<i>Wikipaka Intro-Musik</i>

Liv: Hallo, ich hoffe man kann uns gut
hören und ihr seid alle sehr gespannt,

uns heute zuzuhören. Denn wir wollen heute
über Datenschutz und warum Datenschutz

besonders für Jugendliche wichtig ist, und
DSGVO, also die Datenschutzgrundverordnung

sind ja legalere Teile von, reden. Und wir
dachten, wir stellen uns erst mal vor.

Ich bin Liv und ich bin seit, ich glaube, erst
anderthalb Jahren bei Jugend Hackt dabei.

Genau. Und ich beschäftige mich selber mit
Datenschutz und werde euch auch ein

bisschen was von meinem kleinen Projekt
vorstellen. Ich benutze sie/ihr Pronomen

und gehe noch zur Schule, was
auch was mit meinem Projekt zu tun hat.

Paul: Hallo, ich bin Paul, ich bin 10
Jahre alt und studiere jetzt Informatik

und bin jetzt auch schon seit ein paar
Jahren bei Jugend Hackt, interessiere mich

auch für Datenschutz und werde euch auch
ein paar Sachen erzählen, was ich für

lustige Sachen mit Datenschutz gemacht
habe und so.

Dфҿ: Moin, ich bin Dфҿ mit dem Zopf,
Pronomen sie/ihr. Ich beschäftige mich

auch total gerne mit Datenschutz, gerade
auch in Bezug auf Software-Entwicklung.

L: Und wir dachten, wir fangen es mit
einem kleinen Ice Breaker an.

Und zwar: Was ist Eure Lieblings Datenschutz Funfact? 
Ich brauch noch ein bisschen Zeit,

um mir was zu überlegen. Aber Paul, willst du
vielleicht anfangen?

P: Ja. Ich habe tatsächlich was, und zwar.
Es kennt ja eigentlich wahrscheinlich

ziemlich viele Leute diese
Datenschutzerklärungen. So ellenlange

Texte, die sich so gut wie niemand
durchliest. Und ich hab da mal angeguckt,

in der DSGVO, was da drin steht. Dazu und
da steht tatsächlich im Prinzip drin, dass

dass die mit Emojis gemacht werden können. Also
das steht nicht ganz drin.

Aber ich kann ja auch zeigen, was drin steht. So, jetzt
muss der Arm ja... also in der DSGVO steht

nämlich in Artikel 12 drin; die
Information können in Kombination mit

standardisierten Bildsymbolen
bereitgestellt werden. Und wenn sie in

elektronischer Form dargestellt werden
müssen, müssen sie maschinenlesbar sein.

Und ja, was sind standardisierte Bimbole,
die maschinenlesbar sind, als Emojis.

Es ist ganz witzig, weil es wird natürlich
Datenschutzerklärungen aufwerten.

Dann würden wahrscheinlich viel mehr Leute sich
auch die angucken.

D: Ja, total.
P: Dфҿ mit dem Zopf, hast du irgendwas?

D: Ja.
P: Was findest du so <i>unverständlich</i>?

D: Dein Funfact finde ich richtig gut,
auch im Positiven richtig gut.

Mein Funfact geht leider nicht ganz so ins
Positive. Ich habe mir mal die

Datenschutzerklärung von Microsoft
heruntergeladen und als PDF gespeichert.

Und jetzt kann man sich ja mal überlegen,
wie viele Seiten sind das wohl in A4.

Es sind 1200. Die sind in - und es ist ganz
clever gelöst. Es ist eigentlich nur so

eine Seite auf dem Bildschirm. Aber es
sind ganz viele Unterpunkte. Und wenn alle

expandiert sind, dann sind das 1200 Seiten
PDF auf A4. Das finde ich schockierend,

aber trotzdem lustig. Und Liv, hast du da
irgendwie was, was du lustig findest?

L: Ich fürchte, ich habe nicht so richtig
ein Funfact, aber eher so ein Nachdenkfact

Ich finde nämlich z.B. das Recht auf
Vergessenwerden in der DSGVO total

spannend und so, was es irgendwie ethisch
so bedeutet und so. Was macht das Internet

mit uns und wie lange bleibt man da? Und
so was ist nicht so'n Funfact, aber

so' Nachdenk-Fact. Und eine Sache die ich auch noch 
sagen wollte: wir sind alle keine Anwälte

alles was wir sagen könnte theoretisch
falsch sein. Wir versuchen natürlich

unser Bestes zu geben. Aber falls ihr
irgendwelche richtigen Fragen habt,

die wirklich das Gesetz betreffen oder da
irgendwie Probleme habt, solltet ihr am

besten mit einem richtigen Anwalt darüber
sprechen. Genau. Wunderbar.

Dann erst einmal so: Warum ist
ist Datenschutz wichtig? Worum geht's

überhaupt bei Datenschutz? Dфҿ mit dem
Zopf willst du da mal was dazu sagen?

D: Ja genau, es gibt beim Datenschutz, so
unabhängig jetzt von Recht und

Datenschutzgrundverordnung und unabhängig
davon hochriskant, es gibt so Grundsätze

des Datenschutzes. Sind eher
philosophisch-ethische Grundsätze. Da geht

es darum, was ist Datenschutz überhaupt
und weshalb sind personenbezogene Daten

überhaupt wert zu schützen? Gut, die
meisten, die das hier angucken, haben da

schon so Idee. Aber trotzdem können's ja
nochmal durchgehen. Da gibt's den ersten

Punkt. Das ist ein ganz abstrakter Punkt.
Das ist der Grundsatz von "Treu und

Glauben". Das hört sich total kryptisch an.
Aber da geht's erst mal darum, dass

Datenschutz-Verhältnis, dass Daten
verhältnismäßig verarbeitet werden sollen.

Das heißt, dass ich nicht einfach
irgendwelchen Quatsch mit Daten machen kann

dass ich vertrauenswürdig umgehen
muss mit allem, was personenbezogene Daten sind.

Der nächste Punkt ist der Grundsatz
der Verhältnismäßigkeit. Das heißt,

ich darf nicht für irgendwie eine Bestellung
von 'ner Pizza, 'nen kompletten Lebenslauf

und die Schuhgröße aller Verwandten
verlangen. Das hat nichts damit zu tun und

steht in keinem Verhältnis. In anderen
Ländern kenne ich das leider.

In Indien ist das leider so, dass man alles
Mögliche über angeben muss,

aber eigentlich entspricht das nicht den
Prinzipien des Datenschutzes.

Der nächste Punkt ist die Zweckbindung. Das heißt, ich
darf nicht sagen...

P: Also ich wollt davor mal fragen. Weil
was sind diese personenbezogenen Daten?

Du hast den Begriff jetzt schon mal
verwendet, aber vielleicht weiß jetzt

nicht jeder, was das jetzt bedeutet. Also
was vielleicht willst du's kurz erklären?

D: Kann ich kurz machen. Personenbezogene
Daten sind alles, was mich identifizierbar

macht. Das könnte mein Name sein, meine
Adresse, mein Wohnort, mein Alter oder

eine Kombination, vor allem häufig, aus
dem, aber im Digitalen auch so Dinge wie

eine IP-Adresse. Damit kann ich
identifiziert werden. Personenbezogene

Daten sind alles, die bezogen auf mich
sind. Womit ich sagen kann, das ist

ziemlich sicher diese Person.

L: Ok! Genau, und diese, also

personenbezogenen Daten, glaube ich, das
ist so was, was man ganz oft hört.

Und da gibt's aber ja sozusagen auch noch
Unterkategorien. Also z.B. meine

Gesundheitsdaten sind total wertvoll, oder
sowas, das ich besser schützen sollte

als vielleicht meine Schuhgröße, obwohl man
natürlich irgendwie alle Daten schützen

sollte. Aber zum Beispiel mit meinen
Gesundheitsdaten kann man ganz viel Sachen

über mich herausfinden, über mein
persönliches Leben und mich vielleicht

auch irgendwie mehr beeinflussen. Und das
sind Sachen, die ich privat halten möchte,

wogegen z.B. meine Schuhgröße, obwohl sie
natürlich auch irgendwie zu mir gehört,

vielleicht nicht ganz so, so sensitive
Daten sind. Also da muss man auch nochmal;

es gibt personenbezogene Daten und die
selber haben auch nochmal Unterkategorien

sozusagen, wie - gefährlich ist nicht das
richtige Wort - aber wie schützenswert sie sind.

P: Genau da muss man ja auch beachten.

