Skip to main content
main-content

Über dieses Buch

Dieses Lehrbuch behandelt schwerpunktmäßig technische Maßnahmen, die den Schutz personenbezogener Daten sicherstellen. Dazu werden grundlegende Verfahren der Anonymisierung und der Gewährleistung von Anonymität im Internet (z. B. Tor) vorgestellt. Das Buch gibt einen Überblick über gängige Verfahren des Identitätsmanagements (z. B. OpenID Connect) und die in elektronischen Ausweisdokumenten (z. B. im Personalausweis) verwendeten Sicherheitsmaßnahmen. Die Datenschutz-Garantien der vermittelten Ansätze werden im Detail behandelt. Im Bereich des World Wide Web erfährt der Leser, wo die Probleme aus Sicht des Datenschutzes liegen und wie diese Lücken geschlossen werden können. Anonyme Bezahlverfahren und eine Untersuchung von Bitcoin runden den technischen Teil des Buches ab. Der Leser lernt Ansätze aus der Praxis kennen, um so je nach Anforderungen in der Systementwicklung das passende Verfahren auswählen zu können.
Daneben werden die Grundlagen des Datenschutzrechts behandelt, weil das Recht auch Anforderungen an technische Lösungen stellt. Betrachtet werden das informationelle Selbstbestimmungsrecht, die Grundzüge des Bundesdatenschutzgesetzes sowie die Datenschutzbestimmungen des Telemediengesetzes. Beispielhaft werden datenschutzrechtliche Fälle bearbeitet.

Inhaltsverzeichnis

Frontmatter

1. Einführung

Zusammenfassung
Warum ist Datenschutz eigentlich wichtig? Und was hat es damit auf sich? Und ist der Datenschutz relevant, wenn wir doch nichts zu verbergen haben? Dies sind Fragen, denen wir in diesem Kapitel auf den Grund gehen werden. Nachdem wir geklärt haben, dass Datenschutz relevant ist, auch wenn wir nichts zu verbergen haben, behandeln wir die Themen und die Lernziele dieses Lehrbuchs.
Ronald Petrlic, Christoph Sorge

2. Einführung in den Technischen Datenschutz

Zusammenfassung
Für das Verständnis des Technischen Datenschutzes sind zunächst einige Grundlagen wichtig. Deshalb wenden wir uns in diesem Kapitel zuerst in Abschn. 2.1 den grundlegenden Schutzzielen im Bereich der IT-Sicherheit und des Datenschutzes zu. Im Anschluss daran werden wir uns in Abschn. 2.2 mit den Begriffen des technischen Datenschutzes vertraut machen. Danach tauchen wir in Abschn. 2.3 in die Welt der Kryptographie ein, bevor wir uns schließlich in Abschn. 2.4 mit Maßnahmen aus dem Bereich der IT-Sicherheit auseinandersetzen, die, wie wir später sehen werden, auch dem Datenschutz dienlich sind.
Ronald Petrlic, Christoph Sorge

3. Anonymitätsmaße

Zusammenfassung
Eine besondere Herausforderung für die Praxis ist das Anonymisieren von Daten. Es existieren zahlreiche Anonymisierungs-Techniken – einige davon greifen wir in diesem Kapitel auf. So beschäftigen wir uns in Abschn. 3.1 zunächst mit den allgemeinen Anforderungen an Anonymisierungs-Techniken. Danach lernen wir in Abschn. 3.2 mit dem Konzept der k-Anonymität einen der grundlegendsten und bekanntesten Ansätze zur Anonymisierung von Daten kennen. Danach betrachten wir in Abschn. 3.3 mit Differential Privacy ein neueres Konzept zur Anonymisierung von Daten, das vor allem von Seiten der Forschung als zur Zeit aktuellstes Verfahren in diesem Bereich gesehen wird. Schließlich gehen wir in Abschn. 3.4 auf die Praxis im Hinblick auf Anonymisierung ein.
Ronald Petrlic, Christoph Sorge

4. Anonymität im Internet

Zusammenfassung
In Abschn. 2.3 haben wir mit der Verschlüsselung eine Maßnahme kennengelernt, um personenbezogene Daten vertraulich zu übertragen. Allerdings reicht Verschlüsselung alleine nicht aus, um Anonymität zu erreichen. Verschlüsselung verbirgt nicht die Tatsache, dass Kommunikation stattfindet – und insbesondere auch nicht, zwischen welchen Kommunikationspartnern.
In diesem Kapitel gehen wir der Frage nach, wie sich Kommunikationsbeziehungen im Netz verstecken lassen. Dazu beschäftigen wir uns zunächst in Abschn. 4.1 mit dem Thema Verkehrsflussanalyse. Danach lernen wir mit Mixes (Abschn. 4.2), Mix-Kaskaden (Abschn. 4.3) und schließlich Onion Routing/Tor (Abschn. 4.4) unterschiedliche Konzepte kennen, die Anonymität – bzw. das Verstecken von Kommunikationsbeziehungen – im Netz versprechen.
Ronald Petrlic, Christoph Sorge

