SlideShare ist ein Scribd-Unternehmen logo
Datenschutz in mobilen Anwendungen –
   speziell auf der Plattform Android

       Thilo Weichert, Leiter des ULD
     Landesbeauftragter für Datenschutz
             Schleswig-Holstein

        droidcon, Berlin 27.05.2010
www.datenschutzzentrum.de


                                                                              Inhalt



•   Unabhängiges Landeszentrum für Datenschutz – ULD SH
•   Smartphones – Funktionalitäten, Daten, Nutzungsformen
•   Rechtliche Grundlagen des Datenschutzes
•   Datenschutz als globale Herausforderung
•   Anforderungen an Mobile Geräte und an Entwickler
•   Handlungsbedarf




                      Weichert - droidcon 27.05.2010 - Berlin - Datenschutz       Folie 2
www.datenschutzzentrum.de

              Unabhängiges Landeszentrum für
                                Datenschutz

• Datenschutzkontrollbehörde für öffentlichen und nicht-
  öffentlichen Bereich (u.a. Telemedienanbieter in Sch.Holst.)
• Ausbildung, Beratung und Unterstützung von Betroffenen,
  Politik, Verbänden, verarbeitenden Stellen, Forschung u.
  Entwicklung
• Erstellung von Gutachten und Stellungnahmen
• Durchführung von Projekten (z.B. zu Identity-Management
  PRIME-life)
• Datenschutz-Gütesiegel und –Audit (seit 2001,
  incl. European Privacy Seal - EuroPriSe, seit 2008)

                      Weichert - droidcon 27.05.2010 - Berlin - Datenschutz   Folie 3
www.datenschutzzentrum.de


             Funktionalitäten von Smart-Phones
• Telefonie
• E-Mail, SMS, Chat, Instant Messaging und sonstige elektronische
  Kommunikation
• Internetendgerät
  (Info-Abruf, Nutzung für Web 2.0-Dienste)
• Hoch-, Runterladen und Abspielen von Unterhaltung
  (Musik, Filme, Spiele)
• Konsumzwecke für Verbraucher (eCommerce)
• Personal Digital Assistant
  (u.a. Adressverwaltung, Kalender, Bildverwaltung)
• Berufliche DV-Basis
  (Textverarbeitung, Dokumentenmanagement,
  Archivierung)
• Navigationsgerät
                        Weichert - droidcon 27.05.2010 - Berlin - Datenschutz   Folie 4
www.datenschutzzentrum.de


                                                  Verarbeitete Daten
• Bestandsdaten (Access – Vertragsdaten)
• Verkehrsdaten (Nutzungsdaten bzgl. Netzzugang, Dienste
  Kommunikation), incl. Standort-Geokoordinaten
• Inhaltsdaten (Content – Dokumente, Bilder, Sprache, Programme)

  Verhaltensprofile
  Bewegungsprofile
  Kommunikations- und Sozialprofile
  Konsum- und Interessenprofile
  Evtl. Bonitätsbewertung,
  Bewerbungsbewertung …



                       Weichert - droidcon 27.05.2010 - Berlin - Datenschutz   Folie 5
www.datenschutzzentrum.de


               Grundlagen des Datenschutzes I
• Allgemeines Persönlichkeitsrecht (Art. 2 I i.V.m. 1 I GG)
     Recht auf Privatsphäre (right to be let alone)
     Recht am eigenen Bild, am gesprochenen Wort
     Recht auf informationelle Selbstbestimmung
     Grundrecht auf Gewährleistung der Vertraulichkeit und
     Integrität eigengenutzter informationstechnischer
     Systeme
• Telekommunikationsgeheimnis (Art. 10 GG)
• Meinungs-, Informations- und Pressefreiheit (Art. 5 GG)
• Weitere Grundrechte (Eigentum 14 GG, Beruf 12 GG, Ehe
  u. Familie 6 GG, Religion 4 GG)
                     Weichert - droidcon 27.05.2010 - Berlin - Datenschutz   Folie 6
www.datenschutzzentrum.de


                  Grundlagen des Datenschutzes II
•   Recht in Ruhe gelassen zu werden (1969)
•   Verbot umfassender Persönlichkeitsprofile (1969)
•   Verbot von Personenkennzeichen (1983)
•   Verbot der Rundumüberwachung (2004)
•   Verbot der Vorratsdatenverarbeitung
    (anlasslose Kontrolle, „ins Blaue hinein“, 1983)
•   Ausnahmecharakter der verdeckten Erhebung (1970)
•   Schutz des Kernbereichs persönlicher Lebensgestaltung (2004)
•   Individueller Systemschutz
    (Vertraulichkeit und Integrität eigengenutzter IT-Systeme, 2008)
•   Verbot der Totalerfassung als „verfassungsrechtliche Identität der BRD“
    (2010)


                          Weichert - droidcon 27.05.2010 - Berlin - Datenschutz   Folie 7
www.datenschutzzentrum.de


            Grundlagen des Datenschutzes III
• Grundrechte als Abwehrrechte gegenüber dem Staat
• Grundrechte als Bestandteil der objektiven Wertordnung
   (Drittwirkung im Verhältnis zwischen Privaten)
• Grundrechte als staatliche Gewährleistungsverpflichtung
   (Recht – z.B. BDSG, Organisation – z.B. Datenschutz-
   kontrolle, Technik – z.B. Internetinfrastruktur)
Seit Privatisierung der Telekommunikation besondere
   Verpflichtung der TK-Zugangsdienste bzgl. TK-Geheimnis
Integration des Datenschutzes ins Arbeitsrecht
Integration des Datenschutzes in den Verbraucherschutz
=> Adressiert auch Diensteanbieter und Programmhersteller

