Wächtermodus bei Tesla Fahrzeugen

Wächtermodus bei Tesla Fahrzeugen

Im Rahmen meiner juristischen Bachelor-Seminararbeit habe ich mich mit der DSGVO-Konformität des Wächtermodus bei Tesla Fahrzeugen befasst.

Die Umgebungsüberwachung durch Kameras ist aus dem Alltag nicht mehr wegzudenken. Es ist eine einfache Möglichkeit, die eigenen Rechtsgüter zu schützen, z. B. das Hausrecht zu wahren. Auch auf öffentlichen Plätzen ist Videoüberwachung zum Schutz der öffentlichen Sicherheit und Ordnung nicht mehr wegzudenken.

Fahrer von Fahrzeugen nutzen Dashcams, um besondere Fahrten  mitzuschneiden oder auch um das eigene Fahrverhalten zu optimieren. Videos von Alltagssituationen erscheinen überall im Netz. Sie sind zu wichtigen Inhalten geworden, um die eigenen „Follower“ zu unterhalten. In den meisten Fällen, werden lediglich Personen in alltäglichen Situationen dargestellt.

Auch viele Fahrzeuge verfügen mittlerweile über Videoüberwachungssysteme zum Mitschnitt der Umgebung, in der sie sich gerade bewegen. Die so erzeugten Daten werden gespeichert und für verschiedenste Zwecke verwendet. Auf Parkplätzen sollen eventuelle Schäden am eigenen Fahrzeug nachvollziehbar sein, um ggf. den Verursacher in Regress nehmen zu können. Die Anwendungs-möglichkeiten sind unerschöpflich.

Mittlerweile scheint es gängige und akzeptierte Praxis zu sein, ein alles und jegliches zu filmen, Menschen, die eventuell miterfasst werden, waren dann eben am falschen Ort zur falschen Zeit, das persönliche Interesse des Filmers steht um Vordergrund.

Die Gewöhnung an Film und Bildaufnahmen aller Art, an jedem Ort, ohne die betroffene Person zu fragen, kollidiert jedoch unter Umständen mit den Grundrechten betroffener Personen in Bezug auf ihre eigenen personen-bezogenen Daten.

Die Rechtmäßigkeit der Verarbeitung von Bilddaten, die eine Identifikation der dargestellten Person ermöglichen, unterliegt strengen Voraussetzungen, die sich aus der DSGVO ergeben. Ggf. liegt bei einer Videoaufnahme ein datenschutz-rechtlicher Grundrechtseingriff vor, für den ein genau festgelegter Zweck und eine darauf abgestimmte Rechtsgrundlage zwingend erforderlich ist. Ohne diese Konstellation ist die Erfassung personenbezogener Bilddaten rechtswidrig.

Als Ergebnis ist herausgekommen, der Wächtermodus kann in der vorliegenden Form nicht DSGVO-konform betrieben werden. Aufgrund der Seitenzahlbeschränkung dieser als Prüfungsleistung entstandenen Arbeit, konnten nicht alle interessanten Aspekte betrachtet werden, das Ergebnis bleibt dasselbe.

Die Arbeit kann von Fachkollegen und interessierten Unternehmen per Email angefordert werden.

Ein Nachruf auf die DSGVO

Ein Nachruf auf die DSGVO

Es fing so vielversprechend an, die DSGVO seit 2018 in aller Munde. Endlichsagten die Behörden, endlich bekommt der Datenschutz als Grundrechtsschutz eine Relevanz. Endlich werden wir in Zukunft auch Bußgelder verhängen können, um Nichtbeachtung zu sanktionieren. Endlich werden Betroffenenrechte ernst genommen.

Nun aber scheint die DSGVO gestorben zu sein. Ein Jammer, es folgt: Ein Nachruf auf die DSGVO.

Nachruf auf die DSGVO
Quelle: GDD

Konkurrenz zu Corona

Wie es scheint, konkurriert die DSGVO mit Corona, es geht nur eins, beides nicht. Corona betrat den Laufsteg der Eitelkeiten,  die DSGVO scheint nun uninteressant geworden zu sein.

Eine Nachverfolgung von Infektionen soll umgesetzt werden. Es begann mit Zetteln, s. hier: Corona und Datenschutz.

Trotz der Zettel, die man in jeder Gastro ausfüllen musste und die teils in Glaskästen eingeworfen werden sollten, konnte diese Nachverfolgung nicht erreicht werden. Man hörte von überlasteten Gesundheitsämtern, falsch ausgefüllten Zetteln usw.

Dann kam die allseits gepriesene APP, die angeblich keine pers. Daten erfasst : Corona APP

Die neuesten Ideen

Für die neuesten Ideen wäre wohl früher ein Aufschrei seitens der Datenschützer durch ganz Europa zu hören gewesen. Sicher wäre eine Bewertung nach Art. 9 DSGVO heiß diskutiert worden. Was bleibt? Ein Nachruf auf die DSGVO.

Test- und Impfnachweis

Die neueste Idee lautet ja, möglichst viele Tests durch zu führen, damit wir alle in Sicherheit sind, alternativ kann man sich impfen lassen oder beweisen, dass man genesen ist. Für die gewählte Variante soll ich nun immer einen Nachweis bei mir führen.

Diesen Nachweis soll ich nun auch überall vorzeigen. Handelt es sich hier eigentlich um medizinische Daten? Der Test kann ja nun gar keine Diagnose ersetzen, sondern stellt bestenfalls einen Labortest dar, der zudem auch gar keine Krankheit feststellt und in keinem Labor ausgewertet wurde, da es meist ein sog. Schnelltest sein wird. Wie aber soll der Ladeninhaber, dem ich den Test nun zeigen soll, da irgendwas draus schliessen, ohne medizinische Vorkenntnisse?

Ich frage mich weiterhin, was geht es ihn an? Möchte ich meine medizinischen Unterlagen jedem zeigen, nur, um da einkaufen zu dürfen?

Muss der Ladeninhaber mir eigentlich auch seinen negativen Test oder Impfpass zeigen? Das Gesetz sieht ja vor, dass für alle immer dasselbe gilt. In meinem Impfpass stehen weitere Impfungen und meine Blutgruppe, sowie meine vollständige Adresse. Ich möchte aber nicht jedem meine Adresse und andere medizinische Daten zeigen. Und schon gar nicht, will ich diese in irgendeinem Zentralregister gespeichert wissen. Ganz oldschool „informationelle Selbstbestimmung“, diejenigen, die sich nicht erinnern, können das mal googeln.

Luca oder Sonstwie APP

Nun soll ich mich auch vor Betreten einiger Geschäfte mithilfe einer APP einloggen und beim Verlassen wieder ausloggen. Man könnte annehmen, dies würde ähnlich einer Arbeitszeit erfasst. Muss jetzt eigentlich jeder Ladeninhaber einen ADV Vertrag gemäß Art. 28 DSGVO abschliessen? Wo kann ich einsehen, welche Daten von mir gespeichert werden, bekomme ich eine Information zur Speicherung meiner Daten gemäß Art. 13 DSGVO? Und… kann ich von meinen Betroffenenrechten gemäß Kapitel 3 DSGVO Gebrauch machen?

Ich bin gespannt, ob Betroffene solche Anfragen an einige Geschäfte schicken, die werden sich freuen. Wenn sie keine Antwort bekämen, hätten wir einen DSGVO Verstoss. Das wird ein Spaß!

Abgesehen davon, wie sicher sind denn meine Daten? Wird es wieder mal ein Datenleck geben, das dem Einbrecher, der es auf mein Haus abgesehen hat, die Info gibt, dass ich gerade bei Bäcker Meyer bin und nicht zu Hause? Steht das komplette Blankziehen meiner Person und meiner Bewegungsdaten in irgendeinem Verhältnis zu meinem Einkauf in Laden x, wo ich, sagen wir mal, etwas Schreibwariges im Wert von € 1,50 kaufe?

Für mich jedenfalls nicht, für mich persönlich keine APP, kein Schlüsselanhänger, kein Test, keine Corona Impfung. Es wäre schön, wenn ich das auch weiterhin selber entscheiden dürfte.

Und wenn jetzt von jedem jeder Ladenbesuch gespeichert wird, haben wir eigentlich dann hier eine Massendatenspeicherung? Da kann man sicher viele schöne Dinge auswerten. Heute logge ich mich in Bremen ein und morgen in Husum? Also ich ja nicht, aber nur mal so als Gedanke.

Ein Nachruf auf die DSGVO

Digitalisierung in Schulen, die neue Herausforderung, oder?

Digitalisierung in Schulen

Dank Corona in aller Munde, die Digitalisierung in Schulen. In den Jahren davor wurde geschlafen, nun bräuchte man dringend die Möglichkeiten des Online-Unterrichts, leider geht das nicht so schnell. Interessant auch, dass die Onlinelehre bereits seit 2001 gängig ist, cheyenne-Blog * Digitalisierung in Schulennun haben wir aber demnächst schon 2021. Typisch Deutschland, alles, was schwierig ist und nicht sein muss, wird auch nicht angegangen, nun bekommen wir und leider auch unsere Kinder dafür die Quittung.

Wenn man den Medien Glauben schenkt, dann bräuchte man für die Digitalisierung in Schulen lediglich schnelles Internet, ein paar Tablets und los gehts.

Schade, es fehlt mal wieder an sinnvollen Konzepten, und es ist wie immer, jeder, der ein wenig am PC rumklickert, meint nun, die erforderliche Expertise zu besitzen. Leider ist das aber zu wenig, damit kann man nun wirklich keinen Blumentopf gewinnen! Die Digitalisierung cheyenne-Blog * Digitalisierung in Schulenin Schulen klappt nur mit einem Konzept, das von Leuten erarbeitet wird, die sich sowohl mit Technik als auch mit Didaktik auskennen und auch über die Methodenkompetenz des Online-Lernens verfügen. Wie gesagt, andere machen das bereits seit 2001 oder früher.

Und Methodenkompetenz heißt nicht, dass man Zoom, MS-Teams oder zig andere Tools kennt und es schafft, einem Gegenüber das eigene Konterfei zu zeigen. Damit kann jeder umgehen und sonst lernt man es schnell mit Hilfe von Youtube. Youtube hat ja die „Sendung mit der Maus“ abgelöst.

