Platz für Datenschutzanwälte, Analysten, Berater, CPOs und DPOs. Machen wir Platz für die Datenschutzingenieure, die die technische Umsetzung von Datenschutz und Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen in Produkte und Dienstleistungen. Willkommen, die Entstehung Datenschutz Technik.
Der Bereich Datenschutz war bisher typischerweise die Domäne von Anwälten und Beratern, die für die Entwicklung und Umsetzung von Richtlinien, den Umgang mit vertraglichen Datenrisiken, das Management von Datenschutzrisiken in Geschäftsprozessen und die Gewährleistung effektiver Veröffentlichungspraktiken für Benachrichtigungen und Auswahlmöglichkeiten verantwortlich waren. Um jedoch effektiv zu verwalten und zu steuern, wie Daten gebraucht in der Praxis können wir uns nun der wachsenden Disziplin des Datenschutz-Engineerings und den damit verbundenen Technologien und Produkten zuwenden.
Nach einigen spektakulären Datenschutzpannen und einer Reihe von Datenlecks und -verstößen erkennen Unternehmen, wie wichtig es ist, das Vertrauen ihrer Kunden zu gewinnen und aufrechtzuerhalten. Dazu müssen sie datenschutzerfahrene Technologen einstellen, die Richtlinien in die Praxis umsetzen können. Diese Experten werden oft unter dem Begriff „Datenschutzingenieur“ zusammengefasst.
Welche Daten haben wir? Wer nutzt sie? Wie bewegen sie sich in unserer Unternehmensumgebung? Gibt unsere Software persönliche Informationen preis? Welche datenschutzfreundlichen Methoden sollten Datenwissenschaftler für ihre Forschung nutzen? Dies sind nur einige der Fragen, die Datenschutzingenieure Unternehmen beantworten können. Stellen für Datenschutzingenieure entstehen im ganzen Land bei führenden datenorientierten Technologieunternehmen wie Google, Uber, LinkedIn und Oracle.
Was ist Privacy Engineering?
In ihrer bahnbrechenden Arbeit zu diesem Thema aus dem Jahr 2014 – Das Manifest des Datenschutzingenieurs: Von der Richtlinie zum Code zur Qualitätssicherung zum Mehrwert – Autoren Michelle Dennedy, Jonathan Fox und Tom Finneran beschreiben „ein systematischer technischer Ansatz zur Entwicklung von Datenschutzrichtlinien auf Grundlage von Unternehmenszielen und entsprechenden gesetzlichen Bestimmungen.“ Nur dann können „Datenschutzverfahren, -standards, -richtlinien, bewährte Methoden, Datenschutzregeln und -mechanismen … gemäß den bekannten und anerkannten technischen Methoden, Modellen und Mustern eines Systems entworfen und implementiert werden …“
Während Privacy-by-Design (PbD) eine Reihe von Grundsätzen bereitstellt, die Unternehmen befolgen sollten, um Privatsphäre und Datenschutz in Produkte und Dienste zu integrieren, sind es die Datenschutzingenieure, die die PbD-Anforderungen tatsächlich in den Entwicklungsprozess implementieren.
Rollen im Bereich Datenschutztechnik
Da das Feld relativ neu ist, beschäftigen sich viele täglich mit Datenschutz-Engineering, haben aber keine Berufsbezeichnung, die diese Aktivitäten und Aufgaben widerspiegelt. Um die Verwirrung noch zu verstärken, wird „Datenschutzingenieur“ bereits für mehrere definierte Rollen innerhalb von Organisationen verwendet. Hier ist eine Übersicht über einige der zusammengefassten Rollen innerhalb des Datenschutz-Engineering-Ökosystems – weitere werden wahrscheinlich hinzukommen.
Datenschutz-Produktmanager: Dies sind die Datenschutzexperten, die sich mit den Datenschutzbestimmungen und den Datenschutzrichtlinien des Unternehmens auskennen und wissen, wie diese auf die Geschäftsziele des Unternehmens zutreffen. Anschließend dokumentieren sie die spezifischen Geschäfts- und Produktanforderungen für die Servicebereitstellung und Produktentwicklung.
