Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
Ergebnis in wenigen Sekunden sehen

Risikobasierter Ansatz: Datenschutz im Internet funktioniert so nicht

0

Der Europa-Politiker Axel Voss fordert die Einführung eines risikobasierten Ansatzes, um die Rechtmäßigkeit von Datenverarbeitungen zu prüfen. Insbesondere geht es um den Datentransfer in die USA und andere unsichere Drittländer. Der Ansatz von Herrn Voss ist zum Scheitern verurteilt.

Was ist der risikobasierte Ansatz?

Für die Verarbeitung personenbezogener Daten im Sinne der DSGVO wird beim risikobasierten Ansatz ermittelt, wie hoch das Risiko eines Datenschutzvorfalls sein mag. Ein Datenschutzvorfall ist etwa, wenn Daten einer betroffenen Person zu deren Nachteil verwendet werden, oder wenn Daten an unbefugte Dritte weitergegeben werden.

Der risikobasierte Ansatz hat grundsätzlich seine Berechtigung! Er ist nur dann meiner Einschätzung nach Bullshit, wenn er als einzige Legitimation von Datenverarbeitung durch Dritte im Internet herangezogen werden soll!

Folgende Faktoren sind für die Ermittlung eines Risikos insbesondere wichtig:

  1. Eintrittswahrscheinlichkeit
  2. Entdeckenswahrscheinlichkeit
  3. Tragweite des Problems

Eine Möglichkeit, um das Risiko zahlenmäßig zu erfassen, ist die Einführung einer Skala von 1 bis 10 pro Kriterium. Multipliziert man dann alle drei Kriterienwerte miteinander, erhält man einen Wert, der zwischen 0 und 1000 (10*10*10) liegt. 1000 wäre der schlechteste Wert und 0 der beste.

Dann überlegt man sich, ab welchem Wert ein zu großes Risiko existiert, um es noch in Kauf nehmen zu können. Beim klassischen Ansatz bedeutet ein zu hohes Risiko allerdings nicht automatisch, dass ein risikobehafteter Vorgang damit auszuschließen sei. Vielmehr werden bei hohem Risiko weitere Schutzmaßnahmen ergriffen, wie beispielsweise mehr Kontrollen oder zusätzliche Absicherungen (bessere Türschlösser, Firewalls etc.).

Beispiel

In einem Firmengebäude werden in einem Aktenordner sensible Mitarbeiterdaten aufbewahrt, beispielsweise Krankmeldungen oder Beschwerden über sexuelle Belästigung. Wie hoch ist das Risiko, dass der Aktenordner von Unbefugten eingesehen werden kann?

Die Details, wie Zugangskontrollen, lasse ich der Einfachheit halber beiseite.

Risikobewertung (exemplarisch):

  • Eintrittswahrscheinlichkeit, dass der Aktenordner von Unbefugten eingesehen oder gestohlen wird: 2 von 10 (also sehr gering, etwa, weil der Raum mit einem Schloss und einer Kamera gesichert ist)
  • Entdeckenswahrscheinlichkeit, dass auf den Aktenordner unberechtigt zugegriffen wurde: 2 von 10 (hier sind niedrige Werte besser, 1 ist also eine sehr hohe Entdeckenswahrscheinlichkeit. Der Wert 2 wurde angenommen, weil die Tür zum Raum mit dem Ordner aufgebrochen sein müsste oder die Kamera einen Einbruch zeigt)
  • Tragweite, wenn der Aktenordner in falsche Hände gerät: 6 von 10 (Annahme: Die Veröffentlichung der sensiblen Daten an prominenter Stelle scheidet eher aus, weil ein Krimineller ungern mit der Presse zusammenarbeitet und die Presse derartige Informationen normalerweise nicht veröffentlicht)

Risiko = 2 * 2 * 6 = 24

Wenn man pessimistisch ist und alle Faktoren verdoppeln würde (mit Kappung beim Maximalwert 10), käme heraus

Risiko = 4 * 4 * 10 = 160

Die 160 wäre eine Zahl, die noch nicht sehr hoch ist. Sie würde aber rechtfertigen, weitergehende Maßnahmen vorzusehen. Beispielsweise könnte man täglich kontrollieren, ob auf den Ordner unberechtigt zugegriffen wurde. Dann wäre die Entdeckenswahrscheinlichkeit sicher besser, also niedriger als 4.

