Hilf mit die Spendenziele zu erreichen!
Mike Kuketz
20. Februar 2024

Digitale (Sicherheits-)Strategie: 5 Grundprinzipien – Mein digitaler Schutzschild Teil 3

1. Verantwortung teilenDaten-Verantwortung

Im letzten Beitrag der Serie »Mein digitaler Schutzschild« habe ich das Konzept der Zero-Trust-Sicherheit vorgestellt. Mit Zero Trust können wir Daten bestmöglich schützen und das Risiko eines unberechtigten Zugriffs oder eines ungewollten Datenabflusses minimieren. Dies gilt allerdings nur für Daten, die unter unserer direkten Kontrolle stehen. Sobald wir Daten mit anderen teilen, sei es zur Nutzung eines Dienstes oder aufgrund gesetzlicher Verpflichtungen, gehen wir ein Vertrauensverhältnis ein. In diesem Fall übertragen wir unsere Daten und damit auch einen Teil unserer Verantwortung an einen externen Dritten.

Wie diese Dritten mit unseren Daten umgehen, entzieht sich unserer direkten Kontrolle. Daher ist es wichtig, dass wir sorgfältig auswählen, mit wem wir unsere Daten teilen und zu welchem Zweck dies geschieht. Während es oft schwierig ist, sich der staatlichen Datenerfassung zu entziehen, können wir zumindest das Risiko für unsere Daten minimieren, indem wir Strategien anwenden und generell darüber nachdenken, mit wem und wo wir Daten teilen.

In diesem Zusammenhang möchte ich meine grundlegenden Ansätze bzw. die fünf Grundprinzipien vorstellen, die mein Verhalten in der digitalen Welt prägen und nach denen ich (Online-)Dienste/Dienstleister auswähle. Außerdem werde ich kurz darauf eingehen, wie ich mich generell verhalte, wenn ich aufgefordert werde, personenbezogene Daten anzugeben. Es steht außer Frage, dass wir durch unser Handeln dazu beitragen können, die Risiken für unsere Daten zu minimieren.

Dieser Beitrag ist Teil einer Artikelserie:

2. Meine digitale Entscheidung

Jeder Einzelne hat einen erheblichen Einfluss darauf, wie seine Daten verwendet werden und welchen Risiken sie ausgesetzt sind. Wenn ich beispielsweise Gmail für meine E-Mail-Kommunikation verwende, sollte es mich nicht überraschen, dass meine Nachrichten durchleuchtet werden, um vermarktbare Erkenntnisse über mich zu gewinnen. Oder wer nach den schwerwiegenden Sicherheitsvorfällen immer noch seine Passwörter bei LastPass speichert, setzt sich und seine Passwörter einem unnötigen Risiko aus.

Ebenso können unsere Entscheidungen, persönliche Daten öffentlich in sozialen Medien zu teilen, dazu führen, dass diese von Dritten missbraucht werden, sei es für Identitätsdiebstahl, gezielte Werbung oder Meinungsbeeinflussung. Auch die Nutzung kostenloser Apps auf unserem Smartphone kann dazu führen, dass unsere Daten an Dritte weitergegeben werden, um unser Verhalten zu analysieren oder personalisierte Werbung zu schalten. Fitness-Apps können bspw. Standortdaten sammeln und weiterverkaufen, um personalisierte Werbung zu ermöglichen oder ein detailliertes digitales Profil zu erstellen. Diese Szenarien sind keine Spekulation, sondern gängige Praxis, wie aus den Beiträgen von Netzpolitik.org »Das sind 650.000 Kategorien, in die uns die Online-Werbeindustrie einsortiert« und »Datenhändler verticken Handy-Standorte von EU-Bürger*innen« hervorgeht. Letztlich müssen wir uns immer bewusst sein, dass unsere Daten je nach Anbieter und Nutzungsszenario für Zwecke verwendet werden, die nicht unseren Wünschen/Vorstellungen entsprechen.

