PrivacyWeek 2021

Privacy by Design - da geht noch was!
2021-10-26, 15:00–15:45 (Europe/Vienna), Stream
Language: German

Peer-to-Peer-Netze sind architekturbedingt besonders datenschutzfreundlich (Privacy by Design), weil sie serverlos sind und nicht zentral gesteuert werden. Die ODO-Entwicklungsumgebung ermöglicht engagierten Laien die simple Entwicklung darauf basierender Anwendungen.


Bei netzbasierten Anwendungen dominiert heute eine zentralsierte Systemarchitektur. Diese birgt inhärente Risiken für die Privatsphäre der Nutzer*innen, weil die Server komplett vom Betreiber kontrolliert werden. Dadruch wird eine zentrale Auswertung der Nutzer*innen-Daten möglich, die viele Begehrlichkeiten weckt: Von personalisierter Werbung bis hin zu staatlichen Zugriffen. Und selbst bei Ende-zu-Ende-Verschlüsselter Kommunikation können bei dieser Systemarchitektur dennoch sehr aussagekräftige personalisierte Metadaten gesammelt werden.

Grundlegend anders ist die Situation bei einer verteilten Systemarchitektur (Peer-to-Peer). Hier gibt es den zentralen Ansatzpunkt zum Datenabgriff ganz einfach nicht. Und hier setzt das Projekt "ODO Distributed Online" an: Es bietet eine Entwicklungs- und Laufzeitumgebung mit folgenden Eigenschaften:

  • Verteilte Datenhaltung (per IPFS)
  • Grundsätzlich ausschließlich verschlüsselte Kommunikation
  • Fokus auf Privacy by Design
  • Free and Open Source Software
  • Zielgruppen
    • "Power Users": Niederschwellige Entwicklung von ODO-Apps über ein einfaches API
    • Profis: Alle Möglichkeiten für Profis über tiefere API-Schichten

ODO soll Vereinen, Behörden, Schulen, Unternehmen, etc. helfen, für ihre spezifischen Problemstellungen eigene maßgeschneiderte kleine Anwendungen selbst zu entwickeln (oder kostengünstig entwickeln zu lassen), und dabei sicher zu sein, dass die personenbezogenen Daten der Nutzer*innen gut geschützt sind. Darüber hinaus sind auch größere Systeme möglich, z.B. auf ODO basierende soziale Netzwerke.

Eine eigene Problematik bei Systemen mit gutem Schutz der Privatsphäre stellen kriminelle Anwendungen dar. Hierbei handelt es sich um ein heikles Thema, das von Entwicklern oft schulterzuckend und etwas ratlos ignoriert wird. ODO geht diese Problematik an mit einem Konzept zum Whistle-Blowing, auch wenn hier noch viele Fragen offen sind (z.B. Schutz der Whistleblower*in, Verhinderung von Missbrauch und Denunziation, Einordnung der Meldungen, Sicherung von Beweismaterial, ggf. Weiterleitung an Behörden).

Eine weitere Herausforderung ist die rechtliche Seite beim Betrieb einer verteilten Anwendung: Wer ist "Verantwortlicher" im Sinne der DSGVO? Wie kommt man einer Lösch- oder Korrekturpflicht nach in einem Netzwerk, das einen verteilten technischen Ansatz hat und so etwas prinzipiell gar nicht bieten kann. Obwohl es z.B. mit Bitcoin solche Netzwerke in der realen Welt gibt, scheinen diese Fragen nicht wirklich geklärt.

Das ODO-Projekt befindet sich in einer frühen Entwicklungsphase. Es gibt einen Proof-of-Concept-Prototypen, und die Entwicklung einer ersten API-Version anhand einer einfachen Chat-App ist gerade im Gange.

Ich bin Softwareentwickler und Initiator der Projektes "ODO Disptributed Online".