PRIVACY 1 HSLU
Karteikarten zu Privacy 1
Karteikarten zu Privacy 1
Kartei Details
| Karten | 55 |
|---|---|
| Sprache | Deutsch |
| Kategorie | Informatik |
| Stufe | Universität |
| Erstellt / Aktualisiert | 15.06.2019 / 04.12.2019 |
| Weblink |
https://card2brain.ch/box/20190615_privacy_1_hslu
|
| Einbinden |
<iframe src="https://card2brain.ch/box/20190615_privacy_1_hslu/embed" width="780" height="150" scrolling="no" frameborder="0"></iframe>
|
Lernkarteien erstellen oder kopieren
Mit einem Upgrade kannst du unlimitiert Lernkarteien erstellen oder kopieren und viele Zusatzfunktionen mehr nutzen.
Melde dich an, um alle Karten zu sehen.
Welche Grundsätze müssen nach Bundesdatenschutzgesetzt eingehalten werden?
Personendaten dürfen nur rechtmässig bearbeitet werden
Bearbeitung hat nach Treu und Glauben zu erfolgen und muss verhältnismässig sein
Bearbeitung nur nach angegebenem Zweck erlaubt
Beschaffung und Zweck der Beschaffung muss der betroffenen Person erkennbar sein
Einwilligung nur nach angemessener Information gültig
Was ist das DSGVO?
Beschlossen im April 2016 für EU und EWR/EFTA
99 Artikel und 173 Erwägungsgründe
Anwendungsbereich und Inkrafttreten
Organisation staatlicher Einrichtungen
technischer Datenschutz → bindend!
Schaffung einheitlichem Datenschutzniveau und Schutzbehörde in jedem Land (für Unternehmen)
Modernisierung angesichts technischer Entwicklung und wirksame Sanktionen (maximale Höhe der Busse 20 Millionen Euro oder 4% des weltweiten Jahresumsatz)
DSGVO: Datenverarbeitung nur erlaubt, wenn:
Einwilligung
Vertragserfüllung
Erfüllung rechtlicher Verpflichtungen
Schutz lebenswichtiger Interessen
Erfüllen einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung von Hoheitsgewalt
Wahrnehmung berechtigter Interessen
Datenverarbeitung im Beschäftigungskontext
Über welche Rechte verfügen Betroffene nach DSGVO?
Bearbeitungs- und Reaktionspflicht des Verantwortlichen
Informationspflicht bei Erhebung personenbezogener Daten oder eben nicht
Auskunftsrecht
Berichtigungsrecht & Löschungsrecht, "Recht auf Vergessenwerden"
Recht auf Einschränkung der Verarbeitung und Datenübertragbarkeit
Widerspruchrecht bei einwilligungsloser Verarbeitung zur Wahrnehmung öffentlicher Interessen
Schutz vor automatisieren Entscheidungen im Einzelfall einschliesslich Profiling
Was ist in der DSGVO mit Voreinstellungen und Technikgestaltung gemeint?
Datenverarbeitungssysteme müssen möglich wenig Daten erheben, verarbeiten und nutzen → Datenvermeidung & Datensparsamkeit
Personenbezogene Daten so schnell wie möglich pseudonymisieren
Transparenz in Bezug auf Funktion und Verarbeitung der Daten
Person ermöglichen die Verarbeitung zu überwachen und Sicherheitsfunktionen vorweisen
Wie werden Datenpannen in der DSGVO behandelt?
Meldepflicht bei Verletzung des Schutzes personenbezogener Daten binnen 72 Stunden an Aufsichtsbehörde und betroffene Personen
Benachrichtigungspflicht entfällt wenn Massnahmen umgesetzt wurden das für die Betroffenen kein hoher Risiko besteht oder ein unverhältnismässiger Aufwand anfallen würde.
Was sind die Auswirkungen der DSGVO auf die Schweiz?
