Corona und Datenschutz

Corona und Datenschutz

Kann das Eine ohne das Andere? Muss das Eine ohne das Andere? Haben wir hier Corona und Datenschutzgar eine Konkurrenzsituation? Seitdem wir hier diese Krise haben, drängt sich mir der Eindruck auf, der Datenschutz ist nicht mehr wichtig. Corona und Datenschutz, beides scheint zusammen nicht zu gehen.

Da alle um ihre Existenz kämpfen, vor allem Gastronomen und kleine Dienstleister wie z.B. Friseure, sind sie bereit, alles zu tun, damit sie nun endlich wieder öffnen können. Allerdings habe ich noch keinen getroffen, der die sogenannten Hygienekonzepte sinnvoll fand.

Wenn man nun irgendwo essen gehen will, muss man ja neuerdings seine Daten Corona und Datenschutz handschriftlich hinterlassen. Da die Betreiber keine Ausweise kontrollieren dürfen, schreibt nun jeder irgendwas drauf. Berufsbedingt schaue ich immer etwas genauer hin, oftmals, bleiben die Zettelchen einfach auf dem Tisch liegen. In Husum flogen gar ein paar an der Hafenpromenade entlang.

Was aber viel interessanter ist, auf den meisten Zettelchen steht nicht, was die Betreiber im Anschluß an das Ausfüllen damit machen, insbesondere wo und wie lange sie diese Zettel aufbewahren und auf Basis welcher Rechtsgrundlage!

Und was für ein Irrsinn, ich gehe in Nordfriesland essen, schreibe meine Heimatadresse drauf, ist dann vielleicht mein Haus aufgebrochen, wenn ich wieder nach Hause komme? Bestimmt eine neue Geschäftsidee, früher hat man bei Facebook geschaut, wer gerade im Urlaub ist!

Einige versuchen, dem wenigstens ein wenig zu entsprechen, deshalb hier auch ein paar positivere Beispiele.

Ich wundere mich über die sogenannten „Hygienekonzepte“ sehr. Die DSGVO wurde mit Pauken und Trompeten eingeführt, die Firmen mussten den ganz großen Wurf machen, um schnell die neuen, sehr aufwändigen Dokumentationspflichten zu erfüllen. Wir Datenschützer hatten damals unwahrscheinlich viel zu tun, um diejenigen Firmen zu unterstützen, die gerne alles rechtskonform umsetzen wollten.

Und nun wird dieser Prozess quasi mit Füßen getreten. Ist DSGVO überhaupt noch ernst zu nehmen? Ich bin gespannt, wie die DSGVO „nach Corona“, wenn es Corona und Datenschutzdas denn gibt, gesehen wird. Oder kann der Mensch immer nur eins zur Zeit beachten? Über Klimagretel spricht schließlich auch keiner mehr.

Die Landesdatenschutzbeauftragte von Niedersachsen hat sich Mühe gegeben, nochmal genau aufzuschreiben, wie man es mit den Zettelchen richtig machen kann.

Zu Bedenken gebe ich, dass es vlt. kaum machbar ist, die Zettelwirtschaft DSGVO konform umzusetzen. Aber der Preis ist nun mal „Öffnen gegen Hygienekonzept“.

Bedenklich! Bleibt wachsam!

Siehe auch Corona APP

Datenschutz im Homeoffice

Datenklau bei Politikern

Datenklau bei Politikern

Datenklau
Quelle: GDD

Aktuell wird überall über einen Datenklau im großen Stil berichtet. Alle Medien sind voll davon, wie schön, es wird nicht langweilig. Es sollen von 1000 Personen des öffentlichen Lebens, also Politikern, Internetstars und anderen Prominenten Daten veröffentlicht worden sein.

Dies soll bereits im Dezember in einer Art Adventskalender bei Twitter passiert sein. Schnell wurde auch ein Verdächtiger ermittelt. Es soll sich um einen bei den Eltern lebenden und in Ausbildung befindlichen 20-jährigen handeln.

Na, das ging schnell!

Die Angelegenheit wird bekannt und ein Verdächtiger wird schnell präsentiert, ok. Als Motiv wurde bei einer Pressekonferenz heute bei Phönix Unzufriedenheit mit Politikern genannt. Warum also das Interesse an den anderen Daten oder einfach, weil man sie so einfach bekommen konnte?

Was wurde denn überhaupt gestohlen bzw. veröffentlicht?

Der Datenklau bei Politikern und anderen bezieht sich nach einem Phönix-Bericht hauptsächlich auf Kontaktdaten, Bilder, Dokumente, also selber eingestellte, nicht verschlüsselte Daten. Googelt man einige der genannten Politiker, so findet man schnell überall auch private Kontaktdaten. Worum geht es also? Ist es einfach nur der Schock über diesen Datenklau? Handelt es sich um einen Diebstahl, wenn man alles auf die Strasse wirft oder bekommt man auch einen Finderlohn fürs Aufsammeln? Wenn sich alles so verhält, wie es gerade berichtet wird, kann man ja nur dankbar sein, darauf aufmerksam gemacht worden zu sein.

Technische Möglichkeiten

Welche technischen Möglichkeiten hat der „Tatverdächtige“ denn genutzt? Das weiß man natürlich nicht so genau, aber wenn man mal schaut, wie einfach man an einige dieser Daten gelangen kann und dann noch den genannten recht langen Tatzeitraum anschaut, dann könnte er sie theoretisch auch abgeschrieben haben. Wenn wir die Geschichte so glauben, kann also nicht von großer Professionalität die Rede sein. Auch konnte man ihn ja schnell ermitteln, also kein Tor Browser oder ähnliches?

