Als die DSGVO im vergangenen Mai in Kraft trat, fürchtete man sich vielerorts vor den teils drastischen Strafen, die einem drohten, wenn man gegen die darin aufgestellten Vorschriften verstieß. Dies führte oft auch zu einem übertriebenen Aktionismus, der einen mal wieder ein ganzes Stück weit an den beliebten Begriff des "Behörden-Deutschlands" erinnerte. Seither sind allerdings so gut wie keine drakonischen Strafen für Verstöße gegen die DSGVO bekanntgeworden. Nun aber hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat ein Bußgeld in Höhe von satten 9,55 Millionen Euro gegen den den bekannten Telekommunikationsdienstleister 1&1 verhängt.

In der Begündung werden ungenügende technisch-organisatorische Maßnahmen (sogenannte TOMs) zum Schutz von Kundendaten. So genügte es an der Telefon-Hotline lediglich, den Namen und das Geburtsdatum anzugeben, um anschließend weitere personenbezogenen Kundendaten zu erhalten, was für den BfDI einen Verstoß gegen Artikel 32 der DSGVO darstellt. Während sich 1&1 einsichtig aufgrund der Vorwürfe zeigte und das angemahnte Verfahren inzwischen nachgebessert habe, erachtet man das erlassene Bußgeld für zu hoch und hat bereits angekündigt, hiergegen klagen zu wollen. Dem Telekommunikationsdienstleister zufolge habe es sich um einen Fall aus dem Jahre 2018 gehandelt, bei dem es möglich war, eine telefonische Abfrage der Handynummer eines ehemaligen Lebenspartners durchzuführen.

"Das Bußgeld ist absolut unverhältnismäßig. Die neue Bußgeldregelung, nach der die Summe berechnet wurde und die für die gesamte deutsche Wirtschaft gilt, wurde am 14. Oktober 2019 veröffentlicht und orientiert sich am jährlichen Konzern-Umsatz. So können bereits kleinste Abweichungen riesige Geldbußen zur Folge haben. In der Datenschutz-Grundverordnung (DSGVO) ist der Umsatz allerdings nicht als Kriterium für die Bemessung der Bußgeldhöhe vorgesehen. Darüber hinaus verstößt die neue Bußgeldlogik gegen das Grundgesetz, insbesondere die Grundsätze der Gleichbehandlung und der Verhältnismäßigkeit."

Die DSGVO hat im vergangenen Mai für jede Menge Aufregung in Deutschland und der gesamten EU gesorgt. Nach einigermaßen hektischer Betriebsamkeit in vielen Bereichen des Internets blieb die eigentlich erwartete Abmahnwelle für verschiedene Onlineangebote jedoch bisher dankenswerterweise aus. Nun hat sich das  European Center for Digital Rights in Österreich über das Geschäftsgebaren diverser großer Unternehmen beschwert und behauptet, dass diese gegen die DSGVO verstoßen würden. Betroffen sind dabei neben Apple auch Amazon, Netflix, Spotify, YouTube und weitere Unternehmen, wie Reuters berichtet.

Die gemeinnützige Organisation gibt an, man habe die DSGVO-Konformität getestet, indem man die Unternehmen zur Herausgabe der zu bestimmten Anwendern gespeicherten Daten aufgefordert hat, wie es inzwischen das Recht eines jeden Nutzers sei. dabei habe keiner der genannten Dienste die gesetzlich festgelegten Anforderungen komplett erfüllt. Das Hauptproblem bestehe dabei darin, dass die Herausgabe der Daten von den Unternehmen durch automatisierte Systeme geschieht, wodurch oftmals nicht alle Daten erfasst würden.

Im Falle von Apple wurde in Cupertino ein Datenschutzportal eingerichtet, in dem man sich mit seiner Apple ID anmelden und anschließend die gewünschen Informationen über die eigene Person anfordern kann.

