Datenschutz im Sinne des
DSG bzw. der
DSGVO bezieht sich
immer auf (indirekt) personenbezogene Daten;
Die DSGVO definiert als besonderen Kategorien personenbezogener Daten
Daten, die z. B.
Der Bereich der IT-Security
umfasst dagegen nicht nur den Datenschutz (im obigen Sinne), sondern auch
den (technischen) Schutz aller erfassten Daten (und der betroffenen
Hard- und Software), da diese - auch wenn nicht im Sinne der DSGVO
schutzwürdig - eventuell für das Unternehmen / die Organisation
wichtig oder sogar notwendig sein könten - Beispiel:
Die Lagerbestände sind keine für die DSGVO relevantes Daten,
für die betroffene Firma aber sicher schützenswert, da eventuell
für den Fortbestand der Firma wichtig.
Ohne irgendeinen Anspruch auf Vollständigkeit
Wie oben beschrieben sollte der (innerbetriebliche) Datenschutz Teil einer umfassenden IT-Security-Policy sein, aber es gilt darauf zu achten, nicht den Bock zum Gärtner zu machen:
Das Management muß also regeln, was gewünscht bzw. auch (gesetzlich) erlaubt ist und was nicht: für die Verantwortlichen im Bereich IT-Security / Datenerfassung / ... gehören von der Geschäftsführung klare Richtlinien erlassen, wie mit personenbezogenen Daten umzugehen ist - diese Datenschutzrichtlinie (als Ergänzung zur IT-Security-Policy) ist ein wichtiger Teil der Unternehmenskultur und sollte allen Mitarbeitern transparent gemacht werden!
Echelon ist das Spionage-Netzwerk der NSA, des miltärischen
Nachrichtendienstes der USA, beteiligt sind aber auch andere
angloamerikanische Staaten.
Aufgabe ist die weltweite Überwachung der elektronischen Kommunikation
und es ist ziemlich sicher, daß alles, was über - zumindest das
öffentliche - Internet geht, dort auch mitgeschnitten wird.
Wie sinnvoll das ist, ist eine andere Frage: diejenigen, die wirklich etwas
zu verbergen haben, werden verschlüsselte Kommunikation verwenden, die
zwar mitgehört werden kann, deren Informationsgehalt aber nicht
entdeckt wird - entweder durch Verwendung sicherer (?) Verschlüsselung
oder durch
Steganographie.
Auch die EU hat nun einen ähnlichen Weg eingeschlagen
(INDECT)
und eine Richtlinie zur Vorratsdatenspeicherung erlassen, die von
den einzelnen Mitgliedern nun in nationale Gesetze zu gießen ist:
es geht um die Speicherung jeglicher Telekommunikationsdaten (nicht der
Inhalte), ohne daß ein Verdacht gegen die betroffenen Personen
besteht, damit man später (wenn ein begründeter Verdacht
besteht) auf diese Daten Zugriff bekommen kann.
Jeder, der Zugriff auf diese Daten bekommt, kann dann Benutzerprofile
erstellen, die privaten (realen) sozialen Netze jedes Bürgers
untersuchen.
~550.000.000 Nutzer (größtes soziales Netzwerk),
Schätzwert (aufgrund der zuletzt getätigten Investitionen)
USD 50.000.000.000 (also ca. USD 90 je User) bei Einnahmen im Jahr 2010
von (geschätzten) USD 2.000.000.000.
Ohne Börsengang und mit weniger als 500 Teilhabern sind keine
Firmenzahlen zu veröffentlichen - u.a. ist der Business-Plan
unbekannt.
AGB
(auch die Privacy-Einstellungen) ändern sich häufig.
Facebook will in Zukunft die
gesamte
elektronische Kommunikation bündeln, was dazu führen
Fälle von könnte,
daß Facebook entscheiden kann, wer mit wem wie kommunizieren
kann.
Die Suche nach „1“ ergibt aktuell nicht ganz
20.000.000.000 Treffer, die Suche funktioniert schnell, Google
bietet auch viele andere Dienste (gratis) an - was spricht dagegen?
Das Problem ist, daß Google zu viel Wissen über uns
alle anhäuft und niemand wirklich weiß, was mit all diesen
Daten gemacht wird - Google hat durch die Analyse von Abfragen
einerseits einen immensen Wissensvorsprung (ähnlich wie bei
Insiderhandel an der Börse) und kann andererseits (etwa durch
Änderungen des
Pagerank-Algorythmus
oder durch Löschung von Seiten aus dem Index) auch gezielt
(des)informieren, falls das im Interesse von Google sein sollte
(Beispiel: die Suche nach Turkey = Türkei / Truthahn liefert
laut Die
Google-Falle vor Thanksgiving ganz andere Ergebnisse als im
restlichen Jahr).