Onlineunterricht vs. Präsenzunterricht

Schaut man sich in Schulen und Unis mal etwas um, so fehlen genau diese Kompetenzen, um die Digitalisierung zu einem Erfolg zu bringen. Auch an Universitäten, die bereits in der Onlinelehre unterwegs sind, wundert man sich zuweilen über die teilweise überhaupt nicht vorhande Medienkompetenz. Da wird z.B. eine Kamera auf eine Tafel gerichtet, die Lehrende schreibt auf dieser Tafel, mit dem Rücken zur Kamera. Das ist eine tolle Interaktion mit den Schülern, nämlich gar keine. Natürlich gibt es auch viele sehr gute Beispiele. Trotzdem, das sind immer noch zu wenige. Auch scheint vielen Lehrkräften nicht klar zu sein, wo die Unterschiede zwischen Präsenzunterricht und Onlineunterricht liegen. Woher sollen sie das denn auch wissen? Ein kleines verständliches Beispiel von vielen:

Präsenzunterricht

Der Schüler schaut den Lehrer an, der Blick wandert zum Heft, weil er evtl. etwas mitschreibt, dann zu einem Mitschüler, der etwas sagt und zuweilen geht er auch aus dem Fenster. Vielleicht soll der Schüler auch mal an die Tafel* kommen, um dort etwas anzuschreiben. Das Auge justiert sich ständig neu auf die unterschiedlichen Abstände, Farben, Komplexitäten des Bildes u.ä. und auch der Körper ist beteiligt.

Onlineunterricht

Der Schüler sitzt vor seinem Endgerät, z.B. ein PC, und schaut den Lehrer an. Er versucht, gleichzeitig Bild und Sprache zu erfassen und auch mit dem gewählten Tool umzugehen. Je nachdem, welche Methoden der Lehrer online wählt, z.B. Powerpoint, sind die Augen immer gleich justiert. Je kleiner der Monitor, desto anstrengender ist das für die Schüler, und natürlich auch für den Lehrer. Zuweilen wird dazu aufgefordert auch noch digital mitzuschreiben, dann wird es ganz schwierig.

Man kann es sich leicht vorstellen und auch momentan selber erleben. Die Folge sind Konzentrationsstörungen, Kopfschmerzen, Verspannungen u.ä. Die Onlinezeiten von Kindern erhöhen sich um ein Vielfaches im Vergleich zu vorher.cheyenne-Blog * Digitalisierung in Schulen

Fazit: Einen Onlineunterricht kann man einfach nicht genauso durchführen wie einen Präsenzunterricht.

Natürlich haben Onlineangebote auch viele Vorteile, das ist unbenommen, nur ich denke, man muss sie an das Publikum, hier die Schüler, Altersgruppen und Lernziele anpassen.

Die Unterschiede zu erkennen, die technischen Möglichkeiten zu beherrschen, alle Schüler bei der Stange zu halten u.ä. bleibt nun an den Lehrern hängen. Ich stelle mir unter Digitalisierung in Schulen etwas anderes vor.

Trennung zwischen Technik und Unterricht

Kann man wirklich erwarten, dass Lehrer, die mit Digitalisierung einhergehenden Zusatzaufgaben selbstverständlich mit übernehmen und vor allem von selbst und jetzt sofort beherrschen? Ich denke nicht, dass man das erwarten kann. Hier ein paar generelle Punkte, die zu klären wären und die mir spontan aus unseren Digitalisierungsprojekten so in den Sinn kommen:

Generelles

  • Methodenkompetenz bei den Lehrern
  • Nutzen unterschiedlicher Methoden auch online, z.B. Filme, Abstimmungen, Bildschirmfreigaben hin und her, um die Schüler bei der Stange zu halten.
  • Motivationstechnik, Fortschrittsbalken, Selbstlerneinheiten etc.
  • Welche Fächer/Inhalte können auf welche Art digitalisiert werden?
  • Wer kann die Einrichtung der digitalen Inhalte übernehmen?
  • Welche Fächer können evtl. nicht digitalisiert werden?
  • Für welche Altersstufen ist wieviel Onlinezeit vertretbar, müssen auch andere Unterrichtszeiten in Erwägung gezogen werden?
  • Wie kann der Mehraufwand der Lehrer, viele unterschiedliche Lernarten vorzubereiten, aufgefangen werden?
  • Wie kann man gewährleisten, dass die Schüler zum Unterricht auch online sind, wenn z.B. die Eltern außer Haus sind?
  • Datenschutz, IT-Sicherheit etc.

Zu Hause bei den Schülern

  • Gibt es funktionierendes Internet?
  • Gibt es ein geeignetes Endgerät für jedes Kind, kann man das überhaupt von jeder Familie erwarten?
  • Ist ein störungsfreier Arbeitsplatz vorhanden?
  • Wieviele Kinder werden in einem Haushalt gleichzeitig digital beschult?
  • Wer hilft bei technischen Problemen?
  • Müssen/sollen einzelne Schüler vielleicht zu Freunden gehen, um dort teilzunehmen?
  • Wie kann man Lerngruppen koordinieren und einrichten?
  • Wie sollen die Kinder sich verhalten, wenn etwas nicht klappt?
  • Muss man über Prävention in Bezug auf körperliche Probleme nachdenken?

Technik generell (Schule, Lehrer, Schüler)

  • Welche Tools sollen genutzt werden?
  • Welche Endgeräte? Nur, weil der technikaffine Lehrer so gerne ein iPad hätte, ist das vielleicht nicht immer am geeignetsten –> Beispiel: Programmierunterricht, sofern vorhanden
  • Muss es evtl. einen Pool von Leihgeräten geben?
  • Gibt es IT-Support, wenn es zu Hause bei den Schülern nicht klappt?
  • Welche Speichermedien soll es geben?

Das sind nur ganz wenige Fragen, die sich aus meiner Erfahrung spontan stellen. Auch werden diese sicherlich in unterschiedlichen Schulen unterschiedliche Antworten ergeben, je nach Situation vor Ort.

Die Schulen, die ich kenne, haben momentan mitunter gar keine Zeit, sich mit einem solch aufwändigen Projekt wie der Digitalisierung in Schulen zu befassen. Sie sind hauptsächlich damit beschäftigt, ihre Hygienekonzepte an die immer wieder neuen Gegebenheiten anzupassen. Auch hier sind sie keine Profis und es sollte ihnen abgenommen werden, aber das ist ein anderes Thema.

Vielleicht können wir das Digitalisierungprojekt dieses Mal richtig machen, das wäre mein Wunsch. Andere Länder, z.B. in Skandinavien sind da sehr viel weiter als wir es sind. Passt meines Erachtens nicht zu dem vielgepriesenen Industriestandort Deutschland.

*Tafel = Synonym für alle Sorten von Tafeln, Digiboards, Whiteboards etc.

Corona und Datenschutz

Corona und Datenschutz

Kann das Eine ohne das Andere? Muss das Eine ohne das Andere? Haben wir hier Corona und Datenschutzgar eine Konkurrenzsituation? Seitdem wir hier diese Krise haben, drängt sich mir der Eindruck auf, der Datenschutz ist nicht mehr wichtig. Corona und Datenschutz, beides scheint zusammen nicht zu gehen.

Da alle um ihre Existenz kämpfen, vor allem Gastronomen und kleine Dienstleister wie z.B. Friseure, sind sie bereit, alles zu tun, damit sie nun endlich wieder öffnen können. Allerdings habe ich noch keinen getroffen, der die sogenannten Hygienekonzepte sinnvoll fand.

Wenn man nun irgendwo essen gehen will, muss man ja neuerdings seine Daten Corona und Datenschutz handschriftlich hinterlassen. Da die Betreiber keine Ausweise kontrollieren dürfen, schreibt nun jeder irgendwas drauf. Berufsbedingt schaue ich immer etwas genauer hin, oftmals, bleiben die Zettelchen einfach auf dem Tisch liegen. In Husum flogen gar ein paar an der Hafenpromenade entlang.

Was aber viel interessanter ist, auf den meisten Zettelchen steht nicht, was die Betreiber im Anschluß an das Ausfüllen damit machen, insbesondere wo und wie lange sie diese Zettel aufbewahren und auf Basis welcher Rechtsgrundlage!

Und was für ein Irrsinn, ich gehe in Nordfriesland essen, schreibe meine Heimatadresse drauf, ist dann vielleicht mein Haus aufgebrochen, wenn ich wieder nach Hause komme? Bestimmt eine neue Geschäftsidee, früher hat man bei Facebook geschaut, wer gerade im Urlaub ist!

Einige versuchen, dem wenigstens ein wenig zu entsprechen, deshalb hier auch ein paar positivere Beispiele.

Ich wundere mich über die sogenannten „Hygienekonzepte“ sehr. Die DSGVO wurde mit Pauken und Trompeten eingeführt, die Firmen mussten den ganz großen Wurf machen, um schnell die neuen, sehr aufwändigen Dokumentationspflichten zu erfüllen. Wir Datenschützer hatten damals unwahrscheinlich viel zu tun, um diejenigen Firmen zu unterstützen, die gerne alles rechtskonform umsetzen wollten.

Und nun wird dieser Prozess quasi mit Füßen getreten. Ist DSGVO überhaupt noch ernst zu nehmen? Ich bin gespannt, wie die DSGVO „nach Corona“, wenn es Corona und Datenschutzdas denn gibt, gesehen wird. Oder kann der Mensch immer nur eins zur Zeit beachten? Über Klimagretel spricht schließlich auch keiner mehr.

Die Landesdatenschutzbeauftragte von Niedersachsen hat sich Mühe gegeben, nochmal genau aufzuschreiben, wie man es mit den Zettelchen richtig machen kann.

Zu Bedenken gebe ich, dass es vlt. kaum machbar ist, die Zettelwirtschaft DSGVO konform umzusetzen. Aber der Preis ist nun mal „Öffnen gegen Hygienekonzept“.

Bedenklich! Bleibt wachsam!

Siehe auch Corona APP

Datenschutz im Homeoffice

Corona APP

Die Corona APP

Gesundheitsminister Spahn plant eine App, um die Nachvollziehbarkeit der Corona Infektionswege zu gewährleisten. Sein ursprünglicher Plan war, den Gesundheitsbehörden ganz einfach den Zugriff auf die GPS-Daten der Nutzer ganz zu erlauben. Mit der ersten Idee ist er zum Glück gescheitert, nun plant er die Corona APP, wie ich sie nenne.

Wie ist die Idee?

