Pro und Kontra der Datenschutzverordnung (DSGVO)

Computer und Sicherheits-Wissen Artikel 36


Tech-Writer Uwe

Tech-Writer Uwe am 15.06.2018



Gesamt: 575
Dieses Jahr: 575
Diesen Monat: 60
Diese Woche: 27
Heute: 3


Die Datenschutzgrundverordnung ist generell eine gute Sache und wird hoffentlich den übereifrigen Datensammlern und "kostenlosen" APPs das Wasser abgraben. Wie immer bei politisch motivierten Gesetzten sind diese unkonkret, schlecht durchdacht und treffen nur die privaten Webseiten oder kleine Unternehmen. Eine ausschließlich lobby-orientierte Politik richtet sich nach ihren Gönnern und entsprechend ist auch die DSGVO zukünftig ein Bestandteil der Abmahnindustrie.


Copyright und Lizenz: Von "Computerhilfe Seibersbach" erstellte Grafik zum Artikel Datenschutzverordnung (DSGVO).

Jeder Mensch kann mal einen Fehler machen und es wäre nur fair und schön, wenn bei einer falsch umgesetzten oder gefassten Datenschutzerklärung die erste Abmahnung (wie in vielen Ländern üblich) kostenlos wäre. In diesem Fall jedoch würden die Anwälte am Hungertuch leiden und sicher nicht mehr blind und ziellos abmahnen.

Wir können und wollen an dieser Stelle nicht die komplette formelle Anforderung an die Datenschutzgrundverordnung (DSGVO) beschreiben, sondern viel mehr auf die praktische Umsetzung und alternativen für eine zukünftige Abmahnung zeigen.

Kerngedanke der Datenschutzgrundverordnung (DSGVO)

Der Gedanke einer Datenschutzgrundverordnung DSGVO und dem Umgang mit erfassten Daten von Personen ist richtig, wichtig und längst überfällig. Wie immer in der Politik gilt, "Das Kind muss erst in den Brunnen gefallen sein, bevor man es rausholt!" Jeder hat in der Vergangenheit von den Datenschutzverstößen gehört oder ist selbst betroffen gewesen. Alles scheint kostenlos und grenzenlos "geil" und keiner fragt, wie sich dieser gewaltige Apparat eigentlich finanziert und warum mir so viele "nette" Menschen alles kostenlos anbieten?

Kaum einer bietet irgendwann irgendwas kostenlos ohne einen Hintergedanken an – so nette Menschen gibt’s meist nur in Filmen. Der Preis für kostenlose APPs, Dienstleistungen und zahlreichen sozialen Netzwerke ist hoch – sehr hoch!!!

Unternehmen erfassen alles, was wir am PC und Handy machen oder für was wir uns im Supermarkt interessieren. Diese Daten werden überall zusammengetragen und an andere Unternehmen für echtes Geld verkauft. Mittels Tracking-Cookies bleibt auch jegliche Form von Anonymität außen vor.

Warum ist den Schutz personenbezogener Daten wichtig?

Viele Anwender sagen sich, "Na und? Was soll's!" Die Folge ist, dass wir ständig gezielt beworben, bedrängt und mit unerwünschten Anrufen überhäuft werden. Auch dies ist noch für viele ok, "sonst meldet sich ja keiner mit dem man reden kann ;-)".

  • Wie sieht es aber aus, wenn wir uns für diverse Sportgeräte (Mountainbike, Ski, etc.) interessieren und anschließend unsere private Krankenkasse ein erhöhtes Versichertenrisiko sieht?
  • Wie sieht es aus, wenn wir uns extrem für eine Sache oder Produkt begeistern? Wir konnten schon live erleben, dass der Preis für ein Produkt mit unterschiedlichen Browsern, Account und an unterschiedlichen PCs oder Handys auch unterschiedlich hoch ist. Auf dem Gerät mit dem wir entsprechende Informationen gesucht hatten, lag der Preis wie von Geisterhand höher als auf anderen! Und nicht jeder hat Geld zu verschenken.
  • Wie sieht es aus, wenn alle wissen, dass wir eine lange Urlaubsreise planen und andere diese Abwesenheit für einen Hausbesuch nutzen?
  • Wie sieht es aus, wenn Dritte meine Identität, Kennwörter und Konten übernehmen?

