-
Wikipaka Intro-Musik
-
Liv: Hallo, ich hoffe man kann uns gut
hören und ihr seid alle sehr gespannt,
-
uns heute zuzuhören. Denn wir wollen heute
über Datenschutz und warum Datenschutz
-
besonders für Jugendliche wichtig ist, und
DSGVO, also die Datenschutzgrundverordnung
-
sind ja legalere Teile von, reden. Und wir
dachten, wir stellen uns erst mal vor.
-
Ich bin Liv und ich bin seit, ich glaube, erst
anderthalb Jahren bei Jugend Hackt dabei.
-
Genau. Und ich beschäftige mich selber mit
Datenschutz und werde euch auch ein
-
bisschen was von meinem kleinen Projekt
vorstellen. Ich benutze sie/ihr Pronomen
-
und gehe noch zur Schule, was
auch was mit meinem Projekt zu tun hat.
-
Paul: Hallo, ich bin Paul, ich bin 10
Jahre alt und studiere jetzt Informatik
-
und bin jetzt auch schon seit ein paar
Jahren bei Jugend Hackt, interessiere mich
-
auch für Datenschutz und werde euch auch
ein paar Sachen erzählen, was ich für
-
lustige Sachen mit Datenschutz gemacht
habe und so.
-
Dфҿ: Moin, ich bin Dфҿ mit dem Zopf,
Pronomen sie/ihr. Ich beschäftige mich
-
auch total gerne mit Datenschutz, gerade
auch in Bezug auf Software-Entwicklung.
-
L: Und wir dachten, wir fangen es mit
einem kleinen Ice Breaker an.
-
Und zwar: Was ist Eure Lieblings Datenschutz Funfact?
Ich brauch noch ein bisschen Zeit,
-
um mir was zu überlegen. Aber Paul, willst du
vielleicht anfangen?
-
P: Ja. Ich habe tatsächlich was, und zwar.
Es kennt ja eigentlich wahrscheinlich
-
ziemlich viele Leute diese
Datenschutzerklärungen. So ellenlange
-
Texte, die sich so gut wie niemand
durchliest. Und ich hab da mal angeguckt,
-
in der DSGVO, was da drin steht. Dazu und
da steht tatsächlich im Prinzip drin, dass
-
dass die mit Emojis gemacht werden können. Also
das steht nicht ganz drin.
-
Aber ich kann ja auch zeigen, was drin steht. So, jetzt
muss der Arm ja... also in der DSGVO steht
-
nämlich in Artikel 12 drin; die
Information können in Kombination mit
-
standardisierten Bildsymbolen
bereitgestellt werden. Und wenn sie in
-
elektronischer Form dargestellt werden
müssen, müssen sie maschinenlesbar sein.
-
Und ja, was sind standardisierte Bimbole,
die maschinenlesbar sind, als Emojis.
-
Es ist ganz witzig, weil es wird natürlich
Datenschutzerklärungen aufwerten.
-
Dann würden wahrscheinlich viel mehr Leute sich
auch die angucken.
-
D: Ja, total.
P: Dфҿ mit dem Zopf, hast du irgendwas?
-
D: Ja.
P: Was findest du so unverständlich?
-
D: Dein Funfact finde ich richtig gut,
auch im Positiven richtig gut.
-
Mein Funfact geht leider nicht ganz so ins
Positive. Ich habe mir mal die
-
Datenschutzerklärung von Microsoft
heruntergeladen und als PDF gespeichert.
-
Und jetzt kann man sich ja mal überlegen,
wie viele Seiten sind das wohl in A4.
-
Es sind 1200. Die sind in - und es ist ganz
clever gelöst. Es ist eigentlich nur so
-
eine Seite auf dem Bildschirm. Aber es
sind ganz viele Unterpunkte. Und wenn alle
-
expandiert sind, dann sind das 1200 Seiten
PDF auf A4. Das finde ich schockierend,
-
aber trotzdem lustig. Und Liv, hast du da
irgendwie was, was du lustig findest?