                     Weichert - droidcon 27.05.2010 - Berlin - Datenschutz   Folie 8
www.datenschutzzentrum.de


              Grundlagen des Datenschutzes IV
• Materielle Zulässigkeit der Datenverarbeitung
  (BDSG, TMG, TKG, LDSG, KUG,
  Spezialgesetze, z.B. SGB, KrankhG)
• Datenvermeidung/Datensparsamkeit
  (Anonymisierung, Aggregierung, Pseudonymisierung,
  Filetrennung, Verzicht auf IDs, Verschlüsselung)
• Datensicherheit
  (Integrität, Vertraulichkeit, Verfügbarkeit, Authentizität,
  Revisionsfähigkeit, Transparenz, Unverknüpfbarkeit)
• Betroffenenrechte
  (Auskunft, Benachrichtigung, Berichtigung, Löschung,
  Sperrung, Widerspruch, Schadenersatz)
                      Weichert - droidcon 27.05.2010 - Berlin - Datenschutz   Folie 9
www.datenschutzzentrum.de


 Datenschutz als globale Herausforderung I
• Nationales Datenschutzrecht knüpft an territorialer
  Datenverarbeitung an: Erhebung, Speicherung,
  Verarbeitung (Cookie), Auswertung, Übermittlung, Nutzung
• EU-Datenschutzrichtlinie
  (gemeinsame DS-Anforderungen und Fiktion eines
  einheitlichen Standards)
• Anerkennung nationaler Standards durch EU-Kommission
• Safe Harbor für US-Anbieter
  (Notice, Choice, Onward Transfer, Security, Data Integrity,
  Access, Enforcement)
• Einzelvertragsregelungen
  (Binding Corporate Rules, Standardvertragsklauseln)
                     Weichert - droidcon 27.05.2010 - Berlin - Datenschutz   Folie 10
www.datenschutzzentrum.de


 Datenschutz - globale Herausforderung II
• Begrenzung der Anwendbarkeit: es gibt (noch?) kein
  Weltrechtsprinzip beim europäischen Datenschutz

  Öffentliche Diskreditierung von Diensten, Produkten und
  Anwendungen
  Kulturclash zw. europäischem und anglo-amerikanischem
  Verständnis
     USA: Konsument kann sich selbst schützen, Free Speech
     Europa: Staatlicher Schutz- und Regulierungsauftrag
      Druck z.B. auf Google: Search, Street View, Analytics,
      Chrome, Dashboard, Mail, Calender …

                     Weichert - droidcon 27.05.2010 - Berlin - Datenschutz   Folie 11
www.datenschutzzentrum.de


                                                         Wo fallen Daten an?
•   TK-Anbieter (GPRS/UMTS-Provider, aber ggf. auch WLAN-Betreiber)
        Stammdaten (bei Provider)
        Verbindungsdaten
        Zugriff auf Inhaltsdaten
•   Google (bei Android)
        Personifizierter Google-Account für (mindestens) Market erforderlich
        Wer nutzt sein Android-Handy ohne Google-Account?
•   Dienste-Anbieter
        Bei Nutzung von Internet-Diensten offensichtlich, aber:
        Auch viele Apps verarbeiten Daten nicht im Gerät, sondern auf Servern
        (z.B. auch bei Spracherkennung => Inhaltsdaten).
•   Smartphone Tracking-Dienste
        Firmen wie z.B. Flurry bieten
        Application Use Tracking an.
        Einwilligung?                              http://www.flurry.com/about-us/merger/faq.html




                                  Weichert - droidcon 27.05.2010 - Berlin - Datenschutz             Folie 12
www.datenschutzzentrum.de


               Anforderungen an Mobile Geräte
• Datenschutzfreundliche Defaults!
• Handhabbare u. funktionale Mensch-Maschine-Schnittstellen
• Einwilligungsbasierte Speicherungen
  (Lokalisierung, Cookies, Werbung)
• Abhärtung des „eigengenutzten Informationssystems“
• Koppelungsverbot
• Logische Trennung der Anwendungen
• Auswertungen nur anonym/pseudonym,
  getrennt
• Datensicherheit (Update-Service, Apps,
  Virenprüfung)
• Umfassende Transparenz
  (trotz beschränkter Displays)

                     Weichert - droidcon 27.05.2010 - Berlin - Datenschutz   Folie 13
www.datenschutzzentrum.de


                           Insbesondere Transparenz
• Information über verantwortliche Stelle und Zweck
• Impressumpflichten
• Privacy Policies
• Benachrichtigung über Erhebung durch Dritte
• Inhalt der Einwilligungen
• Anzeige der Wahlmöglichkeiten
• Information über (Werbe-)Widerspruchsmöglichkeit
• Auskunftsanspruch
• Informationspflichten nach Fernabsatzgesetz (Produkt,
  Zahlungsweise, Widerrufsrecht, Rückgaberecht)
• Evtl. Breach Notification
                     Weichert - droidcon 27.05.2010 - Berlin - Datenschutz   Folie 14
www.datenschutzzentrum.de


