Suchen

Security-Forschung im Projekt InStruct Forschung für Recht auf Vergessenwerden

Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Peter Schmitz

Forscher im Projekt InStruct arbeiten daran, das digitale Vergessen und damit die Einhaltung der Löschpflichten nach DSGVO zu verbessern. Dazu gehören neben automatischen Löschverfahren auch bessere Informationen für Nutzer, was Löschfunktionen zum Beispiel bei Messengern wirklich leisten, und Schutzmaßnahmen gegen Angriffe, die gelöschte Daten wiederherstellen wollen.

Firmen zum Thema

Vergessenwerden und Löschen lassen sich mit durchaus vertrauten Technologien lösen, man darf es nur nicht vergessen. Forschungsprojekte zum Kenntnisstand der Nutzer sind deshalb besonders wichtig.
Vergessenwerden und Löschen lassen sich mit durchaus vertrauten Technologien lösen, man darf es nur nicht vergessen. Forschungsprojekte zum Kenntnisstand der Nutzer sind deshalb besonders wichtig.
(Bild: gemeinfrei / Pixabay )

Ziel des Projekts InStruct ist es, den kontrollierten Verlust digitaler Daten – das digitale Vergessen – zu ermöglichen. Das Löschen von Daten zu festgelegten Zeitpunkten wird heute bereits technisch unterstützt, deckt jedoch nur einen kleinen Teil des Problem- und Lösungsraumes ab, so die Projektinformation. Im Rahmen des Projekts InStruct wurden neue Ansätze jenseits des automatisierten Löschens zu vordefinierten Verfallszeiten untersucht, das Projekt endete im Juli 2020.

Beim Projekt InStruct entwickelten die Forscher Lösungen für flexible Ablaufzeiten, die auf externen Bedingungen basieren können. Die Ansätze wurden entwickelt, um zuverlässig zu arbeiten und nachweislich sicher zu sein, wie die Forscher erklären. Gegenmaßnahmen und Angriffe Dritter zur Verhinderung oder Rückgängigmachung des Ablaufs standen dabei ebenfalls im Mittelpunkt.

Vergessen gehört zum Datenschutz

Es muss nicht nur verhindert werden, dass Daten ungewollt oder absichtlich und gegen den Willen der Betroffenen gelöscht werden, wie dies bei einem Datenverlust der Fall ist. Der Datenschutz nach Datenschutz-Grundverordnung (DSGVO / GDPR) verlangt nicht nur die Verfügbarkeit und die Wiederherstellbarkeit personenbezogener Daten nach einem Zwischenfall.

Es ist vielmehr so, dass die DSGVO auch ein Recht auf Vergessenwerden enthält, also ein Recht auf Löschung der eigenen personenbezogenen Daten im Rahmen des Artikels 17 DSGVO.

Leider gibt es mit dem Recht auf Vergessenwerden genauso Umsetzungsprobleme wie mit dem Schutz gegen ungewollten Datenverlust. Es ist deshalb wichtig, dass sich die Forschung, aber auch jedes Unternehmen genauer mit dem Löschen personenbezogener Daten befasst.

Löschfunktionen werden missverstanden

Neben technischen Löschverfahren, die zur sicheren und fristgerechten Löschung beitragen, ist es die Aufklärung der Benutzer, die für das digitale Vergessen wichtig ist. Auch hierzu haben Forscher wie Theodor Schnitzler vom HGI Untersuchungen durchgeführt.

Ein wichtiges Beispiel dafür ist das notwendige Verständnis von Löschfunktionen zum Beispiel bei Messenger-Programmen wie WhatsApp, Skype und Facebook Messenger. So hat eine Untersuchung von Theodor Schnitzler vom Horst-Görtz-Institut für IT-Sicherheit in Bochum, sowie Christine Utz, Florian M. Farke, Christina Pöpper und Markus Dürmuth gezeigt, dass es statistisch signifikante Unterschiede im Verständnis der Benutzer für das Löschen von Nachrichten gibt. Achtzig Prozent der Teilnehmer an dem WhatsApp-Text konnten die Auswirkungen des Löschens von Nachrichten richtig einschätzen, verglichen mit nur 49 Prozent bei dem Skype-Test. Interessant ist es auch, dass Löschen für viele Benutzer nicht etwa nur für den Datenschutz wichtig ist. Viele Nutzer möchten ihre Nachrichten einfach nach dem Versenden nochmals ändern, allerdings löschen 56,8 Prozent der Teilnehmer an der Studie so gut wie nie eine Messenger-Nachricht.