-
L: Ich fürchte, ich habe nicht so richtig
ein Funfact, aber eher so ein Nachdenkfact
-
Ich finde nämlich z.B. das Recht auf
Vergessenwerden in der DSGVO total
-
spannend und so, was es irgendwie ethisch
so bedeutet und so. Was macht das Internet
-
mit uns und wie lange bleibt man da? Und
so was ist nicht so'n Funfact, aber
-
so' Nachdenk-Fact. Und eine Sache die ich auch noch
sagen wollte: wir sind alle keine Anwälte
-
alles was wir sagen könnte theoretisch
falsch sein. Wir versuchen natürlich
-
unser Bestes zu geben. Aber falls ihr
irgendwelche richtigen Fragen habt,
-
die wirklich das Gesetz betreffen oder da
irgendwie Probleme habt, solltet ihr am
-
besten mit einem richtigen Anwalt darüber
sprechen. Genau. Wunderbar.
-
Dann erst einmal so: Warum ist
ist Datenschutz wichtig? Worum geht's
-
überhaupt bei Datenschutz? Dфҿ mit dem
Zopf willst du da mal was dazu sagen?
-
D: Ja genau, es gibt beim Datenschutz, so
unabhängig jetzt von Recht und
-
Datenschutzgrundverordnung und unabhängig
davon hochriskant, es gibt so Grundsätze
-
des Datenschutzes. Sind eher
philosophisch-ethische Grundsätze. Da geht
-
es darum, was ist Datenschutz überhaupt
und weshalb sind personenbezogene Daten
-
überhaupt wert zu schützen? Gut, die
meisten, die das hier angucken, haben da
-
schon so Idee. Aber trotzdem können's ja
nochmal durchgehen. Da gibt's den ersten
-
Punkt. Das ist ein ganz abstrakter Punkt.
Das ist der Grundsatz von "Treu und
-
Glauben". Das hört sich total kryptisch an.
Aber da geht's erst mal darum, dass
-
Datenschutz-Verhältnis, dass Daten
verhältnismäßig verarbeitet werden sollen.
-
Das heißt, dass ich nicht einfach
irgendwelchen Quatsch mit Daten machen kann
-
dass ich vertrauenswürdig umgehen
muss mit allem, was personenbezogene Daten sind.
-
Der nächste Punkt ist der Grundsatz
der Verhältnismäßigkeit. Das heißt,
-
ich darf nicht für irgendwie eine Bestellung
von 'ner Pizza, 'nen kompletten Lebenslauf
-
und die Schuhgröße aller Verwandten
verlangen. Das hat nichts damit zu tun und
-
steht in keinem Verhältnis. In anderen
Ländern kenne ich das leider.
-
In Indien ist das leider so, dass man alles
Mögliche über angeben muss,
-
aber eigentlich entspricht das nicht den
Prinzipien des Datenschutzes.
-
Der nächste Punkt ist die Zweckbindung. Das heißt, ich
darf nicht sagen...
-
P: Also ich wollt davor mal fragen. Weil
was sind diese personenbezogenen Daten?
-
Du hast den Begriff jetzt schon mal
verwendet, aber vielleicht weiß jetzt
-
nicht jeder, was das jetzt bedeutet. Also
was vielleicht willst du's kurz erklären?
-
D: Kann ich kurz machen. Personenbezogene
Daten sind alles, was mich identifizierbar
-
macht. Das könnte mein Name sein, meine
Adresse, mein Wohnort, mein Alter oder
-
eine Kombination, vor allem häufig, aus
dem, aber im Digitalen auch so Dinge wie
-
eine IP-Adresse. Damit kann ich
identifiziert werden. Personenbezogene
-
Daten sind alles, die bezogen auf mich
sind. Womit ich sagen kann, das ist
-
ziemlich sicher diese Person.
-
L: Ok! Genau, und diese, also
-
personenbezogenen Daten, glaube ich, das
ist so was, was man ganz oft hört.
