Nutzername
Passwort

Passwort vergessen?

 
acatech EMPFIEHLT...

acatech Empfehlungen zu „Privatsphäre und Vertrauen im Internet“

Mit den Chancen und Risiken des Internets befassen sich in Deutschland die 2010 vom Deutschen Bundestag eingesetzte Enquete-Kommission „Internet und digitale Gesellschaft“, aber auch Datenschutzbehörden und Landtage. Der 2012 von der Europäischen Kommission vorgelegte Entwurf einer neuen Datenschutzverordnung will die Datenschutzgesetzgebung von Europa aus weiterentwickeln und trägt so der transnationalen Dimension des Themas Rechnung.

An diesen Diskurs anknüpfend unterbreitet acatech 27 Handlungsempfehlungen. Diese zielen darauf ab Bildung, rechtliche Rahmenbedingungen, Wirtschaft und Technik so zu entwickeln, dass Privatheit im Internet möglich wird und gleichzeitig das Internet sein Potenzial zur Unterstützung von Selbstbestimmung, demokratischer Partizipation und Wohlstand entfalten kann.

 

 

BILDUNG

Bildung spielt eine entscheidende Rolle bei der Entwicklung einer Kultur der Privatheit. Das Internet und allgemeiner die Informationstechnologie gehören zu den wichtigsten Kulturtechniken der Gegenwart. Der Umgang mit dem Internet erfordert umfangreiche Kenntnisse und Handlungskompetenzen: Internetkompetenz. Bildungsziel muss es sein, diese zu entwickeln.

 

Im Kontext dieser Position bezieht sich Internetkompetenz darauf, den Nutzen des Internets für das eigene Leben, besonders für die freie Selbstbestimmung, die demokratische Partizipation und das ökonomische Wohlergehen, einschätzen und einsetzen zu können. Dies umfasst, dass die Nutzerinnen und Nutzer wichtige Geschäftsmodelle des Internets kennen („ich bezahle mit meinen Daten, die Anbieter sind profitorientierte Unternehmen“ etc.) sowie relevante Privatheitsrisiken („Daten werden an möglicherweise nicht vertrauenswürdige Dritte weitergegeben“, „was einmal im Netz ist, bleibt im Netz – was heute eine harmlose Information ist, kann morgen problematisch sein“).

 

Anhand dieser Kenntnisse können sie ihre Privatheitspräferenzen immer wieder neu bestimmen (etwa „mir ist egal, dass der Anbieter weiß, was ich kaufe“). Sie wissen, wie sie angebotene Möglichkeiten (Monitoring-Werkzeuge, Privatheitseinstellungen etc.) nutzen können, um ihre Privatheitspräferenzen zu realisieren.

 

Die Anwender kennen ihre Pflichten (etwa „üble Nachrede ist auch im Internet nicht zulässig, die Gesetze der analogen Welt gelten auch in der digitalen Welt“) und ihre Verantwortung für sich und andere. Sie wissen, dass Privatheit keine individuelle Angelegenheit ist, sondern dass alle für die Gewährleistung der Privatheit aller verantwortlich sind.

 

Die Bildung von Internetkompetenz ermöglicht also den bewussten Umgang mit Privatheit im Internet, eröffnet Handlungsmöglichkeiten und macht gleichzeitig Nutzer füreinander vertrauenswürdig.

 

acatech empfiehlt:

 

Internetkompetenz für alle schaffen

Internetkompetenz für alle schaffen

 

Internetkompetenz ist wichtig für alle. Daher muss es entsprechende Bildungsangebote für viele Zielgruppen geben, zum Beispiel Kinder und Jugendliche, Studierende und Auszubildende – besonders diejenigen, die später im Beruf mit dem Thema Privatheit zu tun haben – Erwachsene aller Altersstufen und Bildungsschichten mit geringerer oder größerer Internetaffinität. Für Berufsgruppen, die besonders mit dem Thema Privatheit zu tun haben – sei es als Multiplikatoren wie Erzieherinnen und Erzieher, Lehrerinnen und Lehrer oder als IT-Spezialisten etc. –, sind spezielle Weiterbildungsmaßnahmen nötig.

 

Internetkompetenz einen festen Platz in der (vor-)schulischen Ausbildung einräumen

Internetkompetenz einen festen Platz in der (vor-)schulischen Ausbildung einräumen

 

