Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
sofort das Ergebnis sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Digitaler Verbraucherschutz: Datenschutz ganz ohne Magie statt durch technische Wunder

Veröffentlicht am 2. Februar 2023 von Dr. DSGVO · Zuletzt aktualisiert am 3. Februar 2023
3

Kategorien: Allgemein und Datenschutz

Seit Einführung der DSGVO sind einige Jahre vergangen. Dennoch ist das Datenschutzniveau im Internet niedrig. In diesem Beitrag wird beschrieben, warum Datenschutz im Internet nicht durch technische Vorgaben verbessert werden kann, sondern am ehesten durch pragmatische Lösungen. Konkret wird beschrieben, warum ein vom deutschen Gesetzgeber erdachter technischer Ansatz zur Regelung von Datenschutzvorgaben zum Scheitern verurteilt ist und welche realistischen Lösungsmöglichkeiten existieren.

Einleitung

Es geht nicht nur um Kekse. Diese Botschaft andauernd Mantra-artig wiederholen zu müssen, geht einigen Datenschutzberatern mittlerweile selber auf den Keks. Mit Keksen sind Cookies gemeint.

Ein Endgerät (Smartphone, Tablet, Notebook, Desktop PC) ist keine Keks-Bäckerei. Die irregeleitete Meinung vieler Datenschutzberater suggeriert aber genau das. Anbieter von sogenannten Consent Tools befeuern durch Lobbyismus in eigener Sache das Missverständnis zusätzlich.

Doch worum geht es eigentlich bei all dieser Aufregung?

Kurzum: Cookie Popups nerven und sollen am besten von der Bildfläche verschwinden.

Für ein ausreichendes Verständnis der Problematik, die mit dem Wunsch einhergeht, Cookie Popups loszuwerden, muss etwas weiter ausgeholt werden.

Die DS-GVO gilt (auch) für die Verarbeitung personenbezogener Daten. Die Verarbeitung dieser Daten ist verboten, außer, sie ist durch eine der Rechtsgrundlagen aus Art. 6 Abs. 1 DS-GVO legitimiert („Verbot mit Erlaubnisvorbehalt“).

Es geht nicht nur um Cookies

Die DS-GVO kennt mehrere einwilligungspflichtige Vorgänge der Datenverarbeitung. Zu nennen sind insbesondere:

  1. Datentransfers (von personenbezogenen Daten) in unsichere Drittländer, wie etwa in Staaten mit Geheimdienstaktivitäten, die der DS-GVO widersprechen (vgl. Art. 44ff DS-GVO sowie speziell Art. 49 DS-GVO für die Einwilligungsvorschrift);
  2. Nicht notwendige Datenverarbeitungen, die durch mildere Mittel realisiert werden könnten (vgl. etwa Art. 5 Abs. 1 lit. c und e DS-GVO);
  3. Nicht notwendige Datenverarbeitungen, die die Rechte betroffener Personen übermäßig belasten (vgl. Art. 6 Abs. 1 lit. f DS-GVO).

Das TTDSG als Umsetzung der ePrivacy-Richtlinie ist ein Sondergesetz zur DS-GVO („lex specialis“). Es entfaltet Sperrwirkung gegenüber der DS-GVO, sobald dessen Anwendungsbereich eröffnet ist. In § 25 TTDSG ist der Zugriff auf Endeinrichtungen von Nutzern reglementiert. Dieser Zugriff wird landläufig mit Cookies gleichgesetzt. Ein Nutzer ist eine Person, die eine Webseite oder App aufruft.

Der § 25 TTDSG besagt nun (vereinfacht), dass Cookies, die nicht unbedingt erforderlich sind, um eine Webseite oder App darzustellen, einer Einwilligung durch den Nutzer bedürfen.

Das deutsche Datenschutzgesetz TTDSG

Das neue deutschen Datenschutzgesetz TTDSG trat am 01.12.2021 in Kraft. Dadurch ist der Wunsch offiziell geworden, Datenschutz durch staatlich verordnete technische Vorgaben sicherzustellen. TTDSG steht für Telekommunikation-Telemedien-Datenschutz-Gesetz. Das TTDSG setzt in § 25 TTDSG die sogenannte Cookie-Richtlinie der ePrivacy-Richtlinie der EU in nationales Recht um.

Der § 26 TTDSG schreibt vor, dass bis Ende 2023 eine zentrale Möglichkeit geschaffen werden soll, die es Personen erlaubt, ihre Datenschutzvorlieben zu definieren. Dieser Ansatz wird auch zentrale Einwilligungsverwaltung oder PIMS genannt. PIMS steht für Personal Information Management System („System zur Verwaltung persönlicher Informationen“). Zur Abkürzung existieren weiterhin andere Langformen mit gleicher Bedeutung. Mit PIMS sollen die oft als lästig angesehenen Cookie Popups auf Webseiten und in Apps idealerweise ganz von der Bildfläche verschwinden.