Es ist von großer Bedeutung, sich bewusst zu machen, dass jede Entscheidung, die wir in Bezug auf unsere Daten treffen, direkte Auswirkungen auf unsere Privatsphäre und Sicherheit haben kann. Es liegt in unserer Verantwortung, die potenziellen Risiken und Konsequenzen dieser Entscheidungen zu erkennen und entsprechende (Schutz-)Maßnahmen zu ergreifen. Wir sollten kritisch hinterfragen, welche Dienste und Software/Apps wir nutzen und Alternativen in Betracht ziehen, die möglicherweise datenschutzfreundlicher sind. Letztlich haben wir es selbst in der Hand, durch unsere Handlungen und Entscheidungen das Risiko für unsere Daten zu beeinflussen.

3. Beispiele aus der Praxis

Bevor ich meine Überlegungen und Auswahlkriterien zur Auswahl von (Online-)Diensten und zum Schutz meiner Online-Identität im Allgemeinen darlege, möchte ich anhand konkreter Beispiele erläutern, wie ich in verschiedenen Situationen vorgehe. Diese Beispiele stammen aus der Praxis und zeigen, wie ich tatsächlich handle.

3.1 Reiseportale für eine Buchung meiden [siehe Verzicht]

Reiseportale wie Booking.com und Tripadvisor sind unbestreitbar nützliche Hilfsmittel bei der Reiseplanung. Sie ermöglichen es, die Erfahrungen anderer Reisender zu lesen und verschiedene Bewertungen zu vergleichen, was die Entscheidungsfindung und Reisevorbereitung erleichtert. Eines sollte man jedoch auf keinen Fall tun: Über ein Reiseportal buchen. Aus mehreren Gründen ist es ratsam, diesen Vermittler zu umgehen. Zum einen aus datenschutzrechtlicher Sicht, da die Weitergabe sensibler Daten vermieden werden sollte. Warum sollte ich meine privaten Daten über einen Vermittler an das Hotel weitergeben, damit er diese für verschiedene undurchsichtige Zwecke nutzen und weiterverkaufen kann?

Zum anderen ist es schlicht und einfach nicht notwendig. Aus meiner Sicht ist es empfehlenswert, die Reise direkt beim Hotel oder Reiseveranstalter zu buchen, um eine direktere und möglicherweise günstigere Buchung zu ermöglichen. Auf diese Weise vermeide ich auch die überflüssige Verarbeitung und Speicherung meiner Daten durch das Reiseportal. Warum sollte ich eine Reise über eine Datenschleuder wie Booking.com buchen und ihr meine persönlichen Informationen anvertrauen?

Für mich sind diese Portale zweifellos wertvolle Informationsquellen, die endgültige Buchung nehme ich jedoch selbst vor, indem ich mich direkt mit dem Hotel, dem Reiseveranstalter oder der Fluggesellschaft in Verbindung setze. Generell versuche ich immer, wenn möglich, auf (unnötige) Vermittler oder Zwischenhändler zu verzichten, insbesondere wenn es um die Angabe von persönlichen Daten geht.

3.2 Social Media [siehe VerzichtRisikobewertung]

Es ist allgemein bekannt, dass soziale Netzwerke wie Facebook, TikTok, Instagram und X maßgeblich von der Nutzung und Auswertung von Nutzerdaten zu Werbezwecken sowie von der Einblendung von Werbung selbst profitieren. Diese Plattformen sind auf eine Aufmerksamkeitsökonomie ausgerichtet, die darauf abzielt, bewusst Erregung zu erzeugen, um die Interaktion mit fremden Inhalten zu steigern. Dabei geht es weniger um die Förderung einer gesunden Debattenkultur als um Gewinnmaximierung. Die Algorithmen bevorzugen Inhalte, die eine hohe Anzahl von Reaktionen hervorrufen, unabhängig davon, ob diese positiv oder negativ sind. Vorrangiges Ziel ist es, dass die Nutzer möglichst lange auf den Plattformen verweilen und die (bezahlten) Inhalte konsumieren. Ich persönlich betrachte dies als eine Art »attention prison«, aus dem ein Entkommen nur schwer oder gar nicht möglich ist.

