Neuer EU-Datenschutz kein Allheilmittel - Checkliste für mehr Privatsphäre

Der Tresorit-Gründer und Sicherheitsexperte Istvan Lam begrüßt die neue EU-Datenschutzverordnung. Er stellt jedoch fest, das ein einzelnes Gesetz nicht ausreichen wird, die Privatsphäre der europäischen Internetnutzer zu schützen. Da dies ein sehr komplexes Problem ist, schlägt er eine einfach zu nutzende Checkliste mit drei Grundpfeilern vor, die normalen Nutzern hilft, für sich den richtigen, auf Datenschutz optimierten Anbieter zu finden.

Vor wenigen Stunden nahm das europäische Parlament in der finalen Abstimmung die neue EU-Datenschutzverordnung an. Mit der voraussichtlich 2018 in Kraft tretenden Regelung werden Onlinedatenschutz und -privatsphäre europaweit gestärkt und vereinheitlicht. Trotz gemischter Gefühle im in Datenschutzfragen noch stärker regulierten Deutschland bedeutet dies auch Vorteile für deutsche Nutzer. Schließlich steht Deutschland mit seinen hohen Erwartungen an internationale Anbieter nun nicht mehr allein, sondern hat das gesamte Gewicht Europas hinter sich.

Trotzdem ist natürlich noch einiges zu tun. Vergleicht man die Entwicklungen der Sicherheitsstandards mit der Automobilindustrie, sind wir nun an einem Punkt, an dem alle Hersteller Sicherheitsgurte liefern müssen – aber noch längst kein ABS und keine Airbags.

.

Die neue EU-Datenschutzverordnung ist deshalb kein Allheilmittel für alle unsere Datenschutzprobleme. Zum Beispiel ist noch immer Raum für nationale Regierungsbehörden, Bürger durch Hintertüren in die Sicherheitstechnik zu überwachen. Auch mit den besten Absichten und großen Anstrengungen der EU-Gesetzgeber ist damit weiterhin keine vollkommene Privatsphäre garantiert.

Checkliste für drei Säulen für Datenschutz und Privatsphäre

Man kann das Problem ganzheitlich von drei Seiten betrachten und angehen: technologisch, rechtlich und physisch. Die sicherste Lösung bleibt noch immer eine Kombination aus Ende-zu-Ende-Verschlüsselung von vertrauenswürdigen europäischen Anbietern mit Servern in Europa. Auf diese Weise können Sie sicher sein, dass dank “Privacy by Design” der gesamte Service dafür designt wurde, Ihre Privatsphäre zu sichern. Es gibt einige großartige Beispiele für Anbieter, die diesen Standards entsprechen: Etwa der E-Mail-Anbieter ProtonMail und die Messenger-App Threema. Genau wie diese Dienste, geht auch Tresorit Sicherheit von allen drei Seiten an.

Wenn Sie dies als eine Checkliste verstehen möchten, kann es Ihnen helfen, schnell einen sicheren Anbieter zu finden, ohne sich tief in das Kleingedruckte und komplizierte technische Details jedes Anbieters graben zu müssen. Vielleicht hilft es Ihnen auch dabei zu verstehen, warum die neue Verschlüsselung bei WhatsApp von vielen Sicherheitsexperten noch immer nicht als ausreichend für Ihren Datenschutz gesehen wird.

1. Technologisch: Ihr Anbieter sollte die sogenannte “Zero-Knowledge”-Methode bzw. „Ende-zu-Ende-Verschlüsselung“ nutzen. Das bedeutet, dass Ihre Daten so verschlüsselt werden, dass sie nur von Ihrem Endgerät entschlüsselt werden können. Behörden, Hacker und auch Mitarbeiter Ihres Onlinedienstes haben damit keine Möglichkeit, den Inhalt der Dateien oder Kommunikation zu sehen.
2. Rechtlich: Ihre Metadaten (das sind notwendige Zusatzsdaten wie etwa Ihre E-Mail-Adresse, Konto- oder Standortinformationen) sollten von strengen Gesetzen geschützt werden. Einige Länder wie Deutschland, Schweiz, Neuseeland und Island gelten als solche Länder. Recherchieren Sie dafür auf der Kontaktseite oder im Impressum Ihres Anbieters, wo dieser registriert ist. Tresorit zum Beispiel operiert nach Schweizer Recht und muss bzw. kann dadurch Ihre Daten vor Fremdeingriffen – selbst vor ausländischen Geheimdiensten – schützen.
3. Physisch: Auch der Standort der Server Ihres Anbieters kann die Sicherheit Ihrer Daten vor fremden Zugriffen und physischen Angriffen stärker beeinflussen als Sie denken mögen. Ganz besonders wenn die ersten beiden Kriterien nicht erfüllt sind. Tresorit nutzt daher niederländische und irische Rechenzentren von Microsoft Azure, die marktführende und EU-zertifizierte physische Sicherheit bieten und damit Serverausfällen und Datenverlust (etwa durch Erdbeben) sehr gut vorbeugen.

Zusätzlich zu diesen drei Säulen raten wir dazu, dass Sie auch auf andere einfache Details achten, die Ihnen Hinweise darauf geben können, wie ernst Ihr Anbieter den Datenschutz seiner Nutzer nimmt. Bemühen sie sich um Transparenz? Werden Sie gefragt, bevor Daten mit Dritten geteilt werden? Wenn Sie nach persönlichen Daten gefragt werden, wird Ihnen plausibel erklärt, wofür diese Daten gebraucht werden? Die richtigen Antworten auf diese Fragen sind eine sehr subjektive Sache – aber Sie sollten nie aufhören, zu hinterfragen, ob Sie die Antworten des Anbieters überzeugend finden oder nicht.