Durch die Verwendung von Google
Analytics werden Google noch weitere Daten überlassen, was aus
datenschutzrechtlicher
Sicht nicht ganz unbedenklich ist.
Daß Google auch die Daten in den E-Mail-Foldern und in
der Google-Cloud (s.u.) analysiert, dürfte wohl auch stimmen, d.h.
auch in die Privatsphäre wird (wahrscheinlich) eingegriffen, ob
diese Daten irgendwie / irgendwo auch verwendet werden?
Noch (mindestens) einen Schritt weiter geht die Applikation Google Latitude (inzw. eingestellt), die (ähnlich wie z. B. auch Foresquare) ganze Bewegungsprofile für/über Benutzer aufzeichnet - ein Dienst, den natürlich ähnlich auch Facebook mit der Applikation Places anbietet, nur mit dem Unterschied, daß Google das automatisiert (und irrtümlich auch ohne Zustimmung) durchführt.
Der aktuelle Hype im Internet: Cloud Computing ist die
Virtualisierung der Virtualisierung: Vor einigen Jahren machte das
Schlagwort Servervirtualisierung zur besseren Ausnutzung der
Hardware und zur Konsolidierung der Hardware (und damit Kosteneinsparungen)
die Runde, mehr oder weniger parallel kam es auch zur
Speichervirtualisierung: Server griffen nicht mehr auf lokale Platten
zu, sondern auf virtuelle Platten im (lokalen) Netzwerk, die auf
NAS und/oder
SANs zur Verfügung
gestellt wurden.
Die Cloud virtualisiert nun auch die letzten Hardwareteile: den
Virtualisierungsserver und das NAS/SAN und stellt Speicher und CPU
virtuell zur Verfügung und das zu Preisen, die man noch vor wenigen
Jahren nicht für möglich gehalten hätte - das Problem:
Niemand kann mehr sagen, wo nun die Daten gerade sind: auf 2 Servern im
Rechenzentrum in Amsterdam und 1 Server in Amerika und auf Platten, die
in Asien liegen - und 2 Stunden später schon wieder ganz wo anders.
Und hier kommt wieder das DSG ins Spiel: werden personenbezogene Daten ins Ausland übermittelt, dann ist die Zustimmung der DSK erforderlich.
Jede Kommunikation, jeder Webseitenbesuch, jede Anwendung im Internet hinterläßt Spuren - wieder ohne Anspruch auf Vollständigkeit:
Jede Kommunikation im Internet erfolgt mittels standardisierter Protokolle, grundlegend ist die Protokollfamilie TCP/IP. Verbindungen zwischen 2 Rechnern werden - vereinfacht ausgedrückt - über ihre eindeutige IP-Adresse aufgebaut, diese Adresse läßt sich direkt oder indirekt i.a. einem Benutzer zuordnen, außerdem kann man über die Auswertung (öffentlich zugänglicher) Logfiles Userprofile erstellen.
Bei den meisten Browsern wird - wenn ein Link angeklickt wird - im HTTP-Protokoll auch die Seite mitübergeben, von der man gekommen ist, wenn man also Zugriff auf die Log-Files mehrerer Server hat, kann man für einen Besucher (IP-Adresse, Cookie, ...) Profile erstellen, die über unterschiedliche Dienste hinweg gehen und damit auch durchaus zur Identifikation des Besuchers dienen kann.
Bis zum Web 2.0 (dem „Mitmach-Web“) schien es so, als wäre
die Kommunikation (mit Ausnahme von Formularen, die man ausfüllen
kann) eine Einwegkommunikation: man besucht Seiten auf Servern, die vom
Browser abgeholt und dann dargestellt werden - aber so einfach war es nie:
der Server kann im Browser auch kleine Dateien hinterlassen, die er bei
einem späteren Besuch wieder auslesen kann (und die bei fehlerhafter
Programmierung auch anderen Servern zugänglich gemacht werden):
obwohl man sich nicht anmeldet, obwohl sich die IP-Adresse geauml;ndert hat,
erkennt der Server, daß es sich um den gleichen Benutzer handelt
und er kann wieder ein Profil anlegen.
Auch Adobes Flash Player legt Cookies an, was sich (bei
aktiviertem Flash) nur durch den
Settings Manager
verhindern läßt.
