Digitale Selbstverteidigung

Martin Schwarzbeck: Digitale Selbstverteidigung: Sicherheitsproblem Mensch. Mit Phishing und Scamming versuchen böswillige Akteur*innen, in unsere Geräte einzudringen. Wie man sich dagegen schützen kann – und warum wir nicht alleine schuld sind, wenn unser Datenschutz versagt. Netzpolitik.org 18.09.2024
“Mit dem Browsergame Phishing Master der Forschungsgruppe Secuso vom Karlsruher Institut für Technologie lässt sich spielerisch trainieren, wie man Phishing-Nachrichten erkennt.Verdächtige Links lassen sich auf verschiedenen Websites prüfen, phishtank.com oder virustotal.com zum Beispiel. Bei verdächtigen Anhängen wie PDFs, Word-, Excel-, oder Powerpoint-Dokumenten empfehlen die Sicherheitsexperten von Front Line Defenders die App Dangerzone, die solche Dateien von gefährlichen Erweiterungen befreien kann.”
siehe auch die Rubrik Digitale Selbstverteidigung bei Netzpolitik.org

Datenschutz neujustiert

Die Stellungnahme der deutschen Datenschutzbehörden von November 2022, dass der Einsatz von Microsoft 365 rechtswidrig sei, nehmen Kristin Benedikt, Thomas Kranig und Rolf Schwartmann: Microsoft 365 – so sollte Datenschutzaufsicht nicht sein. Deutschlands Datenschutzbehörden tragen eine große Verantwortung für Staat und Gesellschaft. Ihr Umgang mit dem Datenschutz muss grundlegend neu justiert werden. Frankfurter Allgemeine Zeitung 13.12.2022 (hinter der Bezahlschranke) zum Anlass einer grundlegenden Reflexion des Verhältnisses Datenschutz und Datennutzung. Zunächst skizzieren sie das Datenschutzrecht der DSVGO, das neben dem Schutz natürlicher Personen und Firmen bei der Verarbeitung von Daten auch die Abwägung gegen andere Grundrechte vorsieht. Die Datenschutzpraxis am Fall von Microsoft 365 soll demgegenüber in mehreren Punkten problematisch sein: eine umfassende technische Prüfung hat nicht stattgefunden. Die Datenschutzkonferenz (DSK) soll der Zusammenarbeit der Datenschutzbehörden dienen, ist aber im Gegensatz zum Bundesamt für Sicherheit in der Informationstechnik (BSI) nicht institutionalisiert, sodass sie Produktwarnungen herausgeben könnte. Die Verfasser sehen die Notwendigkeit, dass umfassende Prüfungen der europäischen Datenschutzaufsichtsbehörden letzlich vom Europäischen Datenschutzausschuss (EDSA) entschieden werden, um einen einheitlichen europäischen Rechtsrahmen zu gewährleisten. Darüber hinaus ist “ein modernes und konstruktives Selbstverständnis der Behörden gefragt”, ein “Datenkonstruktivismus“. Dieser besteht nicht nur in Sanktionsrechten, sondern in einem Beratungs- und Präventionsauftrag, der zu einer Neujustierung der Arbeitsweise führen sollte: “Der europäische Gesetzgeber strebt mit der digitalen Datenstrategie einen Binnenmarkt an, in dem die oberste Prämisse nicht die Datenminimierung oder Datenvermeidung, sondern die Datennutzung zum Wohle der Allgemeinheit ist.”

Datenschutz als Supergrundrecht

Ist Datenschutz ein Sondergrundrecht, das alle anderen Grundrechte aushebelt?  Jürgen Kühling, Boris Paal und Rolf Schwartmann: Die Ambivalenz des Datenschutzes, Frankfurter Allgemeine Zeitung 19.10.2022 (hinter der Bezahlschranke) analysieren die Ambivalenz des Datenschutzes. Durch seine Rechtsprechung hat sich das EuGH als wichtiges Grundrechtsgericht etabliert, das Datenschutz auf verschiedenen Ebenen – auch gegenüber den G A F A (G für Google, A für Apple, F für Facebook und A für Amazon) – durchsetzt. Die Frage wird gestellt, ob andererseits nicht die andere Seite zu kurz kommt: Förderung des freien Datenverkehrs, “Grundrechtseinbußen” durch Mangel an Datenverarbeitung. “Datenschutz ist kein uneingeschränktes Recht, sondern muss in praktische Konkordanz mit einer Vielzahl von Gemeinwohlinteressen gebracht werden…Datenschutz ist keineswegs ein Super(grund)recht.” Der Mensch ist sowohl “Schutzobjekt und Wirtschaftssubjekt zugleich”. “Diese Entwicklung bedarf eines adäquaten Schutzrechts, nicht aber einer Verhinderungsrechtsprechung.”

