Private Daten sind personenbezogene Daten. Laut Datenschutzgrundverordnung (DSGVO) sind dies: „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)“.[1] Diese Einzelangaben können beispielsweise Name, Alter, Adressdaten, eventuelle Vorstrafen, Krankendaten, Interessen, Hobbys, Bilder oder auch Videos von einer natürlichen Person (keiner juristischen Person) sein. Bestimmbar bedeutet in diesem Zusammenhang, dass diese Einzelangaben auch dann personenbezogen sind, wenn mithilfe von Zusatzwissen ein Bezug zu einer bestimmten Person hergestellt werden kann. Private Daten unterliegen in der EU besonderem Schutz. Zum Schutz dieser Daten dient die schon erwähnte DSGVO als auch die Datenschutzregelung in den einzelnen Länderverfassungen.
Einführung: Im digitalen Zeitalter, in dem Daten einen unschätzbaren Wert haben, ist der Schutz personenbezogener Informationen von größter Bedeutung. Datenschutzverletzungen können verheerende Auswirkungen auf Einzelpersonen und Organisationen haben. Daher ist es unerlässlich, angemessene Sicherheitsmaßnahmen zu ergreifen, um die Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität privater bzw. personenbezogener Daten zu gewährleisten.
Vertraulichkeit: Vertraulichkeit ist ein Eckpfeiler des Datenschutzes. Es geht darum sicherzustellen, dass personenbezogene Daten vor unbefugtem Zugriff geschützt sind. Hier sind einige wesentliche Sicherheitsmaßnahmen aufgelistet:
Zugriffsbeschränkungen: Daten sollten nur für autorisierte Benutzer zugänglich sein. Dies kann durch Authentifizierungsmechanismen wie Benutzername und Passwort oder fortschrittlichere Methoden wie biometrische Identifikation gewährleistet werden.
Zugriffssteuerung: Es ist wichtig, Zugriffsrechte zu vergeben und Berechtigungssysteme einzurichten, um sicherzustellen, dass nur diejenigen Personen auf die Daten zugreifen können, die sie wirklich benötigen.
Verschlüsselung: Eine effektive Verschlüsselungstechnik ist unerlässlich, um die Daten während der Übertragung und Speicherung vor unbefugter Einsicht zu schützen.
Integrität: Die Integrität der Daten stellt sicher, dass sie vor unautorisierten Änderungen geschützt sind. Hier sind einige Sicherheitsmaßnahmen:
Hashing: Durch Hashing können Daten so umgewandelt werden, dass sie sich nicht mehr auf die ursprünglichen Informationen zurückführen lassen. Dadurch wird sichergestellt, dass die Daten während der Übertragung oder Speicherung nicht manipuliert wurden.
Kryptografische Prüfsummen: Ähnlich wie Hashing werden kryptografische Prüfsummen verwendet, um die Integrität der Daten zu überprüfen und Manipulationen zu erkennen.
Verfügbarkeit: Die Verfügbarkeit von Daten ist entscheidend, damit autorisierte Benutzer jederzeit darauf zugreifen können. Hier sind einige Sicherheitsmaßnahmen aufgelistet:
Regelmäßige Backups: Durch regelmäßige Backups können Daten im Falle eines Systemausfalls, eines menschlichen Fehlers oder eines Katastrophenereignisses wiederhergestellt werden. Diese Backups sollten an einem sicheren Ort aufbewahrt werden.
Systemsicherheit: Die Sicherheit der Systeme, die die Daten speichern und verarbeiten, ist von entscheidender Bedeutung. Der Einsatz von Firewalls und regelmäßigen Sicherheitsupdates trägt dazu bei, potenzielle Bedrohungen abzuwehren.
Authentizität: Die Authentizität von Daten gewährleistet, dass sie von vertrauenswürdigen Quellen stammen und nicht gefälscht wurden. Hier sind einige Sicherheitsmaßnahmen kurzgefasst:
Digitale Signaturen und Zertifikate: Durch digitale Signaturen und Zertifikate kann die Herkunft von Daten nachverfolgt und deren Authentizität und Integrität überprüft werden.
