Wir nehmen Datenschutz sehr ernst…echt jetzt! (Kommentar)

Haben Sie schon einmal eine Datenschutzanfrage an eine x-beliebige Firma gestellt – entweder weil Sie selbst von einer Datenweitergabe betroffen waren oder weil Sie Interesse an der Verarbeitung Ihrer personenbezogenen Daten hatten? Haben Sie vielleicht eindeutige Lücken in der Software oder ähnliches gefunden, die Sie ansprechen wollten? Egal, was es ist, in den meisten Fällen erhalten Sie eine E-Mail mit folgendem Satz: “Wir nehmen Datenschutz sehr ernst!“. Darauf folgen, meist ohne auf Ihr konkretes Problem einzugehen, Ausführungen dazu, wie hoch und sicher die Datenschutz-Standards sind – ohne zu erwähnen, wie Ihre Daten gesichert werden oder welche datenschutzfreundliche Software verwendet wird. Kurzum, Sie sind vielleicht vom Fach und wissen wovon Sie reden, doch Ihr Problem wird nicht ernst genommen. Am Ende fühlen Sie sich nur noch: Veräppelt!

Doch wo genau beginnt das Problem, dass offensichtliche Lücken nicht als Lücken erkannt werden? Eine mögliche Erklärung könnte sein, dass viele Datenschützer Ihre Datenschutzschulung gemacht haben und Sie auch theoretisch – also auf dem Papier – Datenschutz umsetzen können. In der Praxis allerdings haben nur wenige Ahnung von datenschutzfreundlicher IT. Windows und Apple-Geräte werden rege genutzt. Die Tatsache, dass Daten sicher sein sollen, stützen Sie hingegen alleine auf rechtlich korrekt geschlossenen Vertragsdokumente. Daher nutzen z.B. viele Unternehmen schlichtweg Google, weil ein Auftragverarbeitungsvertrag schriftlich existiert und weil das Unternehmen bekannt ist – was von den zahlreichen Datenschutzvergehen im Bezug auf personenbezogene Daten nicht wegtäuscht.

Datenschützer sind (meist) keine IT-ler und IT-ler sind (meist) keine Datenschützer. Ist das überhaupt sinnvoll?

Wodurch könnten diese Probleme entstehen? Einerseits werden seit Inkrafttreten der DSGVO im Jahr 2018 viele Datenschutzbeauftragte gesucht und teilweise werden normale Mitarbeiter ohne Bezug zum Thema einfach von Ihrem Unternehmen intern beauftragt das Thema zu “übernehmen”, da es als lästige Pflicht empfunden wird. Das heißt, dass diese Menschen dann zu den Weiterbildungen geschickt werden, jedoch das Thema nicht leben und es einfach als ihren “Job” ansehen. Hierbei handelt es sich meist weder um Juristen noch Informatiker.

Am Tag wird von WhatsApp und Co. abgeraten, jedoch sobald man nach Hause kommt wird Alexa nach dem Wetter für morgen gefragt und was die aktuellen Termine im Kalender sind. Wir überspitzen an dieser Stelle. Aber Sie verstehen?

Es gibt viele Berufe, in denen ein einheitliches Auftreten wichtig ist: Sind Sie Zahnarzt wirken Sie kompetenter, wenn Sie schöne oder zumindest weiße Zähne haben. Sind Sie Ernährungsberater wäre es gut, wenn Sie sich selbst nicht regelmäßig beim Arzt wegen Adipositas behandeln müssten und sind Sie nun mal Datenschützer, sollten Sie auch hier ein entsprechendes Auftreten an den Tag legen.

Doch das ist nur eine Seite des Problems: Viele Informatiker beziehen heute ihr Wissen leider ausschließlich aus den Main-Stream-Medien und haben teilweise auch keine fundierte Ausbildung mehr. Durch den Fachkräftemangel kann heute nahezu jeder Programmierer etc. werden, wenn er sich etwas anstrengt. Die Möglichkeiten sind zahlreich, Youtube-Videos, udemy oder ein Kurs über eine x-beliebige Fernweiterbildung.

Leider nimmt auch die Qualität der Ausbildung immer weiter ab, Softwareentwickler bauen einfach Drittresourcen in ihren Code ein und hinterfragen nicht mehr was damit passiert. IT-ler arbeiten vielleicht schon seit Jahrzehnten mit Windows ohne sich Gedanken darüber zu machen, wohin die Daten wandern, welche Auswirkungen eine Speicherung im Ausland haben kann (auch rechtlich) und denken schlicht nicht daran neue Software den Datenschutzbeauftragten zu melden, um diese entsprechend zu prüfen. Selbst wenn diese geprüft wird, wird meist nur geprüft, ob der Vertragspartner irgendwo in seiner Erklärung erwähnt hat, dass er sich dem Datenschutz/Privacy Shield etc. verpflichtet ohne zu überprüfen oder kritisch zu hinterfragen, ob dem auch so ist.

