Skip to main content

Just published: Privacy and Security Perceptions of European Citizens: A Test of the Trade-off Model

Friedewald, Michael, Marc van Lieshout, Sven Rung, Merel Ooms, and Jelmer Ypma, “Privacy and Security Perceptions of European Citizens: A Test of the Trade-off Model“, in Jan Camenisch, Simone Fischer-Hübner, and Marit Hansen (eds.), Privacy and Identity Management for the Future Internet in the Age of Globalisation: 9th IFIP WG 9.2, 9.5, 9.6/11.7, 11.4, 11.6/SIG 9.2.2 International Summer School, Patras, Greece, September 7-12, 2014, Revised Selected Papers, Springer, Heidelberg, Berlin, 2015, pp. 39-53. DOI: 10.1007/978-3-319-18621-4_4

This paper considers the relationship between privacy and security and, in particular, the traditional ”trade-off” paradigm that argues that citizens might be willing to sacrifice some privacy for more security. Academics have long argued against the trade-off paradigm, but these arguments have often fallen on deaf ears. Based on data gathered in a pan-European survey we show that both privacy and security are important to European citizens and that there is no significant correlation between people’s valuation of privacy and security.

„Verstecktes Internet“: Smarte Technologien und Internet der Dinge stellen Schutz der Privatheit vor neue Herausforderungen

Beliebte Alltagsgeräte wie Fernseher sind immer häufiger mit dem Internet verbunden oder verfügen über internetbasierte Zusatzdienste. Die dabei entstehenden Daten über das Nutzerverhalten, ihre Weitergabe und Verarbeitung sowie die zunehmende Komplexität „smarter“ Technologien stellen den Schutz der Privatheit und die informationelle Selbstbestimmung vor neue Herausforderungen. Im White Paper „Verstecktes Internet“ skizzieren die Expertinnen und Experten des Forschungsverbunds „Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt“ die aus Sicht des Privatheitsschutzes problematischen Aspekte smarter Technologien und zeigen mögliche Gestaltungspotenziale auf. Das White Paper konzentriert sich dabei auf die drei Anwendungsbereiche Smart TV, intelligente Autos sowie neue Endgeräte wie Smart Watches, die direkt am Körper getragen werden.

Vernetzte Smart TVs oder intelligente Armbänder, die über das „Internet der Dinge“ mit anderen Geräten, Dienstleistern und Herstellern verbunden sind, durchdringen zusehends den Alltag vieler Menschen. Die Nutzer schätzen besonders die netzbasierten Dienste und Funktionen dieser „smarten“ Geräte – ihnen ist jedoch häufig nicht bewusst, in welchem Umfang Nutzerdaten erhoben und zu welchen Zwecken sie weitergeleitet werden. Diese Probleme verschärfen sich mit der zunehmenden Komplexität smarter Technologien und es ist für die Nutzer kaum mehr nachzuvollziehen, ob und wie sich personenbezogene Daten vor ungewollten Zugriffen und Weitergaben schützen lassen.

Vor dem Hintergrund dieser veränderten Rahmenbedingungen für den Privatheits- und Datenschutz beschreibt der Forschungsverbund „Forum Privatheit“ im White Paper „Verstecktes Internet“ die Risiken, die bei der Nutzung von „Smart TVs“, „Smart Cars“ und „Wearables“ entstehen können: So erheben etwa Smart TVs schon beim gewöhnlichen Fernsehen Nutzungs- und Verhaltensdaten und ermöglichen über Foto-, Audio- und Videoaufnahmen sogar eine persönliche Identifikation. Dadurch lassen sich nicht nur Einzelpersonen sondern auch große Teile der Bevölkerung überwachen. All dies trifft in ähnlicher Weise auf vernetzte Autos bzw. „Smart Cars“ zu, die fahrzeugbezogene Daten, das Verhalten des Fahrers sowie Umgebungsdaten erfassen und diese an Fahrzeughersteller oder andere Verkehrsteilnehmer weiterleiten können. Neben Informationen über Fahrstil, Aufenthaltsort oder Fahrstrecke ließen sich durch die Verknüpfung mit anderen Daten zudem persönliche Merkmale und Gewohnheiten der Nutzer ableiten. Dies ist auch bei sogenannten „Wearables“ der Fall, also Geräten wie intelligenten Fitnessarmbändern oder Smart Watches, die Nutzer direkt am Körper tragen. Durch die Erhebung von Gesundheitsdaten werden zum Beispiel tiefe Einblicke in die privaten Lebensumstände der Nutzer erfasst.

