Hacking-Lab.com has reached 100’000 Users

Monday 29.10.2018 : The Cyber Security Education and Training platform  Hacking-Lab.com has reached 100’000 Users – Congrats!!

What is Hacking-Lab?

Hacking-Lab is an online ethical hacking, computer network and security challenge platform, dedicated to finding and educating cyber security talents. Furthermore, Hacking-Lab is providing the CTF and mission style challenges for the European Cyber Security Challenge with Austria, Germany, Switzerland, UK, Spain, Romania and provides free OWASP TOP 10 online security labs. Hacking-Labs’ goal is to raise awareness towards increased education and ethics in information security through a series of cyber competitions that encompass forensics, cryptography, reverse-engineering, ethical hacking and defense. One key initiative for Hacking-Lab is to foster an environment that creates cyber protection through education.

Hacking-Lab is a service by Security Competence GmbH, a Swiss subsidiary of Compass Security AG.

DS-GVO Fehlkonzept Nr. 9: Alles ist Verarbeitung

Einen Bärendienst hat sich der EU-Gesetzgeber mit der Definition, bzw. besser „Nichtdefinition“ des Begriffs der „Verarbeitung“ erlaubt. Wieso ist das so wichtig? Sobald ein Verantwortlicher Daten in irgendeiner Form einem Dritten zur Verarbeitung übergibt, muss er diesem die Pflichten überbinden, die er selbst übernommen hat. Das scheint plausibel, der Teufel steckt aber auch hier im Detail. Nach den meisten Datenschutzbehörden besteht eine Verarbeitung schon dann, wenn jemand hypothetisch auf die Daten zugreifen könnte.

Die Speicherung verschlüsselter Daten bei einem Auftragnehmer/Sourcing Unternehmen, deren Schlüssel nur der Verantwortliche kennt, gilt als Verarbeitung.

Das ist identisch zur Anonymisierung von Daten. Doch anonymisierte Daten gelten nicht als Personendaten und fallen deshalb nicht unter die DS-GVO! Als Verarbeiter gelten auch nicht Anbieter von Telekomdiensten, die auf Grund der Telekomgesetzgebungen nämlich bereits reguliert sind (und deshalb eine Aufzeichnungspflicht haben). Hier wird im Interesse der Überwachungsbehörden der Datenschutz konsequent ausgehebelt. Für Behörden ist die Verarbeitung selbst dann gegeben, wenn nur ein temporärer Zugriff auf die Daten stattfindet.

Beispiel: In einem Rechenzentrum wird ein dedizierter Server-Stack betrieben, Admin-Rechte hat nur der Kunden, im Notfall kann der RZ Betreiber allerdings über spezielle Verfahren die Server herunterfahren und Eingriffe tätigen. Damit wird er aus Sicht der Behörden schon zum Verarbeiter.  

Die extensive Definition von „Verarbeitung“ erhöht die Risiken.

Solche praxisfremden Regelungen sind nur absurd und werden dazu führen, dass kreative Lösungen zur Umgehung gefunden werden. Man hätte sich darauf beschränken sollen, mögliche Vertraulichkeitsverluste im Rahmen der Auftragsverarbeitung zu adressieren.Beim Datenschutz geht es nicht in erster Linie um die Verfügbarkeit, diese ist sekundär. Auch die Verarbeitungsdefinition zeigt: Informationssicherheit als grundlegendes Prinzip wurde nicht verstanden (vgl. FK 6). Es nützt wenig, wenn man versucht, möglichst viele Vertragspartner als Verarbeiter zu definieren. Denn damit wird die Kontrolle für den Verantwortlichen (oder Verarbeiter, denn die Kette ist grundsätzlich endlos) unmöglich oder unwirtschaftlich – die Risiken nehmen zu statt ab. Zudem führt es zu absurden Verkettungen von Subunternehmern und zu Einverständniserklärungen, die niemand mehr versteht. Ich bin sicher, es gibt Verarbeitungen, in welchen sich die Verarbeitungskette „in den Schwanz beisst“.