Personenauthentifizierung: Um sicherzustellen, dass nur autorisierte Benutzer Zugriff auf die Daten haben, ist die Überprüfung der Identität von Benutzern von entscheidender Bedeutung. Starke Passwörter, Zwei-Faktor-Authentifizierung und biometrische Identifikation sind hier effektive Maßnahmen.
Fazit: Der Schutz privater bzw. personenbezogener Daten ist eine gemeinsame Verantwortung von Unternehmen und Einzelpersonen. Angesichts der zunehmenden Bedrohungen im Internet sind die genannten Sicherheitsmaßnahmen entscheidend, um Datenschutzverletzungen zu verhindern. Nur durch eine umfassende Sicherheitsstrategie kann das Vertrauen der Menschen in den Umgang mit Daten im Internet gestärkt und eine sichere digitale Umgebung geschaffen werden. Indem wir diese Maßnahmen umsetzen, tragen wir dazu bei, die Privatsphäre und die Rechte der Menschen zu schützen und gleichzeitig das Potenzial der digitalen Welt voll auszuschöpfen.
Das Protokollieren von privaten Daten könnte vor allem dann gefährlich werden, wenn es ohne Zustimmung oder ohne Wissen der Person geschieht, über die diese Daten gesammelt werden. Aus den gesammelten Daten könnten sich Profile erstellen lassen, die Rückschlüsse auf Gewohnheiten und Verhalten einer Personen geben. Für das Protokollieren stehen verschiedene Möglichkeiten zur Verfügung.
Browser-Cookies
Eine Möglichkeit des Protokollierens ist das Anlegen und Auslesen von Browser-Cookies (im weiteren Verlauf kurz Cookies genannt).Cookies sind Dateien die beim Surfen bzw. beim Nutzen einer Webanwendung auf der Festplatte des Nutzers angelegt werden können und nur eine eingeschränkte Lebensdauer besitzen. Diese Lebensdauer kann lediglich die Zeit bis der Browser beendet wird oder aber eine festgelegte Zeit, die meist mehrere Jahre in der Zukunft liegt, umfassen.[1] Des Weiteren werden Cookies nur vom Client, also von der Nutzerseite, verwaltet.
In Cookies können sich Informationen zur Identität des Nutzers wie beispielsweise ein speziell dem Nutzer zugeordnetes Pseudonym in Form eines Nutzerschlüssels oder auch alle Angaben, die auf der jeweiligen Seite getätigt werden wie Benutzername, E-Mail, Passwort, Name oder Adresse enthalten sein. Ferner können auch spezielle Einstellungen oder besuchte Bereiche der Website in Cookies hinterlegt werden.
Mit Cookies ist es somit möglich das Benutzerverhalten zu protokollieren. Diese Informationen könnten dann wiederum für personalisierte Werbung missbraucht werden.[2]
Cookies können eine größere Gefahr darstellen, wenn der Betroffene dem Webbrowser erlaubt, dass auch Dritte (nicht nur der Webserver der angewählten Domain) Cookies erstellen dürfen. Der Webbrowser kann beispielweise durch Werbeanzeigen eines Unternehmens auf einer beliebigen Seite veranlasst werden Cookies der Domain des Unternehmens zu erstellen. Hat das Unternehmen viele dieser Webeanzeigen auf verschiedenen Websites, so könnte das Surfverhalten einer Person relativ ausführlich, von dem Unternehmen, protokolliert werden.
Es gibt jedoch die Möglichkeit den Webbrowser so zu konfigurieren, dass keine Cookies erstellt werden können. Diese Konfiguration führt eventuell aber dazu, dass nicht alle Webanwendungen ohne Einschränkungen funktionieren (weitere Informationen hierzu sind unter den Links zu finden).
Linkliste zum Thema Cookies deaktivieren bzw. blockieren
Alternativ zum Deaktivieren gibt es auch die Möglichkeit Tracker zu verwirren, indem das eigentliche Surfverhalten in einer Masse von „Fake-Daten“ verschleiert wird. Eine Variante hierzu bietet die Webapp „Track This“ (von Mozilla): https://trackthis.link/ (Stand: 09.03.2020). Dabei öffnet die Webapp 100 Tabs mit einem bestimmten Fake-Surfverhalten. Jedoch können hierbei Varianten des Data Minings getäuscht werden.