-
Und da gibt's aber ja sozusagen auch noch
Unterkategorien. Also z.B. meine
-
Gesundheitsdaten sind total wertvoll, oder
sowas, das ich besser schützen sollte
-
als vielleicht meine Schuhgröße, obwohl man
natürlich irgendwie alle Daten schützen
-
sollte. Aber zum Beispiel mit meinen
Gesundheitsdaten kann man ganz viel Sachen
-
über mich herausfinden, über mein
persönliches Leben und mich vielleicht
-
auch irgendwie mehr beeinflussen. Und das
sind Sachen, die ich privat halten möchte,
-
wogegen z.B. meine Schuhgröße, obwohl sie
natürlich auch irgendwie zu mir gehört,
-
vielleicht nicht ganz so, so sensitive
Daten sind. Also da muss man auch nochmal;
-
es gibt personenbezogene Daten und die
selber haben auch nochmal Unterkategorien
-
sozusagen, wie - gefährlich ist nicht das
richtige Wort - aber wie schützenswert sie sind.
-
P: Genau da muss man ja auch beachten.
-
Also z.B. man kann ja mit Daten häufig
Leute, sag ich jetzt mal, erpressen in
-
Anführungszeichen, also mit bei
Gesundheitsdaten kann's ja zum Beispiel
-
sein, dass man nicht möchte, dass andere
die erfasst, weil die dann Druck auf einen
-
ausüben können, jetzt jetzt nicht ein
Beispiel so für Jugendliche aber z.B. im
-
Arbeitsleben oder sowas ist natürlich
relevanter teilweise. Darum sind die
-
besonders schützenswert. Aber generell ist
es ja eben immer der Punkt auch
-
wieso wir Datenschutz brauchen, weil
Datenschutz ja eben es ermöglicht, auf
-
Leute Einfluss auszuüben. Jetzt auch
bekanntes Beispiel war jetzt mit Brexit,
-
US-Wahl 2016, wo ja sehr viel an
extrem personalisierten Werbungen
-
gearbeitet wurde, was dazu geführt
hat, dass das Ergebnis schon, nach Ansicht
-
vieler Leute, beeinflusst wurde. Also das
ist ja auch ein wichtiger Punkt, dass Daten
-
geschützt werden müssen,
damit man nicht beeinflussbar ist über diese.
-
D: Genau das geht, finde ich, in 'ne ganz
-
interessante Richtung. Also in Datenschutz
geht es eigentlich immer darum, dass klar
-
sein muss, weshalb irgendetwas so ist. Das
ist so ein ganz wichtiger Grundsatz vom
-
Datenschutz. Und wenn ich irgendwelche
personalisierte Werbung zugesteckt
-
bekomme, von mir aus Wahlwerbung für
irgendeine Partei. Dann sollte ganz klar
-
sein, dass das personalisierte Werbung für
mich ist. Das ist ein ganz wichtiger
-
Grundsatz und das wird leider in vielen
Ländern der Welt mit Füßen getreten,
-
dass das so sein muss. Das finde ich ganz
schockierend.
-
L: Das stimmt. Ich glaube, dass so... Wir
haben so ein bisschen grad abgeschlossen,
-
warum Privatsphäre und generell
Datenschutz auch wichtig ist. Also gibt es
-
auch eine Website, die heißt
whyprivacymatters.org, ist auch auf
-
GitHub, könnt ihr auch ein Pull-Request
machen. Und genau, da ist einfach nochmal
-
so aufgelistet, so, dass man vielleicht
auch Daten besitzt, die anderen Leuten
-
gehören, die man nicht teilen sollte und
vielleicht auch an Institutionen. Dass es
-
Daten gibt, die sollte man nicht an der
Ecke finden, die man nicht an alle
-
Institutionen weitergeben sollte und an
das Handy zu trennen. Damit vielleicht
-
auch Informationen nicht herausgegeben
werden können, das sie irgendwie schlecht
-
aussehen, obwohl man eigentlich gar keine
schlechte Person ist. Aber ich glaube,
-
du hattest grade noch was zu
generell den Prinzipien von Datenschutz
-
gesagt, willst du dazu nochmal weiter
sagen?