                           Anforderungen an Android
• Bewahrung des Open Souce-Ansatzes
  (Transparenz!)
• Anwendungsneutralität
• Transparente und handhabbare Datenverwaltung,
  klare Verantwortlichkeiten
• Verarbeitung von Anwendungsdaten im Gerät,
  nicht bei Dienstleistern
• Datenvermeidungskonzepte
  z.B. bei Location Based Services, Tracking u.Ä.
• Löschkonzepte
• Zertifizierung von Betriebssystems-Versionen, -teilen und
  von Applikationen (BSI-Grundschutz, DS-Gütesiegel)

                     Weichert - droidcon 27.05.2010 - Berlin - Datenschutz   Folie 15
www.datenschutzzentrum.de


          Aufforderung an Android-Entwickler
• Wo sind die Privacy-Enhancing Tools?
    Sichere Verschlüsselung für
    Dateisystem, Mail, Chat, SMS, Voice
    Opt-out-Tools für Tracking-Dienste

• Privacy by Design
     Datenschutz als Default
     => viele Apps verbesserungsfähig!
     Simpler erster Schritt:
     Nutzerdaten nur per SSL übertragen
     Privatsphäre als
     Alleinstellungsmerkmal am Mark(e)t
     nutzen!
                     Weichert - droidcon 27.05.2010 - Berlin - Datenschutz   Folie 16
www.datenschutzzentrum.de


                                                     Handlungsbedarf
• Frühestmögliche Integration von
  Datenschutz bei Forschung und Entwicklung
• Forschungsbedarf
  bzgl. Software, Oberflächen, Privacy Policies
• Entwicklung von Schutzprofilen für mobile Anwendungen
• Standardisierung von datenschutzkonformen Lösungen
  (DIN, ISO)
• Weiterentwicklung der Zertifizierung und Markt-Evaluation
  (Stiftung Datenschutz)
• Etablierung v. Verbraucherschutzinstrumenten (Foren u.Ä.)
• Festlegung Internationaler Privacy-Regelungen

                     Weichert - droidcon 27.05.2010 - Berlin - Datenschutz   Folie 17
www.datenschutzzentrum.de

   Datenschutz in mobilen Anwendungen – speziell
                        auf der Plattform Android


Dr. Thilo Weichert
   Unabhängiges Landeszentrum für
   Datenschutz Schleswig-Holstein (ULD)
   Independent Centre for Privacy Protection
   Schleswig-Holstein (ICPP)

  Holstenstr. 98, 24103 Kiel, Germany

  mail@datenschutzzentrum.de

  https://www.datenschutzzentrum.de/

                        Weichert - droidcon 27.05.2010 - Berlin - Datenschutz   Folie 18

Weitere ähnliche Inhalte

Andere mochten auch

Android industrial mobility
Android industrial mobility Android industrial mobility
Android industrial mobility
Droidcon Berlin
 
crashing in style
crashing in stylecrashing in style
crashing in style
Droidcon Berlin
 
Android programming -_pushing_the_limits
Android programming -_pushing_the_limitsAndroid programming -_pushing_the_limits
Android programming -_pushing_the_limits
Droidcon Berlin
 
Droidcon de 2014 google cast
Droidcon de 2014   google castDroidcon de 2014   google cast
Droidcon de 2014 google cast
Droidcon Berlin
 
Persönlichkeitsrechte und Datenschutz in der Wolke?
Persönlichkeitsrechte und Datenschutz in der Wolke?Persönlichkeitsrechte und Datenschutz in der Wolke?
Persönlichkeitsrechte und Datenschutz in der Wolke?
Hochschule Weserbergland
 
EN 6.3: 1 IT-Sicherheit und Technischer Datenschutz
EN 6.3: 1 IT-Sicherheit und Technischer DatenschutzEN 6.3: 1 IT-Sicherheit und Technischer Datenschutz
EN 6.3: 1 IT-Sicherheit und Technischer Datenschutz
Sven Wohlgemuth
 
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Holliday Consulting
 

Andere mochten auch (8)

Android industrial mobility
Android industrial mobility Android industrial mobility
Android industrial mobility
 
crashing in style
crashing in stylecrashing in style
crashing in style
 
Android programming -_pushing_the_limits
Android programming -_pushing_the_limitsAndroid programming -_pushing_the_limits
Android programming -_pushing_the_limits
 
Droidcon de 2014 google cast
Droidcon de 2014   google castDroidcon de 2014   google cast
Droidcon de 2014 google cast
 
Raspberry Pi
Raspberry PiRaspberry Pi
Raspberry Pi
 
Persönlichkeitsrechte und Datenschutz in der Wolke?
Persönlichkeitsrechte und Datenschutz in der Wolke?Persönlichkeitsrechte und Datenschutz in der Wolke?
Persönlichkeitsrechte und Datenschutz in der Wolke?
 
EN 6.3: 1 IT-Sicherheit und Technischer Datenschutz
EN 6.3: 1 IT-Sicherheit und Technischer DatenschutzEN 6.3: 1 IT-Sicherheit und Technischer Datenschutz
EN 6.3: 1 IT-Sicherheit und Technischer Datenschutz
 
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
 

Ähnlich wie Droidcon 2010: Datenschutz in mobilen Anwendungen speziell beim Betriebssystem Android. Dr. Thilo Weichert, Leiter des unabhaengigen Landeszentrums fuer Datenschutz Schleswig-Holstein ULD

Datenvisualisierungen mit D3.js und weiteren Web Technologien
Datenvisualisierungen mit D3.js und weiteren Web TechnologienDatenvisualisierungen mit D3.js und weiteren Web Technologien
Datenvisualisierungen mit D3.js und weiteren Web Technologien
Matthias Stürmer
 
