{"id":265805,"date":"2022-05-28T12:21:22","date_gmt":"2022-05-28T10:21:22","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=265805"},"modified":"2023-04-11T07:10:29","modified_gmt":"2023-04-11T05:10:29","slug":"vier-jahre-dsgvo-baustelle-statt-groer-wurf","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/05\/28\/vier-jahre-dsgvo-baustelle-statt-groer-wurf\/","title":{"rendered":"Vier Jahre DSGVO: Baustelle statt großer Wurf"},"content":{"rendered":"

\"SicherheitDie Datenschutz-Grundverordnung<\/a> (DSGVO oder GDPR) bildet seit dem 25. Mai 2018 den gemeinsamen Datenschutzrahmen in der Europ\u00e4ischen Union. Sie ist dar\u00fcber hinaus seit dem 20. Juli 2018 auch in den Nicht-EU-Staaten des Europ\u00e4ischen Wirtschaftsraumes (EWR) Island, Liechtenstein und Norwegen geltendes Recht. Die Verordnung (EU) 2016\/679 des Europ\u00e4ischen Parlaments und des Rates wurde aber bereits am 27. April 2016 erlassen und soll zum Schutz nat\u00fcrlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr, dienen. Nach vier Jahren DSGVO f\u00e4llt die Bilanz allerdings gemischt aus.<\/p>\n

<\/p>\n

\"\"Dass die DSGVO ein Schritt in die richtige Richtung war, um pers\u00f6nliche Daten der EU-B\u00fcrger zu sch\u00fctzen, steht au\u00dfer Frage. Probleme bereiten die unterschiedliche Umsetzung innerhalb der EU-Mitgliedsstaaten sowie die Behandlung des Datentransfers in L\u00e4nder au\u00dferhalb der EU. So wurden Datenschutzabkommen, die von der EU mit den USA geschlossen wurden, bisher regelm\u00e4\u00dfig durch den europ\u00e4ischen Gerichtshof gekommt.<\/p>\n

eco fordert einheitliche Anwendung<\/h2>\n

Der eco Verband (Verband der Internetwirtschaft in Europa) erinnert, dass die Datenschutzgrundverordnung (DSGVO) zwar seit vier Jahren in Europa gelte. Doch noch immer herrschten Unsicherheiten bei dessen Interpretation und Umsetzung, moniert der Verband. Die eco \u2013 Verband der Internetwirtschaft e.V. fordert daher eine einheitliche Anwendung der DSGVO, die nicht nur Rechtsklarheit sowie n\u00f6tige Spielr\u00e4ume f\u00fcr Entwicklung und Innovation schafft, sondern auch die Handhabung f\u00fcr Internetnutzer erleichtert. eco Gesch\u00e4ftsf\u00fchrer Alexander Rabe sagte dazu:<\/p>\n

Die DSGVO sollte vor vier Jahren den Impuls setzen, die europ\u00e4ischen Bestimmungen zu vereinheitlichen. International wird die DSGVO auch exakt so wahrgenommen und das ist positiv. Nat\u00fcrlich bauen ein funktionierender Datenschutz und DSGVO-konformes Handeln im besten Fall weiteres Vertrauen in digitale Dienste und Anwendungen auf. Damit bildet die DSGVO grunds\u00e4tzlich den richtigen Ansatz f\u00fcr die Vollendung eines digitalen Binnenmarktes in Europa, der nicht durch widerspr\u00fcchliche Kleinteiligkeit und \u00fcberbordende B\u00fcrokratie erstickt werden darf.<\/p>\n

Stand jetzt variiert dessen Interpretation nicht nur bei einer Vielzahl der EU-Mitgliedsstaaten \u2013 selbst innerhalb Deutschlands bestehen Zweifel \u00fcber die Einheitlichkeit der Sichtweisen der Landesdatenschutzbeauftragten. Das ist f\u00fcr Niemanden ein verl\u00e4ssliches Signal: Diese Unsicherheit, die letztendlich uns alle betrifft \u2013 vom Konzern und KMU's bis zum Start-Up, genauso wie Schulen, Verwaltung und letztlich jeden Internetuser \u2013 muss die Politik schnellstm\u00f6glich beseitigen. Auf Bundesebene kann die Ampelregierung dies unter anderem mit gemeinsamen Handreichungen erreichen. eco Datenschutzbeauftragte unterst\u00fctzen<\/a> hier.<\/p>\n