Also z.B. man kann ja mit Daten häufig
Leute, sag ich jetzt mal, erpressen in

Anführungszeichen, also mit bei
Gesundheitsdaten kann's ja zum Beispiel

sein, dass man nicht möchte, dass andere
die erfasst, weil die dann Druck auf einen

ausüben können, jetzt jetzt nicht ein
Beispiel so für Jugendliche aber z.B. im

Arbeitsleben oder sowas ist natürlich
relevanter teilweise. Darum sind die

besonders schützenswert. Aber generell ist
es ja eben immer der Punkt auch

wieso wir Datenschutz brauchen, weil
Datenschutz ja eben es ermöglicht, auf

Leute Einfluss auszuüben. Jetzt auch
bekanntes Beispiel war jetzt mit Brexit,

US-Wahl 2016, wo ja sehr viel an 
extrem personalisierten Werbungen

gearbeitet wurde, was dazu geführt
hat, dass das Ergebnis schon, nach Ansicht

vieler Leute, beeinflusst wurde. Also das
ist ja auch ein wichtiger Punkt, dass Daten

geschützt werden müssen,
damit man nicht beeinflussbar ist über diese.

D: Genau das geht, finde ich, in 'ne ganz

interessante Richtung. Also in Datenschutz
geht es eigentlich immer darum, dass klar

sein muss, weshalb irgendetwas so ist. Das
ist so ein ganz wichtiger Grundsatz vom

Datenschutz. Und wenn ich irgendwelche
personalisierte Werbung zugesteckt

bekomme, von mir aus Wahlwerbung für
irgendeine Partei. Dann sollte ganz klar

sein, dass das personalisierte Werbung für
mich ist. Das ist ein ganz wichtiger

Grundsatz und das wird leider in vielen
Ländern der Welt mit Füßen getreten,

dass das so sein muss. Das finde ich ganz
schockierend.

L: Das stimmt. Ich glaube, dass so... Wir
haben so ein bisschen grad abgeschlossen,

warum Privatsphäre und generell
Datenschutz auch wichtig ist. Also gibt es

auch eine Website, die heißt
whyprivacymatters.org, ist auch auf

GitHub, könnt ihr auch ein Pull-Request
machen. Und genau, da ist einfach nochmal

so aufgelistet, so, dass man vielleicht
auch Daten besitzt, die anderen Leuten

gehören, die man nicht teilen sollte und
vielleicht auch an Institutionen. Dass es

Daten gibt, die sollte man nicht an der
Ecke finden, die man nicht an alle

Institutionen weitergeben sollte und an
das Handy zu trennen. Damit vielleicht

auch Informationen nicht herausgegeben
werden können, das sie irgendwie schlecht

aussehen, obwohl man eigentlich gar keine
schlechte Person ist. Aber ich glaube,

du hattest grade noch was zu
generell den Prinzipien von Datenschutz

gesagt, willst du dazu nochmal weiter
sagen?

D: Ja, ich kann. Ich kann's versuchen,
kurz zu fassen. Es gibt noch den Grundsatz

der Verhältnismäßigkeit. Das hatten wir
ja. Es gibt die Grundsatz der

Zweckbindung. Das heißt, ich darf nicht,
wenn ich sage, ich sammle Daten, um

irgendwie 'ne Volkszählung zu machen. Oder
Beispiele hier Corona. Ich darf nicht ...

Und wenn ich sage, dass ich Daten zur
Kontaktverfolgung sammle, darf ich die

nicht plötzlich für Kriminalverfolgung
verwenden. Das ist ein anderer Zweck und

die müsste ich dann, das müsste ich vorher
gesagt haben. Ich muss es transparent

machen. Ich muss ganz genau. Es geht auch
in die Richtung Zweckbindung. Ich muss

sagen wofür, warum, wie lange, was genau.
Ich muss einfach sagen, wie mit den Daten

umgegangen wird. Wer kriegt noch Zugriff
darauf und so weiter. Und danach zwei ganz

wichtige Punkte, nämlich die Daten-
Sicherheit, dass die irgendwie nicht

ungesichert rumliegen, das nicht vor
meiner Tür eine Kiste liegt mit all meinen

Kontaktdaten und Daten-Richtigkeit. Das
heißt, ich habe ein oder es sollte ich

sollte ein Recht haben, alle Daten über
mich, die falsch sind, korrigieren lassen

zu können, dass Leute verpflichtet sind,
falsche Daten von mir zu korrigieren und

so weiter. Und dann - das ist jetzt speziell
Europa - von der DSGVO her habe ich ein

Recht auf rechtmäßige Datenverarbeitung.
Genau deshalb. Das ist der Grund, weshalb

es die Datenschutzgrundverordnung in der
Europäischen Union gibt und die umfasst

nämlich all diese Grundsätze der Daten des
Datenschutzes.

L: Im Mittel die ganze Zeit das Wort DSGVO
um uns geschmissen. Will mal einer von

euch sagen, was überhaupt die DSGVO ist?
Also Paul, willst du das einfach mal

machen?
P: Ja, gerne. Also die DSGVO ist ein ja

nicht Ge... - es heißt nicht Gesetz,
sondern Verordnung - aber ist im Prinzip

ein Gesetz, das auf europäischer Ebene
2016 beschlossen wurde. Und da wird

festgelegt, dass die ganzen Regeln wie
Daten verarbeitet werden dürfen, wie die

weitergegeben werden dürfen, vor allem
auch in Länder außerhalb der EU. Welche

Rechte die, - das heißt betroffene
Personen sind die Leute, über die die

Daten, auf die sich die Daten beziehen,
also welche Rechte die haben und was. Das

soll vereinheitlicht werden, weil davor
gab es so, eher so ein Flickenteppich. Da

hatte jedes Land seine eigenen Regelungen
und die DSGVO hat das Ziel, dass eben die

Regeln möglichst einheitlich sind, damit
eben auch die Daten in der EU weiter

transportiert werden können, weil die
überall gleich geschützt sind. Und die

wurden wie gesagt 2016 verabschiedet und
ist dann 2018 am 25. Mai in Kraft

getreten. Man hat dann erst am 2018 so
richtig davon gehört eigentlich, weil dann

plötzlich in allen Zeitungen des stand
und. Ja, ist halt ein Gesetz, dass das

eben alles vereinheitlichen soll.
L: Genau, und ich glaube mal, so eine ganz

wichtige Sache ist, dass die DSGVO mehr
Rechte an sozusagen die Einzelpersonen

gibt. Also das sind z.B. dieser bekannte,
wieder bekannte Artikel 15, dass man zum

Beispiel fragen kann, was Institutionen
oder Firmen für Daten über einen haben. Oder

halt das Recht, dass man es berichtigen
kann und sowas. Also Einzelpersonen

kriegen mehr Rechte und Institutionen und
Firmen kriegen mehr Pflichten. Also dass

es da so nen, irgendwie so nen Wechsel
gibt und müssen vielmehr drauf aufpassen

und genau. Also nach dem 25. Mai 2018 zum
Beispiel sind dann auch so diese ganzen

Cookie-Banner oder sowas viel mehr
geworden, was man immer bestätigen muss.

Oder es gibt auch manche Seiten, also vor
allem amerikanische Seiten, die man halt

in der EU jetzt nicht mehr aufrufen kann,
weil die halt gesagt haben, dass sie das

nicht umsetzen, weil man das umsetzen
muss, wenn man europäische Bürger bedient.

Genau, hat vielleicht dazu noch jemand
was?

P: Ja, ich könnte noch kurz was sagen, und
zwar welche Ansätze die DSGVO verfolgt,

weil das ist ganz interessant, die
verfolgt so, im Prinzip gibt's drei

Säulen; als erstes sagt die DSGVO, dass
die Leute die Daten verarbeiten,

personenbezogene Daten, dass die selber
erst mal für die Sicherheit und für den

Datenschutz sorgen müssen. Da gibt's auf
Englisch ist hier das Schlagwort Privacy

by Default und Privacy by Design, also
Datenschutz als Standardeinstellung und

Datenschutz aber eben auch durch die
Technik-Gestaltung. Also ich muss halt

eben, wenn ich jetzt neue Software
entwickle dafür sorgen, dass die möglichst

Datenschutz freundlich ist. Da müssen dann
halt meine eigenen Interessen

zurückstehen. Das zweite sind eben die
eben schon erwähnten Betroffenen-Rechte.