5. Identitätsmanagement

Zusammenfassung
Identitätsmanagement (IdM) ist die Verwaltung mehrerer partieller Identitäten von Subjekten (Personen). Es geht dabei also um eine Verwaltung von Attributwerten und die Auswahl einer zu verwendenden Identität in einem spezifischen Kontext. Dabei spielt außerdem die Authentifizierung unter der ausgewählten Identität eine wichtige Rolle.
Wir werden in diesem Kapitel sehen, dass Identitätsmanagement dem Datenschutz dient, wenn sichergestellt wird, dass mehrere Identitäten eines Subjekts nicht miteinander verknüpft werden können.
In Abschn. 5.1 verschaffen wir uns zunächst einen Überblick über das umfangreiche Thema Identitätsmanagement. Danach lernen wir in Abschn. 5.2 OpenID, ein im Internet sehr häufig genutztes IdM-System, kennen. Danach betrachten wir mit OAuth in Abschn. 5.3 ein populäres Protokoll, das überwiegend zur Autorisierung im Internet verwendet wird. In Abschn. 5.4 lernen wir schließlich OpenID Connect kennen – ein neuartiges Protokoll, das die Konzepte von OpenID und OAuth vereint.
Ronald Petrlic, Christoph Sorge

6. Anonymes Bezahlen

Zusammenfassung
Nicht erst durch die Popularität von „Bitcoin“ – als vermeintlich anonymen Bezahlsystems – in der jüngsten Vergangenheit steht das Thema Anonymes Bezahlen immer wieder auch im Fokus gesellschaftlicher Debatten, zuletzt im Rahmen der Diskussion um die Abschaffung des Bargeldes, der von Vielen als letzten Möglichkeit betrachteten Möglichkeit des anonymen Bezahlens überhaupt. Vielmehr bildeten anonyme Bezahlsysteme, allen voran des von David Chaum entwickelten Ansatzes, die Grundlage für Privacy-Enhancing Technologies (PETs). Wir beschäftigen uns mit diesem „Meilenstein“ der PETs-Forschung in Abschn. 6.2, nachdem wir in Abschn. 6.1 allgemeine Anforderungen an anonyme Bezahlverfahren formulieren. Als nächstes wenden wir uns in Abschn. 6.3 dem Thema Bitcoin zu und gehen dabei vor allem auf die Frage ein, wie anonym Bitcoin wirklich ist. Schließlich betrachten wir in Abschn. 6.4 anonyme Bezahlverfahren in der Praxis.
Ronald Petrlic, Christoph Sorge

7. Datenschutz im World Wide Web

Zusammenfassung
Das Thema Datenschutz verbinden viele Menschen zunächst mit dem World Wide Web. Täglich nutzen wir Social Media-Dienste und kaufen in Online-Shops ein. Zielgerichtete Werbung ist ein ständiger Begleiter. In diesem Kapitel beschäftigen wir uns mit dem Thema Datenschutz im World Wide Web. Wir werden in Abschn. 7.1 sehen, dass das Tracking im Web mittels „Cookies“ und „Tracking-Pixel“ fast allgegenwärtig zu sein scheint. Ebenso dienen Social Plugins, denen wir uns in Abschn. 7.2 zuwenden, dem Verfolgen von Nutzeraktivitäten im Web.
Ronald Petrlic, Christoph Sorge

8. Instant Messaging

Zusammenfassung
Beim Instant Messaging (IM) unterhalten sich („chatten“) Kommunikations-Teilnehmer klassischerweise mittels Textnachrichten in Echtzeit. ICQ gilt als eines der ersten IM-Dienste im Internet. Es erfreute sich vor allem in den 90er-Jahren großer Beliebtheit, mit mehr als 100 Millionen Nutzern um die Jahrhundert-Wende. Inzwischen gibt es zahlreiche IM-Dienste, die neben Textnachrichten auch einen Austausch von Fotos, Videos etc. erlauben. Hierzu zählt etwa WhatsApp. In diesem Kapitel grenzen wir in Abschn. 8.1 zunächst das Thema Instant Messaging von E-Mail-Sicherheit ab. Wir werden sehen, dass jeweils unterschiedliche Schutzziele zum Tragen kommen. Danach lernen wir in Abschn. 8.2 mit Off-the-Record (OTR) Messaging einen wichtigen Vertreter eines sicheren IM-Protokolls kennen, bevor wir uns in Abschn. 8.3 schließlich der Ende-zu-Ende-Verschlüsselung von WhatsApp widmen.
Ronald Petrlic, Christoph Sorge

