Autor: H. Benjamin

Um es ganz klar zu sagen, die Intention Daten und vor allem persönliche Daten im Internet zu schützen ist ein hehres Ziel, aber die Erstellung der so genannten Datenschutzgrundverordnung aka DSGVO oder im englischen GDPR ist ein stümperhaftes und vor allem für Rechtsanwälten:innen dienende Arbeitsbeschaffungsmassnahme, die durch Lobbyismus geprägt ist, nicht praktische Ergebnisse liefert und eben nicht den tatsächlichen Schutz der Daten Einzelner zu Folge hat – Ihr glaubt mir nicht? Dann schaut Euch nur die Millionen geleakter, sehr persönliche Datensätzen der letzten Tage (nicht Wochen!) an: Qantas | 6 Millionen Kundendaten geklaut +++ 16 Milliarden geklauter Passörter von Apple, Google und Co. +++ Hackerangriff auf Polizeihandys – ohne Datenklau? +++

Die Erwartung als Endverbraucher – der ich auch bin – ist doch, dass gegen den massenhaften Datenraub vorgegangen wird, was unter anderem auch durch die Minimierung der Veröffentlichung persönlicher Daten im Internet erreicht werden könnte.

In Zeiten von „Broadcast yourself“ – egal auf welcher Platform – kann man sicherlich diskutieren wie sinnvoll es ist Datenschutz zu betreiben, aber zumindest sollten Menschen, die sich eben nicht „broadcasten“ wollen, doch die Möglichkeit haben, das Internet möglichst zu benutzen ohne Spuren zu hinterlassen.

Das würde ich Datenschutz nennen, aber das macht die DSGVO gar nicht. Die DSGVO macht Panik unter KMUs, anstatt uns vor Datenkraken, -Staubsaugern und Massen-Leaks zu schützen. Die Politik, Gesetzgebung und die ausführenden Gewalten versagen dabei, uns zu schützen. Das ist der Grund, weshalb ich die DSGVO für falsch halte, den sie stümpert an Details herum, die das große Ganze nicht verbessert – im Gegenteil: Denn anstatt die großen Stellschrauben zu optimieren, wird unnötig an kleinen Schläuchen gedreht und gebastelt.

Ich arbeite in der IT seit 1996 und mit Personendaten auf Servern seit ebenfalls derselben Zeit, seit 1997 auch mit Daten von mehreren hunderten und tausenden Personen, später auch von zehntausenden und Hunderttausenden und ich muss sagen, dass es immer unser Ziel war (und ist!) höchst verantwortungsvoll mit diesen Daten umzugehen – im besten Fall sogar verschlüsselt und/oder anonymisiert bzw. vor allem auch auch auf ein Mindestmass an notwendigen Informationen limitiert.

Dabei behaupte ich auch nicht, dass es nicht sinnlose Datenleaks gibt, die seitens der Firmen einfachst behoben werden könnten, aber das Gefährliche sind doch eher die großen Datencluster, anstatt die Datensammlung von Kundendaten beim Handwerker, Bäcker oder Metzger um die Ecke. Diese großen Datencluster sind es doch auch vor allem so gefährlich, weil diese weitreichende Informationen enthalten – eben auch bei welchem Bäcker und Metzger Ihr einkauft, zu welcher Uhrzeit und was Ihr danach im Internet bestellt habt. Das möchte ich als Endverbraucher doch als geschützt wissen. Der womöglich einmalige „Leak“ beim Bäcker ist doch lächerlich.

Anstatt zu versuchen alle mit der DSGVO zu drangsalieren und die Hürden (und Kosten!) vor allem für kleine Unternehmen viel zu hoch zu schrauben, wäre es sinnvoll zum Beispiel:

1. Standards zu definieren, welche endlich zwingend vorschreiben E-mails Ende-zu-Ende zu verschlüsseln (wie bei Messenging-Diensten wie iMessage, Signal u.a.) – anstatt E-Mails unverschlüsselt zwischen manchmal dutzenden (!) Mail-Servern weiterzureichen mit all den darin enthaltenen Daten!

2. Standards zu definieren, welche Kontaktdaten von anderen persönlichen Daten trennen und im besten Fall nur Zugriff gewähren, nicht wenn Firmen es wollen, sondern wenn der (Internet-)Kunde es für eine Transaktion (zum Beispiel beim Kauf oder Buchung einer Dienstleistung) darauf Zugriff gewährt.

3. Eventuell diese „persönliche“ Daten nur noch auf den Endgeräten des Kunden (z.B. Computer, Smartphone oder Tablet) absichern/zu speichern, anstatt dieselben Daten auf unterschiedlichsten Servern im Internet verstreut abzulegen und zu speichern – niemand braucht immer Zugriff auf mein Geburtsdatum, meine Vorlieben usw. usf., sondern NUR wenn ich es gerade brauche, nichts andersherum!

4. Finale Abschaffung von HTTP und Nutzung von HTTPS ggf. mit/über HSTS.

5. Abschaffung von Cookie-Bannern und Hinweisen die ohnehin keiner liesst und nur auf „ja“ klickt um Inhalte endlich zu sehen

6. Standardisierte Trainings für Mitarbeiter:innen von Unternehmen mit +10 Personen wie mit man mit (Personen-)Daten umgeht – z.B. KEINE Excel-Liste per unverschlüsselter E-Mail verschicken mit kompletten Datensätzen, wenn z.B. nur E-Mail-Adressen für einen Newsletter benötigt werden.

7. An Schulen und Unis sollte es Schulungen geben, was passiert, wenn man eigene Daten veröffentlicht oder noch schlimmer ungefragt Daten anderer/bzw. jmd. anderes Daten von einem selbst veröffentlicht!

8. Wenn ein Dienst z.B. 500 Tage ( / 1,5 Jahre) nicht genutzt wurde, sollten alles Daten dort automatisiert gelöscht werden – als Standard definiert für Plattformen.

9. Bei Leaks von +100.000 User:innen müssen umgehend alle Passwörter – sofern vorhanden – gelöscht bzw. reset-et werden, die Personen benachrichtigt und das System neu aufgesetzt werden. Ein klares Prozedere definieren, ggf. auch eine Meldung, wo je Land (in der entsprechenden Landessprache) nachgelesen werden kann, was passiert ist und was nun geschehen wird.

10. Wenn meine Kontaktdaten angefragt werden – von wem auch immer – muss ich diese per 2-Faktor-Authentifizierung, wie bei Bankgeschäften (!), freigeben. Es könnte auch 2-Stufen geben, z.B., Name, Alter, Adressen (digital, analog), Körperdaten sind supersicher zu handhaben, aber z.B. die Vorlieben welche Eissorte man mag, eher weniger?

So würde man die Daten der Bürger:innen schützen, wenn man wollte – anstatt Rechtsanwälte:innen Geschäfte zu besorge und Gerichte zu verstopfen. Und ja, absolut: 6 Millionen Datensätze die Qantas verliert oder eine halbe Milliarde Nutzerdaten die von Facebook abgezogen werden, das ist ein Problem. Aber vor allem auch deswegen, weil dort mehr liegt, als nötig ist. Wenn jemand seinen XYZ und seine ABC in die Kamera halten muss – be my guest – aber dann sollten dort keine Kontaktdaten oder sonstiges verknüpft liegen.