Eine traurige Konsequenz dieser Strategie ist, dass häufig menschenverachtende und demokratiefeindliche Inhalte ihren Weg in die Timelines der Nutzer finden. Da Inhalte mit hoher emotionaler Wirkung bevorzugt werden, führt dies zu einer verstärkten Verbreitung von Hass/Hetze und Fake News. Die Folge ist eine Zunahme von Feindseligkeit und Hass sowohl online als auch offline. Insgesamt wird es dadurch immer schwieriger, konstruktive Diskussionen zu führen.

Die zentrale Frage ist, in welche Richtung wir uns bewegen (wollen). Gehen wir weiter in Richtung Überwachungskapitalismus, der durch sein datengetriebenes Geschäftsmodell und seine intransparenten Manipulationen das Potenzial hat, unsere liberale Demokratie von innen heraus auszuhöhlen. Oder wählen wir einen anderen Weg, der auf Wahlfreiheit und Autonomie setzt und damit letztlich das Individuum befähigt, selbstbestimmt in der digitalen Welt zu agieren?

Für mich ist die Antwort auf diese Frage eindeutig: Das Fediverse bietet eine Alternative. Hier werden Inhalte auf verschiedenen Instanzen (Servern) gespeichert, die von Nutzern oder Institutionen selbst betrieben werden, ohne dass ein Unternehmen einen Anspruch darauf erhebt. Unser Denken und Handeln im Fediverse ist frei und wird nicht von einem Newsfeed beeinflusst, der einem Geschäftsmodell folgt, das mit »sozial« ungefähr so viel zu tun hat wie Cum-Ex-Geschäfte. Deshalb bin ich seit einigen Jahren im Fediverse (Mastodon) aktiv und betrachte dies als äußerst gute Entscheidung.

3.3 (Online-)Reservierungen [siehe Fake-Daten]

Wenn ich feststelle, dass meine persönlichen Daten für den Dienst nicht unbedingt erforderlich sind, gebe ich bewusst falsche Informationen an. Ein typisches Beispiel sind Restaurant-Reservierungen. Je nach Restaurant kann man telefonisch, per E-Mail oder online reservieren. Besonders bei Online-Reservierungsportalen bin ich vorsichtig. Neben den Basisdaten wie Name, E-Mail-Adresse und Telefonnummer wird oft auch nach der Adresse gefragt, obwohl diese nicht unbedingt erforderlich ist. Wichtig ist, dass nicht alle Felder des Online-Formulars ausgefüllt werden müssen, sondern nur diejenigen, die in der Regel mit einem Sternchen gekennzeichnet sind. Aufgrund meiner Erfahrungen mit Online-Reservierungsportalen und deren Datenverarbeitung und Datenschutzpraktiken entscheide ich mich bewusst dafür, keine persönlichen Daten anzugeben.

Bei solchen Online-Reservierungen verwende ich einfach fiktive Daten, die sich nicht auf eine reale Person beziehen. Da die Angabe einer E-Mail-Adresse oft obligatorisch und für den Erhalt der Bestätigung wichtig ist, gebe ich eine Adresse an, über die ich Nachrichten empfangen kann. Als Dienstleister verwende ich hierfür addy.io, das es mir ermöglicht, temporäre E-Mail-Adressen (Aliase) zu erstellen, um meine Privatsphäre und Identität zu schützen. Das Feld für die Telefonnummer fülle ich meist mit »Frank geht ran« aus.

Wenn eine Online-Reservierung nicht möglich ist, greife ich zum Telefon. Zu diesem Zweck habe ich mir eine fiktive Person mit Vor- und Nachnamen ausgedacht, deren Daten ich für die Buchung verwende. Während des Buchungsvorgangs und auch vor Ort gebe ich mich dann vorübergehend als diese fiktive Person aus.