Um die Kernkompetenzen des Datenschutz-Engineerings für die Produktentwicklung zu verstehen, können wir einen Blick darauf werfen, wie die Kernkompetenzen, auf die die Carnegie Mellon University ihre Studenten vorbereitet, nach Abschluss ihres Studiums anzuwenden Master of Science in Informationstechnologie – Programm Datenschutztechnik:
1) Entwicklung hochmoderner Produkte und Dienste, die Big Data nutzen und gleichzeitig die Privatsphäre wahren;
2) Lösungen zur Minderung von Datenschutzrisiken vorschlagen und bewerten;
3) Verstehen, wie datenschutzfreundliche Technologien zur Reduzierung von Datenschutzrisiken eingesetzt werden können;
4) Verwenden Sie Techniken zum Aggregieren und De-Identifizieren von Daten und verstehen Sie die Grenzen der De-Identifizierung;
5) Verstehen Sie die aktuellen regulatorischen und selbstregulierenden Rahmenbedingungen für den Datenschutz.
6) Verstehen Sie aktuelle technologiebezogene Datenschutzprobleme;
7) Führen Sie datenschutzbezogene Risikobewertungen und Compliance-Überprüfungen durch, reagieren Sie auf Vorfälle und integrieren Sie den Datenschutz in die Phasen des Softwareentwicklungslebenszyklus.
8) Führen Sie grundlegende Usability-Evaluierungen durch, um die Benutzerakzeptanz datenschutzbezogener Funktionen und Prozesse zu beurteilen; und
9) Arbeiten Sie als effektiver Datenschutzfachexperte mit interdisziplinären Teams zusammen.
Entwickler: Dies sind die Software- und Hardware-Ingenieure mit den technischen Fähigkeiten zum Schreiben von Code und Erstellen von Softwareprodukten und internen Datenschutztools.
In der Anwendungssicherheits-Community halten sich „Sicherheitsingenieure“ über die neuesten OWASP Top 10 Sicherheitslücken und dann sichere Kodierungstechniken erlernen und anwenden, die ihnen helfen, solche Schwachstellen zu vermeiden und Exploits zu verhindern. Ebenso sollten Entwickler, die Datenschutz-Engineering-Bemühungen unterstützen, die OWASP Top 10 Datenschutzrisiken, das eine Liste der häufigsten Datenschutzrisiken in Webanwendungen und entsprechende Gegenmaßnahmen enthält. Es behandelt technologische und organisatorische Aspekte, die sich auf reale Risiken konzentrieren, nicht nur auf rechtliche Fragen.
Dieses OWASP-Projekt bietet Tipps zur Implementierung von PbD in Webanwendungen mit dem Ziel, Entwicklern und Webanwendungsanbietern zu helfen, den Datenschutz besser zu verstehen und zu verbessern.
Datenverwalter und Datenverwalter: Diese Personen sind direkt für den Schutz personenbezogener Daten und Informationen verantwortlich. Datenverwalter verwalten alle Aspekte einer Teilmenge von Daten und sind für deren Integrität, Genauigkeit und Datenschutzrichtlinien verantwortlich. Datenverwalter verwalten den Zugriff auf Daten gemäß den Zugriffs-, Sicherheits- und Nutzungsrichtlinien.
Projekttest- und Integrationsingenieure: Dabei handelt es sich um das technische Personal, dessen Aufgabe darin besteht, die Datenschutzüberprüfung und -validierung für die Systemintegration, den Systemtest und die Systembewertung sowie den Übergang zum Systembetrieb und zur Systemwartung sicherzustellen.
Datenwissenschaftler und Analysten: Dies sind die Mathematiker und Statistiker, die helfen, aus Datensätzen Nutzen zu ziehen und gleichzeitig die Privatsphäre zu schützen. Da Big-Data-Projekte immer beliebter werden, brauchen wir diese Mitarbeiter, um einen verantwortungsvollen und ethischen Umgang mit personenbezogenen Daten zu gewährleisten. Mit Unterstützung von Datenschutzforschern sind Datenwissenschaftler und Datenanalysten für die Anwendung von Techniken zur Datenminimierung, -aggregation und -deidentifizierung verantwortlich. Sie sollten auch in der Lage sein, geeignete datenschutzfördernde Technologien („PET“) auszuwählen – wie homomorphe Verschlüsselung, Differenzielle Privatsphäreund andere – die die Daten während der Analyse schützen und dennoch einen Mehrwert bieten.