9. Elektronische Ausweisdokumente

Zusammenfassung
Ausweisdokumente dienen dem Nachweis der Identität einer natürlichen Person. Sie enthalten Attribute der Person. Dies können Attribute zur eindeutigen Identifizierung, wie z. B. Lichtbild, Angaben über Größe, Augenfarbe etc. sein, oder auch Attribute, die durch den Ausweis nachgewiesen werden, etwa das Geburtsdatum zur Prüfung des Alters. Elektronische Ausweise ermöglichen die Identifizierung/Authentifizierung unter Zuhilfenahme lokal auf dem Ausweis elektronisch gespeicherter Daten. Dabei kann eine Identitätsfeststellung entweder vor Ort stattfinden oder die Identitätsfeststellung (oder der Nachweis von Attributen) erfolgt über ein Kommunikationsnetz.
Der elektronische Reisepass und der elektronische Personalausweis sind zwei Vertreter von elektronischen Ausweisdokumenten, mit denen wir uns in diesem Kapitel im Detail beschäftigen werden. Zweifellos handelt es sich bei den in den Ausweisdokumenten gespeicherten Daten um personenbezogene Daten, die die meisten Menschen wohl als besonders schutzwürdig einstufen würden. Nicht jeder würde sie zur Verfügung stellen. In diesem Kapitel werden wir uns zunächst in Abschn. 9.1 damit beschäftigen, wie die im elektronischen Reisepass auf einem Chip gespeicherten und per Funk übertragenen Daten vor dem unberechtigten Auslesen geschützt werden. Als nächstes beschäftigen wir uns in Abschn. 9.2 mit dem Datenschutzkonzept des elektronischen Personalausweises – einem Lehrstück für Privacy by Design.
Ronald Petrlic, Christoph Sorge

10. Weitere kryptographische Verfahren für PETs

Zusammenfassung
Bisher haben wir in diesem Buch datenschutzfördernde Verfahren vorgestellt, die bereits Einzug in die Praxis erhalten haben. In diesem Kapitel beschäftigen wir uns nun mit weiteren kryptographischen Ansätzen, die sich heute überwiegend noch im „Forschungsstadium“ befinden, in Zukunft aber Einzug in die Praxis der Privacy-Enhancing Technologies (PETs) finden können. Zunächst betrachten wir in Abschn. 10.1 weitere Signaturverfahren, die dem Datenschutz dienlich sind. Im Anschluss daran lernen wir in Abschn. 10.2 die mächtigen Werkzeuge rund um die Secure Multiparty Computation (MPC) kennen. In Abschn. 10.3 und Abschn. 10.4 betrachten wir schließlich Zero-Knowledge Proofs (ZKPs) bzw. anonyme Berechtigungsnachweise.
Ronald Petrlic, Christoph Sorge

11. Datenschutzrecht

Zusammenfassung
In diesem Kapitel beschäftigen wir uns zu guter Letzt mit dem Datenschutzrecht – mit dem Fokus auf Deutschland und der Perspektive auf ein zukünftiges, gesamteuropäisches, gemeinsames Datenschutzrecht. Doch zunächst geben wir in Abschn. 11.1 einen Überblick über die historische Entwicklung des Datenschutzrechts. In Abschn. 11.2 werden wir uns damit beschäftigen, was der Datenschutz mit dem Grundgesetz zu tun hat. Danach werden wir in Abschn. 11.3 das Bundesdatenschutzgesetz (BDSG) als zentrales Datenschutzgesetz in Deutschland kennen lernen. In Abschn. 11.4 werden wir uns mit dem bereichsspezifischen Datenschutz im Telemediengesetz (TMG) und Telekommunikationsgesetz (TKG) auseinandersetzen. In Abschn. 11.5 geben wir einen kurzen Ausblick auf die kommende Datenschutz-Grundverordnung. Schließlich beschäftigen wir uns in Abschn. 11.6 mit der Lösung von datenschutzrechtlichen Einzelfragen und in Abschn. 11.7 mit einer datenschutzrechtlichen Betrachtung von Tracking im Web.
Ronald Petrlic, Christoph Sorge

12. Zusammenfassung und Ausblick

Zusammenfassung
Nachdem wir uns in diesem Lehrbuch mit den unterschiedlichsten Themen beschäftigt haben, ist es nun an der Zeit, ein Fazit zu ziehen. Welche spannenden Aufgaben erwarten uns in Zukunft und wie können wir „Privacy by Design“ in der Praxis umsetzen?
Ronald Petrlic, Christoph Sorge

Backmatter

Weitere Informationen

Premium Partner

    Bildnachweise