DSVGO als Verhängnis – Maschinendaten

Barbara Gillmann, Sabine Gusbeth: Konkurrenz mit China: „Ampel muss Hürden für Industrie 4.0 abbauen“. „Industrie 4.0“ ist ein deutsches Markenzeichen. Doch China holt auf. Für Experten sind Ukrainekrieg und Lieferkettenprobleme die besten Gründe, die digitale industrielle Revolution endlich voranzutreiben., Handelsblatt 28.07.2022 (hinter der Bezahlschranke) beschreiben die technischen Herausforderungen sowie die Notwendigkeit, diverse hemmende Regulierungen abzubauen. Dazu zählt auch als “massive Hürde” die Datenschutz-Grundverordnung (DSVGO). Mit der Erhebung von Maschinendaten wie Energieverbrauch, Vibrationen oder Ausstoß über Internet-of-Things-Plattformen könnte der ideale Betriebsmodus einer Maschine kontrolliert werden. Allerdings werden diese Maschinen durch Menschen bedient. “Diese Daten würden von manchen Datenschützern als personenbezogen angesehen, ‘weil man ja, wenn man den Schichtplan kennt, sie einem Bediener zuordnen kann – und dann Leistungsdaten über diese Person hätte’. Das sei besonders problematisch, ‘weil nicht einmal die Einwilligung der Bediener zur Verarbeitung der Daten hilfreich wäre’. Denn bei Beschäftigungsverhältnissen werde regelmäßig davon ausgegangen, dass eine Einwilligung nicht freiwillig im Sinne der DSVGO sei”.

siehe auch: DSVGO als Verhängnis

DSVGO als Verhängnis

Vor vier Jahren am 25. Mai 2018 ist die Datenschutzgrundverordnung der EU (DSVGO) in Kraft getreten. Anlaß, einen kritischen Rückblick darauf zu werfen.
Im Dezember 2021 hat sich die  Wissenschaftskonferenz “European Data Summit” der Konrad-Adenauer-Stiftung mit der Datenschutzverordnung DSVGO  beschäftigt:  European Data Summit: Ready for Competition? | Day 2 (December 2, 2021) Winfried Veil: The blind spots of the GDPR: time for reform and repair und die folgende Diskussion Implementing and complementing it or fixing it: The GDPR – The law of unintended consequences)

Winfried Veil “The blind spots of the GDPR: time for reform and repair” diagnostiziert 13 struktuelle Probleme, die bislang noch nicht erkannt werden.