Peter Zoche, der am Fraunhofer ISI die Forschungsaktivitäten des Forum Privatheit koordiniert, nennt an Hersteller, Nutzer und die Politik gerichtet einige zentrale Problembereiche und Gestaltungspotenziale: „Der Forderung nach informationeller Selbstbestimmung stehen ein intransparenter Datenhandel und versteckt erfolgende Datenerhebungen gegenüber. Hinzu kommt, sich die Grundeinstellung smarter Geräte oft nur bedingt verändern lässt. Und wenn Nutzer aktiv werden möchten, um selbst für mehr Datenschutz zu sorgen, sehen sie sich mit einer Informationsflut und komplexen Geschäftsbedingungen konfrontiert.“ Laut Zoche sollten vernetzte Geräte und Anwendungen in Zukunft über datenschutzfreundliche Grundkonfigurationen (Privacy by Default) verfügen und Nutzer durch visuelle oder akustische Hinweise auf mögliche Datentransfers hingewiesen und ihre Informationsbedarfe hierbei berücksichtigt werden.

Des Weiteren sollten in Zukunft auch Möglichkeiten der politisch-rechtlichen Regulierung dafür sorgen, dass smarte Technologien stärker in Einklang mit den Prinzipien des Datenschutzes stehen. Sanktionsmöglichkeiten könnten genauso wie die Durchsetzung einer EU-weiten Datenschutz-Grundverordnung geeignete Voraussetzungen zur Gewährleistung von Privatheit im digitalen Zeitalter schaffen. Neben staatlichen Institutionen und Initiativen müssen jedoch auch wirtschaftliche Akteure dazu beitragen, dass Datenschutz zu einem Kernelement bei der Einführung neuer smarter Geräte und Anwendungen wird (Privacy by Design). Nicht zuletzt sind auch die Nutzer gefragt, künftig noch bewusster mit ihren persönlichen Daten sowie den damit verbundenen Risiken umzugehen.

Das White Paper kann hier heruntergeladen werden.

 

Policy Paper zum Thema “Das versteckte Internet” mit Empfehlungen an Wirtschaft und Politik online

Die Erweiterung von herkömmlichen Fernsehern, Autos und Brillen um internetbasierte Zusatzfunktionen, etwa die Kommunikation des Fernsehers mit Internetdiensten, fügt sich dermaßen unsichtbar in die Benutzung ein, dass den Nutzern kaum noch ersichtlich ist, wie viele Daten wo, wann und zu welchem Zweck erhoben, genutzt und wem diese persönlichen Informationen zugänglich gemacht werden. Hier äußert sich zunächst ein eklatanter Mangel an Transparenz, den das Forum Privatheit mit dem White Paper „Das versteckte Internet“ adressiert.

Vor dem Hintergrund der Ausweitung internetbasierter Technologien macht das Forum Privatheit im Policy Paper „Verstecktes Internet“ eine Reihe von Verbesserungsvorschlägen, die sich an Entscheider aus Wirtschaft und Politik richten und den bestehenden Datenschutz stärken sollen.

Die empfohlenen Handlungsoptionen umfassen eine transparente Integration internetbasierter Zusatzfunktionen in bislang nicht vernetzte Geräte genauso wie eine datenschutzfreundliche Gerätekonfiguration (Privacy by Default) oder eine Kennzeichnung und Zertifizierung nach Prinzipien des Datenschutzes. Auch Möglichkeiten der Aus-, Weiterbildung und Aufklärung zur Sensibilisierung von Datenschutzfragen sowie der politisch-rechtlichen Regulierung sollten genutzt werden, um bislang oft überflüssige Eingriffe in Nutzerrechte sowie eklatante Transparenz-Mängel stark einzuschränken.

Durch die Umsetzung der Handlungsoptionen ließen sich personenbezogene Daten in Zukunft zweckgebundener erheben und für die Nutzerinnen und Nutzer wäre ihre weitere Verwendung zudem nachvollziehbarer.

