Gestern rief mich ein alter Freund an und wir haben über Datenschutz gesprochen. Er als Jurist sieht die Sache aus einem sehr rechtlichen Standpunkt. Das ist auch gut, denn diese Sicht, macht es ja überhaupt erst möglich, Datenschutz auch im gesetzlichen Rahmen verbindlich betreiben zu lassen. Die Frage, die ich mir dann allerdings stelle ist, was haben denn Herr und Frau Internetnutzer davon?
Cookie Hinweis & Datenschutzerklärungen
Fast alle Menschen, die mir von Cookie Hinweisen erzählen, schwärmen nicht davon. Die einen, weil sie welche in ihren Webseiten anbringen sollen, die anderen, weil sie die wegklicken müssen, wenn sie den Inhalt einer Webseite lesen wollen. Gelesen? Fehlanzeige. Über den Passus „Diese Webseite verwendet Cookies“ kommt kaum jemand hinaus. Ist das ganze dann überhaupt sinnvoll?
Ja. Erst seit der DSGVO haben wir unsere Daten halbwegs im Griff, wenn wir wollen. Android Apps zum Beispiel, die waren vor der DSGVO alle so gestrickt, dass man entweder akzeptierte, dass z.B. eine Wetter-App auch Zugriff auf alle Kontakte und das Mikrofon wollte, oder sie nicht akzeptierte. Heute kann ich Punkt für Punkt auswählen, was ich einer Anwendung erlaube, ich muss es nur auch tun und die Einstellungen so vornehmen.
Bevor wir Datenschutzhinweise lesen, wäre es wichtig zu wissen, welche Daten man überhaupt mitbringt, wenn man auf eine Webseite kommt. Dazu sollten wir uns auch klar machen, wie unser Browser konfiguriert ist. Wer sicher stellen möchte, dass außer der IP und dem verwendeten Browser keine Infos über einen selbst übermittelt werden, sollte sich die Browsereinstellungen einmal ansehen. Es gibt in fast allen einen Privaten oder Inkognito Modus, der wäre ein guter Start. Keine Webseite braucht zum Beispiel meine Standort. Den kann ich immer noch bekannt geben, wenn ich der Meinung bin, es sei von Relevanz. Die Bequemlichkeit ist der Feind des Datenschutzes, weil einfach mal alles akzeptieren, geht einfach schneller.
Ein weiterer Aspekt ist, ob man irgendwo angemeldet ist. Microsoft möchte ja, dass alle Windows Nutzer mit ihrem Online Microsoft-Konto schon im Betriebssystem angemeldet sind. Es wundert mich wirklich, dass hier kein Mensch über Datenschutz predigt – das ist nämlich absurd. Es geht Microsoft nichts an, was ich auf meinem Rechner mache. Wenn ich dann auch noch den komfortabel gleich mitinstallierten Edge-Browser verwende (den kann man nicht einmal einfach deinstallieren), und noch immer eingelogged bin, brauche ich über Datenschutz eigentlich nicht mehr nachdenken. Das selbe gilt, wenn ich mich bei Facebook oder Google oder sonst wo nicht auslogge. Es ist natürlich bequem, weil man muss sich dann nicht einloggen und diese lästigen Sicherheitsfragen von wegen „neues Gerät“ und „unbekannter Browser“ kommen nie. Die kennen Sie nicht? Gut, das sollte Ihnen zu denken geben.
Gehen wir also davon aus, Sie sind überall ausgelogged, Sie habem Ihren Browser auf privaten Modus gestellt und surfen. Welche Daten haben Sie mit? Die IP Adresse. Die sollte in Europa auf jeden Fall Pseudonymisiert sein, damit sie nicht zu Ihnen zurück verfolgt werden kann. Zugegeben, ohne Gerichtsbeschluss, ist das ohnehin schwierig, es gibt aber noch einen weiteren Punkt, der die IP Adresse relevant macht. Auch wenn sie wechselnde Adressen haben, wie z.B. bei den meisten großen Telekom-Anbietern (eine fixe IP Adresse kostet normalerweise extra), wechseln die nur etwa alle 24 Stunden. Sie können also alls wiederkehrender Benutzer identifiziert werden, wenn diese Pseudonymisierung nicht geschieht. Daraus kann man Verhaltensmuster ableiten und auch auf Ihre Gewohnheiten schließen.