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, TransparencyMicrosoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
Microsoft Österreich
 
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
Bernd Fuhlert
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slides
Digicomp Academy AG
 
Big Data, Datenschutz, Datensicherheit - Chancen und Risiken für Smart Cities
Big Data, Datenschutz, Datensicherheit - Chancen und Risiken für Smart CitiesBig Data, Datenschutz, Datensicherheit - Chancen und Risiken für Smart Cities
Big Data, Datenschutz, Datensicherheit - Chancen und Risiken für Smart Cities
Michael Lobeck
 
Datenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzDatenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis Linz
Michael Lanzinger
 
Digital Marketing - Akademischer Handelsmanager 2017
Digital Marketing - Akademischer Handelsmanager 2017Digital Marketing - Akademischer Handelsmanager 2017
Digital Marketing - Akademischer Handelsmanager 2017
Michael Lanzinger
 
eLecture Der gläserne Mensch
eLecture Der gläserne MenscheLecture Der gläserne Mensch
eLecture Der gläserne Mensch
aquarana
 
EU-DSGVO Self Assesment in unter 4,5 Minuten
EU-DSGVO Self Assesment in unter 4,5 MinutenEU-DSGVO Self Assesment in unter 4,5 Minuten
EU-DSGVO Self Assesment in unter 4,5 Minuten
Damir Mrgic
 
Europe vs. Facebook - Datenschutz und Soziale Netzwerke
Europe vs. Facebook - Datenschutz und Soziale NetzwerkeEurope vs. Facebook - Datenschutz und Soziale Netzwerke
Europe vs. Facebook - Datenschutz und Soziale Netzwerke
Sandra Resch
 
SeEF 2013 | Bring your own device (Andreas Spichiger)
SeEF 2013 | Bring your own device (Andreas Spichiger)SeEF 2013 | Bring your own device (Andreas Spichiger)
SeEF 2013 | Bring your own device (Andreas Spichiger)
Swiss eEconomy Forum
 
Einführung Linked Open Data (LOD) - Introduction to Linked Open Data (LOD)
Einführung Linked Open Data (LOD) - Introduction to Linked Open Data (LOD)Einführung Linked Open Data (LOD) - Introduction to Linked Open Data (LOD)
Einführung Linked Open Data (LOD) - Introduction to Linked Open Data (LOD)
Martin Kaltenböck
 
Goobi zwischen Mitbestimmung und Datenschutz
Goobi zwischen Mitbestimmung und DatenschutzGoobi zwischen Mitbestimmung und Datenschutz
Goobi zwischen Mitbestimmung und Datenschutz
intranda GmbH
 
Datenschutz in der Rechtsanwaltskanzlei
Datenschutz in der RechtsanwaltskanzleiDatenschutz in der Rechtsanwaltskanzlei
Datenschutz in der Rechtsanwaltskanzlei
Michael Lanzinger
 
Cybercrime & Datenklau - rechtliche Aspekte
Cybercrime & Datenklau - rechtliche AspekteCybercrime & Datenklau - rechtliche Aspekte
Cybercrime & Datenklau - rechtliche Aspekte
Michael Lanzinger
 
Cloud computing und Datenschutz im Gesundheitssektor 2016
Cloud computing und Datenschutz im Gesundheitssektor 2016Cloud computing und Datenschutz im Gesundheitssektor 2016
Cloud computing und Datenschutz im Gesundheitssektor 2016
ehlaw
 
Unternehmenskommunikation – aber sicher!
Unternehmenskommunikation – aber sicher!Unternehmenskommunikation – aber sicher!
Unternehmenskommunikation – aber sicher!
Fraunhofer AISEC
 
Datenschutz in der Cloud
Datenschutz in der CloudDatenschutz in der Cloud
Datenschutz in der Cloud
datenschutzbeauftragter
 
Social Media & Datenschutzrecht
Social Media & DatenschutzrechtSocial Media & Datenschutzrecht
Social Media & Datenschutzrecht
Michael Rohrlich
 

Ähnlich wie Droidcon 2010: Datenschutz in mobilen Anwendungen speziell beim Betriebssystem Android. Dr. Thilo Weichert, Leiter des unabhaengigen Landeszentrums fuer Datenschutz Schleswig-Holstein ULD (20)

Datenvisualisierungen mit D3.js und weiteren Web Technologien
Datenvisualisierungen mit D3.js und weiteren Web TechnologienDatenvisualisierungen mit D3.js und weiteren Web Technologien
Datenvisualisierungen mit D3.js und weiteren Web Technologien
 
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, TransparencyMicrosoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
 
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slides
 
Big Data, Datenschutz, Datensicherheit - Chancen und Risiken für Smart Cities
Big Data, Datenschutz, Datensicherheit - Chancen und Risiken für Smart CitiesBig Data, Datenschutz, Datensicherheit - Chancen und Risiken für Smart Cities
Big Data, Datenschutz, Datensicherheit - Chancen und Risiken für Smart Cities
 
Datenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzDatenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis Linz
 
Digital Marketing - Akademischer Handelsmanager 2017
Digital Marketing - Akademischer Handelsmanager 2017Digital Marketing - Akademischer Handelsmanager 2017
Digital Marketing - Akademischer Handelsmanager 2017
 
eLecture Der gläserne Mensch
eLecture Der gläserne MenscheLecture Der gläserne Mensch
eLecture Der gläserne Mensch
 