Und auch der Datenaustausch au\u00dferhalb Europas muss im Zuge der DSGVO dringend vereinfacht werden. Die Harmonisierung des transatlantischen Datentransfers muss jetzt ganz oben auf die Agenda, um nicht weitere Verunsicherungen bei KMU und der digitalen Transformation im Allgemeinen herbeizuf\u00fchren. Das Signal von EU-Kommissionspr\u00e4sidentin Ursula von der Leyen und US-Pr\u00e4sident Joe Biden haben hoffen lassen. Jetzt muss es zeitnah pragmatische und gut umsetzbare L\u00f6sungen geben.<\/p><\/blockquote>\n

Die Umsetzung eines Datentransfer-Abkommens mit den USA steht immer noch in den Startl\u00f6chern, nachdem der europ\u00e4ische Gerichtshof (EuGH) 2020 das zwischen den USA und der EU geschlossene Datenschutzabkommen \"Privacy Shield\" gekippt hatte (siehe auch die Ausf\u00fchrungen im Beitrag EuGH kippt EU-US-Datenschutzvereinbarung \"Privacy Shield\"<\/a>). Auch das Vorg\u00e4ngerabkommen, Safe Harbor genannt, war vom EuGH gekippt worden (siehe Safe Harbor: EuGH erkl\u00e4rt Abkommen f\u00fcr ung\u00fcltig<\/a>). Nun hat die Branche Hoffnung auf ein neues Abkommen, nachdem k\u00fcrzlich ein Lichtstreif am Horizont verk\u00fcndet wurde (siehe Vorl\u00e4ufige Einigung zwischen EU und USA im Trans-Atlantic Data Privacy Framework<\/a>).<\/p>\n

Cyberkriminelle nutzen DSGVO<\/h2>\n

Ein Aspekt, den Viele nicht auf dem Radar haben: F\u00fcr Cyberkriminelle bietet die DSGVO ein nettes Druckmittel gegen Opfer, bei denen man per Hack oder Ransomware pers\u00f6nliche Daten erbeutet hat. Man erpresst die Opfer mit der Drohung, erbeutete pers\u00f6nliche Daten zu ver\u00f6ffentlichen. Laut diesem Report<\/a> geben 83% der Befragten, die Opfer von Ransomware-Angriffen wurden, zu, ein L\u00f6segeld bezahlt zu haben. Das betrifft zwar die Hoffnung, dass verschl\u00fcsselte Daten wieder entschl\u00fcsselt werden k\u00f6nnen. Aber auch das Geheimhalten des Vorfalls vor der \u00d6ffentlichkeit k\u00f6nnte eine Rolle spielen. Juristisch muss die Firma den Vorfall, sobald er bemerkt wird, der Datenschutzaufsicht aber melden – egal, wie die Verhandlungen mit den Cyberkriminellen ausgehen. Unternehmen werden durch die DSGVO aber gezwungen, ihre Sicherheitsma\u00dfnahmen zu \u00fcberdenken und die Speicherung pers\u00f6nlicher Daten zu minimieren.<\/p>\n

Der Teufel steckt im Detail<\/h2>\n

Insbesondere Webauftritte bergen die Gefahr, mit der DSGVO in Konflikt zu geraten. Hier im Blog habe ich 2018 einiges im Hinblick auf Datensparsamkeit von Nutzerinhalten (Kommentare etc.) umgesetzt (Ziel ist es, m\u00f6glichst wenig \u00fcber meine Besucher, die ggf. auch Kommentieren<\/a>, zu wissen, weshalb weder Name noch E-Mail-Adresse angegeben werden m\u00fcssen). Was ich als Risiko sehe: Dass bei Aktualisierungen oder \u00dcberarbeitungen von Webseiten ungewollt und unbemerkt bereits einmal umgesetzte DSGVO-Vorgaben verletzt werden. Ist mir hier bereits passiert, dass pl\u00f6tzlich ein Link auf die Datenschutzerkl\u00e4rung durch einen WordPress-Bug weggefallen ist (ein Leser wies mich darauf hin, dass ein Link auf ein falsches Ziel verwies).<\/p>\n

