Wikipaka Intro-Musik
Liv: Hallo, ich hoffe man kann uns gut
hören und ihr seid alle sehr gespannt,
uns heute zuzuhören. Denn wir wollen heute
über Datenschutz und warum Datenschutz
besonders für Jugendliche wichtig ist, und
DSGVO, also die Datenschutzgrundverordnung
sind ja legalere Teile von, reden. Und wir
dachten, wir stellen uns erst mal vor.
Ich bin Liv und ich bin seit, ich glaube, erst
anderthalb Jahren bei Jugend Hackt dabei.
Genau. Und ich beschäftige mich selber mit
Datenschutz und werde euch auch ein
bisschen was von meinem kleinen Projekt
vorstellen. Ich benutze sie/ihr Pronomen
und gehe noch zur Schule, was
auch was mit meinem Projekt zu tun hat.
Paul: Hallo, ich bin Paul, ich bin 10
Jahre alt und studiere jetzt Informatik
und bin jetzt auch schon seit ein paar
Jahren bei Jugend Hackt, interessiere mich
auch für Datenschutz und werde euch auch
ein paar Sachen erzählen, was ich für
lustige Sachen mit Datenschutz gemacht
habe und so.
Dфҿ: Moin, ich bin Dфҿ mit dem Zopf,
Pronomen sie/ihr. Ich beschäftige mich
auch total gerne mit Datenschutz, gerade
auch in Bezug auf Software-Entwicklung.
L: Und wir dachten, wir fangen es mit
einem kleinen Ice Breaker an.
Und zwar: Was ist Eure Lieblings Datenschutz Funfact?
Ich brauch noch ein bisschen Zeit,
um mir was zu überlegen. Aber Paul, willst du
vielleicht anfangen?
P: Ja. Ich habe tatsächlich was, und zwar.
Es kennt ja eigentlich wahrscheinlich
ziemlich viele Leute diese
Datenschutzerklärungen. So ellenlange
Texte, die sich so gut wie niemand
durchliest. Und ich hab da mal angeguckt,
in der DSGVO, was da drin steht. Dazu und
da steht tatsächlich im Prinzip drin, dass
dass die mit Emojis gemacht werden können. Also
das steht nicht ganz drin.
Aber ich kann ja auch zeigen, was drin steht. So, jetzt
muss der Arm ja... also in der DSGVO steht
nämlich in Artikel 12 drin; die
Information können in Kombination mit
standardisierten Bildsymbolen
bereitgestellt werden. Und wenn sie in
elektronischer Form dargestellt werden
müssen, müssen sie maschinenlesbar sein.
Und ja, was sind standardisierte Bimbole,
die maschinenlesbar sind, als Emojis.
Es ist ganz witzig, weil es wird natürlich
Datenschutzerklärungen aufwerten.
Dann würden wahrscheinlich viel mehr Leute sich
auch die angucken.
D: Ja, total.
P: Dфҿ mit dem Zopf, hast du irgendwas?
D: Ja.
P: Was findest du so unverständlich?
D: Dein Funfact finde ich richtig gut,
auch im Positiven richtig gut.
Mein Funfact geht leider nicht ganz so ins
Positive. Ich habe mir mal die
Datenschutzerklärung von Microsoft
heruntergeladen und als PDF gespeichert.
Und jetzt kann man sich ja mal überlegen,
wie viele Seiten sind das wohl in A4.
Es sind 1200. Die sind in - und es ist ganz
clever gelöst. Es ist eigentlich nur so
eine Seite auf dem Bildschirm. Aber es
sind ganz viele Unterpunkte. Und wenn alle
expandiert sind, dann sind das 1200 Seiten
PDF auf A4. Das finde ich schockierend,
aber trotzdem lustig. Und Liv, hast du da
irgendwie was, was du lustig findest?
L: Ich fürchte, ich habe nicht so richtig
ein Funfact, aber eher so ein Nachdenkfact
Ich finde nämlich z.B. das Recht auf
Vergessenwerden in der DSGVO total
spannend und so, was es irgendwie ethisch
so bedeutet und so. Was macht das Internet
mit uns und wie lange bleibt man da? Und
so was ist nicht so'n Funfact, aber
so' Nachdenk-Fact. Und eine Sache die ich auch noch
sagen wollte: wir sind alle keine Anwälte
alles was wir sagen könnte theoretisch
falsch sein. Wir versuchen natürlich
unser Bestes zu geben. Aber falls ihr
irgendwelche richtigen Fragen habt,
die wirklich das Gesetz betreffen oder da
irgendwie Probleme habt, solltet ihr am
besten mit einem richtigen Anwalt darüber
sprechen. Genau. Wunderbar.
Dann erst einmal so: Warum ist
ist Datenschutz wichtig? Worum geht's
überhaupt bei Datenschutz? Dфҿ mit dem
Zopf willst du da mal was dazu sagen?
D: Ja genau, es gibt beim Datenschutz, so
unabhängig jetzt von Recht und
Datenschutzgrundverordnung und unabhängig
davon hochriskant, es gibt so Grundsätze
des Datenschutzes. Sind eher
philosophisch-ethische Grundsätze. Da geht
es darum, was ist Datenschutz überhaupt
und weshalb sind personenbezogene Daten
überhaupt wert zu schützen? Gut, die
meisten, die das hier angucken, haben da
schon so Idee. Aber trotzdem können's ja
nochmal durchgehen. Da gibt's den ersten
Punkt. Das ist ein ganz abstrakter Punkt.
Das ist der Grundsatz von "Treu und
Glauben". Das hört sich total kryptisch an.
Aber da geht's erst mal darum, dass
Datenschutz-Verhältnis, dass Daten
verhältnismäßig verarbeitet werden sollen.
Das heißt, dass ich nicht einfach
irgendwelchen Quatsch mit Daten machen kann
dass ich vertrauenswürdig umgehen
muss mit allem, was personenbezogene Daten sind.
Der nächste Punkt ist der Grundsatz
der Verhältnismäßigkeit. Das heißt,
ich darf nicht für irgendwie eine Bestellung
von 'ner Pizza, 'nen kompletten Lebenslauf
und die Schuhgröße aller Verwandten
verlangen. Das hat nichts damit zu tun und
steht in keinem Verhältnis. In anderen
Ländern kenne ich das leider.
In Indien ist das leider so, dass man alles
Mögliche über angeben muss,
aber eigentlich entspricht das nicht den
Prinzipien des Datenschutzes.
Der nächste Punkt ist die Zweckbindung. Das heißt, ich
darf nicht sagen...
P: Also ich wollt davor mal fragen. Weil
was sind diese personenbezogenen Daten?
Du hast den Begriff jetzt schon mal
verwendet, aber vielleicht weiß jetzt
nicht jeder, was das jetzt bedeutet. Also
was vielleicht willst du's kurz erklären?
D: Kann ich kurz machen. Personenbezogene
Daten sind alles, was mich identifizierbar
macht. Das könnte mein Name sein, meine
Adresse, mein Wohnort, mein Alter oder
eine Kombination, vor allem häufig, aus
dem, aber im Digitalen auch so Dinge wie
eine IP-Adresse. Damit kann ich
identifiziert werden. Personenbezogene
Daten sind alles, die bezogen auf mich
sind. Womit ich sagen kann, das ist
ziemlich sicher diese Person.
L: Ok! Genau, und diese, also
personenbezogenen Daten, glaube ich, das
ist so was, was man ganz oft hört.
Und da gibt's aber ja sozusagen auch noch
Unterkategorien. Also z.B. meine
Gesundheitsdaten sind total wertvoll, oder
sowas, das ich besser schützen sollte
als vielleicht meine Schuhgröße, obwohl man
natürlich irgendwie alle Daten schützen
sollte. Aber zum Beispiel mit meinen
Gesundheitsdaten kann man ganz viel Sachen
über mich herausfinden, über mein
persönliches Leben und mich vielleicht
auch irgendwie mehr beeinflussen. Und das
sind Sachen, die ich privat halten möchte,
wogegen z.B. meine Schuhgröße, obwohl sie
natürlich auch irgendwie zu mir gehört,
vielleicht nicht ganz so, so sensitive
Daten sind. Also da muss man auch nochmal;
es gibt personenbezogene Daten und die
selber haben auch nochmal Unterkategorien
sozusagen, wie - gefährlich ist nicht das
richtige Wort - aber wie schützenswert sie sind.
P: Genau da muss man ja auch beachten.