EU-DSGVO Self Assesment in unter 4,5 Minuten
EU-DSGVO Self Assesment in unter 4,5 MinutenEU-DSGVO Self Assesment in unter 4,5 Minuten
EU-DSGVO Self Assesment in unter 4,5 Minuten
 
Europe vs. Facebook - Datenschutz und Soziale Netzwerke
Europe vs. Facebook - Datenschutz und Soziale NetzwerkeEurope vs. Facebook - Datenschutz und Soziale Netzwerke
Europe vs. Facebook - Datenschutz und Soziale Netzwerke
 
SeEF 2013 | Bring your own device (Andreas Spichiger)
SeEF 2013 | Bring your own device (Andreas Spichiger)SeEF 2013 | Bring your own device (Andreas Spichiger)
SeEF 2013 | Bring your own device (Andreas Spichiger)
 
Einführung Linked Open Data (LOD) - Introduction to Linked Open Data (LOD)
Einführung Linked Open Data (LOD) - Introduction to Linked Open Data (LOD)Einführung Linked Open Data (LOD) - Introduction to Linked Open Data (LOD)
Einführung Linked Open Data (LOD) - Introduction to Linked Open Data (LOD)
 
Goobi zwischen Mitbestimmung und Datenschutz
Goobi zwischen Mitbestimmung und DatenschutzGoobi zwischen Mitbestimmung und Datenschutz
Goobi zwischen Mitbestimmung und Datenschutz
 
Datenschutz in der Rechtsanwaltskanzlei
Datenschutz in der RechtsanwaltskanzleiDatenschutz in der Rechtsanwaltskanzlei
Datenschutz in der Rechtsanwaltskanzlei
 
Cybercrime & Datenklau - rechtliche Aspekte
Cybercrime & Datenklau - rechtliche AspekteCybercrime & Datenklau - rechtliche Aspekte
Cybercrime & Datenklau - rechtliche Aspekte
 
Cloud computing und Datenschutz im Gesundheitssektor 2016
Cloud computing und Datenschutz im Gesundheitssektor 2016Cloud computing und Datenschutz im Gesundheitssektor 2016
Cloud computing und Datenschutz im Gesundheitssektor 2016
 
Unternehmenskommunikation – aber sicher!
Unternehmenskommunikation – aber sicher!Unternehmenskommunikation – aber sicher!
Unternehmenskommunikation – aber sicher!
 
Datenschutz in der Cloud
Datenschutz in der CloudDatenschutz in der Cloud
Datenschutz in der Cloud
 
Datenschutz im Web
Datenschutz im WebDatenschutz im Web
Datenschutz im Web
 
Social Media & Datenschutzrecht
Social Media & DatenschutzrechtSocial Media & Datenschutzrecht
Social Media & Datenschutzrecht
 

Mehr von Droidcon Berlin

Details matter in ux
Details matter in uxDetails matter in ux
Details matter in ux
Droidcon Berlin
 
From sensor data_to_android_and_back
From sensor data_to_android_and_backFrom sensor data_to_android_and_back
From sensor data_to_android_and_back
Droidcon Berlin
 
droidparts
droidpartsdroidparts
droidparts
Droidcon Berlin
 
new_age_graphics_android_x86
new_age_graphics_android_x86new_age_graphics_android_x86
new_age_graphics_android_x86
Droidcon Berlin
 
5 tips of monetization
5 tips of monetization5 tips of monetization
5 tips of monetization
Droidcon Berlin
 
Testing and Building Android
Testing and Building AndroidTesting and Building Android
Testing and Building Android
Droidcon Berlin
 
Matchinguu droidcon presentation
Matchinguu droidcon presentationMatchinguu droidcon presentation
Matchinguu droidcon presentation
Droidcon Berlin
 
Cgm life sdk_droidcon_2014_v3
Cgm life sdk_droidcon_2014_v3Cgm life sdk_droidcon_2014_v3
Cgm life sdk_droidcon_2014_v3
Droidcon Berlin
 
The artofcalabash peterkrauss
The artofcalabash peterkraussThe artofcalabash peterkrauss
The artofcalabash peterkrauss
Droidcon Berlin
 
Raesch, gries droidcon 2014
Raesch, gries   droidcon 2014Raesch, gries   droidcon 2014
Raesch, gries droidcon 2014
Droidcon Berlin
 
Android open gl2_droidcon_2014
Android open gl2_droidcon_2014Android open gl2_droidcon_2014
Android open gl2_droidcon_2014
Droidcon Berlin
 
20140508 quantified self droidcon
20140508 quantified self droidcon20140508 quantified self droidcon
20140508 quantified self droidcon
Droidcon Berlin
 
Tuning android for low ram devices
Tuning android for low ram devicesTuning android for low ram devices
Tuning android for low ram devices
Droidcon Berlin
 
Froyo to kit kat two years developing & maintaining deliradio
Froyo to kit kat   two years developing & maintaining deliradioFroyo to kit kat   two years developing & maintaining deliradio
Froyo to kit kat two years developing & maintaining deliradio
Droidcon Berlin
 
Droidcon2013 security genes_trendmicro
Droidcon2013 security genes_trendmicroDroidcon2013 security genes_trendmicro
Droidcon2013 security genes_trendmicro
Droidcon Berlin
 
Droidcon2013 commercialsuccess rannenberg
Droidcon2013 commercialsuccess rannenbergDroidcon2013 commercialsuccess rannenberg
Droidcon2013 commercialsuccess rannenberg
Droidcon Berlin
 
