Lesen: Datenschutz / Einführung in Computeranwendungen und -konzepte

Einführung
Informationstypen
Internet
Kabelfernsehen
Medizinisch
Finanziell
Locational
Politisch
Educational
Rechtmäßigkeit
Probleme mit dem Safe Harbor-Programm und Passagierdatensätzen
Schutz der Privatsphäre in Informationssystemen
Richtlinienkommunikation
Richtliniendurchsetzung
Schutz der Privatsphäre im Internet

Einführung

Cover des Time Magazine mit dem Titel "Ihre Daten: Zu verkaufen."

Datenschutz oder Datenschutz (oder Datenschutz) ist die Beziehung zwischen der Sammlung und Verbreitung von Daten, Technologie, der öffentlichen Erwartung der Privatsphäre und den rechtlichen und politischen Fragen, die sie umgeben.

Datenschutzbedenken bestehen überall dort, wo personenbezogene Daten oder andere sensible Informationen gesammelt und gespeichert werden – in digitaler Form oder auf andere Weise. Eine unsachgemäße oder nicht vorhandene Offenlegungskontrolle kann die Ursache für Datenschutzprobleme sein. Datenschutzprobleme können als Reaktion auf Informationen aus einer Vielzahl von Quellen auftreten, wie zum Beispiel:

Gesundheitsakten
Strafrechtliche Ermittlungen und Verfahren
Finanzinstitute und Transaktionen
Biologische Merkmale wie genetisches Material
Aufenthalts- und geografische Aufzeichnungen
Ethnische Zugehörigkeit
Datenschutzverletzung
Location-based Service and geolocation

Die Herausforderung beim Datenschutz besteht darin, Daten auszutauschen und gleichzeitig personenbezogene Daten zu schützen. Die Bereiche Datensicherheit und Informationssicherheit entwerfen und nutzen Software, Hardware und Personal, um dieses Problem anzugehen. Da sich die Gesetze und Vorschriften zum Datenschutz ständig ändern, ist es wichtig, sich über Gesetzesänderungen auf dem Laufenden zu halten und die Einhaltung der Datenschutz- und Sicherheitsvorschriften ständig zu überprüfen.

Informationstypen

Verschiedene Arten von persönlichen Informationen unterliegen häufig Datenschutzbedenken.

Internet

Die Fähigkeit, die Informationen, die man über sich selbst über das Internet preisgibt, zu kontrollieren und wer auf diese Informationen zugreifen kann, ist zu einem wachsenden Problem geworden. Zu diesen Bedenken gehört, ob E-Mails von Dritten ohne Zustimmung gespeichert oder gelesen werden können oder ob Dritte weiterhin die besuchten Websites verfolgen können. Ein weiteres Problem ist, dass Websites, die besucht werden, personenbezogene Daten über Benutzer sammeln, speichern und möglicherweise weitergeben.

Das Aufkommen verschiedener Suchmaschinen und der Einsatz von Data Mining schufen die Möglichkeit, Daten über Einzelpersonen sehr einfach aus einer Vielzahl von Quellen zu sammeln und zu kombinieren. Die FTC hat eine Reihe von Richtlinien bereitgestellt, die weithin akzeptierte Konzepte in Bezug auf faire Informationspraktiken auf einem elektronischen Marktplatz darstellen, die als Fair Information Practice Principles bezeichnet werden.

Um nicht zu viele persönliche Informationen preiszugeben, sollten E-Mails verschlüsselt und das Surfen auf Webseiten sowie andere Online-Aktivitäten spurlos über Anonymisierer oder, falls diesen nicht vertraut wird, über Open-Source–Anonymisierer, sogenannte Mix-Netze, wie I2P – The Onion Router oder Tor, erfolgen.