acatech empfiehlt, dass Internetkompetenz als Teil von Medienkompetenz einen festen Platz in der vorschulischen und schulischen Ausbildung erhält. Nur so können Kinder und Jugendliche solche Kompetenz erlangen. In der Schule soll der Umfang des Unterrichts in Internet-und Medienkompetenz dem eines etablierten Schulfachs entsprechen. Der Unterricht kann als eigenes Schulfach angeboten oder in die bestehenden Schulfächer als Querschnittsthema integriert werden. Unabhängig davon erfordert er die Entwicklung und Verwendung innovativer Lehrformen und -inhalte. Denkbar wäre eine Medien-Werkstatt mit verschiedenen Formaten: „Schüler lehren Lehrer“: Wie funktioniert Selbst-Organisation in sozialen Online-Netzwerken? Ebenso können Schüler andere Schüler lehren: Wie funktionieren die Privatheitsregeln der Anbieter, wie bediene ich die Privatheitseinstellungen richtig, woher weiß ich, ob ein Dienst vertrauenswürdig ist? Diskussionen im Sinne „Alle lehren alle“ sind auch sinnvoll: Wie viel Privatheit will ich überhaupt und wozu (meine Präferenzen)? Was sind gute Spielregeln für die digital vernetzte Welt? In einem weiteren Format können Schülerinnen und Schüler den Eltern ihre Ergebnisse aus der Medien-Werkstatt präsentieren, gepaart mit Vorträgen externer Expertinnen und Experten. Ergänzt werden können die neuen Formate durch die klassische Lehrform „Lehrer lehren Schüler“: Was sind die Geschäftsmodelle im Internet, wie ist die dortige Rechtslage, welche technischen Möglichkeiten der Datensammlung und Nutzung gibt es (was ist ein Cookie? was heißt Inferenz?). acatech empfiehlt auch, dass für Eltern entsprechende Weiterbildungsangebote, etwa von Volkshochschulen, angeboten werden.

Privatheitsschutz in der Fachausbildung und Weiterbildung verankern

Privatheitsschutz in der Fachausbildung und Weiterbildung verankern

 

Verschiedene Berufe haben direkt oder indirekt mit dem Thema Privatheit zu tun, zum Beispiel Ärztinnen und Ärzte sowie andere medizinische Berufe oder Informatikerinnen und Informatiker. acatech empfiehlt, dass Privatheitsschutz obligatorischer Bestandteil der Ausbildungen zu diesen Berufen wird und in die entsprechenden Studien- und Ausbildungsgänge integriert wird. Das gilt auch für Studiengänge wie Wirtschaftswissenschaften, in denen zukünftige  Führungskräfte ausgebildet werden. Sie werden als Entscheider die für Privatheitsschutz notwendigen Ressourcen bereitstellen müssen und benötigen daher ein Verständnis für dieses Thema. Angesichts der rasanten Entwicklung der Internettechnologie sind auch entsprechende Weiterbildungen für Berufstätige notwendig. Die möglichen Inhalte solcher Weiterbildungen sind vielfältig. Eltern, Lehrerinnen und Lehrer, Erzieherinnen und Erzieher sollen nachvollziehen, wie Kinder und Jugendliche „im Netz leben und welche besonderen Gruppendynamiken sich dort entwickeln. Gleichzeitig sollen sie lernen, dass die Privatheit der jungen Menschen auch dort gewährleistet sein muss („schnüffelt ihnen nicht nach“). In Weiterbildungen können die Lehrerinnen und Lehrer zu Internet- und Privatheitsexperten ausgebildet werden. Kurse können die ethischen, rechtlichen und technischen Aspekte des Privatheitsschutzes vermitteln.

 

Privatheitsschutz durch öffentliche Kampagnen vermitteln

Privatheitsschutz durch öffentliche Kampagnen vermitteln

 

In den letzten Jahren gab es öffentliche Aufklärungskampagnen zu verschiedenen Themen. Eine Kampagne des Bundesministerium des Innern informierte zum Beispiel über den neuen elektronischen Personalausweis. Der „Safer Internet Day“ ist ein Aktionstag der Europäischen Union für mehr Sicherheit im Web. Das gleiche Ziel verfolgt die Initiative „Deutschland sicher im Netz“ von Unternehmen und Verbänden der Internetwirtschaft unter Schirmherrschaft des Bundesministerium des Innern. acatech empfiehlt, solche Kampagnen auch für den Bereich der Privatheit im Internet zu konzipieren („das Internet ist nützlich, aber achte auf deine Privatheit“). Denkbar sind Kampagnen in den Medien (Rundfunk, Fernsehen, Presse, Kino), über Plakate sowie im Web selbst, also zum Beispiel in sozialen Netzwerken (virales Marketing). acatech schlägt vor, regelmäßig auch beste und schlechteste Praktiken im Bereich der Privatheit zu prämieren.

 

Forschung zu Privatheitsvorstellungen und -praktiken ausbauen

Forschung zu Privatheitsvorstellungen und -praktiken ausbauen

 

Unübersehbar setzt die breite und alltägliche Nutzung des Internets bisherige Privatheitsvorstellungen unter Veränderungsdruck. Bislang ist jedoch noch kaum bekannt, an welchen Punkten mit welchen Veränderungen genau zu rechnen ist. Inwieweit die heutigen Vorstellungen und Praktiken der ersten Generation von „Digital Natives“ vom bisherigen Umgang mit Privatheit abweichen und sich darüber hinaus auch dauerhaft als Trend in der Zukunft fortschreiben, kann derzeit kaum gesagt werden. Aus diesem Grund empfiehlt acatech, sowohl diachrone (sozialhistorische) als auch snychrone (gegenwartsbezogene) Forschungsanstrengungen auszubauen. Insbesondere hat sich in den letzten Jahren gezeigt, dass auf Nutzerbefragungen basierende, quantitative Studien nur einen ersten Schritt bei der Erforschung der aktuellen Transformationen darstellen können. Eine Untersuchung der alltäglichen Privatheitspraktiken der Nutzerinnen und Nutzer im Internet wäre demgegenüber stärker zu fördern, um so noch konkretere Aussagen über etwaige, zukünftig entstehende Umgangsformen und Problemlagen treffen zu können. In dieser Hinsicht steckt die Forschung in Deutschland im Vergleich etwa zu den angelsächsischen Ländern noch in den Kinderschuhen.