Der Medientenor ist momentan, dass jeder sich diese APP freiwillig installieren kann. Liest man mehrere unterschiedliche Quellen, so soll mit anonymisierten Namen und Standortdaten ein Tracking erfolgen, dass den Nutzer warnt, wenn er mit einem Corona Infizierten Kontakt hatte.

„Nach Angaben des Fraunhofer Heinrich-Hertz-Instituts geht es bei dem Test um einen anonymen Ansatz zur Kontaktverfolgung,  der in voller Übereinstimmung mit der Datenschutzgrundverordnung ist und auch bei Reisen zwischen Ländern über einen anonymen, länderübergreifenden Austauschmechanismus verwendet werden kann“. Persönliche Daten oder Standorte würden dabei weder gespeichert noch übertragen.“

Quelle: https://www.chip.de/news/Stopp-Corona-App-Warum-eine-Smartphone-App-bald-fuer-alle-wichtig-werden-koennte_182589363.html

Wie geht das technisch?

Natürlich arbeiten wie immer die allergrößten Experten an dieser App. Hier die Auswirkungen eines früheren Projektes im Gesundheitsbereich:

https://www.deutsche-apotheker-zeitung.de/news/artikel/2019/09/18-09-2019/spahn-apotheker-aerzte-kliniken-und-andere-fuer-datensicherheit-sensibilisieren

Kurzfazit dieses Spahn-Projektes: Die Praxen waren offen wie Scheunentore und Gesundheitsdaten waren im Netz frei verfügbar. Die „Experten“ kannten nicht mal die Standardsicherheitseinstellungen von Routern.

Zurück zur APP.

Technisch funktioniert die Corona APP über Bluetooth. Das eigene Handy mit der APP, erzeugt eine eindeutige ID und tauscht diese mit anderen Handys, denen man innerhalb der Bluetooth-Reichweite begegnet, aus. Man bekommt also im Gegenzug alle IDs aller Nutzer dieser APP, die sich in der Nähe aufgehalten haben.

Laut Bundeswehr müssen sich andere Personen auf weniger als 1,5 m nähern und dort 2 Minuten bleiben, bevor der Kontakt aufgezeichnet wird. Weiß die APP von einer Infektion des Gegenübers, schlägt sie Alarm.

Anm.: Man geht davon aus, dass bluetooth Schnittstellen von Handys eine Reichweite von ca. 10 m haben, es gibt andere Geräte, die schaffen bis zu 100 m. Aus IT-Sicherheitserwägungen war man bis jetzt immer der Meinung, dass man diese Schnittstelle normalerweise nur anschaltet, wenn sie gerade benötigt wird, z.B. für die Freisprecheinrichtung im Auto, danach schaltet man sie normalerweise wieder aus. Die dauerhafte Aktivität geht zum einen zu Lasten des Akkus und zum anderen zu Lasten der Sicherheit. Schadsoftware kann über Bluetooth sehr leicht eingeschleust werden kann. Wenn man die APP installiert, muss die Schnittstelle dauerhaft aktiv sein, sonst bringt es ja nichts.

Hier ein leicht verständlicher Artikel zum Thema Bluetooth.

Die ID der Corona APP wird über ein neues System namens PEPP-PT generiert. (PEPP-PT: Pan-European Privacy-Preserving Proximity Tracing) Hierbei handelt es sich um das sog. Kontakterfassungs-Framework zur Bekämpfung der Ausbreitung von Covid-19. Könnte man dann bestimmt auch für Grippeepidemien etc.verwenden. Dieses Framework wird gerade noch entwickelt und soll in voller Übereinstimmung mit der DSGVO stehen. Es sollen keine persönlichen Daten, kein Standort, keine MAC-Adresse gespeichert oder übertragen werden.

Folgende Eigenschaften sollen mit dem Framework umgesetzt werden:

  • „Gut getestete und etablierte Verfahren zur Abstandsmessung auf gängigen mobilen Betriebssystemen und Geräten.
  • Durchsetzung von Datenschutz, Anonymisierung, GDPR-Compliance und Sicherheit.
  • Internationale Interoperabilität zur Unterstützung der Rückverfolgung lokaler Infektionsketten, selbst wenn sich eine Kette über mehrere PEPP-PT-Teilnehmerländer erstreckt.
  • Skalierbare Backend-Architektur und -Technologie, die in lokale IT-Infrastrukturen integriert werden kann.“

Quelle: https://www.iuk.fraunhofer.de/de/themen/loesungen-und-kompetenzen-zur-bewaeltigung-der-corona-krise/pepp-pt.html

Wie geht es weiter?

Bei einer Infektion meldet mein Arzt die COVID-19 Infektion dem Gesundheitsamt. Von diesem bekomme ich dann einen Code (TAN-Nummer) den ich in die Corona-App eingeben kann. Wenn das erledigt ist, wird meine Kontaktliste aus der APP an einen zentralen Server übertragen. Dieser Server warnt dann die Personen, die zu den übertragenen IDs auf meinem Gerät gehören.

Datenschutz in der Corona-APP

Rein formal geht die DSGVO davon aus, dass Daten nur für ganz genau eingegrenzte Zwecke und nur in dem notwendigen Maß verarbeitet/gespeichert werden dürfen, wie der Zweck es vorsieht. Kapitel 2, Art. 5 Abs. 1c DSGVO. Allerdings gibt es eine Einschränkung. „…eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken ..“ Kapitel 2, Art. 5 Abs. 1b DSGVO.

Wie ist es allerdings, wenn ich die APP nutze, Coronainfiziert bin und die APP löst dann bei Kontakt einen Alarm aus? Meine pers. Meinung dazu ist: Schwierig! All, die Ängstlichen unter uns, die so eine große Angst davor haben, sich zu infizieren, werden das ganz klasse finden und hurra schreien, es aber Vernunft nennen.

Ein Perspektivwechsel ist hier angebracht!

Beispiel: Jemand war vor 4 Wochen erkrankt, ist genesen, war dann noch zur Vorsicht 14 Tage in Quarantäne und die Corona-APP löst trotzdem einen Alarm aus? Was passiert dann? Vor allem, wenn wir die aktuelle, politisch forcierte Massenpanik mit ins Geschehen werfen? Ich halte das für extrem gefährlich, sowohl gesellschaftlich als auch emotional.

Gemäß DSGVO fällt die Verarbeitung von Gesundheitsdaten unter Art. 9 DSGVO „Verarbeitung besonderer Kategorien personenbezogener Daten“. Der zweite, nicht rechtliche, eher persönliche Aspekt ist, möchte jemand, dass jeder weiß, dass er Corona infiziert ist? Ist das dann so ähnlich wie eine öffentliche Kenzeichnung?

Schaut man sich oben nochmal die genannten Aspekte der Corona-APP an, so ist ein Ziel, die internationale Interoperabilität, hm, wie wahrscheinlich ist es, dass die Daten nicht für anderes benötigt und dann doch umgenutzt werden?

Ein paar Worte zur Anonymisierung

Unter Anonymisierung versteht man den Vorgang, personenbezogene Daten so unkenntlich zu machen, so dass nicht oder nur mit unverhältnismäßig großem Aufwand, auf die betreffende Person rückgeschlossen werden kann. Also fast gar nicht.

Anonymisierung wird allerdings oft, auch von Juristen, mit Pseudonymisierung verwechselt.

Unter Pseudonymisierung versteht man, pers. bezogene Daten z.B. den Namen mit einer Identnummer auszutauschen, so daß ein Rückschluß nicht auf den ersten Blick möglich ist.

Sollte es sich tatsächlich um eine echte Anonymisierung handeln, so findet die DSGVO hier keine Anwendung. Vgl. Erwägungsgrund 26

Technische Aspekte

Im Prinzip haben wir es hier mit Massendatenspeicherungen zu tun. Auch muss natürlich die Bandbreite des Internets mitspielen. Wenn man weiß, dass regelmäßig weniger als 20% der Mautstationen in Betrieb sind, weil die Server und auch die Leitungen es sonst nicht schaffen, könnte diese APP u.U. dazu führen, dass der Ausbau der TK-Infrastruktur mehr forciert wird, da hat man ja die letzten Jahrzehnte ordentlich geschlafen.

Nun die Beschreibung der APP sagt zwar aus, dass alles auf dem Handy bleibt und nur im Bedarfsfall mit TAN übermittelt wird, ja sicher. Wo sollen die ganzen Daten denn hin? Ich gehe entgegen der Beschreibung davon aus, dass die Daten doch auf Server übertragen werden, warum hieße das Prokjekt sonst Framework? Und außerdem hätte man die Ursprungsidee, alle Daten zu sammeln, bestimmt sehr ungern ganz verworfen.

google veröffentlicht Standortdaten

Google hat die Bewegungsdaten von 131 Ländern für jedermann einsehbar herausgegeben. Dies ist unter dem Deckmantel passiert, die Einhaltung der Einschränkungen über die Bewegungsdaten überprüfen zu wollen. Vielleicht brauchen wir diese Corona-APP also gar nicht..

Hier der Link

Wie findet Ihr das nun?

Das google sich noch nie um Datenschutz geschert hat, ist ja sowieso nichts Neues.
Hier nochmal zur Erinnerung ein Artikel über die Datenschutzerklärung von google.

Persönliches Fazit

Da PEPP-PT Framework steckt noch in der Entwicklung, die Corona-APP ebenso. Aus eigener, wirklich langjähriger Expertise, weiß ich, dass Software immer eingehenden Tests unterzogen werden muss. Bei dieser Art des Datentrackings ganz besonders. Ich persönlich halte auch das Risiko, dass genannte Systeme doch nicht so sicher sind, wie beschrieben, für sehr hoch.

Weiter noch stelle ich in Frage, dass es sich wirklich um Anonymisierung handelt, denn wenn das eine Handy Daten an das andere Handy schickt, dann „wissen“ beide Handys, dass etwas geschickt wurde, auch wenn es über eine APP geht. Auch die bluetooth-Schnittstelle hat Sende- und Empfangsdatensätze. Die Erzeugung der ID halte ich auch für schwierig, je nach verwendetem Algorithmus, halte ich eine Rückvollziehbarkeit für wahrscheinlich bzw. sicher, ja sogar gewollt. Jeder, der sich nur rudimentät mit IT auskennt, weiß, dass Prozessoren keine echten Zufallszahlen berechnen können. Ich gehe auch hier davon aus, dass das auch gar nicht gewollt ist, denn Ziel ist ja bekanntlich die Nachvollziehbarkeit der Infektionswege.