Wie funktioniert die zentrale Einwilligungsverwaltung (PIMS)?

Die Idee des Gesetzgebers ist es nun, dass jede Person zukünftig möglichst auf einer noch zu schaffenden, zentralen Webseite ihre Datenschutzvorlieben definieren kann. Dies bedeutet, dass eine Einwilligung für bestimmte Vorgänge erteilt wird und für andere wiederum nicht. Die Analogie zum allseits bekannten Cookie Popup ist gegeben.

Sobald eine Person nun eine beliebige Webseite, die deutschem Recht unterliegt, besucht, soll idealerweise das Cookie Popup auf der Webseite unterdrückt werden. Und zwar soll die jeweils besuchte Webseite in der Zentrale nachfragen, welche Datenschutzvorlieben der aktuelle Besucher definiert hat. Daraufhin kann, so der kühne Wunsch, die Webseite das Cookie Popup auslassen, weil dann die Datenschutzentscheidungen des Besuchers der Webseite bekannt sind.

Soweit die Theorie.

Kritik an PIMS

Eine zentrale Einwilligungsverwaltung kann sowohl aus rechtlichen als auch aus logischen, praktischen und technischen Gründen nicht funktionieren. Generell muss der Zentrale aus rein technischen Gründen bekannt sein, in welche Datenverarbeitungen eine Person einwilligen soll. Datenverarbeitungen werden auf Webseiten und in Apps durch Dienste vorgenommen. Dienste werden auch als Tools oder Plugins bezeichnet. Ein Beispiel für einen Dienst ist Google Analytics. Aber auch Adobe Fonts (Schriftarten) sind ein Dienst.

Die rechtlichen Gründe, die gegen PIMS sprechen, sollen in diesem Beitrag nur kurz betrachtet werden. Es sei nur angemerkt, dass in Art. 5 Abs. 1 lit. b DS-GVO vorgeschrieben ist, dass eine Datenverarbeitung nur dann zulässig ist, wenn die Zwecke vorher festgelegt und eindeutig sind. Aus einem Entwurf einer Einwilligungsverwaltungs-Verordnung (siehe § 26 TTDSG) ging hervor, dass eine kategorienbasierte Einwilligung über PIMS eingeholt werden soll. Selbst wenn diese Art der Pauschaleinwilligung demnächst erlaubt sein sollte, löst dies nicht die verbleibenden Probleme.

Ein Problem ist, dass spätestens beim Widerruf einer Einwilligung, der laut Art. 7 Abs. 3 DS-GVO jederzeit möglich sein muss, bekannt sein muss, auf was sich der Widerruf bezieht.

Kurzum, müssen sämtliche einzelnen Dienste bekannt sein, die auf deutschen Webseiten zum Einsatz kommen oder kommen werden. Man muss kein Genie sein, um zu erkennen, dass dieses Wissen nie verfügbar sein wird und falls doch, einen Tag später veraltet sein wird.

Zahlreiche weitere Gründe, die rein logischer Natur sind, sprechen gegen PIMS.

Datenschutz durch Technikvorgaben ist faktisch nicht möglich

Auch andere Beispiele zeigen, dass Technikvorgaben, so verlockend sie auch sein mögen, nicht zu besserem Datenschutz führen. Beispielsweise gibt es seit vielen Jahren das Do Not Track Signal, welches moderne Browser gemäß Nutzerwunsch an besuchte Webseite aussenden. Nahezu keine Webseite respektiert dieses Signal. Es kann als gescheitert angesehen werden.

Ein noch eklatanteres Beispiel für das Versagen angeblicher technischer Lösungen sind Cookie Tools. Die Anbieter solcher Tools suggerieren, dass deren Produkte automatisch dafür sorgen können, dass eine Webseite den Datenschutz einhalten kann. Insbesondere nähren Cookie Tools die Erwartung, dass sie automatisch einwilligungspflichtige Vorgänge so lange – wie durch Magie – unterbinden können, bis ein Nutzer eine Einwilligung dafür erteilt hat.

Aus rein technischen Gründen ist dies objektiv Unsinn. Es ist technisch nicht zuverlässig möglich, Datentransfers auf Webseiten in generischer Weise (also universell) automatisch zu blockieren. Der Grund hierfür ist, dass Browser mehrere Ressourcen gleichzeitig laden, um Webseiten schneller aufzubauen. Ein Cookie Tool ist eine solche Ressource und kann erst anfangen zu arbeiten, wenn es fertig geladen ist. In der Zwischenzeit sind aber bereits andere Ressourcen (wie Google Fonts) fertig geladen worden.