Das Cookie-Desaster<\/h3>\n

Ein ganz heikles Thema sind Cookies und die Cookie-Zustimmung, wo Betreiber von Webseiten gezwiebelt und Nutzer durch Cookie-Banner genervt werden. Dort muss ich aus meiner Sicht ein Versagen der Politik, der Datensch\u00fctzer und auch der Werbeindustrie feststellen. Von Seiten der Politik wurde die DSGVO bez\u00fcglich der Ausf\u00fchrung sehr unkonkret formuliert. Die Datensch\u00fctzer haben es nicht geschafft, verbindliche Regeln EU-weit f\u00fcr alle Inhaltsanbieter im Web vorzugeben. Da sind Nutzer mit \"I don't care about Cookies\"-Plugins unterwegs, um die Cookie-Consent-Banner der Webseiten (die die Betreiber aus DSGVO-Gr\u00fcnden schalten m\u00fcssen) automatisch auszuknipsen. Gleichzeitig hat diese Klientel kein Problem, in sozialen Netzwerken wie Facebook oder Twitter alles zu posten, was nicht niet- und nagelfest ist.<\/p>\n

Sozial Media Plattformen und gro\u00dfe Anbieter erzwingen die Nutzerzustimmung, damit diese die Plattformen nutzen k\u00f6nnen – bzw. auch gro\u00dfe Webseitenbetreiber k\u00f6nnen mit registrierten Benutzern arbeite, die diese Zustimmung erteilen. Das m\u00f6chte ich nicht, denn ohne Registrierung gibt es bei mir dann auch keine Nutzerdatenbank, die gehackt werden k\u00f6nnte (eine der DSGVO-bedingten Entscheidungen, die ich 2018 getroffen habe).<\/p><\/blockquote>\n

Kann man kopfsch\u00fcttelnd zur Kenntnis nehmen, wenn da nicht noch der technische Pferdefu\u00df f\u00fcr Webseitenbetreiber w\u00e4re, der diese ggf. von der Monetarisierung abschneidet. Denn leider haben Werbeanbieter und EU-Datensch\u00fctzer es nicht geschafft, sich auf einen sauberen Rahmen f\u00fcr Alle zu einigen. Die Cookie-Ablehnung erfolgt durch die Nutzer in gutem Glauben, das Tracking durch Werbetreibende \u00fcber Drittanbieter-Cookies zu unterbinden – bin ich voll dabei. Nur wird das \"Kind mit dem Bade ausgesch\u00fcttet\", die Besucher lehnen (hier im Blog gut 60%) oft rigoros alle Cookies, also auch technisch erforderliche Cookies, ab. F\u00fchrt dazu, dass das technisch erforderliche Cookie, welches festlegt, dass der Benutzer einer Cookie-Speicherung durch Drittanbieter ablehnt (hat also nichts mit Tracking zu tun), auch verwehrt wird. Das h\u00e4tte beispielsweise problemlos durch die europ\u00e4ischen Datenschutzbeauftragten geregelt werden k\u00f6nnen, dass dieses Cookie immer gespeichert werden darf.<\/p>\n

Kann man schulterzuckend zur Kenntnis nehmen. Meine Idee war ja, hier im Blog in allen diesen F\u00e4llen, wo keine Cookie-Zustimmung erfolgt, auf kontextbezogene Werbung, die auf den Inhalt eines Beitrags Bezug nimmt, umzustellen. Leider ist diese Idee so nicht umsetzbar. Das Problem: Zur Cookie-Consent-Verwaltung wird ein Cookie-Consent-Management-System (CMP 2.0) eingesetzt – meine Google-Partner setzen auf SourcePoint. Ohne Zustimmung, technisch notwendige Cookies zuzulassen, erh\u00e4lt Google bei der Abfrage der CMP-Plattform dann keinen g\u00fcltigen Transparency & Consent String des IAB TCFs. Folglich verweigert Google die Auslieferung jeglicher Werbung – Affe tot, Klappe zu.<\/p>\n

Man kann zwar diese gesamte TCF-Verwaltung im Google Tag-Manager organisieren – l\u00e4uft aber Gefahr, in Konflikt mit Datensch\u00fctzern und Aufsichtsbeh\u00f6rden zu geraten. In meinem Fall w\u00e4re ich dann auf mich gestellt und kann das nicht auslagern.<\/p><\/blockquote>\n

Hier kreide ich der Datenschutzaufsicht an, seit vier Jahren keine klaren Vorgaben mit der Internetwirtschaft und der Werbeindustrie vereinbart zu haben, die dann von letzterem auch umgesetzt wird. Gro\u00dfe Webseitenbetreiber haben ggf. die Ressourcen einer individuellen Umsetzung – kleine Webseitenbetreiber fallen da aber durchs Raster. Ob sich in den kommenden zwei Jahren was \u00e4ndert, und ob wir pl\u00f6tzlich mit noch misslicheren Situationen konfrontiert werden, bleibt abzuwarten.<\/p>\n