Das Problem: Diese Entwickler/Administratoren beraten später oder lernen Datenschutz von einem Beauftragten, der die ganze Thematik ausschließlich juristsich betrachtet und kein entsprechendes technisches Know-How besitzt.

Haben Sie einmal in einer Suchmaschine nach Datenschutzblogs gesucht und dann mit ublock oder umatrix geprüft, welche Tracker dort aktiv sind? Selbiges gilt, wenn Sie sich als Datenschutzbeauftragter ausbilden lassen wollen: Schauen Sie sich genau an, welche Tracker auf diesen Websiten aktiv sind. Hier wurden die Grundlagen von “wirklichen” Datenschutz weder verstanden noch umgesetzt.

Hinweis: Sie können es überprüfen. Wir haben hier keine Tracker! 😉

Einsicht? Fehlsicht!

Das ganze führt natürlich auch dazu, dass viele die Technik, die sie bewerten sollen nicht verstehen.
“Gute” Beispiele hierfür sind die jüngsten Skandale aus der Gesundheitsbranche. Der Blutspendedienst BRK hat dieses Jahr Daten der Blutspender an Facebook übermittelt. Darauf folgte eine Prüfung durch das BayLDA und noch während der Prüfung ein Statement durch die Presse bzw. Marketingstelle, die sich hauptberuflich nicht mit Technik, sondern der PR-Arbeit des BRK beschäftigt. Dementsprechend hat man den Fehler nicht zuzugeben und Besserung gelobt, sondern abgestritten und sich für die entstandene “Verunsicherung” entschuldigt.

“Facebook ist gemäß Nutzungsvereinbarung nicht beauftragt, die übertragenen Parameter mit weiteren Daten anzureichern, um Rückschlüsse auf die konkrete Fragestellung zu ziehen. Zudem hat Facebook bestätigt, dass Daten, die über den Facebook-Pixel übertragen werden, nicht zur Erstellung von Interessensprofilen verwendet werden.”

Quelle: Blutspendedienst BRK

Es geht darum, dass Gesundheitsdaten hoch sensible Daten sind, welche unter keinen Umständen bei Werbeunternehmen landen sollten, die auch mit Verträgen schon häufig gegen den Datenschutz verstoßen haben. Da die Verstöße von Facebook so umfangreichend sind: https://dayssincelastfacebookscandal.com/

“Es besteht das theoretische Risiko, dass Facebook die Daten widerrechtlich durch andere Daten ergänzt und auswertet. Wenngleich es sich hierbei um ein rein theoretisches Risiko handelt, begrüßen wir den durch die aktuelle Rechtsprechung verstärkten Schutz sensibler Daten im Sinne einer Stärkung der Betroffenenrechte, indem auch ein derart theoretisches Risiko berücksichtigt und entsprechend beseitigt wird.

Quelle: BRK

Unserer Ansicht nach ist es kein “rein theoretisches Risiko”, wenn man nachvollziehen kannn, dass Cookies gesetzt waren und Daten an eine der größten Datenkraken dieser Welt übermittelt bzw. geteilt wurden. Ein Werbenetzwerk wie Facebook führt “rein theoretisch” Daten zusammen. Wer weiß das schon…

Ähnlich reflektiertes Beispiel bei Ada Health, dessen Skandal durch den IT-Sicherheitsforscher Mike Kuketz aufgedeckt wurde. Die Trackingmechanismen wurden dann in einer neuen App-Version einfach ausgebaut und unscheinbar woanders hinzugefügt.

Bei uns sind Ihre Daten sicher

Wenn Sie die Sätze “Wir nehmen Datenschutz sehr ernst“, “Bei uns sind Ihre Daten sicher” oder ähnliche Phrasen lesen sollten bestenfalls die Alarmglocken an gehen. Kein System ist sicher, keiner kann Ihnen hundertprozentigen Datenschutz garantieren – auch wir nicht. Wir können jedoch sagen, dass wir uns sehr intensiv mit diesen Themen auseinandersetzen und unser bestes geben für Datenschutz!


Hat Ihnen dieser Beitrag gefallen? Dann hinterlassen Sie ein Kommentar und unterstützen Sie uns bei unserem Einsatz für Datenschutz und Freiheit.

Beitragsbild: Pixabay

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.