DS-GVO Fehlkonzept Nr. 8: Bussen werden es richten

Was hat man mit den hohen Bussgeldern gedroht! Natürlich braucht ein Gesetz, welches Durchschlagskraft haben soll, auch einen entsprechenden Strafkatalog. Doch zwischen Vorsatz und einfacher Fahrlässigkeit liegen Welten, wenn es um den Datenschutz geht. Ich behaupte, alle Unternehmen wären heute nach Vorgaben und Inhalten der DS-GVO von Bussgeldern betroffen. Gegenwärtig ist es für Organisationen unmöglich, die Vorgaben der DS-GVO vollständig einzuhalten. Manche Datenschutzbehörden haben dies erkannt, andere sind nach wie vor auf der fundamentalistischen Schiene unterwegs.

Einzelne Gesetzesbestimmungen wurden zum Glück bereits relativiert. So hat die Art. 29 Arbeitsgruppe der EU einige Bestimmungen bereits abgeschwächt. Das ist zumindest ein gutes Zeichen. Grundsätzlich kann man aber argumentieren, das im Strafverfahren die Unschuldsvermutung gilt und der Kläger nachweisen muss, dass der Angeschuldigte eine Datenschutzverletzung begangen hat (zum Teil gilt auch die Beweislastumkehr, was in manchen Fällen Sinn macht, in anderen nicht). In den meisten Fällen wird die Datenschutzverletzung fahrlässig erfolgt sein. Die Einhaltung der Sorgfaltspflicht muss durch den Angeklagten nachgewiesen werden können. Solche Prozesse können lang und teuer werden, nur schon deshalb, weil die Parteien auf teure Gutachter angewiesen sind.

Glücklicherweise wird es wohl nie eine einheitliche Rechtsdurchsetzung geben, denn dazu ist der EU Raum zu gross, die Meinungen zu unterschiedlich und die nationalen Interessen zu heterogen. Hier liegt die Hoffnung darin, dass sich das gesprochene Sorgfaltsniveau etwas näher bei realen Welt bewegt als das Gesetz. Davon reden wir aber vielleicht in zehn Jahren, vorher muss sich zuerst die erwähnte Gerichtspraxis etablieren.

Natürlich gibt es auch Organisationen, die systematisch Datenschutzverletzungen begehen. Und hier ist es dringend und wichtig, dass man sie auch verfolgen und bestrafen kann. Allerdings mache ich mir hier wenig Hoffnung. Denn solche Organisationen ziehen es vor, ihre Daten in Ländern zu halten, in denen weder ein adäquates Datenschutzgesetz besteht, noch die Durchsetzung der Datenschutz Grundversorgung möglich ist.

Ist es bereits grobfahrlässig, als Mitarbeiter sein persönliches Adressbuch mit der Cloud zu synchronisieren?  Soll der Mitarbeiter oder der Vertreter der Organisation bestraft werden?

DS-GVO-Fehlkonzept Nr. 7: Datenschutz-Verletzungen sind innerhalb 72 Stunden zu melden

Einen Bärendienst am Verantwortlichen hat man ihm mit der Ausgestaltung der Meldepflicht von Datenschutzverletzungen erwiesen. Die ist gelinde gesagt, Mumpitz. Das Problem hier besteht darin, dass es in der Praxis unmöglich ist, innerhalb einer Frist von drei Tagen eine Aussage darüber zu machen, welche Auswirkungen die ausgenutzte Schwachstelle eines Systems hat. Das ist in etwa mit einem Flugunfall zu vergleichen: Man muss rasch möglichst informieren, dass etwas passiert ist.  Es ist zu diesem Zeitpunkt jedoch völlig unrealistisch, den resultierenden Schaden und die Auswirkungen umfassend zu bezeichnen. Noch viel weniger ist es möglich, die Ursachen zu benennen. Ohne eine vertiefte Untersuchung lässt sich keine seriöse Aussage machen. Damit trägt auch die Informationspflicht an die Betroffenen höchstens zu einer maximalen Verunsicherung bei.

Absolut gleich verhält es sich mit digitalen Ereignissen. Wir haben gesehen, dass die Transparenz, so wie sie sich der Gesetzgeber vorstellt, nicht erreicht werden kann. Die damit verbundene Unschärfe führt auch dazu, dass weder mit Sicherheit vorausgesagt werden kann, wo Schäden eintreten, noch welche Konsequenzen damit verbunden sind.