Fun Fact

Einige Freunde in meinem Bekanntenkreis haben diese Praxis übernommen. Wenn einer von uns eine Reservierung vornimmt, wissen wir genau, unter welchem Namen er bucht. Inzwischen benutzen wir alle die fiktive Person, die ich mir ausgedacht habe.

3.4 Spaß mit der Einwilligungserklärung in der Arztpraxis [siehe Rechte kennen und wahrnehmen]

Ich persönlich habe es schon oft erlebt: Während der Einführung der DSGVO und auch heute noch ist es in vielen Arztpraxen üblich, vom Patienten eine sogenannte »Einwilligungserklärung« zu verlangen. In dieser Erklärung wird bspw. erklärt, dass die Behandlungsdaten auch an eine Klinik zur Weiterbehandlung weitergegeben werden dürfen. Oft ist auch vorgesehen, dass bestimmte anonymisierte Daten für Forschungszwecke verwendet werden können. Wenn ich mich dann weigere, diese zu unterschreiben, folgt oft eine unüberlegte Reaktion wie bspw.:

Dann können wir Sie hier nicht behandeln!

Diese Aussage ist jedoch nicht korrekt, sondern beruht häufig auf Unwissenheit. Und zwar nicht nur bei der Sprechstundenhilfe, sondern auch beim Arzt oder der Ärztin. Nun stellt sich die Frage:

Müssen zum Zwecke der ärztlichen Behandlung von Patienten Einwilligungserklärungen eingeholt werden?

In der FAQ »Datenschutz in der Arztpraxis« beantwortet der LfDI Baden-Württemberg die Frage wie folgt:

Nein. Die ärztliche Behandlung wird aufgrund eines Behandlungsvertrages durchgeführt. Diese vertragliche Grundlage stellt eine Befugnis für die Datenverarbeitung gemäß Artikel 9 Abs. 2 Buchstabe h) und Absatz 3 in Verbindung mit Artikel 6 Absatz 1 Satz 1 Buchstabe b) Datenschutz-Grundverordnung (DS-GVO) dar. Alle Verarbeitungen, die zur Erfüllung des Behandlungsvertrages notwendig sind, können auf dieser Rechtsgrundlage durchgeführt werden. Eine Einwilligung ist für die Verarbeitung von personenbezogenen Daten zur Erfüllung des Behandlungsvertrages daher nicht erforderlich. In die Erhebung von Gesundheitsdaten im Zuge einer Anamnese kann im Übrigen durch die Teilnahme an der Untersuchung konkludent eingewilligt werden. Die Weitergabe der Patientendaten an eine private Abrechnungsstelle ist – wie bisher auch – vom Behandlungsvertrag nicht abgedeckt. Hierfür ist eine entsprechende Einwilligung einzuholen.

Es kann oft eine Herausforderung sein, sich aus der Sicht der Sprechstundenhilfe gegen das »etablierte Verfahren« zu wehren. Wenn meine Daten bspw. für eine Weiterbehandlung in einer Klinik benötigt werden, kann ich einer Weitergabe immer noch zustimmen. Ich halte es aber nicht für notwendig, einen Freibrief für jede Art der Datenweitergabe auszustellen. Dafür gibt es auch keine rechtliche Grundlage.

Hilf mit die Spendenziele zu erreichen!

Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.

Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.

Mitmachen ➡

3.5 Weitere Beispiele

Die obigen Beispiele sollen einen Eindruck von meiner Vorgehensweise vermitteln und meine nachfolgende Strategie verdeutlichen. Ich möchte jedoch nicht zu weit vorgreifen, da diese Themen und Anwendungsszenarien im weiteren Verlauf der Artikelserie noch ausführlicher behandelt werden.