Benutzererfahrung und Design: Dies sind die Mitarbeiter, die für vertrauenswürdige Erlebnisse im digitalen Ökosystem sorgen, sich darum bemühen, zu verstehen, wie der Benutzer mit dem Produkt oder der Dienstleistung interagiert, und sicherstellen, dass der Datenschutz in dieses Erlebnis integriert wird.
DatenschutzforscherDatenschutzforscher verstehen die aktuelle Technologie, die Datenschutz ermöglicht und erleichtert. Sie entwickeln neue Algorithmen für maschinelles Lernen, helfen bei der Entwicklung von Prototypen, unterstützen bei der Datenschutzarchitektur und wählen und implementieren geeignete PETs zum Schutz der Privatsphäre. Viele Unternehmen stellen Datenschutzforscher direkt aus der Wissenschaft ein.
Datenschutz-Engineering = Datenschutz + Engineering
Das Datenschutz-Engineering als Disziplin steckt noch in den Kinderschuhen, doch Vorschriften wie die Datenschutz-Grundverordnung der EU (GDPR) schreiben vor, dass Organisationen PbD implementieren müssen. Wie lässt sich PbD ohne das entsprechende technische Personal, die entsprechenden Prozesse und die entsprechende unterstützende Technologie implementieren? Die Antwort lautet: Das geht nicht. Daher ist es zwingend erforderlich, dass Unternehmen die richtige Kombination aus Erfahrung und Fähigkeiten im Bereich Datenschutz-Engineering einstellen, um die Anforderungen zu entwickeln und zu implementieren. Neben der Einstellung der richtigen Mitarbeiter ist es unerlässlich, dass Unternehmen auch massiv in folgende Bereiche investieren: Infrastruktur (d. h. Unternehmensarchitektur und -design), Datenschutzprodukte, die zeitaufwändige Aufgaben automatisieren, PETs, Tools zur Einwilligungsverwaltung, Rekrutierungsbemühungen und kontinuierliche Schulungen für aktuelle und zukünftige Datenschutzingenieure, sobald neue Techniken auftauchen.
Auf dem Weg zur Standardisierung von Privacy by Design und Privacy Engineering
Datenschutz-Engineering ist eine sich entwickelnde Disziplin, die die 7 Grundprinzipien von PbD, die von Dr. Ann Cavoukian, der ehemaligen Informations- und Datenschutzbeauftragten von Ontario, entwickelt wurden. Letztes Jahr hat das National Institute for Standards and Technology (NIST) eine Einführung in die Datenschutztechnik Das Projekt befasst sich eingehender mit Datenschutzmaßnahmen in US-Bundessystemen und der Reduzierung von Informationsrisiken. Darüber hinaus laufen derzeit Bemühungen zur Entwicklung eines globalen ISO/PC 317-Standard für Datenschutz durch Technikgestaltung für Konsumgüter und -dienstleistungen.
NIST gab kürzlich bekannt, Datenschutz-Engineering-Framework Entwurf – „ein freiwilliges Tool auf Unternehmensebene, das einen Katalog von Datenschutzergebnissen und -ansätzen bereitstellen könnte, um Unternehmen bei der Priorisierung von Strategien zu unterstützen, die flexible und effektive Datenschutzlösungen schaffen und es Einzelpersonen ermöglichen, die Vorteile innovativer Technologien mit größerem Vertrauen zu nutzen.“ Darüber hinaus werden auch Anstrengungen unternommen, um ein ISO/ISE PTDR2 7550, ein globaler Standard für Datenschutztechnik und zugehörige Sicherheitstechniken.
Bei BigID, wir beobachten die Landschaft sehr genau und freuen uns, aktive Teilnehmer am ISO/PC 317 PbD-StandardisierungsprozessWir haben vor kurzem regelmäßige Meetups zum Thema Datenschutz im Ingenieurwesen in den folgenden Städten, um die Gemeinschaft der Praktiker zu erweitern und Wissen auszutauschen: San Francisco, NYC, Seattle, Portland, Austin, Denver/Boulder, Minneapolis, Atlanta, Washington, D.C., Boston, London, und Tel Aviv. Wenn Datenschutz in Ihre berufliche Rolle integriert ist, hoffen wir, dass Sie an einem unserer zukünftigen Meetup-Events teilnehmen können.
Bleiben Sie dran für Veranstaltungen zum Aufbau einer Community für Datenschutztechnik in New York City und San Francisco.
Autor