Nein – eine vernünftige Datenschutzverordnung DVSGO ist richtig und wichtig und sollte auch zukünftig bei jeder Aktion gelesen und geprüft werden. Dabei sind folgenden Punkte wichtig:

  • Was für Daten werden von mir wann und wo erfasst?
  • Wer verwaltet die Daten?
  • Wie sind die Daten gesichert?
  • Gibt der Anbieter die Daten auch an Dritte weiter?

Für mich ist die Datenschutzverordnung DSGVO auf jeden Fall eine überfällige Sache.

Datenschutz der unterschiedlichen Geschwindigkeiten

Schade, dass insbesondere Seiten von Behörden und staatlicher Seite nicht mit korrekten Datenschutzerklärungen ausgestattet sind. Hier einfach ein Beispiel aus unsere Stadt Stromberg mit Stand 01.06.2018. Zumindest bis zu diesem Zeitpunkt ist die Datenschutzerklärung einfach nur lächerlich und mit Sicherheit nicht Gesetzes-konform. Der Staat wird sicherlich einer der ersten sein, die sich beim Thema DSGVO einen Sonderstatus einräumen.

Gibt es für mich als Anbieter einer privaten Homepage oder einer kleinen Firma eine DSGVO-Vorlage?

Eine generelle standardisierte DSGVO-Vorlage für eine Datenschutzerklärung gibt es so nicht und muss immer individuell den Vorgaben und verwendeten Funktionalitäten der eigenen Webseite angepasst sein. Es ist schon ein Unterschied für die Datenschutzerklärung, ob ein Kontaktformular angeboten wird, die Besucher mit Google Analytics getrackt werden oder ein PlugIn von Facebook verwendet wird. Bei der Verwendung von Kontaktformularen auf der Homepage sollte diese unbedingt eine Verschlüsselung mit einem Zertifikat einsetzen. Dies garantiert einerseits, dass die übertragenen personenbezogenen Daten durch eine Verschlüsselung gegen das einfache Ausspionieren geschützt sind. Zudem bietet die SSL-Verschlüsselung einen Vorteil bei der Suchmaschinenoptimierung SEO und im Google-Ranking. Bei Kontaktformularen ist für die Datenschutzverordnung DSGVO noch wichtig, dass der Anwender bestätigt die Datenschutzerklärung auf der Homepage gelesen und verstanden zu haben.

Zumindest gibt es sogenannte DSGVO-Generatoren, wo spezifische Fragen zur eigenen Webpräsenz gestellt werden und anschließend automatisch eine DSGVO für die eigene Seite kostenlos erstellt wird. Das ganze natürlich ohne Abmahngarantie.

Die Regel einer Homepage sollte sein, nur unbedingt notwendige Daten zu erfassen und zu speichern. Auf eine Weitergabe von personenbezogenen Daten an Dritte durch aktive Elemente, IFrames oder PlugIns sollte möglichst verzichtet werden (auch unbeabsichtigt) oder es muss ausführliche in der Datenschutzerklärung aufgeklärt werden.

