DS-GVO-Fehlkonzept Nr. 7: Datenschutz-Verletzungen sind innerhalb 72 Stunden zu melden

Einen Bärendienst am Verantwortlichen hat man ihm mit der Ausgestaltung der Meldepflicht von Datenschutzverletzungen erwiesen. Die ist gelinde gesagt, Mumpitz. Das Problem hier besteht darin, dass es in der Praxis unmöglich ist, innerhalb einer Frist von drei Tagen eine Aussage darüber zu machen, welche Auswirkungen die ausgenutzte Schwachstelle eines Systems hat. Das ist in etwa mit einem Flugunfall zu vergleichen: Man muss rasch möglichst informieren, dass etwas passiert ist.  Es ist zu diesem Zeitpunkt jedoch völlig unrealistisch, den resultierenden Schaden und die Auswirkungen umfassend zu bezeichnen. Noch viel weniger ist es möglich, die Ursachen zu benennen. Ohne eine vertiefte Untersuchung lässt sich keine seriöse Aussage machen. Damit trägt auch die Informationspflicht an die Betroffenen höchstens zu einer maximalen Verunsicherung bei.

Absolut gleich verhält es sich mit digitalen Ereignissen. Wir haben gesehen, dass die Transparenz, so wie sie sich der Gesetzgeber vorstellt, nicht erreicht werden kann. Die damit verbundene Unschärfe führt auch dazu, dass weder mit Sicherheit vorausgesagt werden kann, wo Schäden eintreten, noch welche Konsequenzen damit verbunden sind.

Mit anderen Worten: In erster Linie geht es darum, das Ereignis kompetent zu erfassen, die richtige Kommunikation zu veranlassen und die notwendigen Massnahmen zu ergreifen. Dies kann bei aktiven Cybercrime-Angriffen darin bestehen, dass man NICHT kommuniziert, um den Angreifer in Ungewissen darüber zu lassen, ob der Angriff erkannt worden ist (z.B. mit Honeypots). Die letzte Aktion, welche die betroffene Organisation in diesem Fall unternehmen sollte, ist die sofortige Kommunikation mit der Datenschutzbehörde. Viel wichtiger wäre die Kommunikation über eine nationale Sicherheits-Meldestelle, um die Abwehrmassnahmen abzustimmen.

Natürlich  passt diese losgelöste und unausgegorene Massnahme ins Bild: Über Informationssicherheit und wie man mit realen Bedrohungen kompetent umgeht, wurde nicht weiter nachgedacht (vgl. FK 6.).

Diese Bestimmung zeigt einmal mehr, dass es den Verfassern primär darum ging, “grosse” Anbieter unter Druck zu setzen, damit diese Sicherheitsereignisse frühzeitig melden. Das ist ein durchaus lobenswerter Beweggrund. Gleichzeitig bestraft man aber damit wieder 99% aller anderen Unternehmen, weil die unklare Definition, was tatsächlich meldepflichtig ist, zu einer maximalen Verunsicherung führt. Es wäre viel ehrlicher gewesen, hätte man eine Regulierung für die Verwaltung grosser Datenmengen eingeführt und diese Bewilligung an verschiedenste Rahmenbedingungen geknüpft, wie eben z.B. die Meldepflicht.

NB: Ein praktischer Hinweis zur 72 Stunden Frist. Den Gesetzgebern war es offenbar nicht wirklich wohl in ihrer Haut, weshalb sie ein Schlupfloch eingebaut haben, denn der Verordnungstext Art. 33 Abs.1 DS-GVO lautet wie folgt:

Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der gemäß Artikel 51 zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des  müssen Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.

In der Praxis wird deshalb die 72 Stunden Frist nie eingehalten werden.

DS-GVO Fehlkonzept Nr. 1: Datenschutz ist global

Mit der DS-GVO hat die EU ein Gesetz geschaffen, welches dazu führt, dass Ländern Datenschutz-Regeln aufgezwungen werden, die in keiner Art und Weise ihrem Verständnis von Datenschutz entsprechen.

Die EU will der Welt ihr Datenschutz-Konzept aufdrängen.

Die meisten Bürger von EU-Mitgliedsstaaten sehen sich primär als Bürger ihres Landes und nicht als Teil eines anonymen (EU)-Verbunds. Datenschutz ist historisch, gesellschaftlich und sozial geprägt.  Wenn wir uns darüber aufregen, dass es Staaten gibt, die dazu übergehen, ihre Bürger systematisch zu kategorisieren und einzuteilen, dann vergessen wir leicht, dass wir in einem sozialen Umfeld aufgewachsen sind, in welchem wir Repression, Unterdrückung oder Zwang zur Uniformität nur noch aus Büchern oder aus dem Internet kennen. Vergleichbarkeit und Messbarkeit sind bei uns Unworte, obwohl sie die gesellschaftliche Realität widerspiegeln. Während wir in der Schule Noten bekämpfen und uns nicht messen wollen („es bekommt jeder einen Preis“), wird in den Sozialen Medien knallhart bewertet, was der Mausklick hergibt. In Systemen, in welchen der Einzelne nur dann aus der Menge auftaucht, wenn er ein hohes Rating hat, hat Datenschutz nur eine geringe Bedeutung („geben wir uns doch gegenseitig die Maximalbewertung..“).