Die sorgen halt dafür, dass ich als
Betroffener noch mein Datenschutz selber

in die Hand nehmen kann und dafür sorgen
kann, dass eben der Datenschutz

durchgesetzt wird. Und ich sehe inzwischen
ne Frage, dass Leute gefragt haben, wie

man das als Entwickler einfacher macht,
Datenschutzgesetze einzuhalten. Ich habe

dazu wollen wir nachher noch was sagen.
Aber grundsätzlich ist es so, dass man

halt auch eben als Benutzer auf einer
Webseite oder als Benutzerin dafür sorgen

kann, dem man hat eben seine
Datenschutzrechte, also so Auskunft und

Löschung, Berichtigung und sowas nutzen
kann. Und das dritte ist, dass eben es

auch Haftung und Geldbußen und sowas gibt.
Es sind immer diese gefürchteten Millionen

Bußgelder, die die Aufsichtsbehörden
verhängen können, was eben dazu sorgt,

dass die DSGVO notfalls auch ich sage mal
Datenschutz mit der Brechstange

durchgesetzt wird.

D: Ah sorry, genau. Kleine Anmerkung da

noch, wir reden jetzt ja immer die ganze
Zeit über Digitales, und Datenschutz ist

im Digitalen ja auch total wichtig und
total weit verbreitet. Aber Datenschutz

ist genauso - die DSGVO vor allem - die
gilt genauso in der analogen Welt. Das

heißt, die gilt genauso, wenn ich irgendwo
ein Formular vor Ort ausfülle. Und das ist

immer auch total wichtig zu beachten, dass
es im Datenschutz auch so eine total

wichtige Schnittstelle zwischen der
analogen und der digitalen Welt ist.

Genau. luap hat das gerade ganz gut
formuliert. Die ist Technik neutral. Das

heißt, es ist völlig egal, ob ich da jetzt
was Digitales, was Analoges, ob ich da ne

Diskette oder WLAN verwende. Datenschutz
gilt immer, weils einfach eine

Grundverordnung ist, die überall gilt und
was total wichtige Grundsätze vermittelt.

L: Das stimmt. Das ist, finde ich, ein
total wichtiger Punkt, wo wir vielleicht

auch schon, also wir dachten, wir reden so
ein bisschen über zwei große Themen. Das

eine ist irgendwie so, also wir dachten,
es ist für Jugendliche vor allem dann so

was beschäftigt uns, irgendwie Schule und
Programmieren. Und deshalb wollten wir

einmal so auf den schulischen Aspekt
eingehen. Genau. Und wie Datenschutz in

der Schule unserer Meinung nach umgesetzt
wird und so den ganzen Aspekt. Und dann

einmal so Ich als programmierende Person
sitze bei Jugend Hackt und möchte

irgendetwas machen. Worauf muss ich
achten? Was hab ich da für ne

Verantwortung? Genau.
P: Ich glaub, Liv, du hattest doch jetzt

auch ein paar Sachen mit Schule, willst du
da mal anfangen?

L: Kann ich gerne machen. Genau. Ich
meinte nur Schule, weil ich dachte, dass

ne Schule ja noch vieles analog passiert.
Und z.B. glaube ich, könnte man auch

Auskunft über seine ganzen Arbeiten, die
müssen ja auch aufgehoben werden. Ich weiß

gar nicht wie lange, relativ lange und auf
jeden Fall. Ich glaube, dass man die

theoretisch könnte man sich auch sozusagen
erfragen, ist halt viel zu großer Aufwand,

deshalb können die einfach nein sagen.
Bzw. genau. Aber da ist dann ja auch noch

eine Sache, wo es dann halt analog ist und
wo man auch sich fragen kann, ob das alles

so Datenschutz konform ist. Wenn es dann
irgendwo in nem Keller liegt. Aber genau

dann fang ich mal an. Ich hab eine; ich
hätte noch ne kleine kreative Attacke vor

ner Stunde und hab was versucht zu
zeichnen. Genau das könnte jetzt auch mal

einblenden, dass ist nicht besonders
hübsch geworden. Aber hier was ihr sehen

könnt ist so ein tolles Kuchen Diagramm,
was zeigt, wie viele der DSGVO Anfragen,

die ich an verschiedene Schulen und
Bildungseinrichtung gestellt habe,

erfolgreich waren. Ich hatte leider jetzt
irgendwie keinen Geodreieck oder so.

Zimtgrün soll ein Fünftel sein. Ich hab 5
gestellt. Eine davon hat wirklich

funktioniert. Das soll das Grüne
darstellen. Das Rote soll das darstellen,

was nicht so gut funktioniert hat. Genau,
wie ich das gemacht habe, es gibt ne

Seite, die heißt "Daten anfragen", da kann
man sich so ein tollen Text copy pasten

und kann dann da hinschicken, können das
bisschen personalisieren, was man möchte.

Und genau das hab ich einfach mal gemacht.
Das hab ich an eine Uni und an drei

Schulen, zu denen ich gehe, gemacht.
Genau. Und ich habe sozusagen eine meine

richtige Schule besucht. Dann noch Kurse
an zwei anderen Schulen, die natürlich

auch die Daten über mich speichern. Und
dann hab ich noch an das Kultusministerium

von meinem Bundesland geschickt. Genau.
Und wir fangen jetzt erst mit dem

positiven Beispiel an.. Aber genau es ist
wunderhübsch geworden. Ich hoffe, ihr seid

mir nicht zu wütend, dass sie mich nicht
so hübsch geworden ist. Aber genau. Also

sehr, sehr vereinfacht der Prozess, genau
an der Uni, was man ja macht sozusagen.

Man schreibt eine E-Mail, schreibt da
rein. So ein bisschen kondensiert. Hallo,

welche Daten haben Sie über mich? Und dann
ist das richtige, was Sie machen sollen,

ist, dass Sie nachgucken, ob das auch
wirklich ich bin, der es gestellt hat.

Sonst könnte ja einfach jede Person sagen
Hallo, ich bin Liv, Ich hätte mal gern

Livs Daten. Das wäre ja suboptimal. Also
bei der Uni hat das perfekt geklappt. Ich

hab meinen Personalausweis geschwärzt
dahin geschickt und die haben mir meine

Daten zurückgeschickt, genau so wie es
sollte. Also 10 out of 10. Das

funktionierte gut. Das war leider aber
auch das einzige Erfolgserlebnis. Genau

wenn wir erst mal weitergehen. Genau wie
Schule 1, Schule 1 hat auch würde ich

sagen können die Schulen am besten
abgeschnitten noch. Ich hab auch

geschrieben: "Hallo, welche Daten haben Sie
über mich?" Das ist übrigens nicht meine

Hauptschule, nicht Hauptschule aber nicht
meine sozusagen erste Schule. Genau die

wollten einen Personalausweis. Kann sagt
in der Pause mit meinem Perso

vorbeikommen. Das okay, das verstehe ich.
Genau. Was Sie mir dann gegeben haben.

war so ein Zettel auf dem nur stand, was
für Arten von Daten Sie von mir haben,

aber nicht, welche Daten Sie wirklich
haben. Also sie haben geschrieben, wir

haben deinen Vorname, deine Adresse und
deine Noten. Aber ich meine, der Sinn von

DSGVO ist ja auch, dass ich weiß, was
genau sie haben, damit ich es korrigieren

kann. So hab ich keine Ahnung, was die da
wirklich gespeichert haben und kann's ja

nicht korrigieren. Aber ich dachte, dass
es noch so ein bisschen am Ziel vorbei,

aber es ist okay. Also so vielleicht acht
von zehn. Aber oh, schön, es gibt Lob für

die Zeichnung. Dankeschön. Dann gibt's
Schule 2. Schule 2 ist auch nicht meine

richtige Schule und Schule 2 habe ich auch
genau die gleiche E-Mail geschickt. Wollte

wissen, was sie für Daten über mich haben.
Zurück kam, "wir kennen dich nicht, und

selbst wenn, du weißt ja wohl selber,
welche Daten du angeben hast". Du musstest

ja wahrscheinlich ein Formular ausfüllen.
Daraufhin hab ich dann geantwortet, dass

ich dort den und den Kurs besuche bei dem
und dem Lehrer. Und dann kam zurück. Ja

gut, aber du weißt ja selber, wo du
wohnst. Auch nicht ganz der Sinn von

DSGVO. Ja, ich würde sagen, das fande ich
so ein bisschen merkwürdig, weil alle also

allen Schulen, denen ich geschrieben hab,
haben eine beauftragte Person für

Datenschutz, ich dachte, die würden sich
vielleicht ein bisschen besser auskennen.

Also genau, danach war ich irgendwie sehr
verwirrt. Aber genau es gab je nach Schule

3,..
P: Kann ich dazu eine Frage, gleich ne

Frage stellen, und zwar hast du dann
irgendwas danach gemacht, als du so ne

Antwort bekommen hast oder hast du gesagt,
ich lasse es jetzt, ich spar mir die Mühe

oder?
L: Soll ich's? Ich beantworte es mal

gleich nachdem ich noch Schule 3
vorgestellt hab und das danach, weil da

hab ich auch ganz viel drüber nachgedacht.
Genau das ist dann meine richtige Schule.

