Datenschutz und Datensicherheit

Open Source

Am besten könnt ihr bei quelloffener Software überprüfen, wie sicher eure Daten vor unberechtigten Zugriffen sind.

Virtual Private Network

Meist ist dies die Basis für den Zugriff auf ein Firmennetzwerk von außen. Vertraut jedoch nicht blindlings den oft falschen Versprechungen von VPN-Anbietern sondern nutzt quelloffene Programme wie OpenVPN oder WireGuard.

Fernwartungssoftware

Mit Remotely gibt es eine gute OpenSource-Alternative zu TeamViewer oder AnyDesk.

Konfiguration

Kontrolliert auch bei Open-Source-Software, ob die Standard-Einstellungen wirklich datenschutzfreundlich sind:

So erstellt zum Beispiel Jitsi Meet externe Verbindungen zu gravatar.com und protokolliert mit dem Logging-Level INFO viel zu viele Informationen. Frühere Jitsi-Apps banden auch die Tracker Google CrashLytics, Google Firebase Analytics und Amplitude ein. Betreibt, wenn möglich, eigene STUN-Server, sonst wird meet-jit-si-turnrelay.jitsi.net verwendet.

Verschlüsselungsmethoden

Hier solltet ihr unterscheiden zwischen der Transportverschlüsselung – idealerweise Ende-zu-Ende – und der Verschlüsselung von gespeicherten Daten.

Die Synchronisierungssoftware Syncthing nutzt beispielsweise sowohl TLS als auch Perfect Forward Secrecy, um die Kommunikation zu schützen.

Ihr solltet informiert werden, wenn sich der Fingerprint eines Schlüssels ändert.

Metadaten

Achtet darauf, dass Kommunikationssoftware Metadaten vermeidet oder zumindest schützt; sie können sehr viel über das Leben der Nutzer aussagen.

Audits

Auch die Sicherheitsrisiken von quelloffener Software lassen sich nur von Fachleuten erkennen. Nutzt Software, die einen Sicherheits-Audit erfolgreich bestanden hat.

Tracker

Smartphone-Apps binden häufig sehr viele Tracker ein, die ohne das Wissen der Nutzer*innen Daten an Dritte wie Google oder Facebook weitergeben. εxodus Privacy ist eine Website, die Android-Apps analysiert und anzeigt, welche Tracker in einer App eingebunden sind.

Kontrolliert auch, ob die von einer App angeforderten Berechtigungen zur geplanten Nutzung passen. Es ist zum Beispiel unverständlich, warum Messenger wie Signal, Telegram und WhatsApp zwingend die Eingabe der eigenen Telefonnummer verlangen.

Malvertising

Vermeidet Apps, die Werbung einbinden und damit die Gefahr von Werbung mit Schadcode bergen. Darüberhinaus können Trackingunternehmen über eingebundene Werbung die Aktivitäten der Nutzer*innen auswerten und vermarkten.

Es gibt zahlreiche Tools wie uBlock Origin für Firefox, Blokada für Android und iOS oder AdGuard Pro für iOS, die die Auslieferung von Werbung und den Abfluss persönlicher Daten unterbinden. Mit HttpCanary für Android-Apps und Charles Proxy für iOS-Apps können Nutzer selbst untersuchen, wie sich Apps verhalten, sofern die App-Entwickler nicht auf Certificate-Pinning zurückgreifen. Die Burp Suite schneidet deutlich mehr als nur Datenpakete mit und kann auch Certificate-Pinning umgehen.

Dezentrale Datenspeicherung

Am sichersten ist es, wenn Daten dezentral gespeichert werden. Falls dies nicht möglich ist, sind föderierte Systeme, wie zum Beispiel die E-Mail-Infrastruktur, zentralen vorzuziehen.

Finanzielle Transparenz

Falls hinter quelloffener Software Unternehmen stehen, sollten diese ihre Finanzen und finanziellen Interessen an der Software transparent darstellen. Ein gutes Beispiel ist in dieser Hinsicht Delta Chat.

Verfügbarkeit

Ist eine Android-App beispielsweise nur über Googles Play Store oder auch über den datenschutzfreundlicheren F-Droid Store.

