Individuelle Maßnahmen und Regulierung müssen sich ergänzen, wenn es um die Privatsphäre geht

Garry Kasparov 11 Jul 2018

Der Schutz Ihrer Online-Daten erfordert eine Mischung aus Regulierung, Standardisierung und individuellen Maßnahmen. Nachdem die erste Runde der DSGVO-konformen Websites nun hinter uns liegt, sollten sich Verbraucher die Zeit nehmen, grundlegende Sicherheitsmaßnahmen umzusetzen, um den Schutz ihrer Online-Daten und -Informationen zu gewährleisten.

Die „Datenschutz-Grundverordnung“ oder DSGVO ist – begleitet von großem internationalem Trara – Ende Mai in Kraft getreten. Nach langem Hin und Her stellte sich eine multilaterale Organisation der Herausforderung des Schutzes der Privatsphäre im digitalen Zeitalter. Der Flickenteppich nationaler Gesetze, die vom aggressiven Schutz der Privatsphäre bis hin zu vollkommener Abwesenheit eines solchen Schutzes reichen, waren in der Online-Welt mit unterschiedlichen Rechtssystemen vorhersehbar wirkungslos. Während Regulierung immer mit Risiken einhergeht, hat sich in den letzten Jahren gezeigt, dass das Internet öffentliche Maßnahmen erfordert, um die Sicherheit der Benutzer und die Verantwortlichkeit der Unternehmen durchzusetzen.

Im Großen und Ganzen verlangt die DSGVO von Unternehmen, die personenbezogene Daten von EU-Bürgern verarbeiten (von Namen und Anschrift bis hin zu biometrischen Daten), dass sie ihre Verfahren für die Erhebung, Speicherung und Freigabe dieser sensiblen Daten aktualisieren. Beispielsweise müssen Organisationen nun die Zustimmung der Verbraucher einholen, bevor sie ihre Informationen in einer Datenbank speichern können. Deshalb wurde Euer Posteingang wahrscheinlich mit Opt-in-Anfragen von Unternehmen überflutet, deren Produkte und Dienstleistungen Ihr nutzt, da fast jedes große Unternehmen EU-Kunden hat. Unternehmen müssen auch die EU-Regulierungsbehörden innerhalb von 72 Stunden benachrichtigen, wenn Benutzerdaten kompromittiert wurden; in Fällen schwerwiegender Verstöße sind die Kunden unverzüglich zu benachrichtigen. Sollten die Benutzer jederzeit Zugang zu ihren personenbezogenen Daten wünschen oder diese im Rahmen der DSGVO-Klausel „Recht auf Vergessenwerden“ löschen wollen, müssen sich die Unternehmen daran halten (sofern keine rechtlichen Gründe für die Aufbewahrung der Daten vorliegen).

Die Strafen für die Nichteinhaltung dieser Standards sind hoch. Unternehmen können mit bis zu vier Prozent ihres weltweiten Jahresumsatzes für die schwersten Verstöße bestraft werden. Tatsächlich wurden Facebook und Google am ersten Tag der Umsetzung des Gesetzes mit Geldbußen belegt, weil sie es versäumt hatten, ihre Richtlinien in angemessenem Maße anzupassen. Die Umsetzung der erforderlichen Schutzmaßnahmen ist mit erheblichem Aufwand verbunden; je nach Größe der Organisation können ein eigener Datenschutzbeauftragter oder sogar eine ganze Abteilung erforderlich sein. Das bedeutet hohe Kosten für die Unternehmen, ein Grund, warum solche Regelungen von ihren Kritikern als geschäftsschädigend bezeichnet werden. Damit sich jedoch die Welt des Internets weiterhin entwickelt, müssen Recht und Ordnung geschaffen werden, ganz genauso wie auch der Wilde Westen nicht ewig „wild“ bleiben konnte.

Aufgrund ihres Umfangs und ihrer Durchsetzungsmechanismen verspricht die DSGVO weitreichende Auswirkungen auf das globale Geschäft. Der Datenschutz wird nun in den frühen Phasen der Produktentwicklung gefördert und die auf den Markt kommenden Technologien verändern. Die Unternehmen müssen ihre Werbestrategien angesichts der neuen Beschränkungen für den Datenaustausch anpassen, was zu einer explosionsartigen Zunahme von Influencer-Marketing und sonstiger User-to-User-Werbung führen kann.

