English version:
https://thwack.solarwinds.com/resources/b/geek-speak/posts/how-to-utilize-your-gdpr-data-privacy-rights-gdpr-6-months-later
Vor nicht all zu langer Zeit war GDPR (DSGVO auf Deutsch) das wichtigste Thema in Konversationen in Business und Technologie.
Es wurde ein Ding im Mai 2018, aber seit dem haben wir nicht mehr viel gehört bis neulich, als ein Krankenhaus in Portugal bei einem GDPR Verstoss erwischt wurde.
Oder zumindest ist es der erste Verstoss, von dem wir gehört haben.
DSGVO Sechs Monate später
Eine der Konsequenzen ist, dass manche US-baiserende Webseiten den Zugriff aus Europe blockieren, weil man nicht Willens ist, GDPR zu implementieren
Aus meiner Sicht ist das ein inakzeptables Verhalten, weil es eine Respektlosigkeit gegenüber den Benutzern ist.
SolarWinds, wie jedes anderes Unternehmen mit Kunden in Europe, sollte konform sein. Und dazu gibt es auch eine Aussage.
Ich bin recht zufrieden damit, dass mein Arbeitgeber dem Thema soviel Augenmerk gibt.
Darüber hinaus, in meiner vorherigen Rolle hier als Sales Engineer, habe ich mit vielen Kunden gesprochen die in der GDPR Implementationsphase waren.
In vielen dieser Diskussionen taten mir die IT Mitarbeiter leid, da sie relativ allein gelassen worden sind.
Ich habe von einem Beispiel gehört, wo die Rechtsabteilung an den Vorstand herangetreten ist, und der Vorstand die komplette Aufgabe an die IT übergeben hat. Natürlich mit Deadline. Und natürlich ohne irgendwelche Planung oder weitere Erklärungen.
Was genau ist DSGVO, und was hat es mit dem “Recht auf Vergessenwerden” auf sich?
Dazu gibt es zum einen einen schönen Wikipedia Artikel.
Zum anderen habe ich mich aber selbst gefragt, wie der Prozess nun aus der Sicht des Endnutzers aussieht.
Also habe ich ein Experiment unternommen.
Die Aufgabe war, mit verschiedenen Unternehmen und Diensten in Kontakt zu treten die ich nicht länger her benutze.
Ich bat um die Schliessung meiner Konten, die Löschung meiner persönlichen Daten sowie eine Bestätigung.
Um die Effizienz zu erhöhen, nutzte ich die Gelegenheit gleich um meine Passwort-Sicherheit aufzupumpen.
Die benötigten Werkzeuge sind simpel:
Ich nutze LastPass für all meine Zugangsdaten seit vielen Jahren, und als Kommunikationsmethode mit den Unternehmen dienen entweder Webformulare oder die gute, alte Email.
Niemand hat mich auf das Drama vorbereitet!
Nicht im geringsten hatte ich mit soviel Komplexität und Gegenwind gerechnet.
Man hat es mit verschiedenen Unternehmen, Richtlinien, Abteilungen, und Einzelpersonen zu tun, und es gibt erstaunliche Kreativität dabei, wie Unternehmen die DSGVO auslegen.
Die erste Hürde war, Kontaktinformationen zu finde.
Bei den meisten Unternehmen finden sich Privacy Richtlinien, Rechtliche Informationen oder zumindest eine FAQ auf der Webseite. Manchmal musste man schon suchen.
Wenn ich nichts finden konnte, bin ich mit dem Kundendienst in Kontakt getreten. Das war häufiger nötig als gewünscht!
Viele Unternehmen antworteten innerhalb von ein-zwei Tagen mit einer einfachen Bestätigung “Wir haben den Prozess veranlasst, aber es kann bis zu 30 Tage dauern bis deine Daten aus den Systemen sind”.
Manchmal hat die Antwort etwas länger gedauert, aber das ist schon in Ordnung.
Wie mag der Prozess aussehen?
Die Anfrage kommt im Kontaktzentrum bzw Kundendienst an, entweder in-house oder outsourced, und wird höchstwahrscheinlich direkt an jemanden weitergeleitet, der versteht, was eigentlich gewünscht ist.
Diese Personen sind aber nicht notwendigerweise in der Lage, die entsprechenden Schritte einzuleiten, also muss ein Ticket an die IT erstellt werden.
Die IT beginnt mit dem effektiven Löschen, wird vermutlich ein ETA geben wann der Datensatz aus allen Backups verschwindet, und retour den kompletten Vorgang, bis irgendwann bei mir die Antwort ankommt.
Zwei Organisationen haben tatsächlich nach dem Grund meiner Anfrage gebeten.
Ich habe einfach geantwortet mit “Ich will meine Rechte als europäischer Bürger durchsetzen” – hey, niemand erwartet Freundlichkeit von einem Deutschen, also kann man ruhig direkt sein.
Und das hat auch funktioniert, keine weiteren Fragen.
Zwei Unternehmen haben um die Verifizierung meiner Identität gebeten, und sicherlich, das geht in Ordnung.
DSGVO involviert nicht nur das Recht auf Löschung, sondern auch einen Auszug/Kopie sämtlicher gespeicherten Daten, und da sollte es natürlich einen Prozess geben, damit die Daten nicht in die falschen Hände fallen.
Einer der beiden hat mir ein PDF zum Unterschreiben gesendet und mich kurz angerufen. Schnell und schmerzlos.
Der andere Fall eskalierte leider ziemlich schnell.
Die Firma wollte eine Kopie meines Ausweises, eine beliebige Versorger-Rechnung mit meiner Anschrift, und hat mir einen Fragebogen zum Ausfüllen gesendet. Hallo?
Daraufhin habe ich ein wenig nachgeforscht und Webseiten gefunden die bestätigen, dass Unternehmen generell die Identität feststellen sollten, aber der dafür benötigte Aufwand muss in korrekter Relation zu den gespeicherten Daten sein.
Kurzfassung: Es müssen keine Daten gesendet werden, die nicht schon vorhanden sind.
In diesem Fall bin ich der Meinung, dass mein Ausweis und meine Stromrechnung “höhenwertig” sind als mein Name und eine meiner Email-Adressen.
Was tun wenn ein DSGVO Verstoss festgestellt wird?
Jedes Land in Europa bzw der EU stellt eine Organisation bzw ein Amt für Privatsphäre und Datenschutz zur Verfügung. Für mich hier in Irland ist es die Irish Data Protection Commission.
Ich habe den letzten Fall dorthin eskaliert, und nun muss man sehen, wie es weiter geht.
Jetzt aber zu einem schlechten Beispiel!
Ich erhielt einen “Newsletter” von einem Unternehmen und habe mit meinen Standards geantwortet.
Eine Antwort kam nicht, dafür ein weiterer Newsletter drei Tage später.
Auf deren Webseite fand ich legal@unternehmen.tld und habe eine Email dorthin gesendet.
Keine Antwort. Aber: Noch ein Newsletter wenige Tage später.
Spam wird zur Wut.
Also wieder auf deren Webseite und nach ein paar Namen gesucht.
Meine nächste Email ging an Vorname.nachname des CEO, den kompletten Vorstand und Aufsichtsrat soweit einsehbar, plus legal@, sowie abuse@ beim Betreiber der Webseite.
Ratet was passiert ist? Ich habe eine Antwort bekommen, schon am nächsten Tag!
Keine besonders freundliche, aber zumindest die Bestätigung meiner Anfrage und die Aussage, dass der Prozess eingeleitet wurde. Leider habe ich set dem nichts weiter gehört.
Das ist ein Beispiel von “kein Prozess vorhanden” oder vielleicht “oops, GSDVw-was?”
Unterm Strich hat mein Experiment gezeigt, dass die meisten Unternehmen GDPR folge leisten und auch einen echt guten Job bei der Implementation erledigt haben.
Manche benötigen noch etwas Optimierung, und ich finde es sollte definitiv einfacher gemacht werden, einen direkten Ansprechpartner zu diesem Thema auf den Webseiten zu finden.
Als Randnotiz, ich habe mein Sicherheitsproblem-Rating bei LastPass gewaltig erhöht.
Update: Ähnliche Gedanken finden sich hier.
More technology posts:
VPS Security
VPS security is an important topic. Unsecured instances become zombies and will be abused for…
WordPress on Contabo VPS
For various reasons, I decided to change my hoster for the blog. I did some…
Orangematter – SolarWinds Hybrid Cloud Observability
I’ve written a new article: Orangematter – SolarWinds Hybrid Cloud Observability.https://orangematter.solarwinds.com/2022/07/18/observability-again-oh-yes/ I’m a bit late…
IT Pro Day 2021: Orangematter
I’ve written a new article on our corporate blog, celebrating IT Pro Day 2021:https://orangematter.solarwinds.com/2021/09/01/it-pros-to-the-world-bring-it-on/ It’s…
Künstliche Intelligenz im Datenzentrum: Die KI schläft nie!
English version: Click! Künstliche Intelligenz im Datenzentrum In einem Datenzentrum sind typischerweise irgendwo zwischen 30-200…
IT Security beginnt beim Mensch. Leider.
English Version: CLICK! IT Security beginnt beim Mensch. Leider. Einer der Funde der Untersuchung des…