DSGVO – ja, aber? Ja!

Einige meiner Bekannte betreuen Webseiten von Kunden. Alle berichten von Nervosität bis Panik im Zusammenhang mit der DSGVO. Vor allem kleine Unternehmen schienen mit den Ansprüchen der DSGVO überfordert. Hinzu kamen aber auch externe Berater, deren Motivation für etliche aufwands- und kostenträchtige Ratschläge man wirklich hinterfragen muss. Wie die letzten Artikel in diesem Blog zeigen, bin ich auch selbst als Freelancer von Konsequenzen der DSGVO betroffen. U.a. durch Pauschalverträge, die die DSGVO zum Anlass nehmen, Datenschutz- und Datensicherheitsrisiken auf Externe zu verlagern.

Die DSGVO ist aus solchen Gründen gerade bei Klein- und Kleinst-Unternehmen negativ belastet, weil man insgesamt erhebliche Anstrengungen und Ressourcen in die Umsetzung mancher kleinkariert wirkender und auch strafbewehrter Regeln investieren muss. Es gibt im Lande eine negative Stimmung gegenüber der DSGVO. Auch wir selbst haben geflucht und fluchen. Vergessen wird dabei, dass die DSGVO nur Regeln explizit mit Sanktionen belegt, die bereits vorher galten.

Interessant war in diesem Zusammenhang ein Streitgespräch zwischen einem der Väter der EU GDPR, nämlich Jan Philipp Albrecht, und Sascha Lobo im Podcast des letzteren; s. https://soundcloud.com/user-728223693/albrecht-lobo-und-das-dsgvo. Lobo hebt im Gespräch auf die übertriebene Regulierungssucht der Deutschen ab, die seiner Meinung nach noch Abmahnungen zeitigen würden, und markierte die erheblichen technischen Anstrengungen, die u.a. Blogger, Freelancer etc. belasten oder überfordern würden. Ein interessanter Punkt in der Debatte kam, als Albrecht schließlich auf den eigentlichen Kern der Sache einschwenkte. Ich gebe das verkürzt wie folgt wieder:

Auch Kleinstunternehmer und Privatpersonen müssten sich endlich mal Gedanken dazu machen, an welcher Stelle sie durch welche Tools der unkontrollierten Sammlung und Verwertung von Informationen, die beim Besuch Dritter auf den selbst betriebenen Webseiten/Blogs anfallen, durch Google, Facebook und Co. Vorschub leisten.

Zumindest beim bequemen Betrieb einer eigenen Site unter dem Dach von Facebook muss man diese Feststellung nicht weiter erläutern. Es scheint bereits aufgrund der Gescchäftsausrichtung von Facebook klar, dass der Traffic auf solchen Seiten überwacht wird und direkt dem Profiling sowohl der Site-Betreiber als auch der Besucher der Site durch Facebook dient. Facebook selbst macht daraus in seinen Nutzungsbedingungen ja auch keinen Hehl. Das ganze System Facebook lebt offenkundig vom Profiling seiner Nutzer und der Verknüpfung aller erreichbaren Daten zum Nutzerumfeld. Weniger offenkundig ist das u.U. bei Google Analytics. Hier tritt man ja selbst als Profiteur der Sammlung von Daten zu Nutzern und deren Verhalten auf eigenen Web-Präsenzen auf. Dass man damit gleichzeitig aber auch dem Datensammeln von Google selbst Vorschub leistet, verdrängt man dabei gerne.

Aber es gibt noch andere undurchsichtige Bereiche des heutigen Betriebs von Web-Sites: Überprüft man etwa nicht, wie WordPress-Plugins tatsächlich operieren, so unterstützt der eine oder andere Blogger unbeabsichtigt das Datensammeln durch Plugins, die z.T. unter dem Deckmantel von Sicherheit Daten über Besucher und Kommentatoren irgendwohin ins Ausland befördern.

Was habe ich im Zuge der DSGVO selbst gelernt?