Zudem liegt es in der Natur der Sache, dass Privatheitspraktiken, die gemeinsam mit dem und bezogen auf das Internet entstehen, eine starke technische Komponente aufweisen. Daraus ergeben sich zweierlei Folgen: Zum einen geht mit dem hohen Innovationstempo im Internet ein fast ebenso hohes Veränderungstempo Internet-bezogener Praktiken einher (einige Anwendungen sorgen erst seit wenigen Jahren für Furore, bringen aber unübersehbar großräumige Transformationsprozesse in Gang); dies macht die Erforschung solcher Praktiken zu einer erforderlichen Daueranstrengung. Zum anderen lassen sich zeitgenössische Sozialforschungen kaum noch sinnvoll durchführen, ohne technische Aspekte zu berücksichtigen. Das Erkenntnisinteresse richtet sich folglich auf Prozesse, deren Beschaffenheit und Konsequenzen ohne eine fest etablierte interdisziplinäre Forschungskultur kaum zu analysieren sind. Die Sozialwissenschaften haben hier von den Technikwissenschaften ebenso viel zu lernen wie umgekehrt. Nur ein Zusammenspiel in diesem Sinne kann es gewährleisten, das Verhältnis und die etwaigen Diskrepanzen zwischen allgemein verbreiteten Privatheitsvorstellungen, tatsächlichen Nutzungspraktiken und technischen Funktionsweisen des Internets zu durchdringen. Nicht zuletzt könnten auf diese Weise auch konkrete Nutzungsprobleme bei der Verwendung bestimmter Tools (Privacy Settings, PETs) sichtbar gemacht werden (Usability-Forschung).


Gleichermaßen besteht dringender Bedarf an gesicherten Erkenntnissen zum Einfluss von Bildungsmaßnahmen auf den Umgang mit Privatheit. An dieser Stelle wäre eine enge Verzahnung der Medienpädagogik mit der sozialwissenschaftlichen Privatheitsforschung wünschenswert. Wie weiter oben dargestellt, spricht einiges für die systematische Integration der Vermittlung von Internetkompetenz in den schulischen Rahmen. Sinnvollerweise wird die Etablierung solcher Bildungsmaßnahmen von pädagogischen und sozialwissenschaftlichen Forschungsbemühungen begleitet, welche Auskunft über den Erfolg bestimmter Vermittlungsmethoden sowie über den Einfluss dieser Bemühungen auf die Privatheitspraktiken der Nutzerinnen und Nutzer geben.

 

 

RECHT

Die folgenden Vorschläge sollen das Vertrauen der Menschen im Internet stärken, indem sie ihnen einen bewussteren Umgang mit dem Web ermöglichen und dessen Vertrauenswürdigkeit erhöhen. Weil das Internet global ist, wäre dafür eine international gültige Rechtsordnung optimal. Diese Empfehlungen schlagen Eckpunkte für eine solche internationale Rechtsordnung vor. Sie orientieren sich am Entwurf der europäischen Datenschutzverordnung, enthalten aber auch für diese Modifikationen.

 

acatech empfiehlt:

 

Technische Umsetzung den Diensten überlassen

Technische Umsetzung den Diensten überlassen

 

Alle Gesetze und Verordnungen sollen nur Ziele formulieren (zum Beispiel "Nutzer sollen die Möglichkeit haben, persönliche Daten zu löschen"). Die technische Umsetzung soll den einzelnen Diensten überlassen bleiben, um unnötige Einschränkungen des Dienstes zu minimieren. Mit Auditierungsverfahren kann überprüft werden, ob die Ziele wirklich erreicht werden.

 

Privatheitsschutzrecht anwenden, das den Nutzerinnen und Nutzern vertraut ist

Privatheitsschutzrecht anwenden, das den Nutzerinnen und Nutzern vertraut ist

 

acatech empfiehlt, dass für Diensteanbieter das Privatheitsschutzrecht relevant ist, das dort gültig ist, wo die Nutzerinnen und Nutzer des Dienstes ansässig sind. Das bedeutet zum Beispiel, dass in Europa der europäische Privatheitsschutz auch gewährleistet ist, wenn ein Dienst von einem Staat aus angeboten wird, in dem ein geringer Privatheitsschutz herrscht. Die Nutzerinnen und Nutzer können darauf vertrauen, dass immer das Recht gilt, das sie kennen, und sie sich nicht mit vielen unterschiedlichen Rechtsordnungen auseinandersetzen müssen, wenn sie ihren Privatheitsschutz geltend machen wollen. Damit dies für die Anbieter realisierbar ist, soll das Privatheitsschutzrecht möglichst weiträumig harmonisiert werden und für den harmonisierten Bereich nur eine Behörde zuständig sein, wie das in Europa geplant ist.