Trotz Fichen-Affäre und alltäglichen Big Data Analysen ist unsere Sensibilisierung zum Thema Datenschutz gering. Das hat damit zu tun, dass wir Schweizer traditionell vom Staat wenig zu befürchten haben und hatten („wir sind der Staat“). Studien zeigen, dass dort, wo das Vertrauen in den Staat hoch ist, dem persönlichen Datenschutz geringes Gewicht beigemessen wird. So ist es nicht überraschend, dass gerade in den skandinavischen Ländern Dinge wie das Implantieren von Chips sozial akzeptabel sind (in Schweden lag die Zahl „gechippter“ Personen bei rund 3000, August 18). Für die Mehrheit ist dies heute noch undenkbar. Trotzdem wächst die Gruppe von Personen stetig, welche sich freiwillig der digitalen Transparenz aussetzt. Wie sollen die Gesellschaft damit umgehen, dass ein Grossteil der Bevölkerung ihre Personendaten verschleudert und sich damit den hoch heiligen Prinzipien des Datenschutzes aktiv widersetzt? Wie man diese Frage auch immer beantwortet: die DS-GVO ist nur ein Weg, Personen vor sich selbst zu schützen. Sie ist aber in keinem Fall geeignet, auf globaler Ebene als verbindliche Norm eingesetzt zu werden.

Ist der Bürger eines ehemals kommunistischen Staates sensibler, wenn es um Datenschutz geht?

Die 10 wichtigsten DS-GVO Fehlkonzeptionen – So hat Datenschutz keine Chance

Die DS-GVO hat bis Ende Mai 2018 enorm viel Aufwand generiert. Sie hat dazu geführt, dass Heerscharen mehr oder weniger seriöser Anwälte und Berater haufenweise Verträge, Richtlinien und Vereinbarungen geschrieben haben. Wieso sollte uns das interessieren? Ich behaupte, dass sowohl Softwareanbieter wie auch Dienstleister, welche Personendaten verarbeiten, ihre Produkte in diesem Jahr damit um geschätzte 25% verteuert haben. Spätestens nächstes Jahr werden wir als Kunden diese Rechnung präsentiert bekommen – die Produktpreise werden steigen. Da fragt sich doch der Anwender (oder die „Betroffene Person“ im Jargon der DS-GVO): Was bekomme ich wirklich dafür?

Selbst der Widerhall in der Presse war einmalig. Selten hat ein Gesetz so hohe Wellen geworfen. Die DS-GVO ist ein inhaltliches Monster und wer behauptet, er hätte alles davon verstanden, der hat entweder eine sehr hohe Fehlertoleranz oder gibt sich mit dem Verstehen der wichtigsten Grundprinzipien zufrieden (Zitat aus der Internet Community: „Chuck Norris hat die DS-GVO schon zweimal umgesetzt – vollständig!“). Statt sich mit den Inhalten auseinander zu setzen und sich um reale Risiken zu kümmern, wurden isolierte Aktionen losgetreten. Ein gutes Beispiel dafür ist die Aufforderung zum Erneuern der Newsletter-Anmeldung, welche in 90% aller Fälle überflüssig ist. Solche, meist aus dem Nichts auftauchende Aktionen haben teilweise sinnlose und überflüssige Eigendynamiken entwickelt.

Schaut man etwas über den Tellerrand hinaus, dann muss man sich auf jeden Fall die Frage stellen, ob das heutige Datenschutzkonzept, so wie es durch die Europäische Union vorgelebt werden will, wirklich zukunftsgerecht ist. Ich meine: Nein. Um dies zu begründen, habe ich die wichtigsten Fehlkonzepte der DS-GVO hier aufgelistet:

Fehlkonzeption 1: Datenschutz ist global

Fehlkonzeption 2: Das Recht auf Informationelle Selbstbestimmung ist (k)ein Grundbedürfnis

Fehlkonzeption 3: Einwilligung ist möglich

Fehlkonzeption 4: Datentransparenz ist machbar

Fehlkonzeption 5: Die DS-GVO bestraft den Mittelstand

Fehlkonzeption 6: Informationssicherheit ist unwichtig

Fehlkonzeption 7: Meldepflicht von Datenschutz-Verletzungen

Fehlkonzeption 8: Bussen werden es richten

Fehlkonzeption 9: Alles ist Verarbeitung

Fehlkonzeption 10: Datenschutz hat Einfluss auf die Technologiegestaltung

Im Laufe dieses Jahres werde ich regelmässig auf die einzelnen Fehlkonzeptionen eingehen und sie ausführlich kommentieren.