Towards Cross-Provider Analysis of Transparency Information for Data Protection

Transparency and accountability are indispensable principles for modern data protection, from both, legal and technical viewpoints. Regulations such as the GDPR, therefore, require specific transparency information to be provided including, e.g., purpose specifications, storage periods, or legal bases for personal data processing. However, it has repeatedly been shown that all too often, this information is practically hidden in legalese privacy policies, hindering data subjects from exercising their rights. This paper presents a novel approach to enable large-scale transparency information analysis across service providers, leveraging machine-readable formats and graph data science methods. More specifically, we propose a general approach for building a transparency analysis platform (TAP) that is used to identify data transfers empirically, provide evidence-based analyses of sharing clusters of more than 70 real-world data controllers, or even to simulate network dynamics using synthetic transparency information for large-scale data-sharing scenarios. We provide the general approach for advanced transparency information analysis, an open source architecture and implementation in the form of a queryable analysis platform, and versatile analysis examples. These contributions pave the way for more transparent data processing for data subjects, and evidence-based enforcement processes for data protection authorities. Future work can build upon our contributions to gain more insights into so-far hidden data-sharing practices.Comment: technical repor

Privacy-preserved security-conscious framework to enhance web service composition

The emergence of loosely coupled and platform-independent Service-Oriented Computing (SOC) has encouraged the development of large computing infrastructures like the Internet, thus enabling organizations to share information and offer valueadded services tailored to a wide range of user needs. Web Service Composition (WSC) has a pivotal role in realizing the vision of implementing just about any complex business processes. Although service composition assures cost-effective means of integrating applications over the Internet, it remains a significant challenge from various perspectives. Security and privacy are among the barriers preventing a more extensive application of WSC. First, users possess limited prior knowledge of security concepts. Second, WSC is hindered by having to identify the security required to protect critical user information. Therefore, the security available to users is usually not in accordance with their requirements. Moreover, the correlation between user input and orchestration architecture model is neglected in WSC with respect to selecting a high performance composition execution process. The proposed framework provides not only the opportunity to securely select services for use in the composition process but also handles service users’ privacy requirements. All possible user input states are modelled with respect to the extracted user privacy preferences and security requirements. The proposed approach supports the mathematical modelling of centralized and decentralized orchestration regarding service provider privacy and security policies. The output is then utilized to compare and screen the candidate composition routes and to select the most secure composition route based on user requests. The D-optimal design is employed to select the best subset of all possible experiments and optimize the security conscious of privacy-preserving service composition. A Choreography Index Table (CIT) is constructed for selecting a suitable orchestration model for each user input and to recommend the selected model to the choreographed level. Results are promising that indicate the proposed framework can enhance the choreographed level of the Web service composition process in making adequate decisions to respond to user requests in terms of higher security and privacy. Moreover, the results reflect a significant value compared to conventional WSC, and WSC optimality was increased by an average of 50% using the proposed CIT

21. Interuniversitäres Doktorandenseminar Wirtschaftsinformatik der Universitäten Chemnitz, Dresden, Freiberg, Halle-Wittenberg, Ilmenau, Jena und Leipzig: IUDS 2017