E-Mail ist nicht die einzige Internetnutzung mit Bedenken hinsichtlich der Privatsphäre. Alles ist heutzutage über das Internet zugänglich. Ein großes Problem mit dem Datenschutz bezieht sich jedoch auf soziale Netzwerke. Zum Beispiel gibt es Millionen von Nutzern auf Facebook, und die Vorschriften haben sich geändert. Menschen können in Fotos markiert werden oder wertvolle Informationen über sich selbst entweder durch Wahl oder die meiste Zeit unerwartet von anderen ausgesetzt haben. Es ist wichtig, vorsichtig zu sein, was über das Internet gesagt wird und welche Informationen sowie Fotos angezeigt werden, da dies alles im Internet durchsucht und für den Zugriff auf private Datenbanken verwendet werden kann, sodass jeder schnell online gehen und ein Profil erstellen kann Person.

Kabelfernsehen

Die Fähigkeit zu kontrollieren, welche Informationen man über sich selbst über Kabelfernsehen preisgibt und wer auf diese Informationen zugreifen kann. Zum Beispiel können Dritte IP-TV-Programme verfolgen, die jemand zu einem bestimmten Zeitpunkt gesehen hat.

Das Hinzufügen von Informationen in einem Rundfunkstrom ist für eine Publikumsbewertung nicht erforderlich, zusätzliche Geräte müssen nicht in den Häusern von Zuschauern oder Zuhörern installiert werden, und ohne die Notwendigkeit ihrer Zusammenarbeit können Publikumsbewertungen automatisch in Echtzeit durchgeführt werden.

Medizinisch

Eine Person möchte möglicherweise nicht, dass ihre Krankenakten an andere weitergegeben werden. Dies kann daran liegen, dass sie Bedenken haben, dass dies ihren Versicherungsschutz oder ihre Beschäftigung beeinträchtigen könnte. Oder es kann sein, weil sie nicht möchten, dass andere über medizinische oder psychologische Zustände oder Behandlungen Bescheid wissen, die peinlich wären. Die Enthüllung medizinischer Daten könnte auch andere Details über das persönliche Leben preisgeben. Datenschutzverletzung Es gibt drei Hauptkategorien der medizinischen Privatsphäre: informativ (der Grad der Kontrolle über persönliche Informationen), physisch (der Grad der physischen Unzugänglichkeit für andere) und psychologisch (das Ausmaß, in dem der Arzt die kulturellen Überzeugungen, inneren Gedanken, Werte, Gefühle und religiösen Praktiken der Patienten respektiert und es ihnen ermöglicht, persönliche Entscheidungen zu treffen). Ärzte und Psychiater in vielen Kulturen und Ländern haben Standards für Arzt-Patienten-Beziehungen, zu denen auch die Wahrung der Vertraulichkeit gehört. In einigen Fällen ist das Arzt-Patienten-Privileg gesetzlich geschützt. Diese Praktiken sind vorhanden, um die Würde der Patienten zu schützen und sicherzustellen, dass die Patienten sich frei fühlen, vollständige und genaue Informationen preiszugeben, die für die korrekte Behandlung erforderlich sind. Die Vereinigten Staaten haben Gesetze zum Schutz privater Gesundheitsinformationen, siehe HIPAA und HITECH Act.

Finanziell

Informationen über die Finanztransaktionen einer Person, einschließlich der Höhe der Vermögenswerte, Positionen in Aktien oder Fonds, ausstehenden Schulden und Käufe, können sensibel sein. Wenn Kriminelle Zugang zu Informationen wie Konten oder Kreditkartennummern einer Person erhalten, könnte diese Person Opfer von Betrug oder Identitätsdiebstahl werden. Informationen über die Einkäufe einer Person können viel über die Geschichte dieser Person aussagen, z. B. Orte, die sie besucht hat, mit denen sie Kontakt aufgenommen hat, Produkte, die sie verwendet hat, ihre Aktivitäten und Gewohnheiten oder Medikamente, die sie verwendet hat. In einigen Fällen möchten Unternehmen diese Informationen möglicherweise verwenden, um Personen mit auf die persönlichen Vorlieben dieser Person zugeschnittenem Marketing anzusprechen, was diese Person möglicherweise genehmigt oder nicht genehmigt.

Locational

Eine Karte von Großbritannien mit Punkten, die alle Standorte eines iPhones zeigt.