-
D: Ja, ich kann. Ich kann's versuchen,
kurz zu fassen. Es gibt noch den Grundsatz
-
der Verhältnismäßigkeit. Das hatten wir
ja. Es gibt die Grundsatz der
-
Zweckbindung. Das heißt, ich darf nicht,
wenn ich sage, ich sammle Daten, um
-
irgendwie 'ne Volkszählung zu machen. Oder
Beispiele hier Corona. Ich darf nicht ...
-
Und wenn ich sage, dass ich Daten zur
Kontaktverfolgung sammle, darf ich die
-
nicht plötzlich für Kriminalverfolgung
verwenden. Das ist ein anderer Zweck und
-
die müsste ich dann, das müsste ich vorher
gesagt haben. Ich muss es transparent
-
machen. Ich muss ganz genau. Es geht auch
in die Richtung Zweckbindung. Ich muss
-
sagen wofür, warum, wie lange, was genau.
Ich muss einfach sagen, wie mit den Daten
-
umgegangen wird. Wer kriegt noch Zugriff
darauf und so weiter. Und danach zwei ganz
-
wichtige Punkte, nämlich die Daten-
Sicherheit, dass die irgendwie nicht
-
ungesichert rumliegen, das nicht vor
meiner Tür eine Kiste liegt mit all meinen
-
Kontaktdaten und Daten-Richtigkeit. Das
heißt, ich habe ein oder es sollte ich
-
sollte ein Recht haben, alle Daten über
mich, die falsch sind, korrigieren lassen
-
zu können, dass Leute verpflichtet sind,
falsche Daten von mir zu korrigieren und
-
so weiter. Und dann - das ist jetzt speziell
Europa - von der DSGVO her habe ich ein
-
Recht auf rechtmäßige Datenverarbeitung.
Genau deshalb. Das ist der Grund, weshalb
-
es die Datenschutzgrundverordnung in der
Europäischen Union gibt und die umfasst
-
nämlich all diese Grundsätze der Daten des
Datenschutzes.
-
L: Im Mittel die ganze Zeit das Wort DSGVO
um uns geschmissen. Will mal einer von
-
euch sagen, was überhaupt die DSGVO ist?
Also Paul, willst du das einfach mal
-
machen?
P: Ja, gerne. Also die DSGVO ist ein ja
-
nicht Ge... - es heißt nicht Gesetz,
sondern Verordnung - aber ist im Prinzip
-
ein Gesetz, das auf europäischer Ebene
2016 beschlossen wurde. Und da wird
-
festgelegt, dass die ganzen Regeln wie
Daten verarbeitet werden dürfen, wie die
-
weitergegeben werden dürfen, vor allem
auch in Länder außerhalb der EU. Welche
-
Rechte die, - das heißt betroffene
Personen sind die Leute, über die die
-
Daten, auf die sich die Daten beziehen,
also welche Rechte die haben und was. Das
-
soll vereinheitlicht werden, weil davor
gab es so, eher so ein Flickenteppich. Da
-
hatte jedes Land seine eigenen Regelungen
und die DSGVO hat das Ziel, dass eben die
-
Regeln möglichst einheitlich sind, damit
eben auch die Daten in der EU weiter
-
transportiert werden können, weil die
überall gleich geschützt sind. Und die
-
wurden wie gesagt 2016 verabschiedet und
ist dann 2018 am 25. Mai in Kraft
-
getreten. Man hat dann erst am 2018 so
richtig davon gehört eigentlich, weil dann
-
plötzlich in allen Zeitungen des stand
und. Ja, ist halt ein Gesetz, dass das
-
eben alles vereinheitlichen soll.