Also z.B. man kann ja mit Daten häufig
Leute, sag ich jetzt mal, erpressen in
Anführungszeichen, also mit bei
Gesundheitsdaten kann's ja zum Beispiel
sein, dass man nicht möchte, dass andere
die erfasst, weil die dann Druck auf einen
ausüben können, jetzt jetzt nicht ein
Beispiel so für Jugendliche aber z.B. im
Arbeitsleben oder sowas ist natürlich
relevanter teilweise. Darum sind die
besonders schützenswert. Aber generell ist
es ja eben immer der Punkt auch
wieso wir Datenschutz brauchen, weil
Datenschutz ja eben es ermöglicht, auf
Leute Einfluss auszuüben. Jetzt auch
bekanntes Beispiel war jetzt mit Brexit,
US-Wahl 2016, wo ja sehr viel an
extrem personalisierten Werbungen
gearbeitet wurde, was dazu geführt
hat, dass das Ergebnis schon, nach Ansicht
vieler Leute, beeinflusst wurde. Also das
ist ja auch ein wichtiger Punkt, dass Daten
geschützt werden müssen,
damit man nicht beeinflussbar ist über diese.
D: Genau das geht, finde ich, in 'ne ganz
interessante Richtung. Also in Datenschutz
geht es eigentlich immer darum, dass klar
sein muss, weshalb irgendetwas so ist. Das
ist so ein ganz wichtiger Grundsatz vom
Datenschutz. Und wenn ich irgendwelche
personalisierte Werbung zugesteckt
bekomme, von mir aus Wahlwerbung für
irgendeine Partei. Dann sollte ganz klar
sein, dass das personalisierte Werbung für
mich ist. Das ist ein ganz wichtiger
Grundsatz und das wird leider in vielen
Ländern der Welt mit Füßen getreten,
dass das so sein muss. Das finde ich ganz
schockierend.
L: Das stimmt. Ich glaube, dass so... Wir
haben so ein bisschen grad abgeschlossen,
warum Privatsphäre und generell
Datenschutz auch wichtig ist. Also gibt es
auch eine Website, die heißt
whyprivacymatters.org, ist auch auf
GitHub, könnt ihr auch ein Pull-Request
machen. Und genau, da ist einfach nochmal
so aufgelistet, so, dass man vielleicht
auch Daten besitzt, die anderen Leuten
gehören, die man nicht teilen sollte und
vielleicht auch an Institutionen. Dass es
Daten gibt, die sollte man nicht an der
Ecke finden, die man nicht an alle
Institutionen weitergeben sollte und an
das Handy zu trennen. Damit vielleicht
auch Informationen nicht herausgegeben
werden können, das sie irgendwie schlecht
aussehen, obwohl man eigentlich gar keine
schlechte Person ist. Aber ich glaube,
du hattest grade noch was zu
generell den Prinzipien von Datenschutz
gesagt, willst du dazu nochmal weiter
sagen?
D: Ja, ich kann. Ich kann's versuchen,
kurz zu fassen. Es gibt noch den Grundsatz
der Verhältnismäßigkeit. Das hatten wir
ja. Es gibt die Grundsatz der
Zweckbindung. Das heißt, ich darf nicht,
wenn ich sage, ich sammle Daten, um
irgendwie 'ne Volkszählung zu machen. Oder
Beispiele hier Corona. Ich darf nicht ...
Und wenn ich sage, dass ich Daten zur
Kontaktverfolgung sammle, darf ich die
nicht plötzlich für Kriminalverfolgung
verwenden. Das ist ein anderer Zweck und
die müsste ich dann, das müsste ich vorher
gesagt haben. Ich muss es transparent
machen. Ich muss ganz genau. Es geht auch
in die Richtung Zweckbindung. Ich muss
sagen wofür, warum, wie lange, was genau.
Ich muss einfach sagen, wie mit den Daten
umgegangen wird. Wer kriegt noch Zugriff
darauf und so weiter. Und danach zwei ganz
wichtige Punkte, nämlich die Daten-
Sicherheit, dass die irgendwie nicht
ungesichert rumliegen, das nicht vor
meiner Tür eine Kiste liegt mit all meinen
Kontaktdaten und Daten-Richtigkeit. Das
heißt, ich habe ein oder es sollte ich
sollte ein Recht haben, alle Daten über
mich, die falsch sind, korrigieren lassen
zu können, dass Leute verpflichtet sind,
falsche Daten von mir zu korrigieren und
so weiter. Und dann - das ist jetzt speziell
Europa - von der DSGVO her habe ich ein
Recht auf rechtmäßige Datenverarbeitung.
Genau deshalb. Das ist der Grund, weshalb
es die Datenschutzgrundverordnung in der
Europäischen Union gibt und die umfasst
nämlich all diese Grundsätze der Daten des
Datenschutzes.
L: Im Mittel die ganze Zeit das Wort DSGVO
um uns geschmissen. Will mal einer von
euch sagen, was überhaupt die DSGVO ist?
Also Paul, willst du das einfach mal
machen?
P: Ja, gerne. Also die DSGVO ist ein ja
nicht Ge... - es heißt nicht Gesetz,
sondern Verordnung - aber ist im Prinzip
ein Gesetz, das auf europäischer Ebene
2016 beschlossen wurde. Und da wird
festgelegt, dass die ganzen Regeln wie
Daten verarbeitet werden dürfen, wie die
weitergegeben werden dürfen, vor allem
auch in Länder außerhalb der EU. Welche
Rechte die, - das heißt betroffene
Personen sind die Leute, über die die
Daten, auf die sich die Daten beziehen,
also welche Rechte die haben und was. Das
soll vereinheitlicht werden, weil davor
gab es so, eher so ein Flickenteppich. Da
hatte jedes Land seine eigenen Regelungen
und die DSGVO hat das Ziel, dass eben die
Regeln möglichst einheitlich sind, damit
eben auch die Daten in der EU weiter
transportiert werden können, weil die
überall gleich geschützt sind. Und die
wurden wie gesagt 2016 verabschiedet und
ist dann 2018 am 25. Mai in Kraft
getreten. Man hat dann erst am 2018 so
richtig davon gehört eigentlich, weil dann
plötzlich in allen Zeitungen des stand
und. Ja, ist halt ein Gesetz, dass das
eben alles vereinheitlichen soll.
L: Genau, und ich glaube mal, so eine ganz
wichtige Sache ist, dass die DSGVO mehr
Rechte an sozusagen die Einzelpersonen
gibt. Also das sind z.B. dieser bekannte,
wieder bekannte Artikel 15, dass man zum
Beispiel fragen kann, was Institutionen
oder Firmen für Daten über einen haben. Oder
halt das Recht, dass man es berichtigen
kann und sowas. Also Einzelpersonen
kriegen mehr Rechte und Institutionen und
Firmen kriegen mehr Pflichten. Also dass
es da so nen, irgendwie so nen Wechsel
gibt und müssen vielmehr drauf aufpassen
und genau. Also nach dem 25. Mai 2018 zum
Beispiel sind dann auch so diese ganzen
Cookie-Banner oder sowas viel mehr
geworden, was man immer bestätigen muss.
Oder es gibt auch manche Seiten, also vor
allem amerikanische Seiten, die man halt
in der EU jetzt nicht mehr aufrufen kann,
weil die halt gesagt haben, dass sie das
nicht umsetzen, weil man das umsetzen
muss, wenn man europäische Bürger bedient.
Genau, hat vielleicht dazu noch jemand
was?
P: Ja, ich könnte noch kurz was sagen, und
zwar welche Ansätze die DSGVO verfolgt,
weil das ist ganz interessant, die
verfolgt so, im Prinzip gibt's drei
Säulen; als erstes sagt die DSGVO, dass
die Leute die Daten verarbeiten,
personenbezogene Daten, dass die selber
erst mal für die Sicherheit und für den
Datenschutz sorgen müssen. Da gibt's auf
Englisch ist hier das Schlagwort Privacy
by Default und Privacy by Design, also
Datenschutz als Standardeinstellung und
Datenschutz aber eben auch durch die
Technik-Gestaltung. Also ich muss halt
eben, wenn ich jetzt neue Software
entwickle dafür sorgen, dass die möglichst
Datenschutz freundlich ist. Da müssen dann
halt meine eigenen Interessen
zurückstehen. Das zweite sind eben die
eben schon erwähnten Betroffenen-Rechte.
Die sorgen halt dafür, dass ich als
Betroffener noch mein Datenschutz selber
in die Hand nehmen kann und dafür sorgen
kann, dass eben der Datenschutz
durchgesetzt wird. Und ich sehe inzwischen
ne Frage, dass Leute gefragt haben, wie
man das als Entwickler einfacher macht,
Datenschutzgesetze einzuhalten. Ich habe
dazu wollen wir nachher noch was sagen.