Mit anderen Worten: In erster Linie geht es darum, das Ereignis kompetent zu erfassen, die richtige Kommunikation zu veranlassen und die notwendigen Massnahmen zu ergreifen. Dies kann bei aktiven Cybercrime-Angriffen darin bestehen, dass man NICHT kommuniziert, um den Angreifer in Ungewissen darüber zu lassen, ob der Angriff erkannt worden ist (z.B. mit Honeypots). Die letzte Aktion, welche die betroffene Organisation in diesem Fall unternehmen sollte, ist die sofortige Kommunikation mit der Datenschutzbehörde. Viel wichtiger wäre die Kommunikation über eine nationale Sicherheits-Meldestelle, um die Abwehrmassnahmen abzustimmen.

Natürlich  passt diese losgelöste und unausgegorene Massnahme ins Bild: Über Informationssicherheit und wie man mit realen Bedrohungen kompetent umgeht, wurde nicht weiter nachgedacht (vgl. FK 6.).

Diese Bestimmung zeigt einmal mehr, dass es den Verfassern primär darum ging, “grosse” Anbieter unter Druck zu setzen, damit diese Sicherheitsereignisse frühzeitig melden. Das ist ein durchaus lobenswerter Beweggrund. Gleichzeitig bestraft man aber damit wieder 99% aller anderen Unternehmen, weil die unklare Definition, was tatsächlich meldepflichtig ist, zu einer maximalen Verunsicherung führt. Es wäre viel ehrlicher gewesen, hätte man eine Regulierung für die Verwaltung grosser Datenmengen eingeführt und diese Bewilligung an verschiedenste Rahmenbedingungen geknüpft, wie eben z.B. die Meldepflicht.

NB: Ein praktischer Hinweis zur 72 Stunden Frist. Den Gesetzgebern war es offenbar nicht wirklich wohl in ihrer Haut, weshalb sie ein Schlupfloch eingebaut haben, denn der Verordnungstext Art. 33 Abs.1 DS-GVO lautet wie folgt:

Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 51 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des  müssen Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.

In der Praxis wird deshalb die 72 Stunden Frist nie eingehalten werden.

DS-GVO Fehlkonzept Nr. 6: Informationssicherheit ist unwichtig


Sie staunen? Sie haben den Eindruck, dass Informationssicherheit heute ein sehr wichtiges Thema ist? Dann deckt sich ihre Einstellung mit meiner. Die Datenschutzgesetze und vor allem die DS-GVO bilden die Bedeutung der Informationssicherheit in keiner Art und Weise ab (Art. 32 hat gerade mal 4 Absätze, eigentlich nicht mehr als eine Randnotiz). Hier hat man nichts gemacht und nicht einmal die alten Bestimmungen aus den bestehenden Datenschutzgesetzen übernommen. Natürlich spricht man von technischen und organisatorischen Massnahmen und fordert adäquate Sicherheitsmassnahmen. Das reicht nirgends hin. Gibt es dafür einen Grund? Ich kann mindestens einen Erklärungsversuch liefern:

In der Praxis ist der Sicherheitsbeauftragte der natürliche Feind des Datenschützers.

Datenschutz ist blanke Theorie, wenn man die notwendigen Sicherheitsmassnahmen nicht implementiert. Viele Datenschützer sehen aber Sicherheitsmassnahmen primär als Bedrohung für ihre Klientel, nämlich die Arbeitnehmer (dies gilt v.a. für Deutschland, wo der Datenschutz vielfach der verlängerte Arm des Betriebsrats ist). Diese sollen ausspioniert werden, ihre Arbeit wird überwacht, ihre persönlichen Vorlieben sollen durch den Arbeitgeber erfasst werden. Diese Art von Datenschutz dient primär der Selbstbefriedigung der selbsternannten Datenschutz-Missionare.

Aus unternehmerischer Sicht muss man dafür sorgen, dass ALLE Daten (und damit meine ich sowohl die Unternehmensdaten wie auch die Daten von Arbeitnehmern), richtig geschützt sind und die Risiken bekannt sind und eingegrenzt werden können.

Die Bedrohungen, denen Daten ausgesetzt sind, haben aber in einem solchen Mass zugenommen, dass eine lapidare Formulierung, so wie sie heute im Gesetz vorgesehen ist, nicht mehr reicht. Das Gesetz mag die Informationssicherheit nicht bewusst herabsetzen, doch der Anwender gewinnt den Eindruck, es genüge, Datenschutzerklärungen zu erstellen und Einverständniserklärungen zu formulieren.