Die Datenschutzerklärung auf der Homepage ist nur der erste Schritt

Um konform zur Datenschutzgrundverordnung DSGVO zu sein, ist es nicht ausreichend eine Datenschutzerklärung für die Homepage zu erstellen und hochzuladen. Das was in der DSGVO schön formuliert ist, muss auch real gelebt werden. Das bedeutet für den Webseitenbetreiber und Firmenbesitzer, er muss sich auch wirklich um den Schutz der Daten seiner Besucher und Kunden kümmern. Dazu sind auch organisatorische Dinge in der Verwaltung und Datenverarbeitung notwendig. Diese sind in den folgenden Punkten kurz skizziert:

1. Datenschutzbeauftragten benennen

In Unternehmen mit 10 oder mehr Mitarbeitern, die Zugriff auf personenbezogene Daten besitzen, muss ein Datenschutzbeauftragter benannt werden. Der Datenschutzbeauftragte ist der Ansprechpartner für Kunden und Mitarbeitern in allen Fragen rund um den Datenschutz. Dieser sollte zudem darauf achten, dass in der Firma alle Schritte zum Schutz von personenbezogenen persönlichen Daten getan wird.

2. Verzeichnis der Verarbeitungstätigkeiten anlegen (Art. 30 der DSGVO)

Aus Artikel 30 der Datenschutzgrundverordnung (DSGVO) ergibt sich, dass Firmen, Vereine, Behörden und sonstige Organisationen die personenbezogene Daten verarbeiten, ein Verzeichnis der Verarbeitungstätigkeiten anlegen. Dieses Verzeichnis sollte folgende Fragen beantworten:

  • Welche Informationen erhalten Besucher und Kunden über die Erhebung und Speicherung personenbezogener Daten? (z. B. DSGVO auf der Webseite, in Emails und APPs)
  • Wie werden diese Informationen präsentiert? Werden diese schriftlich auf der Webseite angezeigt oder der Kunden mündlich informiert? Muss bei einem Kontaktformular die Datenschutzerklärung per Checkbox akzeptiert werden?
  • Welche Daten werden erhoben, welchem Zweck dient die Datenerhebung, wie werden diese Daten weiterverarbeitet? Daraus ergibt sich, ob es eine gesetzliche Grundlage für die Datenerhebung gibt (z. B. Vertragsabschluss).
  • Werden Daten anonymisiert oder pseudonymisiert?
  • Wie lange werden die Daten gespeichert?
  • Werden die Daten weitergegeben? Wenn ja, an wen?
  • Wo werden die Daten gespeichert? (EU oder Drittland?)
  • Wie werden die Daten gespeichert? Werden die Daten durch technische Maßnahmen geschützt, z. B. durch Verschlüsselung, Firewall, Zugangsschutz, etc.?

3. Verhaltensregeln und Arbeitsabläufe für Datenschutzanfragen

Es sollten alle mit der Datenverarbeitung verbundenen Schritte dokumentiert werden:

  • Wie werden Webseitenbesucher und Kunden über die Verarbeitung ihrer Daten informiert?
  • Es sollte für Mitarbeiter eine Verhaltensanweisung bei Kundenanfragen erstellt werden, damit diese genau wissen welche Daten der Kunden gespeichert sind.
  • Wie ist der Arbeitsablauf, wenn ein Kunde seine Daten gelöscht haben will? Wer ist für die Durchführung verantwortlich?
  • Wie ist der Arbeitsablauf, wenn es zu einem Datenleck kommt und personenbezogene Daten in die Hände von Dritten geraten? Achtung: Wenn Daten abhandenkommen (z. B. Hackerangriff), müssen Unternehmen binnen 72 Stunden die zuständige Landesdatenschutzbehörde informieren.
  • Wann werden die Daten gelöscht? Wie ist dieser Arbeitsablauf nach Abschluss der Begründung für die Speicherung der Daten geregelt?
  • Wie werden Mitarbeiter geschult, um diese Arbeitsabläufe durchführen zu können?