Da wollte ich dann einfach mal so fragen,
was sie für Daten über mich haben. Und

mein Lehrer, also mein Informatik-Lehrer
ist dort Datenschutzbeauftragter und der

hat gesagt, dass er leider im Moment keine
Zeit hat. Genau, warum ich nicht

weitergemacht habe, erzähle ich euch auch
gleich. Aber das war leider das

Traurigste, sodass gar nichts
rausgekommen. Genau. Und dann gibt es noch

mein fünfter Versuch. Der ist dann beim
Kultusministerium, weil ich da persöhnlich

mal aktiv war. Und genau, hab genau die
gleiche E-Mail geschickt und hab dann

einfach meine Daten zurückbekommen ohne
Identifikation. Was ich persönlich ein

bisschen merkwürdig fand. Also das PDF war
passwortgeschützt mit dem Datum, an dem

ich es bekommen habe. Aber. Ich meine, es
hätte ja jeder schreiben können: Hallo,

ich bin Liv. Ich hätte gerne meine Daten
und hätte dann meine komplette Anschrift,

mein Geschlecht, meine Handynummer, mein
vollständigen Namen. Und eigentlich auch

die Herkunft der Daten bekommen. Also da
hatte ich ein bisschen Bauchschmerzen, als

ich die Antwort bekommen habe. Und genau
ich wollte jetzt nicht so gerne sagen,

welches Bundesland das ist, weil es da
eine Person gibt, die dafür zuständig ist.

Und ich glaube, da kommen wir auch schon
so; Warum mich dann nicht mehr gemacht

habe. An der Schule finde es einfach
schwierig, weil ich sozusagen; meine Note

hängt ja von den Lehrern ab und würde ich
da so sehr, wenn ich könnte, dagegen ja

vorgehen. Das ist ja nichts recht. Es ist
nicht rechtmäßig, was die gemacht haben.

Aber die Frage ist, dass ich dort
irgendwie Abitur machen möchte und schon

ging mir das jetzt nicht so kaputt machen
möchte. Genau. Beim Kultusministerium hab

ich auch drüber nachgedacht. Aber ich
finde es schwierig. Weil es eine Person

ist und ich nicht weiß, wie genau. Also
ich möchte nicht, dass die Person jetzt

ihren Job verliert. Aber sowas ist ja
irgendwie ein blöder Fehler. Aber ich

finde, es ist eigentlich schon nicht
unwichtig. Genau deshalb hab ich da halt

nicht weitergemacht. Falls aber jemand
Ideen hat, wie man das so zu sagen

weitermachen könnte oder irgendwie so. Ich
hab, binjetzt auch nicht so auf

Konfrontation aus. Es war für mich
wirklich eher so ein kleines Projekt. Mal

gucken, wie funktioniert das überhaupt?
Und ich will auch keine Schule da jetzt

irgendwie schlecht darstellen oder sowas.
Und ja, das war für mich eher so ein

privates Projekt, so ein kleines. Aber.
Genau. Also ich finde es zeigt einfach,

dass es vielleicht ein strukturelles
Problem ist, dass die Schulen es auch

einfach alleine nicht hinkriegen. Und das
ist nicht die Schuld von den Lehrer:innen

ist, aber, dass der einfach ich vom Land
sehr viel mehr getan werden muss, dass die

Schulen da Unterstützung kriegen, weil es
ja anscheinend nicht funktioniert und auch

man selber nicht. Aber genau das ist so
ein bisschen das, was ich gemacht habe.

D: Ja 'n total cooles Projekt finde ich
und ich finde es gibt uns auch schon

ziemlich viel Erkenntnis darüber, wie
Datenschutz im Alltag tatsächlich

funktioniert und in Schulen ich mein, da
sind wir alle von betroffen. Alle jüngeren

Leute, wahrscheinlich das meiste Publikum
dieses Talks hier und was noch weiter so

schief läuft, gerade im Bezug auf Bilder
und auf Videoüberwachung, was ja total

sensible Daten sind. Ich meine, damit kann
mensch ja total einfach Leute

identifizieren. Da hat Paul auch ein total
interessantes Projekt mit Bahn, mit der

Bahn gemacht. Was da so schief läuft.
Vielleicht kannst du das einmal

vorstellen, Paul?
P: Ja, gerne. Und zwar ein leidiges Thema,

das auch jedes Jahr auf diesem Kongress
Gegenstand ist. Von entweder Vorträgen

oder Schill-, okay, dieses Jahr mit den
Schildern ist es nicht so super, aber so

Zetteln an der Wand. Das Problem ist
immer, man wird über-. Es wird viel mehr

videoüberwacht. Alles mögliche soll
videoüberwacht werden und die Frage ist

dann auch immer, ob das immer notwendig
ist. Ich meine an Bahnhöfen wird

videoüberwacht und ich sehe dann mal so
einen Zettel. Kennen Sie diese Person? Und

das Bild ist in total niedriger Pixel
Qualität. Weiß nicht, was es dann bringt,

ob das etwas bringt. Aber es wird immer
ziemlich bezweifelt. Aber jedenfalls das

Problem mit viel Video-Überwachung ist,
dass die die ganzen Daten bekommen und wir

aber eigtlich die nur eingeschränkt
überprüfen können, weil man kann in der

DSGVO immer Datenverarbeitung damit
begründen, man hat ein berechtigtes

Interesse daran. Das heißt es liegt an
irgendetwas daran und es ist auch schon

irgendwie ein bisschen wichtiger als das
Interesse, dass die Daten nicht

verarbeitet werden. Und damit kann man sie
mal ganz gut bei dem Thema Überwachung,

das begründen und das kann man dann halt
nicht so gut überprüfen. Und da hatte ich

dann neulich, als ich mit der S-Bahn
gefahren bin in Berlin. Da stand plötzlich

in einem der Züge so ein Zettel, ja, Alles
wird videoüberwacht. Dann hab ich mir die

Zugnummer aufgeschrieben und so ein paar
seltsame Gesten gemacht, so gezeigt, so da

hier auf das Zettel mal überwenkt und
gewunken. Und habt ihr dann irgendwie 2

Stunden später eine E-Mail geschrieben,
ja, schickt mir doch mal bitte meine

Daten. Ihr könnt mich daran
identifizieren, dass ich das und das

gemacht habe. Ich hab so eine Maske
getragen. Also eigentlich alles, um mich

zu identifizieren, weil es auch eher
unwahrscheinlich ist, dass eine andere

Person genau die gleichen Sachen macht.
Und dann ist es so, das stand auch noch

dabei, dass es innerhalb von
achtundvierzig Stunden gelöscht wird,

automatisch und dadurch gesagt, ja, man
kann so verlangen, dass das eben, das

heißt Verarbeitung einschränken. Also man
kann sagen, ja, verschließt das Mal, sorgt

dafür, dass es nicht gelöscht wird. Und
die so, nöö, sind überhaupt keine

personenbezogenen Daten. Und außerdem geht
es nicht Sicherheitsinteressen blabla

andere Interessen. Und dann, das ging
tatsächlich sehr schnell, muss ich sagen.

Das fand ich gut, dass ihr; dass die da
innerhalb von irgendwie ein paar Stunden

geantwortet hatten. Das Problem war dann
nur, ich hab dann zurückgemeldet und

gesagt naja, es war schon personenbezogene
Daten, weil man kann mich damit

identifizieren, wenn man z.B. weiß, dass
ich so eine Maske trage und so so so. Und

dann. Außerdem müsst ihr mir das dann
rausgeben und Sicherheitsinteresse stimmt

auch nicht so ganz. Weil erstens, wir
wissen ja alle oder ziemlich viel wissen,

dass Security by Obscurity nicht so
richtig was bringt. Und zum anderen ist es

auch so, dass
D: Ganz kurz.

