Datenschutz wurde und wird in Deutschland und Europa gro\u00dfgeschrieben. Mit dem Inkrafttreten der europ\u00e4ischen Datenschutzgrundverordnung (DS-GVO) im Mai 2016 und der verpflichtenden Anwendung ab Mai 2018 werden Unternehmen vor neue Herausforderungen gestellt. Es handelt sich hierbei um eine europ\u00e4ische Verordnung, welche direkt in allen Mitgliedsstaaten gilt. Es bedarf also keines nationalen Umsetzungsgesetzes. Die Regelungen des geltenden Bundesdatenschutzgesetzes (BDSG) werden durch die Regelungen der Verordnung ersetzt.<\/p>\n
Man k\u00f6nnte nun sagen, dass sich nicht viel \u00e4ndert. Allerdings findet in einigen Bereichen eine Versch\u00e4rfung bestehender Regeln statt. Eine wesentliche \u00c4nderung stellen m\u00f6gliche Geldbu\u00dfen f\u00fcr Verst\u00f6\u00dfe dar. Beim BDSG lag die H\u00f6chstgrenze bei 300.000 Euro pro Versto\u00df. Die DS-GVO erh\u00f6ht das m\u00f6gliche Bu\u00dfgeld pro Versto\u00df auf bis zu vier Prozent des weltweiten Umsatzes. F\u00fcr Unternehmen hat sich das maximale Bu\u00dfgeldrisiko dadurch drastisch erh\u00f6ht, womit bestehende Bedrohungs- und Gef\u00e4hrdungsanalysen neu bewertet werden m\u00fcssen.<\/p>\n
Unabh\u00e4ngig von bestehenden Regelungen verstehen Unternehmen oftmals den Wert ihrer Daten und betreiben einen erheblichen Aufwand, um diese Werte zu sch\u00fctzen. Allerdings bestehen diese Daten zunehmend aus Kundendaten. Der Umgang mit Kundendaten ist durch den Gesetzgeber stark reguliert, aber auch das Interesse der Unternehmen, diese Gesetze gewinnbringend f\u00fcr ihre Gesch\u00e4ftsmodelle auszulegen, ist gro\u00df. Eine m\u00f6gliche Auslegung der Gesetze zur Weitergabe von Daten f\u00fchrt zum sogenannten digitalen Protektionismus oder Vendor-Lock-in. Der Kunde wird durch die Produkte und Dienstleistungen extrem stark an einen Anbieter gebunden.<\/p>\n
Ein Beispiel sind hier sicherlich die am Markt dominierenden Smartphone-\u00d6kosysteme. Man kann dieses Verhalten aber auch sehr sch\u00f6n an Fitness-Trackern erkennen. Die Hersteller bieten zum einen diverse Ger\u00e4te zur Datenerfassung an, welche \u00fcblicherweise nicht sehr intelligent sind. Diese Daten werden dann bequem per Smartphone-App oder Desktop-Anwendung mit dem Backend des jeweiligen Herstellers synchronisiert. Eine Offline-F\u00e4higkeit ist oftmals nicht gegeben. Die Kompatibilit\u00e4t mit anderen Anwendungen und Herstellern ist eingeschr\u00e4nkt m\u00f6glich. Zusammenfassend kann man sagen: Ein sinnvoller Einsatz der Ger\u00e4te funktioniert nur mit dem \u00d6kosystem des Herstellers und auch nur bei Synchronisation der gesammelten Daten mit den entsprechenden Backend-Systemen.<\/p>\n
Im Rahmen der DS-GVO wird das Recht der Daten\u00fcbertragbarkeit gefordert. Die Daten\u00fcbertragbarkeit erschwert den Vendor-Lock-in, aber die tats\u00e4chliche technische Machbarkeit steht sicherlich nicht im Interesse der Unternehmen. Diese haben eher ein Interesse, die Kunden an sich zu binden und einen Wechsel zu einem Konkurrenten m\u00f6glichst zu erschweren. Zudem k\u00f6nnen dedizierte Schnittstellen zum Abruf der personenbezogenen Daten ein lohnenswertes Ziel f\u00fcr Hacker darstellen. Es bleibt also abzuwarten, wie sich dies entwickelt. Vielleicht entstehen aber Schnittstellen und Datenformate, welche nur von IT-Experten sinnvoll eingesetzt werden k\u00f6nnen.<\/p>\n