Eigenverantwortung

Eine weitere Frage, die sich mir stellt, ist die nach der Eigenverantwortung der Betroffenen. Schnell werden die Verantwortlichkeiten abgegeben, das BSI hätte etwas tun müssen, x und auch y haben versagt. Das finde ich wie immer schwierig.

Wenn es stimmt, dass es sich nur oder hauptsächlich um Kontaktdaten handelt, könnten die Betroffenen auch einfach einmal selber schauen, welche Daten, sie von sich selbst in welchen Netzwerken mit welchen Zugriffsberechtigungen posten. Auch geben sie ja sicher Visitenkarten aus, wo landen die Daten auf diesen Karten, das sollte man, wenn es einem wichtig ist, auch einmal kritisch hinterfragen.

Auch die Frage, wo man denn Daten aufbewahrt, sollten die Betroffenen sich stellen. In irgendwelchen dubiosen Clouds, iCloud, Dropbox? Versand über Webmailer, die nach eigenen Angaben Inhalte von Mails mitlesen? Ist das Datenklau, wenn man alles freiwillig veröffentlicht?

Wenn es vielelicht nicht nur um Kontaktdaten geht, ist dann auch Verantwortung im Amt und Geheimhaltung von Interna ein Thema? Wie gehe ich mit sensiblen Daten um, die mir als Politiker anvertraut wurden?  Wo speichere ich diese? Übernehme ich Verantwortung für die mir zur Verfügung gestellten Daten? Habe ich meiner Sorgfaltspflicht genügt?

Vor allem handelt es sich ja um private Accounts!

Und dann die Passwörter? Für alles das Selbe, weil es ja so schwierig ist, sich alles zu merken? Also ich weiß nicht, mir scheint es recht einfach, es werden Daten bekannt und ich schieße auf das BSI und andere, statt mich an die eigene Nase zu fassen? Oder verlasse medienwirksam irgendwelche sozialen Netzwerke?

Gut gebrüllt Löwe!

Wenn man schon auf das BSI schießt, könnte man doch einfach einmal die von diesem Amt herausgegebenen BSI-Grundschutzkataloge lesen und schauen, was man davon selber umsetzen möchte. Gerade als Politiker könnte man doch die Möglichkeiten des Staates nutzen, um mit gutem Beispiel voran zu gehen.

Für mich scheint diese Angelegenheit momentan sehr unvollständig und unplausibel. Ich werde beobachten, was daraus wird.

Zum Weiterlesen:

Vergabe von Passwörtern
Die Datenschutzerklärung von google
Facebookdatenanalyse
BSI private User

Tag x nach DSGVO

Tag x nach DSGVO

Es ist mir ein Anliegen! Wo stehen wir am Tag x nach DSGVO?

Tag x nach DSGVO
Quelle: GDD.de

Egal wo man hinkommt, man wird mit Stilblüten in Bezug auf DSGVO konfrontiert. Das Schlimme ist, alle haben Zeit investiert und sich Mühe gegeben. Ich denke, man sollte es mit Humor sehen und eine Daily Soap draus machen.

Ich würde auch gerne jetzt und hier auf eine Yogaseite verlinken, damit sich alle endlich mal wieder etwas entspannen.

Ich versuche mal ein paar Punkte zu schildern und das ganze zu relativieren.

Die eine Fraktion „Wir müssen das nicht“

Ich treffe gerade in Vereinen auf Aussagen wie „Wir müssen das nicht machen“, wir sind zu klein.

Leute! Es geht nicht um Euren Verein, Ihr könnt Euch nicht aussuchen, ob Ihr den Datenschutz umsetzt.

Es geht um die Personen, deren Daten Ihr speichert.

Und Datenschutz ist Grundrechtsschutz, nun akzeptiert es endlich! Die Personen, deren Daten Ihr speichert, verarbeitet, what ever haben ein Grundrecht auf den Schutz Ihrer Daten, also die Einhaltung der DSGVO durch Euch!

Man kann sich auch nicht aussuchen, ob es sich um, ich nenne es mal „einfache“ personenbezogene Daten Art. 4 DSGVO handelt oder gar um die Verarbeitung besonderer Kategorien personenbezogener Daten Art. 9 DSGVO. Hier ist das Gesetz eindeutig, man muss sich daran halten und sensibel damit umgehen.

Diese besonderen Kategorien also z.B. Zugehörigkeiten zu ethischen Bünden, ethnische Herkunft etc. es gibt wirklich Menschen, die einen Nachteil oder sogar Gefahr für Leib und Leben zu befürchten haben könnten, wenn diese Daten irgendwo bekannt werden. Also lasst sie das selber entscheiden, wie relevant diese Informationen in ihrem Leben sind. Wenn ihr sie nicht benötigt, dann speichert letztere gar nicht erst!

Und! Die DSGVO ist wirklich so formuliert, dass sie jeder! verstehen kann. Die Menschen mit der größten Panik frage ich mitunter, ob sie denn die DSGVO einmal gelesen hätten. Haben sie meist nicht, kann man aber, ist wirklich einfach.

Also ooooom

Die andere Fraktion „Wir dürfen gar nichts“

Dann gibt es die andere Kategorie, gerade seit Anbeginn der Zeitrechnung nach DSGVO bei vielen Ärzten/Tierärzten gesehen. Diese Menschen sind so verunsichert, dass sie denken, dass sie mit niemandem mehr kommunizieren dürfen, ohne demjenigen ein 12-bändiges Werk an Einwilligungen abgerungen zu haben.

Hier soll man z.B. Einwilligungen dafür unterschreiben, dass telefonisch ein neuer Termin vereinbart werden darf, falls der Arzt verhindert ist. Gleichzeitig werden aber Kontaktinformationen von Dritten erfragt, die die Praxis anrufen kann, falls sie einen selber nicht erreichen können. Es werden Pauschaleinwilligungen verlangt für die Weitergabe von Daten an Labore, Hausärzte etc.