Ab einem Risikowert von 200 könnte man willkürlich festlegen, ein hohes Risiko zu haben und verbindlich über eine Risikoreduzierung nachdenken zu müssen.

Die Risikobewertung ist zunächst willkürlich. Selbst ohne gewollte Datentransfers an Dritte ist das Risiko nicht genau bestimmbar

Tatsache beim risikobasierten Ansatz

Die Risikobestimmung fällt bereits für einen Aktenordner, den anzunehmenderweise nur Berechtigte ansehen können, schon schwer. Wie ungenau wird sie dann erst, wenn man tausendfache eingeplante Datentransfers an Dritte mit berücksichtigen muss und von diesen Dritten sehr wenig weiß?

Datenverarbeitungen im Internet

Im Kern geht die Kritik von Herrn Voss beispielsweise gegen ein generelles Verbot von Datentransfers in die USA, weil “die Anforderung, alle Daten bei ihrer Übermittlung außerhalb der EU zu verschlüsseln, in der Praxis nicht umsetzbar ist;…” (siehe https://www.europarl.europa.eu/doceo/document/B-9-2021-0211-AM-011-013_DE.pdf). Diese Aussage des Herrn Voss ist an sich falsch. Hierauf will ich an dieser Stelle nicht weiter eingehen.

Vielmehr widme ich mich hier der Frage, wie der risikobasierte Ansatz für Datenverarbeitungen im Internet aussehen könnte und nehme Webseiten als konkreten Fall. Am Beispiel von Google reCAPTCHA versuche ich, das Problem mit dem risikobasierten Ansatz, den Herr Voss gut zu finden scheint, zu zeigen.

Ich finde den risikobasierten Ansatz an sich gut. Was problematisch ist: Wenn der Ansatz als Rechtsgrundlage herangezogen werden soll! Genau dies versucht Herr Voss anscheinend.

Beispiel Google reCAPTCHA

Bindet eine Webseite Google reCAPTCHA ein, findet beweisbar ein Transfer personenbezogener Daten zum Google Konzern statt, den der Betreiber der Webseite zu verantworten hat. Dies ist deshalb der Fall, weil die IP-Adresse des Besuchers einer Webseite zum Server der Webseite transferiert werden muss, weil das Internet Protokoll dies sinnvollerweise so vorschreibt. Dies ist analog zur Absenderabdresse auf einem Brief. Fehlt der Absender, kann der Empfänger dem Absender nicht antworten.

Technisch zwingend wird beim besuch der eben genannten Webseite die IP-Adresse des Besuchers auch an Google übertragen, damit der Dienst Google reCAPTCHA geladen werden kann.

Welche Datenschutzprobleme können hierbei auftreten?

Zunächst ist festzustellen, dass nicht nur die IP-Adresse, sondern auch auf dem Endgerät des Besuchers gespeicherte Cookies im o.g. Szenario zu Google übertragen werden. Weiterhin wird der digitale Fingerabdruck des Besuchers zu Google übertragen. Mit all diesen Informationen kann der Nutzer später, auch Wochen später, im Internet als Besucher 4711 von Google und seinen Werbepartnern wiedererkannt werden.

Als mögliche Datenschutzprobleme sind direkt zu nennen:

  1. Unberechtigtes Kennenlernen der Gewohnheiten einer Person mit dem Ziel, die Person zu beeinflussen (Stichwort: Werbung. Werbung ist bekanntlich nur in gewissen Grenzen erlaubt)
  2. Beeinflussen der Person, etwa zu einem Kauf oder zu einer bestimmten Wahl (vgl. Wahl von Donald Trump: Cambridge Analytica Datenskandal)
  3. Infiltrieren des Endgeräts einer Person mit einer Schad-Software
  4. Identifikation der Person mit dem Ziel, dies derart auszunutzen, dass der Person ein Schaden entstehen kann (Beispiel: Reist ein Deutscher nach Amerika, um dort Urlaub zu machen, kann er festgehalten oder zurückgeschickt werden, weil er sich vorher amerikafeindlich geäußert hat. Hierzu gibt es mehrere Indizien).