Aber grundsätzlich ist es so, dass man
halt auch eben als Benutzer auf einer
Webseite oder als Benutzerin dafür sorgen
kann, dem man hat eben seine
Datenschutzrechte, also so Auskunft und
Löschung, Berichtigung und sowas nutzen
kann. Und das dritte ist, dass eben es
auch Haftung und Geldbußen und sowas gibt.
Es sind immer diese gefürchteten Millionen
Bußgelder, die die Aufsichtsbehörden
verhängen können, was eben dazu sorgt,
dass die DSGVO notfalls auch ich sage mal
Datenschutz mit der Brechstange
durchgesetzt wird.
D: Ah sorry, genau. Kleine Anmerkung da
noch, wir reden jetzt ja immer die ganze
Zeit über Digitales, und Datenschutz ist
im Digitalen ja auch total wichtig und
total weit verbreitet. Aber Datenschutz
ist genauso - die DSGVO vor allem - die
gilt genauso in der analogen Welt. Das
heißt, die gilt genauso, wenn ich irgendwo
ein Formular vor Ort ausfülle. Und das ist
immer auch total wichtig zu beachten, dass
es im Datenschutz auch so eine total
wichtige Schnittstelle zwischen der
analogen und der digitalen Welt ist.
Genau. luap hat das gerade ganz gut
formuliert. Die ist Technik neutral. Das
heißt, es ist völlig egal, ob ich da jetzt
was Digitales, was Analoges, ob ich da ne
Diskette oder WLAN verwende. Datenschutz
gilt immer, weils einfach eine
Grundverordnung ist, die überall gilt und
was total wichtige Grundsätze vermittelt.
L: Das stimmt. Das ist, finde ich, ein
total wichtiger Punkt, wo wir vielleicht
auch schon, also wir dachten, wir reden so
ein bisschen über zwei große Themen. Das
eine ist irgendwie so, also wir dachten,
es ist für Jugendliche vor allem dann so
was beschäftigt uns, irgendwie Schule und
Programmieren. Und deshalb wollten wir
einmal so auf den schulischen Aspekt
eingehen. Genau. Und wie Datenschutz in
der Schule unserer Meinung nach umgesetzt
wird und so den ganzen Aspekt. Und dann
einmal so Ich als programmierende Person
sitze bei Jugend Hackt und möchte
irgendetwas machen. Worauf muss ich
achten? Was hab ich da für ne
Verantwortung? Genau.
P: Ich glaub, Liv, du hattest doch jetzt
auch ein paar Sachen mit Schule, willst du
da mal anfangen?
L: Kann ich gerne machen. Genau. Ich
meinte nur Schule, weil ich dachte, dass
ne Schule ja noch vieles analog passiert.
Und z.B. glaube ich, könnte man auch
Auskunft über seine ganzen Arbeiten, die
müssen ja auch aufgehoben werden. Ich weiß
gar nicht wie lange, relativ lange und auf
jeden Fall. Ich glaube, dass man die
theoretisch könnte man sich auch sozusagen
erfragen, ist halt viel zu großer Aufwand,
deshalb können die einfach nein sagen.
Bzw. genau. Aber da ist dann ja auch noch
eine Sache, wo es dann halt analog ist und
wo man auch sich fragen kann, ob das alles
so Datenschutz konform ist. Wenn es dann
irgendwo in nem Keller liegt. Aber genau
dann fang ich mal an. Ich hab eine; ich
hätte noch ne kleine kreative Attacke vor
ner Stunde und hab was versucht zu
zeichnen. Genau das könnte jetzt auch mal
einblenden, dass ist nicht besonders
hübsch geworden. Aber hier was ihr sehen
könnt ist so ein tolles Kuchen Diagramm,
was zeigt, wie viele der DSGVO Anfragen,
die ich an verschiedene Schulen und
Bildungseinrichtung gestellt habe,
erfolgreich waren. Ich hatte leider jetzt
irgendwie keinen Geodreieck oder so.
Zimtgrün soll ein Fünftel sein. Ich hab 5
gestellt. Eine davon hat wirklich
funktioniert. Das soll das Grüne
darstellen. Das Rote soll das darstellen,
was nicht so gut funktioniert hat. Genau,
wie ich das gemacht habe, es gibt ne
Seite, die heißt "Daten anfragen", da kann
man sich so ein tollen Text copy pasten
und kann dann da hinschicken, können das
bisschen personalisieren, was man möchte.
Und genau das hab ich einfach mal gemacht.
Das hab ich an eine Uni und an drei
Schulen, zu denen ich gehe, gemacht.
Genau. Und ich habe sozusagen eine meine
richtige Schule besucht. Dann noch Kurse
an zwei anderen Schulen, die natürlich
auch die Daten über mich speichern. Und
dann hab ich noch an das Kultusministerium
von meinem Bundesland geschickt. Genau.
Und wir fangen jetzt erst mit dem
positiven Beispiel an.. Aber genau es ist
wunderhübsch geworden. Ich hoffe, ihr seid
mir nicht zu wütend, dass sie mich nicht
so hübsch geworden ist. Aber genau. Also
sehr, sehr vereinfacht der Prozess, genau
an der Uni, was man ja macht sozusagen.
Man schreibt eine E-Mail, schreibt da
rein. So ein bisschen kondensiert. Hallo,
welche Daten haben Sie über mich? Und dann
ist das richtige, was Sie machen sollen,
ist, dass Sie nachgucken, ob das auch
wirklich ich bin, der es gestellt hat.
Sonst könnte ja einfach jede Person sagen
Hallo, ich bin Liv, Ich hätte mal gern
Livs Daten. Das wäre ja suboptimal. Also
bei der Uni hat das perfekt geklappt. Ich
hab meinen Personalausweis geschwärzt
dahin geschickt und die haben mir meine
Daten zurückgeschickt, genau so wie es
sollte. Also 10 out of 10. Das
funktionierte gut. Das war leider aber
auch das einzige Erfolgserlebnis. Genau
wenn wir erst mal weitergehen. Genau wie
Schule 1, Schule 1 hat auch würde ich
sagen können die Schulen am besten
abgeschnitten noch. Ich hab auch
geschrieben: "Hallo, welche Daten haben Sie
über mich?" Das ist übrigens nicht meine
Hauptschule, nicht Hauptschule aber nicht
meine sozusagen erste Schule. Genau die
wollten einen Personalausweis. Kann sagt
in der Pause mit meinem Perso
vorbeikommen. Das okay, das verstehe ich.
Genau. Was Sie mir dann gegeben haben.
war so ein Zettel auf dem nur stand, was
für Arten von Daten Sie von mir haben,
aber nicht, welche Daten Sie wirklich
haben. Also sie haben geschrieben, wir
haben deinen Vorname, deine Adresse und
deine Noten. Aber ich meine, der Sinn von
DSGVO ist ja auch, dass ich weiß, was
genau sie haben, damit ich es korrigieren
kann. So hab ich keine Ahnung, was die da
wirklich gespeichert haben und kann's ja
nicht korrigieren. Aber ich dachte, dass
es noch so ein bisschen am Ziel vorbei,
aber es ist okay. Also so vielleicht acht
von zehn. Aber oh, schön, es gibt Lob für
die Zeichnung. Dankeschön. Dann gibt's
Schule 2. Schule 2 ist auch nicht meine
richtige Schule und Schule 2 habe ich auch
genau die gleiche E-Mail geschickt. Wollte
wissen, was sie für Daten über mich haben.
Zurück kam, "wir kennen dich nicht, und
selbst wenn, du weißt ja wohl selber,
welche Daten du angeben hast". Du musstest
ja wahrscheinlich ein Formular ausfüllen.
Daraufhin hab ich dann geantwortet, dass
ich dort den und den Kurs besuche bei dem
und dem Lehrer. Und dann kam zurück. Ja
gut, aber du weißt ja selber, wo du
wohnst. Auch nicht ganz der Sinn von
DSGVO. Ja, ich würde sagen, das fande ich
so ein bisschen merkwürdig, weil alle also
allen Schulen, denen ich geschrieben hab,
haben eine beauftragte Person für
Datenschutz, ich dachte, die würden sich
vielleicht ein bisschen besser auskennen.
Also genau, danach war ich irgendwie sehr
verwirrt. Aber genau es gab je nach Schule
3,..
P: Kann ich dazu eine Frage, gleich ne
Frage stellen, und zwar hast du dann
irgendwas danach gemacht, als du so ne
Antwort bekommen hast oder hast du gesagt,
ich lasse es jetzt, ich spar mir die Mühe
oder?