 

Selbstdatenschutz kann staatliche Schutzpflichten nicht ersetzen

Am 28. Januar ist Europäischer Datenschutztag. Aus diesem Anlass findet vom 21. bis zum 23. Januar 2015 in Brüssel die Computers, Privacy and Data Protection Conference statt. Das Fraunhofer-Institut für System- und Innovationsforschung ISI, das in vielen Projekten zu Fragen des Datenschutzes forscht, beteiligt sich an dieser Veranstaltung: Dr. Michael Friedewald, Projektleiter am Fraunhofer ISI, wird im Rahmen eines Panels über Selbstdatenschutz diskutieren. Zu diesem Thema hat der vom Fraunhofer ISI im Auftrag des Bundesministeriums für Bildung und Forschung (BMBF) koordinierte Forschungsverbund “Forum Privatheit und selbstbestimmtes Leben in der digitalen Welt” ein White Paper veröffentlicht.

In dieser Publikation werden die gesellschaftlichen, rechtlichen und technischen Rahmenbedingungen des Selbstdatenschutzes analysiert sowie Schutzmaßnahmen aufgezeigt, unter anderem die Verschlüsselung von Daten, E-Mails und Kurznachrichten, die Nutzung von Anti-Tracking-Maßnahmen und Anonymisierungstools sowie die Verwendung gängiger Verschlüsselungsprotokolle.

Obwohl bereits 1983 im sogenannten Volkszählungsurteil die staatliche Schutz- und Förderpflicht der informationellen Selbstbestimmung formuliert wurde, dominiert bis heute die Vorstellung, dass es vor allem in der persönlichen Verantwortung des mündigen Bürgers liege, für den Schutz seiner persönlichen Daten und seiner Privatsphäre zu sorgen. Dazu gibt es bereits seit Jahren Verfahren und technische Werkzeuge, mit denen einzelne Aspekte des Selbstdatenschutzes wie Verschlüsselung oder Anonymisierung realisiert werden können. Diese werden allerdings von den Bürgerinnen und Bürgern bis heute wenig verwendet.

Die Gründe hierfür sind vielfältig: Auf den digitalen Märkten gibt es heute einen erheblichen Unterschied zwischen den Kenntnissen und Fähigkeiten der Bürgerinnen und Bürger auf der einen und denen der Geheimdienste und Unternehmen auf der anderen Seite. Dies führt dazu, dass Datensammlungen und Überwachung für die meisten Bürgerinnen und Bürger in der Regel kaum erkennbar sind und auch deshalb systematisch unterschätzt werden. Deren Vorstellung, sie hätten “doch nichts zu verbergen” und ihr Vertrauen in die Sicherheitsversprechungen leisten dieser Entwicklung weiteren Vorschub. Schließlich setzt ein umfassender Selbstschutz zu viele spezielle Kenntnisse voraus, die die meisten Computernutzerinnen und -nutzer nicht haben.

Angesichts der fortschreitenden Digitalisierung und dem Wirken der Geheimdienste müssen Bürgerinnen und Bürger umfassend über Möglichkeiten und Grenzen des Selbstschutzes informiert und die Nutzbarkeit und Leistungsfähigkeit der Werkzeuge verbessert werden.

Doch die Autoren des White Papers machen auch deutlich, dass die Verlagerung staatlicher Schutzpflichten auf das Individuum der gesellschaftlichen Bedeutung des Grundrechts auf informationelle Selbstbestimmung nicht gerecht werden kann. Informationelle Privatheit ist keine Frage individueller Vorlieben, sondern wichtig für ein freiheitlich-demokratisches Gemeinwesen. Deshalb muss der Staat wieder stärker seinem in der deutschen Verfassung verankerten Auftrag, die Bevölkerung vor unverhältnismäßiger Überwachung zu schützen, nachkommen.