Ich habe mich beim Fluchen über so manche Konsequenz der DSGVO selbst gefragt, wo ich dabei eigentlich stehe. Welche der im Lobo-Albrecht-Dialog ausgetauschten Argumente haben für mich ein großes Gewicht? Mir sind dabei mehrere Dinge aufgefallen:

  1. Ich habe angefangen, mich intensiver mit meiner eigenen “Schlamperei” bei der Erstellung von Web-Code auseinander zu setzen. So nutzt mein eigenes Framework Cookies in fragwürdiger, nämlich letztlich unnötiger Weise für einfache
    CMS-basierte Webseiten. Ich hatte bei der Entwicklung die notwendige Nutzung von Cookies für den webbasierten Pflegeprozess und zugehörige Pflegeseiten “der Einfachheit halber” gleich mal pauschal auf die Seitengeneratoren ausgedehnt, ohne die Notwendigkeit an dieser Stelle genauer zu hinterfragen.
  2. Ich habe zum ersten Mal richtig darüber nachgedacht, was eigentlich der Einsatz von Google Analytics bedeutet, wie die zugehörigen Verwertungsklauseln aussehen und welche Verantwortung ich in diesem Prozess für Besucher z.B. dieses Blogs habe. Ja, Google Analytics bietet viel – aber haben wir als Blogger und Webseiten-Betreiber eigentlich das Recht, das Sammeln von Daten durch Google zum Verhalten Dritter (!) ohne Vorwarnung zu veranlassen? Klare Antwort: Nein, das haben wir nicht.
  3. Ich habe mich intensiv mit den Nutzungsbestimmungen von Facebook und Google auseinandergesetzt – und habe leider meine schlimmsten Befürchtungen noch übertroffen gefunden.
  4. Ich habe mal nachgesehen, ob und wie Web-Hosting-Provider (wie etwa 1&1 oder Strato) konkret Log-Daten für gehostete Web-Sites bereitstellen und mich gefragt, in wie weit eine intelligente Auswertung in Kombination mit einer eigenen für den Nutzer verborgenen Datenerhebung über Cookies einen Ansatz von Mini-Profiling zu bestimmten Besuchern ermöglichen würde.
  5. Ich habe mir aufgrund der Strafbewehrung ernsthaft Gedanken darüber gemacht, welches Sicherheitsniveau ich eigentlich im Datenaustausch mit befreundeten Unternehmen leisten und bereitstellen kann. Meine Antworten darauf sind noch unbefriedigend; aber das ist ein aus meiner Sicht wichtiger Prozess, der letztlich den bewussteren und besseren Umgang mit Datensicherheit und Datenschutz auf beiden Seiten fördern wird.

Interessant ist, dass man sich bei einer genaueren Analyse der Anforderungen der DSGVO dem Kern der Frage nähert, wie man heute eigentlich Daten, die einem anvertraut werden, gegenüber dem Zugriff Unbefugter schützen kann. Leute, genau das ist der Kern der DSGVO: Verantwortung für den Schutz von bewusst oder unbewusst anvertrauten Daten Dritter.

Als sicherheitsbewußter Linuxer kommt man dabei schnell auf Grundsätzliches: Was geschieht, wenn ein Einbruch in die eigenen Räumlichkeiten erfolgt? Wie sicher sind dann die dir anvertrauten Daten dann noch? Müsste man hier nicht gerade auf externe Provider mit geschützten Rechenzentren zur Datenhaltung ausweichen?

Oder du wirst gehackt – wie sieht es dann aus? Oder: Dein Laptop mit einer SSD wird geklaut – wie sicher sind Daten, die dort in Krypto-Containern aufbewahrst? Oder: Kann man eigentlich die Nutzung von Betriebssystemen im Kontext geheinzuhaltender Daten verantworten, wenn doch der OS-Hersteller selbst in seinen Nutzungsbedingungen unverblümt ankündigt, mit dem System erfasste Daten auf allen elektronischen Nutzungsebenen aus der EU hinaus auf eigene Server zu befördern? Und hat man sich mal mit Penetration-Testing befasst, stellt sich die Frage, ob nicht Browser und Mail-Clients Haupeinfallstore für Schad-SW sind. Wie geht man mit dieser Erkenntnis eigentlich auf Systemen um, auf denen geheimzuhaltene Daten verarbeitet werden?