 

Einwilligung regulieren

Einwilligung regulieren

 

Die Erhebung und Verwendung persönlicher Daten setzt im Allgemeinen das bewusste und freiwillige Einverständnis der Betroffenen voraus. Dies gilt besonders dann, wenn Nutzerprofile erstellt werden. Das Einverständnis soll so eingeholt werden, dass die Anwenderinnen und Anwender wissen, wozu sie ihr Einverständnis geben. Damit die Sorgeberechtigten Vertrauen in die Angebote an ihre Kinder gewinnen, sollen nur sie berechtigt sein, in die Verarbeitung der Daten ihrer Kinder einzuwilligen. Weil es im Einzelfall schwierig ist zu entscheiden, ob freiwilliges Einverständnis vorliegt, soll dies durch Regelbeispiele erläutert werden. Die Verarbeitung persönlicher Daten ohne Einwilligung soll nur erlaubt werden, wenn die damit verbundenen Risiken berücksichtigt und entsprechende Schutzmaßnahmen ergriffen werden, zum Beispiel durch Verschlüsselung.

Transparenz schaffen und Kontrolle ermöglichen

Transparenz schaffen und Kontrolle ermöglichen

 

Dienste sollen ihren Kundinnen und Kunden zeitnah und in verständlicher Form darstellen, welche persönlichen Daten sie speichern, was mit diesen Daten geschieht, an wen sie weitergegeben werden (besonders bei Weitergabe in Drittländer mit geringerem Datenschutzniveau), wie lange sie aufbewahrt werden etc. Nutzerinnen und Nutzer sollen die Möglichkeit haben, diese Daten zu korrigieren und zu löschen.

 

Löschen ermöglichen

Löschen ermöglichen

 

Über die aktive Löschung von persönlichen Daten hinaus sollen Dienste die Möglichkeit bieten, Fristen einzustellen, nach denen persönliche Daten, mindestens aber die von den Nutzerinnen und Nutzern selbst erzeugten, automatisch gelöscht werden. Ein generelles Recht auf Vergessen im Internet erscheint angesichts der gegenwärtigen technischen Möglichkeiten noch nicht realistisch.

 

Migration unterstützen

Migration unterstützen

 

Wer heute über einen längeren Zeitraum einen Internetdienst, zum Beispiel ein soziales Netzwerk oder eine E-Commerce-Plattform verwendet, ist an diesen Dienst in hohem Maße gebunden, weil die Nutzung über einen längeren Zeitraum personalisiert wurde. In sozialen Netzwerken haben Nutzerinnen und Nutzer Freundeskreise etabliert, Bilder hinterlegt, Informationen gepostet usw. E-Commerce-Anbieter kennen die Vorlieben ihrer Kundinnen und Kunden und können auf dieser Grundlage ihr Angebot optimieren. Sie sollten ihnen die Möglichkeit bieten, zu einem anderen Anbieter zu wechseln und dabei ihren persönlichen Kontext mitzunehmen. Eine solche Migrationsmöglichkeit ist nicht nur für die Nutzerinnen und Nutzer wichtig, sondern auch im Interesse des Wettbewerbs zwischen den Anbietern. Gerade privatheitsfreundlichere Anbieter könnten Kundinnen und Kunden überzeugen, zu ihnen zu wechseln.

 

Die bis jetzt in diesem Abschnitt aufgeführten Empfehlungen dienen dazu, durch rechtliche Rahmenbedingungen sicherzustellen, dass Nutzerinnen und Nutzer sich ausreichend darüber informieren können, welche Konsequenzen die Nutzung eines Dienstes im Internet für ihre Privatheit haben kann und ihnen die Möglichkeit gegeben wird, die Nutzung gemäß ihrer Präferenzen zu gestalten. Die nun folgenden Empfehlungen zielen darauf, die Vertrauenswürdigkeit des Internets, die zweite wichtige Bedingung für einen adäquaten Privatheitsschutz, zu erreichen.

 

Datenschutzprinzipien beachten

Datenschutzprinzipien beachten

 

Internetdienste sollen die zentralen Datenschutzprinzipien Zweckbindung, Datenminimierung, Datensicherheit und privatheitsschutzfreundliche Voreinstellungen beachten. Zweckbindung bedeutet, dass persönliche Daten (sowohl direkt erhobene als auch durch Verarbeitung gewonnene) nur zu Zwecken benutzt werden dürfen, denen die Nutzerinnen und Nutzer zugestimmt haben oder die durch andere Gesetze erlaubt sind. Datenminimierung verlangt, Dienste so zu gestalten, dass sie mit möglichst wenig persönlichen Daten auskommen. Dies kann zum Beispiel bedeuten, dass Dienste anonym oder unter Pseudonymen benutzt werden. Datensicherheit soll unter Verwendung moderner Technologie (zum Beispiel Verschlüsselung) realisiert werden. Privatheitsschutzfreundliche Voreinstellungen sollen gewährleisten, dass Dienste den Erwartungen der Nutzerinnen und Nutzer an den Umgang mit ihrer Privatheit auch dann entsprechen, wenn sie Privatheitsschutzeinstellungen nicht anpassen.