Möglichkeiten dazu werden auf der Computers, Privacy and Data Protection Conference (CPDP) erörtert, die vom 21. bis zum 23. Januar 2015 zum achten Mal in Brüssel stattfindet. Diese vom Fraunhofer ISI mit veranstaltete Konferenz ist die größte europäische Veranstaltung, bei der Vertreterinnen und Vertreter aus Politik, Wirtschaft, Wissenschaft und Gesellschaft zusammenkommen, um sich auszutauschen und aktuelle Herausforderungen in den Bereichen Informationstechnologie, Privatheit, Datenschutz und Recht zu diskutieren. Dr. Michael Friedewald wird dort am 23. Januar 2015 das Thema “Selbstdatenschutz” im Rahmen eines Panels zur Diskussion stellen, das vom “Forum Privatheit” organisiert wird.

Verfahren zur Bewertung von Datenschutzfolgen bei Überwachungssystemen

Bei neuen Überwachungsmöglichkeiten müssen jedes Mal die Sicherheitsinteressen gegen die Freiheitsrechte abgewogen werden. Im EU-Projekt SAPIENT hat ein Konsortium unter der Leitung des Fraunhofer-Instituts für System- und Innovationsforschung ISI ein Verfahren entwickelt, mit dem sich die Folgen von Überwachung für den Schutz personenbezogener Daten und anderer Grundrechte abschätzen lassen. Dieses Verfahren, das in einem Handbuch dokumentiert ist, kann Unternehmen und öffentlichen Stellen bei der Entscheidung helfen, ob eine neue Technologie oder Dienstleistung genutzt werden sollte.

Eine Vorabbewertung von Datenschutzfragen wird beim Einsatz von Überwachungstechnologien und -dienstleistungen bald gesetzlich verpflichtend sein: Die Europäische Union beispielsweise listet im Entwurf für die künftige europäische Datenschutzgrundverordnung mehrere Prinzipien auf, die bei der generellen Verarbeitung personenbezogener Daten beachtet werden müssen. Dazu gehören der begrenzte Einsatz von Überwachungsinstrumenten, die zeitlich beschränkte Speicherung der Daten sowie eine allgemeine Berücksichtigung von Bürgerrechten.

Um die möglichen Risiken für den Einzelnen ebenso wie für die ganze Gesellschaft zu eruieren, braucht es eine fundierte Prüfung, welche Auswirkungen eine neue Technologie oder Dienstleistung haben kann. Im Rahmen des EU-Projekts SAPIENT (Supporting fundamentAl rights, PrIvacy and Ethics in surveillaNce Technologies) hat ein Konsortium unter der Leitung des Fraunhofer-Instituts für System- und Innovationsforschung ISI ein Handbuch zur Abschätzung der Auswirkungen von Überwachung (Surveillance Impact Assessment) entwickelt.

Oft ist in der Literatur und in Forschungsprojekten nur von einer Abschätzung der Auswirkungen für die Privatsphäre (Privacy Impact Assessment) die Rede, doch Projektleiter Dr. Michael Friedewald vom Fraunhofer ISI betont: “Überwachungssysteme haben nicht nur Auswirkungen auf die Privatsphäre. Es können auch andere Grundrechte betroffen sein, beispielsweise das Recht auf freie Meinungsäußerung oder die Versammlungsfreiheit. Ebenso besteht die Gefahr, dass sensible Informationen zu Herkunft, Religion, politischer Einstellung, Gesundheit und Sexualität zusammengeführt und genutzt werden. Der im Rahmen von SAPIENT entwickelte Fragenkatalog deckt gesellschaftliche, wirtschaftliche, politische, rechtliche und ethische Aspekte ab.”

Zu den Fragen, die sich politische Entscheidungsträger, technische Entwickler und andere gesellschaftliche Akteure möglichst schon vor, spätestens aber während der Entwicklung des Produkts stellen sollten, gehören: Wird das neue Überwachungssystem wirklich gebraucht? Ist der Nutzen erklärbar? Für welchen Auftraggeber wird es entwickelt? Auf wen ist es gerichtet, wer ist davon betroffen? Überwiegen die Vor- oder die Nachteile? Ist es rechtlich in Ordnung? Ist es ethisch vertretbar? Welche Ressourcen werden gebraucht?