L: Soll ich's? Ich beantworte es mal
gleich nachdem ich noch Schule 3
vorgestellt hab und das danach, weil da
hab ich auch ganz viel drüber nachgedacht.
Genau das ist dann meine richtige Schule.
Da wollte ich dann einfach mal so fragen,
was sie für Daten über mich haben. Und
mein Lehrer, also mein Informatik-Lehrer
ist dort Datenschutzbeauftragter und der
hat gesagt, dass er leider im Moment keine
Zeit hat. Genau, warum ich nicht
weitergemacht habe, erzähle ich euch auch
gleich. Aber das war leider das
Traurigste, sodass gar nichts
rausgekommen. Genau. Und dann gibt es noch
mein fünfter Versuch. Der ist dann beim
Kultusministerium, weil ich da persöhnlich
mal aktiv war. Und genau, hab genau die
gleiche E-Mail geschickt und hab dann
einfach meine Daten zurückbekommen ohne
Identifikation. Was ich persönlich ein
bisschen merkwürdig fand. Also das PDF war
passwortgeschützt mit dem Datum, an dem
ich es bekommen habe. Aber. Ich meine, es
hätte ja jeder schreiben können: Hallo,
ich bin Liv. Ich hätte gerne meine Daten
und hätte dann meine komplette Anschrift,
mein Geschlecht, meine Handynummer, mein
vollständigen Namen. Und eigentlich auch
die Herkunft der Daten bekommen. Also da
hatte ich ein bisschen Bauchschmerzen, als
ich die Antwort bekommen habe. Und genau
ich wollte jetzt nicht so gerne sagen,
welches Bundesland das ist, weil es da
eine Person gibt, die dafür zuständig ist.
Und ich glaube, da kommen wir auch schon
so; Warum mich dann nicht mehr gemacht
habe. An der Schule finde es einfach
schwierig, weil ich sozusagen; meine Note
hängt ja von den Lehrern ab und würde ich
da so sehr, wenn ich könnte, dagegen ja
vorgehen. Das ist ja nichts recht. Es ist
nicht rechtmäßig, was die gemacht haben.
Aber die Frage ist, dass ich dort
irgendwie Abitur machen möchte und schon
ging mir das jetzt nicht so kaputt machen
möchte. Genau. Beim Kultusministerium hab
ich auch drüber nachgedacht. Aber ich
finde es schwierig. Weil es eine Person
ist und ich nicht weiß, wie genau. Also
ich möchte nicht, dass die Person jetzt
ihren Job verliert. Aber sowas ist ja
irgendwie ein blöder Fehler. Aber ich
finde, es ist eigentlich schon nicht
unwichtig. Genau deshalb hab ich da halt
nicht weitergemacht. Falls aber jemand
Ideen hat, wie man das so zu sagen
weitermachen könnte oder irgendwie so. Ich
hab, binjetzt auch nicht so auf
Konfrontation aus. Es war für mich
wirklich eher so ein kleines Projekt. Mal
gucken, wie funktioniert das überhaupt?
Und ich will auch keine Schule da jetzt
irgendwie schlecht darstellen oder sowas.
Und ja, das war für mich eher so ein
privates Projekt, so ein kleines. Aber.
Genau. Also ich finde es zeigt einfach,
dass es vielleicht ein strukturelles
Problem ist, dass die Schulen es auch
einfach alleine nicht hinkriegen. Und das
ist nicht die Schuld von den Lehrer:innen
ist, aber, dass der einfach ich vom Land
sehr viel mehr getan werden muss, dass die
Schulen da Unterstützung kriegen, weil es
ja anscheinend nicht funktioniert und auch
man selber nicht. Aber genau das ist so
ein bisschen das, was ich gemacht habe.
D: Ja 'n total cooles Projekt finde ich
und ich finde es gibt uns auch schon
ziemlich viel Erkenntnis darüber, wie
Datenschutz im Alltag tatsächlich
funktioniert und in Schulen ich mein, da
sind wir alle von betroffen. Alle jüngeren
Leute, wahrscheinlich das meiste Publikum
dieses Talks hier und was noch weiter so
schief läuft, gerade im Bezug auf Bilder
und auf Videoüberwachung, was ja total
sensible Daten sind. Ich meine, damit kann
mensch ja total einfach Leute
identifizieren. Da hat Paul auch ein total
interessantes Projekt mit Bahn, mit der
Bahn gemacht. Was da so schief läuft.
Vielleicht kannst du das einmal
vorstellen, Paul?
P: Ja, gerne. Und zwar ein leidiges Thema,
das auch jedes Jahr auf diesem Kongress
Gegenstand ist. Von entweder Vorträgen
oder Schill-, okay, dieses Jahr mit den
Schildern ist es nicht so super, aber so
Zetteln an der Wand. Das Problem ist
immer, man wird über-. Es wird viel mehr
videoüberwacht. Alles mögliche soll
videoüberwacht werden und die Frage ist
dann auch immer, ob das immer notwendig
ist. Ich meine an Bahnhöfen wird
videoüberwacht und ich sehe dann mal so
einen Zettel. Kennen Sie diese Person? Und
das Bild ist in total niedriger Pixel
Qualität. Weiß nicht, was es dann bringt,
ob das etwas bringt. Aber es wird immer
ziemlich bezweifelt. Aber jedenfalls das
Problem mit viel Video-Überwachung ist,
dass die die ganzen Daten bekommen und wir
aber eigtlich die nur eingeschränkt
überprüfen können, weil man kann in der
DSGVO immer Datenverarbeitung damit
begründen, man hat ein berechtigtes
Interesse daran. Das heißt es liegt an
irgendetwas daran und es ist auch schon
irgendwie ein bisschen wichtiger als das
Interesse, dass die Daten nicht
verarbeitet werden. Und damit kann man sie
mal ganz gut bei dem Thema Überwachung,
das begründen und das kann man dann halt
nicht so gut überprüfen. Und da hatte ich
dann neulich, als ich mit der S-Bahn
gefahren bin in Berlin. Da stand plötzlich
in einem der Züge so ein Zettel, ja, Alles
wird videoüberwacht. Dann hab ich mir die
Zugnummer aufgeschrieben und so ein paar
seltsame Gesten gemacht, so gezeigt, so da
hier auf das Zettel mal überwenkt und
gewunken. Und habt ihr dann irgendwie 2
Stunden später eine E-Mail geschrieben,
ja, schickt mir doch mal bitte meine
Daten. Ihr könnt mich daran
identifizieren, dass ich das und das
gemacht habe. Ich hab so eine Maske
getragen. Also eigentlich alles, um mich
zu identifizieren, weil es auch eher
unwahrscheinlich ist, dass eine andere
Person genau die gleichen Sachen macht.
Und dann ist es so, das stand auch noch
dabei, dass es innerhalb von
achtundvierzig Stunden gelöscht wird,
automatisch und dadurch gesagt, ja, man
kann so verlangen, dass das eben, das
heißt Verarbeitung einschränken. Also man
kann sagen, ja, verschließt das Mal, sorgt
dafür, dass es nicht gelöscht wird. Und
die so, nöö, sind überhaupt keine
personenbezogenen Daten. Und außerdem geht
es nicht Sicherheitsinteressen blabla
andere Interessen. Und dann, das ging
tatsächlich sehr schnell, muss ich sagen.
Das fand ich gut, dass ihr; dass die da
innerhalb von irgendwie ein paar Stunden
geantwortet hatten. Das Problem war dann
nur, ich hab dann zurückgemeldet und
gesagt naja, es war schon personenbezogene
Daten, weil man kann mich damit
identifizieren, wenn man z.B. weiß, dass
ich so eine Maske trage und so so so. Und
dann. Außerdem müsst ihr mir das dann
rausgeben und Sicherheitsinteresse stimmt
auch nicht so ganz. Weil erstens, wir
wissen ja alle oder ziemlich viel wissen,
dass Security by Obscurity nicht so
richtig was bringt. Und zum anderen ist es
auch so, dass
D: Ganz kurz.
P: Ja.
