CK • Washington. Eine ausgefeilte Datenschutzerklärung ist etwas feines, aber wenn man unter die Haube schaut, findet man bei Datenschutzämtern in Ländern und E.U. morsche Stecker und verbrannte Kabel. Ihre Worte sind hohl, weil sie ihre Versprechen technisch nicht umsetzen. Eine Woche nach dem Inkrafttreten der DSGVO-GDPR, das die Welt in Panik versetzte, sollten die Webseiten-DSE-Verfasser auch einmal mit den Server-Technikern gesprochen haben. Das darf man von den mit der Durchsetzung und Vollstreckung betrauten Ämtern doch wohl erwarten?
Die linke Hand weiß nicht, was die rechte tut. Die Besucherdaten seien garantiert geschützt, heißt es da, während einfache
Webservertests zeigen, dass sie diese Daten mangels
Referrer-Einstellung im
Serverheader automatisch Dritten servieren. Auf Module Dritter wird zurückgegriffen, als ob die Serverwärter die DSE nie in die Hand bekommen hätten. Das Server-Zertifikat für den behaupteten sicheren SSL-Zugang, der bei einem einfachen Seitenabruf ohne Dateneingabe keine Rolle spielt und als https-Verkehr nur mehr Bandbreite nutzt, wird durch unvollständige Einstellungen und veraltete Verschlüsselungsmethoden unterminiert.
Die Gesetzgeber haben vermutlich weder
Security Headers noch Verschlüsselungs-Kodierungen angeschaut und ahnen vielleicht nicht einmal, wie man im Internet nach Online-Werkzeugen sucht, die Fehlerquellen aufzeigen - gratis oder im
Abonnement. Dabei gehen beim Datenschutz Technik und Recht Hand in Hand. Das gilt auch für
Penetration-Tests, die tiefergreifende Probleme beim Datenschutz aufzeigen können und unsinnigerweise als verboten gelten.
Was hat das mit den USA zu tun? Nun, die E.U. konnte nicht einmal klären, dass ein Amt für die GDPR im Rest der Welt oder in bestimmten Ländern zuständig ist, während sie die Daten aller E.U.-Personen mit extraterritorialer Wirkung ihrem Recht unterwirft. In jedem Land der E.U. gibt es eine zuständige Behörde, und für die USA und den Rest der Welt ist jede einzelne dieser Behörden ohne Abstimmung mit den anderen zuständig. An welcher GDPR-Umsetzung sich Mandanten in den USA orientieren sollen, erklärt sich ihnen nicht. Dafür wissen sie aber, dass die sich als Vorbild gerierenden Datenschutzbehörden Europas ihre eigenen Webseiten wie rechtsfreie Zonen behandeln.