Anhand der Antworten auf diese und viele andere Fragen lassen sich der Einfluss und die Risiken der geplanten Technologien und Dienstleistungen einschätzen. Die identifizierten Risiken können hinsichtlich Konsequenzen und Wahrscheinlichkeit analysiert und priorisiert werden. Dann muss versucht werden, die wahrscheinlichsten und gravierendsten Risiken zu reduzieren beziehungsweise Lösungen dafür zu finden. Letztlich zielt der Fragenkatalog darauf ab, bei der Entscheidung zu helfen, ob das neue Produkt eingesetzt werden sollte – oder eben nicht. Die frühestmögliche Auseinandersetzung mit den Folgen ist wichtig, da so noch Einfluss auf die Produkt- oder Serviceentwicklung genommen werden kann.

Michael Friedewald weist in diesem Zusammenhang auf das Konzept von “Privacy by design” hin, das von der künftigen europäischen Datenschutzverordnung vorgeschrieben wird: “Es ist entscheidend für die Wahrung von Grundrechten, sich frühzeitig Fragen zur Privatsphäre und zum Datenschutz zu stellen. Nur so können mögliche Risiken erkannt und entsprechende Lösungen bereits im Entwicklungsprozess gefunden werden, statt sie im Nachhinein zu implementieren. Ein gutes Beispiel für den Privacy-by-design-Ansatz ist die automatische Datenlöschung nach einer bestimmten Zeit.”

Aus dem Fragenkatalog ist ein Handbuch für Politiker, Entwickler und andere wichtige Akteure entstanden, wie und wann auf intelligente Überwachung zurückgegriffen werden sollte und wie sie sich in Einklang mit der Achtung von Privatsphäre bringen lässt. Das Handbuch präsentiert eine ausführliche Version für eine umfassende Analyse komplexer Systeme und eine Kurzversion, die eine rasche erste Bewertung erlaubt.

Das Handbuch mit dem Bewertungsverfahren und dem Fragenkatalog kann unterwww.sapientproject.eu/SIA_Manual.pdf heruntergeladen werden.

Weitere Informationen zum Projekt SAPIENT gibt es unter www.sapientproject.eu.

Bundesforschungsministerin Wanka stellt in Berlin das Projekt „Privatheit und selbstbestimmtes Leben in der digitalen Welt“ vor

Neue Technologien und die globale Vernetzung haben die gesellschaftliche Kommunikation maßgeblich verändert, sie aber auch verwundbarer gemacht. Insbesondere der Schutz der Privatheit wird durch diese Entwicklungen vor neue Herausforderungen gestellt. Wie sich diese meistern lassen und welchen Beitrag die Forschung leisten kann, sind Fragen, mit denen sich das Forschungsprojekt „Privatheit und selbstbestimmtes Leben in der digitalen Welt“ auseinandersetzt. Bundesforschungsministerin Johanna Wanka stellt dieses Projekt am 20. Oktober 2014 in Berlin auf dem gleichnamigen wissenschaftlichen Symposium der Öffentlichkeit vor.

Die fortschreitende Digitalisierung und das Aufkommen neuer Technologien haben viele neue Nutzungs- und Vernetzungsmöglichkeiten geschaffen. Etliche Beispiele wie Big Data, Cloud Computing oder vernetzte Autos führen vor Augen, was heute oder in wenigen Jahren technologisch möglich ist. Gleichzeitig geht damit oft eine kontinuierliche Datensammlung durch Unternehmen und staatliche Stellen einher, wodurch die Bürgerinnen und Bürger ihr Grundrecht auf informationelle Selbstbestimmung nur erschwert wahrnehmen können. Aus diesem Grund gilt es diesem Schutzbedürfnis mehr Beachtung zu schenken und die Gesellschaft stärker für dieses Thema zu sensibilisieren.