 

Privatheitsschutz-Zertifizierung regeln

Privatheitsschutz-Zertifizierung regeln

 

acatech empfiehlt, dass international oder wenigstens weitreichend geregelte und anerkannete Zertifikate und Prüfsiegel für Privatheitsschutz etabliert werden. Sie erlauben es, dass der Schutz der Privatheit zu einem Wettbewerbsvorteil werden kann. Solche Zertifikate und Prüfsiegel ermöglichen es auch Diensteanbietern, die Aufgaben delegieren, zu prüfen, ob ihre Auftragnehmer hinreichenden Schutz der Privatheit gewährleisten. Das Recht soll hier nur einen Rahmen schaffen, der Qualität und Vergleichbarkeit garantiert. Die Ausgestaltung von Zertifizierung und Prüfsiegeln soll der Wirtschaft überlassen bleiben.

 

Verhaltensanreize zur Selbstregulierung erforschen

Verhaltensanreize zur Selbstregulierung erforschen

 

Forschungsbedarf besteht vor allem bei der Frage, wie das Recht, das mit Ge- und Verboten sowie behördlicher Kontrolle arbeitet, durch Mechanismen ersetzt oder ergänzt werden kann, die auf andere Weise geeignete Verhaltensanreize zum Schutz der Privatheit setzen. So muss zum einen untersucht werden, wie Wettbewerb für den Privatheitsschutz genutzt werden kann. Wie kann dieser zu einem Werbeargument und Wettbewerbsvorteil werden? Wie können die dafür erforderlichen verlässlichen Marktinformationen generiert und verbreitet werden? Zum anderen ist für den Privatheitsschutz bei Internetdiensten eine Allianz von Recht und Technik von zentraler Bedeutung. Sie muss sicherstellen, dass die Betroffenen ihre Privatheit selbst schützen können (Selbstdatenschutz) und dass diese durch den Internetdienst geschützt wird (Systemdatenschutz). Drittens ist zu untersuchen, welche Fragen den Diensteanbietern und ihrer Selbstregulierung überlassen werden können. Welche Rahmensetzung und welche Anreize sind notwendig, um zu gewährleisten, dass die Selbstregulierung rechtzeitig und zielgerecht erfolgt?


Darüber hinaus empfiehlt acatech, zu untersuchen, ob und wie die Einführung der sogenannten Gefährdungshaftung für Internetdienste zur Steigerung des Vertrauens im Internet beitragen kann. Gefährdungshaftung würde  garantieren, dass Anbieter von Internetdiensten für Schäden haften müssen, die sie verursacht haben, unabhängig davon, ob sie die Schäden verschuldet haben. Entsprechend empfiehlt acatech, zu untersuchen, ob und wie Privatheitsschutzrecht auch auf die Verarbeitung von Daten zu privaten und persönlichen Zwecken ausgedehnt werden soll, weil heute für alle Internetnutzerinnen und -nutzern mächtige Datenverarbeitungswerkzeuge leicht verfügbar sind.

 

 

 

WIRTSCHAFT

Diejenigen, die Internetdienste anbieten, sei es mit wirtschaftlichem Interesse oder nicht, sollen zu einer Kultur der Privatheit im Internet beitragen, indem sie Transparenz schaffen, Kontrolle und Migration ermöglichen sowie die Datenschutzprinzipien beachten, wie im vorangegangenen Abschnitt dargestellt. Sie sollen dies unabhängig davon tun, ob dies vorgeschrieben ist oder nicht. Damit steigern sie das Vertrauen in ihren Dienst und verbessern dessen Marktchancen. Sie fördern so auch das Vertrauen im Internet insgesamt und unterstützen damit dessen Entwicklung zum Nutzen von Gesellschaft und Wirtschaft. Entsprechend der acatech Empfehlung sollen Vorschriften sich auf Zielsetzungen, Anreize, Kontrollen und Sanktionen beschränken und den Diensteanbietern ermöglichen, die für sie günstigen Umsetzungen zu wählen. Darüber hinaus empfiehlt acatech Folgendes:

 

acatech empfiehlt:

 

Mehr Privatheitsschutz zur Auswahl stellen

Mehr Privatheitsschutz zur Auswahl stellen

 

Gegenwärtig werden viele Internetdienste (zum Beispiel Suchmaschinen und soziale Netzwerke) mit den persönlichen Daten der Nutzerinnen und Nutzer „bezahlt“. Die Anwenderinnen und Anwender haben dabei nur eingeschränkte Kontrolle über ihre Daten. acatech empfiehlt, kostenpflichtige Premium-Dienste anzubieten, die restriktiver mit den persönlichen Daten umgehen, also zum Beispiel solche Daten nicht für gezielte Werbung verwenden oder die Verwendung von Pseudonymen oder sogar anonyme Nutzung erlauben. Die Empfehlung richtet sich nicht nur an etablierte Dienstleister. Darüber hinaus sollten Start-ups, die solche Dienste anbieten, entsprechend gefördert werden. Je mehr Nutzerinnen und Nutzer ihre Privatheit schützen wollen, desto interessanter wird dieses Geschäftsmodell für die Diensteanbieter, insbesondere wenn aussagekräftige Privatheitssiegel und -zertifikate etabliert sind.