Halllooooo? Aufwachen!

Wir versuchen es mal mit logischem Denken. Ich willige nicht ein, dass die Praxis mich anrufen darf und nun? Kann die Praxis mich dann nicht anrufen, auch nicht, um mir Befunde mitzuteilen?

Was ist mit dem Behandlungsvertrag? Ich komme schliesslich in die Praxis, nachdem ich telefonisch mit dem Empfang dort einen Termin vereinbart habe. Meine Daten wurden erfasst, sie können ja auch schlecht x in den Kalender schreiben. Nun komme ich und lasse mich untersuchen, hier habe ich einen Vertrag mit Ihnen abgeschlossen, natürlich können Sie mich zu dieser Behandlung kontaktieren.

Etwas anderes wäre Werbung. Werbung steht nicht in Verbindung mit unserem Behandlungsvertrag, hier wird eine Einwilligung benötigt.

Ich habe dann einen der Ärzte einmal gefragt, woher er denn diese abstrusen Dokumente habe. Natürlich! Von einem Kollegen abgeschrieben und der hat sie auch abgeschrieben und und und. Wie in der Schule, die ganze Klasse hat eine 5 in Mathe, weil sie von der falschen Person abgeschrieben hat. Oje!

Spaß beiseite, hier sieht man, welch großen Unsicherheiten es am Tag x nach DSGVO immer noch gibt.

Übrigens! In keiner Praxis habe ich eine Information zu Art. 12 DSGVO Transparente Information etc. bekommen. Auch die Einwilligungen ansich waren in Form und Inhalt so gut wie nie DSGVO-konform, viel Papier mit abstrusen Inhalten.

Was keiner verstanden hat, sind die Punkte Zweckbindung und Datensparsamkeit, hier werden alle Kontaktinformationen, die man haben kann abgefragt. Nun ja Jäger und Sammler halt.

Wo stehen wir also am Tag x nach DSGVO? Es gibt noch viel zu tun!

Meine Empfehlung

Die DSGVO ist in einigen Punkten sicher noch nicht ausgereift, es werden auch von den Aufsichtsbehörden immer wieder Informationen nachgeschoben. Aber die Grundlagen, die kann man wirklich so umsetzen, das kann man schaffen.

Hier die DSGVO-Online
Hier ein Link zut Landesdatenschutzbeauftragten von Niedersachsen

Und wenn man meint, das schaffe ich nicht, das nervt mich! Also, ich kann es verstehen, dann bucht man mal für 1-2 Stunden eine Beratung und das war es!

….und entspannt Euch endlich mal, wir haben am Tag x nach DSGVO, irgendwann wird das alles für alle selbstverständlich sein!

Facebook Algorithmus HOAX

Facebook Algorithmus HOAX

Bekommt Ihr momentan auch immer wieder mal so einen Post zum Thema Facebook Algorithmus?

Gute Freunde, Alte Freunde, Dicke Freunde, Geschäftsfreunde, Bekannte, Facebook-Freunde und – ach einfach alle 😀😍🤗
ich springe auch auf den Zug und ändere diesen Facebook Algorithmus, da ich merke, dass ich nicht mehr so viele Posts meiner Freunde sehe.
Hier ist nun, wie man es vermeidet, immer von den gleichen 25 FB-Freunden und niemand anderem zu hören. Dieser Post erklärt, warum wir nicht alle Posts von unseren Freunden sehen. Ich dachte, wenn ich dir auf Facebook folge, würde ich sehen, was du postest. Nicht mehr.
Der Newsfeed zeigt zuletzt nur noch Beiträge von denselben wenigen Leuten, etwa 25, immer wieder die gleichen, weil Facebook einen neuen Algorithmus hat.
Das System wählt die Leute aus, die Deinen Beitrag lesen werden. Allerdings würde ich gerne für mich selbst wählen. 😤 Deshalb möchte ich Dich um einen Gefallen bitten – Wenn Du diese Nachricht liest, schreibe mir einen kurzen Kommentar, ein „Hallo“, einen Aufkleber, was immer Du willst, so wirst Du in meinem News-Feed erscheinen. Ansonsten wählt Facebook aus, wen es mir zeigen soll und ich brauche kein Facebook, um meine Freunde auszuwählen!
Zögere nicht, diesen Text zu kopieren und an deine Wand zu posten, damit du mehr Interaktion mit all deinen Kontakten hast und das System zum Teil umgehen kannst.
Halte deinen Finger irgendwo in diesen Post bis „kopieren“ erscheint. Klicke dann auf „Kopieren“. Gehe nun auf Deine Seite und mit „Einfügen“ kannst Du den Text dann posten.
Super! Du hast gerade kopiert und eingefügt !! Du wirst nun hoffentlich wieder mehr News von Deinen Freunden sehen.
Mal sehen, ob es klappt, Ihr seid mir diesen Versuch wert!

Mein erster Gedanke war „echt? schon wieder“? Und es sind immer dieselben, die sowas posten,  das sind auch diejenigen, die meinen, man könne mit Massenposts den Facebook-AGBs widersprechen.

Facebook Algorithmus / Der Aufstand der aufgeregten User

Ein Algorithmus ist grundsätzlich ein fest programmierter Ablauf (oder diverse), den kann man nicht beeinflussen, er steckt halt fest in der Programmierung.

Facebook  funktioniert über Relevanz, diese wird gemessen über Häufigkeit postings pro User, Likes, Interaktionen anderer User usw. Über die Relevanz der Posts von Usern laufen auch die Werbeangebote, würde Facebook die Anzeige der Threads wirklich auf 25 User begrenzen, so würde ja die eigene Geschäftsgrundlage beschädigt.