All dies mag ein Schritt in die richtige Richtung sein, aber es bedeutet keineswegs, dass die Europäische Union die Probleme der Cybersicherheit innerhalb ihrer Grenzen gelöst oder einen makellosen Plan für den Rest der Welt vorgelegt hätte. Die Transparenz und Verantwortlichkeit, die die DSGVO von den Unternehmen fordert, kann viel dazu beitragen, aber auch die Verbraucher spielen eine entscheidende Rolle dabei, sich selbst zu schützen. Versteht diese Verbesserungen nicht als Aufruf, die persönliche Verantwortung für Eure Informationen abzugeben. Wie ich bei jeder Gelegenheit wiederhole: Aufklärung und Wachsamkeit sind entscheidend. Letztendlich kann keine Regierungsbehörde, keine Unternehmensabteilung oder juristische Person einen sachkundigen und proaktiven Verbraucher ersetzen. Informiert Euch über Eure Rechte, macht Euch vertraut damit, wie die von Euch verwendeten Programme und Geräte mit Euren Daten interagieren, und nehmt Euch die Zeit, grundlegende Verfahren einzuführen, durch die Ihr und Eure Daten sicher – oder zumindest so sicher wie möglich – bleiben.

Das vielleicht deutlichste Beispiel für eine solche Praxis ist die Zwei-Faktor-Authentifizierung (2FA) auf allen Ihren Konten. Die Aktivierung dauert nur wenige Minuten und bietet in Sachen Sicherheit einen großen Vorteil über ein bloßes Passwort hinaus. Es hat den doppelten Vorteil, dass Eure Konten schwieriger zu knacken sind und für Hacker, die es oft nur auf Konten ohne diese Einstellung abgesehen haben, weniger attraktiv sind. Natürlich bedeutet das Aktivieren der Zwei-Faktor-Authentifizierung, dass Ihr jedes Mal, wenn Ihr Euch von einem neuen Gerät aus anmeldet, den zusätzlichen Schritt der Überprüfung Eurer Identität durchführen müsst, sei es durch eine Authentifizierungsanwendung, eine Textnachricht (die unsicherste Option) oder einen physischen USB-Stick (die sicherste Option). Für viele Benutzer ist diese minimale Unannehmlichkeit Grund genug, die Risiken zu ignorieren, die sich aus der Nichtanwendung der Zwei-Faktor-Authentifizierung ergeben. Viele andere wissen nicht einmal von dieser Möglichkeit. Die Folge: Mehr als neunzig Prozent der Gmail-Konten haben die Zwei-Faktor-Authentifizierung nicht aktiviert.

Wie können wir das ändern? Ist es nur ein Problem der Ignoranz und Selbstgefälligkeit, das von Einzelpersonen überwunden werden muss? Während ich gerade die Bedeutung der persönlichen Verantwortung betont habe, glaube ich auch an systemische Veränderungen, die bestimmte Aspekte der menschlichen Psychologie nutzen, um unsere kollektive Sicherheit zu erhöhen. Die DSGVO legt ihrerseits die Messlatte für Vorgaben auf der Unternehmensseite höher, aber auch die Vorgaben der Endbenutzer sind zu berücksichtigen. Was, wenn die Zwei-Faktor-Authentifizierung die Standardeinstellung für Gmail-Konten wäre? Gehen wir einen Schritt weiter und fragen: Was wäre, wenn sie Pflicht wäre? (Für einige Benutzer, die keinen Zugang zu einer bequemen Authentifizierung haben, wäre dies nicht möglich, aber es ist ein interessantes Gedankenexperiment für unser Gespräch.)

E-Mail-Konten von Firmen erfordern in der Regel ein viel höheres standardmäßiges Sicherheitsniveau als persönliche Konten, da Unternehmen ein anderes Verhältnis zur Ambivalenz zwischen Risiko und Komfort pflegen. Formel-1-Piloten verwenden in ihren Autos viel effizientere Sicherheitsfunktionen als der durchschnittliche Fahrer, obwohl wir alle technisch betrachtet sicherer wären, wenn wir in unseren Autos Helme tragen und Fünf-Punkt-Gurte anlegen würden. Aber wir legen heutzutage alle Sicherheitsgurte an – oder wissen zumindest, dass wir das sollten. (Ich selbst habe das auf die harte Tour lernen müssen, nachdem ich in diesem Jahr einen schlimmen Schlag auf den Kopf bekommen habe, dass man sich nämlich anschnallen sollte, auch wenn man kurze Strecken in dichtem Verkehr zurücklegt!)