 

Verwendung von Privacy-Agenten ermöglichen

Verwendung von Privacy-Agenten ermöglichen

 

acatech empfiehlt, dass Internetdienste Nutzerinnen und Nutzern die Möglichkeit geben, sich von sogenannten Privacy-Agenten unterstützen zu lassen. Privacy-Agenten sind zum Beispiel Programme, denen User einmalig ihre Präferenzen mitteilen (zum Beispiel „gib bei der Verwendung von Apps niemals meinen Aufenthaltsort preis“), und die diese danach automatisch umsetzen und nur bei wichtigen und kritischen Fragen die persönliche Aufmerksamkeit des Betroffenen beanspruchen. Das setzt voraus, dass relevante Informationen in einem Format bereitgestellt werden, das von Privacy-Agenten ausgewertet werden kann.

 

Standards vereinbaren

Standards vereinbaren

 

Unabhängig von möglichen Regulierungen sollen Diensteanbieter selbst Standards vereinbaren, die es Privacy-Agenten erlauben, die Nutzerinnen und Nutzer bei der Gestaltung ihrer Privatheit zu unterstützen, und ihnen die Migration ihrer wesentlichen Daten von einem zu einem anderen Anbieter ermöglichen. Solche Standards sollen sich auch auf die Nutzerschnittstellen von Privacy-Agenten beziehen, damit Anwenderinnnen und Anwender einfach ihre Privatheitspräferenzen realisieren können.

 

Privatheitssiegel und -zertifikate entwickeln

Privatheitssiegel und -zertifikate entwickeln

 

Anbieter von Internetdiensten sollen gemeinsam unabhängige, qualitätsgesicherte Privatheitssiegel und -zertifikate etablieren und sich zu ihrer regelmäßigen Nutzung verpflichten. Eine regelmäßige, durch unabhängige Institutionen durchgeführte Qualitätsüberprüfung trägt zur Akzeptanz der Siegel und allgemein zum Vertrauensaufbau bei.

 

 

 

TECHNIK

Die obigen Empfehlungen lassen sich nur mit entsprechender technischer Unterstützung realisieren. Die notwendigen Techniken sind, wenn überhaupt, oft nur ansatzweise vorhanden. Die Weiterentwicklung der Technik erfordert in vielen Fällen erhebliche Forschungsanstrengungen.

 

acatech empfiehlt:

 

Internetdienste nach dem Prinzip „Privacy by Design“ entwickeln und betreiben

Internetdienste nach dem Prinzip „Privacy by Design“ entwickeln und betreiben

 

Traditionell werden Dienste zunächst im Hinblick auf ihre Funktionalität entwickelt. Maßnahmen, die die Sicherheit und Privatheit des Dienstes gewährleisten, werden später ergriffen. Ein solches Vorgehen macht die Absicherung aufwendig – mit oft unbefriedigendem Resultat. Internetdienste sollten stattdessen nach dem Prinzip „Privacy by Design“ entwickelt und in der Folge dann auch betrieben werden.

 

„Privacy by Design“ beginnt mit einer Analyse und öffentlichen Diskussion, welchen Einfluss ein Dienst auf die Privatheit seiner Nutzerinnen und Nutzer hat. Eine solche Analyse erfordert die Definition, quantitative Bewertung und möglichst automatische Analyse von Sicherheit, Vertraulichkeit und Privatheit, insbesondere im Hinblick auf aggregierte und abgeleitete Daten. acatech empfiehlt, die Forschung nach entsprechenden technischen Hilfsmitteln (Checklisten, Erweiterungen von Entwicklungstools, automatisierte Tests etc.) und Referenzarchitekturen (Best Practices für bestimmte Anwendungsfälle) zu intensivieren, die Entwickler und Administratoren für eine effektive und kostengünstige Umsetzung von „Privacy by Design“ brauchen.

 

Informierte und bewusste Einwilligung unterstützen

Informierte und bewusste Einwilligung unterstützen

 

Dienstleister dürfen im Allgemeinen die Daten ihrer Nutzerinnen und Nutzer nur mit deren Einwilligung erheben und verwenden, wie in Abschnitt 5.2. erläutert. Dieses Prinzip führt bereits heute zu zahlreichen technischen Herausforderungen, und die meisten davon sind noch nicht ausreichend erforscht und gelöst. acatech empfiehlt, besonders folgende Forschungs- und Entwicklungsfragen zu beantworten. Wie kann man die Einwilligung so gestalten, dass User sie tatsächlich bewusst geben und nicht blindlings einwilligen, um schnell den gewünschten Dienst zu erhalten, oder umgekehrt frustriert eine eigentlich gewollte Transaktion abbrechen? Wie kann man sicherstellen, dass zum Beispiel die Einwilligung von Kindern nur mit Zustimmung der Eltern erfolgt, und Kinder auf für sie als ungeeignet erachtete Dienste keinen Zugriff haben? Wie kann die Einwilligung (oder deren Verweigerung) im Fall abgeleiteter Daten erfolgen, also von Daten, an deren Erhebung der Betroffene überhaupt nicht direkt beteiligt ist?

