• Blog
  • The General Data Protection Regulation of the European Union: Our battle plan.

Die Datenschutzgrundverordnung der Europäischen Union: Unser Schlachtplan.

6 Jahre, 7 Monate vor

Dieser Blogpost handelt von der Datenschutzgrundverordnung (DSGVO) der Europäischen Union (EU). Während ich auf die Grundlagen der DSGVO eingehe, konzentriert sich der Schwerpunkt auf deren Auswirkungen auf FreeSewing.org, und was wir in den 100 Tagen tun wollen, die bleiben, bevor die DSGVO in Kraft tritt.

Dies ist eine etwas lange Lektüre, deshalb hier ein Inhaltsverzeichnis:

Gedanken zur DSGVO der EU

Ich habe eine Hassliebe mit der Europäischen Union. Ich liebe, was sie tun und wofür sie stehen, ich hasse, wie sie es tun.

Ich verstehe diesen Typen total

Mit der DSGVO ist es nicht anders. Es handelt sich um einen wichtiges Stück Gesetzgebung, das die Messlatte für den Online-Datenschutz höher legt, was großartig ist. Aber als ich über das Thema las, verspürte ich den Drang, aus Wut aufzuhören, diese ewigen Bürokraten.

Erlauben Sie mir, das zu erklären.

Privatsphäre braucht Schutz

Auf Gedeih und Verderb (ich glaube eher auf Verderben) hat sich das Internet in einen Modus Operandi eingependelt wobei Sie freie Sachen mit Ihren persönlichen Daten bezahlen. Einige Leute nennen es People-Farming, und ich denke, das ist ein toller Begriff.

Die furchterregenden Fünf saugen immer mehr unseres persönlichen Lebens ab. Abgesehen davon, dass wir nie online gehen werden, können wir anscheinend nur sehr wenig dagegen tun.

Warum die EU die beste ist

Dieses Problem ist zu groß, um von einem von uns alleine angegangen zu werden. Wer könnte der geballten Macht der Technologieriesen die Stirn bieten?

Nun, wie ist das für einen Lebenslauf:

  • Habe Facebook zu 110 Millionen Euro Strafe wegen irreführender Aussagen über den Kauf von WhatsApp verurteilt
  • Befahl Amazon die Nachzahlung von 250 Millionen Euro zusätzlicher Steuern in Luxemburg
  • Verhängte gegen Google eine Geldbuße in Höhe von 2,4 Milliarden Euro wegen Missbrauchs seiner dominanten Position bei der Suche
  • Habe Apple zur Zahlung von 13 Milliarden Euro zusätzlicher Steuern in Irland verurteilt

Wir sind die EU, Bitch

Wenn es um die Giganten der Technik geht, ist die Europäische Union nur eine Peitsche, kein Zuckerbrot.

Die Datenschutzgrundverordnung setzt Datenschutzrichtlinien durch, die die Rechte der Nutzer respektieren. Sie gilt für alle EU-Bürger, jederzeit und überall.

Es spielt keine Rolle, ob Sie ein “Silicon Valley Juggernaut” sind, die Rechte der EU-Bürger respektieren oder sich dem Zorn der Eurokratie stellen:

Organisationen, die gegen GDPR verstoßen, können mit einer Geldstrafe von bis zu 4% des weltweiten Jahresumsatzes oder 20 Millionen Euro (je nachdem, welcher Betrag höher ist) belegt werden

Vier Prozent des weltweiten Umsatzes ist eine sehr lange Peitsche.

Warum die EU die schlechteste ist

So stelle ich mir eine Artikel-29-Datenschutzgruppe vor

Da die EU die EU ist, ist die Verordnung ein Mischmasch aus hochgesteckten Zielen und Idealen, die durch Lobbygruppen verwässert und durch den Kompromiss, der erforderlich ist, um 28 Mitgliedstaaten ins Boot zu holen, noch komplizierter wird.

Die Absichten sind großartig, es ist eine großartige Idee, aber sie machen einen schrecklichen Job, sie zu vermarkten --- wie immer.

Die praktische Umsetzung liegt in den Händen der so genannten Artikel-29-Arbeitsgruppe die sich derzeit mit der Gestaltung von Symbolen beschäftigt (das kann man sich nicht ausdenken) Sie wird ihren Namen in Europäischen Datenschutzrat am 25. Mai ändern weil Sie mit diesem ganzen Jargon jetzt nicht zu zufrieden sein werden, oder?