Droidcon2013 bootstrap luedeke
Droidcon2013 bootstrap luedekeDroidcon2013 bootstrap luedeke
Droidcon2013 bootstrap luedeke
Droidcon Berlin
 
Droidcon2013 app analytics_huber_1und1
Droidcon2013  app analytics_huber_1und1Droidcon2013  app analytics_huber_1und1
Droidcon2013 app analytics_huber_1und1
Droidcon Berlin
 
Droidcon2013 facebook stewart
Droidcon2013 facebook stewartDroidcon2013 facebook stewart
Droidcon2013 facebook stewart
Droidcon Berlin
 
Droidcon 2013 ui smartphones tam hanna
Droidcon 2013 ui smartphones tam hannaDroidcon 2013 ui smartphones tam hanna
Droidcon 2013 ui smartphones tam hanna
Droidcon Berlin
 

Mehr von Droidcon Berlin (20)

Details matter in ux
Details matter in uxDetails matter in ux
Details matter in ux
 
From sensor data_to_android_and_back
From sensor data_to_android_and_backFrom sensor data_to_android_and_back
From sensor data_to_android_and_back
 
droidparts
droidpartsdroidparts
droidparts
 
new_age_graphics_android_x86
new_age_graphics_android_x86new_age_graphics_android_x86
new_age_graphics_android_x86
 
5 tips of monetization
5 tips of monetization5 tips of monetization
5 tips of monetization
 
Testing and Building Android
Testing and Building AndroidTesting and Building Android
Testing and Building Android
 
Matchinguu droidcon presentation
Matchinguu droidcon presentationMatchinguu droidcon presentation
Matchinguu droidcon presentation
 
Cgm life sdk_droidcon_2014_v3
Cgm life sdk_droidcon_2014_v3Cgm life sdk_droidcon_2014_v3
Cgm life sdk_droidcon_2014_v3
 
The artofcalabash peterkrauss
The artofcalabash peterkraussThe artofcalabash peterkrauss
The artofcalabash peterkrauss
 
Raesch, gries droidcon 2014
Raesch, gries   droidcon 2014Raesch, gries   droidcon 2014
Raesch, gries droidcon 2014
 
Android open gl2_droidcon_2014
Android open gl2_droidcon_2014Android open gl2_droidcon_2014
Android open gl2_droidcon_2014
 
20140508 quantified self droidcon
20140508 quantified self droidcon20140508 quantified self droidcon
20140508 quantified self droidcon
 
Tuning android for low ram devices
Tuning android for low ram devicesTuning android for low ram devices
Tuning android for low ram devices
 
Froyo to kit kat two years developing & maintaining deliradio
Froyo to kit kat   two years developing & maintaining deliradioFroyo to kit kat   two years developing & maintaining deliradio
Froyo to kit kat two years developing & maintaining deliradio
 
Droidcon2013 security genes_trendmicro
Droidcon2013 security genes_trendmicroDroidcon2013 security genes_trendmicro
Droidcon2013 security genes_trendmicro
 
Droidcon2013 commercialsuccess rannenberg
Droidcon2013 commercialsuccess rannenbergDroidcon2013 commercialsuccess rannenberg
Droidcon2013 commercialsuccess rannenberg
 
Droidcon2013 bootstrap luedeke
Droidcon2013 bootstrap luedekeDroidcon2013 bootstrap luedeke
Droidcon2013 bootstrap luedeke
 
Droidcon2013 app analytics_huber_1und1
Droidcon2013  app analytics_huber_1und1Droidcon2013  app analytics_huber_1und1
Droidcon2013 app analytics_huber_1und1
 
Droidcon2013 facebook stewart
Droidcon2013 facebook stewartDroidcon2013 facebook stewart
Droidcon2013 facebook stewart
 
Droidcon 2013 ui smartphones tam hanna
Droidcon 2013 ui smartphones tam hannaDroidcon 2013 ui smartphones tam hanna
Droidcon 2013 ui smartphones tam hanna
 

Droidcon 2010: Datenschutz in mobilen Anwendungen speziell beim Betriebssystem Android. Dr. Thilo Weichert, Leiter des unabhaengigen Landeszentrums fuer Datenschutz Schleswig-Holstein ULD