Ein weiterer wichtiger Punkt der DS-GVO ist die explizite Einwilligung zur Nutzung personenbezogener Daten f\u00fcr einen oder mehrere bestimmte Zwecke. Die Umsetzung k\u00f6nnte sich aber auch hier als schwierig erweisen. Der IT-Nerd macht sich hier vielleicht noch die M\u00fche und stellt alle Nutzungsrechte im Detail ein. Aber welcher Normalsterbliche ist schon bereit, seine Einwilligung zur Datennutzung feingranular f\u00fcr verschiedene Zwecke zu geben? Wer macht sich schon Gedanken dar\u00fcber, dass die Smartphone-App zum Darstellen der Batterie auch Zugriff auf meinen aktuellen Standort und die Kontaktdaten ben\u00f6tigt? Meines Erachtens siegt hier der Komfort vor dem Sicherheitsgewinn.<\/p>\n
Aber wie k\u00f6nnen wir dieses Problem l\u00f6sen? Wir arbeiten am Fraunhofer IESE seit ca. 7 Jahren im Forschungsfeld der Datennutzungskontrolle. Die grundlegende Idee: Datenurheber sollen umfassende Kontrollm\u00f6glichkeiten erhalten, wie und zu welchem Zweck Ihre Daten genutzt werden d\u00fcrfen. Wir erweitern hierbei klassische Zugriffskontroll\u00admechanismen und entwickeln L\u00f6sungsans\u00e4tze, um eine umfassende Steuerung der Datennutzung zu erm\u00f6glichen. Ein wichtiger Forschungsschwerpunkt ist hier eine benutzerfreundliche Spezifikation von Sicherheitsrichtlinien. Hierbei sollen die Einstellm\u00f6glichkeiten nicht nur bedienfreundlich sein, sondern den Anwender in einem gewissen Ma\u00dfe auch motivieren, die Einstellm\u00f6glichkeiten tats\u00e4chlich zu nutzen. Ziel ist es also, eine angenehme User Experience zu erzielen. Ein weiterer Forschungsschwerpunkt widmet sich dem \u201eAusbalancieren\u201c von Sicherheit und Benutzerfreundlichkeit. Beide Extreme sind nicht gewollt! Ein sicheres, aber nicht benutzbares System ist nicht zielf\u00fchrend. Ebenso wenig zielf\u00fchrend ist ein extrem benutzbares System, welches aber v\u00f6llig unsicher ist. Die geeignete Balance zwischen diesen Extremen ist der Schl\u00fcssel zu erfolgreichen und sicheren IT-Systemen.<\/p>\n
Pers\u00f6nlich befasse ich mich mit situationsabh\u00e4ngiger Sicherheit f\u00fcr mobile Endger\u00e4te. Sicherheitsl\u00f6sungen m\u00fcssen sich an die jeweilige Nutzungssituation anpassen, um einerseits das Nutzungserlebnis nicht negativ zu beeinflussen und andererseits dennoch einen bestm\u00f6glichen Schutz zu gew\u00e4hrleisten. Beispielsweise brauche ich keine PIN-Eingabe zum Entsperren des Ger\u00e4ts, wenn ich zu Hause bin. Bei Dienstreisen sollte ein PIN-Schutz aber schon gew\u00e4hrleistet sein.<\/p>\n
Auf der CeBIT 2017 pr\u00e4sentieren wir am Fraunhofer-Stand in Halle 6, wie einfach situationsabh\u00e4ngige Datennutzungskontrolle in bestehende Systeme integriert werden kann. Im Anwendungsszenario \u201ePortfolio-Management\u201c versetzen wir den Kunden mit Datennutzungskontrolle in die Lage, seine eigenen Datenschutzbed\u00fcrfnisse festzulegen, um das Risiko eines Datenmissbrauchs zu minimieren.<\/p>\n","protected":false},"excerpt":{"rendered":"
Datenschutz wurde und wird in Deutschland und Europa gro\u00dfgeschrieben. Mit dem Inkrafttreten der europ\u00e4ischen Datenschutzgrundverordnung (DS-GVO) im Mai 2016 und der verpflichtenden Anwendung ab Mai 2018 werden Unternehmen vor neue Herausforderungen gestellt. Es handelt sich hierbei um eine europ\u00e4ische Verordnung,…<\/p>\n","protected":false},"author":10,"featured_media":972,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[18,13],"tags":[324],"coauthors":[35],"class_list":["post-1003","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sicherheit","category-veranstaltung","tag-datensouveraenitaet"],"yoast_head":"\n