Statt über das zu schreiben, worüber andere berichtet haben, enthält dieser Jahresrückblick die relevantesten Beiträge des Dr. DSGVO Blogs zum digitalen Datenschutz. Es handelt sich also nicht um den 23. Jahresrückblick mit den gleichen Inhalten.
Einleitung
Mehrere hundert Beiträge wurden bisher auf Dr. DSGVO veröffentlicht. Thematisiert wurde und wird der digitale Datenschutz. Das Internet, unendliche Weiten. Eine Geschichte voller Missverständnisse.
Um diese Missverständnisse auszuräumen, begann der Dr. DSGVO Blog mit einem Beitrag zu Cookies. Cookies sind keine Textdateien, erst recht keine kleinen Dateien. Was harmlos klingt, zeigt das Problem im Datenschutzmarkt: Viele meinen, sie wüssten Bescheid, haben aber von Technik keine Ahnung. Viele wissen, dass sie keine Ahnung haben, tun aber so, als wären sie Experten, um Rechnungen schreiben zu können.
Das Schöne an der Technik: Der Beweis ist oft einfach möglich. Ganz im Gegensatz zu juristischen Auseinandersetzungen. Grundsätzlich kann alles in Frage und strittig gestellt werden. Das ist nicht nur ein Vorzug, sondern auch ein Mangel unseres Rechtssystems.
Doch kommen wir zu den angenehmen Dingen des Lebens, dem Rückblick auf einige nennenswerte Beiträge.
Darum ging es im Jahr 2022 auf Dr. DSGVO
Cookies und die zentrale Einwilligungsverwaltung
Der Gesetzgeber hat sich so lange von Lobbyisten verwirren lassen, bis § 26 TTDSG zustande gekommen ist. Somit soll es eine zentrale Möglichkeit (PIMS genannt) geben, Einwilligung zu erteilen und abzufragen. Damit soll theoretisch die Flut der sogenannten Cookie Popups eingedämmt werden. Leider funktioniert das nicht, und zwar objektiv. Einige Beiträge dazu:
- Cookie Popups für Toaster
- Cookies und PIMS im Datenschutz Deluxe Podcast
- 66 Gründe, warum PIMS scheitern wird
- Die verkürzte Einwilligung ist zu kurz gedacht
- Totschlag-Einwilligungen funktionieren nicht
- Lobby-Umfrage zu PIMS von GMX und Web.de
Zu Cookies hatte ich natürlich noch mehr geschrieben, etwa das hier:
- Alle Cookies auf einer Webseite finden
- Wie zuverlässig sind Cookie Tools?
- Cookie-Abfrage abgelehnt: Sind Ihre Daten dann sicher?
- Cookie Popups offiziell für Bullshit erklärt
- Cookies für die Reichweitenmessung: einwilligungsfrei?
Google Fonts
Auslöser war ein Urteil des LG München vom 20.01.2022. Ich hatte schon ein Jahr oder so vorher darüber berichtet und begründet, warum Google Fonts nicht von Google Servern geladen werden dürfen.
Dann kamen die Massenabmahnungen. Solche sind nicht nur moralisch fragwürdig. Jedoch war bemerkenswert, dass manche nicht etwa den Verstoß abstellen wollten, sondern sich über die Abmahnung beschwerten. Ein Verstoß wird nicht dadurch besser, dass er von einem Massenabmahner angemeckert wird.
Hier einige der Beiträge von mir zu Google Fonts:
- Datenschutzprobleme vorprogrammiert: Urteil des LG München
- Massenabmahnung erhalten: Erste Schritte ohne Anwalt
Weitere Informationen sind in den Beiträgen querverlinkt.
IP-Adressen
Auch wegen der Google Fonts Thematik sind IP-Adressen als personenbezogene Daten relevanter geworden. In Österreich gab es nämlich eine Klage wegen Google Fonts. Die Gegenseite bestreitet, dass IP-Adressen personenbezogen sind. Anders als in Deutschland scheint es in Österreich so zu sein, dass der Anschlussinhaber für eine I-Adressen selbst im Zuge einer Strafverfolgung nicht einfach so ermittelt werden kann.
Das bewog mich, eines klarzustellen. Für Google sind IP-Adressen potentiell immer personenbezogen. Egal in welchem Land der Welt (wo die DSGVO Anwendung findet).
Hier einige meiner Beiträge:
- Darum sind IP-Adressen für Google potentiell immer personenbezogen
- IP-Adressen nicht protokollieren: Dennoch eine Datenverarbeitung
- Vorratsdatenspeicherung von IP-Adressen ist nicht notwendig und anlasslos nicht erlaubt
- IP-Adressen in Server Logs
- Speicherdauer von IP-Adressen in Server Logs
IT-Sicherheit
Der Art. 32 DSGVO schlägt die Brücke zwischen dem Datenschutz und der IT-Security. Vermehrt habe auch ich mich der IT-Security gewidmet, nachdem meine Tage als Hacker und Z80-Assemblerprogrammierer schon einige Zeit zurückliegen. Neben meinem weiter unten erwähnten Vortrag auf dem Deutschen IT-Security Kongress gab es unter anderem das hier:
- IT-Sicherheit und Datenschutz im Zusammenspiel
- Webseiten gegen Angriffe absichern (Webinar)
- Online Security Check
- CSRF-Cookies zur gefahrenabwehr
- Gastbeitrag zur IT-Sicherheit in Arztpraxen
Google Tools
Vorhin hatten wir es schon mit den Google Fonts. Google ist aber einer der größten Datenverarbeiter weltweit, um es höflich zu sagen. Deswegen mussten weitere Beiträge über Google Plugins geschrieben werden. Einige davon sind:
- Google Analytics greift auch ohne Cookie auf Endgeräte zu
- Google Tag Manager: Weder eine Cookie noch eine Domäne noch erforderlich. Im Podcast besprochen
- Google erklärt den Tag Manager für funktionsunfähig
- Ist Google Analytics mit serverseitigem Tracking besser?