Passwörter und Zugänge
Für alles was Ihnen wichtig ist, sollten Sie 2-Faktor Authentiffizierung (2FA) nutzen. Dabei wird zusätzlich zu Ihrem Passwort ein weiterer Einmal-Code per SMS oder Sicherheits-App an Ihr Handy oder auch per Email an eine definierte Adresse geschickt. Nur wenn beide EIngaben stimmen – also Passwort und Code, sind Sie in der Lage sich einzuloggen. Passwörter alleine sind auch noch halbwegs sicher – dazu hier ein Artikel im Blog der Guten Webseite. Ein paar Dinge gilt es dabei zu beachten, 2FA ist aber in jedem Fall zu bevorzugen.
Problematisch wird es…
Wenn Daten abhanden kommen. Und das kann leider jedem passieren. Ob sie wie früher Ihr Papier-Notizbuch verlieren, wo die Telefonnummern und Geburtsdaten Ihrer Freunde und Verwandten festgehalten wurden, oder ob jemand Ihren Mail-Account inklusive Kontaktliste knackt, hat nur den Unterschied, dass das eine ein aktiver Einbruch und das andere ein klassischer Verlust ist. Im gewerblichen Umfeld, wäre die Sache mit dem Notizbuch allerdings schwer fahrlässig.
Wenn jemand Ihre Daten hat, und hier ist das Geburtsdatum ein heikler Punkt – sollten Sie wirklich nur dann angeben, wenn es nicht anders geht – ist der Identitätsdiebstahl gar nicht kompliziert. Dank DSGVO ist es in Europa nicht ganz so einfach als jemand anderes im Netz zu agieren, unmöglich ist es aber nicht. Vor allem, wenn man es eine Weile glaubhaft aber unauffällig betreibt.
Denken Sie einfach daran, dass es weltweit keinen sicheren Platz für Daten gibt. Wenn Sie also jemandem Ihr Geburtsdatum geben, dann ist es potentiell einsehbar im Falle eines Datendiebstahls oder Verlust. Wichtig, das Datum alleine ist natürlich nicht relevant – es geht um die Verknüpfung. Name, Mailadresse, Geburtsdatum – diese Kombination ist schon zu viel.
Was soll das jetzt alles?
Datenschutz ist sinnvoll, er kann aber nur so gut sein, wie jene, die ihre Daten durch die Welt tragen. Halten Sie sich zurück, mit dem was sie Preis geben, dann brauchen Sie sich über Cookies ganz sicher keine Gedanken machen.
- Wenn Sie über Google auf eine Seite kommen, dann solltne Sie nicht erst auf der Seite überlegen, ob Google nun weiß, dass Sie dort sind.
- Ihr Browser braucht weder auf dem Handy noch auf dem Rechner Standortzugriff, seien Sie nicht bequem. Mikrophon und Kamera nur dann für eine App, einen Browser oder was auch immer frei geben, wenn Sie es benötigen. Ansonsten am besten sperren, ja Messenger können mithören, wenn sie das nicht tun.
- Unbekannter Anrufer am Telefon? Heben Sie nicht mit dem Namen ab – das ist zwar nicht so höflich aber leider viel sicherer. Wenn Sie jemand am Telefon fragt, ob er mit Ihnen spricht (z.B. „Spreche ich hier mit Name Vorname persönlich?“), wollen Sie wahrscheinlich nicht mit dem Anrufer sprechen, also können Sie auch gleich auflegen… selbst wenn das versprochene Investment soooo verführerisch klingt.
- Man verspricht Ihnen Millionen per Email? Bitte nicht antworten und wenn Sie es wirklich nicht aushalten, dann legen Sie sich eine zweite anonyme Mailadresse zu, mit der Sie dann auf solche Mails reagieren – ist aber Zeitverschwendung.
- Umfragen? Seriöse Institute kennen Sie und die rufen auch nicht aus dem Ausland an – auflegen.
- Newsletteranmeldung mit Geburtsdatum? Nein.
- Ausloggen. Bevor Sie den Browser schließen, überall ausloggen. Ja, ist umständlich aber es geht nicht anders, wenn Sie ein wenig mehr Privatsphäre möchten.
- In vielen Mobilfunk- und anderen Dienstleistungsläden ist es mittlerweile üblich, sich per Videowall anzumelden, wenn man in den Laden kommt. So wird man gereiht und dann aufgerufen. Das ist wie die Nummer, die man früher am Amt gezogen hat. Sehen Sie sich das nächste Mal an, ob die Videowall eine Kamera auf Sie gerichtet hat (meistens ein schwarzer Punkt über dem Bildschirm), während Sie Ihre Eingaben machen. Wenn das der Fall ist, würde ich den Bildschirm nicht einmal berühren. Abkleben ist immer eine Option.
Vielleicht ergänze ich das bei Gelegenheit noch, aber wichtig ist eigentlich nur, wenn Sie Datenschutz wollen, müssen Sie a) Ihre Daten kennen und b) reicht es nicht, Cookie Hinweise zu klicken.