Datensparsamkeit

Prüft bei der Auswahl von Software nicht nur, ob sie alle funktionalen Anforderungen erfüllt, sondern auch, ob sie nur die notwendigen Daten speichert.

Datensynchronisation

Daten einer Software sollten zwischen mehreren Geräten abgeglichen werden können, ohne dass ein zentraler Server zur Vermittlung dafür benötigt wird. So synchronisieren wir beispielsweise unsere KeePass-Datenbank direkt zwischen unseren Geräten mit Syncthing und nicht über WebDAV oder Nextcloud. Dadurch werden die Passwort-Daten nirgends zwischengespeichert, sondern nur dort gespeichert, wo sie auch gebraucht werden.

Backup

Damit alle relevanten Daten auch sicher über die gesamte Nutzungsdauer verfügbar sind, sollten Sicherungskopien erstellt werden. Diese sollten an einem sicheren Ort liegen, der auch rechtlich zulässig ist. Auch sollte die Sicherung automatisch erfolgen und die Backups verschlüsselt werden.

Die Programmiersprache Rust [1] wird immer populärer und wird zunehmend zur Kryptografie eingesetzt. Für Rust spricht, dass die Sprache eine sehr sichere Speicherverwaltung verspricht, wodurch Fehler wie Pufferüberläufe und use after free unwahrscheinlicher werden. Angesichts der einer der bekanntesten TLS-Schwachstellen, dem OpenSSL Heartbleed-Bug [2], der die Speichersicherheit verletzt, ist diese Entwicklung nicht überraschend.

So wurde vor Kurzem für die curl-Bibliothek ein neues TLS-Backend mit Rustls [3] angekündigt [4]. Auch Hyper [5], eine in Rust geschriebene HTTP-Bibliothek, soll als Backend für Curl bereitgestellt werden [6].

Auch die Internet Security Research Group (ISRG) [7] kündigte an, dass sie ein Rust-basiertes TLS-Modul für den Apache-Webserver unterstützen werden [8]. Finanziert wird dies im Rahmen der Bemühungen von Google und der ISRG, Portierungen kritischer Open-Source-Software in speichersichere Sprachen zu überführen [9].

Der Umzug des Kryptographie-Pakets von Python führte jedoch zu heftigen Diskussionen un der Community, da vor allem einige ältere Plattformen ohne Rust-Compiler nicht mehr unterstützt würden [10]. Das cryptography [11]-Projekt hat bereits begonnen, Teile seines ASN1-Parsing-Codes in Rust zu reimplementieren, [12] [13] da ASN1-Parser in der Vergangenheit häufig Schwachstellen bei der Speichersicherheit aufwiesen.

Im Einzelnen unterstützt GitLab

• durch die Verwaltung von Regeln und Richtlinien
• durch die Automatisierung von Compliance-Workflows
• durch ein Audit-Management, das Aktivitäten protokolliert, Vorfälle identifiziert und die Einhaltung der Compliance-Regeln nachweist
• durch ein Security-Management, das die Sicherheit des Quellcodes überprüft um Schwachstellen nachzuverfolgen und zu verwalten (→ DevSecOps).

Alvar Freude ist Referent für technischen Datenschutz und Informationsfreiheit beim LfDI Baden-Württemberg. Zudem ist er Autor u.a. von PostgreSQL Secure Monitoring (Posemo) und TLS-Check. Er analysierte den Datenbank-Code des corona-warn-app Server und veröffentlichte seine Erkenntnisse auf Twitter.

Im Folgenden sind hier seine Tweets nochmal zusammengefasst und ergänzt:

# TYPE  DATABASE        USER            ADDRESS                 METHOD
local   all             postgres                                peer
host    all             all             10.23.42.1/24           scram-sha-256

CREATE DATABASE cwa;
REVOKE ALL ON cwa FROM PUBLIC;

REVOKE ALL ON diagnosis_key FROM PUBLIC;
REVOKE ALL ON diagnosis_key FROM current_user;

CREATE ROLE cwa_users;
CREATE USER cwa_reader IN ROLE cwa_users PASSWORD '…';
CREATE USER cwa_inserter IN ROLE cwa_users  PASSWORD '…';