  1. Der one-size-fits-all-Ansatz verpflichtet alle gleichermaßen unabhängig von der Größe, dem Zweck (profitorientiert oder eigennützig, privat oder öffentlich) und dem Niveau (alltäglicher Prozeß oder komplizierter Algorithmus, geringes oder hohes Risiko).
  2. Alles-oder-Nichts-Ansatz: Wenn es personenbezogene Daten gibt, gelten alle Regeln des Datenschutzrechts. Umgekehrt gibt es gar keine Regelung, wenn es keine personenbezogenen Daten gibt. Entsprechend wird der Personenbezug von Daten ausgeweitet.
  3. Verarbeitung personenbezogener Daten ist grundsätzlich verboten, es sei denn, es gibt einen gesetzlichen Grund für die Erlaubnis bzw. es liegt eine explizite Erlaubnis der betroffenen Personen vor. Damit ist auch klar, dass sie sozial unerwünscht ist. Ein Generalverdacht wird konstituiert, der von dem Gebrauch von Grundrechten abhalten kann. Diese Regelungstechnik führt zu zahlreiche Ausnahmen und Diskussionen und führt zu Rechtsunsicherheit und Verrechtlichung des Alltags.
  4. Das Datenschutzgesetz ist inputorientiert, es regelt in erster Linie die Erhebung von Daten und die Speicherung von Daten. Es berücksichtigt nicht die Verwendung von Daten und klärt nicht, welcher Output sinnvoll und wertvoll sein kann.
  5.  Der Nutzen der Datenverarbeitung taucht nicht auf und ist ist keine Rechtskategorie des Datenschutzrechts.
  6. Der Focus liegt auf der Kontrolle der individuellen Verarbeitung von Daten. Demgegenüber kann das öffentliche Interesse nur unter bestimmten Bedingungen verfolgt werden, die gegebenenfalls bereichsspezifische Gesetze festlegen.
  7. Eine Privatperson kann nur im eigenen Interesse oder im Interesse eines Dritten handeln, nicht aber im öffentlichen Interesse.
  8. Die individuellen Daten werden als Objekte behandelt, als Ware, die knapp gehalten werden kann. Der Informationsgehalt und der wirtschaftliche Wert der unkörperlichen Daten werden nicht erkannt. Unsere kontextabhängigen Einzeldaten sind bei vielen Datenverarbeitungsvorgängen, wie z. B. Big-Data-Algorithmen, irrelevant.
  9. Alle Daten erscheinen gleich viel wert zu sein. Die Verarbeitung durch eine einzige zentrale lokale Stelle und gegebenenfalls einer festen physischen Ressource ist- ebenso wie der einzelne Kontrolleur – durch Cloud Computing, Blockchain und globale Vernetzung obsolet geworden.
    Das Prinzip der Begrenzung der Zweckbindung  schließt zufällige Entdeckungen auf dem Gebiet der Wissenschaft aus z.B. die Entdeckung von Korrelationen und das Prinzip der Minimierung von Daten schließt von vornherein die Zurückhaltung von Daten aus, die in öffentlichem Interesse sind.
  10. Die DSVGO basiert auf dem Grundrecht auf Datenschutz. Ein Eingriff ist dieses Grundrecht durch Verarbeitung personenbezogener Daten ließe sich nur durch ein anderes geschütztes Interesse legitimieren. Das ursprüngliche Schutzinteresse der Privatsphäre wird aber nicht mehr erwähnt, sondern zum Schutz aller Rechte und Freiheiten erweitert.
  11. Die DSVGO enthält 82 Bestimmungen, nach denen jeder Verantwortliche eine Rechteabwägung vornehmen muss. Standards und Maßstäbe für diese Prüfungen fehlen.
  12. Da es nach der DSVGO keine trivialen Daten gibt, ist die Verarbeitung personenbezogener Daten nie risikofrei. Der Zweck der Verarbeitung muss präventiv bestimmt werden und einen Rechtsweg festlegen.
  13. Stellen die Pflichten der DSVGO einen Eingriff in die Privatautonomie dar?

Die Bestandsaufnahme der DSVGO ist dort vernichtend ausgefallen: Die Verordnung gängele kleine Internetanbieter, während die Geschäftspraktiken der Datensammelwut der GAFA (Google, Apple, Facebook und Amazon) kaum tangiert werden. Die Nutzer – noch durch entsprechende Gestaltung der Webseiten und Cookie-Banner zusätzlich manipuliert – müssen in die Verarbeitung ihrer Daten einwilligen, wenn sie die Services nutzen wollen. Die weitere Aggregration und Auswertung der Daten kann kaum kontrolliert werden. Die großen Unternehmen haben das Geld und die Arbeitskraft, Einwilligungen, die man wie Gummi dehnen kann, von den Benutzern zu verlangen.

Alternative Suchmaschinen 1: Datenschutz

In Computerbild 6/2018 S. 38/30 ist ein Artikel erschienen “Suchen ohne Schnüffelei”. In dem Vorspann heißt es: “Googles Suchmaschine ist erfolgreich, weil sie Top-Ergebnisse liefert. Aber sie spioniert ihre Nutzer auch umfassend aus. Gibt es brauchbare Alternativen?” Maßstab einer alternativen Suchmaschine ist danach der “Daten- und Privatsphärenschutz”, weniger die Suchergebnisse (auf dieses Kriterium werde ich gesondert eingehen).

In CHIP 4/2018 “Alternative Suchanfragen” heißt es: “Ein Blick in die mit Konjunktiven gespickte Google-Datenschutzerklärung reicht, um zu erfahren, dass Google nicht nur Suchanfragen und IP-Adressen speichert, sondern die Daten auch personalisiert, zu Werbezwecken nutzt und sogar mit Dritten teilt.”

Weitere Artikel im Netz
Suchmaschinen ohne Sammelwut. Das sind die 5 besten Google-Alternativen , Anonyme Suchmaschinen: Suchen ohne Schnüffler oder ähnliche legen den gleichen Maßstab “Datenschutz” an.


Die Frage ist also: Was speichert Google und was heißt Datenschutz?

(mehr …)