Die Punkte zeigen alle Standorte an, die von einem iPhone ohne Wissen des Benutzers protokolliert wurden.

Da die Standortverfolgungsfunktionen mobiler Geräte zunehmen (standortbasierter Dienst), treten Probleme im Zusammenhang mit der Privatsphäre der Benutzer auf. Standortdaten gehören in der Tat zu den sensibelsten Daten, die derzeit gesammelt werden. Eine Liste potenziell sensibler beruflicher und persönlicher Informationen, die auf eine Person geschlossen werden könnten, die nur ihre Mobilitätsspur kennt, wurde kürzlich von der Electronic Frontier Foundation veröffentlicht. Dazu gehören die Bewegungen eines Mitbewerbers, der Besuch einer bestimmten Kirche oder die Anwesenheit einer Person in einem Motel oder in einer Abtreibungsklinik. Eine aktuelle MIT-Studie von de Montjoye et al. zeigte, dass 4 räumlich-zeitliche Punkte, ungefähre Orte und Zeiten, ausreichen, um 95% von 1 eindeutig zu identifizieren.5 MILLIONEN Menschen in einer Mobilitätsdatenbank. Die Studie zeigt weiter, dass diese Einschränkungen auch dann gelten, wenn die Auflösung des Datensatzes niedrig ist. Daher bieten selbst grobe oder unscharfe Datensätze wenig Anonymität.

Politisch

Die politische Privatsphäre ist seit dem Aufkommen der Wahlsysteme in der Antike ein Problem. Die geheime Abstimmung ist die einfachste und am weitesten verbreitete Maßnahme, um sicherzustellen, dass politische Ansichten niemandem außer dem Wähler selbst bekannt sind — sie ist in der modernen Demokratie nahezu universell und gilt als Grundrecht der Staatsbürgerschaft. In der Tat, auch wenn andere Rechte der Privatsphäre nicht existieren, ist diese Art der Privatsphäre sehr oft der Fall.

Educational

Im Vereinigten Königreich beschrieb der Bildungsminister Michael Gove im Jahr 2012 die National Pupil Database als einen „reichen Datensatz“, dessen Wert „maximiert“ werden könnte, indem er offener zugänglich gemacht wird, auch für private Unternehmen. Kelly Fiveash von The Register sagte, dass dies bedeuten könnte, dass „das Schulleben eines Kindes einschließlich Prüfungsergebnissen, Anwesenheit, Lehrerbewertungen und sogar Merkmalen“ verfügbar sein könnte, wobei Drittorganisationen für die Anonymisierung von Veröffentlichungen selbst verantwortlich sind, anstatt dass die Daten von der Regierung anonymisiert werden, bevor sie übergeben werden. Ein Beispiel für eine Datenanfrage, die Gove in der Vergangenheit abgelehnt hatte, könnte aber unter einer verbesserten Version der Datenschutzbestimmungen möglich sein, war für „Analyse der sexuellen Ausbeutung.“

Rechtmäßigkeit

Der rechtliche Schutz des Rechts auf Privatsphäre im Allgemeinen und des Datenschutzes im Besonderen ist weltweit sehr unterschiedlich.

Niemand darf willkürlichen Eingriffen in seine Privatsphäre, Familie, Wohnung oder Korrespondenz oder Angriffen auf seine Ehre und seinen Ruf ausgesetzt werden. Jeder hat das Recht auf den Schutz des Gesetzes vor solchen Eingriffen oder Angriffen.-Allgemeine Erklärung der Menschenrechte, Artikel 12

Für Unternehmen, die über sensible Daten verfügen, besteht eine erhebliche Herausforderung darin, die Einhaltung so vieler Vorschriften zu erreichen und aufrechtzuerhalten, die für den Datenschutz relevant sind.

Probleme mit dem Safe Harbor-Programm und Passagierdatensätzen

Foto: Kommandant der Küstenwache Adm. Thad W. Allen, rechts, hält Bemerkungen, während der Chef der Marineoperationen Adm. Gary Roughead nach der Unterzeichnung des Memorandum of Agreement für das Safe Harbor-Programm während einer Unterzeichnungszeremonie im Pentagon zusieht.