GRANT CONNECT ON DATABASE to cwa_users;
GRANT SELECT ON diagnosis_key TO cwa_reader;
GRANT INSERT ON diagnosis_key TO cwa_inserter;

CREATE OR REPLACE FUNCTION get_key_data(in_id UUID)
    RETURNS JSONB
    AS 'SELECT key_data FROM diagnosis_key WHERE id = in_id;'
    LANGUAGE sql SECURITY DEFINER SET search_path = :schema, pg_temp;

ALTER FUNCTION get_key_data(UUID) OWNER TO cwa_owner;
REVOKE ALL ON FUNCTION get_key_dataUUID) FROM PUBLIC;
GRANT EXECUTE ON FUNCTION get_key_data(UUID) TO cwa_reader;

CREATE EXTENSION "uuid-ossp";
CREATE TABLE diagnosis_key (
  id uuid primary key default uuid_generate_v4() NOT NULL,
  …
);

CREATE EXTENSION "pgcrypto";
CREATE TABLE diagnosis_key (
  id uuid primary key default gen_random_uuid() NOT NULL,
  …
);

SELECT age(submission_timestamp);
SELECT submission_timestamp - '1 day'::interval;

DELETE FROM diagnosis_key WHERE age(submission_timestamp) > 30;

Unternehmen und Organisationen haben Daten, die sie nicht auch anderen zur Verfügung stellen wollen. Zudem stehen sie auch ihren Kunden, Partnern und Angestellten in besonderer Verantwortung. Nicht Souverän dieser Daten zu sein, bedeutet nicht nur einen Vertrauensverlust, sondern meist auch kommerzielle Einbußen.

Zeigt euren Kunden, Partnern und Mitarbeitern, dass euch Datenschutz wichtig ist und ihr Verantwortung übernehmt zur Wahrung ihrer Privatsphäre. Zeigt, dass ihr die Regeln der Europäischen Datenschutz-Grundverordnung (DSGVO) von Mai 2018 umgesetzt habt.

Verzichtet daher auf Google-Dienste und benutzt Alternativen. Google verdient Geld mit den Daten, die ihr Google liefert:

Mit eurer Erlaubnis gebt ihr uns weitere Informationen über euch selbst und eure Freunde, wodurch wir die Qualität unserer Suche verbessern können. Ihr müsst überhaupt nicht tippen. Wir wissen wo ihr seid. Wir wissen, wo ihr wart. Wir können mehr oder weniger wissen, woran ihr denkt. [1]

Diese Äußerung des damaligen Google CEO, Eric Schmidt, ist aktueller denn je. Es kann einem schon unheimlich werden bei der Vorstellung, dass ein Konzern mehr oder weniger weiß, woran man denkt. Lediglich einen Teil dieser Informationen gibt der Konzern auch wieder preis, sofern ihr noch ein Google-Konto besitzt – gespeicherte Graphen und andere Auswertungen bleiben euch weiter verborgen.

Im Folgenden wollen wir euch einige datenschutzfreundliche Alternativen zu Google-Diensten vorstellen:

Für die Beuth Hochschule entwickeln wir den Prototypen einer Medikamenten-App. Dabei soll die Sicherheit für Patienten bei der Medikation verbessert werden, und zwar insebsondere

• das Monitoring des Einnahmerhythmus
• die Warnung vor Nebenwirkungen und wechselseitigen Beeinflussungen.

Zudem sollte die App nicht nur von Patienten selbst genutzt werden können, sondern auch für Angehörige Und Pflegekräfte möglich sein.

Tatsächlich gibt es bereits viele Apps, die versprechen, die Anforderungen zu erfüllen. Bei einer genaueren Recherche wiesen sie jedoch erhebliche Mängel auf.

Am 12. April 2019 wurde die Website matrix.org gehackt. Anschließend wurden auf GitHub einige der Fehler veröffentlicht, die diesen Angriff ermöglicht haben, u.a. [SECURITY] SSH Agent Forwarding. Eine Zusammenfassung dieser Fehler findet sich in Repost of the security issues. Dabei war der initiale Fehler, dass den Entwicklern SSH-Forwarding erlaubt wurde.