Datenschutz besteht aus 40% Informationssicherheit, 40% Information Governance und 10% Prozesse und 10% Richtlinien und Verträgen.   Auf Grund einer aktuellen Umfrage des KRM verfügt die Mehrzahl der Schweizer Unternehmen nicht über ein Informationssicherheits-Management. Sie kennen deshalb auch die Risiken nicht, denen sie ausgesetzt sind. In einem sehr aktiven Cybercrime Umfeld ist dies mehr als bedenklich.

DS-GVO Fehlkonzept Nr. 5: Die DS-GVO bestraft den Mittelstand

Liest man die Pressenachrichten rund um echte oder vermeintliche Datenschutzverletzungen, dann bewegt sich die Diskussion immer in Richtung der “Grossne”, d.h. Facebook, Google und Co. Man könnte folgern, dass die DS-GVO denn auch diese Anbieter im Visier hat, das ist aber bei weitem nicht so.

Dem EU-Gesetzgeber schien es offenbar egal zu sein, ob das Datenschutzrecht auf den Bäcker im Dorf angewendet wird oder auf einen multinationalen Konzern. Das kann nicht funktionieren: Es kann keine Gleichheit zwischen Verantwortlichen geben!

Der Datenschutz stösst dann an seine Grenzen, wenn der Unternehmer nicht mehr in der Lage ist, seine Tätigkeit wirtschaftlich zu erbringen. Man kann mit Recht argumentieren, dass der Bäcker ein schlechtes Beispiel sei, denn seine Datenschutzaktivitäten sind doch eher überschaubar. Dem stimme ich zu, doch manchmal hat man leider den Eindruck, dass dies die Datenschutzbehörden nicht verstanden haben. Und zwar geht es hier nicht um die Datenhaltung des Bäckers, sondern vor allem um das Verhältnis zwischen kleinen Softwareanbietern und multinationalen Giganten. Selbstverständlich ist es einfach, den kleinen Anbieter an den Karren zu fahren, wenn er seine Software nicht genau so implementiert hat, wie sich das die Behörde vorstellt. 90% aller Softwareanbieter möchten ihren Kunden sinnvolle Lösungen anbieten. Sie sind nicht daran interessiert, Personendaten kommerziell auszuschlachten. Wenn man davon spricht, dass Google 500 Mannjahre in die DS-GVO Konformität habe, dann sollte einem das nicht beeindrucken. Man müsste das im Verhältnis zum Gewinn darstellen. Was jedoch zu denken gibt: Wenn sich der kleine Softwareanbieter verschulden muss, damit der seine Anwaltshonorare zum Aufbau der DS-GVO Konformität bezahlen kann. Es kommt nicht von ungefähr, dass die amerikanischen Anbieter schon vor über zwei Jahren damit begonnen haben, die DS-GVO punktgenau zu implementieren. De facto verschafft die DS-GVO amerikanischen Anbietern einen Wettbewerbsvorteil.

Die daraus resultierenden Konstrukte und AGBs sind so umfangreich und zum Teil auch unverständlich, weil sie den Grundgedanken der DS-GVO exakt wiedergeben. Grosse US-Unternehmen betrachten den Datenschutz als rein legale, nicht existenzielle Angelegenheit. Die Angst vor möglichen Konsequenzen ist vorherrschend, sie reduziert sich aber immer auf monetäre Betrachtungen (Sammelklagen in den USA). Das ist reines Risk Management und unternehmerisch vertretbar (= Griff in die Portokasse). Grosskonzerne können rechtliche Umstellungen rasch anpassen und durchsetzen. Letzteres ist für den kleinen, innovativen Anbieter fast nicht mehr möglich.

Beispiel: Es ist kein Wunder, das Marketing-Automatisierung auf der Basis von Open Source Werkzeugen massiv zunimmt. Schlussendlich möchten auch die kleinen Anbieter die gleich langen Spiesse haben wie die Grossen. Doch damit öffnen sie eine Pandorabüchse, denn plötzlich befinden wir uns im Sumpf von Profiling und automatisierten Einzelentscheidungen, die einen Rattenschwanz von Folgemassnahmen nach sich ziehen.  Ob sie diese noch bezahlen können, ist mehr als fraglich. Das geltende Datenschutzrecht führt dazu, dass die Spiesse noch ungleicher werden.