Die DSGVO in der praktischen Umsetzung

Wenn Sie Expertenrat zur DSGVO-Konformität suchen, ist dies nicht der richtige Ort für Sie.

Aber wenn Sie neugierig sind auf die DSGVO und was es für eine Website wie FreeSewing.org braucht um der Verordnung gerecht zu werden, lesen Sie weiter.

Weiterführende Literatur

Wenn Sie wirklich wissen wollen, was DSGVO ist, ist das Beste, was Sie tun können Lesen Sie das verdammte Ding einfach durch. Es ist keine Raketenwissenschaft.

Wenn Gesetzestexte Sie dazu bringen, die Wände hoch zu gehen, hat die ICO des Vereinigten Königreichs einfach einer der besten Leitfäden zu DSGVO.

Gut zu wissen

Ein paar Dinge solltest du wissen, bevor wir uns mit der DSGVO beschäftigen:

Es sind noch 100 Tage übrig

Die Datenschutzgrundverordnung wurde bereits 2016 verabschiedet, aber sie wird erst am 25. Mai 2018 in Kraft treten.

Bis zu diesem Tag bekommst du einen Passierschein. Nach diesem Tag ist es dann wirklich so weit. Das heißt, wir haben noch 100 Tage Zeit, um unser Haus in Ordnung zu bringen.

Es gibt Ausnahmen für KMUs

Unternehmen mit weniger als 250 Beschäftigten sind von einigen bürokratischen Aspekten der DSGVO ausgenommen, z. B. von einer Reihe von Dokumentationspflichten.

Im Grunde musst du zwar immer noch das Richtige tun, aber es gibt viel weniger Papierkram zu erledigen.

Freesewing beschäftigt keine Mitarbeiter, also sind wir aus dem Schneider.

Es gibt zusätzliche Vorkehrungen für sensible Daten

Körpermaße allein sind keine sensiblen Daten

Die DSGVO enthält zusätzliche Bestimmungen für sensible Daten wie biometrische Daten, Profilerstellung und eine Reihe anderer Dinge.

Das gab Anlass zur Sorge, denn wir sammeln Körpermaße, und eine unserer Fragen war, ob das als biometrische Daten gelten kann.

Es stellt sich heraus, dass es das nicht tut. Biometrische Daten sind Daten, mit denen du eine Person identifizieren kannst, z. B. ein Fingerabdruck oder ein Iris-Scan. Körpermaße allein sind keine sensiblen Daten.

Datenerhebung durch Zustimmung

Um Daten zu sammeln, brauchst du eine sogenannte Rechtsgrundlage für die Datenverarbeitung.
Es gibt verschiedene Arten, aber diejenige, die für uns (und die meisten Online-Dienste) gilt, ist Einwilligung.

In diesem Fall ist deine Rechtsgrundlage für die Verarbeitung der Daten, dass du die Person gebeten hast, ihre Daten zu erhalten, und sie sie dir freiwillig gegeben hat.

Das ist ganz einfach und macht Sinn. Aber die DSGVO will wirklich sicherstellen, dass diese Zustimmung freiwillig gegeben und nicht widerwillig von dir abgerungen wird.

Um zu verhindern, dass Unternehmen eine große Mauer aus juristischem Fachchinesisch aufstellen, der die Menschen zustimmen müssen, beschreibt die DSGVO eine Reihe von Grundsätzen, an die sich diese Zustimmung halten sollte. Hier ist eine nicht erschöpfende Liste:

  • Menschen sollten echte Wahlmöglichkeiten und Kontrolle haben
  • Die Zustimmung erfordert ein positives Opt-in, angekreuzte Kästchen oder Ähnliches sind nicht erlaubt.
  • Es sollte eine klare Erklärung geben, in der erklärt wird, wozu man sich verpflichtet.
  • Diese Ersuchen um Zustimmung müssen von den Bedingungen & getrennt sein.
  • Die Zustimmung muss detailliert sein, du brauchst eine individuelle Zustimmung für verschiedene Dinge und kannst nicht nach einer pauschalen Zustimmung fragen.
  • es für die Menschen einfach sein muss, die Zustimmung neu zu formulieren
  • die Zustimmung zur Datenverarbeitung sollte keine Voraussetzung für einen Dienst sein

Wenn ich mir diese Liste ansehe, kann ich mich des Eindrucks nicht erwehren, dass die Gesetzgebung viel einfacher wäre, wenn der Gesetzgeber einfach don’t be a dick schreiben könnte und die Sache damit erledigt wäre.