P: Ja.
D: Dazu vielleicht kannst du auch einmal

nochmal erklären, was Security by
Obscurity ist. Das wissen vielleicht nicht

alle unsere Zuhörer:innen
P: Genau gerne. Also Security By Obsucrity

heißt im Prinzip wenn ich was
verschlüssele oder geheim halten will,

dann soll ich nicht geheim halten, wie das
funktioniert. Also des

Verschlüsselungsverfahren, sondern nur den
Schlüssel. Also im Prinzip könnte man sich

bei einer Haustür vorstellen, ich soll
mein Haus nicht dadurch verstecken, dass

ich mein Haus geheim halte, sondern dass
ich einen Schlüssel habe, den niemand

anderes hat. Und das funktioniert halt
eben. Es ist halt so ein relativ

grundlegender Grundsatz von Sicherheits-
Technologie. Und außerdem ist es so, dass

in vielen Supermärkten ja immer man
teilweise noch sieht, ein Live-Stream der

Videoüberwachung. Das heißt, es kann auch
nicht so das Problem sein und dann hab ich

das jetzt geschrieben und das ist jetzt
aber, da haben die dann irgendwie ein paar

Wochen später darauf geantwortet. Und
jetzt habe ich inzwischen mich bei der

Landesbeauftragten für Datenschutz
beschwert. Kann man nämlich machen, wenn

man der Meinung ist, die Daten werden
unrechtmäßig verarbeitet oder von

Betroffenrecht wird verletzt, dann kann
man sich beschweren und dann ermitteln die

und es kann dann auch Geldbußen geben. Und
wenn man will, kann man danach auch klagen

oder sowas. Aber ja. Aber das ist jetzt
erstmal noch nichts weiter. Aber dann noch

erstmal zurück zum Thema Schule. Jetzt
gerade ist ja so, dass man viel online

Lernen und sowas hat über verschiedene
Technologien. Ja, der ganze Rest ist ja

online und die, viele Schulen verwenden ja
Software, die nicht ganz so Datenschutz

konform ist oder die Probleme bereitet und
nicht Open Source ist. Und Dфҿ, du hattest

ja dich mit Zoom beschäftigt, willst du
dazu was erzählen?

D: Ja, genau. Also Zoom ist ja total
populär geworden seit Anfang des ersten

Lockdowns, gerade in Schulen und in
Unternehmen wird es total viel zu

Videokonferenzen verwendet, genauso wie
andere Software, die mindestens genauso

fragwürdig ist. Und wir hatten mal in der
Jugend Hackt Community online darüber

diskutiert, wie der Datenschutz bei Zoom
ist. Und daraus hab ich dann mal einfach

den Entschluss gefakt, gefasst. Ich frag
da mal an, ich bin von der Schule aus

verpflichtet, Zoom zu verwenden. Ich frage
mal an, was die über mich haben. Die

Reaktion war gar nichts. Sie haben erst
einmal nichts gemacht. Ich habe die

mehrfach daran erinnert. Ich glaube, zwei
Tage vor der, vor dem Ablauf der 30 Tages

Frist auf die Antwort nach Artikel 15
haben Sie mir geantwortet, und eine Kopie

der Datenschutzerklärung geschickt. Das
ist natürlich überhaupt keine valide

Anfrage. Ich hab nämlich nach sehr
speziellen Punkten gefragt. Ich hab

gefragt, ob Daten von mir dauerhaft
gespeichert werden, wenn ich an einem

Meeting teilnehme auf Zoom. Ob die End-zu-
End Verschlüsselung, also ich wusste, dass

sie nicht existent ist, obwohl es genannt
wird. Ob die existiert? Darauf sind sie

nicht eingegangen und ich hatte gefragt,
ob die Daten, die sie speichern von mir

eventuell wie Logging Daten von Clarifying
Lawful Oversea Act, vom sogenannten US-

Cloud Act betroffen sind. Auf keinen der
Fragen haben sie geantwortet. Halte ich

auch nicht erwartet. Ich hab ihn dann noch
geschrieben. Ich, dass Sie bitte die

letzten 2 Tage, die sie noch Zeit haben,
das bitte beantworten sollen, haben sie

nicht gemacht. Danach hab ich das an den
zuständigen Landesdatenschutzbeauftragten

gegeben. Der hat das nach ich glaube 3, 3
mal nachhaken hat er das angefangen zu

bearbeiten. Und ich habe irgendwann eine
Antwort bekommen von Zoom und die war: Sie

können nichts dazu sagen, weil sie von mir
keine Daten haben. Ich könne nur eine

Anfrage stellen, wenn ich einen Zoom
Account hätte. Das ist erstmal per se

falsch, weil Daten auch ohne Account von
mir verarbeitet werden. Das ist natürlich

ein Skandal. Da habe ich zurück an den Landes-
Datenschutzbeauftragten geschrieben, der

meinte ja, sie geben das gerne mal weiter
und werden sich persönlich da nochmal

erkundigen. Rund eine Woche später hab ich
eine Antwort von denen nochmal bekommen,

also vom Landesdatenschutzbeauftragten. Ja
also, sie können das jetzt erstmal nicht

weiter bearbeiten. Sie wissen einfach
nicht, wer in der Europäischen Union für

die Beantwortung der Anfrage zuständig
ist. Sie wussten nicht, ob Sie das jetzt.

Also Sie sind auf jeden Fall nicht
zuständig, konnten Sie mir sagen. Aber sie

waren sich jetzt nicht sicher. Es ginge
darum, ob die französische, die

niederländische Niederlassung zuständig
für meine Anfrage ist. Und Sie konnten

sich einfach nicht entscheiden, ob die
niederländische oder die französische

Niederlassung von Zoom, und dem die
entsprechend französischen oder

niederländischen Behörden für meine
Anfrage zu Verständ-, zuständig sind und

haben dementsprechend erst mal nichts
gemacht. Währenddessen hab ich mich noch

weiter beschwert bei Zoom, und dann haben
sie mir irgendwann auf meine erste Frage,

ob das nämlich alles verschl- Ob das alles
verschlüsselt ist. Da steht ja zu Ende-zu-

End Verschlüsselung oben drin. Das habe
ich im März habe ich das in der Anfrage

formuliert. Da haben Sie mir gesagt Ja,
seit August wäre End-zu-End

Verschlüsselung verwendet und
dementsprechend ja, alle meine Daten seien

verschlüsselt worden. Das klingt ja ganz
toll. Nur leider haben Sie mir im August

geschrieben, dass seit August
Verschlüsselung ist. Und meine Frage aus

dem März, ob das verschlüsselt ist, haben
Sie mit Ja beantwortet, obwohl Sie da

gerade gesagt haben - nee, meine Daten von
damals wurden gar nicht verschlüsselt. Und

das ist ein Skandal, dass mir so
geantwortet wird. Ja, das ist jetzt beim

Bundesdatenschutzbeauftragten gelandet. Da
war die Antwort sie sind nicht zuständig.

Und jetzt warte ich, bis ich mal Zeit
habe. Und ich habe vor, das auf jeden Fall

vor Gericht zu bringen, weil ich finde, so
ein Verhalten, das er seit mehreren

Punkten klar Verstöße gegen Artikel 32 bis
34, gegen Artikel 15. Ja, und das ist ein

absolutes No-Go!
L: Genau, du hast uns ja gerade schon

nochmal angesprochen so. Also ich meine,
das ist ja schon ziemlich erschreckend,

dass du das in der Schule irgendwie
benutzen musst.

D: Jetzt nicht mehr.
L: Und es aber diese Lücken auch gab.

D: Hat was gebracht.
L: Bin ich sehr glücklich. Ich habe von

Anfang an haben wir uns Big Blue Button,
und es ist besser, genau. Und nochmal mit

Schule. Da hat doch eine Person auf
Twitter geschrieben, dass eine

Sicherheitslücke irgendwo in einem System
der Schule gefunden hat, womit man die

Namen aller Schüler nachschauen konnte,
die sitzengeblieben sind, und das dann die

Personen zu dem Software-Hersteller gegangen
ist, und das bekannt war und das war ein

Sonderwunsch des Schulträgers war und das
dann Datenschutzbeauftragte der Schule

meinten, das ist legal und richtig so.
Ich finde das zeigt ja auch nochmal, wie

viel Arbeit noch in Schulen gemacht werden
muss. Und total gut aber, dass du dich

dafür dann so einsetzt. Ich meine, das ist
ja auch nicht selbstverständlich. Da gibt

es ja dann auch viele Schüler:innen die
sozusagen einfach nur mitmachen müssen und

halt nicht das richtige Know-How haben,
sich vielleicht wirklich sozusagen dagegen

zu wehren, wie du das jetzt gemacht hast.
Also ich finde, das ist sehr gut, dass du

das gemacht hast.
D: Genau. Ich finde, das zeigt, dass ist

natürlich total schlimm ist, dass diese
ganze Problematik gerade in Schulen gibt,

wo total sensitive Daten wie
Leistungsdaten von Schüler:innen

verarbeitet werden. Das ist ein Problem,
dass es diese Problematik da gibt.

