Schert die DSGVO eigentlich irgendwen, den sie scheren sollte? #

Ein sehr ernüchternder Artikel zum Thema Durchsetzung und Status DSGVO.

Die Datenschutz-Grundverordnung (DSGVO) sei zu ihrem Start vor drei Jahren als „Big Bang“ wahrgenommen worden […] Die Botschaft aus Europa sei gewesen: „Wir meinen das ernst.“ Jeder sollte sich daran halten. Von diesem Ansatz sei aber wenig übriggeblieben. […] Die Internetgrößen im Silicon Valley hätten sich damals die Frage gestellt: „Wird das durchgesetzt?“ Sie seien letztlich zum Schluss gekommen, dass sie nicht viel zu befürchten hätten und die Geschichte [gibt] ihnen mittlerweile größtenteils recht.

DSGVO: Das stürmisch gestartete „Pferd wird langsam totgeritten“

Obwohl ich der grundsätzlichen Idee des Schutzes von Daten wahrlich nicht abgeneigt bin, das aktuelle Nicht-Umsetzungsregime und die bereits daraus hervorgegangenen, teilweise massiven Erschwernisse und Einschränkungen, vor allem, wenn man mit Produktivsystemen arbeiten und unwilligen bzw. uneinsichtigen Kunden, Partnern und Freunden datenschutzfreundliche Alternativen schmackhaft machen will, haben bis dato minimalste Erfolge bei gigantischer Frustration, die am Ende im Beibehalt diverser, wenig datenschutzfreundlicher Dienste und Services einhergeht, erzielt.

Am Ende checken wir unsere Gmail-Konten, teilen Daten in OneDrive oder in der Dropbox, nutzen Google Analytics, Twitter, Instagram, WhatsApp und Spark und haben ganz vielen Standardvertragsklauseln zugestimmt, die so tun als ob nichts wäre, während unsere Daten munter außerhalb der EU verarbeitet werden.

Viel rechtlicher Lärm um nichts? Schert die DSGVO eigentlich irgendwen, den sie scheren sollte? Und Lotus Notes, ernsthaft?

„Privacy Shield“ unwirksam

Die DSGVO verbietet die Verarbeitung personenbezogener Daten außerhalb der EU, sofern in den Drittländern – und dazu gehören die USA nun einmal – kein angemessenes Datenschutzniveau herrscht. Ob ein solches herrscht konnte bisher im Wesentlichen an zwei Indikatoren festgemacht werden: Die beteiligten Unternehmen aus Drittländern konnten ein Privacy-Shield-Zertifikat vorweisen oder es wurden zwischen vorgefertigte Standardschutz- bzw. Weiterlesen

Ein Grund mehr für Verschlüsselung in der Cloud #

Zusätzlich zu vielen offenen Fragen, die unverschlüsselte Daten eo ipso auf Cloudspeichern hervorrufen, gibt es noch einen Grund mehr für die Verschlüsselung eben dieser Daten. Gehen sie verloren, entfällt, wenn ich den Text richtig interpretiere, die Benachrichtigungspflicht; keine Anrufe mit Entschuldigungen, keine E-Mails mit Erklärungen… Das kann – man denke an Anwaltskanzleien, Ärzte, Versicherungsunternehmen udgl. – Imageschäden und Vertrauensverlust abwenden.

Die Benachrichtigung der betroffenen Person […] ist nicht erforderlich, wenn […] der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung.

Art 34 Abs 3a DSGVO

Titel und bisheriger Inhalt dieses Artikels scheinen die  Verschlüsselungsempfehlung auf Cloudspeicher einzuschränken, aber bitte, verschlüsselt eure Daten einfach immer und überall. Ein Laptop ist schneller gestohlen als einem lieb ist, ein USB-Stick schnell verloren. Verschlüsselung ist kein Hindernis, erfolgt vollautomatisch und man bemerkt sie gar nicht, wenn sie einmal eingerichtet ist. Es ist wirklich nicht viel mehr als irgendwo im System eine Einstellung zu ändern oder, um zum Cloudspeicherthema zurück zu kommen, Software wie Boxcryptor oder Cryptomator zu installieren.

Mitarbeiter könnten dank DSGVO E-Mails der Vorgesetzten einsehen #

Mit dem in der DSGVO festgehaltenen Recht auf volle Dateneinsicht kann es sein, dass zukünftig E-Mails, die Vorgesetzte über einen Mitarbeiter ausgetauscht haben, (mit Einschränkungen) vorgelegt werden müssen.

Soetwas wie „Vertraulichkeit einer Nachricht“ gilt dann ja offenbar nicht mehr, wenn sie durch eine lapidare Anforderung gebrochen werden kann. Wird spannend sein, wie diejenigen mit dem Auskunftsgesuch umgehen, die jetzt schon ihre irren Confidentiality Notices in der Fußzeile aller E-Mails mitschicken.