Granularität der Zustimmung

Denke daran, dass wir nicht einfach eine pauschale Zustimmung bekommen können. Wir müssen für jede Art der Datenverarbeitung, die wir durchführen, eine Zustimmung einholen.

Für freesewing.org haben wir drei verschiedene Arten der Datenverarbeitung ermittelt:

  • Profil Daten
  • Modelldaten
  • Gönnerdaten

Für jede dieser Maßnahmen müssen wir die Zustimmung der Nutzer/innen einholen und sicherstellen, dass es sich um eine echte Zustimmung handelt: ** wie in der GDPR vorgesehen.

Unten siehst du ein Modell, wie das für jeden Datentyp aussehen könnte:

Diese Mockups sind nicht mehr verfügbar

Bitte beachte, dass die ursprünglich in diesem Beitrag enthaltenen Mockups nicht mehr unter verfügbar sind. Stattdessen wurde diese Funktion auf der Website implementiert.

Zeitpunkt der Zustimmung

Die DSGVO besagt, dass du bei der Erhebung der Daten um Zustimmung bitten solltest.

Bei unseren drei Arten der Datenverarbeitung bedeutet das, dass die Zustimmung zu unterschiedlichen Zeitpunkten eingeholt werden muss:

  • Profildaten: Wenn du dich auf der Website anmeldest
  • Modelldaten: Bei der Erstellung des ersten Modells
  • Gönnerdaten: Wenn du ein Gönner wirst

Dies wird (auch) einige zusätzliche Arbeit erfordern, um dies in die Website zu integrieren.

Wahrung der Grundrechte bei der Datenverarbeitung

Die EU schreibt grundlegende Rechte für ihre Bürgerinnen und Bürger vor, die bei der Verarbeitung von Daten beachtet werden sollten.

Schauen wir uns jedes dieser Rechte und ihre Auswirkungen auf freesewing.org an.

Das Recht, informiert zu werden

Du musst transparent machen, wie du persönliche Daten verwendest. Warum du sie sammelst, wie du sie verwendest, und so weiter.

An der Information der Nutzerinnen und Nutzer arbeiten wir noch. Wenn überhaupt, dann ist dieser Blogbeitrag ein Teil dieser Bemühungen.

Wir müssen nicht nur die einzelnen Datenschutzerklärungen entwerfen, sondern auch eine allgemeine Datenschutzrichtlinie sowie , um sicherzustellen, dass die Nutzer/innen über alle ihre Rechte informiert sind.

Das erfordert zwar etwas Arbeit, aber ich erwarte hier keine Probleme.

Das Recht auf Zugriff

Die Menschen haben das Recht zu wissen, dass ihre Daten verarbeitet werden, und auf diese Daten zuzugreifen.

Wir sind bereits konform, denn alle Daten, die die Nutzerinnen und Nutzer auf der Website eingeben, sind auch für sie zugänglich.

Das Recht auf Berichtigung

Die Menschen haben das Recht, ihre Daten zu korrigieren, wenn sie nicht korrekt sind.

Wir sind bereits konform, da alle Daten, die die Nutzer/innen auf der Seite eingeben, auch von ihnen bearbeitet werden können.

Das Recht auf Löschung

Die Menschen haben das Recht, dass ihre Daten entfernt/gelöscht werden.

Wir sind bereits konform, denn die Nutzer können ihre Modelle oder ihr gesamtes Konto jederzeit löschen.

Das Recht, die Verarbeitung einzuschränken

Dieses Recht bedeutet, dass die Nutzer/innen in der Lage sein müssen, alle Datenverarbeitungen auf einzufrieren , ohne so weit zu gehen, ihre Daten zu löschen.

Wir bieten diese Möglichkeit derzeit nicht an und werden diese Funktion auf der Website hinzufügen müssen.

Das Recht auf Datenübertragbarkeit

Die Menschen haben nicht nur das Recht, alle ihre Daten zu exportieren, dieser Export sollte auch in einem Format erfolgen, das es ihnen leicht macht, ihre Daten anderswo zu verwenden.

Wir sind bereits konform, da wir es den Nutzern ermöglichen, alle ihre Daten zu exportieren und sie in verschiedenen Standardformaten (YAML und JSON) zur Verfügung zu stellen.