Natürlich. Aber ich finde, das ist ja
genau. Paul sagt gerade Kinderdaten, es

ist ja nicht von irgendwem, sondern von
Kindern, die ja eigentlich schützenswert

sind. Aber es ist gar nicht das zugrunde
liegende Problem. Ich persönlich sehe das

zugrunde liegende Problem viel tiefer, und
zwar darin, dass die Informatik in Schulen

völlig veraltet ist. Die Lehrer:innen sind
häufig gar nicht qualifiziert und der

Datenschutz wird häufig an irgendwelche
Lehrer:innen abgetan, die keine Ahnung

davon haben. Ah, und das in Kombination
mit sowieso schon schlecht qualifizierten

Informatik Lehrkräften vielerorts in
Deutschland und generell ein geringen

Stellenwert von der Informatik in Schulen.
Das ist ein Riesenproblem und vielleicht

da hab ich, ich habe auch die Hoffnung,
dass sich das vielleicht irgendwie wann

ändern wird, und dass dann das eben der
Datenschutzthemen mit einher gehen wird.

P: Ja, jetzt zu dem konkreten Fall. Ich
weiß gar nicht, ob man das jetzt aus

Datenschutzgründen vorlesen darf. Nein.
Also da ging es darum, dass Lücken die

Namen der sitzengebliebenen Schüler
verraten haben und dann wurde anderen noch

bedroht. Das geht natürlich gar nicht. Es
kann tatsächlich sogar teuer werden. Ich

weiß jetzt nicht, ob das jetzt der Fall
für die Person, die das gefragt hat, schon

abgeschlossen ist, aber ich. Mein Tipp
wäre sich bei die oder der dann, also der

oder dem Landesbeauftragten zu beschweren.
Die müssen einem eigentlich auch innerhalb

von drei Monaten antworten, sonst kann man
sich da auch nochmal. Kann man da gegen

auch nochmal vorgehen. Weil so was kann
teuer werden, weil hier in der DSGVO

drinnen, personenbezogene Daten müssen
geschützt werden und wenn die

unbeabsichtigt weitergegeben werden, dann
müssen auch die betroffenen Personen

informiert werden. Also das ist, das
sollte man. Da kann man sich dann gut

beschweren. Und genau hier hat, wurde auch
hingewiesen, jemand. Man kann auch den CCC

oder Jugend Hackt konsultieren. Ich denke,
die können da auch vermitteln, was man da

machen soll. Aber Beschwerde bei der
Landesbeauftragten hilft sicher. Und wenn

die einem dann blöd kommen mit, wir
schmeißen dich raus oder sowas, dann

kriegen die nur noch mehr Ärger. Also es
geht einfach nicht.

L: Genau. Eine Sache noch, genau ich hab
mir ja schon gesagt, ich wa so bisschen so

Landesschulbehörde aktiv. Und dort saß ich
auch in so nem Ausschuss. Und was daran

war, ist, dass auch das war, es muss 2018
gewesen sein, so kurz nachdem die dann

wirklich so in Kraft getreten ist. Und da
wurde dann drüber diskutiert, was denn

personenbezogene Daten in der Schule sind
und was davon besonders schützenswert ist.

Und das fand ich so überraschend, dass da -
wir saßen da alle in einem Raum, da waren

dann noch Vertreter von dings, von
religiösen Gemeinden und so, also

generell, das war so ein, ähm, so ein,
einfach so ein großes Treffen, Urbach, der

Kultusminister anwesend war. Und das fand
ich einfach sehr, sehr erschreckend, dass

das irgendwie da diskutiert wurde, und
dass das noch gar nicht so so sicher war.

Also zum Beispiel Religionszugehörigkeit
wird ja auch in der Schule gespeichert,

damit man den passenden
Religionsunterricht angeboten bekommen

kann. Und das sowas, ist ja auch irgendwie
personenbezogene Daten und auch sensitive

Daten. Meine Religionszugehörigkeit kann
mich ja für bestimmte Sachen vielleicht

angreifbar machen. Und das fand ich total
erschreckend irgendwie, dass das so offen

gelassen wurde. Genau. Und ich glaube, was
wir hier grade schon jetzt die ganze Zeit

angesprochen haben, war dieses
Konfrontation-Sachen, also wie geht man

damit um, wenn was falsch läuft? Habt ihr
beiden da vielleicht Ideen, weil ich bin

ja selber in der Position, wo ich sage
ich. Ich weiß nicht, wie ich damit umgehe,

Dфҿ mit dem Zopf, du bist ja sehr offensiv
da, aber ja, ich find's. Ich find's

schwierig, vor allem wenn man jugendlich
ist und vielleicht unter 18 und nicht

richtig weiß, wie man sich wehren kann.
D: Genau so, bei Schulen hab ich da ne

ganz schlechte Erfahrung. Ich hatte auch
schon in anderen Punkten mit verschiedenen

Schulen und verschiedenen Behörden um die
Bildung herum Auseinandersetzung mit

Datenschutz, da ist Konfrontation natürlich
extrem schwierig. Weil das am Ende die

Leute sind, die dir deine Zeugnissnote
geben. Und natürlich werden die nicht

sagen, du hast eine Anfrage über
Datenschutz gestellt, du hast dich

beschwert, wir geben dir eine schlechtere
Note, aber das ist natürlich so eine

unterschwellige schlechte Stimmung, die da
entsteht. Das heißt, ich würde eher

empfehlen, immer freundlich zu reagieren
und zu sagen, hm ey, ihr Lieben, hier

läuft irgendwas nicht ganz richtig. Könnt
ihr das nicht so und so machen? Das wäre

irgendwie besser. Damit seid ihr auf der
sicheren Seite. Also irgendwie eher so

Hilfe anbieten und zu sagen, so könnte man
es verbessern, als zu sagen: Hey, das ist

alles total falsch. Und wenn ihr es mit
einer doofen Firma zu tun hat, würde ich

da tatsächlich vorschlagen, auf
Konfrontation gehen. Es kann, die meisten

Firmen spielen auf Zeit. Aber wenn ihr denen
zeigt ihr seid hartnäckig, dann tun sie

meistens am Ende, was ihr wollt. Aber es
kann natürlich Monate oder bei meiner

Sache z.B. jetzt schon fast ein Jahr
dauern und man kommt nicht unbedingt immer

weiter. Vielleicht können wir damit zur
nächsten Frage weitergehen. Irgendwer

hatte doch im Chat reingeworfen, ja
einfach die Fälle alle an nen Abmahn-

Anwalt geben. Was haltet ihr davon? Findet
ihr das richtig, findet ihr das falsch,

findet ihr, das sollte man machen.
Vielleicht Paul hast du dazu ne Meinung?

P: Ja, Abmahnanwälte. Das war mal so ein
bisschen so eine Furcht, die alle hatten,

als die DSGVO in Kraft tritt. Jetzt gibt's
gleich tausende Abmahnanwälte und das

Problem ist auch immer, man kann gar nicht
immer abmahnen. Da muss man nämlich

irgendwie. Es gibt entweder
Verbraucherschutzorganisationen,

Verbraucherzentrale und sowas, da lohnt es
sich tatsächlich, weil die ja auch auf

systematische Probleme besser hinweisen.
Und das andere ist so klassische

Abmahnanwälte, die nach Fehlern suchen.
Das ist, finde ich tatsächlich

problematisch, weil ich die generell ein
bisschen zwielichtig halte. Wo vermehrt

sich Abmahnung - nein ähm Hass(?)
nein. Aber generell muss man natürlich

schon gucken. Also ich. Es ist
wahrscheinlich immer sinnvoll, sich bei

der oder dem Landesbeauftragten zu
beschweren bzw. wenn er zuständig ist beim

Bundesbeauftragten. Die sind dort sehr
kompetent, haben auch eben die

entsprechenden Mittel um das
durchzusetzen. Notfalls halt mit

Bußgeldern. Da ist man eigentlich immer
auf der sicheren Seite. Es dauert dann

halt ein bisschen, man hat nicht wirklich
den Einfluss, aber die können auch dafür

sorgen, dass das man eben, dass man eben
das notfalls durchgesetzt wird. Also da

muss man eben nicht darauf vertrauen, dass
die am Ende nachgeben. Und ansonsten, wenn

man überlegt, wenn man sich das lohnt,
kann man sich auch natürlich selber einen

Anwalt holen und klagen, was dann
natürlich noch aufwändiger ist. Wobei man

da z.B. aber auch relativ gut
Schadensersatz wollen kann. Da gibt's auch

inzwischen einige gute Entscheidungen
dafür, auch wenn's noch nicht ganz klar

ist mit Schadensersatz. Ja, Liv wollte
glaube ich noch was dazu sagen.