Einige scheinen sowas zu glauben und schliessen sich dem Aufstand der aufgeregten User an, also bitte!

Im Ernst: Die Geschäftsgrundlage von Facebook ist, Werbung durch bestmögliche Vorauswahl an möglichst viele passende User zu verteilen, die Anzahl 25 spielt hier sicher keine Rolle.

Facebook Algorithmus / Relevanz und Sommerloch

Habt Ihr schonmal überlegt, dass hier gerade die Ferien beendet sind, und dass es deshalb ein Sommerloch gegeben haben könnte?  Es kursieren ja auch Gerüchte, dass Facebook in der Beliebtheitsskala der Benutzer etwas abgerutscht ist. Aha!

Die Werbeeinnahmen sinken, wenn wenige User interagieren!

Was macht also Facebook, um sich wieder in den Fokus zu rücken? Jaaaaa, ein weiterer Kettenbrief, á la „kopiere dies in Deinen Status„. Und alle machen mit und agieren wie gewünscht, Facebook sagt danke. Ist natürlich nur eine naheliegende Vermutung, aber wer hätte sonst ein Interesse?

Facebook Algorithmus / wie jetzt

Postet doch einfach mal interessantere Dinge als tanzende Katzen und das 333 Meeresbild, dann bekommt Ihr likes und werdet gesehen. Und noch was, man könnte auch einfach mal nachzählen, ich habe weit mehr als die besagten 25 unterschiedlichen User in meiner Timeline.

Ironie an: Zu Hause ruft Euch keiner an? Ok, machen wir Massenanrufe empörter Telefonnutzer, ruft einfach alle an, die Ihr kennt. Ironie aus.

Stellt Euch vor, es kommt ein Kettenbrief und keiner macht mit. Und schon hat die Manipulation ein Ende, aber Ihr entscheidet das natürlich selber, mein Anliegen war nur, hier ein wenig aufzuklären.

Facebook AGBs

Im Gespräch mit dem URV

Im Gespräch mit dem URV

Hier mein Interview für den URV zum Thema Datenschutz. Es ist eine Art lastminute Empfehlung geworden, denn wer die DSGVO jetzt immer noch nicht umgesetzt hat, der hat es wohl auch immer noch nicht verstanden.

Im Rahmen meiner Tätigkeit schaue ich mir auch immer wieder einmal Webseiten an, erstaunlich wie wenige verstanden haben, was zu tun ist. Auch gerade Agenturen sind oftmals sehr schlecht aufgestellt, man kann sich also nicht unbedingt darauf verlassen, dass der Dienstleister es schon richtig machen wird. Verantwortlicher im Sinne des Gesetzes ist eben der Geschäftführer, der auch verantwortlich für die Inhalte der Seite ist. Er steht deshalb auch im Impressum.

Eigentlich ist es einfach, es steht alles in der DSGVO. Wenn man einmal meine anderen Interviews liest, kann man auch sehen, dass die Behörden davon ausgehen, dass dieses Gesetz so gemacht ist, dass gerade auch Nicht-Juristen damit arbeiten können. Datenschutzbeauftragte sind in den seltensten Fällen Juristen und diese Konstellation ist europäisch so gewollt. Datenschutz ist Grundrechtsschutz, jeder kann die Inhalte verstehen.

Auch die Landesbehörden geben viele Hilfestellungen, hier z.B. Niedersachsen.

Hier das fertige Interview für die URV-Mitgliederzeitschrift, Seite 10.

Datenschutz im Verein

Datenschutz im Verein

Datenschutz im Verein, wie geht das? Ist das machbar nach DSGVO? Das geht doch gar nicht, ist alles viel zu aufwändig, wir machen das ja schließlich im Ehrenamt. In diesem Tenor sind die Fragen und Ängste, die mich in Bezug auf Umsetzung der DSGVO erreichen. Ich möchte mit diesem Artikel etwas aufklären und die Ängste nehmen.

DSGVO wird in der Presse sehr aufgebauscht, soviel neues ist aber gar nicht hinzugekommen. Das BDSG gab es schon vorher, es wurde lediglich erneuert, auch da schon mußte der Datenschutz im Verein eingehalten werden.

Ich sehe das als Barometer, diejenigen, die jetzt besonders aufgeregt sind, das sind diejenigen, die neu in das Thema Datenschutz einsteigen. Das heißt also, diejenigen, die sich vorher gar nicht darum gekümmert haben. DSGVO kommt  auch mit neuen Bußgeldern um die Ecke, das erhöht natürlich die Relevanz, also ist das Arbeitspaket für die bisherigen „Nichtdatenschützer“ ungleich höher. Die anderen, werden wenig Last mit dem Datenschutz im Verein haben, wenn sie ihn denn vorher schon ernst genommen haben.

Es ist also machbar, man kann gute und bequeme Wege finden, um dem Datenschutz im Verein genügend Raum zu geben.

Man muss nur endlich mal mit einer Bestandsanalyse anfangen und alle mit ins Boot holen. Im Ehrenamt finden sich ja ganz verschiedene Menschen zusammen, da ist Information natürlich ein wichtiges Thema.

Normale Vereine

Hierbei muss man sich anschauen, welche Daten anfallen und ob sie wirklichalle benötigt werden. Wir betrachten mal ein paar Beispiele: Reitverein, Sportverein, Kaninchenzüchter, Arbeitgeberverände etc. ich habe die Überschrift „normale Vereine“ genannt, um eine Unterscheidung treffen zu können s.u.

Diese Vereine verarbeiten natürlich personenbezogene Daten, hier kommen ganz normal DSDVO Kapitel 2 Abs 5ff in Betracht.