Es stellt sich die Frage, ob ein kleiner Anbieter unter der DS-GVO überhaupt noch eine Chance hat. Sein Produkt wird teurer und mittelfristig bedeutet das für ihn einen Wettbewerbsnachteil.  Gleiches gilt allerdings auch für die Informationssicherheit. Sicherheit hat ihren Preis und lokale Lösungen sind noch immer besser kontrollierbar und besser abzusichern. Gerade im Zeitalter neu aufkeimender Wirtschaftskriege müsste der EU daran gelegen sein, ihre IT-Industrie zu stützen. Die DS-GVO hilft dabei nicht. In Tat und Wahrheit sind die grossen Herausforderung in der Informationssicherheit zu suchen. Nur wer hier genügend Mittel investieren kann, hat längerfristig eine Chance, auf dem Markt zu bestehen.

DS-GVO Fehlkonzept Nr. 4: Lückenlose Datentransparenz ist machbar

Der WG Kühlschrank

Man kann über die DS-GVO sagen was man will, in ihr steckt wertvolles Gedankengut zum Datenschutz. Es gibt allerdings einige Bestimmungen und Ideen, die so gar nicht mehr mit der heutigen Realität übereinstimmen. Das grösste Defizit zeigt das Gesetz im Zusammenhang mit der Datentransparenz und der Information Governance. Genauer müssten wir von Informationstransparenz sprechen. Datentransparenz könnte man noch halbwegs als machbar bezeichnen, Informationstransparenz ist hingegen eine hohe Kunst. Wir bearbeiten mit dem KRM seit Jahren das Feld der Information Governance und wissen, was es bedeutet, als Organisation seine Informationen im Griff zu haben. Heute beherrschen die meisten Organisationen vielleicht 20% ihrer Daten.

Was bedeutet nun Transparenz im Kontext der Personendaten? Gemäss DS-GVO müssen Sie als Verantwortlicher ein Verfahrensverzeichnis bzw. Verarbeitungsverzeichnis erstellen. Darin müssten sie ihre Personendaten bzw. die Anwendungen erfassen, in welchen sie Personendaten speichern. Zusätzlich müssen sie erfassen was damit geschieht, welche Auswertungen erstellt werden, an wen die Daten gelangen u.a.m.

Man stelle sich vor, jede Excel Datei, die in einzelnen Unternehmen erfasst wird, muss nach diesen Prinzipien erfasst werden. Sie sagen, das geht? O.k., das ist mindestens theoretisch noch machbar. Sofort erinnert man sich an die guten alten Karteikästen, denn dafür wurden Verarbeitungsverzeichnisse konzipiert. Spannend wird es dann, wenn solche Daten mit externen Daten kombiniert werden, ohne dass sie dies bewusst tun (vgl. das Beispiel der Rekrutierung in FK 2). Informationsbildung geschieht vielfach unbewusst, aus Zufall, durch Unachtsamkeit, „on the fly“.

Dies geschieht zum Beispiel immer dann, wenn digitale Adressbücher ausgetauscht werden. Das beste Beispiel dazu ist Microsoft Outlook. Durch den Trend zur Speicherung der Daten in der Cloud werden Personendaten im Hintergrund permanent synchronisiert (haben Sie sich schon gewundert, dass Personen aus Ihrem Adressbuch plötzlich in LinkedIn erscheinen?). Dies zu kontrollieren ist selbst für den Experten kaum möglich. Geschweige denn herauszufinden, wo dies überall geschieht.

Die Grundprinzipien der Datentransparenz sind in der DS-GVO auf der Basis der Achtzigerjahre stecken geblieben. Hier hat die EU schlicht ihre Hausaufgaben nicht gemacht. Information Governance ist eine Disziplin, die seit ca. 15 Jahren durch verschiedene Organisationen, Lehre und Forschung entwickelt und propagiert wird. Der intelligente Umgang mit der Datenhaltung, das Informationsmanagement, ist nun durchaus keine neue Disziplin. Sie wurde aber in der DS-GVO völlig ignoriert.