L: Genau. Ich finde, es ist irgendwie ein
ganz schwieriges Thema, weil auf der einen

Seite möchte man ja irgendwie, dass sich
das ändert und dass es irgendwie für alle

gut läuft und vor allem, dass es nicht nur
für die ganzen technikaffinen Leute

irgendwie einfach ist. Aber gleichzeitig
finde ich es irgendwie schwierig, so eine

Person. Also wenn ich hier so zum Beispiel
ich meine im einen Fall weiß, ich ist eine

Person, die diesen Fehler gemacht hat, so
und dann möchte ich auch nicht dafür

verantwortlich sein, dass die Person dann
irgendwie davon irgendwie sowas blödes mit

trägt. Also das empfinde ich das ganz
schwierig und ich glaube, was ich eher

machen würde ist, dass ich vielleicht der
Person selber schreiben würde. Genau. Also

ich finde das. Ich finde das ganz
schwierig, weil ich find, auf der einen

Seite steht so dieses, es soll besser
werden und die, es ist ein Gesetz, und die

haben da eine Verpflichtung zu und auf der
einen Seite ist so dieses, sind ja auch

nur Menschen, aber wer auch eine
Verpflichtung hat, sind ja

Programmierende, vor allem auch bei Jugend
hackt. Und ich glaube damit kennt sich Dфҿ

mit dem Zopf gut aus.
D: Genau. Da war ja, so kam auch im Chat

die Frage: Wie können wir selbst damit
umgehen, wenn wir irgendwie als

Hacker:innen, als Nerds irgendwie unsere
kleinen Sachen entwickeln? Und da ist,

finde ich, immer der erste Satz: Erst mal
überlegen was für Daten brauche ich

überhaupt, wenn ich irgendwie eine kleine
App baue, wo ich mich anmelden kann?

Brauche ich eine E-Mail-Adresse oder
reicht es, wenn ich mir einfach nur einen

Benutzer:innennamen gebe und ein Passwort?
Dann habe ich gar keine personenbezogenen

Daten außer dem Passwort und dann ist es
sehr viel einfacher, das zu schützen und

so weiter. Das heißt, was ich damit sagen
will, Privacy By Default und Privacy by

Design, also erst mal die Anwendung so
entwickeln, dass sie so wenig Daten wie

möglich überhaupt braucht und auch gar
nicht die Möglichkeit bietet, unnötige

Daten, also z.B. Geschlecht, Alter,
Nationalität, das sind Daten, die kann man

eigentlich immer weglassen, vielleicht
bevorzugte Sprache. Das kann sinnvoll

sein. Aber selbst das braucht man häufig
gar nicht. Viel wichtiger ist dann auch

die Dinge, die zu verarbeiten, oder
mindestens genauso wichtig ist es, die

Dinge, die auf jeden Fall verarbeitet
werden müssen, zu minimieren. Also z.B.

einfach mal nicht standardmäßig die IP
Adressen auf den Webservern speichern von

den Leuten, die es besuchen, automatisch
Posts z.B. in eine Chat App nach zwei

Wochen löschen oder generell alle Logging
Daten löschen, personenbezogene Daten

verschlüsseln. Also in der Datenbank, wo
Daten gespeichert werden irgendwie alles

mit Passwort verschlüsseln, was nicht für
andere zugänglich sein muss. Somit habt

ihr ganz eine minimale Angriffsfläche und
gewährleistet eben auch diese geforderte

Datensicherheit. Das heißt einfach, würde
ich sagen, immer minimieren, was wir

machen müssen.
P: Genau da würde ich nämlich auch sagen

das Wichtigste ist eigentlich erstmal,
dass man eben sagt, dass man. Also

Datenschutz ist grundsätzlich erst mal
Datensicherheit, also dass man Daten, die

man hat, sicher verarbeitet. Das heißt
eben verschlüsselt, sichere Transport

Kanäle nutzt. Also vielleicht habt ihr's
mitbekommen, es gab jetzt ja vor ein paar

Wochen so ein Bußgeld. Irgendwie 900 000
Euro gegen 1&amp;1. Das lag nicht daran, dass

die irgendwelche seltsamen Sachen gemacht
haben, irgendwelche kryptischen

Vorschriften gegen die, die verstoßen
haben, sondern die haben einfach nur dafür

gesorgt, dass andere Leute, die dazu nicht
befugt sind, auf die Daten zugreifen

können. Und das heißt, das sind eben
solche grundlegenden Sachen, dass man

erstmal dafür sorgt, dass die Daten
gesichert sind. Und das Zweite ist dann

eben, dass man vermeidet, personenbezogene
Daten zu verarbeiten. Das heißt auch

nicht, dass man nie welche verarbeitet
darf, sondern immer nur, ist es notwendig

und wenn ja, dann kann man sie
verarbeiten. Und sind die Daten überhaupt

geeignet? Also jetzt zum Beispiel hat
jemand beschrieben, dass das mit dem

Usernamen Namen guter Ansatz ist, aber
wenn man ohne Verifizierung Account

erstellen kann, ist das auch nachteilhaft.
Genau das ist halt eben so. Das ist immer

eine Abwägungssache, kann man jetzt. Man
kann nicht pauschal sagen, die Daten sind

gut, die sind schlecht, sondern man muss
halt immer sagen brauche ich diese Daten,

weil z.B. für jetzt eine Webseite, die nur
privat oder sowas ist, wo jetzt nichts

ist, braucht man vielleicht keine
Verifizierung. Andererseits gibt's

Webseiten, wofür man eine Verifizierung
braucht. Das heißt, es hängt immer

komplett davon ab, was man jetzt gerade
haben will. Und ja, das sind im

Wesentlichen die wichtige Sachen, dass
man's minimiert. Und dann gibt's noch so

ein paar seltsame Sachen, man muss so eine
Datenschutzerklärung hinschreiben, was

auch nicht so schwer ist, es klingt immer so,

als ob das total viel Aufwand ist. Aber
man muss im Prinzip nur schreiben, welche

Daten man verarbeitet, wofür und welche
Rechtsgrundlage das hat, gibt es

eigentlich im Wesentlichen nur "ist für
die Verarbeitung notwendig", "Ich hab ein

berechtigtes Interesse" oder die Person
hat explizit eingewilligt, wobei

Einwilligung auch wieder schwierig. Muss ich 
nochmal kurz lesen. Vielleicht könnt ihr

dazu noch ein paar Fragen stellen, wenn
ihr wollt. Aber jetzt wollte glaub ich

noch jemand nochmal was sagen. Einer von
euch.

L: Du bist grad gemutet.
D: Äh ja, genau. Ich wollte noch eine

Kleinigkeit sagen, und zwar
Datenschutzerklärung. Ganz wichtiger

Punkt. Und da, find ich, ist, kann man das
Prinzip Privacy by Design ganz gut

durchsetzen. Zwar nicht privacy by design,
das englische Wort Design, sondern da

können wir das deutsche Wort Design
nehmen, also vom Aussehen her. Da möchte

ich mal die Software von Google namens
Kaggle anführen. Google ist ja eigentlich

Datenschutz mäßig, echt ne Katastrophe in
vielen Punkten. Aber Kaggle, das ist ein

Framework für Online Deep Learning. Und da
fand ich es ganz schön, wenn du dich da

registriert. Da hast du die
Datenschutzerklärung, alle Punkte, nicht

rechtskräftig irgendwie so in juristischer
Sprache beantwortet, sondern mit ganz klar

einfachen, ganz klaren ein Satz, Fragen,
Antworten ist da einmal die

Datenschutzerklärung bei der Anmeldung
aufgeschlüsselt, das sind irgendwie nur,

ich sag mal 10 Zeilen, wo alle Punkte, die
in der Datenschutzerklärung drinstehen,

ganz klar aufgelistet sind. Und dann
gibt's natürlich nochmal die große

Datenschutzerklärung wurde des Ganze in
juristischem Englisch aufgeschlüsselt ist.

Aber eben einfach nochmal bei der
Anmeldung ganz klar die wichtigsten Punkte

nennen und nicht nur sagen Ja, ich habe
die Datenschutzerklärungen gelesen und so

weiter, sondern das übersichtlich
gestalten. Das finde ich einen ganz tollen

Ansatz und ich glaube würden mehr
Entwickler:innen diesen Ansatz verwenden.