Wenn ich auf mehrere Webseiten und Webserver Zugriff haben möchte und nicht mehrere Log-Files durchsuchen will, dann installiere ich mir auf jeder Webseite, auf die ich Zugriff habe, eine transparente, 1 Pixel große Bilddatei und muß dann nur die Zugriffe auf diese Dateien analysieren um die Besucher zu „tracken“, i. Allg. ohne daß diese es bemerken, denn wer kontrolliert schon den Source-Code oder deaktiviert das automatische Anzeigen von Bildern in Webseiten?
Und selbst wenn man nun die Cookies, die History und den Cache
regelmässig löscht und die IP-Adresse häufig ändert -
solange man den selben Browser verwendet gilt: ein hoher Prozentsatz bleibt
(auch ohne Javascript) weiterhin eindeutig identifizierbar, weil die
auslesbaren Daten wie:
Betriebssystem(version),
Browser(version),
eingestellte Sprache,
akzeptierte MIME-Typen,
installierte Plugins und Einstellungen
den Browser wieder eindeutig identifizieren und damit (ohne mein Wissen
und meine Zustimmung) Daten/Profile an Firmen weiter gegeben werden,
denen ich das eventuell gar nicht geben möchte.
Weitere Infos:
panopticlick.eff.org
pixelprivacy.com/resources/browser-fingerprinting/
privacy.net/analyzer/
Die Administratoren des verwendeten DNS-Servers, die Administratoren der Netzwerkkomponenten, die für mein Netzsegment zuständig sind, können i.a. mitschauen, mit welchen IP-Adressen ich kommuniziere, die Admins der Server, auf denen meine (unverschlüsselten) Daten (Dateien und E-Mails) liegen, haben üblicherweise vollen Zugriff auf diese.
Viele moderne Drucker (Scanner sowieso) haben Festplatten integriert,
die alle Dokumente, die über dieses Gerät verarbeitet werden,
speichern.
Im Falle eines Verkaufs oder eines Wartungsaustausches können
fremde Personen damit Zugriff auf eventuell sehr private Dokumente
erhalten!
Ein Teil des Bereichs Datenschutz befasst sich auch damit, daß Daten, wenn sie schon bekannt werden, auch stimmen sollten - das ist dann z. B. ein Problem, wenn man einem Online-Lexikon wie Wikipedia blind vertraut und vergißt, daß dort im Prinzip jeder (in doppeltem Sinne) Daten manipulieren kann.
Neben dem Internet gibt es natürlich noch viele andere Systeme, durch deren Nutzung wir viel (zu viel?) von uns preisgeben:
geben z. B. nicht nur Auskunft über unser Kaufverhalten sondern erlauben sogar reale Bewegungsmuster aufzuzeichnen, meine Bank weiß sowieso sehr viel - und gibt auf Anfragen eventuell auch viel zu viele Daten (ungesetzlich?) weiter
„Prognosen sind schwierig, besonders wenn sie die Zukunft betreffen.“ (Karl Valentin, Mark Twain, ...)
Die Tendenzen sind da (aktuell z.b. Bewegungsprofile von Handys mit und ohne GPS um damit bessere Navigationssysteme erzeugen zu können - klingt gut, aber was kann man noch alles mit diesen Daten tun?), es wird der Gesetzgeber gefordert sein sich den Problemen (schneller als bisher) zu stellen, damit Daten wirklich nur für den geplanten Zweck verwendet werden, sonst liegt Orwells 1984 näher als wir glauben und Selbstdatenschutz wird zur Notwendigkeit (oder ist das dann Paranoia?):
Generell gilt immer abzuschätzen, wer warum welche Daten von mir
haben möchte: niemand will etwas verschenken, (fast) jeder hat
ein (finanzielles) Ziel vor Augen.
Auch (oder besonders) im Internet gilt (wie auch IRL): Vorher Hirn einschalten!
Bis vor kurzem habe ich gesagt, es ist mir egal, wenn Firmen meine Hobbys
kennen: Werbung bekomme ich sowieso und wenn schon, dann ist es ja nicht
schlecht, wenn ich gleich etwas über xyz bekomme, wegwerfen
kann ich es ja immer.
Seit ca. 2 Monaten hat sich aber das Werbeprofil einiger Firmen
geändert: statt in Papierform kommt das nun als Anruf (aus
Deutschland): fast jede Woche, auch zu „ungewöhnlichen“
Zeiten, nur schwer „abzuwürgen“.
Natürlich habe auch ich ein Facebook-Profil, aber natürlich nicht mit meinem echten Namen - im Gegensatz z. B. zu LinkedIn oder StayFriends, wo es (für mich) nur um den Kontakt zu einer sehr begrenzten Anzahl von (Schul-)Kollegen geht.