Übernahme der DSGVO im 2016 zugestimmt → Entwurf in Ausarbeitung
Was ist die E-Privacy Verordnung (ePVO)?
Verordnung des Europäischen Parlaments und des Rates über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektrischen Kommunikation.
Ersetzt ePrivacy-Richtlinie (2002) und Cookie-Richtlinie (2009)
Bedeutend für Werbetreiber und Webseitenbetreiber
Sollte mit DSGVO in Kraft treten aber wird noch ausgehandelt
Enthält ergänzend zur DSGVO:
Explizite Anwendbarkeit auf internetbasierte Kommunikationsdienste (Over-The-Top / OTT → WhatsApp, Skype, Google Mail etc.)
Online- und Offline-Tracking, auch bisher nicht verwendete Verfahren
Stärkere Nutzungsrechte durch bessere Wahl und Gestaltungsmöglichkeiten
Wie ist die USA und Europ im Vergleich?
USA → sektorspezifische Gesetze mit geringem Schutz
Verfassungsrecht regelt die Rechte gegenüber der Regierung
Schadenersatzrecht regelt Streitigkeiten zwischen Privatpersonen
Federal Trade Commision (FTC) ist verantwortlich für Verbraucherschutz
EU → alle Länder mit ufassendem Datenschutzgesetzt
Datenschutz als grundlegendes Menschenrecht
Datenschutzkommissionen in jedem Land
Was ist Safe Harbor & Privacy Shield?
Safe Harbor → US-Unternehmen konnten Datenschutzgesetze zum Schutz von EU & CH Bürgern einhalten
Unternehmen welche Kundendaten speichern mussten sich zertifizieren lassen
Privacy-Shield 2016 als Nachfolger von Safe Harbor
Unternehmen droht Sanktionen und Ausschluss bei Verstoss gegen Datenschutz
Wesentliche Verbesserung aber unklare Punkte (löschen von Daten, Big Data und Obudspersonen)
Welche Arten von Privacy Enhancing Technolgy gibt es?
- Transparency
- Enabling
- Protecting
Was sind Anonymous Certificates (zero-knowledge proof)?
- Verhindert das veröffentlichen von Daten an den Datensammler.
- Kryptografische Funktionen anonymisieren Daten für sichere Authentifikation.
- Attributbasierte Credentials ermöglichen das Beweisen von Attributen ohne Identität
Was ist Privacy by Design?
Proactive, not Reactive → Prävention und nicht Reaktion
Privacy as Default Setting
Privacy Embedded into Design
Full Functionality → Prositive-Sum
End-to-End Security → Full Lifecycle Protection
Visibility and Transparency → Keep it open
Respect User Privacy → Keep it User-Centric
Wann ist die DSGVO auf Schweizer Unternehmen anwendbar?
- Niederlassung EU
- Anbieten von Dienstleistungen in der EU
- Verhaltensbeobachtung in der EU
Was sind die Punkte der Revision des Schweizer Datenschutzgesetzt?
Angemessenheitsbeschluss der EU alle 4 Jahre → falls CH nicht angemessen wäre, wäre das kritisch für die WIrtschaft
2017 Vorentwurf der sich stark an DSGVO anlehnt und Wirtschaftsverbände alarmiert (hoher Aufwand)
Bundesgesetz zur Umsetzung von Richtlinie 2016/680 → Schengen Abkommen
Revision um Änderungen an CH anzupassen
Neue Kompetenzen des Datenschutzbeauftragter → bis anhin gibt nur "Empfehlungen", neu kann er Untersuchungen anordnen und Verletzungen Beseitigen lassen
Höheres Straffmass → bis anhin Bussen bis zu 10'000 CHF, neu 250'000 und erweiterter Strafbestand
Was ist eine Identität?
definert eine Person al einmalig und unverwechselbar (durch Individuum und soziale Umgebung)
Was ist Online und Offline Data Merging?