Das Recht auf Widerspruch

Das Widerspruchsrecht gilt insbesondere für:

  • Verarbeitung im öffentlichen Interesse oder durch offizielle Behörden
  • Verarbeitung für Direktmarketing
  • Bearbeitung für Wissenschaft/Historische Forschung/Statistik

In diesen Fällen können die Betroffenen gegen diese spezielle Verarbeitung Einspruch erheben.

Das gilt für uns, wenn wir anfangen, anonymisierte Modelldaten zu veröffentlichen, was auf unserer Roadmap steht.

Der Grund für die Veröffentlichung dieser Daten ist, dass wir einen Datensatz mit realen Körpermaßen zur Verfügung stellen wollen und nicht die Standardmaße , die in der Branche üblicherweise verwendet werden.

Darüber werden wir später mehr schreiben, aber im Wesentlichen fällt dies unter die Kategorie wissenschaftliche Forschung/Statistik . Und auch wenn die Daten anonymisiert werden, müssen wir das Recht der Nutzer/innen respektieren, dieser Verarbeitung zu widersprechen.

Deshalb sollten wir die Möglichkeit einbauen, dieser speziellen Verwendung der Daten zu widersprechen.

Rechte in Bezug auf automatisierte Entscheidungsfindung und Profilerstellung

Menschen haben zusätzliche Rechte, wenn es um Profiling oder Entscheidungen geht, die von KI oder Algorithmen ohne menschliche Beteiligung getroffen werden.

Das ist in unserer Situation nicht relevant.

Datenschutz durch Design

Die EU begnügt sich nicht damit, ein paar Einwilligungsfragen zu stellen und die Rechte der Menschen bei der Datenverarbeitung zu respektieren. Sie will auch sicherstellen, dass deine Privatsphäre (besser) geschützt ist, wenn etwas schief läuft.

Deshalb setzt sie sich für privacy by designein. Auch wenn es schwer ist, dieses Konzept gesetzlich zu verankern, ist das Ziel von klar: Sie wollen, dass jeder den Datenschutz von Anfang an in sein Projekt/Produkt/Geschäft einbezieht, und nicht erst im Nachhinein.

Dinge wie Verschlüsselung (sowohl bei der Übertragung als auch bei den gespeicherten Daten), Pseudonyme und Datenverfall werden als vorgeschlagen, die man bei der Entwicklung berücksichtigen sollte.

Natürlich wird die EU nicht kommen und deinen Code überprüfen, um zu sehen, ob du dir den Datenschutz zu Herzen genommen hast. Aber sie kann (und wird wahrscheinlich) einen Einfluss haben, wenn die Dinge schief laufen.

Stell dir zwei Unternehmen vor, die ein Datenleck haben. Das eine hat nicht viel getan, um die Privatsphäre seiner Nutzer zu schützen, während das andere privacy by design Maßnahmen ergriffen hat, um den Schaden zu begrenzen.

Es scheint offensichtlich, dass die EU das Unternehmen, das es nicht einmal versucht hat, härter bestrafen wird.

Was wir bereits tun

Wir tun bereits eine Reihe von Dingen, die auf einem privacy by design Ansatz beruhen. Zum Beispiel:

  • Wir verwenden Pseudonyme für Benutzerkonten
  • Wir geben keine Daten an Dritte weiter
  • Wir enthalten keinen Tracking-Code oder Analysedaten
  • Wir verwenden keine Cookies
  • Wir haben keine sozialen Logins, Like-Buttons oder andere Dinge.
  • Wir schalten/zeigen keine Werbung
  • Wir verwenden keinen JavaScript-Code von Drittanbietern
  • Wir verwenden Verschlüsselung für alle Transporte

In diesem Blog-Beitrag gibt es mehr Informationen dazu: Die Entscheidungen, die ich getroffen habe, um deine Privatsphäre zu schützen. Oder warum du keine Kekse bekommst.

Diese bilden bereits eine sehr gute Grundlage für eine datenschutzfreundliche Website. Da wir aber ohnehin Änderungen für die GDPR vornehmen müssen, denken wir über andere Optionen nach, um den Datenschutz weiter zu verbessern. Was können wir konkret tun, um den Schaden für unsere Nutzer/innen im Falle eines Datenlecks zu begrenzen?

Einschränkung der Datenspeicherung

Einige der sensibelsten Daten, die wir heute speichern, sind die Adresse und das Geburtsdatum unserer Kunden aus den höheren Ebenen.

