Logfiles, IP-Adressen, Verschlüsselung – denken Sie hierbei direkt an Datenschutz? Vermutlich nein. Und können Sie es fachlich einordnen? Wahrscheinlich grob, irgendwas mit IT. Dabei sind hierauf bezogene Fragen von hoher datenschutzrechtlicher Relevanz, denn Technik schützt Daten.
Der Inhalt im Überblick
Die Entwicklung
In Zeiten vor Inkrafttreten der DSGVO fristete Datenschutz das Dasein eines netten aber unpopulären Rechtsgebiets. Diese Tage sind vorbei. Datenschutz ist in aller Munde und auf den Tischen der Unternehmenslenker angekommen. Milliardenbeträge sind in den letzten Jahren in diesen Markt geflossen. Insbesondere Kanzleien und Beratungshäuser konnten und können sich über den Bedarf nicht beklagen. Im Gegenteil, für Juristen auf diesem Gebiet sind es gute Zeiten. Hatte der Datenschützer früher oft keinen rechtswissenschaftlichen Hintergrund, ist er heute mehr und mehr anzutreffen. Das liegt im Wesentlichen daran, dass ihm zugetraut wird, die Gesetzestexte richtig verstehen und interpretieren zu können. Das stimmt soweit aber reicht das aus?
Die Lage ist komplizierter
Nun sind die Dinge aber nicht immer so einfach, wie sie scheinen und das gilt insb. für den Datenschutz. Art. 32 DSGVO fordert, dass der Verantwortliche „technische und organisatorische Maßnahmen [trifft], um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Ja wunderbar, sagt sich der Jurist, bitte einmal umsetzen liebe Abteilungen. Anforderung erfüllt.
Wir alle, die wir im Datenschutz aktiv sind, wissen, dass genau an dieser Stelle die wirklichen Probleme erst beginnen. „Stand der Technik“ oder auch die „Angemessenheit“ – ja Herrschaftszeiten, wie soll man das denn genau bestimmen und wer will seine Hand für die gewählte Maßnahme ins Feuer legen? Besser der andere. Die Entscheidung solcher Fragen wird daher schnell zum Schwarze-Peter-Spiel.
Der ideale Datenschützer
Technik beherrscht unseren Alltag und selbstverständlich auch die Verarbeitung personenbezogener Daten. Wo damals Aktenschränke standen, stehen heute Serverschränke. Konnte ein jeder früher noch ein dickes Schloss kaufen und den Raum mit Personalakten abschließen, bedarf es nunmehr Verschlüsselung, Firewalls, Berechtigungen in einer Domäne etc., um angemessene Sicherheit herzustellen.
Die meisten Geisteswissenschaftler stoßen aufgrund dieser Umstände zunehmend an ihre Grenzen. Wer also soll das alles noch beurteilen? Die ideale Stellenausschreibung könnte wie folgt aussehen: Im Datenschutzrecht promovierter Jurist, M.Eng. Angewandte Kryptografie, M.Sc. Informatik mit Schwerpunkt Netzwerksicherheit und IKT-Systeme und einen MBA, um auch die unternehmerische Seite abzubilden.
T_ ist wichtiger als _OM
Diese unrealistischen Anforderungen führen uns aber zu einer Erkenntnis: Effektiver Datenschutz ist ohne technische Expertise nicht mehr möglich. Sicherlich lassen sich organisatorische Maßnahmen erdenken, Informationen ausarbeiten und Verträge schließen. Aber der wirkliche Datenschutz findet auf technischen Ebene statt. Ob ein Berechtigungskonzept auf dem Papier gut ausgedacht ist, ist die eine Sache. Es technisch auch wirklich umgesetzt zu haben, die andere.
Vereinfacht lässt sich sagen, dass Daten in der Praxis geschützt werden, nicht in der Theorie. Diese Schlussfolgerung ist mühsam wie unumgänglich. Aber weil sie eben mühsam ist, wird sie zu oft ignoriert. Dennoch sollten wir alle, die wir täglich für den Datenschutz kämpfen, vermehrt die unangenehmen Fragen auf der technischen Ebene stellen. Im Sinne der Sache und der Betroffenen muss es einfach sein. Und wenn wir weder Frage noch Antwort verstehen, dann wird es höchste Zeit, dass auch wir uns einmal von Technikern belehren lassen. Am besten ist es natürlich, gleich ein Team zu bilden, das die juristische als auch die technische Seite abbildet. Wir haben es erprobt und müssen sagen, dass die Ergebnisse überzeugen. In diesem Sinne die herzliche Ermunterung: Finger in die Wunde!