Vom Bauchgef\u00fchl: W\u00e4re das Thema \"kontextbezogene Werbung wird auch ohne g\u00fcltigen TCS ausgespielt\" europaweit gekl\u00e4rt und mit einem Mausklick auf den Werbeplattformen implementierbar, lie\u00dfe sich hier im Blog die Zahl der Werbeanzeigen vermutlich drastisch reduzieren, ohne dass die Ums\u00e4tze fallen (sehe ich an einem Werbeblock, der au\u00dferhalb des Google-Werbenetzwerks geschaltet wird und ohne Cookies auskommt – erm\u00f6glichte es mir, gleich mehrere andere Anzeigen auszubauen).<\/p><\/blockquote>\n

Web-Formulare als Falle<\/h3>\n

Und noch ein Fall ist mir die Tage von Blog-Leser Heiko A. per Mail zugetragen worden. Kontaktformulare von Webseiten bergen das Risiko eines ungewollten Trackings, wie dieser Artikel<\/a> offen legt. Problem: Geht der Benutzer zu einer Webseite, in dem ein Webformular zu sehen ist, und f\u00fcllt er dessen Felder aus, erfolgt u.U. bereits ein Tracking durch Drittanbieter, bevor die Senden-Schaltfl\u00e4che des Formulars angeklickt wird. Heiko wies mich auf diesen deutschsprachigen Beitrag<\/a> des Linux-Magazins zum Thema hin (Bleeping Computer greift es hier<\/a> auf), und erw\u00e4hnte, dass auch BMW betroffen sei.<\/p>\n

App-Schwund wegen DSGVO<\/h3>\n

K\u00fcrzlich bin ich auf die Meldung<\/a> gesto\u00dfen, die berichtet, dass die Anzahl der in Google Play verf\u00fcgbaren Apps durch Einf\u00fchrung der DSGVO um ein Drittel reduziert, die Kosten erh\u00f6ht und die Einnahmen der Entwickler verringert wurden. Aufgrund der h\u00f6heren Kosten werden weniger Apps erstellt, zum Nachteil der Verbraucher und der mobilen App-Wirtschaft, so die Studie GDPR and the Lost Generation of Innovative Apps<\/a>. In der Studie haben die Wirtschaftsforscher Rebecca Jan\u00dfen (ZEW Mannheim, Deutschland), Reinhold Kesler (Universit\u00e4t Z\u00fcrich, Schweiz), Michael Kummer (University of East Anglia, Gro\u00dfbritannien) und Joel Waldfogel (University of Minnesota, USA) die Auswirkungen der europ\u00e4ischen Datenschutzgrundverordnung (GDPR) auf das Gesch\u00e4ft mit mobilen Apps untersucht.<\/p>\n

Zu Beginn unseres Stichprobenzeitraums im Juli 2016 enthielten unsere Daten 2,1 Millionen Apps im Google Play Store, w\u00e4hrend AppBrain 2,2 Millionen meldete. Die Zahl der Play Store-Apps in unserer Stichprobe steigt dann im vierten Quartal 2017 auf 2,8 Millionen, um dann bis Ende 2018 um fast eine Million – etwa 32 Prozent – zu fallen. Bei den verf\u00fcgbaren Apps in AppBrain war ein \u00e4hnlicher R\u00fcckgang zu verzeichnen, n\u00e4mlich um 31 % zwischen Anfang und Ende 2018, schreiben die Forscher in ihrer Studie.<\/p><\/blockquote>\n

Das Thema Apps ist aber meiner Ansicht nach sowieso vergiftet. K\u00fcrzlich berichtete Golem in diesem Artikel<\/a>, dass Google Apps aus dem Play Store rausgeworfen habe, weil diese umfangreich Daten (m\u00f6glicherweise f\u00fcr Sicherheitsbeh\u00f6rden in den USA) gesammelt haben. Dann gibt es den hier aufgegriffenen<\/a> Fall Yandex (ein Leser hatte darauf hingewiesen, ich habe es aber nicht im Blog aufgegriffen. Einem Bericht zufolge enthalten Tausende von Apps mit Millionen von Kunden ein Yandex-SDK, das Nutzerdaten von iPhone- und Android-Ger\u00e4ten sammeln kann. Die Sorge ist, dass Dritte die Daten dann nutzen k\u00f6nnen, um Menschen zu verfolgen. Yandex k\u00f6nnte auch verpflichtet sein, diese Informationen mit der russischen Regierung und ihren Spionagebeh\u00f6rden zu teilen. DSGVO-konform ist das jedenfalls nicht.<\/p>\n