Wie bekannt, hielt Apple CEO heute Rede auf der 40. International Conference of Data Protection and Privacy Commissioners (ICDPPC) in Brüssel, bei der er die USA zu drastischen Verbesserungen in Sachen Datenschutz seiner Bürger aufrief. Dabei solle sich seine Regierung ein Beispiel an der DSGVO der EU nehmen, um der immer größer werdenden Datensammelwut mancher Unternehmen einen Riegel vorzuschieben. Die Kollegen von TechCrunch zitieren aus Cooks Rede:

"Our own information — from the everyday to the deeply personal — is being weaponized against us with military efficiency. These scraps of data, each one harmless enough on its own, are carefully assembled, synthesized, traded and sold. [...] Taken to the extreme this process creates an enduring digital profile and lets companies know you better than you may know yourself. Your profile is a bunch of algorithms that serve up increasingly extreme content, pounding our harmless preferences into harm. [...] We shouldn't sugarcoat the consequences. This is surveillance."

"This year you've shown the world that good policy and political will can come together to protect the rights of everyone," he said. "It is time for the rest of the world, including my home country, to follow your lead. We in Apple are in full support of a comprehensive federal privacy law in the United States."

Aus eigener Sicht würde ich zwar behaupten, dass die DSGVO nicht in jedem Detail das sein sollte, was es anzustreben gilt, die grundsätzliche Idee und Richtung sind jedoch sicherlich auch für die USA längst überfällig. Cook jedenfalls sieht sein Unternehmen als Vorreiter in Sachen Datenschutz im Silicon Valley und zeigte sich bereit, an entsprechenden Verbesserungen für das gesamte Land mitwirken zu wollen. Der Nutzer müsse wieder Herr über seine eigenen Daten werden. Dies sei vor allem in Zeiten des starken Voranschreitens künstlicher Intelligenz extrem wichtig.

"For artificial intelligence to be truly smart it must respect human values — including privacy. If we get this wrong, the dangers are profound. We can achieve both great artificial intelligence and great privacy standards. It is not only a possibility — it is a responsibility.”

In Europa ist die DSGVO inzwischen in Kraft getreten. Auch wenn man über verschiedene Inhalte und Auswüchse der Grundverordnung geteilter Meinung sein kann, geht sie grundsätzlich sicherlich in die richtige Richtung. Nun sollen ähnliche Schritte auch in den USA auf den Weg gebracht werden, weswegen sich am kommenden Mittwoch die Mitglieder des Information Technology Industry Council (ITI) in San Francisco treffen werden, um darüber zu beraten, wie man künftig mit dem Thema Datenschutz, aber auch mit Regierungsanfragen zu Nutzerdaten umgehen will.

Zu den teilnehmenden Unternehmen gehören laut Axios neben Apple auch Facebook, IBM, Microsoft, Intel, Qualcomm, Samsung, Dropbox und weitere Schwergewichte der Technologie-Industrie. Laut ITI CEO Dean Garfield verspüre man aktuell eine wachsende Wahrnehmung, dass das Thema Datenschutz deutlich mehr Gewicht beigemessen werden sollte.

Die US-Regierung erwägt bereits eine US-Version der DSGVO, wobei es sich laut Medienberichten nicht um eine 1-zu-1 Kopie handeln soll. Grundsätzlich sollen die Nutzer aber mehr Kontrolle über ihre Daten erhalten und auch darüber, was mit ihnen geschieht. Dies sollte im Idealfall sogar im Gesetz verankert werden.

Das Thema DSGVO war in den vergangenen Wochen beinahe omnipräsent und auch hier im Blog wurde es immer mal wieder angesprochen. Am morgigen Freitag, den 25. Mai 2018 tritt die neue Datenschutzgrundverordnung nun endgültig in Kraft. Da auch Flo's Weblog ein Onlineangebot mit einer gewissen Reichweite ist, falle natürlich auch ich unter einige Aspekte der DSGVO. Und so habe ich in den vergangenen Wochen auch verschiedene Maßnahmen getroffen, um meinen Blog DSGVO-konform zu machen. Der wichtigste Aspekt ist dabei natürlich die Datenschutzerklärung, die ihr im Footer der Webseite  verlinkt und auch im Menü meiner App jederzeit aufrufen könnt. Apropos App, auch diese hat vor wenigen Stunden ein kleines Update erhalten, welches im Rahmen der DSGVO steht. Keine Sorge, habt ihr einmal der anfangs eingeblendeten Datenschutzerklärung zugestimmt, seht ihr sie erstmal nicht wieder.

Darin informiere ich über alles, was mit euren persönlichen Daten auf meinem Blog geschieht. Eines vorweg: Dies ist nicht viel. Da die Relevanz aus meiner Sicht ganz einfach nicht mehr gegeben ist, habe ich beispielsweise sämtliche Like-Buttons oder sonstige Verlinkungen zu sozialen Netzwerken aus meinem Blog entfernt. Gleiches gilt im Übrigen auch für Google Analytics. Selbstverständlich setze ich auf meinem Blog auch Cookies ein - ohne diese kleinen Helfer lassen sich Webangebote heutzutage ganz einfach nicht mehr sinnvoll betreiben. Allerdings habe ich auch hier den Einsatz auf das Nötigste beschränkt.

Wo es natürlich noch zur Übermittlung von Daten, wie beispielsweise euren IP-Adressen, dem Browser oder dem Betriebssystem kommt, ist der Bereich der Werbeeinblendungen über Google AdSense oder auch bei Affiliate- und Partnerprogrammen. Diese lassen allerdings keine Rückschlüsse auf eure Person zu. Ebenfalls werden natürlich immer dann Daten übertragen und gespeichert, wenn ihr einen Kommentar unter einem der Artikel hinterlasst oder das Kontaktformular nutzt.

Wer meinen Blog im Browser konsumiert, wird auch bereits festgestellt haben, dass sämtliche Datenübertragungen inzwischen SSL- bzw. TLS-verschlüsselt geschieht. Ihr erkennt dies an dem Schloss-Symbol in der Adressleiste. Diese Verschlüsselung gilt selbstverständlich auch für sämtliche Datenübertragungen aus der App heraus.

Grundsätzlich gilt, dass alle mir direkt übermittelte persönliche Daten nicht an Dritte weitergegeben werden. Dies betrifft vor allem auch eure E-Mail Adressen bei einer Kontaktaufnahme oder beim Hinterlegen während der Abgabe eines Kommentars. Habt ihr die Kommentare zu einem Artikel abonniert, geschieht dies über das Double Opt-In Verfahren, bei dem ihr das Abonnement vor seiner Aktivierung zunächst noch einmal über einen automatisch zugesandten Link bestätigen müsst. Eine unaufgeforderte Kontaktaufnahme durch mich gibt es bekanntermaßen ohnehin nicht. Gleichermaßen biete ich auch keinen Newsletter oder ähnliches an.

Selbstverständlich (aber das galt auch schon vorher) habt ihr jederzeit das Recht, mich anzuweisen, eure bei mir gespeicherten Daten zu löschen, was ich selbstverständlich auch umgehend tun werde. Eine kurze Mail hierzu reicht aus. Alles weitere findet ihr in der bereits angesprochenen Datenschutzerklärung. Solltet ihr Fragen haben, wendet euch gerne per Mail direkt an mich.

Am kommenden Freitag tritt nun endgültig die neue DSGVO der EU in Kraft und man merkt an allen Ecken und Enden des Internets hektische Betriebsamkeit bei den verschiedensten Anbietern, um noch die letzten Anforderungen zu erfüllen. Inzwischen bietet nun auch Apple eine einfache Möglichkeit an, die eigenen gespeicherten Daten auf den Apple-Servern einzusehen und eine Kopie von ihnen abzurufen. Musste man hierzu bislang den Weg über ein spezielles Kontaktformular wählen, reicht es kündtig aus, die seit heute geschaltete Privacy-Webseite anzusurfen. Auch eine für das iPhone optimierte Version dürfte in Kürze folgen.

Auf dieser Webseite meldet man sich mit seiner Apple ID an und hat anschließend verschiedene Option zum Fortfahren. So kann man über das neue Formular wählen, ob man seine Daten korrigieren, diese abrufen, den Account deaktivieren oder ihn gar komplett löschen möchte.

Entscheidet man sich für den Abruf der Daten, kann dies bis zu sieben Tage Zeit in Anspruch nehmen. Apple nutzt diese Zeit nach eigener Aussage unter anderem um sicherzustellen, dass die Anfrage auch tatsächlich von dem eigentlichen Nutzer stammte. Der Nutzer kann an dieser Stelle detailliert festlegen, welche Informationen er gerne abrufen möchte. Dabei gelten laut Apple die folgenden Regeln:

Dein Download wird enthalten:

• App-Nutzungs- und Aktivitätsdaten als Tabellenkalkulationen oder Dateien im JSON-, CSV-, XML- oder PDF-Format.
• Dokumente, Fotos und Videos in ihrem Originalformat.
• Kontakte, Kalender, Lesezeichen und Mail im VCF?, ICS?, HTML- und EML?Format.

Dein Download wird nicht enthalten:

• App-, Buch-, Film-, TV-Sendung- oder Musik-Käufe.
• Den Apple Online Store-Transaktionsverlauf und Marketingmitteilungsverlauf. Erfahre, wie du Kopien dieser Daten erhalten kannst.

Mit der Bereitstellung der neuen Funktion erfüllt Apple einer der Anforderungen der DSGVO. Aktuell steht der Service für alle Apple Accounts zur Verfügung, die innerhalb der EU, Island, Liechtenstein, Norwegen und der Schweiz registriert sind. In den kommenden Monaten wird er aber auch für alle anderen Accounts angeboten.

Der 25. Mai und damit auch das endgültige Inkrafttreten der neuen Datenschutz-Grundverordnung der EU, kurz EU-DSGVO, rückt unaufhaltsam näher, was man inzwischen auch täglich beim Blick in das eigene Mail-Postfach immer wieder vor Augen geführt bekommt. Gerade auch Google ist hiervon natürlich immens betroffen und bietet inzwischen eine Möglichkeit für seine Nutzer an, die gesammelten persönlichen Daten einzusehen und bei Bedarf auch zu löschen. Zentraler Anlaufpunkt hierfür ist der Bereich "Meine Aktivitäten" im eigenen Google-Konto, wo man nach Tagen sortiert angezeigt bekommt, welche Daten Google von und über euch gespeichert hat. Grundsätzlich werden diese Informationen von Google dafür genutzt, um das eigene Web-Erlebnis zu verbessern und einem beispielsweise bessere Treffer bei der Suche oder Vorschläge zu Restaurants in Google Maps zu bieten. Allerdings weiß man natürlich nie genau, was mit diesen Daten darüber hinaus noch so geschieht.

Außerdem findet man hier auch Einstellmöglichkeiten, welche Daten Google über einen erfassen darf. Mithilfe verschiedener Schalter im Bereich Aktivitätseinstellungen kann man künftig finetunen, welche Daten Google sammeln darf und welche nicht. Dies gilt für die folgenden Kategorien:

• Web- & App-Aktivitäten
• Positionshistorie
• Geräte-Information
• Stimm- & Audio-Aktivitäten
• YouTube Suchverlauf
• YouTube Videoverlauf

Google hat darüber hinaus auch bereits seine Datenschutzerklärung veröffentlicht - aktuell allerdings ausschließlich in Englisch.