L: Genau, und ich glaube mal, so eine ganz
-
wichtige Sache ist, dass die DSGVO mehr
Rechte an sozusagen die Einzelpersonen
-
gibt. Also das sind z.B. dieser bekannte,
wieder bekannte Artikel 15, dass man zum
-
Beispiel fragen kann, was Institutionen
oder Firmen für Daten über einen haben. Oder
-
halt das Recht, dass man es berichtigen
kann und sowas. Also Einzelpersonen
-
kriegen mehr Rechte und Institutionen und
Firmen kriegen mehr Pflichten. Also dass
-
es da so nen, irgendwie so nen Wechsel
gibt und müssen vielmehr drauf aufpassen
-
und genau. Also nach dem 25. Mai 2018 zum
Beispiel sind dann auch so diese ganzen
-
Cookie-Banner oder sowas viel mehr
geworden, was man immer bestätigen muss.
-
Oder es gibt auch manche Seiten, also vor
allem amerikanische Seiten, die man halt
-
in der EU jetzt nicht mehr aufrufen kann,
weil die halt gesagt haben, dass sie das
-
nicht umsetzen, weil man das umsetzen
muss, wenn man europäische Bürger bedient.
-
Genau, hat vielleicht dazu noch jemand
was?
-
P: Ja, ich könnte noch kurz was sagen, und
zwar welche Ansätze die DSGVO verfolgt,
-
weil das ist ganz interessant, die
verfolgt so, im Prinzip gibt's drei
-
Säulen; als erstes sagt die DSGVO, dass
die Leute die Daten verarbeiten,
-
personenbezogene Daten, dass die selber
erst mal für die Sicherheit und für den
-
Datenschutz sorgen müssen. Da gibt's auf
Englisch ist hier das Schlagwort Privacy
-
by Default und Privacy by Design, also
Datenschutz als Standardeinstellung und
-
Datenschutz aber eben auch durch die
Technik-Gestaltung. Also ich muss halt
-
eben, wenn ich jetzt neue Software
entwickle dafür sorgen, dass die möglichst
-
Datenschutz freundlich ist. Da müssen dann
halt meine eigenen Interessen
-
zurückstehen. Das zweite sind eben die
eben schon erwähnten Betroffenen-Rechte.
-
Die sorgen halt dafür, dass ich als
Betroffener noch mein Datenschutz selber
-
in die Hand nehmen kann und dafür sorgen
kann, dass eben der Datenschutz
-
durchgesetzt wird. Und ich sehe inzwischen
ne Frage, dass Leute gefragt haben, wie
-
man das als Entwickler einfacher macht,
Datenschutzgesetze einzuhalten. Ich habe
-
dazu wollen wir nachher noch was sagen.
Aber grundsätzlich ist es so, dass man
-
halt auch eben als Benutzer auf einer
Webseite oder als Benutzerin dafür sorgen
-
kann, dem man hat eben seine
Datenschutzrechte, also so Auskunft und
-
Löschung, Berichtigung und sowas nutzen
kann. Und das dritte ist, dass eben es
-
auch Haftung und Geldbußen und sowas gibt.
Es sind immer diese gefürchteten Millionen
-
Bußgelder, die die Aufsichtsbehörden
verhängen können, was eben dazu sorgt,
-
dass die DSGVO notfalls auch ich sage mal
Datenschutz mit der Brechstange
-
durchgesetzt wird.
-
D: Ah sorry, genau. Kleine Anmerkung da
-
noch, wir reden jetzt ja immer die ganze
Zeit über Digitales, und Datenschutz ist
-
im Digitalen ja auch total wichtig und
total weit verbreitet. Aber Datenschutz
-
ist genauso - die DSGVO vor allem - die
gilt genauso in der analogen Welt. Das
-
heißt, die gilt genauso, wenn ich irgendwo
ein Formular vor Ort ausfülle. Und das ist
-
immer auch total wichtig zu beachten, dass
es im Datenschutz auch so eine total
-
wichtige Schnittstelle zwischen der
analogen und der digitalen Welt ist.
-
Genau. luap hat das gerade ganz gut
formuliert. Die ist Technik neutral. Das
-
heißt, es ist völlig egal, ob ich da jetzt
was Digitales, was Analoges, ob ich da ne
-
Diskette oder WLAN verwende. Datenschutz
gilt immer, weils einfach eine
-
Grundverordnung ist, die überall gilt und
was total wichtige Grundsätze vermittelt.
