EICTA Privacy Enhancing Technologies (PET) and Privacy Practices Workshop

Brüssel, 5. Juni 2001

von Bruno Wildhaber, Wildhaber Consulting Schwerzenbach

Rahmen

Diese Veranstaltung wurde durch die EICTA (www.eicta.org) zum ersten Mal durchgeführt. Es wurden verschiedene Vorträge gehalten und die Themen in Paneldiskussionen vertieft. Die aktuelle Datenschutzsituation wurde besprochen und Zukunftsoptionen aufgezeigt.

Es waren sowohl Redner der EU Kommission, wie auch Vertreter verschiedener Interessengruppen (Datenschutz, Konsumentenorganisationen) und Industrievertreter präsent (EU und USA).

Aktuelle Situation

Insgesamt hat sich die Situation im europäischen Datenschutz in den letzten Jahren nicht wesentlich verändert. Das Internet prägte die Diskussion. Hier waren vor allem Themen wie „Privacy Policies“ für Web Sites aktuell. Es wurde denn vor allem auch über die aktuelle Situation im E-Commerce gesprochen. Hier sehen die meisten Advokaten des Datenschutzes denn Handlungsbedarf in der Umsetzung des EU Datenschutzes. Skepsis und Vorbehalte bestehen gegenüber den Safe Harbour Prinzipien der US Administration. Aktuelle Studien zeigen, dass die Situation bezüglich Web Sites in Europa denn auch nicht besser ist als in den USA. Im Grossen und Ganzen scheint die Situation aber von den meisten Teilnehmern als nicht brisant eingestuft zu werden. Dies dürfte sich ändern, sobald sich neue Technologien durchsetzen werden (s. unten). So war zwischen den Zeilen (am Mittagslunch) von namhaften Industrievertretern zu hören, dass sie durchaus einen grossen Handlungsbedarf säen, vor allem wenn es um die Umsetzung von Sicherheitsmassnahmen geht. So war von SAP zu erfahren, dass die Security Themen für sie von immer grösserer Bedeutung würden.

Auch die EU hat in ihrem IST Programm (Informationstechnologien, e-europe) nur relativ wenig Forschungsgelder zu diesem Thema freigegeben (10 Mio. € von 500 Mio. € Gesamtbudget zu e-business Themen). Auch die Aussagen dazu lassen nicht darauf schliessen, dass hier wesentliche Bewegungen stattfinden würden (vgl. www.cordis.lu/ist). Erwähnt wurde der fehlende Druck durch die Anwender und der damit auch nicht vorhandene Business Case für die Anbieter.

Ausblick

Der Ausblick auf neue Technologien zeigt, dass dem Datenschutz sehr schnell eine wesentlich höhere Bedeutung beigemessen werden könnte. So wurde immer wieder das Thema m-commerce und lokalisierungsabhängige Dienste erwähnt. Damit lässt sich ein lückenloses Profil der Bewegungen aufzeichnen. Desgleichen mit interaktiven Diensten, die dazu geeignet sind, eine Person lückenlos zu verfolgen (z.B. interaktive Navigationssysteme) Zu diesem Thema wurde diskutiert, ob die Datenschutz Richtlinie der EU verschärft werden sollte. Generell hatte man den Eindruck, dass eine Verschärfung nur von Wenigen gewünscht wäre, zumal die aktuellen Regeln heute nirgends wirklich voll durchgesetzt werden.

Aktivitäten der Industrie

Die Industrie war bei den Präsentationen nicht sehr präsent. Abgesehen von Intel und IBM, welche über ihre Erfahrungen bei der Umsetzung interner und externer Datenschutzprogramme berichteten, fehlten markante Aussagen von Industrievertretern. Intel berichtete über ihre Erfahrung bei der Bewältigung des „Seriennummerskandals“. Dies führte zum Aufbau eines umfassenden Datenschutzprogrammes mit vier vollzeitlich beschäftigten Privacy Officers. Insbesondere konnten prozessintegrierte Datenschutzmassnahmen umgesetzt werden. Völlig anders und viel wissenschaftlicher geht IBM ans Werk. Ihre EPA (Enterprise Privacy Architecture) Initiative ist ein Stückwerk aus verschiedenen Programmen aus der IBM Research Küche, gemischt mit Produkterweiterungen. Das Ganze macht noch einen etwas unausgegorenen Ausdruck (Beta Stadium). IBM hat sich aber intensiv um diese Themen gekümmert und könnte längerfristig ihr Ziel erreichen, nämlich ihre Consultants mit einem einheitlichen Programm zu diesem Thema auszurüsten. Die Schwierigkeit bei solchen Absätzen liegt einerseits in der technischen Komplexität, andererseits in der Tatsache, dass nicht nur Technik, sondern auch Policies abgestimmt werden müssen. Im ersten Ansatz werden Lösungen, basierend auf dem P3P (Internet) Standard angeboten. Insofern hat IBM hier grosse Anstrengungen unternommen, eine vielversprechende Produktlinie zu lancieren.

Im Mobil Umfeld wird mit Radicchio versucht, eine Trust Infrastruktur im Telecom Umfeld aufzubauen. Durch das rasante Wachstum (1,5 Millarden Mobiles im Jahr 2005) dieser Services ist zu erwarten, dass die zertifikatsbasierten Dienste bald Realität werden. Unter anderen setzt die Industrie hier auf anonyme Zertifikate, um die bereits erwähnten Datenschutzthemen in den Griff zu bekommen.

Eigentliche Privacy Produkte gibt es kaum, sieht man von den auf dem Web angebotenen Anonymisierungsdiensten ab. Es tut sich zwar noch einiges auf Forschungsebene, aber wirkliche Neuigkeiten gibt es keine. Man setzt auf die traditionellen Sicherheitsprodukte zur Sicherung des elektronischen Datenverkehrs (Verschlüsselungsmechanismen, Key Management) und vor allem auf das Thema Autorisierung, d.h. v.a. Rechteverwaltung. Die Verwaltung von Zugriffsrechten wird im Internet zu einer immer grösser werdenden Herausforderung.

Schlussfolgerungen

Insbesondere E und M-Commerce Anbieter und Teilnehmer werden sich in Zukunft vermehrt mit Datenschutzfragen auseinander setzen müssen. Das betrifft selbstverständlich auch alle Unternehmen, welche Personendaten sammeln und mit oder ohne Internet zu Marketingzwecken verarbeiten möchten. Insbesondere Spamming könnte hier das Fass zum Überlaufen bringen. Provider sollten dafür sorgen, dass hier früh genug ein Riegel geschoben wird. Das gilt ausgeprägt für die Problematik des SMS Spams, einer nicht nur unangenehmen, sondern auch kreditschädigenden, u.U. sogar strafbaren Praktik.

Der SWICO wird die Entwicklungen in diesem Gebiet weiterhin beobachten und die Mitglieder frühzeitig über wichtige Änderungen informieren.



 

 
top © Wildhaber Consulting 2001. Last Update 07.06.01
Created by mediaLINK