Ihr habt es schon geahnt, ich persönlich werde diese Corona-APP, sollte sie je marktreif werden, ganz bestimmt nicht installieren, desweiteren habe ich auch die GPS-Funktion meines Handys ausgeschaltet.

Jeder möge wie immer seine eigenen Schlüsse ziehen.

Querschnittsprüfung

Querschnittsprüfung der LFD Niedersachsen

Die DSGVO ist nun seit geraumer Zeit in Kraft getreten, ein guter Anlass einmal nachzusehen, wie es denn so aussieht. Die LFD hat darum eine Querschnittsprüfung durchgeführt, um sich einen Überblick zu verschaffen.

Die Querschnittsprüfung der Landesbeauftragten für den Datenschutz Niedersachsen fällt sehr mäßig aus. Diese Ergebnisse sind aus meiner Sicht wie erwartet.

50 mittelgroße und große Unternehmen erhielten einen Fragebogen. Mithilfe eines Kriterienkataloges wurde dieser Fragebogen zur Querschnittsprüfung ausgewertet. Das Ergebnis ist wie bereits erwähnt ernüchternd.

9 Unternehmenüberwiegend zufriedenst. Antworten
Querschnittsprüfung32 Unternehmenvereinzelter Handlungsbedarf
9 Unternehmenerhebliche Defizite

Defizite bei der Querschnittsprüfung

technisch-organisatorischer Datenschutz

Der technisch-organisatorischer Datenschutz  soll sicherstellen, dass die Rechte der betroffenen Personen, das sind die, deren Daten verarbeitet werden, angemessen geschützt werden. Hierzu zählen auch Schutzmassnahmen gegen Angriffe, wie z.B. Trojaner, Servereinbrüche, Notfallpläne u.ä.

Die Unternehmen scheinen immer noch nicht verstanden zu haben, dass es hier nicht vorrangig um den Schutz der eigenen Interessen geht, sondern dass der Schutz der verarbeiteten personenbezogenen Daten im Fokus steht.

Datenschutz-Folgenabschätzung

Die Datenschutz-Folgenabschätzung ist grundsätzlich vor der Umsetzung neuer Datenverarbeitungsverfahren zu erstellen, bei denen die Verarbeitung personenbezogener Daten voraussichtlich ein großes Risiko darstellt oder darstellen könnte. Hier soll das Risiko für die Betroffenen-Daten eingeschätzt werden, um das Sicherheitsniveau festzustellen und ggf. zu erhöhen.

Positive Ergebnisse bei der Querschnittsprüfung

Zufriedenstellende Antworten hat es gegeben zu den Themen Auftragsverarbeitung, Datenschutzbeauftragte, Meldung von Datenpannen und Dokumentationspflichten.

Wie geht es weiter?

Die LFD wird natürlich die mit rot bewerteten Unternehmen nachprüfen und dann ggf. auch Bussgelder verhängen. Aber natürlich wird sie diesen Bericht auch dazu nutzen, Unterstützung bei der Umsetzung derjenigen Themen zu geben, bei denen es mit der Umsetzung noch hapert.

20191105_Abschlussbericht_Querschnittsprfung

Im Gespräch mit Dr. Stefan Brink

Im Gespräch mit Dr. Stefan Brink

Am 03.09.2019 hatte ich ein Interview mit Dr. Stefan Brink dem

Dr. Stefan Brink
Quelle: https://www.baden-wuerttemberg.datenschutz.de/pressefotos/.

Landesbeauftragten für den Datenschutz und die Informationsfreiheit in Baden-Württemberg. Dies ist ein Interview der Reihe „Im Gespräch mit“, deren Ziel es zum einen ist, die verschiedenen Kollegen in den Aufsichtsbehörden vorzustellen und zum anderen aufzuzeigen, dass es sich nicht um gesichtslose Behörden handelt.

89%* der 16- bis 24-jährigen in Deutschland nutzen regelmäßig soziale Netzwerke. Die Anzahl der sogenannten Datenskandale steigt. Da fragt man sich, wie sieht es mit der Eigenverantwortung der Bürger aus? Und vor allem, warum gilt die DSGVO nicht für private Nutzer? Ich habe Dr. Stefan Brink einige Fragen erörtert, die Entscheider von Unternehmen, die wir zum Thema betr. Datenschutz betreuen, regelmäßig stellen.

BW: Gibt es in Baden-Württemberg eine erhöhte Konsultation? Und wenn ja, welche Themenbereiche werden besonders oft angefragt?

Stefan Brink: Die Beratungsanfragen sind extrem weit gestreut. Wir haben seit 2017 eine ganz hohe Steigerung in diesem Bereich und freuen uns auch, dass die Unternehmen hauptsächlich, aber auch die Behörden, uns konsultieren. Das ist eine ganz zentrale Fragestellung und ist mitten im Fokus unserer Arbeit. Wir haben in den letzten 2 Jahren über 4000 Beratungsanfragen gehabt und das ist eine tolle Entwicklung.

BW: Können Sie die Anfragen alle bearbeiten, haben Sie mittlerweile eine entsprechende Personaldecke?

Stefan Brink: Ja, wir sind glücklicherweise ganz gut ausgestattet. Wir haben 2017 mit 35 Mann angefangen und sind jetzt bei knapp 65 gelandet. Wir sind also deutlich gestärkt worden. Man muss allerdings zugeben, dass die Zahl der Anfragen und auch die Zahl der Beschwerden, die wir natürlich dann auch noch zusätzlich haben, überfordern uns zum Teil. Deswegen haben wir Anfang dieses Jahres gesagt, okay, wir müssen stärker in die Kontrolle gehen und haben die Beratung leicht zurückgefahren, was aber nicht heißt, dass wir Beratungsanfragen ablehnen, sondern das wir in bestimmten Bereichen erst ein bisschen später zum Zug kommen, wir die Unternehmen also bitten müssen, sich ein bisschen mehr zu gedulden. Das ist manchmal bitter, gerade wenn es z.B. um Startups geht, die gerade vorm Loslaufen stehen und dann doch mal 2, 4 oder 6 Wochen auf uns warten müssen – aber alles kriegen wir zur Zeit tatsächlich nicht hin.

BW: Wie sehen Sie unser Datenschutzniveau in 5 Jahren? Kann der Datenschutz sich bis dahin zu einen echten Qualitätsmerkmal entwickelt haben?

Stefan Brink: Davon gehe ich aus. Das ist auch genau das positive Potenzial, dass in der Grundverordnung drinsteckt. Es wird auch in Zukunft, in 5 Jahren, in 10 Jahren, ein gespaltenes Feld geben.

Es wird Unternehmen geben, die das sehr schön machen und sich auch sehr intensiv um Datenschutz kümmern und es auch tatsächlich offensiv, als Teil ihres Angebots und als Qualitätsmerkmal sehen und es wird andere geben, die das so mehr oder weniger en passant mit betreiben und es ganz ordentlich machen und natürlich wird es auch in 5 oder 10 Jahren immer noch einzelne Unternehmen geben, die auf Lücke setzen und dementsprechend ein gewisses Risiko eingehen.

BW: In unserer täglichen Praxis wird leider auch immer noch gefragt „wie hoch ist das Bußgeld?

Stefan Brink: Genau, das ist ein enormer Treiber. Die Grundverordnung ist zwar in manchen Bereichen sehr formal und auch aufwändig, aber was die Bußgelder angeht, hat sie eine ganz klare Sprache, mit Ansagen von Bußgeldern bis zu 20.000.000 EUR. Unternehmen reagieren auf das Risiko Datenschutzverletzung und verhalten sich in vielen Bereichen positiv und richtig, indem sie sich Knowhow einkaufen oder Mitarbeiter qualifizieren, um das Thema besser in den Griff zu bekommen.

BW: Art 2. DSGVO / sachlicher Anwendungsbereich schließt natürliche Personen zur Ausübung ausschl. persönlicher oder familiärer Tätigkeiten aus. Wieviel Sinn macht die DSGVO, wenn ein Großteil der Nutzer personenbezogene Daten über entsprechende Dienste in die ganze Welt verteilt?

Stefan Brink: Da ist eine gewisse Unwucht in der DSGVO. Auf der einen Seite ist es völlig nachvollziehbar und richtig, dass wir nicht private, oder persönliche Verhältnisse, mit staatlichen Auflagen aus dem Datenschutz überziehen. Andererseits – Sie haben vollkommen Recht – findet tatsächlich eine große Menge der Datenverarbeitung durch Private statt. Auf dem eigenen Smartphone, oder auf dem privaten Rechner und dabei werden natürlich auch viele technische Tools eingesetzt, die ein erhebliches Datenschutz-Potenzial haben, also ein erhebliches Risiko darstellen. Wenn ich z.B. meine gesamten Bilddaten in die Clouds hochlade oder wenn ich über WhatsAPP kommuniziere, da beeinträchtige ich möglicherweise andere Privatleute ganz erheblich. Das ist in weiten Bereichen in der Grundverordnung ausgenommen, was nichts anderes heißt, als, dass der einzelne private Betroffene darauf angewiesen ist, dann auch auf dem privaten Klageweg sein Recht zu verteidigen. Das ist natürlich sehr beschwerlich und den Weg gehen wirklich die Wenigsten.

BW: Meine Daten werden von den Menschen, die meine Kontaktdaten auf ihrem Handy haben und gleichzeitig einen Datencrawler wie z.B. WhatsAPP, google & Co. nutzen, in alle Welt verteilt. Dagegen kann ich gar nichts tun, ich weiß es nicht einmal. Jede Firma, die auch meine Daten hat, müsste in diesem Fall ihren Informationspflichten nachkommen, weil es sich um eine Datenweitergabe handelt. Dies ist für viele Verantwortliche, die von mir betreut werden, schwer zu verstehen, was kann man diesen Entscheidern sagen?

Stefan Brink: Man muss schlicht und ergreifend an das Verantwortungsbewusstsein der Menschen appellieren. Wenn wir die Situation haben, dass in persönlich/familiären Verhältnissen keine DSGVO gilt und wenn wir die Situation haben, dass auch privater Rechtschutz nicht in Anspruch genommen wird, bleibt es eigentlich mehr oder weniger dem Verantwortungsbewusstsein jedes Einzelnen überlassen, wie er mit den Daten umgeht. Da kann man in weiten Bereichen leider nur appellieren.