Wie kann dies zustande kommen, wo doch nur Google Daten bekommt? Erste Antwort: Google gibt Daten an Werbepartner weiter. Hinzu kommt:

Der Cloud Act garantiert es dem Land Amerika und dortigen Geheimdiensten, dass jede amerikanische Firma gezwungen werden kann, Daten jeder Art herauszugeben. Auch andere Behörden können auf Google Daten zugreifen.

Hier die Fakten, die Google selbst veröffentlicht hat:

  • Im Jahr 2019 wurden 234.449 Anfragen von Behörden und dergleichen an Google gestellt, um Nutzerkonten offenzulegen
  • Im Jahr 2019 wurden 103.882 Anfragen zur Offenlegung von Benutzerdaten an Google gestellt
  • Ca. 74% der Ersuchen führten zur angeforderten Offenlegung durch Google
  • Von all diesen hunderttausenden Ersuchen wurden nur 549 über diplomatische Prozesse eingereicht

Hier konkrete Beispiele für die von Google nach eigenen Angaben offengelegten Daten von Nutzern:

Nutzerdaten, die Google auf in deren Augen berechtigte Behördenanfragen hin offenlegt

Zusätzlich dazu kommt die Gefahr, dass Google seine wirtschaftlichen Interessen über die Bedürfnisse einzelner Personen stellt. Dies erscheint sehr realistisch: Seit einigen Jahren liegt der Jahresumsatz von Google über 100 Milliarden Euro. Die Einnahmen durch Werbung sind dabei der größte Umsatzbringer.

Probleme des risikobasierten Ansatzes

Das Hauptproblem des risikobasierten Ansatzes basiert möglicherweise auf einem Denkfehler der Befürworter dieses Ansatzes:

Der Verantwortliche schätzt Risiken zu seinem Vorteil ein. Der Betroffene wird diese Einschätzung nie teilen.

Kernproblem des risikobasierten ansatzes im Internet

Das Prinzip ist das gleiche wie bei Anklage und Verteidigung: Der Beschuldigte bestreitet gerne alles, was ihm vorgeworfen, aber nicht direkt und offensichtlich beweisbar ist. Dies führt regelmäßig zu Sachverständigengutachten.

Ein weiteres Problem ist die Risikofolgenabschätzung. Für Datentransfers an Dritte, wie an Google oder Microsoft, kann der Verantwortliche gar nicht wissen und nicht einmal erahnen, wie wahrscheinlich ein Problem ist und welches Problem dies überhaupt sein könnte.

Die Risikofolgenabschätzung bei Datenlieferungen an Dritte ist kaum möglich.

Einleuchtendes Faktum, da Dritte unabhängig sind und eigene Pläne haben

Das Internet zeichnet sich durch tausendfache Abrufe von Inhalten ab. Selbst unbedeutende Webseitem verzeichnen auf Dauer schnell einige tausend Besucher. Dies führt zum nächsten Problem.

Der tausendfache Datentransfer im Internet pro Webseite führt zur erheblichen Steigerung des Risikos von Datenschutzvorfällen

Mathematisch beweisbare Tatsache

Dies ist in etwa vergleichbar damit, dass der unberechtigte Zugriff auf einen Aktenordner umso wahrscheinlicher wird, je mehr Personen täglich im Raum sind, wo der Aktenordner aufbewahrt wird. Noch präziser: Der Datentransfer an Google ist damit vergleichbar, dass viele Personen Einblick in einen Aktenordner mit sensiblen Informationen haben und man sich darauf verlassen muss, dass diese Personen die sensiblen Informationen weder aus eigenem Antrieb noch aufgrund einer behördlichen Anordung rechtswidrig nutzen.

Fazit

Der risikobasierte Ansatz scheidet aus den genannten Gründen, die teilweise objektiv feststellbar sind, für Datentransfers im Internet an Dritte quasi aus. Ich sehe keinen Grund, warum die DSGVO in ihrer jetzigen Form durch einen risikobasierten Ansatz verwässert werden soll. Artikel 6 DSGVO gibt bereits alle nötigen Rechtsgrundlagen. Dass ein Datentransfer in die USA nicht immer verschlüsselbar und somit ohne Einwilligung rechtswidrig sein kann, ändert doch nichts an den Gegebenheiten.

