DSGVO - alles schön und gut, aber dennoch wird getrackt und gesammelt, als ob es diese Verordnung nicht geben würde. Die bisher verhängten Bußgelder sind auch ein Witz und wirken kaum abschreckend. Das kann sich allerdings noch sehr schnell ändern, auch Abmahnanwälte können das noch als Geschäftsfeld entdecken.
Als Anwender muss man weiterhin sein Datenschutzrecht mit technischen Mitteln durchsetzen. Das fängt mit dem eigenen Verhalten an und endet noch lange nicht bei geeigneten Browser-AddOns oder Tor. Als Anbieter sollte man tunlichst die Anwender nicht gängeln, die ihre Browser besser absichern, als der Durchschnittsanwender.
Session-Cookies, die für den Betrieb der Website technisch notwendig sind (z.B. JWT oder Session Cookies) bedürfen keiner Zustimmung.
Anders sieht es aus, wenn persistente Cookies verwendet werden, weil diese für ein Tracking verwendet werden können. Weiterhin sind persistente Cookies grundsätzlich technisch nicht notwendig und sollten auch nicht für die Authentifizierung genutzt werden, weil man sich damit ein kapitales Sicherheitsproblem in das Haus holt.
Die Zustimmungsabfrage ist für das Tracking immer notwendig, unabhängig davon, ob nun Cookies verwendet werden oder nicht. Sendet der Anwender einen "Do not track" Header, dann ist da Sache sehr einfach, denn damit wurde die Zustimmung zum Tracking bereits abgelehnt, dann braucht man auch den Zustimmungsdialog nicht. Auf rechtlich sicherem Gebiet sollte man sich bewegen, wenn man beim Vorliegen eines DNT Headers auf die Zustimmungsabfrage verzichtet und die Anwendung auf "nicht tracken" setzt.
Weithin unbekannt, aber trotzdem eine rechtliche Tretmine ist das Logging der IP-Adresse. Auch das können personenbezogene Daten sein, daher sollte das letzte Oktett im Logfile des Servers rausmaskiert werden.
Moderne Browser erlauben weitreichende Einschränkungen bei den Cookies, so lauten viele Empfehlungen, z.B. 3rd Party Cookies grundsätzlich zu verbieten. Webangebote sollten daher auf 3rd party Cookies grundsätzlich verzichten, da es sonst für den Anwender so aussieht, dass das Webangebot technische Fehler aufweist. So gehen dann mögliche Kunden verloren. Weiterhin stellen datenschutzaffine Benutzer ihren Browser oft so ein, dass alle Cookies nach Beenden der Session oder spätestens beim Beenden des Browsers gelöscht werden.
Ebenso ist es unsinnig, den Anwender aufzufordern, einen evtl. Adblocker abzuschalten. Einmal kann der Anwender das möglicherweise nicht, weil z.B. die Unternehmens-IT das so vorgegeben hat, zum Anderen betrachten viele Anwender einen Adblocker als eine Sicherheitskomponente wie z.B. einen Virenscanner, weil oft auch über Werbebanner Malware verteilt wird.
nachdem nun auch Privacy Shield für nichtig erklärt wurde, ist die Nutzung von US Cloudanbietern für die Speicherung von personenbezogenen Daten praktisch nicht mehr möglich. Hintergrund ist der CLOUD Act (Clarifying Lawful Overseas Use of Data), der es US Behörden ermöglicht, auch bei im Ausland betriebenen Rechenzentren Daten ausleiten zu lassen, sofern der Betreiber US Staatsbürger ist, oder das Betreiberunternehmen US Recht unterliegt. Die im Originaltext genannte Eigenschaft qualifying foreign government trifft auf Deutschland und die EU nicht zu, da ja Privacy Shield nichtig ist.
Weitere Ausschlussgründe für Cloud Services, die dem Recht der USA unterliegen:
Sehr interessant ist dabei das Vorgehen in regulierten Branchen, wie z.B. Banken. Weder Bafin, noch EZB sind sonderlich davon begeistert, wenn Banken ihre Banking-Plattformen bei einem US Cloud Anbieter betreiben wollen. Deshalb befassen sich z.B. Ficucia und auch die Finanz-Informatik mit diesem Thema.
Ein einfachsten ist es, für eigene Anwendungen einen Cloudanbieter in der EU zu nutzen, da wären einmal OVH und zum Anderen Ionos zu nennen. Wer selbst das Know-How hat, kann auch seine eigene Cloud Plattform betreiben. Wenn es nicht das eigene RZ sein soll, dann kann man auch eine Fläche mieten, so etwas wird z.B. von Telehouse oder Witcom angeboten.
Kritisch wird es bei Software, die nur als Cloud Produkt angeboten wird und in einer Nicht-EU Cloud betrieben wird. Wie es um den Datenschutz bestellt ist, lässt sich sehr leicht bei den Vertragsverhandlungen feststellen. Man lässt sich schriftlich zusichern, dass ein DGSVO Bußgeld, das aufgrund eines behördlichen Zugriffs eines Nicht EU-Staats stattfindet, ohne dass dabei ein Gerichtsbeschluss aus einem EU Land vorliegt, vom Softwareanbieter ersetzt wird. Nicht vergessen auch eine Bankbürgschaft von Anbieter zu fordern, nicht dass der sich mit einer Insolvenz der Angelegenheit entzieht. Wenn der Anbieter darauf nicht eingeht, dann Finger weg von dem Produkt! Wer Office365 Cloudprodukte in Betracht zieht, sollte das auch bei Microsoft versuchen.
Es handelt sich hier um keine Rechtsberatung, sondern nur um eine Meinung die auf Erfahrungen basiert. Für eine rechtlich fundierte Beurteilung suche bitte einen Rechtsanwalt, der sich mit Datenschutz auskennt, auf.
| E-Mail Adressen erzeugen | |
| Personalisierte Werbung |