Leider ist aber auch die Informationsverarbeitung in den meisten Organisationen  auf diesem Niveau stehen geblieben: Die meisten Unternehmen gehen mit ihren Daten um wie WGs mit ihren Kühlschränken, siehe Video). Der Hauptharst der Daten liegt nach wie vor entweder im Dateisystem verborgen oder das Mailsystem wird als Datenverwaltungssystem missbraucht . Die heutige Vernetzung der Systeme hat dazu geführt, dass kaum jemand die Informationsbildung durchschaut. Wenn man Verarbeitungsverzeichnisse erstellt, dann sind sie selbst in einfachen Verhältnis fast nutzlos. Sobald es aber um komplexe Cloud-Anwendungen und verteilte Systeme geht, nicht mehr realisierbar. Selbst die 60/40 Lösung ist eine grosse Herausforderung, 80/20 unbezahlbar. Da jedoch die Mehrheit der Organisationen nach wie vor ohne richtiges ECM/DMS System auszukommen versucht, wird die Beherrschung der Daten das ein fast unmögliches Unterfangen. Ohne eine systematische Vorgehensweise im Umgang mit Unternehmensdaten wird die Beherrschbarkeit der Daten ein Wunschtraum bleiben.

Auch das Informationsmanagement befindet sich gegenwärtig in einer Phase der Veränderung. Einerseits werden die analytischen Werkzeuge (“Data Analytics”) immer besser, andererseits sind sie noch viel zu wenig gut, um unstrukturierte Datenhaufen ausreichend (im Kontext Compliance: lückenlos!) erfassen zu können. Das bedeutet, dass man ohne Metadaten auch in Zukunft nicht auskommen wird. D.h., dass eine Unternehmenstaxonomie zwingend auch die Metadaten “DS-GVO relevant” berücksichtigen muss. Dies kann unterschiedliche Formen annehmen, der Schritt ist aber zwingend und muss anschliessend auch noch durch die Systeme abgebildet werden können.

Der hilflose Versuch, gemäss DS-GVO eindimensionale Verarbeitungsverzeichnisse zu führen, führt zu absurden Ergebnissen. Dieser Ansatz ist schon im Rahmen des Qualitätsmanagements kläglich gescheitert („führe alle Deine Dokumente in einem Verzeichnis“). Solche Verzeichnisse sind schon zum Publikationszeitpunkt hoffnungslos veraltet und natürlich lückenhaft (eine Abdeckungsquote von 50% würde ich als hoch bezeichnen).

In der DS-GVO hat es diverse Widersprüche, was die Transparenz der Verarbeitung angeht. Einerseits sollte die vollständige Transparenz der Verarbeitung gewährleistet werden, was nur mit Protokollierung, d.h. Datenerzeugung geht, andererseits gilt der Grundsatz der Datensparsamkeit.  Wie soll man zum Beispiel die Datenlöschung jederzeit nachvollziehbar machen? Wenn ich festhalten möchte, dass ich eine E-Mail-Adresse gelöscht habe, muss ich diese protokollieren, um den Nachweis der Löschung erbringen zu können. Der immer währende Anspruch auf Transparenz bedeutet nämlich auch, dass die Aufbewahrungspflichten gestiegen sind. Und ich meine hier nicht die Pflichten, die aus anderen Gesetzen entstanden sind, sondern die Pflichten aus dem Datenschutzrecht selbst. Das Datenschutzgesetz selbst ist die Quelle neuer Datenberge!

Um hier nicht missverstanden zu werden: Ich befürworte die bessere Dokumentation der Informationsverarbeitung, denn sie bildet die Basis für eine gute Information Governance und damit einer zielgerichteten wirtschaftlichen und gesetzeskonformen Haltung von Information.

Umfassende Informationen und Grundlagen zur Information Governance finden Sie auf der Website des KRM.

DS-GVO Fehlkonzept Nr. 3: Einwilligung ist möglich

In den letzten Monaten haben wir zigfach unsere Einwilligung zu Datenschutzerklärungen, Cookie Policies, AGBs, Vertragsergänzungen u.v.a. gegeben. Ich gebe es zu, auch ich lese nicht alle Datenschutzerklärungen, denen ich zustimme. Selbst wenn man weiss, wie solche Erklärungen aufgesetzt sind und was sie beinhalten, bedeuten sie für den Betroffenen primär Ärger (vom volkswirtschaftlichen Schaden, der alleine durch das Lesen entsteht, noch nicht einmal gesprochen).

