Logo Tobias Lange Unternehmensberatung

Tobias Lange

Unternehmensberater
Externer Datenschutzbeauftragter
Hamburg, den 02. März 2021

DATENSCHUTZ NEWSLETTER

Sehr geehrte Kunden und Abonnenten des Newsletters,

ich freu mich eine neue Ausgabe des Newsletter versenden zu dürfen.

Als Themen diese Newsletters habe ich folgendes ausgewählt:
  1. Appel Update IOS 14.0
  2. Datenschutz im Webdesign
  3. Umsetzung von Art. 8 DSGVO auf Webseiten
  4. IT-Grundschutz nach BSI - Teil 2

1. Apple Update IOS 14.0

Im September soll das neue Betriebssystem IOS 14.0 von Apple herauskommen. Es hat eine kleine Revolution beim Datenschutz in sich, die die Online-Werbeindustrie Sturm laufen lässt.

Jedes Endgerät hat eine eindeutige Werbe-ID, die das Betriebssystem festlegt. Das ist nicht nur bei Apple so, sondern auch bei Google oder Microsoft. Diese Werbe-ID kann von jeder App abgerufen werden und hilft, dass man das Gerät eindeutig einer Person bzw. einem konkreten Profil zuordnen kann, und der Nutzer auch über verschiedener Apps und Anwendungen hinaus verfolgt werden kann. So kann zielgerichtete Werbung eingespielt werden. Standartmäßig war diese Werbe-ID bisher bei allen Betriebssystemen aktiviert. Wünscht ein Nutzer eines Endgeräts dieses Tracking und die derartige Sammlung seines Nutzerverhaltens nicht, so muss er selbst die Werbe-ID in den Einstellungen abschalten. Letzteres tun nur wenige Nutzer und den meisten ist diese Möglichkeit, die sich in den Einstellungen unter dem Punkt Datenschutz befindet, gar nicht bekannt. Apple will die Werbe-ID seiner Geräte mit dem IOS 14.0 jetzt standartmäßig deaktivieren. Wenn eine App darauf zugreifen will, soll der Nutzer einen Hinweis eingespielt bekommen und muss daraufhin die Erlaubnis hierfür individuell erteilen. Diese Erlaubnis werden nur wenige Nutzer geben und damit sind die Möglichkeiten zielgerichteter Werbung auf Apple Geräten stark eingeschränkt. Neben dem Einspielen zielgerichteter Werbung betrifft das auch das Sammeln von Nutzerverhalten, da dieses ohne die Werbe-ID nicht mehr bestimmten Profilen zuzuordnen ist.

Für den Datenschutz ist dieses ein kleiner Meilenstein und zeigt deutlich in welche Richtung die Entwicklung geht. Dass die Online-Marketing Agenturen und Facebook & Co auf die Barrikaden gehen ist verständlich. Es geht hier um Milliarden-Umsätze, die man nicht mehr wie gehabt tätigen kann. Diese Entwicklung war aber schon seit Jahren absehbar, nicht zuletzt durch die Einführung der DSGVO und der Urteile der EUGH zu Tracking Cookies. Die Zeit des Target-Marketing, wie es bisher funktioniert hat, läuft ab. Online-Werbung muss für die Zukunft in neuen Wegen gedacht werden. Daran führt kein Weg für das Marketing aller Unternehmen vorbei.



2. Datenschutz im Webdesign

Man tut sich im Webdesign schwer mit dem Datenschutz. Das hat viele Gründe. Vor allem war der Datenschutz bis zur Einführung der DSGVO kein Thema für das Webdesign, sondern ganz im Gegenteil: Es galt die Devise: "Eine Website ohne Google Analytics ist keine richtige Website!" Man baute alles ein, was ging, gleich von welchen Server geladen wird und wohin Daten übertragen werden. Wichtig war nur, dass die Seite funktionierte und schick aussah. Datenschutz spielte keine Rolle. Aufgrund der EU-Verordnung zu Cookies bauten manche Webdesigner einen Cookie-Hinweis ein. Die Option Cookies abzulehnen gab es dabei aber nicht. Der Hinweis war nur eine Information, und die meisten Webseiten hatten nicht einmal diesen Hinweis. Dabei war eigentlich schon seit 2008 klar wohin die Reise mit dem Datenschutz geht und worauf sich die Betreiber von Webseiten, somit auch das Webdesign, für die Zukunft einstellen müssten. Es bedurfte aber erst der DSGVO und einiger deutlicher Urteile des EUGH, dass sich etwas ändert.