Ja, es ist für Techniker schon manchmal erstaunlich, mit welcher Inkompetenz Datenschutzbeauftragte (und dazu zählen insbesondere die externen, die sonst tolle Blog-Beiträge schreiben) sich nach außen wenden.
„Bei Google Analytics wird die IP-Adresse nur anonymisiert in die USA übertragen“ liest man da. Aha. Jeder Techniker staunt und schüttelt nur den Kopf. Denn bei JEDER Internetkommunikation wird IMMER die vollständige IP-Adresse übertragen. Anonymize-IP Direktive hin oder her.
Daher überträgt z.B. auch der Google Tag Manger (genauso wie alle US-Website-Tools) STETS personenbezogene Daten in die USA – bekanntlich ohne Rechtsgrundlage nach Schrems II. Wer da berät man könne diese Tools getrost unter dem berechtigten Interesse anwenden, der irrt und berät zum Rechtsbruch.
Und um solche Trivialitäten zu lernen muss man wirklich nicht Informatik studieren. Das geht schon in einer internen Weiterbildung mit einem kompetenten Techniker. Man muss es nur wollen…
Christian Bennefeld kopfschüttelnd: „Denn bei JEDER Internetkommunikation wird IMMER die vollständige IP-Adresse übertragen“
Auch Christian Bennefeld in der DSE seiner Webseite, 5.1 Tabelle Webseitenanalyse, verarbeitete Daten durch seinen Dienstleister: „IP-Adresse (anonymisiert)“
Richtig, sehr schöner Artikel!
Mit der „Wortlautanalyse“ a la Savigny kommt man im Datenschutz, aber auch im IT-Recht, nicht mehr weit. Die Erkenntnis, dass bestimmte Daten nach der DSGVO gelöscht oder anonymisiert gehören, genügt nicht, um bspw. im Data Warehousing eine effiziente Datenstrategie zu konzipieren.
SgH Dr. Datenschutz, wiedermal ein wunderbar sprachlich formulierter Newsletter, der … Wer ist eigentlich der Autor(en) dieser Veröffentlichung? Nennen Sie doch einfach mal „Roß und Reiter“ – den/die Verfasser – in personam! Oder ist das im Zeitalter des digitalen Informationsaustausches unüblich oder unseriös geworden?
MfG ein interessierter Leser
Veröffentlichungen unter Pseudonym sind auch heutzutage nicht unüblich. ;)
Im Sinne des Datenschutzes stellen wir es unseren Beratern frei, wie viel sie über sich preisgeben möchten und daher auch, ob sie Artikel unter dem Pseudonym „Dr. Datenschutz“ oder eigenem Namen veröffentlichen.
Dem kann ich nur zustimmen. Und der DSB kann auch gern mal einen Eintrag im Verarbeitungsverzeichnis bemängeln, wenn der nicht plausibel ist. Oft ist er schon zufrieden, wenn da nur irgendwas drin steht.
Dazu reicht auch eigene Weiterbildung, denn als einfacher Geisteswissenschaftlerin ist mir auch klar. Wichtiger ist mir eines: Als selbstständige Wissenschaftlerin brauche ich staatliche Unterstützung, um meine Technik auf den Stand zu bringen. Kryptographie reicht nicht aus, wenn niemand sonst verschlüsselt ist. Email-verkehr ist oder insgesamt ist Digitalisierung völliger Unfug, wenn nicht klar ist, dass Datenschutz eine völlige technische umstellung erfordert. Und sowas ist teuer.
@Glashaus:
Kurze Techniknachhilfe: Es gibt einen Unterschied zwischen der Verarbeitung einer IP-Adresse (z.B. durch ein Tracking System) und der Übertragung der IP-Adresse zur Kommunikation!
Hintergrund:
Die IP-Adresse wird bei jeder Kommunikation stets vollständig übertragen, das ist unstrittig. Bei einer Kommunikation mit Servern in die USA (z.B. Google Tag Manager) hat das zur Folge, dass die IP nicht nur dem Empfänger, sondern auch allen Routern bekannt ist, die am Transport beteiligt sind. Dort können sich Dritte z.B. US-Behörden an den IPs bedienen und Profile bilden. Edward Snowden läßt grüßen.
Was der Empfänger (also z.B. Google) mit der IP macht – sprich, ob er die vor der Verarbeitung kürzt, ist dabei unerheblich. Der Verstoß gegen Schrems II hat bereits stattgefunden!
