Umsetzung des datenschutzrechtlichen Auskunftsanspruchs auf Grundlage von Usage-Control und Data-Provenance-Technologien

Die wachsende Komplexität moderner Informationssysteme erschwert die Nachvollziehbarkeit der Speicherung und Verarbeitung personenbezogener Daten. Der einzelne Bürger ist den Systemen quasi ausgeliefert. Das Datenschutzrecht versucht dem entgegenzuwirken. Transparenz, das Recht zu wissen, wer was wann und bei welcher Gelegenheit über einen selbst weiß, ist ein fundamentales Grundrecht. Ein Werkzeug des Datenschutzes zur Herstellung von Transparenz ist der Auskunftsanspruch. Da bisher jedoch eine technische Unterstützung für die Erteilung von Auskünften fehlt, erhalten Betroffene meist nur statische Datenbankauszüge und keine aussagekräftigen Informationen über vergangene Datenerhebungen, Weitergaben und Informationsflüsse. Die neuere Forschung arbeitet auf automatisierte Trackingmechanismen für personenbezogene Daten hin. Aus der entstehenden Personal-Data-Provenance kann dann eine vollständige Datenschutzauskunft abgeleitet und auf einer elektronischen Auskunftsplattform bereitgestellt werden. Dieses Ziel wurde allerdings noch nicht vollständig erreicht. Die Anforderungen des Datenschutzes an eine elektronische Datenschutzauskunft wurden bislang nicht ausreichend systematisch berücksichtigt und umgesetzt. Die Struktur der Personal-Data-Provenance, deren konfigurierbare, verteilte Erfassung und die Zusammenführung der Personal-Data-Provenance zum Zeitpunkt eines Auskunftsersuchens sind ungeklärt. Die Datenschutzauskunft und die übrigen Betroffenenrechte sind bis dato nicht miteinander verwoben. Die durch die zusätzlichen Trackingdaten entstehenden Profilbildungsrisiken automatisierter Auskunftssysteme werden nicht adressiert. Diese Arbeit unterzieht das Recht auf Auskunft einer kritischen Würdigung als Teil des datenschutzrechtlichen Transparenzgedankens und schafft umfassende technische Voraussetzungen für die Wahrnehmung des Rechts auf Auskunft. Die Beiträge dieser Arbeit sind wie folgt: (1) Die Einbindung des Rechts auf Auskunft in die verfassungsrechtliche und einfachgesetzliche Struktur des Datenschutzes wird diskutiert. Die Bedeutung des Auskunftsrechts wird eingeordnet. Die Herausforderungen durch die Verabschiedung der Datenschutz-Grundverordnung, insbesondere das Recht auf Datenübertragbarkeit, werden mitberücksichtigt. Datenschutzrechtliche Anforderungen an eine automatisierte Beantwortung von Auskunftsersuchen werden unter Zuhilfenahme eines strukturierten Vorgehensmodells systematisch abgeleitet. (2) Ein verteiltes, datenzentriertes, integriertes und betroffenenfokussiertes Datenschutzauskunftssystem wird entworfen und implementiert. Es erlaubt ein schichtenunabhängiges, semantisch konfigurierbares Provenance-Tracking über Systemgrenzen hinweg. Kombiniert mit Usage-Control-Technologien können weitergehende Datenschutzrechte wie der Löschanspruch durchgesetzt werden. Die entwickelte Auskunftsplattform erlaubt die interaktive und schrittweise Wahrnehmung des Auskunftsrechts. (3) Entstehende Profilbildungsrisiken werden mittels einer generischen, instanziierbaren und berechenbaren Metrik für Unverkettbarkeit, der Unmöglichkeit des In-Bezug-Setzens personenbezogener Daten, sichtbar gemacht. Bestehende Konzepte für informationstheoretische Unverkettbarkeitsmetriken werden auf beliebige Verkettungsrelationen verallgemeinert. Das Schema wird für vier Relationen mit Bezug zum entwickelten Datenschutzauskunftssystem instanziiert. Das A-priori- und A-posteriori-Wissen eines Angreifers wird formalisiert und in die Metrik integriert. Die Metrik wird als Grundlage einer informierten Entscheidung des Betroffenen bezüglich des Provenance-Trackings vorgeschlagen. Die Plausibilität des Ansatzes wird anhand eines durchgehenden Beispiels gezeigt. Das Datenschutzauskunftssystem wird darüber hinaus auf seine Skalierbarkeit hin evaluiert. Die Ergebnisse zeigen, dass eine passgenaue, datenschutzgerechte Datensammlung und eine gute Speicherskalierbarkeit miteinander Hand in Hand gehen. Für die Unverkettbarkeitsmetrik wird eine heuristische Berechnung demonstriert. Die Genauigkeit hängt vom Schwellwert des Abbruchkriteriums ab. Schließlich wird die Akzeptanz der Auskunftsplattform durch Nutzer anhand einer Studie gezeigt. Die entwickelte Plattform PrivacyInsight stellt sich gegenüber existierenden Formen der Visualisierung als überlegen heraus.

The ever-growing levels of complexity of modern information systems complicate the traceability of processed and stored personal data. The individual citizen is at the mercy of the systems. Data protection law tries to counteract this. Transparency - the right to know who knows what, when, and on which occasion about oneself - is a fundamental right of the German constitution. The right to information is one instrument of data protection to establish transparency. Since there still is a lack of functionality in regards to transparency, the person concerned usually merely receives a static database snapshot. Obtaining no meaningful information about collection, transfer, and other flows of personal data. Recent research efforts evolve around automated tracking mechanisms for personal data. All information required can be derived from the resulting personal data provenance. This information must be visualized comprehensible for the person concerned. However, this objective has not yet been fully achieved. The data protection requirements for an electronic response to an information request have not yet been systematically considered. The data structure of personal data provenance is unclear. Its configurable, distributed collection and its aggregation at the time of an information request prove to be research gaps. It is an established fact that the right to information and other rights of the person concerned have not yet been technically interwined. The resulting tracking data raises new issues of data protection law itself. They allow extensive profiling which has not been addressed. In the work at hand the right to information is critically assessed with a focus on the notion of transparency. Furthermore, the technical requirements to exercise the right to information are created. The contributions of this work are as follows: (1) The implementation of the right to information in constitutional and legal structures of data protection is examined. The relevance of the right to information is evaluated. The challenges arising from the adoption of the General Data Protection Regulation, especially the right to data portability, are inspected. Data protection requirements for an automated response to information requests are systematically derived using a structured approach. (2) A distributed, data-centric, integrated and user-focused data protection information system is designed and implemented. It allows layer-independent, semantic-configurable provenance tracking across system boundaries. Combined with usage control, further data protection rights such as the right to erasure can be enforced. The implemented privacy dashboard allows the interactive and gradual exercise of the right to information. (3) Profiling risks are visualized by means of a generic, instantiable and calculable metric for unlinkability, the impossibility to interrelate personal data. Existing concepts for information-theoretic unlinkability metrics are generalized to arbitrary linkage relations. The schema is instantiated for four relations related to the data protection information system. A priori and a posteriori knowledge of an attacker is formalized and integrated into the metric. This metric is proposed as the basis for an informed decision of the person concerned regarding the provenance tracking. The plausibility of the approach is demonstrated by means of a continuous example. In addition, the scalability of the data protection information system is evaluated. The results show that a precise data collection and a good memory scalability go hand in hand. A heuristic calculation is performed for the unlinkability metric. The accuracy depends on the threshold value of the termination criterion. Finally, user acceptance of the privacy dashboard is verified by a study. The developed platform platform turns out to be superior to existing visualizations.