Wenn du dir die Datenschutzerklärungen einiger Online-Dienste ansiehst, wirst du wahrscheinlich mit langen, komplizierten Texten konfrontiert, die ein normaler Mensch einfach überfliegen und nicht vollständig lesen würde. Diese Datenschutzerklärungen geben jedoch Aufschluss darüber, welche personenbezogenen Daten verwendet werden, zu welchem Zweck sie verwendet werden, wer sie verwendet und wer sonst noch Zugang zu den Daten erhält, und welche Rechte du (die betroffene Person) in Bezug auf deine personenbezogenen Daten hast. Diese Informationen müssen laut den Anforderungen gängiger Datenschutzgesetze (wie der DSGVO) bereitgestellt werden. Die DSGVO verlangt beispielsweise, dass in verschiedenen Szenarien (wie in den Artikeln 7, 13 und 14 definiert) Transparenz über die Verarbeitung personenbezogener Daten gegeben werden muss.
Wieso wir Datenschutz-Bildsymbole benötigen
Die Verwendung von Symbolen zur Darstellung dessen, was mit unseren personenbezogenen Daten geschieht, könnte lange Textbeschreibungen ersetzen. Wenn diese Symbole gut gestaltet, standardisiert und weit verbreitet wären, könnten Personen leicht verstehen, wie ihre personenbezogenen Daten verwendet werden, bevor sie einen Webdienst oder eine Anwendung nutzen. Wäre das nicht großartig?
Datenschutz-Bildsymbole und die DSGVO
In der DSGVO heißt es ausdrücklich, dass standardisierte Datenschutzsymbole verwendet werden können, um die Transparenz bei der Verarbeitung personenbezogener Daten zu gewährleisten. Artikel 12 Abs. 7 besagt:
Die Informationen, die den betroffenen Personen gemäß den Artikeln 13 und 14 bereitzustellen sind, können in Kombination mit standardisierten Bildsymbolen bereitgestellt werden, um in leicht wahrnehmbarer, verständlicher und klar nachvollziehbarer Form einen aussagekräftigen Überblick über die beabsichtigte Verarbeitung zu vermitteln. Werden die Bildsymbole in elektronischer Form dargestellt, müssen sie maschinenlesbar sein.
Darüber hinaus legt die DSGVO in Artikel 12 Abs. 8 die Grundlage für die Erstellung standardisierter Symbole fest:
Der Kommission wird die Befugnis übertragen, gemäß Artikel 92 delegierte Rechtsakte zur Bestimmung der Informationen, die durch Bildsymbole darzustellen sind, und der Verfahren für die Bereitstellung standardisierter Bildsymbole zu erlassen.
Leider hat die Europäische Kommission auch viele Jahre nach Inkrafttreten der DSGVO noch keine Datenschutzsymbole vorgelegt.
Datenschutz-Bildsymbol-Initiativen
Derzeit gibt es drei nennenswerte Initiativen, die in die von der DSGVO beabsichtigte Richtung gehen.
privacy-icons.ch
Ein Verein in der Schweiz, der sich aus Anwälten und Schweizer Unternehmen zusammensetzt, hat eine Reihe von Symbolen und einen Leitfaden zu deren Verwendung erstellt. Die Symbole können von jedermann auf der Grundlage von Lizenzbedingungen und einer erforderlichen Registrierung frei verwendet werden. Die Symbole wurden unter Berücksichtigung des Schweizer Datenschutzgesetzes erstellt und sind als Webfonts und SVG-Dateien verfügbar. Alle Informationen sind auf Englisch, Deutsch und Italienisch auf der Webseite des Vereins verfügbar.
Datenschutz-Icons des LfDI Baden-Württemberg
Die Datenschutzbehörde von Baden-Württemberg hatte im August 2021 einen Wettbewerb ausgeschrieben, bei dem bis Ende September 2021 Vorschläge für Datenschutzsymbole eingereicht werden konnten. Als Ergebnis dieses Wettbewerbs wurde eine Reihe von Datenschutzsymbolen ausgewählt, die nun frei verfügbar sind. Diese Symbole basieren auf der DSGVO, doch fehlen zwei wichtige Aspekte – der Zweck der Verarbeitung und die Kategorien personenbezogener Daten. Die PNG- und SVG-Dateien können kostenlos von der Webseite heruntergeladen werden.
Bitkom Arbeitsgruppe Privacy Icons
Der Bitkom, der deutsche Verband der digitalen Wirtschaft, hat eine Arbeitsgruppe eingerichtet, die Icons entwickelt und einen Leitfaden zu deren Verwendung erstellt hat. Die Symbole decken die wichtigsten Kategorien personenbezogener Daten, Verarbeitungsorte, Übermittlungsarten und einige Verarbeitungszwecke ab. Von allen drei Bildsymbol-Initiativen geht dieser Symbol-Sammlung (meiner Meinung nach) am besten in die von der DSGVO beabsichtigte Richtung. Die Symbole können kostenlos verwendet werden und stehen als PNG- und SVG-Dateien auf der Bitkom-Webseite zum Download bereit.
Interessanterweise werden in der Datenschutzerklärung des Bitkom diese Datenschutzsymbole nicht verwendet, obwohl es sie schon seit 2023 gibt.
Was nun?
Keine der derzeit verfügbaren Symbol-Sammlungen erfüllen die Anforderungen perfekt. Dennoch sollten wir damit beginnen, sie zu verwenden, bis bessere Symbole verfügbar sind. Wir müssen auf jeden Fall die langen und komplizierten Datenschutzhinweise loswerden.
Es gab auch einige Forschungsinitiativen zu der Frage, was diese Symbole abdecken sollten; sie haben jedoch bisher (soweit ich weiß) keine wesentlichen Ergebnisse gebracht. Wenn man sich die verfügbaren Symbole ansieht, wäre es besser gewesen, mehr Zeit darauf zu verwenden, zu untersuchen, welche Arten von Symbolen benötigt werden.
Die Idee, standardisierte Datenschutzsymbole zu verwenden, um den Nutzer:innen von datenverarbeitenden Diensten das Verständnis dafür zu erleichtern, was mit ihren personenbezogenen Daten geschieht, bevor sie einen Dienst in Anspruch nehmen oder ihre Zustimmung geben, ist jedoch großartig und sollte weiter verfolgt werden! Idealerweise sollten diese von der Europäischen Kommission (möglicherweise sogar der NIST oder ISO) formal veröffentlicht werden, um einen standardisierten Satz von Symbolen zur Verfügung zu stellen.
Überblick über Akronyme im Bereich der Informationssicherheit. Diese Seite erhebt nicht den Anspruch, eine vollständige Liste zu liefern, sondern stellt nur die wichtigsten Begriffe zur Verfügung. Auch einige allgemeinel IT-, OT- und Datenschutz-Akronyme sind für die Informationssicherheit relevant, aber diese Liste enthält nur die spezifischen Akronyme für die Informationssicherheit. Die Bedeutung dieser Akronyme zu kennen...Continue reading→
Obwohl diese Website einen Fokus auf Informationssicherheits-Akronyme hat, sind auch einige allgemeine OT-Akronyme, und bestimmte IT- und Datenschutz-Akronyme, wichtig zu kennen, wenn man versucht, Informationssicherheit zu verstehen. Daher werden auf dieser Seite einige relevante OT-Akronyme aufgeführt. Bitte beachte, dass diese Liste nicht den Anspruch erhebt, eine vollständige Liste aller möglichen OT-Akronyme zu liefern, sondern nur...Continue reading→
Obwohl diese Website einen Fokus auf Informationssicherheits-Akronyme hat, sind auch einige allgemeine Datenschutz-Akronyme, und bestimmte IT- und OT-Akronyme, wichtig zu kennen, wenn man versucht, Informationssicherheit zu verstehen. Daher werden auf dieser Seite einige relevante Datenschutz-Akronyme aufgeführt. Bitte beachte, dass diese Liste nicht den Anspruch erhebt, eine vollständige Liste aller möglichen Datenschutz-Akronyme zu liefern, sondern nur...Continue reading→