Die DSGVO bringt mehr Dokumentations- und Informationspflichten mit sich.  Eigentlich Selbstverständlichkeiten, diejenigen die bereits im Thema sind, müssen sicher nur Feinschliff machen, um dem Datenschutz im Verein gerecht zu werden.

Aber die Informationspflichten haben sich erweitert, man muss jeden Betroffenen, darüber informieren, welche Daten über ihn gespeichert werden und zu welchem Zweck. Ok, dafür braucht man also einen Prozess, wo gibt es diesen Fall, wer bearbeitet ihn, wie wird er dokumentiert?

Ein Beispiel: Jemand interessiert sich für den Verein und möchte gerne einen Termin vereinbaren. Der Verein nutzt ein „bequemes“ Contentmanagementsystem für seine Webseite, sagen wir mal WordPress.

Da könnte man das Kontaktformular gleich so gestalten, dass es nach dem Abschicken eine automatische Antwort an den Absender sendet. Beispiel abgekürzt:

„Vielen Dank für Ihre Anfrage…..
zur Bearbeitung Ihres Anliegens speichern wir die folgenden Daten von Ihnen:

Vorname
Nachname
Mailadresse

Die Daten werden nur zur Bearbeitung dieser Anfrage verwendet und nach Abschluß Ihres Anliegens von uns unwiderbringlich gelöscht………..“

Und so weiter, hier wäre man nun der Informationspflicht schon nachgekommen und alles geht automatisch, also wenig Arbeit. Mit Anfragen, die per Mail kommen, könnte man genauso verfahren, man erstellt sich eine Mailvorlage, die man in diesen Fällen immer benutzen kann.

Das ist nur ein Beispiel wie der Datenschutz im Verein smart gestaltet werden kann.

Natürlich muss man sich auch über andere Themen Gedanken machen, z.B. das Postgeheimnis. Wer bekommt welche Email, wie kommt der Verein bei einem Austritt der Person an diese Daten, wie werden sie übergeben an den nächsten Amtsinhaber, wer hat Zugriff auf den PC und die Mailadresse, lesenhier Angehörige mit…

besondere Vereine

Beispiele: Parteien, Gewerkschaften, Freimaurerlogen u.ä.

Dies sind alles Vereine, die Daten verarbeiten, die in Bezug zur pers. Meinung, Weltanschauung u.ä. stehen oder bei der die Zugehörigkeit zu einem solchen Verein bereits genau das ausdrückt.

Hier käme dann zusätzlich DSGVO Kapitel 2 Abs. 9 in Betracht:

„Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.“

Ein weiteres Zitat aus dem Datenschutzjahrbuch 2018 der Gesellschaft für Datenschutz und Datensicherheit (GDD) :

Datenschutz im Verein

Hier wird die Begrifflichkeit nochmal genauer abgegrenzt und mit Beispielen unterlegt.

Es sind besondere Massnahmen erforderlich, in Bezug auf den wirklichen Schutz dieser Daten. Meistens ist es ja auch so, dass solche Vereine sich eine Geheimhaltung ihrer Mitglieder zusätzlich selbst auferlegt haben, das sollte man dann auch umsetzen, denn es gibt Menschen, die persönliche, oder berufliche Nachteile durch das Bekanntwerden einer Mitgliedschaft in z.B. einer bestimmten Partei oder auch in einem Geheimbund zu befürchten haben.

Dieser Punkt ist besonders wichtig in Bezug auf den Datenschutz im Verein. Diese Teile der DSGVO sind aber auch keinesfalls neu, es gab sie vorher schon.

Es ist auch ganz wichtig zu betrachten, wo werden die Mitgliedsdaten gespeichert? Wie und wo und durch wen werden sie gesichert? Darf soetwas von Vereinsfremden durchgeführt werden, denn dort könnten dann die Daten eingesehen werden etc. Wer hat Zugriff auf die Rechner, an denen diese Daten verarbeitet werden.  Hier muss sehr sensibel agiert werden. Nochmal deutlich, hier geht es um den Schutz der Persönlichkeitsrechte der einzelnen Mitglieder, nicht um darum, was der Vorstand will. DSGVO kann man auch nicht durch Abstimmung aushebeln.

Auch ist zu überlegen, ob eine sogenannte Datenschutzfolgenabschätzung erstellt werden muss. Es könnte bei Bekanntwerden dieser Daten einen großen immateriellen Schaden für den oder die Betroffenen bedeuten, dafür sieht die DSGVO eine Abschätzung der Folgen vor.

Vereine mit minderjährigen Mitgliedern

Auch hier gelten erweiterte Regelungen, um die Persönlichkeitsrechte von Kindern zu schützen. Da ich in diesem Bereich nicht tätig bin, gehe ich an dieser Stelle nicht genauer darauf ein.

Fazit

Man muss sich darum kümmern, aber es ist mit vertretbarem Aufwand machbar. Man muss auch kein Jurist sein, das DSGVO und das BDSG sind meiner Ansicht nach, zwar nicht in allen Punkten eindeutig aber dennoch gut zu verstehen und es gibt auch genug Hilfestellungen im Netz.

Das war nur ein Kurzabriss für Vereinsfunktionäre, die gerade beginnen, sich mit diesem Thema auseinanderzusetzen.

Europäischer Datenschutztag – eine Nachbetrachtung

12. Europäischer Datenschutztag

Der 12. europäische Datenschutztag stand unter der Schirmherrschaft der Landesdatenschutzbeauftragten von Niedersachsen Barbara Thiel. Er fand zum Thema digitale Souveränität in der niedersächsischen Landesvertretung in Berlin statt.

Die Eröffnung durch Barbara Thiel

Die Eröffnung sprach Frau Thiel, wie gewohnt zuversichtlich in Bezug auf das schwierige Thema.