Das finde ich einen sehr guten Punkt, was
wir alle berücksichtigen können. Und Liv

wollte noch etwas sagen.
L: Genau ich glaube eine Sache, die jetzt

auch immer so klar geworden ist. Als wir
jetzt darüber geredet haben, ist es

einfach wichtig so, das Mindset zu haben.
Und das, ich glaube, hat auch vorhin eine

person gefragt, so wie macht man das denn
Entwicklenden Personen einfacher, sich

daran zu halten und ich glaube das ist
wirklich sozusagen dieses Mindset, dass

man schon von Anfang an so denkt. Okay,
eigentlich möchte ich gar keine Daten

erheben und nicht davon ausgeht mit okay,
ich erhebe ganz viele Daten und benutze

nur die, die ich wirklich brauche. Und ich
glaube das kann sowas sein, wo man

vielleicht auch an sich selber arbeiten
kann und dass man so denkt, so okay, Also

vielleicht kann man auch im echten Leben
mal durchgehen und gucken, so was es für

Daten gebe ich über mich auch selber preis
und dann, sozusagen der default ist,

nichts preisgeben und immer nur das
preisgeben, was man braucht und ich glaube

das ist ein ganz gutes Mindset ist
generell. Also natürlich muss man da auch

Ausnahmen machen, man hat ja auch Familie
und Freunde, die vielleicht mehr über

einen wissen können. Aber ich glaube, dass
sich das auch ganz gut so auf Technologie

übertragen lässt, also dass man sich da
wirklich irgendwie drüber, dass man drüber

nachdenkt und an ein bisschen mehr Zeit
rein auch steckt. Und ich glaube, dass es

auch bei Jugend Hackt Projekten ja machbar
ist. Also hat man ja oft ein Wochenende

und ich glaube dann findet man da 10
Minuten bis ne Stunde, um da mal drüber

nachzudenken. Und das ist ja auch ethisch
interessant und dann ja auch mit Code die

Welt verbessern. Ich glaube dazu gehört
auch, dass man die Welt verbessert in

Hinsicht auf Datenschutz. Und es ist ja
auch ein wichtiges Thema für Jugendliche.

Warum glaubt ihr denn, wissen vielleicht
so viele Jugendliche gar nicht so viel

über Datenschutz? Oder ist es ihnen nicht
so wichtig? Nochmal so ein ganz anderes

Thema ist, die vielleicht erst Social
Media, wo Datenschutz vielleicht

fragwürdig gehandelt wird. Warum glaubst
du, dass vor allem Jugendliche das so

ignorieren?
P: Ja, die Frage ist, kann ich natürlich

nicht beantworten. Ich weiß jetzt nicht
genau, was andere Jugendliche denken, aber

ich denke, ein Problem ist zum einen, dass
Datenschutz immer so ein abstraktes Thema

ist, also da. Das liest man davon.
Manchmal liest man nur irgendwelche Sachen

in Zeitungen oder Online-Zeitungen.
Wahrscheinlich eher, aber weiß auch nicht

so richtig, was bedeutet das jetzt? Wie
betrifft es mich? Und zum anderen ist auch

so. So Datenschutzerklärungen sind ja wie
gesagt meistens in so einem Jura-Sprech

geschrieben, was eigentlich, ganz
interessant, gar nicht notwendig ist.

Eigentlich ganz im Gegenteil. Die soll ja
wie gesagt gut lesbar sein, sodass

möglichst jede Person die versteht. Dieses
Microsoft Beispiel von vorhin ist da eher

ein komplettes Gegenbeispiel. Es ist
eigentlich eher schädlich und man könnte

argumentieren ist fast schon eher
eigentlich schon wieder ein Verstoß gegen

den Datenschutz. Und das ist eben so.
Datenschutzerklärung und so was, dass es

nicht gut formuliert ist und das andere
ist, dass man sich auch mit der DSGVO gar

nicht so beschäftigt hat. Ich kann
tatsächlich allen Leuten empfehlen, sich

die mal durchzulesen. Die ist relativ gut
formuliert, anders als manch andere

Gesetze, die. Man kann sich da mal den
Anfang durchlesen, alles was man nicht

versteht, überspringen. Aber die meisten
Sachen versteht man eigentlich relativ gut

so, ohne dass man davor erst ein
Jurastudium oder so was benötigt. Und das,

finde ich, ist halt eben vorteilhaft auch,
das heißt, man sollte sich damit immer

beschäftigen und zum anderen müssten halt
auch eben, finde ich, müsste mehr

Awareness dafür geschaffen werden. Ich
hoffe natürlich. Wir hoffen natürlich,

dass dieser Vortrag ein bisschen dazu auch
beihilft, aber vielleicht sollte es auch

irgendwie in der Schule oder so was
angesprochen werden. Es gibt ja immer mehr

Informatik- oder ITG-Unterricht, also was.
Da könnte man halt auch sich vielleicht

ein oder zwei Stunden damit beschäftigen.
Es würde, denke ich schon sehr viel

helfen.
D: Genau in die Richtung auch, weshalb das

gar nicht so häufig ankommt bei den
Leuten, ist glaub ich, weil sie gar nicht

so das Verständnis dafür haben und gar
nicht nahe gebracht bekommen, weshalb das

wichtig ist. Darüber haben wir jetzt auch
gar nicht gesprochen. Es ist, wär nochmal

was völlig anderes, aber, dass viele Leute
sich gar nicht dessen bewusst sind, was da

für ein Finanzierungs- und
Ausbeutungsmodell hinterm Datensammeln

steckt und wie viel. Und weshalb überhaupt
eine App kostenlos sein kann. Ich glaube,

diese Reflexion fehlt bei vielen Leuten.
Das finde ich total schade. Oder Liv?

L: Genau. Ja, finde ich auch so. Ich
glaube, dass. Ich glaub Paul hat hier grad

schon sozusagen angesprochen, so sollte
man das auch mehr in der Schule

thematisieren? Dem stimme ich total zu.
Aber ich weiß nicht, ob sich alle Lehrer

dem so gewappnet fühlen würden. Genau. Ich
habe neulich eine Präsentation gehalten,

über Datenschutz für Jugendliche in der
Schule und hab da z.B. auch diese Webseite

"Have I Been Pwned" gezeigt, wo man so
seine Email-Adresse eingeben kann. Dann

kann man sehen sozusagen, wo es irgendwie
Leaks gab, wo die rausgekommen ist. Das

ist ja auch, was mit Datenschutz zu tun
hat. Und das fanden alle total cool und

total interessant. Und dort hab ich auch
DSGVO vorgestellt und das kannte praktisch

keiner. Also ich finde, das ist ein guter
Punkt, wo man ansetzen muss. Aber ich

glaube, es reicht nicht. Also ich glaube,
da muss die Schule an sich noch das selber

mehr pushen, weil man das nicht auf die
Schüler ablagern kann. Genau. Falls ihr im

Chat oder wo auch immer ihr grad - nein
man guckt nicht im Chat zu - wo auch immer

ihr grad zuguckt, falls ihr noch mit uns
weiter diskutieren wollt und noch Fragen

habt, gehen wir danach noch in einen Big
Blue Button Raum, der ein bisschen

Datenschutz freundlicher ist als Zoom,
also müsst ihr euch da keine Sorgen

machen. Und genau, wir würden uns freuen,
wenn noch möglichst viele Leute dort mit

uns weiterreden, da dieser Stream in 3
Minuten zu Ende ist. Aber genau. Mir hat es total

viel Spaß gemacht mit euch zu diskutieren.
Und ich finde es ist ein total wichtiges

Thema, wo ihr auch, glaub ich, endlos
weiter drüber reden könnte.

D: Genau an der Stelle nochmal. Wir haben
jetzt total viele, viel Rückmeldung schon

im Chat bekommen, dass euch der Talk
vielleicht auch gefallen hat und es freut

uns natürlich auch total, dass wir euch da
irgendwie ein bisschen Input geben können.

Ja, war total nett. Wird euch als
Publikum, auch wenn wir euch leider dieses

Mal nicht vor Ort sehen.
P: Aber es hat ja auch einen Vorteil

datenschutzrechtlich dann egal nein. Ok,
so funktioniert es nicht, aber gut. Ne,

hat mir auch Spaß gemacht. Auch danke für
die, die zugehört haben und ich freu mich

auch gleich dann noch auf vielleicht falls
noch Fragen sind im Big Blue Button,

vielleicht auch zu eigenen Projekten, wenn
ihr da was habt, könnt ihr erfahren,

vielleicht könnt ihr euch ja da irgendwie
weiterhelfen oder sowas.

L: Super, dann tschüss und bis zum
nächsten Community Talk.

D: Tschüss, bis zum Big Blue Button.

<i>Wikipaka Outro Musik</i>

Untertitel erstellt von c3subtitles.de
im Jahr 2021. Mach mit und hilf uns!