Obwohl diese Website einen Fokus auf Informationssicherheits-Akronyme hat, sind auch einige allgemeine IT-Akronyme, und bestimmte OT- und Datenschutz-Akronyme, wichtig zu kennen, wenn man versucht, Informationssicherheit zu verstehen. Daher werden auf dieser Seite einige relevante IT-Akronyme aufgeführt. Bitte beachte, dass diese Liste nicht den Anspruch erhebt, eine vollständige Liste aller möglichen IT-Akronyme zu liefern, sondern nur...Continue reading→
Ich habe gerade einen Blick auf die aktuelle Version, die 2024-Ausgabe, der CWE Top 25 Most Dangerous Software Weaknesses geworfen. Diese Liste basiert auf den Schwachstellentypen der Common Weakness Enumeration, wird regelmäßig aktualisiert und spiegelt die wichtigsten Schwachstellen in Software wider. Seit 2019 wird diese Liste jährlich auf der Grundlage der kürzlich beobachteten Verwundbarkeiten (dokumentiert...Continue reading→
Webseite/Blog Dieses Impressum gilt für das Angebot unter der Domain infosecbleep.net inklusiver aller Subdomains. Soziale Medien Dieses Impressum gilt zudem für meine Auftritte in den folgenden sozialen Medien: LinkedIn: linkedin.com/in/weberheiko Angaben gemäß § DDG Name: Heiko Weber Anschrift: Starweg 29, 63768 Hösbach, Deutschland E-Mail-Adresse: contact@infosecbleep.net
Du kannst auf einigen Seiten und den Blog-Posts deinen Kommentar hinterlassen. Zusätzlich kannst du mich unter der E-Mail-Adresse contact@infosecbleep.net kontaktieren. Vorzugsweise verschlüsselt und signiert per PGP. Meinen aktuellen öffentlichen PGP-Schlüssel findest du unten oder du kannst ihn über folgenden Link abspeichern. -----BEGIN PGP PUBLIC KEY BLOCK----- mDMEZ252VhYJKwYBBAHaRw8BAQdArSm3/WKtmpQCHYDqSavPbLvcEGKuR6kzEvKv YY0CPoC0J0luZm9TZWNCTEVFUCA8Y29udGFjdEBpbmZvc2VjYmxlZXAubmV0PoiZ BBMWCgBBFiEEG9ZeY4Pj1GeK+S3iMcK/PCYrLGYFAmdudlYCGwMFCQWqRFoFCwkI BwICIgIGFQoJCAsCBBYCAwECHgcCF4AACgkQMcK/PCYrLGbLxAEAgjNR1oEsqjnn VtKyXHuAd5ZGE0ubcXBvOB4WDzu1vrsA/1BQSNJezqnp4XUQqkpJxNVkvPhWrf8D 6hBz+pVY2KAJtC5JbmZvU2VjQkxFRVAgPGRhdGFwcm90ZWN0aW9uQGluZm9zZWNi bGVlcC5uZXQ+iJkEExYKAEEWIQQb1l5jg+PUZ4r5LeIxwr88JissZgUCZ252mwIb AwUJBapEWgULCQgHAgIiAgYVCgkICwIEFgIDAQIeBwIXgAAKCRAxwr88JissZoIv AP9MkYaAN4UlTsnqOgqCAJ+zKDXXvVkhrArpBe2JYn4DsAEAxkvZftPlrUc1k8Cj...Continue reading→
zuletzt aktualisiert und gültig ab: 28.12.2024 Ich betreibe diesen Blog und bin der Verantwortliche für die Verarbeitung deiner personenbezogenen Daten, die von dir oder deinem Browser beim Nutzen der Webseite bereitgestellt werden.Heiko Weber, Starweg 29, 63768 Hösbach, DeutschlandDu erreichst mich unter: dataprotection@infosecbleep.net
Willkommen bei InfoSecBLEEP, einem Blog, der sich der Erforschung der sich ständig weiterentwickelnden Welt der Informationssicherheit und des Datenschutzes widmet. Der Blog wird von Heiko Weber verfasst, einem erfahrenen Experten mit einer lebenslangen Leidenschaft für den Schutz digitaler Ökosysteme und die Förderung der Privatsphäre. Heiko wurde 1974 in Deutschland geboren und wohnt heute im Rhein-Main-Gebiet....Continue reading→