Und schon verschiebt sich die Perspektive dahin, wo sie im Zeitalter totaler Vernetzung auch hingehört: Wie bewahrt man eine elektronische Schutzsphäre, wenn Eindringlinge an jeder Ecke auf einen Fehler lauern oder du mit der Nutzung von Internet-Diensten den anbietenden Unternehmen direkte Zugangskanäle zu eigenen Daten und Daten Dritter eröffnest?

Leute, wir alle umgeben uns selbst laufend aus Bequemlichkeit freiwillig mit Systemen, die nicht zuletzt dazu dienen, Unternehmen mit Daten von uns, über uns und über unsere Kontaktpersonen zu versorgen. Diese Datenversorgung dient primär kommerziellen Interessen; aber das angehäufte Wissen über uns alle hat auch das Potential zur
Manipulation ganzer Bevölkerungsgruppen, wie wir im Zusammenhang mit Cambridge Analytics lernen durften.

Die Erstellung von Personenprofilen ist heute eine und in vielen Fällen gar die wichtigste Grundlage des Geschäfts von globalen IT-Konzernen. Man muss überhaupt nicht paranoid sein, um festzustellen, dass wir heute kontinuierliche Datenlieferanten sind – ohne einen Funken Kontrolle darüber zu haben, was genau mit den von uns bereitsgestellten Daten geschieht. Sprich: Durch die Nutzung von Android und zugehöriger Dienste etwa liefern wir laufend Daten – aber wir haben über die Verarbeitung keine Kontrolle. Gehen wir auf eine Website liefern wir eine ganze Menge Daten über uns ab – nicht nur unsere IP-Adresse. Sind verschlüsselte Cookies und Javascript im Spiel wissen wir nicht mehr, was über unsere Interaktion mit den Elementen einer Website erfasst und später verarbeitet wird. Speziell über Cookies werden wir jedenfalls potentiell als elektronische Identität identifizierbar. Diejenigen, de argumentieren, dass ein Serviceprovider im Internet nur genau die Daten verarbeiten kann, die wir ihm sowieso schon liefern, übersieht, dass u.a. erst über Cookies ein zusammenhängendes Bild entsteht – auch wenn wir uns nicht in Services einloggen.

IPs kann man mit Tor und VPN-Diensten ggf. verschleiern. Cookies muss man löschen oder automatisch löschen lassen. Für uns selbst können wir solche Entscheidungen treffen und entsprechende Einstellungen vornehmen – wenn wir denn überblicken, was abläuft. Aber wir tragen auch Verantwortung für die, die unsere Seiten besuchen und dabei z.B. in die Fänge von Google Analytics geraten.

Die DSGVO hat – trotz alle Schwächen ihrer Artikel, aus meiner Sicht nicht das Verbot des Umgangs mit personenbezogenen Daten zum Ziel, sondern das Aufstellen von “Warnschildern”, die Nutzer von Websites zumindest darauf hinweisen, wo sie Gefahr laufen, die Kontrolle über die von ihnen automatisch abgelieferten elektronischen Daten zu verlieren.

Der Kern der DSVO ist – bei aller Unvollkommenheit – dass wir uns darüber bewusst werden, dass wir im Umgang mit Diensten und eigenen Webpräsenzen dabei ggf. auch die Daten unserer Besucher weiterschleusen. Es ist ja in diesen Tagen viel von verabscheuenswürdigen Menschenschleusern zu hören. Wir sollten die DSGVO als Mittel begreifen, uns selbst zu fragen, wo und an welchen Stellen wir Daten zu Personen anhäufen und wie wir dazu beitragen, dass wir selbst zu fragwürdigen Datenschleusern im Interesse von Konzernen werden.

Insofern stehe ich auf der Seite von Jan Phillip Albrecht – und appelliere gleichzeitig für eine Verbesserung von Umsetzungsverordnungen für KMU. Insbesondere Blogger und Freelancer müssen gegenüber pauschalen Ansprüchen und einseitigen Anforderungen zur Risikominimierung und Risikoübernahme besser geschützt werden. Im Spiel Groß gegen Klein muss klar werden, dass die Großen ihren Teil zur Definition und Absicherung von Schutzniveaus für die Verarbeitung von personenbezogenen Daten nicht im Rahmen von Auftragsweiterverarbeitungs-Verträgen auf die Schultern der Kleinen abschieben dürfen. Zu den Großen rechne ich dabei übrigens auch den Staat.