Google und andere Dienstanbieter könnten Euch zumindest mitteilen, wie sich jede Einstellung, die Ihr aktiviert oder deaktiviert, auf die Sicherheit Eures Kontos auswirkt. Vielleicht könnte sogar eine allgemeine Sicherheitsbewertung ausgegeben werden, wie z. B. viele Websites jetzt Passwörter auf einer Skala von rot (schwach) bis grün (stark) bewerten. Würde ein solches Ergebnis die Dinge zu sehr vereinfachen und uns ein falsches Sicherheitsgefühl vermitteln, oder wäre es ein nützlicher Schritt in Richtung Sicherheitsstandardisierung?

Diese Vorschläge sollen als Ausgangspunkt dienen, um uns alle Möglichkeiten vorzustellen, die uns zur Strukturierung von Benutzererfahrungen zur Verfügung stehen. Wenn Regulierungen der Größe und des Umfangs der DSGVO auf die Standardwerte für Endbenutzer abzielen, könnten die Ergebnisse dramatisch ausfallen. Wie auch beim Datenaustausch stimmen die Interessen der Unternehmen nicht unbedingt mit denen ihrer Kunden überein. Wenn 2FA die Ausnahme und nicht die Norm ist, könnte ein zu aggressiver Druck auf die Verbraucher dazu führen, dass sie auf eine andere Plattform wechseln. Die ständigen Mahnungen könnten zu lästig werden oder sogar den Eindruck erwecken, dass das Unternehmen, das sie ausgibt, für Sicherheitslücken anfällig ist. Ähnlich wie sich Banken weg von bewaffneten Wachen und festungsähnlicher Architektur in ihren Filialen weg entwickelt haben, schätzen Online-Unternehmen augenfällige Sicherheit nicht, weil sie befürchten, dass sie die Benutzer abschrecken, anstatt sie zu beruhigen. Aber wenn die Standards für 2FA einheitlich und einfach zu handhaben wären, gäbe es weitaus weniger Widerstand, der einer weiten Verbreitung im Wege stünde.

Der wirksamste Ansatz ist also eine Mischung aus Regulierung, Standardisierung und individuellen Maßnahmen. Anders ausgedrückt: Wir müssen daran arbeiten, die Architektur, in deren Rahmen unsere Entscheidungen erfolgen, neu zu strukturieren, während wir uns gleichzeitig zu unserem Schutz in einem dauerhaft unvollkommenen System verpflichten. Vielleicht lohnt es sich dann, einige der E-Mails in Eurem Posteingang wieder zu öffnen, die Ihr bei Inkrafttreten der DSGVO erhalten habt. Habt Ihr Euch die Zeit genommen, die aktualisierten Nutzungsbedingungen der verschiedenen Websites und Programme, auf die Ihr Euch verlasst, zu überprüfen? Organisationen wurden aufgefordert, diese Informationen für die Verbraucher klarer und verständlicher zu machen. Aber es liegt in Eurer Verantwortung, sich die Zeit zu nehmen, sie durchzulesen.

Die Reichweite der digitalen Welt in allen Bereichen unseres Lebens ist eine relativ neue Entwicklung, und es wird einige Zeit dauern, bis die gesellschaftlichen Normen nachziehen. Wir wissen, dass Zahnseide und Bewegung für die körperliche Gesundheit wichtig sind; ebenso wichtig für die Sicherheit im Internet ist eine gute „Cyber-Hygiene“. Doch die Utopie wird von der Realität eingeholt. Zahnärzte machen immer noch gute Geschäfte, weil die Leute sich nicht an bewährte Praktiken halten. Wir hatten ein Jahrhundert Zeit, um unsere Systeme des Automobiltransports auszuarbeiten, und wir haben immer noch unzählige Unfälle und Todesfälle. (Schaltet einen Gang hoch, ihr selbstfahrenden Autos!) Aber obwohl wir nicht jede Variable kontrollieren können, können wir unser Umfeld mit guten Gewohnheiten sicherer gestalten, und das macht uns langsam aber sicher alle sicherer.

Ich hoffe, dass dieser Artikel dazu beiträgt, dass Ihr mit gutem Beispiel für die Menschen um Euch herum vorangehen könnt, indem Ihr verbesserte Sicherheitsmaßnahmen umsetzt. Im Laufe der Zeit werden Unternehmen und Regierungen mit neuen und besseren Systemarchitekturen und -vorschriften reagieren, da der Durchschnittsverbraucher immer gebildeter sein und mehr Datenschutz und Sicherheit verlangen wird. Das Ergebnis wird ein System sein, das synergetisch funktioniert, da der Einzelne intelligente Entscheidungen trifft und die Institutionen sich darum bemühen, dass diese Entscheidungen zu einer sicheren und transparenten digitalen Welt führen.

--> -->