Löschen aus Gründen des Speicherplatzes wurde öfter genannt als Löschen aus Datenschutz-Gründen. Andererseits reicht es den meisten Nutzern nicht, Nachrichten auf dem eigenen Gerät zu löschen, sie wollen auch die Nachricht beim Empfänger löschen können oder zumindest diese Option haben.

Aus Datenschutzsicht muss es möglich sein, auch verschickte oder durch Dritte verbreitete Daten löschen lassen zu können. Offensichtlich ist dies bei weitem nicht bei allen Messenger-Programmen machbar.

Kontrolle über Daten behalten

Betrachtet man genauer, was eine der zentralen Forderungen ist, die hinter einem Recht auf Vergessenwerden steckt, stößt man auf die notwendige Hoheit und Kontrolle über die eigenen Daten. Auch wenn die eigenen Daten übermittelt und verschickt wurden und sich in den Händen Dritter befinden, möchte man diese Kontrolle behalten, und im Rahmen der DSGVO hat man auch das Recht dazu.

Ein anderes Projekt hat sich genau dieser Kontrolle über die eigenen Daten angenommen: Das Projekt EDV beschäftigte sich mit dem „Einfachen Digitalen Vergessen“ von sensiblen und personenbezogenen Daten. Entstanden aus dem Projekt ist ein aus Software- und Hardwarekomponenten bestehendes System für den selbstbestimmten Austausch von Daten, das Ende August 2019 im Digital Hub in Pforzheim vorgestellt wurde.

EDV war ein Gemeinschaftsprojekt unter Leitung der esentri AG, wurde gefördert vom Bundesministerium für Wirtschaft und Energie und fand unter Beteiligung von CAS Software, FZI Forschungszentrum Informatik am Karlsruher Institut für Technologie und der Hochschule Pforzheim statt.

Oftmals ist es wünschenswert, dem Empfänger die übertragenen Informationen nur temporär oder in einem bestimmten Kontext verfügbar zu machen, um die Gefahr des Missbrauchs oder der unabsichtlichen Weitergabe zu verringern, so die Projektinformation. Bei den derzeit üblichen Lösungen zur Datenübertragung verliere der Sender jedoch die Kontrolle über seine sensiblen Informationen, sobald er sie weitergegeben hat.

Die Lösung EDV gewährleistet laut Anbieter, dass die ausgetauschten Informationen automatisch gemäß geltenden Datenschutzbestimmungen und Datenschutzrichtlinien behandelt werden. Während der Inhaber die Nutzung der Daten einfach kontrollieren kann, erhält der Empfänger die Garantie, dass diese nur datenschutzkonform benutzt werden. Durch eine sichere Ver- und Entschlüsselung bleibt die Kontrolle beim Datenurheber, der den Datenzugriff zeitlich einschränken kann. Die Software verhindert das lokale Speichern der Daten und informiert den Empfänger über seine Rechte und den beabsichtigten Verwendungszweck der Daten, wie der Anbieter erklärt.

Verschlüsselung und digitales Rechtemanagement (DRM) zur Umsetzung von Kontrolle, Datenhoheit und Entzug von Berechtigungen (mit der Folge, wie es ein Löschen auch hat) ist nicht neu. Das Projekt EDV jedoch hat sich die intuitive Nutzbarkeit als Ziel gesetzt, denn daran scheitert bekanntlich so manches Projekt im Bereich Verschlüsselung und DRM. So schreibt die Projektleitung: Vertraulichkeit und Authentizität sollen nachvollziehbar werden, Anwender sollen jederzeit die volle Kontrolle über ihre sensiblen oder personenbezogenen Daten behalten. Erreicht wird das durch einfach zu bedienende Clients, welche Verschlüsselungs- und Signaturverfahren (eine Option ist die Benutzung sicherer Hardware wie der neue Personalausweis) einbinden.

Vergessenwerden und Löschen lassen sich offensichtlich mit durchaus vertrauten Technologien angehen, doch man muss es auch angehen, darf es nicht vergessen. Forschungsprojekte zum Kenntnisstand der Nutzer sind deshalb besonders wichtig.

(ID:46912427)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research