D: Dazu vielleicht kannst du auch einmal
nochmal erklären, was Security by
Obscurity ist. Das wissen vielleicht nicht
alle unsere Zuhörer:innen
P: Genau gerne. Also Security By Obsucrity
heißt im Prinzip wenn ich was
verschlüssele oder geheim halten will,
dann soll ich nicht geheim halten, wie das
funktioniert. Also des
Verschlüsselungsverfahren, sondern nur den
Schlüssel. Also im Prinzip könnte man sich
bei einer Haustür vorstellen, ich soll
mein Haus nicht dadurch verstecken, dass
ich mein Haus geheim halte, sondern dass
ich einen Schlüssel habe, den niemand
anderes hat. Und das funktioniert halt
eben. Es ist halt so ein relativ
grundlegender Grundsatz von Sicherheits-
Technologie. Und außerdem ist es so, dass
in vielen Supermärkten ja immer man
teilweise noch sieht, ein Live-Stream der
Videoüberwachung. Das heißt, es kann auch
nicht so das Problem sein und dann hab ich
das jetzt geschrieben und das ist jetzt
aber, da haben die dann irgendwie ein paar
Wochen später darauf geantwortet. Und
jetzt habe ich inzwischen mich bei der
Landesbeauftragten für Datenschutz
beschwert. Kann man nämlich machen, wenn
man der Meinung ist, die Daten werden
unrechtmäßig verarbeitet oder von
Betroffenrecht wird verletzt, dann kann
man sich beschweren und dann ermitteln die
und es kann dann auch Geldbußen geben. Und
wenn man will, kann man danach auch klagen
oder sowas. Aber ja. Aber das ist jetzt
erstmal noch nichts weiter. Aber dann noch
erstmal zurück zum Thema Schule. Jetzt
gerade ist ja so, dass man viel online
Lernen und sowas hat über verschiedene
Technologien. Ja, der ganze Rest ist ja
online und die, viele Schulen verwenden ja
Software, die nicht ganz so Datenschutz
konform ist oder die Probleme bereitet und
nicht Open Source ist. Und Dфҿ, du hattest
ja dich mit Zoom beschäftigt, willst du
dazu was erzählen?
D: Ja, genau. Also Zoom ist ja total
populär geworden seit Anfang des ersten
Lockdowns, gerade in Schulen und in
Unternehmen wird es total viel zu
Videokonferenzen verwendet, genauso wie
andere Software, die mindestens genauso
fragwürdig ist. Und wir hatten mal in der
Jugend Hackt Community online darüber
diskutiert, wie der Datenschutz bei Zoom
ist. Und daraus hab ich dann mal einfach
den Entschluss gefakt, gefasst. Ich frag
da mal an, ich bin von der Schule aus
verpflichtet, Zoom zu verwenden. Ich frage
mal an, was die über mich haben. Die
Reaktion war gar nichts. Sie haben erst
einmal nichts gemacht. Ich habe die
mehrfach daran erinnert. Ich glaube, zwei
Tage vor der, vor dem Ablauf der 30 Tages
Frist auf die Antwort nach Artikel 15
haben Sie mir geantwortet, und eine Kopie
der Datenschutzerklärung geschickt. Das
ist natürlich überhaupt keine valide
Anfrage. Ich hab nämlich nach sehr
speziellen Punkten gefragt. Ich hab
gefragt, ob Daten von mir dauerhaft
gespeichert werden, wenn ich an einem
Meeting teilnehme auf Zoom. Ob die End-zu-
End Verschlüsselung, also ich wusste, dass
sie nicht existent ist, obwohl es genannt
wird. Ob die existiert? Darauf sind sie
nicht eingegangen und ich hatte gefragt,
ob die Daten, die sie speichern von mir
eventuell wie Logging Daten von Clarifying
Lawful Oversea Act, vom sogenannten US-
Cloud Act betroffen sind. Auf keinen der
Fragen haben sie geantwortet. Halte ich
auch nicht erwartet. Ich hab ihn dann noch
geschrieben. Ich, dass Sie bitte die
letzten 2 Tage, die sie noch Zeit haben,
das bitte beantworten sollen, haben sie
nicht gemacht. Danach hab ich das an den
zuständigen Landesdatenschutzbeauftragten
gegeben. Der hat das nach ich glaube 3, 3
mal nachhaken hat er das angefangen zu
bearbeiten. Und ich habe irgendwann eine
Antwort bekommen von Zoom und die war: Sie
können nichts dazu sagen, weil sie von mir
keine Daten haben. Ich könne nur eine
Anfrage stellen, wenn ich einen Zoom
Account hätte. Das ist erstmal per se
falsch, weil Daten auch ohne Account von
mir verarbeitet werden. Das ist natürlich
ein Skandal. Da habe ich zurück an den Landes-
Datenschutzbeauftragten geschrieben, der
meinte ja, sie geben das gerne mal weiter
und werden sich persönlich da nochmal
erkundigen. Rund eine Woche später hab ich
eine Antwort von denen nochmal bekommen,
also vom Landesdatenschutzbeauftragten. Ja
also, sie können das jetzt erstmal nicht
weiter bearbeiten. Sie wissen einfach
nicht, wer in der Europäischen Union für
die Beantwortung der Anfrage zuständig
ist. Sie wussten nicht, ob Sie das jetzt.
Also Sie sind auf jeden Fall nicht
zuständig, konnten Sie mir sagen. Aber sie
waren sich jetzt nicht sicher. Es ginge
darum, ob die französische, die
niederländische Niederlassung zuständig
für meine Anfrage ist. Und Sie konnten
sich einfach nicht entscheiden, ob die
niederländische oder die französische
Niederlassung von Zoom, und dem die
entsprechend französischen oder
niederländischen Behörden für meine
Anfrage zu Verständ-, zuständig sind und
haben dementsprechend erst mal nichts
gemacht. Währenddessen hab ich mich noch
weiter beschwert bei Zoom, und dann haben
sie mir irgendwann auf meine erste Frage,
ob das nämlich alles verschl- Ob das alles
verschlüsselt ist. Da steht ja zu Ende-zu-
End Verschlüsselung oben drin. Das habe
ich im März habe ich das in der Anfrage
formuliert. Da haben Sie mir gesagt Ja,
seit August wäre End-zu-End
Verschlüsselung verwendet und
dementsprechend ja, alle meine Daten seien
verschlüsselt worden. Das klingt ja ganz
toll. Nur leider haben Sie mir im August
geschrieben, dass seit August
Verschlüsselung ist. Und meine Frage aus
dem März, ob das verschlüsselt ist, haben
Sie mit Ja beantwortet, obwohl Sie da
gerade gesagt haben - nee, meine Daten von
damals wurden gar nicht verschlüsselt. Und
das ist ein Skandal, dass mir so
geantwortet wird. Ja, das ist jetzt beim
Bundesdatenschutzbeauftragten gelandet. Da
war die Antwort sie sind nicht zuständig.
Und jetzt warte ich, bis ich mal Zeit
habe. Und ich habe vor, das auf jeden Fall
vor Gericht zu bringen, weil ich finde, so
ein Verhalten, das er seit mehreren
Punkten klar Verstöße gegen Artikel 32 bis
34, gegen Artikel 15. Ja, und das ist ein
absolutes No-Go!
L: Genau, du hast uns ja gerade schon
nochmal angesprochen so. Also ich meine,
das ist ja schon ziemlich erschreckend,
dass du das in der Schule irgendwie
benutzen musst.
D: Jetzt nicht mehr.
L: Und es aber diese Lücken auch gab.
D: Hat was gebracht.
L: Bin ich sehr glücklich. Ich habe von
Anfang an haben wir uns Big Blue Button,
und es ist besser, genau. Und nochmal mit
Schule. Da hat doch eine Person auf
Twitter geschrieben, dass eine
Sicherheitslücke irgendwo in einem System
der Schule gefunden hat, womit man die
Namen aller Schüler nachschauen konnte,
die sitzengeblieben sind, und das dann die
Personen zu dem Software-Hersteller gegangen
ist, und das bekannt war und das war ein
Sonderwunsch des Schulträgers war und das
dann Datenschutzbeauftragte der Schule
meinten, das ist legal und richtig so.
Ich finde das zeigt ja auch nochmal, wie
viel Arbeit noch in Schulen gemacht werden
muss. Und total gut aber, dass du dich
dafür dann so einsetzt. Ich meine, das ist
ja auch nicht selbstverständlich. Da gibt
es ja dann auch viele Schüler:innen die
sozusagen einfach nur mitmachen müssen und
halt nicht das richtige Know-How haben,
sich vielleicht wirklich sozusagen dagegen
zu wehren, wie du das jetzt gemacht hast.
Also ich finde, das ist sehr gut, dass du
das gemacht hast.
D: Genau. Ich finde, das zeigt, dass ist
natürlich total schlimm ist, dass diese
ganze Problematik gerade in Schulen gibt,
wo total sensitive Daten wie
Leistungsdaten von Schüler:innen
verarbeitet werden. Das ist ein Problem,
dass es diese Problematik da gibt.