- Google Topics: Das Super-Cookie kommt
- Conversion Tracking und Marketing Attribution ganz ohne Google
Auskunftsgesuche
Was bleibt einem übrig, als erst mal ein Auskunftsgesuch an einen Verantwortlichen zu stellen, wenn dessen Webseite den Datenschutz mit Füßen tritt und man zunächst keine Lust auf eine Abmahnung oder Klage hat? Die Beschwerde bei einer Behörde dauert zu lang und bringt oft nix. Bleibt nur das Auskunftsgesuch nach Art. 15 DSGVO. Es fing alles mit Spiegel Online an. SPON ist ein populärer Vertreter von Datensündern. Einige Beiträge dazu:
- Spiegel-Webseite: Alles schlimm oder Missverständnis?
- Auskunftsgesuch an das Magazin DER SPIEGEL
- Auskunftsgenerator für Webseiten, die Datenschutz nicht ernst nehmen
Sonstiges
Dass es auch ohne Google und Apple beim Smartphone geht, zeigt das Fairphone, welches ich seit einiger Zeit besitze und nutze.
Pünktlich zu Weihnachten gab es einige computergenerierte Cookie-Bilder zur Verwendung auf eigenen Webseiten.
In einem modernen Märchen sind neuralgische Punkte zum Datenschutz dargestellt. Das moderne Märchen konnte noch nicht erahnen, dass die EU-Kommission auf ein Schrems III-Desaster zusteuert. Das geplante Datenschutzabkommen zwischen der EU und den USA ist wieder zum Scheitern verurteilt. Schuld ist der Präsidialerlass von Präsident Biden, der als ungenügend bezeichnet werden muss.
In diversen Vorträgen wurden von mir diverse Themen behandelt. Zum Glück fanden viele Veranstaltungen mal wieder vor Ort statt. So war es mir eine Freude, nach München zur IDACON zu kommen und über Cloud Computing zu berichten. Ein Highlight war das Wohnzimmergespräch im prächtigen Alando Palais in Osnabrück anlässlich des Deutschen IT Security Kongresses 2022. Ein Bildungswerk nahm meine Dienste sogar in Anspruch, um sie an die Teilnehmer in Form einer kostenfreien mehrtägigen Schulung weiterzugeben. Danke an den Bund als Sponsor, der auch mal was richtig macht 🙂
Angeregt durch einen Vortrag auf der IDACON, vertonte ich meine Datenschutzhinweise. Barrierefreiheit sollte ernster genommen werden.
Mein Plugin für eine datenschutzfreundliche Karte hat sich weiterentwickelt. Ganz ohne Einwilligung eine interaktive Karte auf Basis von OpenStreetMap einsetzen, die Nutzerdaten nicht an Dritte weitergibt.
Mein Online Webseiten-Check erfreut sich wachsender Beliebtheit. Webseite eingeben, Start drücken, Ergebnis wenige Sekunden später im Browser sehen. Das hilft schon sehr. Unternehmen sollten allerdings etwas mehr investieren und ihre Webseite gründlich prüfen lassen.
Fazit
Ein aufregendes Jahr war das. Ich hoffe, es waren einige spannende Themen für Sie dabei.
Das nächste Jahr 2023 wird noch mehr Impulse bringen, ist meine Annahme. Datenschutz wird langsam aber sicher ernster genommen. Ganz langsam und noch langsamer in Richtung sicher entwickelt sich auch die Rechtsprechung. Hoffentlich zugunsten betroffener Personen und nicht zugunsten von Datensündern.
Es wird Zeit, dass sich europäische Unternehmen darum kümmern, Lösungen statt Microsoft und Co. anzubieten. Das funktioniert am besten, wenn die Datenkraken sanktioniert werden. Kürzlich erst hat es Frankreich wieder gezeigt, wie es geht und Microsoft zu einer Strafe verdonnert. Dass Deutschland es kann, zeigt das Thema Cloud Computing.
Ich wünsche Ihnen ein gutes Jahr und dem Datenschutz eine positive Entwicklung. Für Anregungen zu Themen, egal ob für schriftliche Beiträge oder für den Podcast, bin ich immer offen. Auch würde ich mich freuen, wenn Sie Datenschutz durch Ihre Spende unterstützen. Demnächst wird es eine Klage gegen einen Datensünder geben, der auch aus Auskunftsgesuche nicht richtig reagiert. Wenn Sie eine Spende dafür geben möchten, vermerken Sie es bitte. Ihre Zuwendung wird sinnvoll verwendet.

Hallo Herr Meffert, regelmäßig bekomme ich Ihren Newsletter, welcher mich bei meiner täglichen Arbeit als Datenschützer und Informationssicherheits-Beauftragter extrem gut unterstützt. An dieser Stelle ein HERZLICHES DANK für Ihre informative und locker geschriebenen Abhandlungen – bitte weiter so 🙂
Vielen Dank, lieber Herr Steinbach. Das freut mich 🙂