Man kann auf der anderen Seite sehen, dass auch gerade durch die DSGVO seit Mai 2018 das Datenschutz-Bewusstsein wesentlich größer geworden ist und  auch viel stärker Teil des öffentlichen Diskurses ist und das hat natürlich auch Wirkung auf das Verhalten einzelner Privater. Aber in dem Bereich ist Hoffen angesagt.

BW: In meiner beruflichen Praxis nehme ich eine Art Sorglosigkeit wahr. Wenn jemand an der Haustür klingelt, sind die Menschen misstrauisch, wenn eine APP auf alle Daten ihres Handys zugreifen möchte, aber nicht. Viele speichern Zugangsdaten auf Ihren Handys, benutzen elektronische Portemonnaies und ähnliches, sie geben bereitwillig alle Daten her. An der Haustür würden sie das wohl nicht tun. Haben Sie Ideen dazu, wie man dieses Wahrnehmungsproblem lösen könnte?

Stefan Brink: Ja, das Wahrnehmungsproblem gibt es ganz eindeutig. Das ist eine gespaltene Wahrnehmung – Wir nehmen auf der einen Seite alles, was im virtuellen Raum stattfindet, entweder überhaupt nicht ernst, oder betrachten das als nach wie vor unregulierten Raum der Freiheit, oder eigentlich sogar der Willkür. Auf der anderen Seite sind wir mittendrin in einem Lernprozess, dass das eben einfach nicht stimmt, dass man via Internet genauso Rechte anderer verletzten kann, als wenn man es persönlich und Face to Face macht.

Also, es ist ein Lernprozess.

Auf der anderen Seite muss man sagen, alles was mit netzgestützter Kommunikation zu tun hat, ist natürlich ein Lernprozess für den Menschen an sich. Wir haben das Internet seit Mitte der 90-er Jahre. Ich glaube, wir brauchen tatsächlich mindestens eine weitere Generation, um richtig zu kapieren, was es eigentlich bedeutet, auf diese Art und Weise zu kommunizieren. Die Maßstäbe, die wir im analogen Leben über Jahrtausende aufgebaut haben und immer weiter verfeinert haben, müssen wir dann auch im virtuellen Raum umsetzen. Ich bin deswegen nicht besonders bange. Das ist ein Lernprozess, schlicht und ergreifend und man kann schon sehen, dass die digital natives, also die jüngere Generation, sagen wir mal ganz grob die unter 20-jährigen, die also wirklich von vorne herein mit dem Internet aufgewachsen sind, in vielen Bereichen anders agieren, auch sehr differenziert agieren und dass dieser Lernprozess durchaus stattfindet. Perfekt ist das allerdings noch nicht. Wir müssen als Spezies Mensch lernen, mit diesen neuen Medienprodukten umzugehen und noch können wir das eigentlich in ganz wenigen Bereichen gut.

BW: Wie könnte man generell die Eigenverantwortung von Privatpersonen wieder mehr ins Spiel bringen? Gerade das Internet scheint ein Spielball der Eitelkeiten zu werden, wer bin ich, wer bist Du? Ich kann machen, was ich will. Und so wird lustig drauflos gepostet, auch Bilder von anderen, die gar nicht wissen, dass sie auf einem Photo im Internet veröffentlicht wurden. Hier wird jetzt versucht, die Betreiber der Portale in die Pflicht zu nehmen, aber gepostet hat es doch jemand anders. Wie passt das zusammen? Wird damit nicht die Verantwortung des Einzelnen auf einen Dienstebetreiber übertragen, der letztendlich nur eine Software zur Verfügung stellt und das so vielleicht gar nicht leisten kann?

Stefan Brink: Ja, und vor allem gar nicht leisten will. Die Diensteanbieter, die wir in diesem Bereich haben, sind ja nicht die netten Helferlein für überforderte Private, sondern die verfolgen ja ganz eigene, knallharte Geschäftsinteressen. Da wird sich immer das Interesse, schonend und rücksichtsvoll mit den Daten Betroffener, auch gerade Dritter, umzugehen beißen mit den gewerblichen Interessen des Anbieters. Das müssen wir also schon selbst als Privatperson lernen, in dem Bereich sorgsam, vertrauensvoll und schonend mit den Informationen und auch mit den Rechten Anderer umzugehen. Das ist unsere eigene Aufgabe, da müssen wir dran arbeiten, indem wir in die Schulen gehen mit dem Thema Digitalisierung und Datenschutz. Wir gehen sogar schon in die Kindergärten! Indem wir ganz früh die Kinder im Sozialisationsprozess auf diese Ebene führen und ihnen dort vorführen, was man alles an Schaden anrichten kann und wie man sich gefälligst nicht verhält. Wir brauchen eine „Netiquette“, heute sagt man digitale Ethik. Wir brauchen Regeln, soziale Regeln, Normen, die auch fürs Netz gelten und die müssen schlicht und ergreifend erlernt werden. Die müssen Teil unseres Alltags werden. Dabei auf besondere Unterstützung durch irgendwelche Plattformen zu hoffen, wäre ein Irrweg.

BW: Wie ist es mit der Verantwortung für die Sicherheit auf dem eigenen Endgerät? Hier sind immer mal wieder die Hersteller im Gespräch, man möchte sie zu lebenslangen Sicherheitsupdates zu verpflichten. technisch bestimmt nicht verkehrt, nur beim Nutzer sieht es zu weilen wie folgt aus: Das Gerät kann ruhig € 1000,- und mehr kosten, aber für eine MessengerApp € 3,- zu zahlen, die DSGVO ernst nimmt, weil sie sich eben über den Preis und nicht über die Daten finanziert, ist nicht drin. Wieso nicht auch den Nutzer verpflichten, ein bestimmtes Sicherheitsniveau einzuhalten? Dies könnte z.B. vom BSI bürgernah festgelegt werden?

Stefan Brink: Ja, wobei da die öffentliche Debatte im Netz in eine ganz andere Richtung geht. Ich merke immer wieder, wenn wir als Datenschützer an die Eigenverantwortung der Menschen appellieren, dass wir sofort relativ aggressiv damit konfrontiert werden, dass sei jetzt victim blaming. Da würden wir uns an die Opfer wenden und dem Opfer neue Pflichten auferlegen, dabei seien die Täter die großen Anbieter der Plattformen, die reguliert werden müssen. Ich denke, man muss auf beide Seiten schauen. Auf der einen Seite, dass wir eine Breitenwirkung darüber erzielen, dass wir die großen Anbieter im Netz gut regulieren und auch tatsächlich klar machen, dass die Grundverordnung gilt und wir auch Bußgelder verhängen. Das wir Anordnungen erlassen und schlicht und ergreifend die großen Anbieter datenschutzkonform hinbekommen, das nimmt uns keiner ab, das muss ohne jede Einschränkung geschehen. Darüber hinaus stimme ich Ihnen aber zu, wird das Ganze nur dann rund, wenn wir auch die einzelnen Nutzer in den Blick nehmen und zunächst mal an ihren eigenen Vorteil, an ihren eigenen Nutzen appellieren und sagen: pass mal auf, wenn du dich im Netz auf diese Art und Weise bewegst, schadest du deinen eigenen Interessen.

Aber dann muss noch ein dritter Aspekt dazukommen, dass man dem Einzelnen klar macht, du bist auch in vielen Bereichen Treuhänder. Wenn du nämlich Informationen von Dritten hast, wenn Du Fotos von anderen hast, wenn du Chatverläufe hast u. ä. dann bist du auch verantwortlich dafür, dass diese Daten nicht in die Hände Dritter kommen und dass sie nicht gewerblich von irgendeinem Anbieter benutzt werden können.

Da müssen wir auch noch ganz intensiv aufklären. Ich glaube, diese Punkte gehören alle zusammen und diese Aspekte dürfen nicht gegeneinander ausgespielt werden. In erster Linie würde ich sagen, dass ist auch eine unserer Aufgaben als Aufsichtsbehörde. Wir müssen an die Anbieter ran, aber wir dürfen dabei die betroffenen Bürgerinnen und Bürger nicht vergessen. Da muss ein Lernprozess stattfinden und da gibt es auch eine Verantwortung.

BW: Wie ist das hier mit den Informationspflichten? Das könnten Privatpersonen natürlich nicht leisten, aber sie könnten schon verpflichtet werden, Daten anderer nicht ohne deren Wissen weiterzugeben? Wie sehen die Datenschutzbehörden das?

Stefan Brink: Sehe ich nicht, ehrlich gesagt. Von der gesetzgeberischen Seite her sind wir in einem Evaluierungsprozess, der ist in der Grundverordnung drin. Bis Mai 2022 muss die EU-Kommission klar machen, wo sie die Grundverordnung ändern will. Dass an diesem sogenannten Haushaltsvorbehalt Artikel 2 gerüttelt werden soll, ist nicht zu sehen, da wird es aller Voraussicht nach keine Veränderung geben. Maßnahmen des Gesetzgebers, national oder europäisch, die in diese Richtung gehen würden, sind mir auch nicht bekannt. Wir bleiben dabei darauf angewiesen, dass unsere Privatrechtverordnung funktioniert und das man nicht über die Herausgabeansprüche der Grundverordnung, sondern über zivilrechtliche Informationsansprüche an den anderen privaten Daten-Verarbeiter rankommt. Das ist sehr unbefriedigend und führt in der Regeln nicht dazu, dass tatsächlich die Datenverarbeitung verbessert würde, weil die meisten den Weg vor Gericht scheuen. Und Sie haben vollkommen Recht, ich glaube in 99% der Fälle, weiß ja der Dritte noch nicht mal, dass seine Daten weiterverbreitet wurden. Da kenne ich auch niemanden, der sich bisher im wissenschaftlichen Bereich oder aus dem juristischen Bereich um das Thema bemühen würde, oder Vorschläge entwickelt hätte, wie man das verbessern könnte.

BW: Ich bedanke mich sehr herzlich bei Dr. Stefan Brink für das freundliche Interview!

Weiterführende Links:

Landesbeauftragter für Datenschutz und Informationsfreiheit in Baden-Württemberg

WhatsApp und Datenschutz

WhatsAPP an Schulen

Die AGBs von WhatsAPP

Die Datenschutzerklärung von google

 

*Quelle: https://de.statista.com/themen/1842/soziale-netzwerke/ (Abruf: 03.09.2019 19:25)

Office 365 stell Dir vor, keiner macht mit?

Office 365 stell Dir vor, keiner macht mit?