Auf datenschutz-zwecklos.de verwenden wir mit etracker.com eine Anbieter, mit Sitz in Europa. Bei einer Kommunikation mit einem Website-Besucher verlässt die IP-Adresse nicht den Geltungsbereich der DSGVO – und man hat mit Schrems II kein Problem. Dass die IP-Adresse anschließend von etracker vor der *Verarbeitung* gekürzt (sprich anonymisiert) wird ist ein Fakt, der in die Datenschutzerklärung gehört. Daher steht das genau dort.
Ich hoffe der Unterschied ist jetzt etwas klarer. Die Technik ist offenbar doch nicht so einfach verständlich, wie ich immer denke…
@Christian Bennefeld: Danke für die Nachhilfe, aber das ist tatsächlich unstrittig. Sie haben glaube ich meinen Kommentar nicht ganz verstanden, aber ich helfe Ihnen dabei gern :) Nochmal: Sie behaupten, die IP-Adresse würde bei Ihrem Dienstleister lediglich anonymisiert verarbeitet, zumindest wird dies dem geneigten Leser Ihrer DSE so vermittelt, wenn er sich die besagte Tabelle anschaut. Dies ist schlicht falsch und widerspricht eben genau Ihrem Technikgrundkurs, den Sie hier so süffisant in den Raum gestellt haben. Die IP-Adresse wird nämlich erst nach (technisch notwendiger) vollständiger Übertragung bei Ihrem Dienstleister anonymisiert. Die Anonymisierung an sich ist jedoch eine Datenverarbeitung, genau wie die Löschung. Diese findet bei Ihrem DL statt. Bedeutet, Ihr Dienstleister verarbeitet natürlich die IP-Adresse nicht lediglich anonymisiert, sondern bekommt Sie zunächst in vollständiger Form, um sie dann zu anonymisieren. Insofern ist Ihre DSE an der Stelle in technischer Hinsicht falsch. Sie sollten das überarbeiten. Fügen Sie doch das Wörtchen „frühestmöglich“ in die Klammer, dann ist es wieder richtig. Bei der Gelegenheit bessern Sie doch auch die falsch genannte Rechtsgrundlage beim Tracking aus, da steht immer noch berechtigtes Interesse. Bitte, gerne ;)
@Glashaus: Danke, stimmt! Dass „frühstmöglich“ nur im Text steht, kann man leicht übersehen. Jetzt steht es auch nochmal in der Tabelle und ich finde es großartig, dass wir damit den Datenschutz für die Betroffenen auf ein völlig neues Niveau gehoben haben. Toll! Danke nochmal dafür!
Bei dem „berechtigten Interesse“ irrst Du aber leider. Wir betreiben etracker.com „cookie-less“. Damit werden weder „Daten im Endgerät des Nutzers gespeichert“ noch ausgelesen – und BGH greift nicht. Ich halte übrigens regelmäßig Referate zu dem Thema und es gibt nat. noch mehr notwenige Bedingungen für ein „berechtigtes Interesse. Mehr fyi hier im zweiten Video: datenschutz-zwecklos.de/blog/2020/12/in-eigener-sache-leidenschaft_fuer_datenschutz/
Das bei uns eingeblendete Banner dient übrigens lediglich der Transparenz und um es Besucher leicht zu machen, das Tracking abzulehnen. Wir respektieren einfach die Privatsphäre unserer Besucher und halten uns an die „Orientierungshilfen“.
Und abschließend: Ich verstehe Deine Nebelkerzen nicht. Mir geht es um krasse technische Falschaussagen von Beratern, die die Privatsphäre der Nutzer signifikant berühren (Export ihrer personenbezogender Daten in die USA vs „alles nur anonymisiert“) – und die man leicht lernen kann.
Deine tollen Verbesserungsvorschläge, wirken etwas grotesk im Vergleich. Was willst Du damit erreichen?
Christian Bennefeld: „Wir setzen keine Cookies mit e-tracker“.
Auch Christian Bennefeld, Tabelle Abschnitt Webseitenanalyse durch e-tracker: „Eingesetzte Technologien zur Datenspeicherung auf dem Gerät des Besuchers: Cookies“
Ja was denn nun Herr Bennefeld? Schaut man sich die Cookie-Liste an, auf die dann zur näheren Erläuterung verwiesen wird, dürfte es da mit dem berechtigten Interesse schwierig werden. Also ich weiß in Ihrem Fall wirklich nicht mehr was nun stimmt. Aber drüber sollte die DSE ja eigentlich transparent aufklären oder?