Host bastion
  HostName bastion.example.org

Host target
  HostName target.example.internal
  Port 2222
  ProxyCommand ssh -W %h:%p bastion

Host bastion
  HostName bastion.example.org

Host target
  HostName target.example.internal
  Port 2222
  ProxyJump bastion

ssh -o 'ProxyJump=bastion.example.org' target.example.internal -p 2222

Sicherheit

Bereitstellung moderner und HTTPS-verschlüsselter Kommunikation. Ihr bleibt im Besitz eurer Daten und werdet niemals eingesperrt.

Konfigurierbarkeit

Nutzt eine flexible, datenschutzkonforme Lösung für Unternehmen mit umfassender API und offenem Quellcode auch für mobile und Desktop-Apps.

Skalierbarkeit

Mettermost lässt sich einfach skalieren von kleinen Teams bis hin zu großen Unternehmen.

Unzählige Organisationen haben im vergangenen Jahr ihre Websites auf das sichere Transportprotokoll umgestellt: Heise, The Guardian, Wired, SourceForge, und viele mehr. Laut Mozillas Telemetrie-Daten übertraf der TLS-verschlüsselte Traffic im Oktober erstmals die 50-Prozent-Marke. Vermutlich wird es jedoch wohl noch viele Jahre dauern bis alle Sites verschlüsselt ausgeliefert werden und HTTP deaktiviert werden kann.

Es gab jedoch auch einige neue Angriffe: SLOTH (Security Losses from Obsolete and Truncated Transcript Hashes), Sweet32 und DROWN ließen uns nicht vergessen, dass alte, unsichere Algorithmen weiterhin eine Bedrohung darstellen.

Zertifizierungsstellen sind nach wie vor bedeutend, wenn es um die Sicherheit von TLS geht. Der Rauswurf von WoSign und StartCom erinnerte daran. Erfreulicherweise gibt es mit Let's Encrypt nun auch freie zertifikate die erheblich zur Verbreitung von HTTPS beigetragen haben. Und dank Zertifikatstransparenz, die für alle neuen Zertifikate ab Oktober 2017 erforderlich ist, kann der Missbrauch in diesem Bereich heute viel besser erkannt werden.

Auch TLS 1.3 wird ab Anfang 2017 die Sicherheit und Leistung für verschlüsselte Verbindungen deutlich verbessern.

Und wer sich weiter über diese Themen informieren möchte, kann sich die Videos einiger Vorträge beim 33ten Chaos Communication Congress (33C3) anschauen:

• DROWN Attack
• Certificate Transparency
• Deploying TLS 1.3: the great, the good and the bad
• Evidence-Based IT-Security

Im Oktober kippte der Europäische Gerichtshof das so genannte Safe-Harbor-Abkommen zwischen der EU und den USA. Seit dem 1.2.2016 ist auch die Übergangsfrist abgelaufen und alle Unternehmen, die Daten mit den USA austauschen, agieren in einer rechtlichen Grauzone. Datenschutzbehörden können Unternehmen, die personenbezogene Daten nicht datenschutzkonform in die USA transferieren, mit einem Bußgeld in Höhe von bis zu 300.000 EUR belegen. Ein neues Abkommen, das Rechtssicherheit gewähren würde, ist nicht in Sicht.

Oft wird Unternehmen die Nutzung der EU-Standardvertragsklausel als Interimslösung empfohlen. Doch laut Dr. Rauschhofer ist auch diese Lösung nicht wirklich tragbar.

»Betrachtet man (…) die Komplexität und Kompliziertheit der Themen (…) müsste fast ein Wunder geschehen, wenn Anfang Februar ein Konsens über die Zulässigkeit des Datentransfers in die USA erzielt wird. Realistisch betrachtet bedeutet dies für die Verantwortlichen eines Unternehmens, die datenschutzrechtliche Zulässigkeit von Datenübermittlungen sicherzustellen. Soweit diese bislang noch in die USA erfolgen, dürfte zu erwarten sein, dass selbst auf Basis der EU-Standard-Vertragsklauseln diese als unzulässig angesehen werden.«

Die Datenschutzbehörden haben bereits im Oktober 2015 darauf hingewiesen, dass im Lichte des EuGH-Urteils die Standard-Vertragsklausel in Frage gestellt sei.