4. Die fünf Grundprinzipien

Nachfolgend möchte ich meine Gedanken und allgemeine Vorgehensweisen teilen, die mein Verhalten in der digitalen Welt prägen, sowie die Kriterien, nach denen ich (Online-)Dienste auswähle. Natürlich sind die folgenden Strategien individuell und nicht 1:1 übertragbar. Deshalb möchte ich noch einmal auf das hinweisen, was ich im ersten Teil der Artikelserie betont habe:

Betrachtet die Artikelserie als Anregung/Inspiration und überlegt eigenständig, welche Teile ihr umsetzt, anpasst oder einfach als nicht relevant für euch erachtet.

Es ist von großer Bedeutung, sich bewusst zu machen, dass jede Entscheidung, die wir in Bezug auf unsere Daten treffen, direkte Auswirkungen auf unsere Privatsphäre und Sicherheit haben kann. Aus diesem Grund umfasst mein allgemeiner Ansatz für die digitale Welt die folgenden fünf Grundprinzipien, von denen einige auch für die analoge Welt gelten. Diese Punkte sollten nicht isoliert betrachtet werden, sondern als Teil einer Gesamtstrategie.

4.1 Verzicht

Verzicht hat oft eine negative Konnotation, da es bedeutet, auf etwas zu verzichten oder etwas bewusst nicht zu tun. Im Kontext des Datenschutzes und der Privatsphäre kann Verzicht jedoch als positiv betrachtet werden, da er dazu beiträgt, persönliche Daten und Informationen zu schützen. Verzicht bedeutet in diesem Zusammenhang, auf die Nutzung bestimmter digitaler Dienste, Technologien oder Plattformen zu verzichten, die als potenzielle Risiken für die Privatsphäre angesehen werden. Der Verzicht verringert die Menge der im digitalen Raum verfügbaren personenbezogenen Daten und damit das Risiko von Datenschutzverletzungen, Identitätsdiebstahl und anderen Formen des Missbrauchs personenbezogener Daten.

Wie könnte ein solcher Verzicht in der Praxis aussehen? Hier einige konkrete Beispiele:

  • Verzicht auf die Nutzung von Social-Media-Plattformen wie Facebook, Instagram oder X/Twitter, um persönliche Daten und Informationen vor Datenschutzverletzungen zu schützen. Alternative: Das Fediverse.
  • Verzicht auf die Nutzung von Smartphones mit Google-Diensten, um die Menge an persönlichen Daten, die von großen Technologieunternehmen (Google) gesammelt werden, zu reduzieren. Alternative: Android Custom-ROMs wie GrapheneOS.
  • Verzicht auf die Installation datenhungriger Apps auf mobilen Endgeräten, die einen übermäßigen Zugriff auf personenbezogene Daten erfordern könnten. Alternative: Apps vorrangig aus dem F-Droid Store beziehen und/oder ggf. App-Traffic filtern.
  • Verzicht auf die Verwendung von Cloud-Speicherlösungen von Drittanbietern, um die Kontrolle über sensible Daten zu behalten und das Risiko von Datenschutzverletzungen zu minimieren. Alternative: Verzicht auf Clouds, eigenes Hosting oder Verschlüsselung vor Upload.
  • Verzicht auf die Verwendung von Sprachassistenten wie Amazon Alexa oder Google Assistant, um potenzielle Abhörungen oder ungewollte Datensammlungen zu vermeiden.

4.2 Risikobewertung | Auswahl Dienstleister

Verzicht kann eine Lösung sein – aber nicht immer. Bevor man sich für einen Dienstleister (App, Online-Dienst, Software etc.) entscheidet oder ein neues Konto eröffnet, sollte man eine Risikoabschätzung für die eigene Privatsphäre vornehmen. Folgende Schritte können dabei hilfreich sein:

  • Datenschutzhinweise prüfen: Die Datenschutzhinweise sollten sorgfältig gelesen werden, um zu verstehen, welche Arten von Daten gesammelt werden, wie sie verwendet werden und ob sie an Dritte weitergegeben/geteilt werden. Zugegeben: Dies kann eine Herausforderung sein, da Datenschutzhinweise oft (viel) zu lang, unvollständig oder inhaltlich komplex sind. Im Vordergrund steht die Frage, ob der Anbieter den Datenschutz ernst nimmt, was sich oft in einer verständlichen Sprache, einer minimalen Datenverarbeitung, dem Verzicht auf die Zusammenarbeit mit Tracking-/Marketingpartnern und dem Fehlen des typischen Satzes »Der Schutz Ihrer persönlichen Daten ist uns wichtig« zeigt. Ziel ist es, auf Basis dieser Informationen eine informierte Entscheidung treffen zu können.
  • Sicherheitsmaßnahmen überprüfen: Abgesehen vom Datenschutz ist es ebenso wichtig, sich über die Sicherheitsvorkehrungen des Dienstleisters zu informieren. Diese sollen sicherstellen, dass die Daten angemessen geschützt sind, insbesondere durch Verschlüsselung, sichere Datenspeicherung und Zugriffskontrolle. Auch dies ist als Außenstehender schwer zu beurteilen, aber zumindest teilweise möglich.
  • Reputation: Es ist eine gute Idee, sich über den Ruf des Dienstleisters zu informieren und die Meinungen und Erfahrungen anderer Nutzer zu berücksichtigen. Letztendlich sollte man bei der Wahl eines Dienstleisters nicht nur ein gutes Gefühl haben, sondern auch Vertrauen in ihn haben. Dieses Vertrauen kann an Faktoren wie positiven Bewertungen, langjähriger Erfahrung des Dienstleisters, transparenter Kommunikation und bspw. der Einhaltung von (Datenschutz-)Standards gemessen werden.
  • Alternativen prüfen/berücksichtigen: Es empfiehlt sich, bei der Auswahl eines Dienstleisters stets mehrere Optionen sorgfältig zu prüfen und zu vergleichen. Gerade im Hinblick auf den Schutz personenbezogener Daten sollte nicht nur der Leistungsumfang im Vordergrund stehen, sondern auch die Datenschutzpraktiken und Sicherheitsmaßnahmen berücksichtigt werden – je nach Anbieter gibt es hier erhebliche Unterschiede.
  • Vermeidung von Abhängigkeiten: Bei der Bewertung eines Anbieters sollten wir uns fragen, wie abhängig wir von ihm werden. Dabei spielen Faktoren wie die Verwendung von Open-Source-Technologien durch den Anbieter und seine Datenverarbeitungspraktiken eine wichtige Rolle. Ist es uns möglich, unser Recht auf Datenübertragbarkeit gemäß Art. 20 DSGVO wahrzunehmen und unsere Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu exportieren oder an einen anderen Anbieter zu übertragen? Diese Überlegungen sind entscheidend, um sicherzustellen, dass wir jederzeit die Kontrolle über unsere Daten behalten und uns nicht unnötig an einen bestimmten Anbieter binden oder von ihm abhängig machen.
  • Weitere Kriterien: Bei aller Bedeutung von Datenschutz und (Daten-)Sicherheit dürfen die ökologischen Auswirkungen und die soziale Verantwortung gegenüber den Mitarbeitern nicht außer Acht gelassen werden. Es ist wichtig, diese Verantwortung nicht aus den Augen zu verlieren und nicht nur nach marktwirtschaftlichen Prinzipien wie dem niedrigsten Preis zu handeln. Letztlich muss jeder für sich entscheiden, wie er diese Kriterien gewichtet. Mir persönlich sind diese Aspekte wichtig und ich beziehe sie immer in meine Entscheidungen mit ein – aber ich sehe mich nicht als perfektes Vorbild, das ausschließlich nach ökologischen und sozialen Gesichtspunkten handelt.

4.3 Fake-Daten

Die bewusste Angabe falscher Informationen verringert das Risiko, dass personenbezogene Daten in die Hände Dritter gelangen oder für unerwünschte Zwecke missbraucht werden. Dies kann dazu beitragen, die Identität zu schützen und die Möglichkeit von Datenmissbrauch, Identitätsdiebstahl oder unerwünschter Werbung zu verringern.