  • 1. Datenschutz in mobilen Anwendungen – speziell auf der Plattform Android Thilo Weichert, Leiter des ULD Landesbeauftragter für Datenschutz Schleswig-Holstein droidcon, Berlin 27.05.2010
  • 2. www.datenschutzzentrum.de Inhalt • Unabhängiges Landeszentrum für Datenschutz – ULD SH • Smartphones – Funktionalitäten, Daten, Nutzungsformen • Rechtliche Grundlagen des Datenschutzes • Datenschutz als globale Herausforderung • Anforderungen an Mobile Geräte und an Entwickler • Handlungsbedarf Weichert - droidcon 27.05.2010 - Berlin - Datenschutz Folie 2
  • 3. www.datenschutzzentrum.de Unabhängiges Landeszentrum für Datenschutz • Datenschutzkontrollbehörde für öffentlichen und nicht- öffentlichen Bereich (u.a. Telemedienanbieter in Sch.Holst.) • Ausbildung, Beratung und Unterstützung von Betroffenen, Politik, Verbänden, verarbeitenden Stellen, Forschung u. Entwicklung • Erstellung von Gutachten und Stellungnahmen • Durchführung von Projekten (z.B. zu Identity-Management PRIME-life) • Datenschutz-Gütesiegel und –Audit (seit 2001, incl. European Privacy Seal - EuroPriSe, seit 2008) Weichert - droidcon 27.05.2010 - Berlin - Datenschutz Folie 3
  • 4. www.datenschutzzentrum.de Funktionalitäten von Smart-Phones • Telefonie • E-Mail, SMS, Chat, Instant Messaging und sonstige elektronische Kommunikation • Internetendgerät (Info-Abruf, Nutzung für Web 2.0-Dienste) • Hoch-, Runterladen und Abspielen von Unterhaltung (Musik, Filme, Spiele) • Konsumzwecke für Verbraucher (eCommerce) • Personal Digital Assistant (u.a. Adressverwaltung, Kalender, Bildverwaltung) • Berufliche DV-Basis (Textverarbeitung, Dokumentenmanagement, Archivierung) • Navigationsgerät Weichert - droidcon 27.05.2010 - Berlin - Datenschutz Folie 4
  • 5. www.datenschutzzentrum.de Verarbeitete Daten • Bestandsdaten (Access – Vertragsdaten) • Verkehrsdaten (Nutzungsdaten bzgl. Netzzugang, Dienste Kommunikation), incl. Standort-Geokoordinaten • Inhaltsdaten (Content – Dokumente, Bilder, Sprache, Programme) Verhaltensprofile Bewegungsprofile Kommunikations- und Sozialprofile Konsum- und Interessenprofile Evtl. Bonitätsbewertung, Bewerbungsbewertung … Weichert - droidcon 27.05.2010 - Berlin - Datenschutz Folie 5
  • 6. www.datenschutzzentrum.de Grundlagen des Datenschutzes I • Allgemeines Persönlichkeitsrecht (Art. 2 I i.V.m. 1 I GG) Recht auf Privatsphäre (right to be let alone) Recht am eigenen Bild, am gesprochenen Wort Recht auf informationelle Selbstbestimmung Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität eigengenutzter informationstechnischer Systeme • Telekommunikationsgeheimnis (Art. 10 GG) • Meinungs-, Informations- und Pressefreiheit (Art. 5 GG) • Weitere Grundrechte (Eigentum 14 GG, Beruf 12 GG, Ehe u. Familie 6 GG, Religion 4 GG) Weichert - droidcon 27.05.2010 - Berlin - Datenschutz Folie 6
  • 7. www.datenschutzzentrum.de Grundlagen des Datenschutzes II • Recht in Ruhe gelassen zu werden (1969) • Verbot umfassender Persönlichkeitsprofile (1969) • Verbot von Personenkennzeichen (1983) • Verbot der Rundumüberwachung (2004) • Verbot der Vorratsdatenverarbeitung (anlasslose Kontrolle, „ins Blaue hinein“, 1983) • Ausnahmecharakter der verdeckten Erhebung (1970) • Schutz des Kernbereichs persönlicher Lebensgestaltung (2004) • Individueller Systemschutz (Vertraulichkeit und Integrität eigengenutzter IT-Systeme, 2008) • Verbot der Totalerfassung als „verfassungsrechtliche Identität der BRD“ (2010) Weichert - droidcon 27.05.2010 - Berlin - Datenschutz Folie 7
  • 8. www.datenschutzzentrum.de Grundlagen des Datenschutzes III • Grundrechte als Abwehrrechte gegenüber dem Staat • Grundrechte als Bestandteil der objektiven Wertordnung (Drittwirkung im Verhältnis zwischen Privaten) • Grundrechte als staatliche Gewährleistungsverpflichtung (Recht – z.B. BDSG, Organisation – z.B. Datenschutz- kontrolle, Technik – z.B. Internetinfrastruktur) Seit Privatisierung der Telekommunikation besondere Verpflichtung der TK-Zugangsdienste bzgl. TK-Geheimnis Integration des Datenschutzes ins Arbeitsrecht Integration des Datenschutzes in den Verbraucherschutz => Adressiert auch Diensteanbieter und Programmhersteller Weichert - droidcon 27.05.2010 - Berlin - Datenschutz Folie 8
  • 9. www.datenschutzzentrum.de Grundlagen des Datenschutzes IV • Materielle Zulässigkeit der Datenverarbeitung (BDSG, TMG, TKG, LDSG, KUG, Spezialgesetze, z.B. SGB, KrankhG) • Datenvermeidung/Datensparsamkeit (Anonymisierung, Aggregierung, Pseudonymisierung, Filetrennung, Verzicht auf IDs, Verschlüsselung) • Datensicherheit (Integrität, Vertraulichkeit, Verfügbarkeit, Authentizität, Revisionsfähigkeit, Transparenz, Unverknüpfbarkeit) • Betroffenenrechte (Auskunft, Benachrichtigung, Berichtigung, Löschung, Sperrung, Widerspruch, Schadenersatz) Weichert - droidcon 27.05.2010 - Berlin - Datenschutz Folie 9
