Privacy by Design ist das vielleicht wichtigste Prinzip für den Vertrauensaufbau bei der Digitalisierung der öffentlichen Verwaltung. Denn es bedeutet nicht weniger als den Schutz der Privatsphäre von Anfang an konsequent mitzudenken. Auf dem diesjährigen Open Government Tag zeigten Dr. Christian Thiel und Dr. Robert Couronné vom Zentrum Digitalisierung Bayern, wie Datensparsamkeit geht, ohne das Ziel der Datenerhebung aus den Augen zu verlieren. In unserer Serie #ExplainIT erklären sie als Gastbeitrag unter anderem, warum der Mensch dabei ein wesentlicher Faktor ist.
Digitalisierung ist unsere Zukunft. Wir brauchen sie für die Teilhabe in unserer Gesellschaft, für Partizipation, für besseren Klimaschutz und viele andere große Ziele. Doch wir müssen die Digitalisierung verantwortlich und sicher gestalten. Ziel des Zentrum Digitalisierung.Bayern ist es, Wirtschaft und Wissenschaft zu vernetzen, um gemeinsam bessere Lösungen für die Digitalisierung zu schaffen. Im Fokus des Teams für Verbraucherbelange stehen digitale Produkte und Geschäftsmodelle für die private Nutzung. Die Arbeit wird durch das Bayerische Staatsministerium für Umwelt und Verbraucherschutz gefördert.
Privacy – warum ist das so wichtig?
Warum ist Datenschutz – Privacy – gerade für Staat und Gesellschaft wichtig? Unter anderem, weil er eine wesentliche Grundlage für eine offene und pluralistische Kultur der Meinungsbildung ist. Denn was passiert, wenn die Menschen davon ausgehen müssen, dass all die Informationen aus verschiedenen Datenquellen zusammengepuzzelt werden zu einem umfassenden intimen Bild ihrer Person? Dann werden viele nur noch das äußern und von sich preisgeben, was ihnen nutzt oder zumindest nicht schaden kann. Dann ist ein gesellschaftlicher Normierungsdruck da.
Mit Sensibilisierung und Vorbereitung die IT-Sicherheit erhöhen
Grundlage von Datenschutz ist die Datensicherheit. Ohne Cybersecurity sind im schlimmsten Fall alle Daten eines Computersystems für alle einsehbar. Leider erleben wir heute auch im öffentlichen Bereich spektakuläre Angriffe, die sogar Menschenleben kosten können, etwa wenn Kliniken von Hackerangriffen betroffen sind. Wir haben es da mit kriminellen Organisationen zu tun, die weltweit und sehr professionell agieren. Zudem steigt die Wucht der gezielten Angriffe über E-Mails und andere Kontakte. Deshalb gilt nach wie vor: Der wichtigste Schutz gegen Angriffe auf unsere Daten aus dem Internet ist die „Human Firewall“, der Mensch, der mitdenkt.
Deshalb haben wir alle die Verpflichtung, uns über wichtigsten Vorkehrungen bei Datensicherheit auf dem Laufenden zu halten, und das gilt umso mehr, als man mit persönlichen Daten anderer Menschen Umgang hat. Das ZD.B-Team Cybersecurity bietet dazu eine Awareness-Kampagne an – vorgefertigte E-Mails, die man als Unternehmen an seine Mitarbeitenden schicken kann. Wenn die Zielgruppe eher jünger ist, ist das für den Kindersoftwarepreis nominierte Spiel SpaceBurgers gut geeignet.
Auch auf dem München.Digital-Blog gibt es Informationen zu Cybersicherheit, unter anderem zum Thema Smishing oder zum Umgang mit Messengern. Zu den wichtigsten Themen gehören nach wie vor stetige Aufmerksamkeit für gefährliche E-Mails, und gute Passwörter.
Doch auch die Vorbereitung auf den Ernstfall sollte man nicht vergessen und dabei alle Beschäftigten einbinden. Wir empfehlen für solche Situationen die Notfallkarte des Bundesamt für IT-Sicherheit in der Informationstechnik.
Das Konzept Privacy by Design
Cybersicherheit und Privacy gleichzeitig fördern, das geht mit dem Konzept Privacy by Design. Es besagt, dass man Privacy von Anfang an präventiv bei der Entwicklung mitdenkt. Dazugehörige Strategien sind beispielsweise:
- Minimieren: Nur die Daten erheben, die man wirklich für den konkreten Anlass braucht (Datensparsamkeit).
- Verstecken: Jeder Arbeitsplatz hat nur das für ihn Notwendige auf dem Bildschirm.
- Informieren: Jede und jeder weiß, wofür welche Daten verwendet werden.
- Kontrolle überlassen: Die Bürgerinnen und Bürger haben die Möglichkeit zu entscheiden, welche Daten sie im Einzelfall wofür freigeben.