Die Vortragenden sprachen unter anderem davon, dass die DSGVO die Chance bietet, eine Art Datenschutzkodex zu etablieren. Es geht um Menschenwürde, freie Entfaltung der Persönlichkeit und Persönlichkeitsrechte auch im Web. Deutschland ist hier ein Vorreiter. Bisher haben von den Mitgliedsstaaten nur Österreich und Deutschland die DSGVO in nationales Recht umgesetzt. Wir können froh sein, Europa ist momentan der Maßstab für den Datenschutz und hat damit die Chance, diesen Standard auf Themen wir künstliche Intelligenz, elektronische Beweisführung u.ä. anzuwenden.

Ja, digitale Souveränität, ich hatte ja bereits vor der Veranstaltung meine Gedanken dazu kundgetan .

Interessant war der Vortrag von Frau Renate Nikolay. Kabinettchefin der EU-Kommission für Justiz, Verbraucherschutz und Gleichstellung. Auch sie sprach von einer europäischen Datenschutzkultur über die selbst Unternehmen wie Facebook & Co. froh sind, da sie nun einen Standard anwenden können, der weltweit anerkant ist.

personenbezogen – nicht personenbezogen

Prof. Dr. Nikolaus Forgó von der Universität in Wien sprach darüber, dass es schwer ist, personenbezogene Daten von nicht personenbezogenen Daten zu trennen. Er brachte das Beispiel einer Fitness-APP, die die „anonymisierten“ Nutzerdaten dazu verwendet, Kartenmaterial zu erweitern. Oftmals ist es eben durch die kluge Verkettung von vermeintlich nicht personenbezogenen Daten möglich, die tatsächliche Person zu identifizieren.

Er nannte vermeintlich kostenlose Dienste „over the top“ Dienste. Der Preis für die kostenlosen Dienste sind die Daten.

Auch nichts Neues, nur neue Beispiele, sehr kurzweilig vorgetragen.

netzpolitik.org hat das Beispiel sofort aufgegriffen 😉

Algorithmenethik

Dr. Sarah Fischer von der Bertelsmannstiftung sprach über Algorithmenethik.  Algorithmenbasierte Systeme haben den Zweck, Diskriminierungen zu vermeiden, trotzdem kämen Diskriminierungen vor. Sie nannte ein Beispiel aus den USA, in dem Menschen mit dunkler Hautfarbe diskriminiert wurden. Hier stellt sich mir sofort die Frage, warum man die Hautfarbe erfassen muß, wofür benötigt man diese Information? Also eigentlich überhaupt kein Agorithmenproblem, sondern ein Prozessproblem. Sie schlug unter anderem vor, den Quellcode von Softwareprodukten durch Experten genauer auf Schwachstellen, die zu Diskriminierungen führen können, genauer zu untersuchen.

Nun, ja, als Softwareentwickler hat mich dieser Vortrag in Erstauen versetzt. Ich entwickle Software seit 1986, diese Herangehensweise erscheint mir in einer Kurve hängengeblieben zu sein. Der Auftraggeber bestimmt die Algorithmen und der Kontrollzwang wohnt eben in jedem Menschen, natürlich werden Algorithmen bewußt dazu genutzt, um vermeintlich nicht beeinflußbare Auswahlverfahren dazu zu nutzen, eben doch die gewünschte Auswahl zu treffen. Hier hilft die Überprüfung der Anwendung zum Thema Datensparsamkeit.

Eher ein Vortrag mit sozialwissenschaftlicher Herangehensweise.

netzpolitik.org

Ein Highlight während des europäischen Datenschutztages war für mich Markus Beckedahl von netzpolitik.org. Mir gefiel auch, dass dies kein Vortrag war, sondern mit dem Moderator der Veranstaltung als Gespräch gestaltet wurde. Hier kamen Statements aus der Praxis, auch die Ambivalenz zwischen gesetzlichen Datenschutzregelungen und wirtschaftlichen Interessen wurde thematisiert. Hier wurden unsere Kanzlerin Frau Merkel und Herr Dobrindt zitiert, die natürlich in Bezug auf die Daten gerne aus dem Vollen schöpfen würden und die DSGVO mehr als Wirtschaftsverhinderungsinstrument ansehen. Natürlich, auf der einen Seite ist Datenhaltung wichtig für die Unternehmen, auf der anderen Seite steht der Datenschutz. Ein Drahtseilakt…

Ach, was könnte man mit Mautbrücken alles erfassen…

Europ. Datenschutztag – Mein persönliches Fazit

Der Datenschutztag war eine schöne Veranstaltung, sehr gut moderiert, interessante Redner. Leider war das Meiste einigermaßen praxisfern. Was mich gestört hat, ist die einseitige Betrachtung der Verantwortung. Die Regierung muss, die Unternehmen müssen, DSGVO soll regeln etc. Ich bin der Meinung, dass derjenige, der digitale Souveränität möchte, auch in die Pflicht genommen werden muß.

Wir werden alle mit Intelligenz geboren, lesen lernen wir in der Schule, jeder kann sich informieren. Immer anzuprangern, dass Schulen, die Regierung und R2D2 (oder wer auch immer) nicht genügend tun, finde ich einseitig und sehe es als ganz großes Problem in unserer Gesellschaft an. Wir sind eine Gesellschaft von Konsumenten geworden, immer meckern und schimpfen, aber nie selber Verantwortung übernehmen.

Wenn ich alle meine persönlichen Daten bei Facebook hochlade, dann habe ich mich selber aktiv dafür entschieden. Wenn ich Alexa nutze, ist nicht Amazon schuld, sondern ich habe es gekauft und Punkt. Und wenn ein Schaden entsteht, habe ich es wahrscheinlich einfach nur hingestellt und angeschaltet, mich aber nicht genügend damit auseinandergesetzt.