  • 10. www.datenschutzzentrum.de Datenschutz als globale Herausforderung I • Nationales Datenschutzrecht knüpft an territorialer Datenverarbeitung an: Erhebung, Speicherung, Verarbeitung (Cookie), Auswertung, Übermittlung, Nutzung • EU-Datenschutzrichtlinie (gemeinsame DS-Anforderungen und Fiktion eines einheitlichen Standards) • Anerkennung nationaler Standards durch EU-Kommission • Safe Harbor für US-Anbieter (Notice, Choice, Onward Transfer, Security, Data Integrity, Access, Enforcement) • Einzelvertragsregelungen (Binding Corporate Rules, Standardvertragsklauseln) Weichert - droidcon 27.05.2010 - Berlin - Datenschutz Folie 10
  • 11. www.datenschutzzentrum.de Datenschutz - globale Herausforderung II • Begrenzung der Anwendbarkeit: es gibt (noch?) kein Weltrechtsprinzip beim europäischen Datenschutz Öffentliche Diskreditierung von Diensten, Produkten und Anwendungen Kulturclash zw. europäischem und anglo-amerikanischem Verständnis USA: Konsument kann sich selbst schützen, Free Speech Europa: Staatlicher Schutz- und Regulierungsauftrag Druck z.B. auf Google: Search, Street View, Analytics, Chrome, Dashboard, Mail, Calender … Weichert - droidcon 27.05.2010 - Berlin - Datenschutz Folie 11
  • 12. www.datenschutzzentrum.de Wo fallen Daten an? • TK-Anbieter (GPRS/UMTS-Provider, aber ggf. auch WLAN-Betreiber) Stammdaten (bei Provider) Verbindungsdaten Zugriff auf Inhaltsdaten • Google (bei Android) Personifizierter Google-Account für (mindestens) Market erforderlich Wer nutzt sein Android-Handy ohne Google-Account? • Dienste-Anbieter Bei Nutzung von Internet-Diensten offensichtlich, aber: Auch viele Apps verarbeiten Daten nicht im Gerät, sondern auf Servern (z.B. auch bei Spracherkennung => Inhaltsdaten). • Smartphone Tracking-Dienste Firmen wie z.B. Flurry bieten Application Use Tracking an. Einwilligung? http://www.flurry.com/about-us/merger/faq.html Weichert - droidcon 27.05.2010 - Berlin - Datenschutz Folie 12
  • 13. www.datenschutzzentrum.de Anforderungen an Mobile Geräte • Datenschutzfreundliche Defaults! • Handhabbare u. funktionale Mensch-Maschine-Schnittstellen • Einwilligungsbasierte Speicherungen (Lokalisierung, Cookies, Werbung) • Abhärtung des „eigengenutzten Informationssystems“ • Koppelungsverbot • Logische Trennung der Anwendungen • Auswertungen nur anonym/pseudonym, getrennt • Datensicherheit (Update-Service, Apps, Virenprüfung) • Umfassende Transparenz (trotz beschränkter Displays) Weichert - droidcon 27.05.2010 - Berlin - Datenschutz Folie 13
  • 14. www.datenschutzzentrum.de Insbesondere Transparenz • Information über verantwortliche Stelle und Zweck • Impressumpflichten • Privacy Policies • Benachrichtigung über Erhebung durch Dritte • Inhalt der Einwilligungen • Anzeige der Wahlmöglichkeiten • Information über (Werbe-)Widerspruchsmöglichkeit • Auskunftsanspruch • Informationspflichten nach Fernabsatzgesetz (Produkt, Zahlungsweise, Widerrufsrecht, Rückgaberecht) • Evtl. Breach Notification Weichert - droidcon 27.05.2010 - Berlin - Datenschutz Folie 14
  • 15. www.datenschutzzentrum.de Anforderungen an Android • Bewahrung des Open Souce-Ansatzes (Transparenz!) • Anwendungsneutralität • Transparente und handhabbare Datenverwaltung, klare Verantwortlichkeiten • Verarbeitung von Anwendungsdaten im Gerät, nicht bei Dienstleistern • Datenvermeidungskonzepte z.B. bei Location Based Services, Tracking u.Ä. • Löschkonzepte • Zertifizierung von Betriebssystems-Versionen, -teilen und von Applikationen (BSI-Grundschutz, DS-Gütesiegel) Weichert - droidcon 27.05.2010 - Berlin - Datenschutz Folie 15
  • 16. www.datenschutzzentrum.de Aufforderung an Android-Entwickler • Wo sind die Privacy-Enhancing Tools? Sichere Verschlüsselung für Dateisystem, Mail, Chat, SMS, Voice Opt-out-Tools für Tracking-Dienste • Privacy by Design Datenschutz als Default => viele Apps verbesserungsfähig! Simpler erster Schritt: Nutzerdaten nur per SSL übertragen Privatsphäre als Alleinstellungsmerkmal am Mark(e)t nutzen! Weichert - droidcon 27.05.2010 - Berlin - Datenschutz Folie 16
  • 17. www.datenschutzzentrum.de Handlungsbedarf • Frühestmögliche Integration von Datenschutz bei Forschung und Entwicklung • Forschungsbedarf bzgl. Software, Oberflächen, Privacy Policies • Entwicklung von Schutzprofilen für mobile Anwendungen • Standardisierung von datenschutzkonformen Lösungen (DIN, ISO) • Weiterentwicklung der Zertifizierung und Markt-Evaluation (Stiftung Datenschutz) • Etablierung v. Verbraucherschutzinstrumenten (Foren u.Ä.) • Festlegung Internationaler Privacy-Regelungen Weichert - droidcon 27.05.2010 - Berlin - Datenschutz Folie 17
  • 18. www.datenschutzzentrum.de Datenschutz in mobilen Anwendungen – speziell auf der Plattform Android Dr. Thilo Weichert Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein (ULD) Independent Centre for Privacy Protection Schleswig-Holstein (ICPP) Holstenstr. 98, 24103 Kiel, Germany mail@datenschutzzentrum.de https://www.datenschutzzentrum.de/ Weichert - droidcon 27.05.2010 - Berlin - Datenschutz Folie 18