[1] Ist die Lebensdauer abgelaufen wird der Cookie gelöscht. Eine Ausnahme sind hierbei Flash-Cookies, da sie keine Angabe der Lebensdauer benötigen und auch unabhängig von verschiedenen Webbrowsern ausgelesen werden können. Vgl. Kraft, S. 262.
[2] Bei personalisierter Werbung können private Daten wie Interessen, Alter, Geschlecht, Surfverhalten miteinander verknüpft und zielgereichtet für Werbeeinblendungen oder Werbemails genutzt werden.
Web-Tracking
Unter Web-Tracking, was vom Wortsinn soviel wie das Verfolgen einer Spur im Internet bedeutet, versteht man das Sammeln und Auswerten von Informationen über die Webseitenbesucher. Meist werden hierfür sogenannte Web-Tracking-Dienste in Anspruch genommen.
Für das Sammeln und Übertragen der Daten werden auf einer Website u.a. Bilder mit der Größe von einem Pixel, sogenannte Web-Bugs untergebracht,[1] meist in Verbindung mit einem speziellen Quellcode, der in die Website eingebunden wird.
Auf diese Art kann bei einem Seitenaufruf die Bilddatei von einem beliebigen Webserver heruntergeladen werden. Dadurch ist es möglich, dass auch andere Webserver als der auf dem die Website liegt mit dem Webbrowser des Seitenbesuchers in Interaktion treten und beispielsweise Informationen in einer Log-Datei oder in Cookies sammeln.
Die gesammelten Daten können unter anderem Aufschluss über den ungefähren Aufenthaltsort (über die IP-Adresse), Interessen oder das Surfverhalten der Besucher geben. Diese Informationen dienen meist zu Optimierung der jeweiligen Website. Sie können aber auch für Webezwecke genutzt werden.
Beispiel Google-Analytics
Google-Analytics ist ein Web-Tracking-Dienst. Diesen Dienst kann jeder Webseiten-inhaber kostenlos einsetzten. Um Google-Analytics zu nutzen sind ein Google-Konto und eine Registrierung für den Dienst notwendig. Bei der Registrierung werden der Name und eine Telefonnummer verlangt und man wird aufgefordert den Google-Analytics-Tracking-Code (GATC) in seine Website einzubinden (GATC Bsp. siehe unten.).
Die Einbindung des GATCs bedeutet für den Seitenbesucher, dass gleich nach dem Aufruf der Seite eine JavaScript Datei („ga.js“ im Bsp. in Abb.) vom Webbrowser geladen und ausgeführt wird. Das Script veranlasst auch das Erstellen von Cookies (zu erkennen dem Cookie-Namen „_*“). Nach diesem Vorgang kann die Verfolgung des Seitenbesuchers beginnen. Alle gesammelten Informationen werden über den Aufruf des Web-Bugs (ebenfalls durch das JavaScript veranlasst) beispielsweise: „https://ssl.google-analytics.com/__utm.gif+Alle_Daten_die_gesammelt_wurden“ an den Google-Analytics Webserver übermittelt.
Welche privaten Daten von Google-Analytics über die Seitenbesucher gesammelt werden ist aus dieser „Datenschutzpolice“, generell aus den Nutzungsbedingungen und der Datenschutzerklärung von Google-Analytics nicht eindeutig festzustellen. Den Nutzungsbedingungen ist nur zu entnehmen, dass die IP-Adresse und die Informationen der Cookies der Seitenbesucher an Google übertragen werden
[1] Die Bilddateien liegen dabei auf einem anderen Webserver als der auf dem sich die Website befindet.
[2] Vgl. Steidle, Roland /Pordesch Ulrich: Im Netz von Google. Web-Tracking und Datenschutz, In Datenschutz und Datensicherheit 2008, S. 325.