"Sieht gut aus und funktioniert" reicht heute nicht mehr für eine Website aus. Die Variante, bei der man die Website zum Geldverdienen mit Werbung nutzt, kann man quasi gänzlich verwerfen. Die Regeln haben sich geändert. Eine Webseite darf nur vom eigenen Hosting-Server laden und von keinen dritten Servern, ohne dass vorab dafür vom Nutzer eine ausdrückliche Erlaubnis erteilt wurde. Gleiches gilt für Tracking Cookies und Cookies mit Identifier. Selbst das Laden von Google Fonts vom Google Server ist nicht mehr ohne Einwilligung des Nutzers erlaubt. Und der Hosting-Server der Webseite sollte in der EU stehen bzw. in irgendeiner rechtlich korrekten Form dem Datenschutzniveau nach DSGVO unterworfen sein. Das sind die neuen Regeln.

Die neuen Regeln finden wenig Liebe und Akzeptanz bei den Webdesignern. Man hatte Webdesign anders gelernt und die neuen Regeln machen viele Funktionen, die bisher selbstverständlich waren, unmöglich. Das schafft Unmut und auch Unverständnis, trifft es viele Webseiten doch an ihrer sensibelsten Stelle, nämlich beim Geldverdienen. Von einigen Webdesignern höre ich auch Sätze wie diesen: "Es kann doch nicht sein, dass wir Google Maps jetzt nicht mehr verwenden, nur wegen des Datenschutzes!" Ich muss dann leider erwidern, dass das doch sein kann und dass es der Fehler von Google ist, wenn man seinen Service nicht DSGVO konform zur Verfügung stellt.

Bei Videos allerdings, die berechtigter Weise für viel Webseiten ein wichtiger Bestandteil sind, um den Nutzern Inhalte zu vermitteln, steht man mit den neuen Regeln im Webdesign vor einem wirklichen Problem. Gängig war es, diese auf YouTube und Vimeo etc. einzustellen, und von dort aus einzubinden. Diese Methodik wird jetzt zum Problem, da auch diese Portale nicht datenschutzkonform zur Verfügung gestellt werden. Es müssen technisch oft aufwendige Lösungen her.

Zu guter Letzt ist es auch noch ein Problem, dass Webdesign immer billiger und immer mehr durch Quereinsteiger angeboten wird. Hierbei kann man nicht mehr von wirklichen Webdesignern im eigentlichen Sinne sprechen, denn der Programmierer stellt nur vorgegebene Baukästen zusammen. Vom Code selbst wissen diese Webdesigner gar nichts und sind auch damit überfordert Plugins und Baukästen mit individuellem HTML, CSS, PHP oder JavaScript anzupassen. Dass man hier dann schnell überfordert ist, ist nur zu verständlich. Ein Problem für alle hingegen ist das Problem der Plugins und Updates. Oftmals ist es sehr schwer festzustellen, welches Plugin gerade für das Problem im Datenschutz verantwortlich ist oder ob es gleich mehrere sind. Hat man einmal alles korrekt programmiert, dann kommt ein Update für ein Plugin oder ein Baukastensystem, und alles ist wieder dahin. Updates sind wichtig, haben oft aber auch eine unvorhersehbare Seite. So kann ein Update Funktionen mit sich bringen, die man nicht auf Anhieb sieht und die dann doch wieder Inhalte aus Quellen laden, die ohne vorherige Einwilligung gegen den Datenschutz verstoßen.

3. Umsetzung von Art. 8 DSGVO im Webdesign

Die wohl größte Herausforderung stellt die Umsetzung von Art. 8 DSGVO im Webdesign dar. Hiernach dürfen Personen unter 16 Jahren, ich nenne diese fortan "Kinder", nicht selbst eine Einwilligung erteilen, sondern die Träger elterlicher Sorge müssen dieses für sie tun. Es ist also erforderlich sicherzustellen, das Kinder die Einwilligung ihrer Eltern besitzen bzw. die Eltern für sie einwilligen. Das Problem ist, dass man nicht genau feststellen kann, wer wirklich vor dem digitalen Gerät sitzt und den entscheidenden Klick tätigt. Selbst wenn es sich um ein Gerät handelt, dass für eine Kind konfiguriert ist, kann ein Browser nicht ohne weiteres auf diese Information des Betriebssystems zuggreifen. Theoretisch ist jede Variante denkbar: Kind sitzt vor einem Gerät der Eltern und klickt selbst. Kind klickt auf seinem eigenen Gerät selbst die Einwilligung. Kind gibt an die Einwilligung zu haben, aber hat sie nicht. Elternteil gibt die Einwilligung, Kind klickt, und niemand kann die Einwilligung der Eltern dabei rechtssicher dokumentieren. - Im Zweifelsfall hat der Betreiber der Website die korrekte Einwilligung gem. Art. 8 DSGVO zu beweisen. Wie soll das gehen?