Das lnteruniversitäre Doktorandenseminar Wirtschaftsinformatik ist eine gemeinschaftliche Veranstaltung der Universitäten Chemnitz, Dresden, Freiberg, Halle, Ilmenau, Jena und Leipzig. Anlässlich des regelmäßig stattfindenden Seminars präsentieren Doktorandinnen und Doktoranden ihre Dissertationsvorhaben und stellen sich einer kritischen Diskussion der teilnehmenden Professorinnen und Professoren sowie der Doktorandinnen und Doktoranden. Auf diese Weise erhalten die Promovierenden wertvolle Anregungen und Hinweise zu vorgehen, Methodik und inhaltlichen Aspekten ihrer Arbeit, welches sie für die weitere Arbeit an ihrer Promotion und darüber hinaus nutzen können. Außerdem bietet das lnteruniversitäre Doktorandenseminar Wirtschaftsinformatik eine Gelegenheit zur fachlichen Auseinandersetzung mit aktuellen Themen und sich ankündigenden Trends in der Forschung der Wirtschaftsinformatik. Zudem wird ein akademischer Diskurs über die Grenzen der jeweils eigenen Schwerpunkte der Professur hinaus ermöglicht. Das nunmehr 21. Doktorandenseminar fand in Leipzig statt. Der hieraus entstandene vorliegende Tagungsband enthält sieben Beiträge aus den Bereichen Vorgehensweisen (Prozessharmonisierung fusionierter Dienstleistungsunternehmen, Gestaltung digitaler Transformation, Datenschutzmodell für E-Commerce), Anwendung (intelligente Tutoringsysteme, Social CRM) und Technik (dezentrales Cloud-Netzwerk, Referenzarchitektur für Cloud Computing) sowie einen Gastbeitrag (systematische Widerverwendung) und vermittelt dadurch interessante Einblicke in ausgewählte Themen der aktuellen Forschung der Wirtschaftsinformatik.:1. Prozessharmonisierung von fusionierten Dienstleistungsunternehmen im Zeitalter Quality 4 .0 - DSR Ansatz zur Entw'icklung einer Methode 2. Dezentrales Cloud-Netzwerk: Forschungsergebnisse und Evaluation 3. Konzeption eines Datenschutzmodells im E-Commerce 4. Mit systematischer Wiederverwendung von der Forschung in die Wirtschaft (und ein bißchen zurück) 5. Intelligent Tutoring Systems für wenig frequentierte Lernsituationen 6. Customer Context in Social CRM - Concept and Use Cases 7. Die Digitale Transformation gestalten - Ein Reifegradmodell zur Entwicklung von Datenkompetenz im Kontext des Capability Ansatzes 8. Cloud Computing Referenzarchitektur - IT-Dienstleistungszentren der öffentlichen Verwaltung in der Ebenen-übergreifenden Verzahnung digitaler lnfrastrukture