Wenn pseudonymisierte Daten mit öffentlich zugänglichen Daten verglichen werden und so die Individuen bestimmt werden
Technische Sicherheitsvorkehrungen um Daten privat zu behalten (im Internet und Computing generell)
- Anonymous credentials
- Private informaion retrieval
- Secure multi-party computation
- Search over encrypted data
- Homomorphic encryption
Was ist ein Persönlichkeitsprofil?
Zusammenstellung von Daten welche Beurteilung wesentliche Aspekte der Persönlichkeit einer natürlichen Person erlaubt
Was sind die Punkte des Code of Fair Information Practices (1973)?
Notice / Awareness
Choice / Consent
Access / Participation
Integrity / Security
Enforcement / Redress
Was sind die Ziele des Datenschutz?
Transparenz (Verarbeitung von Daten kann nachvollzogen, geprüft & bewertet werden)
Nicht-Verkettbarkeit (Daten können nur mit hohem Aufwand für anderen Zweck gebraucht werden)
Intervenierbarkeit (Verfahren sind so gestaltet, dass Betroffene zu ihrem Recht kommen)
Welche Arten von Anonymität sind möglich?
Die Identität einer anonymen Instanz ist nicht bestimmbar, wenn sie
den anderen Instanzen nicht bekannt ist (Nichtbekanntsein)
den anderen Instanzen gegenüber nicht in Erscheinung tritt (Nichtgenanntsein)
den anderen Instanzen gegenüber ohne Namen agiert (Namenslosigkeit)
Was ist ein Pseudonym?
Identifikator eines Subjekts das ungleich dem realen Namen ist. Verwendung einer Zuordnungsvorschrift.
Welche Arten von Pseudonymität gibt es?
deterministisch → schlüsselabhängig Einweg- oder Hashfunktion auf invarianten Daten
willkürlich → nach festem Einweg-Algorithmus vom Benutzer aus mit einem Geheimnis
zufällig → frei gewählt oder nach einem Zufallsverfahren
Was sind die Haupteinsatzzwecke von RFID Technologie?
- Identifikation (Tracking & Tracing)
- Authentifikation (couterfeit detection, access control)
Was sind die Probleme von RFID?
Tags enthalten sensible Daten und sind fast nicht wahrnehmbar
Selbst wenn Dateninhalt verschlüsselt sind kann die physische Anwesenheit verfolgt werden
Lesegeräte sind billig und können von allen gekauft werden
Mit aktueller Technologie keine Kryptographie auf Tags möglich
Was sind die Datenschutzprobleme von RFID?
Erkennen von Tag-Präsenz
Bestimmung der Herkunft einer Person → Tracking
Hotlisting → Gegner weiss, nach was ersuchen will, Beschreibung von Tags
RFID Bill of Rigths
Hinweis → Recht er erfahren ob RFID enthalten und zu wissen wann, wo und warum er gelesen wird.
Auswahl → Recht RFID zu entfernen oder zu deaktivieren oder Produkte ohne zu kaufen
Transparenz → Recht auf die im Daten gespeicherten Daten zuzugreifen
Wie funktioniert die Kryptographie in einem E-Passport und was sind die Gefahren?
Passive Authentifikation mit von Signatur von Land → nur Daten authentifiziert und nicht Pass selbst
Basis Access Control & Secure Messaging mit Key und MAC aus Passnummer, Geburtsdatum und Ablaufdatum
Aktive Authentifikation (optional) mit Publik Key signierten Daten und Secret Key im Chip
Versteckted Scanning und Tracking
Klonen und Skimming sowie lauschen bei Lesegeräten
Schwache Kryptographie und Fehler in dieser
Was ist ein Mixer?
Seit 1981 bekanntes Konzept der umcodierenden Mixe welche Nachrichten über mehrere Zwischensysteme zum eigentlichen Empfänger schickten. Damit wird erreicht, dass:
Der Empfänger dem Sender anonym bleibt, oder
der Sender dem Empfänger anonym bliebt, oder
Sender und Empfänger voreinander anonym bleiben
-
- 1 / 55
-
