Open Source im professionellen Einsatz

Oasis arbeitet an Privacy Management Reference Model

17.01.2011

Die Standardisierungsorganisation Oasis hat eine neue Arbeitsgruppe ins Leben gerufen, die "Privacy by Design" beispielhaft implementieren will.

589

Die Gruppe hat sich vorgenommen, Unternehmen beim Privacy-Management in der Cloud zu unterstützen. Bis heute gäbe es keine technischen Standards zum Privacy Management, obwohl sich persönliche Daten (Beispiel Soziale Netzwerke) und netzbasierte Technologien (Beispiel Cloud Computing) "unerbittlich" verbreiten, argumentiert sie.

Bestehende Standards wie die betagten Platform for Privacy Preferences (P3P) des W3C oder des bestehenden Oasis-Komitees Cross-Enterprise Security and Privacy Authorization (XSPA) würden nicht reichen: Es fehle an einem abstrakten Modell, das Informationen über Personen während des gesamten Verwendungszeitraums ("Lifecycle") schützt oder erst schützbar macht.

Zusätzlich zu der Arbeitsgruppenseite stehen ein Webvideo (WMV-Format) und das korrespondierende Handout (PDF) zur weiteren Information bereit. Zu den initialen Mitgliedern der Oasis-Arbeitsgruppe gehören die amerikanischen Institutionen U.S. National Institutes of Health, das U.S. National Institute of Standards and Technology, die U.S. Veterans Health Administration sowie die Unternehmen CA Technologies und Jericho Systems. Jeder Interessierte kann die Arbeitsgruppen-Mailingliste als Archiv lesen oder über eine öffentliche Mailingliste Feedback einsenden. Die Subskription der Arbeitsgruppen-Mailingliste ist jedoch Mitgliedern vorbehalten.

Als Beispiel für Privacy-Herausforderungen nennen die Initiatoren dieses wilde Diagramm eines Smartgrid-Informationsnetzes (Quelle: NIST 2010).

Als Beispiel für zunehmende Herausforderungen des Privacy-Management nennen die Initiatoren Intelligente Stromnetze (Smart Grids). Das ist ein von Regierungen geliebtes Thema: Nicht nur in Amerika erfreuen sich Smart-Grid-Projekte staatlicher Förderung. In Deutschland finden Smart-Grid-Aktivitäten unter dem Dach der Förderinitiative der Bundesregierung "E-Energy - IKT-basiertes Energiesystem der Zukunft" einen Platz, ein Förderprogramm des Bundesministeriums für Wirtschaft und Technologie (BMWi) und dem Bundesministerium für Umwelt, Naturschutz und Reaktorsicherheit (BMU) (vor wenigen Tagen fand zum Beispiel der E-Energy-Jahreskongress statt). Bei der IEEE nimmt sich die Arbeitsgruppe P2030 der Interoperabilität in Smartgrids an. Die deutschen Datenschutz-Institutionen haben bereits eine Reihe Dokumente mit Datenschutz-Bedenken gegenüber dem Stromverbrauch-Tracking veröffentlicht.

Update: Die beiden Vorsitzenden des technischen Komitees haben für ihr Vorhaben, das ja eher schwammig klingt, der Redaktion einige Ergänzungen nachgereicht.

So sagt John Sabo, hauptberuflich Direktor für Global Government Relations bei der Firma CA Technologies: "Da das PMRM ein Referenzmodell ist, kommt es natürlich auf einigermaßen abstrakter Ebene zur Anwendung. Am Ende soll es aber Datenschutzverantwortliche verstehen lassen, wie sie den Schutz von Daten während deren gesamter Lebensdauer in Infrastukturen oder Anwendungen einbringen.

Das PMRM ist einzigartig darin, Daten während ihrer gesamten Lebensdauer in den Blick zu nehmen, und definiert die Services, die ihn in komplexen Systemem zu managen helfen. Im Smart Grid zum Beispiel liegt eine Fülle an Teilnehmern, Systemen und Anweisungen vor. Persönliche Daten werden aus vielen Gründen gesammelt, verarbeitet und gespeichert. Das PMRM wird den Enwicklern von Geschäftsprozessen und technischen Voraussetzungen nützlich sein, wenn sich Policies überschneiden. Es kann auch als Grundlage einer standardisierten, gemeinsamen Policy dienen. Im Moment arbeiten wir an einer methodologischen Grundlage, die wir dann auf konkrete Anwendungsfälle übertragen."

Der andere Vorsitzende, Michael Willett, ist ehemaliger Informatik-Dozent, IBM-Security-Architekt und arbeitet heute als selbstädiger Marketing-Consultant im Securitybereich. Er ergänzt: "Datenschutz wird traditionellerweise vom Policy-Standpunkt aus betrachtet, also faire Prinzipien, Gesetze und Regulatorien. Dieser Standpunkt gewährt aber wenig Einsicht darin, wie Datenschutz-Management tatsächlich designt und implementiert wird. Das PMRM überbrückt diese Lücke. Im Kern besteht es aus zehn Services, die man sich als aufrufbare Subroutine vorstellen kann. Sie können angepasst und als Teil einer Datenschutzmanagement-Handlung gestartet werden. Erfahrungen damit sollen mittels konkreter Anwendungsfälle im Rahmen des technischen KOmittees gesammelt werden."

Ähnliche Artikel

comments powered by Disqus

Ausgabe 01/2015

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.