wie z.B. Yahoo!, Adobe oder Sony, nicht in der Lage sind, sichere und datenschutzkonforme Online-Systeme zu betreiben. Beim Entwurf ihrer Systeme greifen viele Unternehmen meist auf Standardkomponenten zur Benutzerverwaltung zurück. Diese müssen jedoch erst aufwändig erweitert werden, um den gewünschten Datenschutz zu erreichen. Mangelndes Wissen und fehlende Entwicklungsressourcen führen dann schnell dazu, dass Sicherheitslücken und Datenschutzrisiken übersehen werden. Daher wäre es wünschenswert, wenn eine Standardkomponente zur Benutzerverwaltung mit einer hohen Qualität in Bezug auf den Schutz der Privatsphäre existieren würde.

Entwicklungsziele

Vor diesem Hintergrund haben sich im Xinnovations e. V. der Berliner IT-Spezialist kreuzwerker und eine Forschungsgruppe am Lehrstuhl von Prof. Johann-Christoph Freytag an der Humboldt-Universität zu Berlin in einem Kooperationsprojekt zusammengeschlossen, um neue Technologien für eine sichere und datenschutzkonforme Verarbeitung von Benutzerdaten zu erforschen und zu entwickeln.

Im Fokus des Forschungsprojekts steht die Entwicklung eines prototypischen Nutzerdatenverwaltungssystems, das dem Privacy-by-Design-Prinzip genügt. Für sämtliche Nutzer können damit Richtlinien für die Verwendung ihrer Daten angegeben werden. Das System garantiert die Durchsetzung der Richtlinien bei jedem Datenzugriff, sodass selbst der Online-Anbieter in seinen Handlungen eingeschränkt wird. Insbesondere kann das System anonymisierte Datensichten bereitstellen, die verschiedenen formalen Konzepten genügen.

Kerninnovation

Die Kerninnovation besteht darin, den Nutzern mehr Souveränität über ihre Daten zu geben. Ein neuartiges Datenmodell kombiniert mit bewährten und zuverlässig implementierten kryptographischen Verfahren stellt sicher, dass personenbezogene Daten nur gemäß den Nutzerpräferenzen verwendet werden können. Entsprechende Algorithmen zur Anonymisierung ermöglichen die Weiterverarbeitung von Daten (z. B. für statistische Zwecke, interessenbezogenes Marketing etc.), ohne die Privatsphäre der Nutzer zu beeinträchtigen.

Vorteile für Online-Anbieter

Die technologische Innovation fokussiert jedoch nicht nur die Privatsphäre der Nutzer. Betreiber von Online-Diensten profitieren, weil das System grundlegende Prinzipien des Datenschutzrechts (Zugriffsschutz / Zweckbindung / Anonymisierung) als Standardfunktionalitäten auf einem hohen technischen Niveau bereithält. Die Kosten für einen sicheren und datenschutzkonformen IT-Betrieb können damit gesenkt, das Risiko für Folgekosten von Datendiebstahl und Rechtsverletzungen wird minimiert.

Ausblick

Spätestens seit dem nationalen IT-Gipfel 2016 ist die Idee der Datensouveränität öffentlich zu einem politischen Leitbegriff geworden. Demnach soll der Staat die Souveränität seiner BürgerInnen über die Frei- und Weitergabe persönlicher Daten schützen. Die im Rahmen des Projekts entwickelten Technologien kommen dieser Forderung entgegen. Sie bilden eine neue Klasse von Verfahren zur Datenverarbeitungen, die Datenzugriffe nur auf Basis der Präferenzen des Nutzers ermöglichen. Die Herausforderung wird sein, die richtige Balance zu finden zwischen den Datenschutzinteressen der Nutzer und den berechtigten Interessen der Anbieter von Online-Diensten zur Datenverwertung.

Über die weiteren Aktivitäten zur Verwertung der Projektergebnisse infomiert unser Netzwerkpartner kreuzwerker in seinem Blog.

Partner

gefördert im Rahmen von: