Veröffentlicht am 13-03-2019

Die DSGVO fühlt sich nutzlos

Haftungsausschluss Diese Seite verwendet Cookies. Durch einen Haftungsausschluss sind Sie jedoch nicht GDPR-konform.

Wer bin ich, um einen solchen Anspruch zu erheben? Ich begann in einem Big-Data-Startup namens Qunb zu arbeiten. Wir haben ein Tool erstellt, das Google Analytics-Daten zum Erstellen von Folien verwendet. Basic. Wir wurden dann von einem anderen Startup übernommen, das die E-Commerce-Optimierung durchführt. Dort habe ich ihnen geholfen, Sie auf tausenden von Websites mit Cookies zu identifizieren. Ja, ich bin einer der "Bösen". Gehen Sie auf Facebook, dass Sie Heuchler sind. Ich arbeite jetzt für meine eigenen, also verteidige ich kein besonderes Interesse.

Foto von Josh Shaw auf Unsplash

Vielleicht sollten Sie mit der Lektüre der DSGVO beginnen, denn wenn Sie der Meinung sind, dass Sie und Ihre Privatsphäre dadurch geschützt werden, möchten Sie vielleicht zurückschauen, was Schutz bedeutet. GDPR ist auf lange Sicht ziemlich nutzlos. Es ist fast unmöglich, sie korrekt umzusetzen.

Ich werde versuchen, das Textgesetz einzuschränken, damit Sie weiterlesen.

Beginnen wir mit Ihren Daten. Wissen Sie, was Ihre personenbezogenen Daten laut GDPR sind?

„Personenbezogene Daten“: alle Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen („betroffene Person“); eine identifizierbare natürliche Person ist eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Bezugnahme auf eine Kennung, wie einen Namen, eine Identifikationsnummer, Standortdaten, eine Online-Kennung oder auf einen oder mehrere Faktoren, die spezifisch für die physischen, physiologischen, genetische, geistige, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person;

Dies ist so breit und unbestimmt, dass, wenn ich auf meiner Website eine Zufallszahl zur Identifizierung erzeuge, dies zu Ihren persönlichen Daten wird.

Aber wissen Sie, auf welche Daten ich Zugriff habe, wenn Sie auf meine Website kommen? Nun, nur Ihre IP-Adresse und einige Informationen zu Ihrem Computer und Browser. Das ist alles. Alle anderen Daten, die Sie mir geben müssen, oder ich muss um Erlaubnis bitten, aber nicht aufgrund der DSGVO. Aus technischen Gründen für die Sicherheit. Weil Entwickler daran gearbeitet haben, Ihre Privatsphäre zu schützen, noch bevor Anwälte darüber nachgedacht haben.

Nun zu Cookies (ich weiß, dass Sie auf Cookies warten). Es ist wahr, dass ich eine ID erstellen und in Ihrem Browser speichern kann (ich kann viel mehr, aber wir behalten den Fokus). Ihr Browser, nicht Ihr Computer. Wenn Sie also mit demselben Browser auf meine Website zurückkehren, wissen Sie, dass es sich um denselben Browser handelt. Aber das ist alles. Wenn Sie mir nicht gesagt haben, wer Sie sind, und mir andere personenbezogene Daten zur Verfügung gestellt haben, um sie in eine Datenbank einzutragen und diese ID mit dieser ID zu verknüpfen, wissen Sie nur, dass Sie auf meine Website zurückgekehrt sind.

Das allererste, was Sie über den Datenschutz wissen müssen, ist, dass SIE Ihre eigenen Daten schützen, indem Sie sie nicht ohne Nachdenken weitergeben. Nicht die DSGVO, wenn Sie angeben, dass es sich um Ihre Daten handelt und nicht um meine.

Wir werden auf Cookies zurückkommen. Aber zuerst müssen wir über die Zustimmung sprechen. Weil eine ID keinen Wert hat, es sei denn, Sie geben mir Informationen über sich. Das Eingeben Ihres Namens, Ihres Alters und anderer Informationen ist anscheinend keine Einwilligung. Wie soll das übrigens funktionieren? Ich gebe Ihnen meinen Namen, aber ich stimme nicht zu, dass Sie ihn verwenden oder sich daran erinnern? Warum es überhaupt geben? Wie auch immer, sehen wir, was die DSGVO über die Einwilligung sagt.

Wenn die Verarbeitung auf Zustimmung basiert, muss der für die Verarbeitung Verantwortliche nachweisen können, dass die betroffene Person der Verarbeitung seiner personenbezogenen Daten zugestimmt hat. Wird die Einwilligung der betroffenen Person im Rahmen einer schriftlichen Erklärung erteilt, die auch andere Angelegenheiten betrifft, so ist das Einwilligungsersuchen in einer von den anderen Angelegenheiten deutlich unterscheidbaren Art und Weise in verständlicher und leicht zugänglicher Form unter Verwendung von klar und deutlich darzustellen einfache Sprache. […] Die betroffene Person hat jederzeit das Recht, ihre Zustimmung zu widerrufen. […] Der Widerruf muss so einfach sein wie die Einwilligung.

Damit Sie eine zufällige ID erstellen können, muss ich einen Nachweis dafür haben, dass Sie auf einer Seite, auf der ich sage, was ich mit dieser ID oder Ihren persönlichen Daten mache, auf die Schaltfläche "Einverständnis" geklickt hat. Für die nicht-technischen Leute hier ist das sehr unmöglich. Die einzige Möglichkeit, 100% sicher zu sein, besteht darin, den Zugriff auf Webseiten oder Dienste zu sperren, auf denen ich "persönliche Daten" verwende, um Sie auf eine Seite umzuleiten, auf der ich erkläre, was ich mit Ihren persönlichen Daten tun werde. Glauben Sie mir, niemand möchte diese Art von Implementierung. Das ist wahrscheinlich der Grund, warum so gut wie keine Website es tut und es scheint niemanden zu interessieren.

Lustig genug. Wenn Sie das nächste Mal, wenn Sie auf meiner Website erscheinen, NICHT auf der „Einwilligungsseite“ weitergeleitet werden, können Sie einen Cookie verwenden und Ihren Browser identifizieren.

Außerdem habe ich Ihnen die Möglichkeit gegeben, mit einem Klick zuzustimmen, ohne nach der Einwilligungsseite zu suchen. Ich denke, Sie sollten nicht nach der "Rückzugsseite" suchen müssen, um sie mit einem Klick auszuführen. Vielleicht sollte ich auf jeder Seite meiner Website einen kleinen Schalter setzen, damit Sie sich jederzeit zurückziehen können.

[…] Die Verarbeitung personenbezogener Daten eines Kindes ist rechtmäßig, wenn das Kind mindestens 16 Jahre alt ist. […] Der für die Verarbeitung Verantwortliche unternimmt angemessene Anstrengungen, um in solchen Fällen zu prüfen, ob die Zustimmung des Inhabers der elterlichen Verantwortung über das Kind erteilt oder genehmigt wurde, wobei die verfügbare Technologie zu berücksichtigen ist.

Ja, jede Website ist eine Porno-Website, danke an die GDPR. Ich muss auf meiner Einwilligungsseite etwas Text hinzufügen, um Sie zu fragen, ob Sie 16 Jahre oder älter sind. Andernfalls benötige ich die Zustimmung Ihrer Eltern. Solchen Schutz und kein Wunder, warum NIEMAND diese Einwilligungssache tut.

Kommen wir zu Cookies zurück. Im Moment habe ich nur über Erstanbieter-Cookies gesprochen. Es sind Cookies, die ich auf meiner Website zur Identifizierung von Ihnen benutze. Die andere Art von Cookies sind Cookies von Drittanbietern. Cookies, die von anderen Websites verwendet werden, um Sie auf Websites zu identifizieren, die ihre Dienste nutzen

Nun, die DSGVO ist in Bezug auf Cookies von Drittanbietern völlig nutzlos. Seien Sie nicht schockiert, dieses Gesetz enthält nichts Technisches, so dass es Sie in der realen Welt nicht schützen kann und wird.

Warum ist es nutzlos? Angenommen, ich verwende Google Anzeigen, um Anzeigen auf meiner Website zu veröffentlichen. Wenn ich zu Google sage, dass Sie mir Ihre Einwilligung erteilt haben, haben sie keine Möglichkeit, sich zu 100% sicher zu machen. Ich könnte einfach lügen. In der Tat könnte ich von Anfang an lügen. Sie werden es sehr schwer haben zu beweisen, dass ich nicht um Ihre Einwilligung gebeten habe.

Es ist genau so, als würde ich anfangen, eine Liste mit Personen-E-Mails in einer Tabelle zu schreiben. Die Tabelle kann nicht wissen, ob ich die Zustimmung aller dieser Personen erhalten habe. Und selbst wenn die Software mich gefragt hat, ob ich diese Einwilligung habe, kann ich einfach Ja sagen. Was? Sie erinnern sich nicht, dass ich Sie um Ihre Zustimmung zur Verwendung Ihrer E-Mail gebeten habe? Seltsam. Sie können diese Einwilligung jederzeit widerrufen, und ich werde Ihre E-Mail aus meiner Tabelle löschen. Könnte sein. Ich weiß es nicht. Welche Tabelle?

In einem anderen Beispiel bitten Sie Ihren Ex, diese Akte zu löschen. Theoretisch schützt GDPR Sie in dieser Situation genauso wie in der Tabellenkalkulationssituation oder der Google Ads-Situation.

Was ist mit den Leuten, die gerade jetzt erwischt werden? Es ist das sehr große Problem eines nicht technischen Gesetzes. Derzeit werden einige Unternehmen dafür bestraft, dass sie die DSDPR nicht nur aufgrund der Aussage der Menschen und der Sichtweise der „klaren und einfachen Sprache“ respektieren. Zwar kann und wird die Mehrheit der Websites die GDPR nicht respektieren, und es interessiert niemanden, denn „persönliche Daten“ sind letztlich ein großes Wort, aber Ihre persönlichen Daten sind Scheiße wert. Es ist ein paar Cent wert, wenn Sie ab und zu auf eine Anzeige klicken.