Denn wir wissen es alle: wir haben praktisch keine Möglichkeit, Dienste zu nutzen, ohne diese Erklärungen zu bestätigen. Sind wir tatsächlich in der Lage, die Tragweite der von uns erteilten Einwilligungen abzuschätzen?

Dabei handelt es sich nicht primär um ein Datenschutzthema. Doch was ist eine Einwilligung? Wenn wir als Kunde ein Online-Angebot nutzen, wird der Anbieter eine Datenschutzerklärung beifügen, die wir als Teil des Vertrags unterzeichnen sollen. Wenn wir das wollen, müssen wir in der Regel einen digitalen Entscheid treffen: Ja oder Nein (und zwar zu Grundvertrag und Datenschutzerklärung). Schwierig wird das Ganze, wenn es sich um ein marktbeherrschendes Unternehmen handelt, bzw. es keine Alternativangebote gibt (typische Monopol- oder Oligopolsituation).

Eine Einwilligung nach Datenschutz bedeutet, dass die betroffene Person mit den Verarbeitungsmethoden, wie sie der Verantwortliche dokumentiert, einverstanden ist. Ist sie dies nicht, dann müsste sie die Möglichkeit haben, einzelne Bearbeitungsformen und -methoden auszuschliessen. Zu diesem Zweck muss der Verantwortliche transparent darüber informieren, wie er mit den Daten arbeitet und welche Verarbeiter (Subunternehmer) er beizieht.

Diese Vorgehensweise setzt voraus, dass volles Wissen über die Datenhaltung herrscht (vgl. FK 4). In heutigen Systemen ist die Vernetzung jedoch so hoch, dass dies Wunschdenken ist. Ich kann als Betroffener höchstens generell eine Meinung äussern. Selbst wenn ich einzelne Opt-in Schalter habe, bedeutet dies noch lange nicht, dass die Verarbeitung dann wirklich meinen Wünschen entspricht.

Erfrischend sind die immer wieder neu auftauchenden, absurden Darstellungen von Opt-in Möglichkeiten auf Webseiten von Anbietern. Da darf man 50 virtuelle Schalter betätigen und entscheidet damit über alle möglichen Formen von Verarbeitungen (vgl. FK 9). Das würde bedeuten, dass man sich über die dazugehörigen Softwareteile genauestens erkundigt und auch noch versteht, was geschieht! Dies kann und will niemand tun (vgl. FK 4). Selbst der Anbieter wird nicht in jedem Fall genau wissen, welche Konsequenzen das Ein-/Ausschalten eines Dienstes tatsächlich hat.

Unter dem Strich bedeutet dies folgendes: Entweder ich lasse mich mit dem Anbieter ein oder ich lasse es bleiben! Zum Glück gibt es in vielen Bereichen Alternativen zu den bekannten Datenkraken. Trotzdem drängt es die Leute aus Bequemlichkeit (und aus Geiz) immer wieder zu Diensten, die den grössten Marktanteil haben.  Diese Anbieter nützen ihre Marktmacht systematisch aus.

Die aktuelle Tendenz, sämtliche Software nur noch als Cloud Version anzubieten, trägt weiter dazu bei, dass der einzelne Nutzer praktisch keine Macht (Kontrolle = Information Governance) mehr über seine Daten besitzt. Es bleibt ihm nur noch die Alternative, entweder nach wie vor alles lokal zu installieren und zu betreiben, oder sich lokale Anbieter zu suchen, die vertrauenswürdig sind und mit denen er einen vernünftigen Vertrag aushandeln kann (Don’t forget: All business is still local).

Doch auch für den kleinen Anbieter wird es jetzt haarig. Meist besteht ein Grundvertrag über eine Leistung, die vom Anbieter (Auftragnehmer) („wir bieten ein CRM in der Cloud an“) angeboten wird. Der Kunde, hier ein Unternehmen, bestellt dieses Angebot auf Basis des Grundvertrags. Gleichzeitig wird er vom Anbieter noch gebeten, einen Auftragsverarbeitungsvertrag zu unterzeichnen, welche den Umgang des Auftragnehmers mit den Personendaten beschreibt (denn Sinn und Zweck des CRM dürfte es u.a. sein, Personendaten zu erfassen).