Da auch die sogenannte Einwilligungs-Lösung im Einzelfall problematisch sei, sieht Dr. Rauschhofer für Unternehmen nur eine sichere Lösung: ernsthaft über einen Exit nachzudenken und sofort Verhandlungen mit datenschutzkonformen IT-Dienstleistern innerhalb der EU aufzunehmen, denn es sei »davon auszugehen, dass eine prüfende Datenschutzbehörde kein Bußgeld verhängen wird, wenn das Unternehmen hier unverzüglich nach dem Scheitern einer Lösung eine rechtskonforme Umsetzung begonnen hat.

Abschließend rät Dr. Rauschhofer den Unternehmen:

»Als sorgfältiger Unternehmer sollte man daher nach unserer Auffassung bereits jetzt vorsorglich Verhandlungen mit datenschutzkonformen Anbietern aufnehmen.«

Als ein IT-Anbieter, der von Anfang an auf Datensicherheit und Datenschutz größten Wert gelegt hat, sieht sich Cusy einmal mehr bestätigt. Die Entwicklungs- und Betriebsplattform von Cusy ist so aufgebaut, dass sie die strengen Richtlinien des deutschen Datenschutzes erfüllt. Das entlastet Entwickler und Betreiber und gibt ihren mehr Sicherheit. Firmen, die zu einem datenschutzkonformen Anbieter wechseln möchten, bietet Cusy eine umfassende technische Beratung für mehr Datenschutz und Datensicherheit sowie eine tatkräftige Unterstützung bei der Migration ihrer Anwendungen.

Update 6.6.2016: Erste Bußgelder verhängt

Die Hamburger Datenschutzbehörde hat erste Bußgelder gegen Unternehmen verhängt. Nachdem der EuGH das Safe-Harbour-Abkommen im Oktober 2015 für ungültig erklärt hat, prüfte die Hamburger Datenschutzbehörde 35 international agierende Unternehmen in Hamburg. Drei Bußgeldbescheide sind mittlerweile rechtskräftig geworden. Die drei Unternehmen hatten auch sechs Monate nach dem Wegfall von Safe-Harbour noch keine datenschutzrechtlich akzeptable Alternative für den Transfer von persönlichen Daten in die USA geschaffen. Die Bußgelder fielen niedrig aus, da die Unternehmen ihr Verfahren inzwischen auf Standardvertragsklauseln umgestellt haben.

In seiner Presseerklärung weist die Hamburger Behörde aber daraufhin, dass im Rahmen der Privacy-Shield-Verhandlungen auch »über die Zulässigkeit der derzeit nicht beanstandeten alternativen Übermittlungsinstrumente, insbesondere sogenannter Standardvertragsklauseln, zu entscheiden sein« wird. Dies ist ein deutlicher Hinweis darauf, dass auch die Standardvertragsklauseln rechtlich umstritten sind und damit keine dauerhaft sichere Lösung darstellen. (Näheres dazu in diesem Artikel auf Heise Online.)

Die Empfehlungen von Dr. Rauschhofer, sich einen datenschutzkonformen IT-Dienstleister innerhalb der EU zu suchen, erhalten durch diese Entwicklung neue Aktualität.

Im Oktober kippte der Europäische Gerichtshof das so genannte Safe-Harbor-Abkommen zwischen der EU und den USA. Seit dem 1.2.2016 ist auch die Übergangsfrist abgelaufen und alle Unternehmen, die Daten mit den USA austauschen, agieren in einer rechtlichen Grauzone. Datenschutzbehörden können Unternehmen, die personenbezogene Daten nicht datenschutzkonform in die USA transferieren, mit einem Bußgeld in Höhe von bis zu 300.000 EUR belegen.

Die Hamburger Datenschutzbehörde hat nun erstmals ein solches Bußgeld verhängt. Die Behörde hat seit Oktober 2015 35 international agierende Unternehmen in Hamburg geprüft. Drei Bußgeldbescheide sind mittlerweile rechtskräftig geworden. Die drei Unternehmen hatten auch sechs Monate nach dem Wegfall von Safe-Harbor noch keine datenschutzrechtlich akzeptable Alternative für den Transfer von persönlichen Daten in die USA geschaffen.