Dabei ist jedoch zu beachten, dass die Verwendung von Fake-Daten nicht automatisch mit Anonymität gegenüber dem Anbieter einhergeht. Wer beispielsweise einen Google-Account nutzt und glaubt, über ein anderes Gerät in seinem Netzwerk einen »anonymen« Google-Account anzulegen, damit die konsumierten YouTube-Videos nicht mit dem eigentlichen, personenbeziehbaren Google-Account in Verbindung gebracht werden können, unterliegt einem Trugschluss. Google kann den Personenbezug über Merkmale wie IP-Adresse, verbundenes WLAN oder andere Gerätedaten herstellen. Die Eingabe von Fake-Daten ist daher mit einem Risiko verbunden – nämlich dem Risiko, dass der Anbieter über Gerätedaten o.ä. doch einen Bezug zu einer realen Person herstellen kann.

Nicht falsch verstehen: Die Angabe von Fake-Daten kann sinnvoll sein, aber man sollte immer bedenken, dass es gegenüber großen Technologieunternehmen (Google) schwierig sein kann, die Anonymität zu wahren.

4.4 Datenminimierung

Die Verwendung falscher Informationen (Fake-Daten) kann dem Schutz der Privatsphäre dienen. Es ist jedoch zu beachten, dass dies nicht immer rechtlich zulässig ist oder den Nutzungsbedingungen des Anbieters entspricht. In manchen Situationen ist es auch unpraktisch, bspw. bei Bestellungen an die Privatadresse oder wenn der Dienst aus irgendeinem Grund echte persönliche Daten benötigt, um sinnvoll genutzt werden zu können. In solchen Fällen ist es ratsam, nur die Mindestinformationen anzugeben, die für die Einrichtung des Kontos oder die Nutzung des Dienstes erforderlich sind. Dies trägt dazu bei, die Menge an personenbezogenen Daten, die ein Unternehmen über einen Nutzer speichert, zu verringern.

4.5 Rechte kennen und wahrnehmen

Die Datenschutz-Grundverordnung (DSGVO) räumt Personen, deren personenbezogene Daten verarbeitet werden, bestimmte Rechte ein. Als »betroffene Person« gilt man, wenn personenbezogenen Daten von einem Verantwortlichen verarbeitet werden, bspw. im Rahmen einer Online-Bestellung. In dieser Position habt ihr bestimmte Rechte gegenüber dem Verantwortlichen – definiert als die Person oder Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Datenverarbeitung entscheidet (gemäß Art. 4 Nr. 7 DSGVO).

Die Rechte der Betroffenen und die entsprechenden Pflichten der Verantwortlichen sind in Kapitel 3 der DSGVO festgelegt. Diese umfassen das Recht auf Auskunft (Art. 15 DSGVO), das Recht auf Berichtigung (Art. 16 DSGVO) und Löschung (Art. 17 DSGVO), das Recht auf Einschränkung der Datenverarbeitung (Art. 18 DSGVO), das Recht auf Widerspruch (Art. 21 DSGVO) gegen die Datenverarbeitung sowie das Recht auf Datenübertragbarkeit (Art. 20 DSGVO).

Es ist wichtig, diese Rechte zu kennen und sie gegebenenfalls einzufordern. Ich persönlich tue dies regelmäßig, vor allem wenn ich einen neuen Vertrag abschließe. Ob Dienstleister, Versicherung, Bank oder Online-Shop – die meisten nutzen unsere Daten für Direktmarketing, Profiling und Meinungsforschung. Dank der DSGVO haben wir das Recht, dem zu widersprechen. So können wir verhindern, dass unsere Daten zu Werbezwecken verarbeitet werden und ersparen uns den Ärger mit Werbematerial im E-Mail-Postfach oder Briefkasten. Um dieses Recht auf Widerspruch gemäß Artikel 21 der DSGVO durchzusetzen, stelle ich eine Vorlage bereit, die ich präventiv anwende.