Datenschutzverordnung (DSGVO) im Alltag

1. Verschlüsselte Datenübertragung auf Webseiten (SSL und https:)

Werden beispielsweise Besucher- oder Kundenspezifische Daten über ein Kontaktformular auf der Homepage erfasst und übermittelt, muss eine verschlüsselte Übertragung sichergestellt sein. Die vom Anwender eingegebenen Daten dürfen nicht auf dem Weg abgegriffen werden. Bei Webseiten kommt hier die inzwischen sehr weit verbreitete SSL-Übertragung (https) zum Einsatz. Sollte ihre Seite noch keine SSL-Übertragung anbieten, so müssen sie spätestens jetzt diese Möglichkeit schaffen. In der Regel kann einem der Webseitenprovider in diesen Fragen weiterhelfen. Meist reicht schon eine Vertragsumstellung und dem Einbau eines SSL-Zertifikates für die eigene Webseite, um hier Gesetz-konform zu arbeiten. Wer nicht gerne tiefer für die Zertifikate in die Tasche greifen möchte, kann auch auf einen kostenlosen Zertifikatsaussteller zurückgreifen, wie beispielsweise Let's Encrypt bei ZeroSSL.

2. Email - Kommunikation

Echte Ende-zu-Ende-Verschlüsselung

Wie zukünftig eine "echte" Emailkommunikation mit persönlichen Daten (z. B. zwischen Kunde und Firma) laufen soll, ist ein Rätsel. Die DSGVO-Verordnung sagt, dass persönliche Daten (z. B. Kundenanschrift) nicht unverschlüsselt übertragen werden dürfen. Aus diesem Grund hab ich mich heute in Bezug auf Emailverschlüsselung erkundigt und viele diverse Lösungen gefunden. Einige Emailprovider bieten angeblich eine sehr einfache PGP-Verschlüsselung an, die schon nach wenigen Minuten eingerichtet ist und dem Anwender das Senden von verschlüsselten Emails ermöglicht. Die Einrichtung bei einem großen bekannten Emailanbieter war in der Tat einfach und anschließend musste ich dem Empfänger eine Einladung schicken. Dieser ist bei einem anderen Emailanbieter und konnte mit der Einladung nichts weiter anfangen. Wir haben zu zweit über 1h versucht eine verschlüsselte Email von A nach B zu schicken – es hat nicht geklappt. Da fehlte hier eine DLL und da war kein Senden möglich u.v.m. Irgendwann konnte mir der Freund eine PGP-Email schicken, mit der ich jetzt wiederum nix anfangen konnte. Diese Technik ist und bleibt zu kompliziert und setzt immer voraus, dass Emailsender und Empfänger das gleiche System verwenden.

Wir fragen uns ernsthaft, ob wir das einem Kunden zumuten können. Wie sollen wir dem Kunden beispielsweise ein Angebot verschlüsselt senden? Hallo Kunde, nimm dir einen Tag Zeit und richte mit einem Fachmann bei dir die Emailverschlüsselung ein und dann kannst du mit viel Glück unser Angebot auch lesen.

Pseudo-Ende-zu-Keine-Ahnung-Verschlüsselung

Es bleibt die Frage, ob die normale StartTLS oder SSL / TLS – verschlüsselte Kommunikation bei Emailanbieter nach der Datenschutzverordnung (DSGVO) ausreichend ist. Wir werden uns zunächst darauf verlassen müssen. Ob eine StartTLS oder SSL / TLS – verschlüsselte Übertragung bei dem eigenen Emailprogramm eingestellt ist, sollte jeder unbedingt prüfen. Ist dies nicht der Fall, sollte diese Einstellung nachgeholt werden. Dies stellt aber nicht sicher, dass auch mein Gegenüber eine StartTLS oder SSL / TLS – verschlüsselte Verbindung nutzt – wenn nicht, dann werden spätestens hier die Daten in Klartext übertragen. Jedem muss aber klar sein, dass die Daten beim Email-Provider entschlüsselt werden, um von dort möglichst verschlüsselt zum Email-Provider des Empfängers zu senden.

Das ist der Stand Ende 05.2018 mit Einführung der DSGVO. Wir hoffen, dass es irgendwann eine vernünftige, schnelle und einfache Alternative zur verschlüsselten Email -Kommunikation gibt.