Nur weil etwas Gewünschtes nicht möglich und deswegen verboten ist, kann man es doch nicht einfach für erlaubt erklären.

Mein Kommentar Zur Vorgehensweise von herrn Voss

Mein offener Brief an Herrn Voss, den ich ihm schrieb, als ich von seiner Idee erfuhr, ist nachfolgend abgedruckt:

Sehr geehrter Herr Voss,

wie zu lesen ist, plädieren Sie für einen risikobasierten Ansatz im Datenschutz.
Dieser ist im Internet faktisch nicht umsetzbar. Das kann man objektiv zeigen.

Wir haben andere Probleme, die zuerst gelöst werden sollten, bevor die Grundsätze der DSGVO in Frage gestellt werden.

In Kürze ein paar Probleme, die zuerst gelöst werden sollten:
1)    Deutsche Datenschutzbehörden sanktionieren komplett gar nicht wegen „Web Tracking“ (Nachverfolgen von Nutzern). Warum nicht? Wie wäre es mit einer Abschreckung. Kaum jemand hat Respekt vor Datenschutzregeln, weil die Sanktionen fehlen
2)    Anwendung der Datenschutzregeln: Die Corona App  wäre DSGVO-konform ohne weiteres möglich gewesen, wenn man mit einer Einwilligung gearbeitet hätte. Auch die Betrachtung des berechtigten Interesses wäre hier valide gewesen.
3)    Falsche Beratung: Siehe 2) sowie Webseiten: Nahezu jede Webseite könnte ohne „Cookie Banner“ auskommen, und zwar ohne erkennbare Nachteile für den Betreiber der Webseite!
4)    Anwendung der Datenschutzregeln: Cookie Banner nerven nicht nur. Sie sind so gut wie immer erheblich rechtswidrig. Das liegt nicht an der DSGVO, sondern an den Anbietern, die anscheinend das Verkaufen für wichtiger erachten als das Ausliefern von datenschutzkonformen Lösungen. Siehe 1) und 3) für Beseitigung dieses Problems
5)    Fehlende Lösungen aus Deutschland: Deutsche Lösungen sind funktional nicht so gut wie die von Google & Co, aber können oft fast so gut sein. Wir sind aber viel besser im Datenschutz, der unser einziger und bester Wettbewerbsvorteil gegenüber Google & Co ist. Warum diesen nicht nutzen? Ich selbst biete kostenfrei Lösungen an, um Google-Produkte abzulösen

Zu 4) nur eine Vertiefung:
Die Bundesregierung und das Bundesgesundheitsministerium bekommen es nicht hin, auf deren eigenen Webseiten eine rechtskonforme Einwilligungsabfrage zu haben. Das liegt nicht an der DSGVO, sondern daran, dass anscheinend ignorante oder dumme Menschen tätig waren.
Ein einfacher Beleg: In Art 7 Abs. 3 der DSGVO steht in einem einfachen Satz, dass dort, wo die Einwilligung abgefragt wird, ein Hinweis auf das Widerrufsrecht vorhanden sein muss. Dieser fehlt auf einigen Webseiten der genannten Bundes-Organisationen.

All das hat nichts mit „100% Datenschutz“ zu tun, sondern mit Inkompetenz, untätigen Behörden und dergleichen.

Bitte sorgen Sie für die Lösung dieser Probleme und hören Sie auf, über risikobasierte Ansätze zu sprechen. Letztere können in der Praxis nicht funktionieren, wie ich ihnen gerne an Beispielen aus dem Internet erläutern werde.
Kommen Sie gerne auf mich zu, wenn Sie Belege oder fundierte, auf Fakten basierende Einschätzungen für bestimmte Gegebenheiten benötigen.

Viele Grüße
Dr.-Ing. Klaus Meffert
Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie als Quelle für diesen Artikel oder die Verwendung von Ergebnissen aus diesem Artikel folgende Angabe (leichte Variationen sind erlaubt):
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage.

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Datenschutzfreundliche interaktive Karte für Webseiten: Plugin zum Download als Google Maps Ersatz