Datenanfragen.de

Datenanfragen.de bietet einen Online-Service, der es ermöglicht, die Rechte auf Auskunft, Berichtigung und Löschung auf einfache Weise wahrzunehmen.

5. Fazit

Ihr seid nun mit meiner grundlegenden digitalen (Sicherheits-)Strategie vertraut. Im Wesentlichen geht es darum, bewusste Entscheidungen zu treffen, Risiken abzuwägen und Maßnahmen zu ergreifen, um unsere persönlichen Daten zu schützen – insbesondere dann, wenn wir ein Vertrauensverhältnis zu einem Dienstleister eingehen. In diesem Zusammenhang habe ich meine Überlegungen bzw. fünf Grundprinzipien vorgestellt: Verzicht, Risikobewertung, Verwendung von Fake-Daten, Datenminimierung und Ausübung von Datenschutzrechten.

Im nächsten Artikel werden wir eine weitere Schicht zu unserem »digitalen Schutzschild« hinzufügen. Es wird dann auch etwas praxisnaher, die bisherigen Artikel waren eher abstrakt. Im Folgebeitrag der Serie stelle ich meine Netzwerkkonfiguration vor, die eine Fritz!Box am Perimeter umfasst, sowie einen dahinter liegenden OpenWrt-Router, der eine Makrosegmentierung mittels VLANs ermöglicht.

Über den Autor | Kuketz

Mike Kuketz

In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.

Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.

Mehr Erfahren ➡

SpendeUnterstützen

Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.

Folge dem Blog

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡

Ähnliche Beiträge
Elektroauto-Ladeapp-Test
10. September 2023

Klimaschutz mit Datenschutz? Der große Elektroauto-Ladeapp-Test

Manche Ladeapps sind eine Datenschutzkatastrophe. Wir haben 41 Apps getestet und geben Tipps für datensparsames Laden.
Datenschutz Online-News
10. August 2022

Spannungsfeld: Datenschutz und Online-News

Eine Selbstverständlichkeit wird zum Streitthema: Die einfache Wahl zwischen Ja oder Nein beim Consent-Banner.
DB Navigator
11. April 2022

DB Navigator: Datenschutz fällt heute aus – App-Check Teil1

Die Analyse des DB Navigators offenbart eklatante Verstöße gegen die DSGVO und das TTDSG. Ist das Vorsatz oder Unfähigkeit?
Einwilligungsbanner Sofatutor
14. November 2022

​Sofatutor: Kurzanalyse der Datenschutzinformationen

Die nachfolgende Kurzanalyse bezieht sich auf die aktuell gültige Fassung der Datenschutzinformation (13.11.2022). Der Verantwortliche stellt keine Historie zur Verfügung.…
Datenschutzbeschwerde
24. Oktober 2019

Datenschutz: Ausübung des Beschwerderechts gem. Art. 77 DSGVO am Beispiel ZEIT ONLINE

Eine Hilfestellung / Anleitung zur Einreichung einer (Online-)Beschwerde gem. Art. 77 DSGVO.
Weitere Themen
AndroidAuditAutonomieBackupBezahlenBrowserCloudDatenschutzDatensendeverhaltenDigitalpolitikDSGVOE-MailFirewallHackingHärteniOSKuketz-BlogLinuxmacOSMessengerOpenWrtPasswortPentestRaspberryPiRechtSicherheitslückeSicherheitsmaßnahmeTorTrackingTTDSGÜberwachungVerschlüsselungWindowsWordPressXMPP
Diskussion

Ich freue mich auf Deine Beteiligung zum Artikel

HilfeWenn du Ergänzungen oder konkrete Fragen zum Beitrag hast, besuche das offizielle Forum. Dort kann der Beitrag diskutiert werden. Oder besuche den Chat, um dein Anliegen zu besprechen. zur Diskussion ➡

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.