Browser-Plugins werden ebenfalls als Möglichkeit diskutiert, damit Nutzer ihre Datenschutzvorlieben kundtun können (vgl. PIMS und § 26 TTDSG). Da ein Browser-Plugin in jedem Browser auf jedem Endgerät zu installieren ist, scheitert der Ansatz bereits an der praktischen Handhabbarkeit. Hinzu kommt, dass für jeden Browser-Typ und jedes Betriebssystem ein Plugin programmiert, bereitgestellt und gewartet werden muss. Zu allem Überfluss müssten Nutzer in jedem verwendeten Browser – auf jedem Endgerät – alle Einstellungen im Plugin möglichst identisch vornehmen.

Solange es keinen sicheren Mechanismus gibt, mit der sich Nutzer gegenüber einer Zentrale wie PIMS oder einem Browser-Plugin als jeweils eine ganz bestimmte Person identifizieren können, ist zudem der PIMS-Ansatz gänzlich fragwürdig. Die Einführung einer Bürger-ID mitsamt einer Datenlage, die auch weitere Vorhaben ermöglicht, wie beispielsweise die effiziente Auszahlung des Mitte 2022 gewährten Energiegeldes, würde hier helfen, steht aber noch in den Sternen.

Realistische Lösungsmöglichkeiten

Ein technisches Einwilligungssignal kann dafür sorgen, dass Plugins, die von Webseiten nachgeladen werden, nur Cookies verwenden, wenn das Signal dies anweist. Dafür muss aber eine rechtliche Verfolgung stattfinden, wenn das Signal ignoriert wird. Technik ohne Recht ist eben keine Lösung.

Für Webseiten und Apps gibt es zahlreiche datenschutzfreundliche Alternativen und sogar Lösungen aus Deutschland. Auch für andere Bereiche des Internets existieren gute Alternativen. Als Stichworte seien Cloud Computing, schnelle und robuste online Speicher (CDNs) oder Analysedienste genannt.

Oft reicht es, den Nutzen eines (noch) eingesetzten Dienstes zu hinterfragen. Eine Risikobewertung hilft, zu erkennen, ob ein Dienst benötigt wird oder ob er durch einen anderen Dienst ersetzt werden sollte. Zahlreiche Marktteilnehmer wurden durch Internetkonzerne derart erzogen, dass deren funktionell oft sehr guten Lösungen zahlreich eingesetzt werden, obwohl sie keinen echten Nutzen bringen.

Wenn Europrarecht (DSGVO) endlich konsequent angewendet werden würde, wäre alles leichter. In der Sendung von Markus Lanz am 01.02.2023 hatte die ehemalige Justizministerin, Sabine Leutheusser-Schnarrenberger, genau dies gefordert. Der gleichen Meinung war die weitere Gästin Richterin Andrea Titz, die auch Vorsitzende des Deutschen Richterbundes ist. Abschreckung ist die naheliegendste Lösung, aber anscheinend am weitesten entfernt.

Alternativen aufzeigen und sanktionieren

Kein Verantwortlicher, der mit personenbezogenen Daten umgeht, soll Angst haben, etwas falsch zu machen. Verantwortliche sollen aber motiviert sein, Datenschutzregeln einzuhalten. Vor allem wird Motivation durch lösungsorientierte Kommunikation erreicht.

Eine Motivation ist in mehreren Wirkungsgraden möglich. Von der geringsten zur größten Motivation sind folgende Möglichkeiten zu nennen, die der Gesetzgeber beeinflussen kann:

  1. Erlass eines Gesetzes oder einer Verordnung (geringe Motivation, sich daran zu halten. Warum auch, wenn keine Sanktionen zu befürchten sind?).
  2. Festsetzen von hohen Obergrenzen für Bußgelder, die durch Aufsichtsbehörden verhängt werden können.
  3. Festsetzen von hohen Ordnungs- oder Strafgeldern, die im Gerichtsverfahren relevant werden.
  4. Effektive Durchführung von Kontrollen durch Aufsichtsbehörden und abschreckende Sanktionierung, wenn es angemessen ist.
  5. Anwendung von strengerem Europarecht gegenüber untergeordnetem deutschem Recht durch deutsche Gerichte (Beispiel: Unterlassungsanspruch aufgrund der DSGVO bei Verletzung des Schutzes der persönlichen Daten für die betroffene Person gegenüber dem Verantwortlichen).