Die Bußgelder fielen jedoch vergleichsweise niedrig aus, da die Unternehmen ihr Verfahren inzwischen auf Standardvertragsklauseln umgestellt haben.In seiner Presseerklärung weist die Hamburger Behörde aber darauf hin, dass im Rahmen der Privacy-Shield-Verhandlungen auch »über die Zulässigkeit der derzeit nicht beanstandeten alternativen Übermittlungsinstrumente, insbesondere sogenannter Standardvertragsklauseln, zu entscheiden sein« wird. Dies ist ein deutlicher Hinweis darauf, dass auch die Standardvertragsklauseln rechtlich umstritten sind und damit keine dauerhaft sichere Lösung darstellen. (Näheres dazu in diesem Artikel auf Heise Online.)

Die Datenschutzbehörden haben bereits im Oktober 2015 darauf hingewiesen, dass im Lichte des EuGH-Urteils die Standard-Vertragsklausel in Frage gestellt sei. Da auch Privacy Shield, das Nachfolgeabkommen von Safe Harbour umstritten ist, sollten Unternehmen, die auf der sicheren Seite sein wollen, jetzt Verhandlungen mit datenschutzkonformen IT-Dienstleistern innerhalb der EU aufzunehmen.

Deutsches Datenschutzrecht als Vorbild

Die DSGVO übernimmt in weiten Teilen Regelungen und Grundsätze aus dem deutschen Datenschutzrecht. So ist zum Beispiel auch in Zukunft jede Nutzung von persönlichen Daten erst einmal grundsätzlich verboten, wenn sie nicht explizit erlaubt ist oder wenn der Betroffene der Nutzung seiner Daten ausdrücklich zugestimmt hat. Ferner bleiben die Grundsätze der Datensparsamkeit, der Transparenz und der Zweckbindung gültig.

Die neuen und verschärften Regelungen

Umfangreiche Informationspflichten

Die Informationspflicht von Unternehmen wurde verschärft. Sie sind zukünftig verpflichtet, den Nutzern ihrer Dienste Auskunft zu erteilen über die Rechtsgrundlage zur Datenverarbeitung, die Dauer der Speicherung, die Art und Weise der Weitergabe von Daten an Auftragsdatenverarbeiter und vieles mehr.

Recht auf Datenportabilität

Nutzer*innen haben in Zukunft ein Recht auf Datenportabilität. Sie können in Zukunft zum Beispiel darauf bestehen, dass ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format an einen anderen Anbieter weitergegeben werden. Diese Regelung soll die Entwicklung interoperabler Formate fördern und wird vermutlich Auswirkungen auf die Entwicklung neuer Softwaresysteme haben.

Rechenschaftspflicht und Beweisumkehr im Streitfall

Ein großer Aufwand erwächst Unternehmen, Behörden und Selbstständigen aus der Rechenschaftspflicht. Sie müssen geeignete technische und organisatorische Maßnahmen ergreifen, um lückenlos nachweisen zu können, dass sie datenschutzkonform handeln. In einem Artikel der c’t wird darauf hingewiesen, dass sich hieraus haftungsrechtliche Konsequenzen ergeben und vor Gericht die Beweislast umgekehrt wird. Bisher mussten Betroffene vor Gericht nachweisen, dass das Unternehmen oder die Behörde für eine Verletzung des Datenschutzes die Verantwortung trägt. In Zukunft muss der Datenverarbeiter nachweisen, dass er datenschutzkonform gehandelt hat.

Datensicherheit nach ISO/IEC 27001

Strengere Regeln gelten zukünftig bei der Datensicherheit. Der Anbieter muss nach der neuen DSGVO die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste gewährleisten, auf denen personenbezogene Daten verarbeitet werden. Eine Zertifizierung nach ISO/IEC 27001 kann dies sicherstellen.