Ein paar kritische Gedanken zum Thema Cloudcomputing am Beispiel Office 365

Office 365 der Firma Microsoft ist das cloudbasierte MS-Office. Seit ca. 2014 gilt bei Microsoft die Devise „Cloud-first“, dieser Slogan kommt uns doch irgendwie bekannt vor, oder?

Das Konzept ist recht ausgeklügelt, es werden viele Businessanwendungen wie Skype for Business, Microsoft OneDrive und ähnliches angeboten. Hier liegt der Fokus auf dem Wort „Business“ und schon sind wir mitten in der DSGVO. Microsoft besitzt die Daten, deren Eigentümer wir selber sind. Nach DSGVO liegt die Verantwortung für die verarbeiteten Daten aber bei uns, dem Käufer von Office 365. Also wir haften, nicht Microsoft!

Wie kann man DSGVO und Office 365 in Einklang bringen, kann man das denn überhaupt?

Natürlich hat Microsoft einen Auftrags-Datenverarbeitungs-Vertrag  (ADV) bereitgestellt. Microsoft ist der Verarbeiter im Auftrag und muss sich nach den Weisungen des Verantwortlichen der Daten, wie gesagt, das sind wir, richten. So jedenfalls sieht es die DSGVO vor.

Microsoft klärt hier über alle möglichen Fragen zum Thema Compliance/Datenschutz/etc. auf.  Klingt erstmal gut und zugewandt. Das meiste ist sehr allgemein und wenig konkret gehalten.

Weiterhin stellt Microsoft die sogenannte „Prüfliste zu den Verantwortlichkeiten für die DSGVO für Microsoft Office 365 zur Verfügung -> hier lesen

Dieser Katalog gibt zum größten Teil Empfehlungen, welche Einstellungen der Verantwortliche am besten vornimmt, um seine Daten besser schützen zu können. Im Prinzip sind es techn. und organisatorische Massnahmen, vom Auftragsverarbeiter an den Verantwortlichen. Die DSGVO sieht dies aber in anderer Richtung vor.

Beim Lesen stellt sich die Frage, wie es funktionieren kann, wenn der Verantwortliche, der ja nach DSGVO weisungsbefugt ist, dem Auftragnehmer eine Weisung erteilen möchte. Dafür ist dann einer dieser Textbausteine verlinkt, die dem Verantwortlichen etwas von oben herab empfehlen, wie er mit seinen Daten umzugehen hat. Eine konkrete Information wie eine diesbzgl. Weisung an den Auftragsverarbeiter zu richten hat und was dieser dann in welcher Zeit tut, konnte ich hier nicht finden.

Die Einhaltung der DSGVO alleine zu betrachten, empfinde ich immer als ein wenig zu kurz gedacht. Es ist, als hätte ich ein Auto ohne Führerschein, beides geht… DSGVO funktioniert meines Erachtens nur, wenn man die Einhaltung als QM-Massnahme betrachtet, nur dann muss man auch gleichzeitig das Thema IT-Sicherheit betrachten.

Ein Beispiel, das wohl jeder nachvollziehen kann. Ich lege meine Passwortliste in die Cloud (in irgendeine, fremdgehostete), weil ich mir ja nicht alles merken kann und es ja so praktisch ist. Beim Anbieter findet ein erfolgreicher Cyber-Angriff statt. So ein Angriff wird fast immer erst später oder auch manchmal nie erkannt. Und jetzt? Vielleicht wird meine Identität geklaut, vielleicht meine Konten abgeräumt, wer weiß, welche Ideen jemand entwickelt.

Es lohnt sich also, ein paar Sicherheitsüberlegungen im Vorfeld anzustellen und nicht jedem Microsoft-Platin-Partner zu vertrauen. Oder würdest Du, wenn es klingelt und Dir jemand irgendeinen Vertrag (nennen wir ihn ADV-Vertrag) unter die Nase hält, glauben, dass er Deine Bankzugangsdaten besser aufbewahren kann als Du selber?

Weil alles, was irgendwie mit IT zu tun hat, auch irgendwie etwas undurchsichtig ist, muss man sich hier wohl einige Gedanken mehr machen. Für IT gibt es zum Glück die BSI-Grundschutzkataloge. Für einen Brand hat man einen Notfallplan, warum nicht auch für IT-Vorfälle? Hier heißt es dann Incidence response. Hat man ein paar Notfallpläne, weiß jeder, was zu tun ist, es wird schneller reagiert und weniger Spuren verwischt. Während man sich Gedanken macht und Konzepte entwickelt, kann man eine höhere Sensibilität entwickeln und Unsicherheiten abbauen. Danach sollte man noch einmal neu überprüfen, welche Anwednugnen mit Fremddatenspeicherung man wirklich benötigt und ob man bei Konzepten wie Office 365 überhaupt mitmachen möchte.

Sehr modern momentan ist es auch, gleichzeitig die Übertragung der Active-Directory-Domain. Dann kann man die Office-Produkte ganz bequem mit seinen Domänenanmeldedaten aktivieren. Echt jetzt?

Alternativen?

Für alles gibt es immer und überall Alternativen. Oft sind sie sogar preisgünstiger und ein Wechsel läßt sich einfacher gestalten. Jeder betreibt ja heutzutage irgendeinen Webserver und wenn nicht, läßt man sich einen einrichten. Dort könnte man seinen eigenen Clouddienst einrichten. Natürlich kann man auch hier Emails, Dateien, Kalender und alles mögliche teilen. Auch kann man hier seinen eigenen Officeserver aufsetzen, z.B: LibreOffice.

Und nun wird alles durch den Adminstrator des eigenen Vertrauens betreut und DSGVO in Verbindung mit IT-Sicherheit sind plötzlich Peanuts.

Anmerkung

Dieser Artikel ist entstanden, weil mich in meinem täglichen Beratungsgeschäft die Naivität von Geschäftsführern und Inhabern mitunter mittelständischer oder sogar größerer Unternehmen oft wie ein Tsunami trifft.

Beispielphrasen:

  • Machen doch alle, dann muss es doch sicher sein
  • Microsoft, ist doch der Größte, die müssen es doch wissen usw.
  • Ohne WhatsAPP kann man keine Photos schicken
  • bei uns ist doch nichts zu holen
  • geht unendlich so weiter

Es ist mitunter schwierig, in diesen Unternehmen wenigstens ein minimales Sicherheitsniveau zu etablieren.  Hochinteressant, dass viele immer noch ein Urvertrauen in Unternehmen haben, deren Inhaber, sie gar nicht kennen. Cybercrime ist ein einträgliches Geschäft, Bankraub vom Sofa aus, während die Lieblingsserie auf Netflix läuft, oder so. Es gibt zwar nie keine 100-%ige Sicherheit, aber man sollte sich wenigstens Gedanken darüber machen, was man zu verlieren hat. Oft gibt es imUnternehmen die teuerste Alarmanlage, mit Wachdienst, Videoüberwachung u.ä. und dann kopieren diese Unternehmen ihre Geschäftsgeheimnisse in irgendwelche Clouds. Das muss man erstmal sacken lassen.

Deshalb ist dieser Artikel für die, die kein Lichtschwert besitzen, für die anderen nicht 😉

 

13. europ. Datenschutztag 2019

13. Europäischer Datenschutztag – eine Nachbetrachtung

Der 13. europ. Datenschutztag stand unter der Schirmherrschaft der Landesdatenschutzbeauftragten von Nordrhein-Westfalen Helga Block. Er fand zum Thema „8 Monate DSGVO Bilanz und Blick nach vorn“ in der nordrhein-westfälischen Landesvertretung in Berlin statt.

Für Ungeduldige, hier die Links direkt zu den Einzelvorträgen:

Dr. Claus D. Ulmer, Global Data Privacy Officer Deutsche Telekom AG
Auswirkungen der DSGVO un der geplanten ePrivacy Verordnung auf Prozesse und Produkte von Unternehmen

Dr. Markus Peifer, Zentralverband des Deutschen Handwerks e.V. (ZDH)
Der risikobasierte Ansatz im Praxischeck – Die DSGVO im Handwerk

Gerd Billen, Staatssekretär im Bundesministerium der Justiz und für Verbraucherschutz
8 Monate DSGVO – endlich alles gut beim Verbraucherdatenschutz?

Dr. Ulf Buermeyer, Wissenschaftlicher Mitarbeiter des VerfGH Berlin und Vorsitzender der Gesellschaft für Freiheitsrechte e.V. (GFF)

Martin Selmayr, Generalsekretär der europ. Kommission
Europas unabhängige Datenschutzaufsichtsbehörden – Hüter des Datenschutzgrundrechts oder Wächter des Binnenmarktes?

Die Eröffnung durch Helga Block

Frau Block hielt eine flotte Auftaktrede, sie beschrieb die Verunsicherung in der Aeuropäischer Datenschutztag 2019nfangszeit, obwohl die DSGV letztendlich wenig Veränderungen brachte. Es gab ja bereits alles im BDSGalt. Offensichtlich hatten besonders diejenigen Unternehmen Stress, die sowieso Nachholbedarf in Sachen Datenschutz hatten. Für diese kam mit der Erstumsetzung natürlich viel vermeintlich zusätzliche Arbeit dazu. Die vielfach erwartete Abmahnwelle blieb allerdings aus.

Sie beschrieb, dass die große Panik, die verbreitet wurde, bei einigen Beratern zu neuen Geschäftsmodellen geführt hat. Einige Kritiker sprachen nach Ende der Übergangsfrist im Mai 2018 zwar von zu viel Datenschutz, aber im Hinblick auf die letzten Datenskandale passt das für Frau Block nicht richtig zusammen.

Nun haben wir 8 Monate DSGVO, was hat sie uns gebracht.

Auswirkungen der DSGVO und der geplanten ePrivacy Verordnung auf Prozesse und Produkte von Unternehmen

Dr. Claus-Dietrich Ulmer von der Telekom berichtet aus der Sicht eines international agierenden Global Players.