Hier spielt nun die DS-GVO wieder den grossen Oligopolen in die Hand. Betrachtet man das Ganze aus der Sicht eines kleinen Softwareanbieters, dann sieht man auch die Absurdität, die das Einwilligungsrecht erzeugt. Nach der DS-GVO ist es theoretisch möglich, eine Einwilligung für eine Verarbeitung jederzeit zurückzuziehen. Was heisst dies nun in einem praktischen Kontext? Ein Betroffener (im oben geschilderten Fall ein beliebiger Mitarbeiter eines Kunden, ein potenzieller Kunde etc.) könnte demnach, darauf bestehen, dass seine Daten aus einem bestehenden System entfernt und gelöscht werden.

Tatsächlich sieht die Praxis anders aus. In 80% aller Fälle bestehen gesetzliche Aufbewahrungspflichten, die den Widerruf verhindern (sogar aus dem Datenschutzrecht selbst, vgl. FK 8). Völlig absurd ist die Forderung, dass Subunternehmer nur eingebunden werden dürfen, wenn jeder Betroffene zustimmt. Theoretisch müsste der Kunde jedes Mal im Vornherein zustimmen, wenn ein Anbieter Daten an einen neuen Unterauftragnehmer weitergeben möchte. Es kommt noch schlimmer, der Anbieter müsste u.U. das Einverständnis aller Betroffenen einholen.

Was heisst das für die Praxis? Cloud Anwendungen werden heute aus vielen Online-Komponenten zusammengebaut. Der Anbieter muss dafür sorgen, dass seine Anwendung zuverlässig und verfügbar ist (übrigens auch eine gesetzliche Datenschutz-Anforderung).  Er muss gegebenenfalls Dienste auswechseln können. Angenommen, der Kunde verweigert die Zustimmung, dann muss er sich überlegen, ob er diese Kunden überhaupt noch haben will. Demgegenüber steht aber eine entsprechende Vertragsgrundlage, die er nicht verletzten darf. In der Regel liegt es im Interesse beider Parteien, dass der Dienst möglichst ohne Unterbrechung weitergeführt wird. Die gegenseitige Abhängigkeit der Unternehmen und Kunden von solchen Diensten wird immer mehr zunehmen. Hier geht es nicht um ein Machtspiel: Kunden wie auch Anbieter sitzen im gleichen Boot und werden alles dafür tun, diese quälenden Vorgaben des Datenschutzrechts möglichst elegant zu umgehen.

Hier zeigen sich wieder die Ungerechtigkeiten bei der Marktmacht. Einem grossen Anbieter ist es ohne weiteres möglich, auf denjenigen Teil seiner Kunden zu verzichten, die mit seinen Optionen in den Verträgen nicht einverstanden sind. Für den kleinen Anbieter kann es jedoch existenzbedrohend sein, würde er die exorbitanten Einwilligungsvorgaben der DS-GVO in jedem Fall erfüllen.

Das Problem mit dem Einwilligungsrecht lässt sich nicht einfach lösen. Es handelt sich hier um eine Thematik, die mit Datenschutzrecht nur bedingt zu tun hat. Solange es gesetzlich zulässig ist, dass man fünfzigseitige AGBs mit einem Klick bestätigen kann, bedeutet dies eine totale Entmachtung des Kunden. Die Opt-in Prinzipien des Datenschutzes sind durchaus sinnvoll, doch müssen sie konsequenterweise auf den gesamten Vertrag angewendet werden. Verträge müssten so modular gestaltet werden, dass sie den Ausschluss einzelner Vertragskomponenten zulassen würden. Die heutigen AGB-Monster sind völlig einseitig gestaltet und dienen in der Regel nur den grossen Anbietern. Der Komplexität der Technologie steht damit eine vergleichsweise ähnliche Komplexität der Verträge gegenüber. Ohne technische Hilfsmittel sehe ich hier keine Chance, dass es eine Verbesserung geben wird. Wissen Sie, wo Sie überall Ihre Einwilligung erteilt haben?