Datenschutz-Folgenabschätzung

Auswirkungen auf die Entwicklung von Software dürfte eine weitere neue Regelung der DSGVO haben. Unternehmen müssen bei einer risikobehafteten Datenverarbeitung zukünftig eine Datenschutz-Folgenabschätzung durchführen. Falls sich aus dieser Abschätzung ein mögliches Risiko für die Betroffenen abzeichnet, müssen sie die zuständige Datenschutzbehörde darüber informieren. Diese soll dann innerhalb von acht Wochen dem Unternehmen schriftlich Empfehlungen zur Risikominimierung machen. Ob sich diese bürokratische Regelung in der Praxis bewährt, muss abgewartet werden. Softwareentwickler tun aber gut daran, Datenschutzüberlegungen in ihren Test-Szenarien abzudecken.

Hohe Strafen

Die DSGVO verpflichtet Unternehmen, Behörden und Selbstständige dazu, ein aufwändiges Datenschutzmanagement aufzubauen. Dass die EU es mit dem Datenschutz ernst meint, zeigen die neuen Sanktionen. Verstöße gegen die Verordnung können in Zukunft mit Strafzahlungen von bis zu 20 Millionen Euro oder bis zu 4 Prozent des globalen Umsatzes geahndet werden.

Nutzen Sie die Zeit bis zum Inkrafttreten der DSGVO!

Auch wenn die DSGVO erst in zwei Jahren in Kraft tritt, sollte man sich schon heute Gedanken zu Umsetzung machen. Nutzen Sie die nächsten Monate,

• um sich einen umfassenden Überblick darüber zu verschaffen, wo und wie in Ihrem Unternehmen personenbezogene Daten verarbeitet werden,

• um alle relevanten Datenverarbeitungsprozesse zu dokumentieren,

• um ein Konzept zur Datensicherheit möglichst nach ISO 27001 zu erarbeiten und

• um die Schritte vorzubereiten, die notwendig sind, um eine Datenschutz-Folgenabschätzung abgegeben zu können.

Die Datenschutz-Experten von Cusy stehen Ihnen bei technischen und organisatorischen Fragen gerne zur Verfügung. Als Kunde von Cusy profitieren Sie von einer technischen Infrastruktur, die bereits heute wichtige Vorgaben der neuen DSGVO erfüllt.

Weitere Informationen rund um die neue DSGVO finden Sie beim Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V.

Glücklicherweise gibt es mit der Open-Source-Software Matomo eine datenschutzkonforme Alternative zu Google Analytics. Matomo kann als reine Inhouse-Lösung betrieben werden, sodass keine datenschutzrechtlich sensiblen, personenbezogenen Daten in die USA transferiert werden. Sämtliche Daten bleiben auf den Systemen des Website-Betreibers.

Datenschutzkonform konfigurieren

Wie Sie Matomo datenschutzkonform konfigurieren, hat Cusy in einer aktuellen FAQ zusammengestellt. So können Sie beispielsweise IP-Adressen bei der statistischen Verarbeitung automatisch anonymisieren, indem die letzten beiden Oktette der IP auf Null setzen (Beispiel: 198.172.130.12 wird zu 198.172.0.0). Dies stellt sicher, dass sich Nutzeraktivitäten nicht mehr bestimmten Internetanschlüssen zuordnen lassen. Außerdem beschreibt die FAQ, wie Sie die in den Datenschutzrichtlinien geforderte Opt-Out-Möglichkeit implementieren können und die DoNotTrack-Funktion moderner Browser respektieren können.

Großer Funktionsumfang

Der Funktionsumfang von Matomo ist groß und umfasst neben Echtzeitanalyse, Mandantenfähigkeit und Kampagnentracking viele Leistungsmerkmale zur technischen und inhaltlichen Optimierung von Webseiten.

So bezeichnete Jan Philipp Albrecht, der Berichterstatter des Europäischen Parlaments im Verfahren zur Europäischen Datenschutzverordnung, das Abkommen als einen Witz. Die EU-Kommission verkaufe fundamentale Bürgerrechte und riskiere, erneut vom Europäischen Gerichtshof gemaßregelt zu werden. Zentraler Punkt der Kritik ist, dass EU-Bürger*innen ihre Rechte nicht vor US-Gerichten einklagen können. Sie müssen ihre Datenschutzrechte auf dem Verwaltungsweg durchsetzen. Peter Schaar, der ehemalige Bundesbeauftragte für Datenschutz und Informationsfreiheit, hält es deshalb auch für fraglich, ob die neuen Bestimmungen in den USA, auf denen der ›Privacy Shield‹ aufbaut, den Rechtsschutzgarantien der EU-Grundrechte-Charta genügen.

