Wenn sich deine Website an Leser in der EU richtet, muss die DSGVO umgesetzt werden

Privacy Preference Center

Na super, nun also auch noch die Datenschutzgrundverordnung.

“Die Datenschutz-Grundverordnung (DSGVO), englisch General Data Protection Regulation (GDPR), ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden. Dadurch soll einerseits der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt, andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden.

Nehmen wir mal mein Blog.

Diese Website wendet sich an … nun ja, das ist eine gute Frage. Jeder, der hier vorbeikommt, ist herzlich eingeladen, sich an meinem Leben zu beteiligen – du auch. Hier im Blog spreche ich in letzter Zeit oft Deutsch, manchmal Englisch, selten Französisch. Ich erzähle über mein Leben, meine Arbeit, meine Ideen und meine Erlebnisse. Jede Woche gibt es einen Artikel. Das hat mit dem Iron Blogger Projekt ibcoco zu tun, das ich auch betreibe (oh, oh, noch eine Website).

Also vermutlich wende ich mich an ein Publikum in der Europäischen Union und muss nun auch die Datenschutz Grundverordnung umsetzen. Folgend beschreibe ich wie ich die DSGVO erfülle. Continue reading “Wenn sich deine Website an Leser in der EU richtet, muss die DSGVO umgesetzt werden”

Abhängigkeiten

Facebook

Die grossen Datensammler wie Facebook und Google haben viele Schnittstellen in ihren Systemen. Die heissen APIs und bieten Zugriff auf Daten. Externe Anbieter können unter bestimmten Bedingungen auf diese Daten zugreifen und ein Geschäftsmodell darum bauen. Das ist im Prinzip so ähnlich, als wenn ein Handyhüllenhersteller für ein bestimmtes Telefonmodell eine Hülle anbietet oder ein Autozubehörhersteller für einen bestimmten Autotyp sein Zubehör. Wenn das Telefon nicht mehr gebaut wird, ist das Hüllengeschäft vorbei, genauso beim Autozubehör.

Im Falle der Daten geht es dabei immer um Monetarisierung, das Kombinieren und Anreichern von existierenden Daten und darum, noch mehr Anreize zu schaffen um neue Daten zu sammeln, die dann wieder für irgendwelche Services genutzt werden können. An die Kunden wird immer die “Gute Seite” verkauft. Continue reading “Abhängigkeiten”

Schleifen wir ihn vor die Post

Erleuchtung

Als ich klein war, gab es einen Witz in Norddeutschland:

Zwei Polizeibeamte finden vor dem Gymnasium eine männliche Leiche. Beim Aufschreiben des Sachverhaltes fragt der Eine den Anderen.

Hey, wie schreibt man Gymnasium?
Hm … weiss ich auch nicht.
Komm, wir schleifen ihn vor die Post!”

Auf der einen Seite ist das natürlich clever, weil dann keiner den Fehler bemerkt. Auf der anderen Seite wird es dadurch erheblich schwerer den Fall aufzuklären.

Wenn es um Hausrestaurierungen, Serverkonfigurationen und Programmierung geht, muss ich oft an diesen Witz denken. Es ist völlig normal schlecht programmiertes/durchdachtes Zeug mit anderem schlecht programmierten/durchdachten Zeug schneller zu machen oder sogar “sicherer”. Versteht mich nicht falsch, ich bin gar nicht zynisch oder verzweifelt.

Ich meine so Dinge wie: Continue reading “Schleifen wir ihn vor die Post”

Meine Daten in den Zeiten der Cholera

Cloud

Viele Menschen teilen die Geschichte des Internet in eine Zeit vor den Enthüllungen von Edward Snowden und der Zeit danach. Mir geht es ähnlich. In den letzten 12 Monaten (2013/2014) war ich schlicht sauer und enttäuscht über das was ich da täglich hörte und las (NSA, GCHQ, BND, etc) und erinnerte mich an ein Lied von Kraftwerk aus dem Jahr 1981, also an ein Lied von vor mehr als 30 Jahren!

Interpol und Deutsche Bank,
FBI und Scotland Yard
Flensburg und das BKA,
haben unsere Daten da
Nummern, Zahlen, Handel, Leute
Computerwelt
Denn Zeit ist Geld
(Video auf Youtube)

Edward Snowden wurde 2 Jahre später geboren (1983).

Im Jahr 2005, also etwa 25 Jahre später war diese neue Computerwelt bereits Realität (Frank Rieger: We lost the war. Welcome to the world of tomorrow).

Wie sieht es denn bei Ihnen so aus?

Je nach persönlicher Situation haben Sie sich im letzten Jahr sicherlich einige Fragen im Zusammenhang mit Ihrer Privatsphäre, Ihren persönlichen Daten und den Aktivitäten von Regierungen und grossen Unternehmen gestellt.