Zur öffentlichen und wissenschaftlichen Debatte um Privatheit im Online-Zeitalter trägt auch das vom Bundesministerium für Bildung und Forschung (BMBF) geförderte Projekt „Privatheit und selbstbestimmtes Leben in der digitalen Welt“ bei, das am 20. Oktober 2014 von 11 bis 18 Uhr in der Kalkscheune in Berlin ein Symposium zum Auftakt des BMBF-Förderschwerpunkts Privatheit veranstaltet. Peter Zoche, Koordinator des Forums Privatheit und Projektleiter am Fraunhofer ISI, äußert sich wie folgt zu den Zielen des Forschungsprojekts und Symposiums:

„Durch die zunehmende Vernetzung, von der moderne Gesellschaften gekennzeichnet sind, haben sich auch die Voraussetzungen für Privatheit verändert. Das Projekt sowie das Symposium setzen hier an und erarbeiten ein zeitgemäßes Begriffsverständnis. Technische, ethische, juristische und ökonomische Aspekte von Privatheit werden dabei genauso betrachtet wie sozialwissenschaftliche und miteinander verknüpft. Eine besondere Rolle spielen zudem die künftigen Implikationen für die Forschung im Bereich Privatheit, die das Privacy-Forum aufgreift und diese auf der Konferenz thematisiert.“

Im vom BMBF geförderten Forum Privatheit setzen sich nationale und internationale Experten interdisziplinär drei Jahre lang mit Fragestellungen zum Schutz der Privatheit auseinander. Das Projekt wird vom Fraunhofer ISI koordiniert, Partner sind das Fraunhofer SIT, die Universität Hohenheim, die Universität Kassel (provet und Institut für Soziologie), die Eberhard Karls Universität Tübingen, das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein sowie die Ludwig-Maximilians-Universität München. Die Forschungsergebnisse des Forums Privatheit fließen dabei nicht nur in den wissenschaftlichen Diskurs ein, sondern sollen auch Bürgerinnen und Bürger über Fragen des Privatheitsschutzes informieren.

Weitere Informationen zum Programm des Symposiums finden sich unter http://www.forum-privatheit.de. Die Veranstaltung ist öffentlich, Anmeldungen können ebenfalls auf der Webseite vorgenommen werden.

Privacy and Trust in the Ubiquitous Information Society

The overall objective of the study was to provide information helping to develop and assess policy options on EU level in order to address existing or emerging challenges to effective data protection, privacy and trust resulting from the development towards the ubiquitous information society. The study provides information on the following aspects:

  • Overview and analysis of existing research and publications on possible effects of more ambient ICT use on privacy and trust,
  • Identification of challenges for privacy and data protection and for trust and confidence,
  • Description and assessment of possible responses,
  • Options for a policy response on EU level,

The study provides input for the development of a set of EU level measures responding to the challenges raised with respect to privacy and trust in the ubiquitous information society, based on an assessment of all available instruments: social dialogue, fostering technical development, international cooperation and ensuring a regulatory framework enabling citizens, businesses and public entities to achieve the maximum of the potential benefits.

Status

Completed project (01/2008 – 12/2008)

Client

European Commission, DG Information Society and Media, Unit B1

Partners

  • Trilateral Research and Consulting London, UK
  • Eidgenössische Technische Hochschule Zürich, CH
  • Vrije Universiteit Brussel, Research group on Law Science Technology & Society, BE

Publications

Official Deliverables

Friedewald, Michael, David Wright, Serge Gutwirth, Paul De Hert, Marc Langheinrich, Antje Dietrich, Andreas Salzmann, Anna Moscibroda, Gloria González Fuster, Katja Devries, Wim Schreurs, and Niels Van Dijk, “Privacy and Trust in the Ubiquitous Information Society: An annotated bibliography re privacy, trust and the Ubiquitous Information Society”, Inception Report (Deliverable 1) Fraunhofer ISI, Karlsruhe, 2008.

Friedewald, Michael, David Wright, Serge Gutwirth, Paul De Hert, Marc Langheinrich, Timo Leimbach, Gloria González Fuster, and Ion Iulia, “Privacy and Trust in the Ubiquitous Information Society: Analysis of the impact of convergent and pervasive ICT on privacy and data protection and needs and options for development of the legal framework”, Final Report for the European Commission Fraunhofer ISI, Karlsruhe, 2009. https://bookshop.europa.eu/en/privacy-and-trust-in-the-ubiquitous-information-society-pbKK0414601/

Articles

Wright, David, Serge Gutwirth, Michael Friedewald, Paul De Hert, Marc Langheinrich, and Anna Moscibroda, “Privacy, Trust and Policy-Making: Challenges and Responses”, Computer Law & Security Report, Vol. 25, No. 2, 2009, pp. 69-83.