Nebenbei bemerkt kenne ich das unternehmsfreundliche Whitepaper von e-tracker und den Versuch das sog. cookieless tracking ohne Einwilligungserfodernis zu rechtfertigten. Halte ich für höchst fragwürdig. Wenn Sie da mal keinen Rechtsbruch betreiben. Das wesentliche Prüfungsergebnis sagt schon alles: „Wir halten es vor diesem Hintergrund für vertretbar, die dargestellte Datenverarbeitung durch die Rechtsgrundlage des Art. 6 Abs.1 f DSGVO zu rechtfertigen.” Aha, vertretbar also, klingt voll nach super Datenschutz. Von einem Bürgerrechtsvertreter hätte ich da mehr erwartet. Keine vertretbare, sondern eine rechtssichere Lösung für seine Webseitenbesucher. Oder gar kein Tracking wie wärs denn damit?
Ich finde es im übrigen bemerkenswert, dass Sie sich von Nebelkerzen und grotesken Vorschlägen dazu bewegen lassen, Ihre Datenschutzerklärung zu ändern. Vielleicht denken Sie ja mal über folgendes nach: Sie echauffieren sich über mangelndes Technikverständis von anderen, schreiben aber selbst technischen Quatsch auf Ihrer Webseite. Sie mimen den Bürgerrechtler, tracken aber mit Lösungen im rechtlichen Graubereich. Sie reden von Transparenz, die Realität und die Erklärungen in Ihrer DSE stimmen aber nicht überein.
Man kann immer Kritik üben. Wenn man aber schon glaubt, dies mit Fingerzeigen auf andere in einem öffentlichen Forum machen zu müssen, dann sollte man vorher schon mal vor der eigenen Haustüre kehren, meinen Sie nicht?
Und zuletzt zum Thema krasse Falschaussage: Die IP-Adresse wird meines Wissen bei Google Analytics in der Regel bereits auf europäischen Servern gekürzt. Zumindest nach Aussage von Google. Insofern wäre der anschließende Export in die USA ja dann wieder in anonymisierter Form oder? Da bin ich mir aber nicht sicher, da brauche ich wieder Technik-Nachhilfe von Ihnen.
Jetzt weiß ich endlich was dabei raus kommt, wenn man schlecht sortiertes Halbwissen mit blühender Phantasie mischt, und damit ein Haar in die Suppe konstruiert, das man dann spaltet. Toll: ein Troll!
Daher @Glashaus: Falls Du nicht nur tollen willst, sondern ECHTE Verbesserungsvorschläge hast, die den Betroffendatenschutz REAL verbessern, setzen wir die gerne sofort um. Kennst Du ja. Immer her damit!
Auch wenn Du Dich sachlich streiten willst: Sehr gerne! Kontaktiere mich per E-Mail. Ich freue mich auf den Austausch. Trollen geht nur bis zum Forumszaun ;-)
Die Diskussion um Deine kruden rechtlichen Irritationen möchte ich nur hier nicht weiter vertiefen. Ich mag da Augenhöhe. Dafür hast Du Verständnis.
Nur eins zu Schluss, weil mich Deine Unkenntnis wirklich traurig stimmt:
Ich bin seit über 20 Jahre im Datenschutz und engagiere mich seit sieben Jahren primär für mehr Bürgerdatenschutz durch digitale Selbstverteidigung: Mit eBlocker.org. Dafür schlägt mein Herz. Zu Behaupten ich würde nur den „Bürgerrechtler mimen“ grenzt an die Behauptung „Trump hat die Wahl gewonnen“. Einfach blanker Unsinn.
Hier noch Deine Nachhilfe:
Unter Windows: „Windows taste klicken“ (nicht halten) und „cmd“ eingeben.
In dem „schwarzen Fenster“ dann „tracert google-analytics.com“ eingeben.
Du siehst die Route (Router IPs), die die TCP/IP Pakete Deines Rechners nehmen.
Jetzt die einzelnen angezeigten IPs in einen Geo-localizer wie maxmind.com stecken.
Und was kommt raus? Deine aberwitzigen Annahmen zur Googles IP-Kürzung sind Quatsch und Deine IP landet in Mountain View. Toll, Troll!
[Aber VORSICHT wenn Du das nachvollziehst: IP-Adressen bitte unbedingt vorher kürzen, damit sich durch Deine Verarbeitung kein Haar bei Dir spaltet. Besser doch erst eine Risikofolgenabschätzung? Du bist der trolle „Experte“ ;-)]
„Bitte gerne :)“
@Christian Bennefeld und Glashaus:
ihr könnt hier gerne weitermachen, ich habe mir schon mal Bier und Chips bereitgestellt :-)