Ich übertreibe bewußt etwas, aber diese einseitige Verantwortlichkeit geht mir ganz entschieden gegen den Strich. Wir haben gute Gesetze, es ist aber auch eine Bürgerpflicht sich zu informieren. Souveränität eben! Wir können kein Gesetz erfinden, dass mich vor mir selbst schützt.

Es gab doch mal den Schnack: Unwissenheit schützt vor Strafe nicht.

Natürlich, Datenschutz durch Technik unterstützt die digitale Souveränität. Es ist gut, wenn die Grundeinstellungen zum Schutz der Nutzerdaten grundsätzlich sehr streng sind und ich sie als Nutzer dann lockern kann. So etwas sollte auf jeden Fall unterstützt werden.

Datenschutz durch Verantwortung?

ABER: Wenn sich die Menschen nicht informieren, ist nicht automatisch „werauchimmer“ schuld. Genau diese Menschen schaffen es ja sonst auch, sich über Ihre bevorzugten Themen zu informieren, Sport, Urlaub etc. Datenschutz ist einfach langweilig, ist ja klar, aber man kann nicht die Verantwortung abgeben. Bevor man die Dienste nutzt, kann man auch mal den „Beipackzettel“ lesen,

Eins meiner Lieblingsbeispiele: googlemail. Google hat in seinen Datenschutzbedingungen stehen, dass sie Inhalte von Mails lesen (ja, ja um die Werbeangebote zu verbessern und so). Wie viele Menschen kennt ihr, die ein google Mailkonto haben? Und jetzt mal, um zu provozieren, was passiert, wenn ihr zu einem solchen Nutzer nach Hause fahrt und dort die Post aufreißt? Ach, aber google darf das?

Der digitale Souveränität kann man sich meines Erachtens nur annähern, wenn man andere Geschäftsmodelle unterstützt. Ein Dienst, der kostenlos ist, kann dies nicht wirklich sein, das wäre nicht wirtschaftlich. Wir bezahlen den Dienst mit unseren Daten. Wenn ich meine Daten nicht hergeben möchte, dann muss ich dafür Penunzen, karibische Perlen etc. rüberrücken und gut. Früher haben wir auch Navigationsgeräte gekauft und für die Kartenupdates bezahlt. Wie oft nutzt Ihr jetzt den „kostenlosen“ google-Dienst maps? Die vielen Fernsehkanäle, die ihr vermeintlich benötigt, sind Euch ja auch ein paar Euros wert. Also entscheidet Euch souverän, welche Dienste Ihr nutzen wollt.

Sozusagen: Fairtrade im Internet, falls Ihr mir folgen könnt

digitale Souveränität – eine Utopie?

digitale Souveränitätdigitale Souveränität

digitale Souveränität ist das Thema des 12. Europäischen Datenschutztages Ende Januar in Berlin. Zeit, sich über diesen Begriff Gedanken zu machen.

Was bedeutet eigentlich dieser Begriff?

„Abgeleitet von dem Begriff der Souveränität versteht man unter Digitaler Souveränität selbstbestimmtes Handeln unter vollständiger, eigener Kontrolle im Hinblick auf die Nutzung digitaler Medien. “
Quelle: Wikipedia

Aha, selbstbestimmtes Handeln also, dies schließt aus meiner Sicht auch eine große Eigenverantwortung mit ein. Ist das eigentlich möglich?

Digitale Souveränität in Bezug auf Technik

Ich kann natürlich meine Endgeräte je nach meinem eigenen Kenntnisstand absichern, aber da tut sich schon die erste Lücke auf. Jeder hat andere Kenntnisse im Bereich IT-Sicherheit, manch einer beschreibt gar seine eigenen Kenntnisse als nicht vorhanden. Schauen wir mal weiter.

Mittlerweile ist es bis zum letzten User durchgedrungen, dass man Systeme benötigt, die ein gewisses Level an Sicherheit bereitstellen.

Das heisst, bereits hier ist es mit der digitalen Souveränität schon vorbei. Ich gebe die Verantwortung ab, an die Hersteller von Virenscannern, die Windows Firewall etc. und hoffe, dass das ausreicht. Da mir ja selber noch nie etwas passiert ist und das ja auch kaum möglich ist, da ich ja nur eine kleines Licht im großen weltweiten Netz bin, nehme ich möglichst alles, was kostenlos ist und das war es dann. Groß ist das Geschrei, wenn der böse Trojaner kommt und meine Daten verschlüsselt, vlt. die Doktorarbeit, die in 3 Tagen abgegeben werden muss oder ähnliches. Da ist man schnell wieder in der Schleife, andere zur Verantwortung zu ziehen, die Regierung, das Universum, R2D2 oder wer da alles so in Frage kommt.

Digitale Souveränität in Bezug auf Datenschutz

Digitale Souveränität ist aber noch mehr, hier kommt auch noch die Selbstbestimmung über meine Daten hinzu. Und jetzt wird es kritisch. Ich befinde mich immer zwischen Baum und Borke, auf der einen Seite möchte ich wahnsinnig gerne, die ach so praktischen und zudem auch noch kostenlosen Dienste von z.B. google (als Platzhalter für alle Anbieter, die es so gibt und weil’s jeder kennt) nutzen, aber ich möchte eigentlich nicht, dass die alles mögliche, was ich gar nicht erfassen kann, mit meinen Daten machen.

Ich persönlich kenne niemanden, der keinen der google Dienste nutzt. Fängt an bei maps, dem Navigationssystem, das ist doch klasse, es kennt die Staus, bietet mir Ausweichstrecken, Restaurants und Tankstellen auf der Strecke an. Der Preis dafür ist, dass ich mein GPS freigebe und dann natürlich geortet werde, es wird ein Bewegungsprofil erstellt.