Die Website braucht diese Informationen jedoch nicht, um zu funktionieren. Wir brauchen sie nur für administrative Zwecke; Geschenke und Geburtstagskarten an unsere Kunden verschicken.

Es gibt also keinen Grund, diese Daten in der Freesewing-Datenbank zu speichern. Wir könnten diese Informationen genauso gut in einem Notizbuch aufschreiben, das wir auf unserem Couchtisch liegen haben.

Als Teil unserer GDPR-bezogenen Änderungen werden wir diese Informationen aus der Datenbank entfernen und sie offline speichern.

Verschlüsselung von Daten im Ruhezustand

Wir verschlüsseln bereits alle Daten bei der Übertragung. Aber wir überlegen gerade, die Verschlüsselung von Daten im Ruhezustand hinzuzufügen.

Die Idee ist, alle Daten zu verschlüsseln, die eine/n Nutzer/in identifizieren könnten. Zum Beispiel:

  • E-Mail-Adresse
  • Nutzername
  • Modellnamen
  • Modell-Notizen

Das wäre ein zusätzlicher Schutz für die Privatsphäre unserer Nutzerinnen und Nutzer, für den Fall, dass unsere Datenbank in irgendeiner Weise geleert wird.

Auch wenn diese Änderung nicht trivial zu implementieren ist und mit Leistungseinbußen verbunden ist, denke ich, dass es wert ist, sie zu berücksichtigen.

Fazit

Obwohl wir noch einiges zu tun haben, erfüllen wir bereits große Teile der DSGVO, vor allem wenn es um die Achtung der Nutzerrechte geht :

  • Das Recht, informiert zu werden
  • Das Recht auf Zugriff
  • Das Recht auf Berichtigung
  • Das Recht auf Löschung
  • Das Recht, die Verarbeitung einzuschränken
  • Das Recht auf Datenübertragbarkeit
  • Das Recht auf Widerspruch
  • Rechte in Bezug auf automatisierte Entscheidungsfindung und Profilerstellung

Wir arbeiten derzeit an dem Recht, informiert zu werden und haben einen Plan für die Änderungen, die erforderlich sind, um das Recht auf Einschränkung der Verarbeitung und das Widerspruchsrechtzu respektieren.

Auf der Datenerfassungsseite müssen wir die Details für unsere Datenschutzhinweise ausarbeiten. Wir werden auch eine detaillierte Datenschutzerklärung verfassen, die alle Informationen aus den verschiedenen Hinweisen bündelt.

Wir müssen Änderungen an der Benutzereinführung vornehmen, um sicherzustellen, dass die Benachrichtigungen zur richtigen Zeit angezeigt werden. Ganz zu schweigen davon, dass wir den Überblick behalten müssen, wer seine Zustimmung zu was gegeben hat.

Aktionspunkte

  • Entwurf von Datenschutzhinweisen für Profil-/Modell-/Patronendaten
  • Integriere die Zustimmung in das Onboarding der Nutzer, die Modellerstellung und die Anmeldung der Gönner
  • Die Funktionalität der Website von der Zustimmung abhängig machen
  • Biete ein zentrales Datenschutz-Dashboard an, auf dem Menschen ihre Datenschutzeinstellungen/Zustimmung überprüfen können
  • Füge E-Mail-Benachrichtigungen hinzu, wenn die Zustimmung geändert wird
  • Biete eine Möglichkeit für Menschen, ihr Konto einzufrieren
  • Biete eine Möglichkeit für Menschen, der Verwendung ihrer Modelldaten für Forschung und Statistik zu widersprechen
  • Verfassen und Veröffentlichen einer allgemeinen Datenschutzrichtlinie
  • Sensible Daten in der Datenbank verschlüsseln

Es scheint, als hätten wir eine Menge Arbeit vor uns.

Feedback

Ich persönlich bin der Meinung, dass die Datenschutzgrundverordnung eine gute Sache ist. Aber ich möchte von dir hören, was du zu den Änderungen in diesem Blogpost sagst.

Bitte melde dich also mit deinem Feedback und deinen Kommentaren. Schließlich geht es hier um deine Daten.

Written by

joost

1
admin
Monthly roundup - February 2018: Core 1.7.0 with Sven, Carlton, and Carlita improvements. Plus GDRP, vim, and JaegerMonthly roundup - January 2018: Inkscape DPI, version awareness, Bail, and Carlita