Hier ein paar der harmloseren Fragen, die mir auf Anhieb einfallen:

  • E-Mail: Über welchen Provider verschicken Sie ihre E-Mails? Verschlüsseln Sie Ihre E-Mails?
  • Multimedia: Wo lagern Sie Ihre Fotos und Videofilme?
  • Bücher: Wo lagern Sie Ihre PDF und EPUB Dateien? Sind Sie Eigentümer dieser Dateien oder Besitzer?
  • Musik: Wo lagern Sie Ihre Musikdateien? Gehören Ihnen diese Dateien?
  • Art der Speicherung: Syncen oder streamen Sie?
  • Instant Messaging: Mit welcher Art Messenger kommunizieren Sie mit wem?
  • Dokumente: Wenn Sie eigene oder gemeinsame Dokumente erstellen, wie machen Sie das?
  • Website: Haben Sie eine Website? Wo lagern Sie diese?
  • Backup: Haben Sie eigentlich irgendwo ein Backup dieser Daten?
  • Kosten: Bezahlen Sie an irgendeiner Stelle etwas für diese Dienstleistungen?
  • Soziale Netzwerke: Haben Sie einen Facebook Account? Twitter? Google+?
  • Mobil: Nutzen Sie ein Smartphone?
  • Haus und Garten: Haben Sie per App schaltbare Lampen, Garagentore, Bewässerungsanlagen, Türöffner oder Heizungen?
  • Gesundheit: Messen Sie Ihren Blutdruck oder andere Parameter mit Hilfe von Apps?

Ich gehe mal davon aus, dass Sie ein E-Mail Konto bei Google oder einem anderen grossen Unternehmen, sowie ein Facebook Benutzerkonto haben und ein paar weitere Services nutzen.

Alle diese Services müssen auf der einen Seite Geld verdienen (meistens mit Werbung) und Ihre Daten je nach Gesetzeslage an entsprechende Regierungsstellen weitergeben. Die meisten Firmen dürfen nicht über die Weitergabe sprechen. Die konkreten Gesetze unterscheiden sich von Land zu Land. Bei Urheberrechtsbruch-, Terrorismus- und Kinderpornoverdacht dürfen die Behörden meist sehr schnell, sehr offiziell auswerten. Ohne ein Verdachtsmoment versuchen die meisten Länder die Metadaten der Kommunikation unterschiedlich lange zu speichern (Stichwort Vorratsdatenspeicherung).

Drohneneinsätze werden auf der Basis von Metadaten geplant und durhgeführt (Lesenswert: “Wir töten auf Basis von Metadaten” )

Um es mal kurz zu machen: Wir stehen alle ziemlich nackt im Netz.

Und ja: “Wir haben etwas zu verbergen!

Was können Sie und ich tun?

Ich glaube nicht, dass ich die Praxis des Abhörens abschaffen kann (Allein mit den Gedanken zu diesem Satz könnte man Bücher füllen 🙂 )

Ich kann es den Abhörern schwerer machen, in dem ich versuche, Alternativen zu den Services der grossen Unternehmen zu finden und wo immer es geht, meine Daten zu verschlüsseln.

Und ich kann darüber schreiben, damit das mehr Menschen tun 🙂

Plan

Ich habe beschlossen ausser meinen Websites einen möglichst grossen Teil meiner Daten selbst zu hosten und meine E-Mails selbst zu verwalten. Dazu konfiguriere ich mir einen Server, der mir, wo es geht, verschlüsselte Kommunikation erlaubt und der die Dienste anbietet, die ich so brauche und die auf Open Source Software basieren.
Beispiele siehe Tabelle, ich freue mich über weitere Ideen.

ServiceAlternative
E-MailGmail, Yahoo!, etcE-Mail Server, Exim + Aufsatz
Website/IntranetTumblr, WordPress.com, Trello, Basecamp, wordpress.comSelbstgehostete Website Webserver/DB FTP
FotosFlickrOwncloud, andere Idee?
Dateien (Musik, Film, PDF, eBooks)DropboxOwncloud, andere Idee?
Kollaborative DokumenteGoogle docsOwncloud, EtherPad
Surfen ohne Einschränkungenhidemyass.comSelbstgehostetes VPN
BackupiCloudDuply? Aber wohin?
MessengerSkype, TelegramJabber
TelefonierenSkypeVoIP Asterisk
OSOSX, WindowsLinux

 

Vertrauen

Vertrauen ist wichtig. Aber an dieser Stelle wird es heikel.

Um einen Server zu betreiben, braucht es Hardware. Die können Sie kaufen oder mieten. Normalerweise tun Sie das bei einem Hosting Provider. Der Hosting Provider mietet dafür Platz im Rechenzentrum und Konnektivität bei Netzbetreibern (Carrier) an. Netzbetreiber verlegen und vermieten die Kabel. Der Betreiber eines Rechenzentrums baut und vermietet die Räumlichkeiten an den Hosting Provider. Alle drei können prinzipiell meine Daten lesen.

  • Der Hosting Anbieter von Virtual Private Servern und Dedicated Servern kann auf diese Server auch ohne root Passwort zugreifen.
  • Ein Server ohne root Zugang fuer Dritte bedeutet, eine eigene Maschine in ein Rechenzentrum zu bringen (colocation). Diese Hardware ist dann allerdings jederzeit physikalisch greifbar für Dritte.
  • Die einzige “sichere” Möglichkeit ist ein Server, der von zuhause, oder einem Ort betrieben wird, über den Sie Kontrolle haben.

Jede Variante hat Vor- und Nachteile.

Ich werde über meine Erfahrungen berichten.