Irgendwann nach Nutzung der Navigation kommt die Frage, möchtest Du Deinen Besuch bei xyz bewerten? oder Deiner Timeline zufügen oder Deine Adresse als zu Hause abspeichern. Google  weiß alles Und? hast Du da irgendeinen Einfluß drauf? Na, jetzt, sobald Du einmal eingewilligt hast, nicht mehr, vorbei mit der digitalen Souveränität. Es wird ja ab Mai durch die DSGVO das Marktortprinzip geben, da bin ich schon sehr gespannt, wie das auf Fälle wie diese angewendet wird.

Geht ja immer noch weiter. Alle nutzen WhatsAPP (na, ja ich nicht), da werden fleißig auch meine Daten, die sich auf x Handys dieser Welt befinden, weil ich diese Menschen kenne, auf den WhatsAPP (auch nur ein Platzhalter, Ihr wisst schon) Server übertragen. Wo ist denn da meine Souveränität? Spricht man mit irgendwem, der diesen tollen (echt?) Dienst nutzt, bekommt man blankes Unverständnis zur Antwort. „Was????? Du bist noch nicht bei WhatsAPP?“ Antwort: “ Nee, in diesem Leben nicht“

Und Alexa und Konsorten, die tragen ja alle wahnsinnig dazu bei, dass ich meine digitale Souveränität behalte. Tja, was soll man da machen? Habt Ihr ja selber bestellt und installiert, sag ich mal so.

Mein persönliches Fazit: digitale Souveränität gibt es nur für Menschen, die das Internet nicht nutzen.

Aber auch die, also die ohne Internet, werden demnächst keine Kaffeemaschine (Platzhalter für Autos, Kühlschränke, Mähroboter…) mehr kaufen können, weil diese Maschinen wollen ja auch alle WLAN, damit sie Dir im Display die passende Kaffeesorte empfehlen können, die Du dann mit: „Alexa, bestell mir mal diesen Kaffee hier“ bestellen könnt oder wenn die Kaffeemaschine Alexa den Rang abläuft auch direkt darüber.

Ich hör jetzt auf, Eure Phantasie ist nun angeregt, macht was draus, eben wie der Käfer zwischen Baum und Borke.

 

Widerspruch gegen Facebook AGBs ist sinnlos

Der Widerspruch gegen Facebook AGBs ist sinnlos

Leider scheint es so zu sein, dass Menschen immer weniger nachdenken. Die Verantwortung wird bei anderen gesucht. Irgendjemand, meistens mehr oder weniger seriöse Medien berichten über AGBs irgendeines sozialen Netzwerkes, z.B. Facebook und die vermeintlichen Widersprüche und die damit verbundene Empörung häufen sich. Oftmals drängt sich der Eindruck auf, nur wenige dieser Empörten hätten die betreffenden Informationen überprüft. Auf jeden Fall: Ein Widerspruch gegen Facebook AGBs ist sinnlos.

Mit ein wenig Nachdenken, könnte man auch selber drauf kommen

Das eigene Profil ist nicht der Mittelpunkt des Universums und man kann nicht davon ausgehen, dass Facebook Mitarbeiter abstellt, jedes posting in jedem persönlichen Profil zu lesen und ggf. darauf zu reagieren. Irgendwie klar, oder?

Urheberrechte

Die Urheberrechte, z.B. an eigenen Bildern können von Facebook nicht übernommen werden, weil eine Übernahme gesetzlich in Deutschland nicht möglich ist. Das Urheberrecht ist in Deutschland im Urheberrechtsgesetz (kurz: UrhG) geregelt, es handelt sich um ein Bundesgesetz. Möglich ist die Vergabe einer Nutzungslizenz, wie man sie z.B. auch bei Bilderdiensten erwirbt, wenn man dort Bildrechte kauft. Mit der Teilnahme an Facebook, also der Eröffnung eines Kontos stimmt man den Facebook AGBs zu und räumt Facebook ggf. eine Nutzungslizenz ein.

Widerspruch gegen AGBs

Ein Widerspruch der AGBs ist nach Expertenmeinung so gar nicht möglich. Mit der Nutzung stimme ich zu, wenn es mir nicht passt, lösche ich mein Profil und nutze diesen Dienst erst gar nicht. Wie sollte das auch möglich sein, soll Facebook für jeden User eigene AGBs entwickeln? Fakt ist, Passagen in AGBs, egal von wem, können unwirksam sein, wenn sie Bundesgesetzen der Bundesrepublik Deutschland widersprechen. Es gilt nach wie vor: Höheres Recht gilt niedrigeres Recht. Weiterhin ist hier zu Bedenken, dass Facebook zwar international tätig ist, aber natürlich in den  USA ansässig.

Widersprüche

Weiterhin sollte man mal überlegen, wie man generell Widerspruch einlegt, z.B. gegen Bescheide von Behörden u.ä. In meiner Welt sind diese immer in Briefform, persönlich und handschriftlich unterschrieben und werden per Einschreiben verschickt. Also nicht in irgendeinem Gästebuch der betreffenden Behörde, das vergleichbar wäre mit einem Facebookposting.

Was nun also tun

Es hilft das, was immer hilft, selber Verantwortung übernehmen. Die AGBs vorher lesen und sich dann ggf. bewusst gegen eine Nutzung des Dienstes entscheiden, darum nutze ich z.B. kein WhatsAPP. Ändern sich die AGBs in eine Richtung, die ich nicht vertreten kann, melde ich mich ab.

Alle sind da, alle machen das, sind keine Argumente für mündige Bürger, jeder ist selbst verantwortlich.

Hier könnte man die Stand heute aktuellen Nutzungsbedingungen nachlesen.