Die Antwort ist einfach: Es geht technisch nicht! Man kann nicht sicherstellen, dass die Einwilligung tatsächlich von einem Träger elterlicher Sorge erfolgt ist. Bei der Nutzung von Webseiten ist nicht mehr drin als deutliche Hinweise zu tätigen, dass Kinder unter 16 Jahren die Einwilligung ihrer Eltern einholen müssen. Realistisch gesehen sind diese Hinweise umsonst, denn Kinder lesen sie nicht oder es ist ihnen egal. Dafür haftet dann im Zweifelsfall auch der Webseitenbetreiber. Die einzige Lösung, die verbleibt ist diese: Webseiten, die sich primär an Kinder richten oder in erheblichen Maße durch solche konsumiert werden, dürfen schlichtweg gar keine personenbezogenen Daten sammeln. Nur so ist Art. 8 DSGVO umsetzbar.

Allerdings gibt es Webseiten, die der Natur ihres Angebots nach Daten sammeln und verarbeiten. Hierzu zählen zum Beispiel Lernportale. Ein Kind meldet sich an und die vom Kind erledigten Aufgaben, der Lernstand etc. werden gesammelt. Auch wenn diese Sammlung von personenbezogenen Daten zu keinem anderen Zweck verarbeitet wird als im Rahmen der Funktionen des Lernportals, so ist das ganze dennoch nur rechtskonform, wenn der Träger elterlicher Sorge eingewilligt hat. Eine Lösung, die ich favorisiere, wäre hier bei Anmeldung eines Kontos einen Legitimationsnachweis einzuholen, der den Ersteller des Kontos als über 16 ausweist. Für solche Methoden verlinke ich einfach mal den Artikel auf Wikipedia hierzu: https://de.wikipedia.org/wiki/Altersnachweissystem

4. IT-Grundschutz nach BSI - Teil 2

Ein wichtiger Grundbaustein eine IT-Sicherheitskonzepts ist eine ordentliche Strukturierung des Unternehmens. Die Aufbau-Organisation sollte unter der Geschäftsführung sinnmachende Organisationseinheiten beinhalten, zum Beispiel Lager, Verwaltung, Einkauf, Marketing, Vertrieb, Produktion, etc. Daneben sollten der Geschäftsführung Stabsstellen angegliedert sein, nämlich ein Datenschutzbeauftragter, ein Informationssicherheits-beauftragter und ein ICS- Informationssicherheitsbeauftragter (wenn erforderlich).

In die Aufbau-Organisation muss immer auch der tatsächliche räumliche Aspekt, nämlich Standorte und Gebäude, einfließen. Dieses kann für die Infrastruktur der IT sehr entscheidende Notwendigkeiten beinhalten.

Ein möglicher Aufbau wäre hinter dem Modem eine physische Firewall zu installieren. Dieser sollte ein Remote-Controlled Browser System (ReCoBS) folgen, wie es das BSI nennt. Hierbei handelt es sich um einen Terminalserver, auf welchen die Browser der Arbeitsplatz-Geräte laufen. Dabei werden die aktiven Inhalte im Browser des Terminalservers ausgeführt und das LAN von solchen Sicherheitsproblemen geschützt. Hierhinter sitzt der Switch an dem Server, Cloudserver, TK-Anlagen und die Arbeitsplätze angeschlossen sind. Eine Verbindung zu anderen Standorten erfolgt entweder über eine Standleitung oder eine sichere VPN Verbindung.

Das BSI empfiehlt den Cloudserver, den Backupserver, den Datenbankserver und den Kommunikationsserver als selbständige physische Geräte zu betreiben. Daneben einen Server mit virtuellen Servern für die verschiedenen organisatorischen Dienste: Domänen-Controller, Druckerserver, Wiki-Server, Windows-Update-Server, Linux-Update-Server etc. Je nach Größe und Organisation des Unternehmens, sollte die Struktur der virtuellen Server sich an der Aufbau-Organisation sowie den erforderlichen Datenvolumen der einzelnen Abteilungen orientieren. Mehrere, von einander unabhängige Virtualisierungshosts, sind empfehlenswert.

Für den Aufbau eines Managementsystems für Informationssicherheit empfiehlt das BSI folgende Dokumente:
Allein das IT-Grundschutz-Kompendium in der Fassung 2020 umfasst 816 Seiten. Hier zeigt sich wieder sehr eindeutig, dass IT-Sicherheit nicht nebenbei erledigt werden kann und etwas für Spezialisten ist. Im nächsten Newsletter geht es dann mit dem Inhalt einer Richtlinie für die Informationssicherheit weiter.
Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die behandelten Themen interessant waren. Im nächsten Newsletter werde ich mich vertieft mit der Problematik der Lernportale im Internet befassen.

Herzliche Grüße

Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
IMPRESSUM:
Tobias Lange - Unternehmensberater
Externer Datenschutzbeauftragter
Zustellungsfähige Anschrift:
Tegelsbarg 53, 22399 Hamburg
Steuernr.: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@dsb-hh.com
Web: www.dsb-hh.com