Natürlich. Aber ich finde, das ist ja
genau. Paul sagt gerade Kinderdaten, es
ist ja nicht von irgendwem, sondern von
Kindern, die ja eigentlich schützenswert
sind. Aber es ist gar nicht das zugrunde
liegende Problem. Ich persönlich sehe das
zugrunde liegende Problem viel tiefer, und
zwar darin, dass die Informatik in Schulen
völlig veraltet ist. Die Lehrer:innen sind
häufig gar nicht qualifiziert und der
Datenschutz wird häufig an irgendwelche
Lehrer:innen abgetan, die keine Ahnung
davon haben. Ah, und das in Kombination
mit sowieso schon schlecht qualifizierten
Informatik Lehrkräften vielerorts in
Deutschland und generell ein geringen
Stellenwert von der Informatik in Schulen.
Das ist ein Riesenproblem und vielleicht
da hab ich, ich habe auch die Hoffnung,
dass sich das vielleicht irgendwie wann
ändern wird, und dass dann das eben der
Datenschutzthemen mit einher gehen wird.
P: Ja, jetzt zu dem konkreten Fall. Ich
weiß gar nicht, ob man das jetzt aus
Datenschutzgründen vorlesen darf. Nein.
Also da ging es darum, dass Lücken die
Namen der sitzengebliebenen Schüler
verraten haben und dann wurde anderen noch
bedroht. Das geht natürlich gar nicht. Es
kann tatsächlich sogar teuer werden. Ich
weiß jetzt nicht, ob das jetzt der Fall
für die Person, die das gefragt hat, schon
abgeschlossen ist, aber ich. Mein Tipp
wäre sich bei die oder der dann, also der
oder dem Landesbeauftragten zu beschweren.
Die müssen einem eigentlich auch innerhalb
von drei Monaten antworten, sonst kann man
sich da auch nochmal. Kann man da gegen
auch nochmal vorgehen. Weil so was kann
teuer werden, weil hier in der DSGVO
drinnen, personenbezogene Daten müssen
geschützt werden und wenn die
unbeabsichtigt weitergegeben werden, dann
müssen auch die betroffenen Personen
informiert werden. Also das ist, das
sollte man. Da kann man sich dann gut
beschweren. Und genau hier hat, wurde auch
hingewiesen, jemand. Man kann auch den CCC
oder Jugend Hackt konsultieren. Ich denke,
die können da auch vermitteln, was man da
machen soll. Aber Beschwerde bei der
Landesbeauftragten hilft sicher. Und wenn
die einem dann blöd kommen mit, wir
schmeißen dich raus oder sowas, dann
kriegen die nur noch mehr Ärger. Also es
geht einfach nicht.
L: Genau. Eine Sache noch, genau ich hab
mir ja schon gesagt, ich wa so bisschen so
Landesschulbehörde aktiv. Und dort saß ich
auch in so nem Ausschuss. Und was daran
war, ist, dass auch das war, es muss 2018
gewesen sein, so kurz nachdem die dann
wirklich so in Kraft getreten ist. Und da
wurde dann drüber diskutiert, was denn
personenbezogene Daten in der Schule sind
und was davon besonders schützenswert ist.
Und das fand ich so überraschend, dass da -
wir saßen da alle in einem Raum, da waren
dann noch Vertreter von dings, von
religiösen Gemeinden und so, also
generell, das war so ein, ähm, so ein,
einfach so ein großes Treffen, Urbach, der
Kultusminister anwesend war. Und das fand
ich einfach sehr, sehr erschreckend, dass
das irgendwie da diskutiert wurde, und
dass das noch gar nicht so so sicher war.
Also zum Beispiel Religionszugehörigkeit
wird ja auch in der Schule gespeichert,
damit man den passenden
Religionsunterricht angeboten bekommen
kann. Und das sowas, ist ja auch irgendwie
personenbezogene Daten und auch sensitive
Daten. Meine Religionszugehörigkeit kann
mich ja für bestimmte Sachen vielleicht
angreifbar machen. Und das fand ich total
erschreckend irgendwie, dass das so offen
gelassen wurde. Genau. Und ich glaube, was
wir hier grade schon jetzt die ganze Zeit
angesprochen haben, war dieses
Konfrontation-Sachen, also wie geht man
damit um, wenn was falsch läuft? Habt ihr
beiden da vielleicht Ideen, weil ich bin
ja selber in der Position, wo ich sage
ich. Ich weiß nicht, wie ich damit umgehe,
Dфҿ mit dem Zopf, du bist ja sehr offensiv
da, aber ja, ich find's. Ich find's
schwierig, vor allem wenn man jugendlich
ist und vielleicht unter 18 und nicht
richtig weiß, wie man sich wehren kann.
D: Genau so, bei Schulen hab ich da ne
ganz schlechte Erfahrung. Ich hatte auch
schon in anderen Punkten mit verschiedenen
Schulen und verschiedenen Behörden um die
Bildung herum Auseinandersetzung mit
Datenschutz, da ist Konfrontation natürlich
extrem schwierig. Weil das am Ende die
Leute sind, die dir deine Zeugnissnote
geben. Und natürlich werden die nicht
sagen, du hast eine Anfrage über
Datenschutz gestellt, du hast dich
beschwert, wir geben dir eine schlechtere
Note, aber das ist natürlich so eine
unterschwellige schlechte Stimmung, die da
entsteht. Das heißt, ich würde eher
empfehlen, immer freundlich zu reagieren
und zu sagen, hm ey, ihr Lieben, hier
läuft irgendwas nicht ganz richtig. Könnt
ihr das nicht so und so machen? Das wäre
irgendwie besser. Damit seid ihr auf der
sicheren Seite. Also irgendwie eher so
Hilfe anbieten und zu sagen, so könnte man
es verbessern, als zu sagen: Hey, das ist
alles total falsch. Und wenn ihr es mit
einer doofen Firma zu tun hat, würde ich
da tatsächlich vorschlagen, auf
Konfrontation gehen. Es kann, die meisten
Firmen spielen auf Zeit. Aber wenn ihr denen
zeigt ihr seid hartnäckig, dann tun sie
meistens am Ende, was ihr wollt. Aber es
kann natürlich Monate oder bei meiner
Sache z.B. jetzt schon fast ein Jahr
dauern und man kommt nicht unbedingt immer
weiter. Vielleicht können wir damit zur
nächsten Frage weitergehen. Irgendwer
hatte doch im Chat reingeworfen, ja
einfach die Fälle alle an nen Abmahn-
Anwalt geben. Was haltet ihr davon? Findet
ihr das richtig, findet ihr das falsch,
findet ihr, das sollte man machen.
Vielleicht Paul hast du dazu ne Meinung?
P: Ja, Abmahnanwälte. Das war mal so ein
bisschen so eine Furcht, die alle hatten,
als die DSGVO in Kraft tritt. Jetzt gibt's
gleich tausende Abmahnanwälte und das
Problem ist auch immer, man kann gar nicht
immer abmahnen. Da muss man nämlich
irgendwie. Es gibt entweder
Verbraucherschutzorganisationen,
Verbraucherzentrale und sowas, da lohnt es
sich tatsächlich, weil die ja auch auf
systematische Probleme besser hinweisen.
Und das andere ist so klassische
Abmahnanwälte, die nach Fehlern suchen.
Das ist, finde ich tatsächlich
problematisch, weil ich die generell ein
bisschen zwielichtig halte. Wo vermehrt
sich Abmahnung - nein ähm Hass(?)
nein. Aber generell muss man natürlich
schon gucken. Also ich. Es ist
wahrscheinlich immer sinnvoll, sich bei
der oder dem Landesbeauftragten zu
beschweren bzw. wenn er zuständig ist beim
Bundesbeauftragten. Die sind dort sehr
kompetent, haben auch eben die
entsprechenden Mittel um das
durchzusetzen. Notfalls halt mit
Bußgeldern. Da ist man eigentlich immer
auf der sicheren Seite. Es dauert dann
halt ein bisschen, man hat nicht wirklich
den Einfluss, aber die können auch dafür
sorgen, dass das man eben, dass man eben
das notfalls durchgesetzt wird. Also da
muss man eben nicht darauf vertrauen, dass
die am Ende nachgeben. Und ansonsten, wenn
man überlegt, wenn man sich das lohnt,
kann man sich auch natürlich selber einen
Anwalt holen und klagen, was dann
natürlich noch aufwändiger ist. Wobei man
da z.B. aber auch relativ gut
Schadensersatz wollen kann. Da gibt's auch
inzwischen einige gute Entscheidungen
dafür, auch wenn's noch nicht ganz klar
ist mit Schadensersatz. Ja, Liv wollte
glaube ich noch was dazu sagen.
