Screenshot of DrupalCon Nashvilles Website

Datenschutz auf amerikanisch . GDPR als "Privacy Experience"

von Ralf Hendel
am

Die Session "Think Your Website is GDPR Compliant? Think Again!" greift auf der DrupalCon Nashville das Thema Datenschutz auf. "GDPR" steht für General Data Protection Regulation und ist die internationale Bezeichnung für die neue Datenschutzgrundverordnung ("DSGVO").

Ich bin überrascht, dass die DSGVO auch in den USA auf der Agenda steht. Gleichzeitig bin ich gespannt, wie das Thema auf der anderen Seite des großen Teichs wahrgenommen wird. Immerhin sind die Vereinigten Statten bei uns nicht unbedingt dafür bekannt, mit Privatsphäre übertrieben verantwortungsbewusst umzugehen.

Als einer der beiden Vortragenden zu Beginn die Frage ins Publikum richtet, wer bisher von der GDPR gehört hat, gehen sämtliche Hände nach oben.

Die beiden Sprecher Dawn Aly und Mark Shropshire tragen die Themen der Session ernsthaft und informativ vor:

  • Bedeutung der GDPR
  • Abgrenzung, wer die GDPR zu befolgen hat.
  • Kontinuierliche Prüfung auf Sicherheitsrisiken in Drupal Websites
  • Security by Design
  • Auswirkung auf Daten, Analysen und Personifizierungsstrategien

Inhaltlich deckt sich der Vortrag mit meinem Kenntnisstand aus Deutschland.

Mit der Angst lässt sich offensichtlich Geld verdienen: da meine Facebook-Timeline derzeit vor Ratschlägen gutmeinender Beratungsagenturen überquillt, möchte ich hier nicht inhaltlich darauf eingehen. Ich gehe davon aus, dass sich jeder bereits über das Thema informiert haben wird.

Session zum Thema GDPR (General Data Protection Regulation) von Dawn Aly und Mark Shropshire auf der DrupalCon Nashville
Das Interesse am Thema ist groß: Die Session findet in einem Raum statt, der meiner überschlägigen Schätzung nach rund 130 Besuchern Platz bietet. Dennoch müssen weitere 15 Personen stehen, die keinen Sitzplatz mehr abbekommen.

Kunstgriff "Privacy Experience"

Auf einer der ersten Folien erscheint das Kürzel "PX", das mir nicht bekannt ist. Ich komme mir wie ein Schuljunge vor, der mal wieder seine Hausaufgaben nicht gemacht hat.

Die beiden erklären das Kürzel auf den folgenden Folien: "PX" steht für Privacy Experience. Ich bin schwerst beeindruckt, wie schnell Amerikaner aus einer Not eine Tugend machen können!

Die Empfehlung der beiden besteht darin, die Anforderungen ernst zu nehmen und als Chance zu erkennen.

Die Sprecher geben durchaus zu, dass sie dem Thema ambivalent gegenüberstehen: Marketer müssen auf ihre liebgewonnenen Datenschätze verzichten. Andererseits sehen sie in diesem unabänderlichen Zustand die Gelegenheit auf einen Wettbewerbsvorteil, dem Besucher eine besondere "Privacy Experience" zu bieten.

Europäische Datenschutzvorschriften sind auch für Amerikanische Unternehmen verbindlich

Ich stelle fest, dass das Thema für Amerikanische Firmen, deren Website für Europäische Besucher erreichbar ist, ebenso relevant ist wie für alle Europäischen Unternehmen: Besucher haben Anspruch auf Auskunft über die über sie gespeicherten Daten. Bei Verstößen drohen Amerikanischen die gleichen drakonischen Strafen wie Europäischen Unternehmern.

"Observation Experience"

Ich denke weiter auf dem Begriff "Privacy Experience" herum und frage mich, welche Auskunftsansprüche der Bürger gegenüber Behörden hat.

Immerhin haben wir es nicht nur mit der Sammelwut kommerzieller Unternehmen zu tun, die unsere Daten vermarkten – Google, Facebook, Apple & Co.

Sicherheitsbehörden bieten uns eine "Observation Experience", indem sie Programme wie XKeyscore entwickelt haben, mit denen sie unser komplettes digitales Dasein erfassen können. Und die von den Software-Herstellern am liebsten Generalschlüssel hätten, mit denen sie unsere verschlüsselte Kommunikation mitlesen können.

Drupal Module rund um Datenschutz

Am Schluss der Session stellen die beiden eine Reihe von Drupal Modulen vor, die helfen, die Anforderungen an die GDPR umzusetzen.

Überrascht stelle ich fest, dass es die Module – mit Ausnahme des Drush Befehls – nur für Drupal 7 gibt, obwohl sie im Jahr 2018 veröffentlicht wurden. Aber das wäre ein Thema für einen anderen Blogpost...