Privacy by Design adressiert dabei vor allem die Verantwortlichen für Softwareentwicklung, aber auch alle, die sich mit Verwaltungs-Prozessen beschäftigen.
Beispiele für die Umsetzung von Privacy by Design
Ein gutes Beispiel für Transparenz und Kontrolle ist der Dienst M-Login. Da können die Nutzerinnen und Nutzer ihre Daten hinterlegen und immer wieder entscheiden, welche sie wofür freigeben – zum Beispiel für eine U-Bahn-Karte. So hat die Stadt München auch Vorgaben der DSGVO umgesetzt.
Als ein Muster für Datensparsamkeit von Apps gilt die Corona Warn App. Weil die Daten verschlüsselt werden und so lange lokal bleiben, bis tatsächlich ein positiver Fall aufgetreten ist. Wie es in der ersten Version der App funktioniert, sehen Sie per Link auf einer grafischen Darstellung der Corona Warn App von uns. Diese App hat außerdem gezeigt, dass die Umsetzung von Privacy by Design die Akzeptanz bei den potenziellen Kundinnen und Kunden unterstützt und damit den Erfolg sichert.
Kostenfrei und Open Source: Informationen und Hilfen
Hilfen für die Praxis bietet die Webseite privacybydesign.digital. Hier finden sich sogenannte „Privacy Patterns“ für die Produktentwicklung, sozusagen Kochrezepte für Entwicklerinnen und Entwickler, um Privacy by Design umzusetzen. Zusammengetragen wurden die Patterns vom Zentrum Digitalisierung.Bayern mit Unterstützung der Universität Ulm. Man findet beispielsweise konkrete Anleitungen zur
- Bereitstellung situationsbedingter Datenschutzhinweise
- Löschung unsichtbarer Metadaten
- Verschlüsselung auf der Nutzerseite
Für Verwaltungseinrichtungen, die Datenflüsse in ihren Produkten sichtbar machen wollen, haben wir eine weitere konkrete Hilfestellung entwickelt: Der Data Process Modeler erlaubt es, mit wenig Aufwand anschaulich auf der eigenen Webseite zu zeigen, welche Daten für welche Zwecke verarbeitet werden – kostenfrei und Open Source.
Die vier Gründe, warum sich für die ganze Organisation der Einsatz von Privacy by Design lohnt, haben wir in einem eStrategy-Artikel zu Kundenvertrauen zusammengefasst. Eine gute Orientierung, was Kommunen generell für Cybersecurity tun können, bietet das Landesamt für Sicherheit in der Informationstechnik.
Fazit: Cybersecurity-Grundschutz sichert das Fundament ab. Darauf aufbauend ist Privacy by Design ein wichtiges und wirksames Konzept, um praktikablen Datenschutz präventiv in den eigenen Abläufen und Diensten zu verankern. Schließlich wird Privacy und Transparenz von immer mehr Bürgerinnen und Bürgern eingefordert.
Den gesamten Vortrag vom Open Government Tag 2021 finden Sie im folgenden Video. Alle anderen Beiträge im Nachbericht.
Die Gastautoren
Dr. Christian Thiel, promovierter Informatiker, leitet die Themenplattform Verbraucherbelange in der Digitalisierung am Zentrum Digitalisierung.Bayern. Immer im Fokus: Datensparsamkeit und Resilienz der digitalen Welt. E-Mail: christian.thiel@bayern-innovativ.de.
Dr. Robert Couronné, promovierter Ingenieur der Elektro- und Informationstechnik, leitet die Themenplattform Cybersecurity beim Zentrum Digitalisierung.Bayern. Er bringt viele Erfahrungen aus seiner Zeit bei Fraunhofer IIS mit. E-Mail: robert.couronne@bayern-innovativ.de.
1 Kommentar
Kommentar absenden
Weitere Beiträge
#ExplainIT: Co-Creation erklärt
#ExplainIT: Cyborg erklärt
#ExplainIT: Green Coding erklärt
#ExplainIT: Europas Digitale Dekade erklärt
#ExplainIT: Was ist eigentlich das Metaverse?
Digital Services Act – das EU-Gesetz für bessere digitale Dienste
UX Design Revolution – der Kunde im Mittelpunkt
Catfishing erklärt – #ExplainIT
Wie werden Mobilfunkanlagen geplant? Wir klären über das Verfahren auf!
#ExplainIT: Was wir über Deepfakes wissen sollten
München Cloud und Cloud Computing – Einladung zum Learn@Lunch
Mobilfunkausbau in München – Das sollten Sie wissen!
#ExplainIT: Was sind eigentlich Fake News?
ExplainIT: Kryptowährungen erklärt
ExplainIT: DevOps erklärt
Sehr interessant!