L: Genau. Ich finde, es ist irgendwie ein
ganz schwieriges Thema, weil auf der einen
Seite möchte man ja irgendwie, dass sich
das ändert und dass es irgendwie für alle
gut läuft und vor allem, dass es nicht nur
für die ganzen technikaffinen Leute
irgendwie einfach ist. Aber gleichzeitig
finde ich es irgendwie schwierig, so eine
Person. Also wenn ich hier so zum Beispiel
ich meine im einen Fall weiß, ich ist eine
Person, die diesen Fehler gemacht hat, so
und dann möchte ich auch nicht dafür
verantwortlich sein, dass die Person dann
irgendwie davon irgendwie sowas blödes mit
trägt. Also das empfinde ich das ganz
schwierig und ich glaube, was ich eher
machen würde ist, dass ich vielleicht der
Person selber schreiben würde. Genau. Also
ich finde das. Ich finde das ganz
schwierig, weil ich find, auf der einen
Seite steht so dieses, es soll besser
werden und die, es ist ein Gesetz, und die
haben da eine Verpflichtung zu und auf der
einen Seite ist so dieses, sind ja auch
nur Menschen, aber wer auch eine
Verpflichtung hat, sind ja
Programmierende, vor allem auch bei Jugend
hackt. Und ich glaube damit kennt sich Dфҿ
mit dem Zopf gut aus.
D: Genau. Da war ja, so kam auch im Chat
die Frage: Wie können wir selbst damit
umgehen, wenn wir irgendwie als
Hacker:innen, als Nerds irgendwie unsere
kleinen Sachen entwickeln? Und da ist,
finde ich, immer der erste Satz: Erst mal
überlegen was für Daten brauche ich
überhaupt, wenn ich irgendwie eine kleine
App baue, wo ich mich anmelden kann?
Brauche ich eine E-Mail-Adresse oder
reicht es, wenn ich mir einfach nur einen
Benutzer:innennamen gebe und ein Passwort?
Dann habe ich gar keine personenbezogenen
Daten außer dem Passwort und dann ist es
sehr viel einfacher, das zu schützen und
so weiter. Das heißt, was ich damit sagen
will, Privacy By Default und Privacy by
Design, also erst mal die Anwendung so
entwickeln, dass sie so wenig Daten wie
möglich überhaupt braucht und auch gar
nicht die Möglichkeit bietet, unnötige
Daten, also z.B. Geschlecht, Alter,
Nationalität, das sind Daten, die kann man
eigentlich immer weglassen, vielleicht
bevorzugte Sprache. Das kann sinnvoll
sein. Aber selbst das braucht man häufig
gar nicht. Viel wichtiger ist dann auch
die Dinge, die zu verarbeiten, oder
mindestens genauso wichtig ist es, die
Dinge, die auf jeden Fall verarbeitet
werden müssen, zu minimieren. Also z.B.
einfach mal nicht standardmäßig die IP
Adressen auf den Webservern speichern von
den Leuten, die es besuchen, automatisch
Posts z.B. in eine Chat App nach zwei
Wochen löschen oder generell alle Logging
Daten löschen, personenbezogene Daten
verschlüsseln. Also in der Datenbank, wo
Daten gespeichert werden irgendwie alles
mit Passwort verschlüsseln, was nicht für
andere zugänglich sein muss. Somit habt
ihr ganz eine minimale Angriffsfläche und
gewährleistet eben auch diese geforderte
Datensicherheit. Das heißt einfach, würde
ich sagen, immer minimieren, was wir
machen müssen.
P: Genau da würde ich nämlich auch sagen
das Wichtigste ist eigentlich erstmal,
dass man eben sagt, dass man. Also
Datenschutz ist grundsätzlich erst mal
Datensicherheit, also dass man Daten, die
man hat, sicher verarbeitet. Das heißt
eben verschlüsselt, sichere Transport
Kanäle nutzt. Also vielleicht habt ihr's
mitbekommen, es gab jetzt ja vor ein paar
Wochen so ein Bußgeld. Irgendwie 900 000
Euro gegen 1&1. Das lag nicht daran, dass
die irgendwelche seltsamen Sachen gemacht
haben, irgendwelche kryptischen
Vorschriften gegen die, die verstoßen
haben, sondern die haben einfach nur dafür
gesorgt, dass andere Leute, die dazu nicht
befugt sind, auf die Daten zugreifen
können. Und das heißt, das sind eben
solche grundlegenden Sachen, dass man
erstmal dafür sorgt, dass die Daten
gesichert sind. Und das Zweite ist dann
eben, dass man vermeidet, personenbezogene
Daten zu verarbeiten. Das heißt auch
nicht, dass man nie welche verarbeitet
darf, sondern immer nur, ist es notwendig
und wenn ja, dann kann man sie
verarbeiten. Und sind die Daten überhaupt
geeignet? Also jetzt zum Beispiel hat
jemand beschrieben, dass das mit dem
Usernamen Namen guter Ansatz ist, aber
wenn man ohne Verifizierung Account
erstellen kann, ist das auch nachteilhaft.
Genau das ist halt eben so. Das ist immer
eine Abwägungssache, kann man jetzt. Man
kann nicht pauschal sagen, die Daten sind
gut, die sind schlecht, sondern man muss
halt immer sagen brauche ich diese Daten,
weil z.B. für jetzt eine Webseite, die nur
privat oder sowas ist, wo jetzt nichts
ist, braucht man vielleicht keine
Verifizierung. Andererseits gibt's
Webseiten, wofür man eine Verifizierung
braucht. Das heißt, es hängt immer
komplett davon ab, was man jetzt gerade
haben will. Und ja, das sind im
Wesentlichen die wichtige Sachen, dass
man's minimiert. Und dann gibt's noch so
ein paar seltsame Sachen, man muss so eine
Datenschutzerklärung hinschreiben, was
auch nicht so schwer ist, es klingt immer so,
als ob das total viel Aufwand ist. Aber
man muss im Prinzip nur schreiben, welche
Daten man verarbeitet, wofür und welche
Rechtsgrundlage das hat, gibt es
eigentlich im Wesentlichen nur "ist für
die Verarbeitung notwendig", "Ich hab ein
berechtigtes Interesse" oder die Person
hat explizit eingewilligt, wobei
Einwilligung auch wieder schwierig. Muss ich
nochmal kurz lesen. Vielleicht könnt ihr
dazu noch ein paar Fragen stellen, wenn
ihr wollt. Aber jetzt wollte glaub ich
noch jemand nochmal was sagen. Einer von
euch.
L: Du bist grad gemutet.
D: Äh ja, genau. Ich wollte noch eine
Kleinigkeit sagen, und zwar
Datenschutzerklärung. Ganz wichtiger
Punkt. Und da, find ich, ist, kann man das
Prinzip Privacy by Design ganz gut
durchsetzen. Zwar nicht privacy by design,
das englische Wort Design, sondern da
können wir das deutsche Wort Design
nehmen, also vom Aussehen her. Da möchte
ich mal die Software von Google namens
Kaggle anführen. Google ist ja eigentlich
Datenschutz mäßig, echt ne Katastrophe in
vielen Punkten. Aber Kaggle, das ist ein
Framework für Online Deep Learning. Und da
fand ich es ganz schön, wenn du dich da
registriert. Da hast du die
Datenschutzerklärung, alle Punkte, nicht
rechtskräftig irgendwie so in juristischer
Sprache beantwortet, sondern mit ganz klar
einfachen, ganz klaren ein Satz, Fragen,
Antworten ist da einmal die
Datenschutzerklärung bei der Anmeldung
aufgeschlüsselt, das sind irgendwie nur,
ich sag mal 10 Zeilen, wo alle Punkte, die
in der Datenschutzerklärung drinstehen,
ganz klar aufgelistet sind. Und dann
gibt's natürlich nochmal die große
Datenschutzerklärung wurde des Ganze in
juristischem Englisch aufgeschlüsselt ist.
Aber eben einfach nochmal bei der
Anmeldung ganz klar die wichtigsten Punkte
nennen und nicht nur sagen Ja, ich habe
die Datenschutzerklärungen gelesen und so
weiter, sondern das übersichtlich
gestalten. Das finde ich einen ganz tollen
Ansatz und ich glaube würden mehr
Entwickler:innen diesen Ansatz verwenden.
Das finde ich einen sehr guten Punkt, was
wir alle berücksichtigen können. Und Liv
wollte noch etwas sagen.
L: Genau ich glaube eine Sache, die jetzt
auch immer so klar geworden ist. Als wir
jetzt darüber geredet haben, ist es
einfach wichtig so, das Mindset zu haben.