 

Vergessenwerden im Internet erforschen

Vergessenwerden im Internet erforschen

 

Ein umfassendes „Vergessenwerden im Internet“ ist wünschenswert. Dieses muss über das Löschen von solchen Primärdaten, die Dienste direkt von Nutzern sammeln, hinausgehen. Was „Vergessenwerden“ bedeutet ist aber weder genau verstanden noch kann es bis heute umfassend umgesetzt werden. acatech empfiehlt die Erforschung und Entwicklung von Methoden, die es ermöglichen, weitergegebene Daten und durch Auswertung gewonnene Informationen zu löschen, zum Beispiel mithilfe anbieterübergreifender Daten- und Sicherheitsmodelle („Sticky-Policies“: die Daten „wissen“, wann sie gelöscht werden müssen). Solche Methoden dürften aufwendig und teuer sein. Darum sollten auch praktikable Bewertungsmethoden entwickelt werden, mit denen die Konsequenzen des Nicht-Löschens beurteilt werden können. Zum Beispiel besteht kein Grund, tatsächlich anonymisierte Daten zu löschen. Oftmals gelingt es aber später doch, scheinbar anonymisierte Daten wieder Personen zuzuordnen.

 

Nutzerfreundlichkeit sicherstellen

Nutzerfreundlichkeit sicherstellen

 

Technologien, die Privatheit schützen, werden häufig gar nicht oder nicht so eingesetzt, wie es zur Entfaltung ihrer vollen Wirksamkeit notwendig wäre. Ein Grund dafür ist, dass ihre Verwendung zu kompliziert ist und mit dem Bedürfnis kollidiert, einen Dienst auf möglichst einfache Art und Weise zu nutzen. acatech empfiehlt Forschungsanstrengungen im Bereich der Nutzbarkeit (Usability) von solchen Technologien. Dies umfasst die Untersuchung von Präferenzen von Internetteilnehmerinnen und -teilnehmern, sogenannte mentale Modelle, die zeigen, welche Reaktionen Dienste auslösen.

 

Nutzungskompetenz und Gestaltungsmöglichkeiten unterstützen

Nutzungskompetenz und Gestaltungsmöglichkeiten unterstützen

 

Nutzungskompetenz der Anwenderinnen und Anwender setzt voraus, dass sie wissen, welche persönlichen Informationen über sie wo vorhanden sind und welche Konsequenzen das für ihre Privatheit hat. Auf der Grundlage dieses Wissens können sie Privatheitspräferenzen entwickeln und umsetzen. acatech empfiehlt die Weiterentwicklung von Werkzeugen (Privacy-Agenten), die Nutzerinnen und Nutzern zeigen, welche persönlichen Informationen ein bestimmter Dienst oder eine Gruppe von Diensten kennt (zum Beispiel alle sozialen Netzwerke, in denen sie aktiv sind) und was das angesichts ihrer Präferenzen für ihre Privatheit bedeutet. Dies ist nicht nur eine große analytische und technische Herausforderung, sondern solche Werkzeuge müssen auch nutzerfreundlich gestaltet werden, zum Beispiel durch nonverbale Informationen wie Ampeln oder Signale. Die Werkzeuge sollen die Nutzer auch bei Privatheitsentscheidungen unterstützen, wenn zum Beispiel ein Dienst Informationen über ihren Aufenthaltsort verwenden will.


acatech empfiehlt die Entwicklung von Standards in unterschiedlichen Bereichen. Regeln (Policies), die Anbieter bei der Verarbeitung von persönlichen Daten anwenden, sollen standardisiert werden. Solche standardisierten Regeln können zum einen für die Nutzerinnen und Nutzer leichter verständlich formuliert werden und erlauben zum anderen eine automatische Evaluation. Eine solche automatische Evaluation ist von besonderer Bedeutung, bevor Dienste auf andere Dienste zugreifen. Entsprechend sollen standardisierte Nutzerprofile für den Umgang mit Privatheit entwickelt und angeboten werden. Das erweitert die Gestaltungsmöglichkeiten der Anwenderinnen und Anwender und entbindet sie gleichzeitig von der Notwendigkeit, eigene Profile zu entwickeln. Sie können sich sicher sein, dass solche Profile das angestrebte Ziel erreichen. Standardisierte Nutzerprofile sollen durch Techniken ergänzt werden, die es ermöglichen, formulierte Präferenzen („diese Informationen bitte nicht weitergeben“) in automatisch ausführbare Policies zu übersetzen. acatech empfiehlt drittens die Entwicklung von standardisierten Formaten, die die Migration von Nutzerprofilen von einem Dienst in einen anderen Dienst unterstützen. Dies erlaubt es Nutzern, denjenigen Dienst zu wählen, der ihren Präferenzen im Hinblick auf Privatheit am meisten entspricht.