Man kann also davon ausgehen, dass Datenschützer auch gegen ›Privacy Shield‹ vor dem Europäischen Gerichtshof klagen werden. Eine dauerhafte Rechtssicherheit für Unternehmen, die personenbezogene Daten in die USA transferieren, zeichnet sich erst einmal nicht ab. Das unangenehme Szenario, das zum Beispiel der auf IT-Recht spezialisierte Rechtsanwalt Dr. jur. Hajo Rauschhofer entwirft, bleibt damit immer noch bedrohlich aktuell. Das gilt auch für das Fazit des Rechtsanwaltes: Auf der sicheren Seite sind Unternehmen nur dann, wenn sie ihre Daten in Europa bei einem datenschutzkonformen Anbieter speichern und verarbeiten. »Als sorgfältiger Unternehmer«, so Dr. Rauschhofer »sollte man daher nach unserer Auffassung bereits jetzt vorsorglich Verhandlungen mit datenschutzkonformen Anbietern aufnehmen.«

Als ein IT-Anbieter, der von Anfang an auf Datensicherheit und Datenschutz größten Wert gelegt hat, sieht sich Cusy einmal mehr bestätigt. Natürlich kann Cusy nicht alle Datenschutzprobleme deutscher Unternehmen lösen. Aber die Entwicklungs- und Betriebsplattform von Cusy ist so aufgebaut, dass sie die strengen Richtlinien des deutschen Datenschutzes erfüllt. Das entlastet Entwickler und Betreiber und gibt ihnen mehr Sicherheit.

Firmen, die mit ihrer Entwicklungs- und Betriebsplattform zu einem datenschutzkonformen Anbieter wechseln möchten, bietet Cusy eine umfassende technische Beratung für mehr Datenschutz und Datensicherheit sowie eine tatkräftige Unterstützung bei der Migration ihrer Anwendungen.

Update:

Die deutschen Datenschützer lehnten auf der 91. Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder das Abkommen in seiner bisherigen Form ab, da der Datenschutz in den USA nicht auf europäischem Niveau sei (Adäquanz). Sie schreiben in einem Beschluss, der kurzzeitig online war und von dem Rechtsanwalt Dr. Carlo Piltz gesichert werden konnte:

Der bislang vorgelegte Entwurf der Adäquanzentscheidung genügt nicht, um von einem angemessenen (essentially equivalent) Datenschutzniveau sprechen zu können. (…) Es besteht daher dringender Nachbesserungsbedarf. (…) Die Art-29-Gruppe kann auf der Basis der vorgelegten Dokumente keine zustimmende Stellungnahme zur Adäquanzentscheidung im Sinne von Erwägungsgrund 128 des Entscheidungsentwurfs abgeben. Sollte die KOM die Adäquanzentscheidung treffen, ohne die Defizite auszuräumen, wird die Art-29-Gruppe befürworten, dass diese Entscheidung (etwa durch Musterklagen einzelner Datenschutzaufsichtsbehörden) durch Vorlage an den EuGH überprüft wird.

Im Klartext heißt das: Die deutschen Datenschützer wollen, dass die Artikel-29-Datenschutzgruppe (ein EU-Gremium bestehend aus Vertretern der nationalen Datenschutzbehörden) Privacy Shield in der aktuellen Fassung ablehnt. Ferner soll die Gruppe die EU-Kommission auffordern nachzubessern und mit einer Klage vor dem EuGH drohen, falls die Kommission keine Nachbesserung vornehmen sollte. Ob die europäischen Datenschützer die Position ihrer deutschen Kolleg*inen übernehmen werden, ist noch nicht entschieden. Der Klageweg gegen Privacy Shield bleibt aber so oder so offen. Eine Lösung des Problems rückt damit in weite Ferne.   

Wenn Sie Fragen zu Datenschutz, Datensicherheit und IT-Compliance haben,
wendet euch vertrauensvoll an Veit Schiele von Cusy.
Telefon: +49 30 22430082
E-Mail: info@cusy.io