Zunächst wurden Zahlen, Daten und Fakten geliefert, die Umsetzung hat viel Geld und Manpower gekostet. Bei der Telekom waren 550 Mitarbeiter mit der Umsetzung der DSGVO beschäftigt. 4.500 im Einsatz befindliche IT Systeme wurden einer Risikobewertung unterzogen, hier wurde nachgebessert, aktualisiert und sogar abgeschafft. Die Meldungen zu Datenschutzverstößen sind unternehmensweit gestiegen, weil die Meldeschwelle durch die DSGVO gesunken ist. Auf folgenden Themen lag ein besonderer Fokus:

  • Risiko assessment
  • Privacy by Design
  • Betroffenenrechte

Herr Dr. Ulmer geht davon aus, dass die Effektivität der DSGVO durch das Inkrafttreten der ePrivacy Verordnung noch weiter steigen wird. Verbessert hat sich auf jeden Fall die Verlässlichkeit und Rechtssicherheit für Bürger und Unternehmen in der EU.

Ein wenig Kritik gibt es an die Adresse der Behörden. Bei der Telekom fällt auf, dass die nationalen Auslegungsgesetze zum Teil unterschiedlich sind. Auch gibt es bei unseren nationalen Behörden Auslegungsunterschiede. Auch gibt es zum Teil verschiedene Auslegungen zu „unbestimmten“ Rechtsbegriffen, hier werden als Beispiele Daten Portabilität, Umfang bei der Beantwortung von Auskunftsersuchen etc. genannt.

Hier wird als Bitte an die Landesbehörden formuliert, gleiche Bewertungen vorzunehmen bzw. sich künftig hierzu besser abzustimmen.  Klare Entscheidungen mit Signalwirkung gibt es bislang leider nur vereinzelt.

Bestimmte gängige Verfahrensweisen werden durch die DSGVO in Frage gestellt, Beispiel Anonymisierung. Auch gab es in der Vergangenheit vereinzelt Überreaktionen der verantwortlichen Stellen, z.B. beim Thema Klingelschilder. Es werden zum Teil Gesetzeskonkurrenzen neu aufgemacht, gannat wird hier z.B. §15 III TMG. Dies könnte alles etwas optimiert werden.

Letztendlich sind die Regelungen der DSGVO nicht anders als die im BDSGalt.

Die DSGVO bringt gleiche Wettbewerbsbedingungen für alle Player vom Verein bis zum Großunternehmen. Die Offshore-Unternehmen allerdings fühlen sich zum Teil nicht an die DSGO gebunden.

Zitat: „Datenschutz geht durch Ignorieren nicht weg“

Zum Thema Privacy by Design ist eine frühzeitige Einbeziehung der Datenschutzbeauftragten wünschenswert. Hier müssen die Prozesse in den Unternehmen noch besser angepasst werden.

Es wurden noch ein paar Worte zum Thema ePrivacy-Verordnung genannt. Hier dauert das Gesetzgebungsverfahren noch an. Es werden einige Beispiele genannt, welche Änderungen bevor stehen.

Cookies sind danach zulässig für interne eigene Websitedienste, für diejenigen von Drittanbietern ist weiterhin eine Einwilligung der Betroffenen notwendig.

Die pseudonyme Weiterverarbeitung soll nicht mehr zulässig sein, sie wird aber europäischer Datenschutztag 2019unbedingt benötigt. Hier muss man aufpassen dass Lösungen für Zukunftssysteme durch die ePrivay Verordnung nicht verhindert werden:

  • Parkleitsysteme
  • Unfallvermeidungssysteme
  • Netzoptimierung

Die gesetzliche Ausprägung von Datenschutz muss angemessen gestaltet sein. Pauschale Verbote werden der heutigen und künftigen Komplexität nicht gerecht. Innovationen und Kreativität werden durch Angst ausgebremst.

Fazit: Die DSGVO ist eine gute Referenz für den europäischen Binnenmarkt.

>>zur Schnellauswahl

Dr. Markus Peifer, Zentralverband des Deutschen Handwerks e.V. (ZDH)

 

Der risikobasierte Ansatz im Praxischeck – Die DSGVO im Handwerk

Es erfolgt zunächst eine Abrechnung mit der Presse für das Aufbauschen der DSGVO, wie z.B. bei den Klingelschildern geschehen. Die Hysterie verursacht Panik bei den Betrieben und hat die Verordnung in der Bevölkerung lächerlich gemacht, das ist sehr ärgerlich, weil die Verordnung gemacht wurde, um ein gutes Datenschutzniveau bereitzustellen.

Aus der Panikmache wurde zuweilen ein Geschäftsmodell generiert. Der ZDH hat es aber geschafft, bei den Handwerksbetrieben die Aufregung auf ein normales Maß herunter zu dampfen, führt Herr Dr. Peiffer aus.

Bei der Anwendung der DSGVO sollte die Risikoeinstufung für die verarbeitenden Daten maßgeblich sein. In Handwerksbetrieben findet meist eine belanglose Datenverarbeitung statt und aufgrund der meist geringen Personalstärke sind diese Betriebe nicht in der Lage die DSGVO vollumfänglich umzusetzen. Hier müßte es Erleichterungen geben.

Informationspflichten und Verfahrensverzeichnisse verursachen zu viel Bürokratie.

Der risikobasierte Ansatz sollte vollständiger angewandt werden. Es wird nochmal das sehr kleine Risiko bei den Handwerksbetrieben genannt.

>>zur Schnellauswahl

Gerd Billen, Staatssekretär im Bundesministerium für Justiz und Verbraucherschutz

8 Monate DSGVO – endlich alles gut beim Verbraucherdatenschutz?

Die DSGVO hat Vorteile für die Bürger gebracht, die intendierte Abmahnwelle ist, wie vom Ministerium vorausgesagt, ausgeblieben.

Am Beispiel Facebook wird hergeleitet, dass das Marktortprinzip bereits gilt und auch durchgesetzt wird. Viele Unternehmen haben die DSGVO ebenfalls gut umgesetzt.

Es stellt sich allerdings eine ganz andere Frage. Durch die Flut von Einwilligungen, die sich kein Bürger vollständig durchliest, wird leider kein Qualitätsbewußtsein auf Seiten der Betroffenen geschaffen. Es sollte sich doch eigentlich die Frage stellen, welchem Produkt bzw. Unternehmen kann ich vertrauen? Zu diesen Punkten werden mehr Marktuntersuchungen benötigt, um eine bessere Qualität für die Nutzer zu erreichen. Denn die Intention von DSGVO war auch, die Qualität insgesamt zu verbessern.

Damit die Behörden die DSGVO besser umsetzen können, wird hier eine Stärkung durch mehr Personal benötigt. Die 8 Monate DSGVO bis jetzt können als Testphase angesehen werden, es muss jedoch noch viel umgesetzt werden, die momentan herrschende Toleranz ist aber für diese Phase goldrichtig.

Irland ist das Schlusslicht in Bezug auf DSGVO in der EU. Das haben schwierige Gespräche mit den Behörden zu den Themen Google & Co. gezeigt. Hier sind klare Entscheidungen und Prozesse zur Rechtsumsetzung erforderlich. Zel war schließlich eine Harmonisierung der Regelungen innerhalb der EU Mitgliedsstaaten.

Damit DSGVO tatsächlich zu einer Qualitätsverbesserung führen kann, sind neue Konzepte für Verbraucher zu entwerfen.

Beispielsweise sind beim Handykauf immer schon Apps vorinstalliert, die gar nicht vom Benutzer selber entfernt werden können. Hier wäre eine weitere vorinstallierte App wünschenswert, die ein Datennutzungsprotokoll zu allen installierten Apps anzeigt. Dies würde dem Bürger helfen, die Dienste besser beurteilen zu können.

Als weitere Potenziale beim Verbraucherschutz in Sachen Datenschutz wird beim Beispiel die Bildung von Nutzer-Profilen genannt. Welche Kriterien und Algorithmen gibt es hier, das ist viel zu wenig bekannt? Es könnten Algorithmen zur Vermeidung von diskriminierenden Bewertungen im Scoring verbindlich eingeführt werden.

Hier kommt auch die ePrivay Verordnung zum weiteren Schutz der Grundrechte ins Gespräch.

Zitat: “Über Grundrechte, Anonymität etc. verhandeln wir nicht!“

Auch ist die Aktualität von Endgeräten ein wichtiges Thema. Hier könnten Hersteller verpflichtet werden, die Software auf den Geräten für den Lebenszyklus des Gerätes aktuell zu halten, damit die Daten der User geschützt werden. Dies wird als Sache des Herstellers gesehen und nicht als die des Verbrauchers, das müsste wohl als Gesetz formuliert werden, damit es umsetzbar wäre.

Vorstellbar sind auch Treuhänder von Daten z.B. im Bereich Gesundheit, Bewegungsprofiling etc. Herr Billen hätte kein Problem damit, seine Daten einem Institut zur Verfügung zu stellen, dass dann über die Nutzung wacht.

Auch beim Scoring muss geschaut werden, welche Kriterien seriös sind. Dies ist ein zentrales Thema, das Regelungen durch den Staat notwendig macht. Auch bei den regierungsbehörden ist noch Nachbessungsbedarf. Viele Institutionen der Regierung sind noch nicht auf dem heutigen technischen Stand, es werden weit mehr digitale Kompetenzen benötigt.

Zur Umsetzung von Privacy by Design sind mehr Vorgaben für Softwarehersteller notwendig. Auch muss in der Gesellschaft das Bewußtsein für diese Dinge wachsen, das ist wichtig für unsere Freiheit in der Demokratie.

Ethik in der künstlichen Intelligenz wird angesprochen, hier gibt es bereits die
Daten Ethik Kommission, dies ist einzigartig in der europäischen Union.

Erstaunlicherweise gibt es auch bereits Firmen, die sich mit Ethikfragen auseinander setzen, hier wird Miele als positives Beispiel genannt. Hier ist man sich bewusst, dass künftig mehr KI in allen möglichen Geräten (z.B. Küchengeräten) eingesetzt wird und man reagiert darauf, mit der Formulierung von Standards

Stichwort: Code of Conduct

Über alle diese Dinge müssen Diskurse geführt werden.

Auf globaler Ebene ist die EU Vorreiter für Freiheit und freie Entscheidungen der Bürger. Wir haben gute Chancen auf dem Weltmarkt mit unseren Produkten und Ideen zu bestehen.

Fazit: Anfängliche Akzeptanzschwierigkeiten sind aufgelöst. Mit jedem Skandal wird die Reputation der DSGVO verbessert. Dies muss als ständiger Prozess gesehen werden, in dem evtl. später auch Bürokratie verringert werden kann. Mit der ePrivacy-Verordnung entsteht  eine gute Kombination. Digitale Souveränität als Modell für die EU.