 

Vertrauenswürdige Auditierung unterstützen

Vertrauenswürdige Auditierung unterstützen

 

Für Anwenderinnen und Anwender ist nicht leicht erkennbar, ob ein Dienst ihre Privatheit respektiert. Hier können Auditierung und entsprechende Zertifikate Abhilfe schaffen. acatech empfiehlt die Entwicklung standardisierter Prozesse, von Bewertungskriterien und Bewertungsverfahren für solche Auditierungen, die nicht nur einen Internetdienst selbst, sondern auch die beteiligten Drittanbieter, wie zum Beispiel die Entwickler von Apps, Werbetreibende, erweiterte Serviceanbieter wie Recommender oder Drittverkäufer bei E-Commerce, einbeziehen. Auditierung und Zertifikate werden dadurch vergleichbar und aussagekräftiger. Der IT-Grundschutz und Common Criteria-Schutzprofile können als Vorbild dienen. In diesem Bereich ist die Weiterentwicklung von Softwaresystemen für die automatische Evaluation von besonderer Bedeutung. In Ergänzung zu Zertifikaten, die von unabhängigen Prüfeinrichtungen vergeben werden, sollen auch Empfehlungssysteme weiterentwickelt werden, die bereits aus dem Bereich E-Commerce bekannt sind. Auch sie sollen die Privatheitsfreundlichkeit von Internetdiensten bewerten. Schließlich empfiehlt acatech Zertifizierungstechniken zu entwickeln, die Nutzerinnen und Nutzern gegenüber bezeugen können, dass Privatheitsagenten korrekt arbeiten.

 

Data Mining-Verfahren für „Big Data“-Privacy erforschen

Data Mining-Verfahren für „Big Data“-Privacy erforschen

 

Im Internet werden riesige Datenmengen gespeichert (Big Data) und mit fortgeschrittenen Informatikmethoden (Data Mining) besonders für wirtschaftliche Zwecke analysiert (Business Intelligence). Die Fähigkeit zur Analyse großer Datenmengen hat Rückwirkungen auf die Privatheit. acatech empfiehlt, Methoden zu nutzen und weiterzuentwickeln, die Nutzerinnen und Nutzer über mögliche Privatheitsrisiken aufklären.

 

Anonyme und pseudonyme Nutzung von Diensten ermöglichen

Anonyme und pseudonyme Nutzung von Diensten ermöglichen

 

Für viele Internetdienste ist es wichtig, stabile Kundenbeziehungen aufzubauen und dazu Nutzer wiederzuerkennen. Viele Dienste könnten aber auch anonym oder zumindest unter einem frei gewählten Pseudonym genutzt werden. Es genügt, wenn sie bestimmte Eigenschaften (sogenannte Attribute) eines Kunden gesichert verifizieren, zum Beispiel die Altersgruppe, den aktuellen Aufenthaltsort oder die Mitgliedschaft in einer bestimmten Gruppe. Eine umfangreichere Identifikation ist nicht notwendig. acatech empfiehlt deshalb der Wirtschaft, Dienste auch anonym oder mit Pseudonymen benutzen zu lassen. Die Umsetzung dieser Empfehlung erfordert besondere technische Lösungen. Es sind Systeme zu entwickeln, mit deren Hilfe Anbieterinnen und Anbieter ihre eigenen Identitäten, Pseudonyme und Attribute selbst verwalten und deren Verwendung durch Internetdienste verfolgen können (Personal Identity Management). Entsprechend sollten auch Systeme entwickelt werden, mit deren Hilfe Internetdienste bestimmte Attribute verifizieren können, ohne dazu den Nutzer weitergehend identifizieren zu müssen. Besondere Herausforderungen für die Forschung und Entwicklung stellen hierbei die Benutzerfreundlichkeit sowie die Verwendung mobiler und eingebetteter (cyber-physical) Endgeräte und die damit verbundenen Attribute dar.

 

Grundlegende Methoden und Technologien weiterentwickeln

Grundlegende Methoden und Technologien weiterentwickeln

 

Wirkungsvoller Privatheitsschutz setzt voraus, dass die verwendeten grundlegenden Techniken hinreichend sicher sind. Das ist aber nicht garantiert. Verfahren, die heute sicher sind, können morgen unsicher sein. Außerdem erfordern die IT-Szenarien der Zukunft neue grundlegende Schutztechniken. acatech empfiehlt deshalb, dass Forschung und Entwicklung im Bereich der grundlegenden Technologien intensiv vorangetrieben werden. Ein wichtiger Bereich ist die Entwicklung kryptographischer Verfahren, die auch neuen Bedrohungen wie zum Beispiel Quantencomputern standhalten und die die Ressourceneinschränkungen vieler moderner IT-Komponenten tolerieren. Ein weiteres Beispiel ist die Entwicklung von praktischen kryptographischen Protokollen, die die Privatheit unterstützen, wie etwa „Fully Homomorphic Encryption“ und „Secure Multiparty Computation“, also Verfahren, die Berechnungen mit verschlüsselten Daten erlauben, ohne die Daten preiszugeben. Ein letztes Beispiel ist die Entwicklung von Methoden, die einerseits die Privatheit unterstützen, andererseits aber die Zurechenbarkeit von illegalen Handlungen erlauben.


acatech empfiehlt auch zu erforschen, wie Dualitäten wie privatheitsfreundlich/privatheitsunfreundlich oder sicher/unsicher differenziert als „hinreichend für einen bestimmten Kontext“ bewertet werden können. Eine solche Differenzierung ermöglicht es, angemessene und wirtschaftlich vertretbare Lösungen zu finden.

 

zurück zur Veranstaltungsseite des Abschussforums Internet Privacy