3. Schutz der gespeicherten Daten

Die vom Webseitenbesucher oder Kunden übermittelten Daten müssen in Folge auch sicher vor den Zugriff Dritter gespeichert werden. Dazu gehört:

  • Zugangsschutz der Datenverarbeitungsanlage (PC) gegen unberechtigten Zugriff durch abgeschlossene Serverräume.
  • Zugangsschutz des PCs mit ausreichend sicherem Passwort oder alternativ der Software abylon LOGON.
  • Firewall und NTFS-Berechtigungen.
  • Datensicherung (Backup).

Seit Windows 8 ist eine sichere Vollverschlüsselung der Daten nicht mehr möglich. Windows 8 und 10 sind ein "offenes" Betriebssystem, das alles mit anderen ohne mein Zutun teilt. Meiner Meinung nach sind weder Windows 8 noch Windows 10 Datenschutzkonform. Es gibt keine reale Absicherung des PCs (lässt sich in wenigen Minuten knacken), Bitlocker-Passwörter liegen unverschlüsselt in der Cloud oder die Verschlüsselung kann mit einem Windows-Update-Trick einfach umgangen werden. Zurzeit kann ich jeden nur dazu raten, auf Windows 7 umzustellen, um zumindest eine sichere Verschlüsselung der Daten zu etablieren, z. B. mit einer Festplattenverschlüsselung Diskcryptor.

Die Kehrseite der Datenschutzverordnung (DSGVO)

Futter für die Abmahnindustrie

Grundsätzlich ist oder sollte die Datenschutzverordnung (DSGVO) keine Sache für die Abmahnindustrie sein. Allerdings hat irgendwann mal ein Richter in Hamburg geurteilt, dass Anwälte auch leben müssen und deshalb auch die Datenschutzverordnung (DSGVO) ein Thema für Abmahnanwälte ist. Bei Verstößen sollte ursprünglich der Staat ein Bußgeld in Höhe von 4% des Jahresumsatzes oder maximal 2 Millionen Euro verhängen. Der Staat hat aber für diese Aufgabe kein Personal und was die Bedürfnisse von Bürgern angeht ist der Staat schon lange auf einen anderen Kurs. Mit hoher Wahrscheinlichkeit ist damit zu rechnen, dass Anwälte auch im Rahmen der DSGVO gegen Wettbewerbsvorteile abmahnen können. Während ich diesen Artikel schreibe, lese ich parallel, dass mit dem Tag der Einführung der DSGVO auch schon die ersten Abmahnungen bei Unternehmen eintrudelten.

Was tun bei einer Abmahnung

In der Regel erhält der Abgemahnte (Schuldner) eine Unterlassungserklärung mit der üblichen Anwaltsrechnung. Für die Bestätigung der Unterlassungserklärung hat der Schuldner meist nur ein paar Tage Zeit. Interessant in diesem Zusammenhang ist jedoch, dass es auch Mehrfachabmahnungen gibt. Jeder kann jeden im gleichen Branchensegment wegen Wettbewerbsvorteile abmahnen (die Info ohne Gewähr) und muss dabei nicht mal ein Anwalt sein.

Das Thema ist komplex und auch rechtlich nicht ganz auf sicheren Füßen und ich bin auch kein Rechtsberater oder Fachmann. Soweit sich mir als Privatperson diese Situation darstellt, könnte folgendes ein Ausweg sein:

Ich erhalte wegen irgendeiner Sache eine Abmahnung und soll die Unterlassungserklärung unterschreiben und natürlich den Anwalt bezahlen. Dazu habe ich meist nur wenige Tage Zeit. In dieser Zeit kann aber "durch Zufall" noch eine weitere Abmahnung für den gleichen Tatbestand eingehen. Soweit ich die Rechtsinformationen und Urteile verstanden habe, muss zumindest im Fall des Schuldeingeständnisses und der Unterlassungserklärung der zweite Abmahnbrief nicht bezahlt werden, weil ich bereits für den Fall abgemahnt wurde. Mit anderen Worten: "Der letzte geht leer aus!". Ist oder wäre es nicht ein Zufall, wenn ich zufällig von einer befreundeten Firma aus der gleichen Branche kurz vor der "2. Abmahnung" bereits abgemahnt wurde? Dann werde ich den Freund böse anschauen und ihm seine hoffentlich günstigen Abmahnkosten erstatten und die Unterlassungserklärung abgeben. Das Ganze ist also nur eine Frage des zeitlichen Ablaufs – mit anderen Worten - "Zeit ist relativ!". Der Leser kann sich hier seine Gedanken machen.

Den Staat selber mit seinen Gesetzen konfrontieren

Insbesondere private und kleine Unternehmen werden mit Bußgeldern und Abmahnkosten bestraft, weil sie sich keine eigene Rechtsabteilung oder Fachanwälte leisten können. Wer ist Privatmann oder Handwerker schon so Fit in Rechtsfragen, dass er die vom Staat gemachten Gesetze alle fehlerfrei umsetzt? Wäre der Staat anständig und würde für seine Bürger dar sein, so sollte er kostenlose Ansprechpartner, Tipps, Vorlagen und verständliche Informationen in den entsprechenden Behörden anbieten. Bisher habe ich diesbezüglich nichts gefunden. Der Staat erlässt schwammige Gesetze, die nicht mal ein Rechtsanwalt oder Richter klar und eindeutig auslegen kann.

Zumindest gibt die DSGVO nun dem normalen Bürger die Möglichkeit, alle staatlich gespeicherten Daten anzufragen und auch prüfen und löschen zu lassen.

  • Sind vielleicht bei der Polizei noch kleine Delikte (z. B. BTM) gespeichert? Das kann oft ein Grund für intensive Verkehrskontrollen sein. Deshalb sollte man hier ruhig mal nachfragen, welche Daten gespeichert sind und ob diese verjährt und gelöscht werden können.
  • Welche Daten hat das Einwohnermeldeamt gespeichert und welche gibt es wann an wen weiter? Wie sieht es mit der Datenweitergabe an beispielsweise der GEZ aus?
  • Welche Daten liegen beim BKA über mich vor? Bin ich schon mal unwissend als Verdächtiger erfasst worden? Wurde ich bei einer Demonstration erfasst oder war ich zum falschen Zeitpunkt am falschen Ort?
  • Wie sieht es mit meiner Sünderdatei als Autofahrer in Flensburg aus?

Es gibt sicher noch viele weitere interessante Dinge, die über mich auf staatlicher Seite gespeichert sind. Der Staat fordert nun alle auf, diese Daten auf Verlangen vorzulegen und auch zu löschen. Der Bürger sollte auch den Staat über willkürliche Datensammelei auf die Finger schauen und ihn in die Verantwortung ziehen.

Fazit:

Die längst überfällige DSGVO bringt hoffentlich auf Dauer mehr Schutz für die Bürger gegen den boomenden Datenhandel. Zumindest bringt es neue Jobs bei den Rechtsanwälten, die die Gunst der Stunde ergreifen und mit staatlichem Wohlwollen auf Jagt gehen. Die meisten kleinen und privaten Webseitenanbieter sind zum Abschuss und Totalruin freigegeben.

Die Anzahl und Anbieter von "kostenlosen" APPs wird sicher rückläufig sein, wenn die gesetzliche Grundlage für die Weitergabe der Daten der Nutzer nicht mehr gegeben ist. Dies wird auf Dauer hoffentlich dafür sorgen, dass die kostenlosen Datenkraken an die Leine genommen werden und vom Markt verschwinden. Ich gebe lieber mal einen gewissen Betrag für Software aus, bevor ich zum Kostenlos-Opfer degradiert werde.

Impessum des Autor Kontakt zum Autor