Deutsche Verantwortliche für Telemedien sollten insgesamt mehr an Ihre Verantwortung und die damit einhergehende Haftung erinnert werden, vor allem, wenn und weil datenschutzfreundliche Alternativen für zahlreiche Problemstellungen existieren.

Fast noch wichtiger ist allerdings die Sanktionierung einiger bekannter Datensünder unter den Internetkonzernen. Aktuell scheint es nur gelegentlich monetäre Motivationen für Internetkonzerne zu geben, verbindliche Datenschutzregeln einzuhalten.

Fazit

Der bekannte Spruch „Fördern und Fordern“ ist auch beim Datenschutz angebracht. Im technischen Bereich, zu dem vor allem das Internet sowie andere computergestützte Netzwerke zählen, sollte technische Kompetenz stärker vertreten sein als dies bisher der Fall zu sein scheint. Daraus entstehen echte Lösungen und datenschutzfreundliche Alternativen, die Deutschland und Europa unabhängiger von anderen machen.

Nach der Energie- sollte wenigstens die Datenkrise vermieden werden. Allerdings kann Technik auch nicht alle Probleme lösen. Verbindliche Regeln sollten durch rechtliche Instrumente wesentlich stärker durchgesetzt werden.

PS: Dieser Beitrag erscheint in meinem Blog, nachdem ihn das Bundesamt für Sicherheit in der Informationstechnologie (BSI) nicht für den 19. Deutschen IT-Sicherheitskongress (2023) berücksichtigen wollte (es gab einen Call for Papers). Ebenso hatte das BSI einen weiteren Beitrag von mir ein Jahr zuvor abgelehnt. Begründungen gab es nicht. Anscheinend möchte das BSI lieber Menschen einlullen oder womöglich Veröffentlichungen nur von ihnen bekannten Partnern zulassen. Oder, was auch sein kann: Meine Beiträge sind einfach zu schlecht. Dann allerdings würde ich mich an das Niveau des BSI angepasst haben, das in letzter Zeit nicht selten durch Negativschlagzeilen und Inkompetenz geglänzt hatte. Das BSI konnte mir auf meine Frage, wozu die anlasslose Speicherung von IP-Adressen in Web Server Logs denn gut sei, keine Antwort geben (außer allgemeinen Phrasen) und erst recht kein konkretes Beispiel nennen.

Das Beitragsbild ganz oben wurde von einem Computer-Programm und ohne meine kreative Mitarbeit erzeugt. Verwendet wurde ein KI-Programm, was ähnlich zu Dall-E ist. Die Bilder dürfen auf Webseiten frei verwendet werden, mit der Bitte, eine Verlinkung auf diesen Blog zu setzen.
Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über Ihre Unterstützung für meine Arbeit würde ich mich besonders freuen. Als Geschäftsführer der IT Logic GmbH berate ich Kunden und biete Webseiten-Checks an.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/digitaler-verbraucherschutz-datenschutz-ganz-ohne-magie-statt-durch-technische-wunder
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.
Schlagworte zu diesem Artikel:

    Kommentare von Lesern

    Die Kommentare drücken die Meinungen der jeweiligen Kommentargeber aus
    1. Rinderwahn

      zu BSI:

      Um es auf den Punkt zu bringen:

      [Negative Attribute zur Arbeitsmoral und Intelligenz] mobbt immer [positive Attribute zur Arbeitsmoral und Intelligenz]. War schon immer so, wird sich in Zukunft noch verstärken.

      Vermute, BSI versteht Ihre Inhalte nicht. 🙂

      Anmerkung der Redaktion: Die Angaben in eckigen Klammern stammen von der Redaktion, da die ursprünglichen Aussagen etwas unhöflich (gegenüber dem BSI) und etwas überschwänglich (gegenüber diesem Blog) waren.

      Antworten
    2. Anonymous

      Hallo,

      ein kleiner Hinweis:

      In dem Absatz mit der Überschrift "Das deutsche Datenschutzgesetz TTDSG" steht der Satz: "TTDSG steht für Telemedien-Teledienst-Datenschutz-Gesetz". Korrekter ist aber das "Telekommunikation-Telemedien-Datenschutz-Gesetz".

      PS: Ich lese deine Artikel sehr gerne. Du machst super Arbeit!

      MfG
      Ein Datenschützer 🙂

      Antworten
      • Dr. DSGVO

        Vielen Dank dafür (auch für die freundliche Rückmeldung).
        Der Fehler ist korrigiert. Passiert mir mit der Abkürzung TTDSG regelmäßig. Ich werde es irgendwann lernen.

        Antworten

    Schreiben Sie einen Kommentar

    Ihre Mail-Adresse wird nicht veröffentlicht.

    Nächster Beitrag

    Die Verarbeitung personenbezogener Daten gemäß DS-GVO