Appell zum Safer Internet Day 2018: Hersteller und Betreiber sollten Datenschutz gleich einbauen

„Datenschutz by Design“ und „Datenschutz by Default“ werden Standard

[datensicherheit.de, 06.02.2018] Der „Safer Internet Day“ als Tag für das sicherere Internet findet jedes Jahr am zweiten Dienstag im Februar statt, so auch am 6. Februar 2018. Aus diesem Anlass betont Marit Hansen, Leiterin des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD SH), dass schon mehr Sorgfalt bei der Sicherheit notwendig sei: Wenn Hacker den Einstieg in „Smart Homes“ über eben nur scheinbar „smarte“ Glühlampen finden oder wenn Autodiebe sich einen Zugriff über geklonte Schlüsselsignale verschaffen, spreche dies alles nicht für eine durchdachte Gestaltung der Systeme. Dasselbe gelte für die Datenschutz-Konzepte der Hersteller und Betreiber.

Aushöhlung des Datenschutzes

Als bedenkliche Beispiele führt Hansen an: Wenn Standort- und Bewegungsdaten auf Fitnesswegen bekannt werden und die Sportler darüber identifiziert werden können, wenn Sprachassistenzsysteme die Kommunikation im Wohnzimmer aufzeichnen und als „Zeuge“ vor Gericht auftreten sollen, wenn wir auf Basis unseres Nutzungsverhaltens in Kategorien eingestuft und gezielt beworben werden – es sei denn, wir gehören zu der für Werbung unattraktiven Kategorie „waste“ (Müll). Wenn Algorithmen aus diesen gesammelten Daten Ergebnisse fabrizieren, die unser Leben beeinflussen können: Entscheidungen darüber, ob wir einen Kredit bekommen, wie teuer uns eine Versicherung angeboten wird, ob wir uns verdächtig gemacht haben, wie geeignet wir für einen Job sind, ob sich eine medizinische Behandlung lohnt usw.
Hansen fordert daher: „Datenschutz muss endlich in die Anwendungen und Produkte eingebaut werden!“

Datenschutzfreundliche Voreinstellungen gefordert

Sie appelliere an die Hersteller und Betreiber von technischen Systemen, dass sie bei der Implementierung die Datenschutzrisiken in den Blick nehmen. Aktuell seien die meisten Anwendungen so vorkonfiguriert, dass personenbezogene Daten der Nutzenden weitergegeben werden. Oft müssten die Nutzenden mühsam sämtliche Systemeinstellungen durchklicken, um die standardmäßige Herausgabe von Daten zu stoppen. Der Grundsatz der Datenminimierung werde nur selten erfüllt.
Das Prinzip „Datenschutz by Default“ bedeute aber das Gegenteil: Die Voreinstellungen seien datenschutzfreundlich, und die Nutzenden entschieden selbst, ob und wann welche ihrer Daten weitergegeben werden.

Eingebauter Datenschutz als Regelfall

„Datenschutz by Design“ und „Datenschutz by Default“ sind neue gesetzliche Anforderungen aus der Datenschutz-Grundverordnung (DSGVo), die ab dem 25. Mai 2018 endgültig in ganz Europa gelten wird. Zur Umsetzung dieser Anforderungen verpflichtet sind all diejenigen, die für die Verarbeitung personenbezogener Daten verantwortlich sind (die sog. Verantwortlichen). „Ich hätte mir gewünscht, dass die Datenschutz-Grundverordnung auch die Hersteller unmittelbar zu eingebautem Datenschutz verpflichtet – das ist immerhin für die kommende europäische ,e-Privacy-Verordnung‘ so geplant“, kommentiert Hansen.
In jedem Fall aber verpflichte die DSGVO die Hersteller mittelbar: „Damit die Verantwortlichen ihre Datenschutzpflichten erfüllen können, werden sie die Hersteller von Produkten und Betreiber von Systemen fragen müssen, wie es um den Datenschutz in deren Angeboten bestellt ist. Wer hierauf keine gute Antwort gibt, kann dann bei der Auswahl der Produkte und Systeme nicht zum Zug kommen.“
Für den „Safer Internet Day 2019“ erwartet Hansen, „dass wir die Wirkungen der Datenschutz-Grundverordnung sehen werden – nämlich ein deutliches Plus an Datenschutz und Sicherheit im Internet.“

Weitere Informationen zum Thema:

datensicherheit.de, 10.02.2014
Safer Internet Day: BSI veröffentlicht Broschüre zum Thema Cloud Computing