Selbstdatenschutz durch präventive Verarbeitungskontrolle

Abstract

Diese Arbeit untersucht den Einsatz von Maßnahmen zur Verarbeitungskontrolle im Dienst des Datenschutzes. Dabei steht die technische Durchsetzung von zweckgebundener und anlassbezogener Datenverarbeitung im Vordergrund: Personenbezogene Daten sollen Verarbeitern nur dann verfügbar gemacht werden, wenn sie tatsächlich benötigt werden, so spät wie möglich und nur unter explizit vorliegendem Einverständnis des Betroffenen. Letzterer soll größtmögliche Kontrolle über die Regeln zur Nutzung seiner Daten erhalten.

Um datenschutzfreundliche Techniken hinsichtlich dieser Anforderung systematisch zu untersuchen, werden zunächst geeignete Bewertungskriterien definiert. Die erarbeiteten Kriterien finden sodann ihre Anwendung auf ausgewählte bestehende Ansätze. Anhand der Evolution der bisherigen Verfahren und der identifizierten Lücken zeigt sich das Potential für ein neues Verfahren mit zusätzlichen Fähigkeiten.

Mit dem „Purpose sensitive data provisioning guard“ (PDG) wird schließlich ein solches Verfahren vorgeschlagen, mit dem sich Daten sicher zwischen den Betroffenen und Verarbeitern austauschen lassen, ohne dass sich beide Parteien kennen müssen. Die Herausgabe von Daten unterliegt dabei strikten Anforderungen an den Verarbeiter: Er muss seine grundsätzliche Eignung als Empfänger nachweisen, den Zweck der Verarbeitung darlegen und die lückenlose Protokollierung seiner Datenabrufe akzeptieren. Seine Anfragen werden pro Datentyp gegen Policies geprüft, die der Betroffene erstellt hat, und die den Datenzugriff des Verarbeiters gestatten oder verweigern. Das Verfahren bedient sich dazu der Kombination etablierter kryptographischer Techniken, um einen sicheren Schlüsselaustausch zwischen einander nicht bekannten Parteien abzubilden und blinde Policy-Abgleiche durch Dritte vornehmen zu lassen.

This thesis researches how processing controls can be leveraged for the benefit of data privacy. Its focus is to technically enforce that personal data is used only for a specified purpose and on defined events: Personal data must only be exposed to a processor if it is truly required, at the latest moment possible and only with the explicit consent of the affected person. The latter should to the highest extent be in control of the rules applying to the use of his data.

To systematically test privacy enhancing technologies for these requirements, suitable evaluation criteria are defined first. Subsequently these criteria are used to assess selected existing approaches. From the evolution of the existing systems and the identified gaps in privacy protection, the potential for a new approach with additional capabilities emerges.

The „purpose sensitive data provisioning guard“ (PDG) is the proposal for such a new approach. It enables data to be exchanged safely between owner and processor, even if both do not know each other. With this approach the exposure of personal data poses strong requirements on the processors: They must prove their general qualification, expose their intention for using the actually requested data, and accept comprehensive logging of their requests. For each data type their requests are tested against the policies created by the data owner, approving or denying the processors’ access. The system uses a combination of existing cryptographic techniques to enable secure key exchange between parties not knowing each other, and it supports blind policy matching through third parties.