Kommandant der Küstenwache Adm. Thad W. Allen, rechts, hält Bemerkungen, während der Chef der Marineoperationen Adm. Gary Roughead nach der Unterzeichnung des Memorandum of Agreement für das Safe Harbor-Programm während einer Unterzeichnungszeremonie im Pentagon zusieht.

Das US-Handelsministerium hat als Reaktion auf die Datenschutzrichtlinie von 1995 (Richtlinie 95/46/ EG) der Europäischen Kommission das International Safe Harbor Privacy Principles Certification Program ins Leben gerufen. Die Richtlinie 95/46/EG erklärt in Kapitel IV Artikel 25, dass personenbezogene Daten nur aus den Ländern des Europäischen Wirtschaftsraums in Länder übermittelt werden dürfen, die einen angemessenen Schutz der Privatsphäre bieten. In der Vergangenheit erforderte die Feststellung der Angemessenheit die Schaffung nationaler Rechtsvorschriften, die denen der Richtlinie 95/46 /EU weitgehend gleichwertig waren. Obwohl es Ausnahmen von diesem pauschalen Verbot gibt – beispielsweise wenn die Weitergabe an ein Land außerhalb des EWR mit Zustimmung der betreffenden Person erfolgt (Artikel 26 Absatz 1 Buchstabe a) -, sind sie in ihrem praktischen Umfang begrenzt. Infolgedessen hat Artikel 25 ein rechtliches Risiko für Organisationen geschaffen, die personenbezogene Daten von Europa in die Vereinigten Staaten übertragen.

Das Programm hat ein wichtiges Problem beim Austausch von Fluggastdatensätzen zwischen der EU und den USA. Nach der EU-Richtlinie dürfen personenbezogene Daten nur in Drittländer übermittelt werden, wenn dieses Land ein angemessenes Schutzniveau bietet. Einige Ausnahmen von dieser Regel sind vorgesehen, beispielsweise wenn der Verantwortliche selbst garantieren kann, dass der Empfänger die Datenschutzbestimmungen einhält.

Die Europäische Kommission hat die „Arbeitsgruppe zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten“ eingesetzt, die allgemein als „Artikel-29-Arbeitsgruppe“ bekannt ist. Die Arbeitsgruppe berät über das Schutzniveau in der Europäischen Union und in Drittländern.

Die Arbeitsgruppe verhandelte mit US-Vertretern über den Schutz personenbezogener Daten, die Safe-Harbor-Prinzipien waren das Ergebnis. Ungeachtet dieser Zustimmung bleibt der Selbstbewertungsansatz des Safe Harbor bei einer Reihe europäischer Datenschutzbehörden und Kommentatoren umstritten.

Das Safe Harbor-Programm befasst sich mit diesem Problem auf einzigartige Weise: Anstelle eines pauschalen Gesetzes, das allen Organisationen in den Vereinigten Staaten auferlegt wird, wird von der FTC ein freiwilliges Programm durchgesetzt. US-Organisationen, die sich bei diesem Programm registrieren, nachdem sie ihre Einhaltung einer Reihe von Standards selbst bewertet haben, werden für die Zwecke von Artikel 25 als „angemessen“ angesehen. Personenbezogene Daten können aus dem EWR an solche Organisationen gesendet werden, ohne dass der Absender gegen Artikel 25 oder seine nationalen EU-Äquivalente verstößt. Der Safe Harbor wurde von der Europäischen Kommission am 26.Juli 2000 als angemessener Schutz personenbezogener Daten im Sinne von Artikel 25 Absatz 6 genehmigt.

Der Sichere Hafen ist keine perfekte Lösung für die Herausforderungen, die sich aus Artikel 25 ergeben. Insbesondere müssen adoptierte Organisationen sorgfältig prüfen, ob sie die Weiterübermittlungspflichten einhalten, wenn personenbezogene Daten mit Ursprung in der EU in den sicheren Hafen der USA und dann in ein Drittland übermittelt werden. Der alternative Compliance-Ansatz der „Binding Corporate Rules“, der von vielen EU-Datenschutzbehörden empfohlen wird, löst dieses Problem. Darüber hinaus müssen alle Streitigkeiten, die sich im Zusammenhang mit der Übermittlung von Personaldaten in den US-Safe Harbor ergeben, von einem Gremium der EU-Datenschutzbehörden angehört werden.