Zudem erweisen sich Android-Apps immer mal wieder als Malware-Schleudern, wie zahlreiche Beitr\u00e4ge hier im Blog zeigen. Ein Fall aus April 2022 wird hier im CheckPoint-Blog<\/a> behandelt. Dieser Beitrag<\/a> berichtet, dass beliebte Apps biometrische Daten und IDs von m\u00f6glicherweise Millionen von Nutzern \u00f6ffentlich machen und diese so gef\u00e4hrden. Bei Apps knallt es, egal, wo man hinfasst. Ich bin inzwischen dazu \u00fcbergegangen, die Zahl der Android-Apps auf ein Minimum zu reduzieren.<\/p>\n

DSGVO als Dauerbaustelle<\/h2>\n

Ich sehe den Ansatz der europ\u00e4ischen GDPR als sinnvoll an, aber das Projekt scheint auf der Strecke zu scheitern. W\u00e4hrend Webseitenbetreiber mit Cookie-Consent-Implementierungen und der Speicherung von IP-Adressen geziebelt werden und Handst\u00e4nde machen, werden allen Ortens Windows und Microsoft Office 365, Microsoft Teams etc. als \"alternativlos\" – sogar an Schulen – eingesetzt. Gerade habe ich diesen Human Rights Watch-Bericht<\/a> auf den Tisch bekommen. Der Inhalt: W\u00e4hrend der Covid-19-Pandemie wurden von vielen Regierungen Plattformen und Apps zur Unterst\u00fctzung des Online-Lernen eingef\u00fchrt. Diese verletzen oft aber die (Datenschutz-)Rechte von Kindern und geben die pers\u00f6nlichen Daten der Minderj\u00e4hrigen an Dritte wie Werbenetzwerke weiter.<\/p>\n

Mir kommt es so vor, als ob wir seit vier Jahren auf der Stelle treten. Die Ziele der Initiatoren der GDPR wurden bisher nicht wirklich erreicht, w\u00e4hrend Politiker oft den \"zu strengen Datenschutz\" als Grund f\u00fcr eigenes Versagen vorschieben und die DSGVO-Regeln aufweichen wollen. In diesem Beitrag<\/a> skizziert Wired, wie die GDPR zu scheitern droht. Eine Flut von fr\u00fchen und komplexen GDPR-Beschwerden habe bei den Aufsichtsbeh\u00f6rden, einschlie\u00dflich der irischen Datenschutzaufsichtsbeh\u00f6rde, zu R\u00fcckst\u00e4nden gef\u00fchrt, und die internationale Zusammenarbeit sei durch Papierkram verlangsamt worden.<\/p>\n

The Markup greift in diesem Beitrag<\/a> die koordinierte Lobbyarbeit der Tech-Industriegruppen auf, die Versuche zur Regulierung des Datenschutzes durch Verbrauchergruppen und datenschutzbewusste Gesetzgeber, in einem Staat nach dem anderen verw\u00e4ssern. Also insgesamt ein schwieriges Thema, was alles andere als einfach und ein Selbstl\u00e4ufer ist. Oder wie seht ihr das? Sind vier Jahre DSGVO ein Grund zum Feiern und alles ist bestens?<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nSafe Harbor: EuGH erkl\u00e4rt Abkommen f\u00fcr ung\u00fcltig<\/a>
\nEuGH kippt EU-US-Datenschutzvereinbarung \"Privacy Shield\"<\/a>
\nKeine Karenzfrist f\u00fcr Unternehmen nach Privacy Shield-EU-Urteil<\/a>
\nDatensch\u00fctzer plant durchgreifen bei Privacy Shield-Verst\u00f6\u00dfen<\/a>
\nVorl\u00e4ufige Einigung zwischen EU und USA im Trans-Atlantic Data Privacy Framework<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Die Datenschutz-Grundverordnung (DSGVO oder GDPR) bildet seit dem 25. Mai 2018 den gemeinsamen Datenschutzrahmen in der Europ\u00e4ischen Union. Sie ist dar\u00fcber hinaus seit dem 20. Juli 2018 auch in den Nicht-EU-Staaten des Europ\u00e4ischen Wirtschaftsraumes (EWR) Island, Liechtenstein und Norwegen geltendes … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-265805","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/265805","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=265805"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/265805\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=265805"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=265805"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=265805"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}