Adressierung des Privacy Paradoxon im B2C-E-Commerce

Das Angebot an Dienstleistungen im Internet ist ein fundamentaler Teil des Internets geworden. Im Bereich des B2C-E-Commerce steigt die Zahl der Online-Angebote und auch der Käufer rasant an. Damit die Käufer die Angebote im Internet kaufen können, müssen sie den jeweiligen Datenschutzbestimmungen der einzelnen Online-Shops zustimmen. Da diese in den meisten Fällen sehr lang und auch sehr schwer zu lesen sind, stimmen die Käufer meistens den Datenschutzbestimmungen zu ohne diese zu lesen, obwohl den meisten Käufern der Schutz ihrer personenbezogenen Daten wichtig ist. Dieses Verhalten wird als Privacy Paradoxon bezeichnet und im Rahmen dieser Arbeit adressiert. Zum Entgegenwirken des Privacy Paradoxon wird in dieser Arbeit ein Datenschutzmodell konzipiert und anhand eines Monitoring Systems (Empfehlungssystems) evaluiert. Das entwickelte Monitoring System ist intuitiv und nachvollziehbar aufgebaut und soll das Bewusstsein des einzelnen Nutzers stärken. Für die Konzeption des Datenschutzmodells wird eine repräsentative Menge aktueller Datenschutzbestimmungen aus dem deutschen B2C-E-Commerce analysiert. Die prototypische Umsetzung des Monitoring Systems erkennt die besuchten Online-Shops automatisch, wertet die Datenschutzerklärungen dieser gegen die vom Nutzer eingestellten Datenschutzpräferenzen aus und informiert den Nutzer visuell über die Verwendung seiner personenbezogenen Daten. Dadurch kann der Nutzer auf einen Blick erkennen welche Datenschutzeinstellungen nicht zu den persönlich eingestellten Datenschutzpräferenzen passen und selbst entscheiden, ob er bei diesem Online-Shop einkaufen möchte oder nicht. Die erarbeiteten Ergebnisse werden aus wissenschaftlicher und prototypischer Sicht evaluiert, validiert und reflektiert und es werden Ansatzpunkte für weitere Forschungsarbeiten aufgezeigt.:Inhaltsverzeichnis I Abbildungsverzeichnis IV Tabellenverzeichnis VI Abkürzungsverzeichnis VIII 1 Einführung 1 1.1 Ausgangssituation und Handlungsbedarf 1 1.2 Forschungsziel der Arbeit 5 1.3 Forschungsmethodik 6 1.4 Struktur der Dissertation 12 2 Stand der Technik und Grundlagen zum E-Commerce und Datenschutz 15 2.1 Elektronische Geschäftsabwicklung 15 2.1.1 Historische Entwicklung der Geschäftsabwicklung 15 2.1.2 Definition und Formen des E-Commerce 17 2.1.3 Auswirkungen des deutschen E-Commerce auf den Datenschutz 20 2.2 Datenschutz 25 2.2.1 Definition von Datenschutz 25 2.2.2 Bundesdatenschutzgesetz 28 2.2.3 Datenschutzgrundverordnung 30 2.2.4 Internationale Betrachtung von Datenschutz 33 2.2.5 Datenschutz im E-Commerce 35 2.2.6 Analyse des Datenschutz-Bewusstseins 38 2.2.7 Manuelle und automatisierte Datenschutzempfehlungssysteme 43 2.3 Konkretisierung der Forschungslücke 45 2.4 Zusammenfassung 46 3 Konzeption eines Datenschutzmodells 48 3.1 Konzeptionelle Grundlagen der Modellierung 48 3.1.1 Modellbegriff 48 3.1.2 Modellierung 49 3.1.3 Modellierungssprachen 51 3.2 Datenschutzmodell 53 3.2.1 Hintergründe und Methodik 53 3.2.2 Identifikation von Datenquellen 54 3.2.3 Systemanalyse 57 3.2.4 Auswertung der Analyse 67 3.2.5 Konzeption des Datenschutzmodells 74 3.2.6 Technische Abbildung des Datenschutzmodells 82 3.2.7 Änderung des Datenschutzmodells 83 3.3 Zusammenfassung 83 4 Entwurf einer Softwarearchitektur für den Prototyp 85 4.1 Konzeptionelle Grundlagen der Softwarearchitektur 85 4.2 Ziele des zu erstellenden Prototyps 90 4.3 Anforderungen an den zu erstellenden Prototyp 90 4.3.1 Funktionale Anforderungen an den zu erstellenden Prototyp 91 4.3.2 Nicht-funktionale Anforderungen an den zu erstellenden Prototyp 95 4.3.3 Zusammenfassung der Anforderungen im Anforderungskatalog 97 4.4 Kontextabgrenzung des Prototyps 98 4.4.1 Fachlicher Kontext 98 4.4.2 Technischer Kontext 102 4.5 Bausteinsichten des Prototyps 102 4.5.1 Verfeinerungsebene 1 der PPM-App 102 4.5.2 Verfeinerungsebene 2 der PPM-App 104 4.6 Laufzeitsicht des Prototyps 122 4.7 Prototypische Umsetzung 126 4.8 Änderung des Datenschutzmodells im Forschungsprototyp 128 4.9 Zusammenfassung 128 5 Evaluation und Validierung des Datenschutzmodells 130 5.1 Wissenschaftliche Evaluation 130 5.1.1 Grundsätze ordnungsmäßiger Modellierung 131 5.1.2 Qualitätsbewertung des Datenschutzmodells 132 5.1.3 Evaluation und Diffusion von Vorarbeiten und Ergebnissen 135 5.2 Prototypische Validierung 136 5.2.1 Privacy-Server 137 5.2.2 Privacy-Admin-Add-On 140 5.2.3 Privacy-Add-On 143 5.2.4 Adressierung der Anforderungen 152 5.3 Zusammenfassung 152 6 Fazit und Ausblick 154 6.1 Zusammenfassung und Reflexion der Arbeit 154 6.1.1 Zusammenfassung der Arbeit 154 6.1.2 Reflexion der Arbeit 155 6.2 Ausblick auf weiteren Forschungsbedarf 157 Literaturverzeichnis XI Anhang A: Installationsanleitung der PPM-App XXXIII Anhang B: Privacy Paradoxon Model im XML-Format XXXVII Anhang C: Privacy Paradoxon Model im JSON-Format XLV Anhang D: Online-Shop Kategorien im JSON-Format LIII Curriculum Vitae LIV Selbständigkeitserklärung LVII