>>zur Schnellauswahl

Dr Ulf Buermeyer Gesellschaft für Freiheitsrechte

Privacy by Design – jetzt aber wirklich

Zitat: Art. 25 Abs.1

Software Systeme sind in der Lage durch geschickte Gestaltung Benutzerentscheidungen positiv zu beeinflussen. Roter Knopf, grüner Knopf. Eher wird der grüne Knopf betätigt.

Durch Privacy by Design soll auch die Datenminimierung unterstützt werden. Ein wichtiger Zeitpunkt ist der Entwurf der Systeme, vor der Erfassung von Daten. Der Datenschutzbeauftragte wird meist viel zu spät hinzugezogen.

Voreinstellungen sollten Privatsphäre-freundlich gestaltet werden, Vorgaben können so handlungsleitend werden. Standardtexte werde meist sowieso weggeklickt. Hier sollte der Aufwand für den Nutzer erhöht werden, um Datensparsamkeit zu unterstützen.

Privacy by Design / Grundregeln:

  • Datenminimierung
  • Pseudonymisierung / Anonymisierung
  • Verschlüsselung
  • Transparenz (Datenhoheit des Betroffenen)

Art 83 DSGVO Abs. 1 wird zitiert.

„Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 4, 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.“

Negativbeispiel: Knuddels.de

Hier sind 330.000 Datensätze verloren gegangen, die unter anderem Passwörter im Klartext enthielten.

Hier wurde darauf hingewiesen, dass das schon lange nicht mehr Stand der Technik ist. Dies ist selbstverständlich Bußgeld bewährt.

>>zur Schnellauswahl

Prof. Dr. Martin Selmayr, Generalsekretär der europ. Kommission

Europas unabhängige Datenschutzaufsichtsbehörden – Hüter des Datenschutzgrundrechts oder Wächter des Binnenmarktes?

Es gab anfänglich viel Lärm um die DSGVO, ganz sicher nicht wegen des Inhaltes, denn den gab es ja auch schon vorher. Die DSGVO war eher für die anderen EU-Länder neu. Bei uns sind die Grundsätze des Datenschutzrechtes seit langem wohl bekannt. Zum Beispiel hat auch die Panik um Klingelschilder mit der DSGVO rein gar nichts zu tun. Neu ist nur der deutlich gestärkte Vollzug durch verbesserte Sanktionierungsmöglichkeiten. Angst braucht auch niemand zu haben, denn es gibt natürlich den Grundsatz der Verhältnismäßigkeit. Eventuelle Bußgelder werden passend zum Unternehmen und Vergehen ausgestellt. Intention war auch, dass die Bußgelder dazu führen, dass Datenschutz ein Compliance Thema in Unternehmen wird und das ist auf jeden Fall gelungen.

Auch klar ist, dass es ohne die Aufsichtsbehörden keinen Datenschutz gibt.

„Wo kein Kläger, da kein Richter“

Was ist denn nun neu?

Wettbewerbs- und Grundrechtsgleichheit in Europa greift normalerweise nicht in die nationalen Grundstrukturen ein. Das ist besonders. Die Rechtsgrundlage für die Tätigkeit der Aufsichtsbehörden ergibt sich nun aus EU-Recht, also gibt es klare Vorgaben für alle Mitgliedsstaaten aus Europa.

Es ist kein Wettbewerb entstanden, sondern Harmonisierung.

Auch ist dadurch eine vollständige Unabhängigkeit der Aufsichtsbehörden auf nationaler Ebene entstanden. Die Aufsichtsbehörden sind autark und nicht Bestandteil irgendwelcher Ministerien. Kein Landesdatenschutzbeauftragter kann aus politischen Gründen vorzeitig abgesetzt werden. Die Datenschutzbehörden sind nun Hüter der Grundrechte! Aufgaben und Befugnisse sind direkt in der DSGVO geregelt. Im Zweifel gilt immer die DSGVO nicht die Umsetzung in nationales Recht.

Auch soll durch die DSGVO der freie Verkehr innerhalb der EU sichergestellt werden. Es geht um den Schutz des EU-Binnenmarktes.

Die DSGVO ist das Ergebnis eines sehr langen Prozesses, der genau genommen bereits 2009 begann. Das Thema Datenschutz ist sowieso schon sehr alt, die DSGVO als Weiterentwicklung aber noch jung.

Andere Länder nehmen die DSGVO bereits als Vorbild. So hat Japan Teile der DSGVO nahezu wortwörtlich übernommen. Auch Brasilien, Kalifornien und andere Staaten nehmen die DSGVO als Vorbild für ihre eigenen Datenschutzgesetze.

Nachahmer gibt es mehr als Kritiker. Trotzdem ist eine regelmäßige kritische Betrachtung notwendig. 2020 wird es deshalb einen Evaluierungsbericht zur DSGVO geben.

Es ist, wie es immer ist, die Umstellung ist das Schlimmste, nicht die neuen Regelungen als solches.

Zitat: „Die DSGVO ist in vielen Punkten von gesundem Menschenverstand durchdrungen“

Dennoch die DSGVO ist kein Verbotsgesetz. Die Gespräche darüber sollten sachlich geführt werden die Verordnung ist nicht der Feind der kleinen Bäcker (Zitat angepasst an die Aussagen von Herrn Peifer zu Handwerksbetrieben und DSGVO).

>>zur Schnellauswahl

eigenes Fazit:
Insgesamt war der 13. europ. Datenschutztag eine lohnende Veranstaltung mit guten und fundierte Vorträgen. Auch eine gute Gelegenheit neue und alte Kontakte zu treffen und sich auszutauschen.

Klingelschild und DSGVO
Facebook Datenleck
europ. Datenschutzkonferenz 2018

Datenklau bei Politikern

Datenklau bei Politikern

Datenklau
Quelle: GDD

Aktuell wird überall über einen Datenklau im großen Stil berichtet. Alle Medien sind voll davon, wie schön, es wird nicht langweilig. Es sollen von 1000 Personen des öffentlichen Lebens, also Politikern, Internetstars und anderen Prominenten Daten veröffentlicht worden sein.

Dies soll bereits im Dezember in einer Art Adventskalender bei Twitter passiert sein. Schnell wurde auch ein Verdächtiger ermittelt. Es soll sich um einen bei den Eltern lebenden und in Ausbildung befindlichen 20-jährigen handeln.

Na, das ging schnell!

Die Angelegenheit wird bekannt und ein Verdächtiger wird schnell präsentiert, ok. Als Motiv wurde bei einer Pressekonferenz heute bei Phönix Unzufriedenheit mit Politikern genannt. Warum also das Interesse an den anderen Daten oder einfach, weil man sie so einfach bekommen konnte?

Was wurde denn überhaupt gestohlen bzw. veröffentlicht?

Der Datenklau bei Politikern und anderen bezieht sich nach einem Phönix-Bericht hauptsächlich auf Kontaktdaten, Bilder, Dokumente, also selber eingestellte, nicht verschlüsselte Daten. Googelt man einige der genannten Politiker, so findet man schnell überall auch private Kontaktdaten. Worum geht es also? Ist es einfach nur der Schock über diesen Datenklau? Handelt es sich um einen Diebstahl, wenn man alles auf die Strasse wirft oder bekommt man auch einen Finderlohn fürs Aufsammeln? Wenn sich alles so verhält, wie es gerade berichtet wird, kann man ja nur dankbar sein, darauf aufmerksam gemacht worden zu sein.

Technische Möglichkeiten

Welche technischen Möglichkeiten hat der „Tatverdächtige“ denn genutzt? Das weiß man natürlich nicht so genau, aber wenn man mal schaut, wie einfach man an einige dieser Daten gelangen kann und dann noch den genannten recht langen Tatzeitraum anschaut, dann könnte er sie theoretisch auch abgeschrieben haben. Wenn wir die Geschichte so glauben, kann also nicht von großer Professionalität die Rede sein. Auch konnte man ihn ja schnell ermitteln, also kein Tor Browser oder ähnliches?

Eigenverantwortung

Eine weitere Frage, die sich mir stellt, ist die nach der Eigenverantwortung der Betroffenen. Schnell werden die Verantwortlichkeiten abgegeben, das BSI hätte etwas tun müssen, x und auch y haben versagt. Das finde ich wie immer schwierig.

Wenn es stimmt, dass es sich nur oder hauptsächlich um Kontaktdaten handelt, könnten die Betroffenen auch einfach einmal selber schauen, welche Daten, sie von sich selbst in welchen Netzwerken mit welchen Zugriffsberechtigungen posten. Auch geben sie ja sicher Visitenkarten aus, wo landen die Daten auf diesen Karten, das sollte man, wenn es einem wichtig ist, auch einmal kritisch hinterfragen.

Auch die Frage, wo man denn Daten aufbewahrt, sollten die Betroffenen sich stellen. In irgendwelchen dubiosen Clouds, iCloud, Dropbox? Versand über Webmailer, die nach eigenen Angaben Inhalte von Mails mitlesen? Ist das Datenklau, wenn man alles freiwillig veröffentlicht?

Wenn es vielelicht nicht nur um Kontaktdaten geht, ist dann auch Verantwortung im Amt und Geheimhaltung von Interna ein Thema? Wie gehe ich mit sensiblen Daten um, die mir als Politiker anvertraut wurden?  Wo speichere ich diese? Übernehme ich Verantwortung für die mir zur Verfügung gestellten Daten? Habe ich meiner Sorgfaltspflicht genügt?

Vor allem handelt es sich ja um private Accounts!

Und dann die Passwörter? Für alles das Selbe, weil es ja so schwierig ist, sich alles zu merken? Also ich weiß nicht, mir scheint es recht einfach, es werden Daten bekannt und ich schieße auf das BSI und andere, statt mich an die eigene Nase zu fassen? Oder verlasse medienwirksam irgendwelche sozialen Netzwerke?

Gut gebrüllt Löwe!

Wenn man schon auf das BSI schießt, könnte man doch einfach einmal die von diesem Amt herausgegebenen BSI-Grundschutzkataloge lesen und schauen, was man davon selber umsetzen möchte. Gerade als Politiker könnte man doch die Möglichkeiten des Staates nutzen, um mit gutem Beispiel voran zu gehen.

Für mich scheint diese Angelegenheit momentan sehr unvollständig und unplausibel. Ich werde beobachten, was daraus wird.

Zum Weiterlesen:

Vergabe von Passwörtern
Die Datenschutzerklärung von google
Facebookdatenanalyse
BSI private User