Und das, ich glaube, hat auch vorhin eine
person gefragt, so wie macht man das denn
Entwicklenden Personen einfacher, sich
daran zu halten und ich glaube das ist
wirklich sozusagen dieses Mindset, dass
man schon von Anfang an so denkt. Okay,
eigentlich möchte ich gar keine Daten
erheben und nicht davon ausgeht mit okay,
ich erhebe ganz viele Daten und benutze
nur die, die ich wirklich brauche. Und ich
glaube das kann sowas sein, wo man
vielleicht auch an sich selber arbeiten
kann und dass man so denkt, so okay, Also
vielleicht kann man auch im echten Leben
mal durchgehen und gucken, so was es für
Daten gebe ich über mich auch selber preis
und dann, sozusagen der default ist,
nichts preisgeben und immer nur das
preisgeben, was man braucht und ich glaube
das ist ein ganz gutes Mindset ist
generell. Also natürlich muss man da auch
Ausnahmen machen, man hat ja auch Familie
und Freunde, die vielleicht mehr über
einen wissen können. Aber ich glaube, dass
sich das auch ganz gut so auf Technologie
übertragen lässt, also dass man sich da
wirklich irgendwie drüber, dass man drüber
nachdenkt und an ein bisschen mehr Zeit
rein auch steckt. Und ich glaube, dass es
auch bei Jugend Hackt Projekten ja machbar
ist. Also hat man ja oft ein Wochenende
und ich glaube dann findet man da 10
Minuten bis ne Stunde, um da mal drüber
nachzudenken. Und das ist ja auch ethisch
interessant und dann ja auch mit Code die
Welt verbessern. Ich glaube dazu gehört
auch, dass man die Welt verbessert in
Hinsicht auf Datenschutz. Und es ist ja
auch ein wichtiges Thema für Jugendliche.
Warum glaubt ihr denn, wissen vielleicht
so viele Jugendliche gar nicht so viel
über Datenschutz? Oder ist es ihnen nicht
so wichtig? Nochmal so ein ganz anderes
Thema ist, die vielleicht erst Social
Media, wo Datenschutz vielleicht
fragwürdig gehandelt wird. Warum glaubst
du, dass vor allem Jugendliche das so
ignorieren?
P: Ja, die Frage ist, kann ich natürlich
nicht beantworten. Ich weiß jetzt nicht
genau, was andere Jugendliche denken, aber
ich denke, ein Problem ist zum einen, dass
Datenschutz immer so ein abstraktes Thema
ist, also da. Das liest man davon.
Manchmal liest man nur irgendwelche Sachen
in Zeitungen oder Online-Zeitungen.
Wahrscheinlich eher, aber weiß auch nicht
so richtig, was bedeutet das jetzt? Wie
betrifft es mich? Und zum anderen ist auch
so. So Datenschutzerklärungen sind ja wie
gesagt meistens in so einem Jura-Sprech
geschrieben, was eigentlich, ganz
interessant, gar nicht notwendig ist.
Eigentlich ganz im Gegenteil. Die soll ja
wie gesagt gut lesbar sein, sodass
möglichst jede Person die versteht. Dieses
Microsoft Beispiel von vorhin ist da eher
ein komplettes Gegenbeispiel. Es ist
eigentlich eher schädlich und man könnte
argumentieren ist fast schon eher
eigentlich schon wieder ein Verstoß gegen
den Datenschutz. Und das ist eben so.
Datenschutzerklärung und so was, dass es
nicht gut formuliert ist und das andere
ist, dass man sich auch mit der DSGVO gar
nicht so beschäftigt hat. Ich kann
tatsächlich allen Leuten empfehlen, sich
die mal durchzulesen. Die ist relativ gut
formuliert, anders als manch andere
Gesetze, die. Man kann sich da mal den
Anfang durchlesen, alles was man nicht
versteht, überspringen. Aber die meisten
Sachen versteht man eigentlich relativ gut
so, ohne dass man davor erst ein
Jurastudium oder so was benötigt. Und das,
finde ich, ist halt eben vorteilhaft auch,
das heißt, man sollte sich damit immer
beschäftigen und zum anderen müssten halt
auch eben, finde ich, müsste mehr
Awareness dafür geschaffen werden. Ich
hoffe natürlich. Wir hoffen natürlich,
dass dieser Vortrag ein bisschen dazu auch
beihilft, aber vielleicht sollte es auch
irgendwie in der Schule oder so was
angesprochen werden. Es gibt ja immer mehr
Informatik- oder ITG-Unterricht, also was.
Da könnte man halt auch sich vielleicht
ein oder zwei Stunden damit beschäftigen.
Es würde, denke ich schon sehr viel
helfen.
D: Genau in die Richtung auch, weshalb das
gar nicht so häufig ankommt bei den
Leuten, ist glaub ich, weil sie gar nicht
so das Verständnis dafür haben und gar
nicht nahe gebracht bekommen, weshalb das
wichtig ist. Darüber haben wir jetzt auch
gar nicht gesprochen. Es ist, wär nochmal
was völlig anderes, aber, dass viele Leute
sich gar nicht dessen bewusst sind, was da
für ein Finanzierungs- und
Ausbeutungsmodell hinterm Datensammeln
steckt und wie viel. Und weshalb überhaupt
eine App kostenlos sein kann. Ich glaube,
diese Reflexion fehlt bei vielen Leuten.
Das finde ich total schade. Oder Liv?
L: Genau. Ja, finde ich auch so. Ich
glaube, dass. Ich glaub Paul hat hier grad
schon sozusagen angesprochen, so sollte
man das auch mehr in der Schule
thematisieren? Dem stimme ich total zu.
Aber ich weiß nicht, ob sich alle Lehrer
dem so gewappnet fühlen würden. Genau. Ich
habe neulich eine Präsentation gehalten,
über Datenschutz für Jugendliche in der
Schule und hab da z.B. auch diese Webseite
"Have I Been Pwned" gezeigt, wo man so
seine Email-Adresse eingeben kann. Dann
kann man sehen sozusagen, wo es irgendwie
Leaks gab, wo die rausgekommen ist. Das
ist ja auch, was mit Datenschutz zu tun
hat. Und das fanden alle total cool und
total interessant. Und dort hab ich auch
DSGVO vorgestellt und das kannte praktisch
keiner. Also ich finde, das ist ein guter
Punkt, wo man ansetzen muss. Aber ich
glaube, es reicht nicht. Also ich glaube,
da muss die Schule an sich noch das selber
mehr pushen, weil man das nicht auf die
Schüler ablagern kann. Genau. Falls ihr im
Chat oder wo auch immer ihr grad - nein
man guckt nicht im Chat zu - wo auch immer
ihr grad zuguckt, falls ihr noch mit uns
weiter diskutieren wollt und noch Fragen
habt, gehen wir danach noch in einen Big
Blue Button Raum, der ein bisschen
Datenschutz freundlicher ist als Zoom,
also müsst ihr euch da keine Sorgen
machen. Und genau, wir würden uns freuen,
wenn noch möglichst viele Leute dort mit
uns weiterreden, da dieser Stream in 3
Minuten zu Ende ist. Aber genau. Mir hat es total
viel Spaß gemacht mit euch zu diskutieren.
Und ich finde es ist ein total wichtiges
Thema, wo ihr auch, glaub ich, endlos
weiter drüber reden könnte.
D: Genau an der Stelle nochmal. Wir haben
jetzt total viele, viel Rückmeldung schon
im Chat bekommen, dass euch der Talk
vielleicht auch gefallen hat und es freut
uns natürlich auch total, dass wir euch da
irgendwie ein bisschen Input geben können.
Ja, war total nett. Wird euch als
Publikum, auch wenn wir euch leider dieses
Mal nicht vor Ort sehen.
P: Aber es hat ja auch einen Vorteil
datenschutzrechtlich dann egal nein. Ok,
so funktioniert es nicht, aber gut. Ne,
hat mir auch Spaß gemacht. Auch danke für
die, die zugehört haben und ich freu mich
auch gleich dann noch auf vielleicht falls
noch Fragen sind im Big Blue Button,
vielleicht auch zu eigenen Projekten, wenn
ihr da was habt, könnt ihr erfahren,
vielleicht könnt ihr euch ja da irgendwie
weiterhelfen oder sowas.
L: Super, dann tschüss und bis zum
nächsten Community Talk.
D: Tschüss, bis zum Big Blue Button.
Wikipaka Outro Musik
Untertitel erstellt von c3subtitles.de
im Jahr 2021. Mach mit und hilf uns!