Unternehmen werden bestraft, weil Sie aus manier Datenschutzgesichtspunkten keine Einwilligung gegeben haben, wenn Sie die Situation vollständig verstanden haben. Während du Sachen auf Facebook postest.

Andere Unternehmen zahlen viel Geld, um die DSGVO zu erfüllen und gleichzeitig persönliche Daten zu erhalten. Sie sind jedoch nicht kompatibel, da dies nahezu unmöglich ist und Sie sich nur ändern müssen, wenn Sie auf ein Popup klicken.

Das Beste an all dem? Die Entwickler haben sichergestellt, dass Ihre so wertvollen persönlichen Daten geschützt werden, lange bevor jemand über GDPR nachdachte. Zumindest seit 2010 erlaubt Ihnen jeder Browser, Cookies von Drittanbietern zu blockieren.

Wenn Sie wirklich um den Datenschutz besorgt sind, verwenden Sie einfach ein VPN, navigieren Sie im Inkognito-Modus oder in einem Open-Source-Browser und sperren Sie Cookies von Drittanbietern, sodass nur die persönlichen Daten außerhalb Ihres Besitzes freiwillig angegeben werden. Und wenn Sie diesen Teil über VPN, Inkognito-Modus und Open Source nicht gut verstanden haben, haben Sie meinen vorherigen Punkt angesprochen. Weil es für mich und viele Leute eine "klare und einfache Sprache" ist. Machen Sie Ihre Nachforschungen und warten Sie nicht darauf, dass die GDPR oder die Regierungen Sie schützen.

Übrigens, über Regierungen, hier ein kleiner Bonus: Artikel 9 Verarbeitung spezieller Kategorien von persönlichen Daten

Es gibt eine Liste von zehn Situationen, in denen die DSGVO nicht anwendbar ist. Die meisten von ihnen beziehen sich auf Regierungen, die Ihre persönlichen Daten verwenden (Erinnern Sie sich an die Akte? Das Beste ist jedoch: Die Verarbeitung bezieht sich auf personenbezogene Daten, die von der betroffenen Person offenkundig veröffentlicht werden.

Sie können viel darüber streiten, was „offensichtlich öffentlich gemacht wird“ (wiederum nicht technischer Text…). Aber nach dem, was ich gelesen habe, kann ich alle Informationen über Sie verwenden, die Sie im Internet veröffentlicht haben.

Hier sind wir. Es ist technisch unmöglich, die DSGVO intelligent umzusetzen. Die Zustimmung ist rein subjektiv für das Verständnis der Benutzer (und des technischen Wissens?). Und wenn Sie einmal einwilligen und einige Daten an die Öffentlichkeit gelangen, sind Sie nicht mehr geschützt (es sei denn, Sie wissen, wie Sie das Internet etwas vergessen lassen).

Daran hat sich nichts geändert und die GDPR fühlt sich nutzlos.

GDPR schützt Ihre Privatsphäre ebenso wie das Gesetz Sie vor Raubüberfällen schützt. Du hast schon geraubt. Sie haben Ihre Sachen bereits verkauft. Sie könnten später bestraft werden.

Wenn Sie vor Raubüberfällen schützen möchten, benötigen Sie ein Schloss und einen Alarm. Wenn Sie Datenschutz wünschen, benötigen Sie eine technische Durchsetzung.

Könnte es besser sein? Ja! Wenn es nur bei der ALLGEMEINEN DATENSCHUTZREGELUNG um Schutz und Regulierung ging, könnte es viel besser sein. Es könnte technischer sein. Dadurch könnten Browser und Betriebssysteme dazu gezwungen werden, Websites und Diensten die Möglichkeit zu geben, Datenerfassungen Dritter zu blockieren. Es könnte für Internet-Provider erforderlich sein, Sie zu fragen, ob Sie Ihre IP-Adresse verbergen möchten.

Denken Sie an all die klugen Leute, die bezahlt wurden (viel), um über dieses Gesetz nachzudenken. Nur um etwas unpassendes Zeug zu geben. Ich sage nicht, dass es einfach ist. Und ich sage nicht, dass wir keine Vorschriften brauchen. Im Moment geht es jedoch wahrscheinlich nicht um „Verarbeitung personenbezogener Daten“, sondern darum, dass Menschen dumm genug sind, um über Social Media zu berichten, wie böse Unternehmen ihre Daten verwenden, anstatt nach Möglichkeiten zu suchen (die seit Jahren oder Jahrzehnten existieren), um ihre Wertlosigkeit zu schützen Daten.

Danke fürs Lesen.

Wenn Sie einen CTO als Service für Ihr Projekt benötigen. Überprüfen Sie Quanted Square und senden Sie eine E-Mail an contact@quantedsquare.com

Siehe auch

Wie können wir die Zuschauererfahrung in Vorträgen verbessern?Wie Sie Ihre Projekte unterrichten, um mit AWS Polly zu sprechenFühren Sie die folgenden Schritte aus, um mit Docker und React einen Workflow in Produktionsqualität zu erstellen