Im Juli 2007 wurde ein neues, umstrittenes Passenger Name Record Agreement zwischen den USA und der EU unterzeichnet. Kurze Zeit später erteilte die Bush-Regierung dem Department of Homeland Security, dem Arrival and Departure Information System (ADIS) und dem Automated Target System Ausnahmeregelungen aus dem Privacy Act von 1974.

Im Februar 2008 beschwerte sich Jonathan Faull, der Leiter der EU-Innenkommission, über die bilaterale Politik der USA in Bezug auf PNR. Die USA hatten im Februar 2008 ein Memorandum of Understanding (MOU) mit der Tschechischen Republik im Austausch für eine Regelung zur Befreiung von der Visumpflicht unterzeichnet, ohne sich zuvor mit Brüssel abzustimmen. Die Spannungen zwischen Washington und Brüssel werden hauptsächlich durch ein geringeres Datenschutzniveau in den USA verursacht, zumal Ausländer nicht vom US Privacy Act von 1974 profitieren. Zu den weiteren Ländern, die für eine bilaterale Absichtserklärung angesprochen wurden, gehörten das Vereinigte Königreich, Estland, Deutschland und Griechenland.

Schutz der Privatsphäre in Informationssystemen

Da heterogene Informationssysteme mit unterschiedlichen Datenschutzregeln miteinander verbunden sind und Informationen gemeinsam genutzt werden, müssen Policy Appliances eine zunehmende Anzahl von Datenschutzrichtlinien (und -gesetzen) in Einklang bringen, durchsetzen und überwachen. Es gibt zwei Kategorien von Technologien zum Schutz der Privatsphäre in kommerziellen IT-Systemen: Kommunikation und Durchsetzung.

Richtlinienkommunikation

P3P – Die Plattform für Datenschutzeinstellungen. P3P ist ein Standard für die Kommunikation von Datenschutzpraktiken und deren Vergleich mit den Präferenzen von Einzelpersonen.

Richtliniendurchsetzung

XACML – Die Extensible Access Control Markup Language ist zusammen mit ihrem Datenschutzprofil ein Standard zum Ausdrücken von Datenschutzrichtlinien in einer maschinenlesbaren Sprache, mit der ein Softwaresystem die Richtlinie in IT-Systemen von Unternehmen durchsetzen kann.
EPAL – Die Enterprise Privacy Authorization Language ist XACML sehr ähnlich, aber noch kein Standard.
WS-Privacy – „Web Service Privacy“ ist eine Spezifikation für die Kommunikation der Datenschutzrichtlinie in Web Services. Beispielsweise kann festgelegt werden, wie Datenschutzrichtlinieninformationen in den SOAP-Umschlag einer Webdienstnachricht eingebettet werden können.

Schutz der Privatsphäre im Internet

Im Internet geben Sie fast immer viele Informationen über sich preis: Unverschlüsselte E-Mails können von den Administratoren des E-Mail-Servers gelesen werden, wenn die Verbindung nicht verschlüsselt ist (kein https), und auch der Internetdienstanbieter und andere Parteien, die den Datenverkehr dieser Verbindung überwachen, können den Inhalt kennen. Darüber hinaus gilt dies auch für jede Art von Datenverkehr, der im Internet generiert wird (Surfen im Internet, Instant Messaging usw.), um nicht zu viele persönliche Informationen preiszugeben, E-Mails können verschlüsselt werden und das Surfen auf Webseiten sowie andere Online-Aktivitäten können spurlos über Anonymisierer oder, wenn diesen nicht vertraut wird, über Open-Source-Anonymisierer, sogenannte Mix-Netze, erfolgen. Bekannte Open-Source-Mix-Netze sind I2P – Das anonyme Netzwerk oder tor.