-
L: Das stimmt. Das ist, finde ich, ein
total wichtiger Punkt, wo wir vielleicht
-
auch schon, also wir dachten, wir reden so
ein bisschen über zwei große Themen. Das
-
eine ist irgendwie so, also wir dachten,
es ist für Jugendliche vor allem dann so
-
was beschäftigt uns, irgendwie Schule und
Programmieren. Und deshalb wollten wir
-
einmal so auf den schulischen Aspekt
eingehen. Genau. Und wie Datenschutz in
-
der Schule unserer Meinung nach umgesetzt
wird und so den ganzen Aspekt. Und dann
-
einmal so Ich als programmierende Person
sitze bei Jugend Hackt und möchte
-
irgendetwas machen. Worauf muss ich
achten? Was hab ich da für ne
-
Verantwortung? Genau.
P: Ich glaub, Liv, du hattest doch jetzt
-
auch ein paar Sachen mit Schule, willst du
da mal anfangen?
-
L: Kann ich gerne machen. Genau. Ich
meinte nur Schule, weil ich dachte, dass
-
ne Schule ja noch vieles analog passiert.
Und z.B. glaube ich, könnte man auch
-
Auskunft über seine ganzen Arbeiten, die
müssen ja auch aufgehoben werden. Ich weiß
-
gar nicht wie lange, relativ lange und auf
jeden Fall. Ich glaube, dass man die
-
theoretisch könnte man sich auch sozusagen
erfragen, ist halt viel zu großer Aufwand,
-
deshalb können die einfach nein sagen.
Bzw. genau. Aber da ist dann ja auch noch
-
eine Sache, wo es dann halt analog ist und
wo man auch sich fragen kann, ob das alles
-
so Datenschutz konform ist. Wenn es dann
irgendwo in nem Keller liegt. Aber genau
-
dann fang ich mal an. Ich hab eine; ich
hätte noch ne kleine kreative Attacke vor
-
ner Stunde und hab was versucht zu
zeichnen. Genau das könnte jetzt auch mal
-
einblenden, dass ist nicht besonders
hübsch geworden. Aber hier was ihr sehen
-
könnt ist so ein tolles Kuchen Diagramm,
was zeigt, wie viele der DSGVO Anfragen,
-
die ich an verschiedene Schulen und
Bildungseinrichtung gestellt habe,
-
erfolgreich waren. Ich hatte leider jetzt
irgendwie keinen Geodreieck oder so.
-
Zimtgrün soll ein Fünftel sein. Ich hab 5
gestellt. Eine davon hat wirklich
-
funktioniert. Das soll das Grüne
darstellen. Das Rote soll das darstellen,
-
was nicht so gut funktioniert hat. Genau,
wie ich das gemacht habe, es gibt ne
-
Seite, die heißt "Daten anfragen", da kann
man sich so ein tollen Text copy pasten
-
und kann dann da hinschicken, können das
bisschen personalisieren, was man möchte.
-
Und genau das hab ich einfach mal gemacht.
Das hab ich an eine Uni und an drei
-
Schulen, zu denen ich gehe, gemacht.
Genau. Und ich habe sozusagen eine meine
-
richtige Schule besucht. Dann noch Kurse
an zwei anderen Schulen, die natürlich
-
auch die Daten über mich speichern. Und
dann hab ich noch an das Kultusministerium
-
von meinem Bundesland geschickt. Genau.
Und wir fangen jetzt erst mit dem
-
positiven Beispiel an.. Aber genau es ist
wunderhübsch geworden. Ich hoffe, ihr seid
-
mir nicht zu wütend, dass sie mich nicht
so hübsch geworden ist. Aber genau. Also
-
sehr, sehr vereinfacht der Prozess, genau
an der Uni, was man ja macht sozusagen.
-
Man schreibt eine E-Mail, schreibt da
rein. So ein bisschen kondensiert. Hallo,
-
welche Daten haben Sie über mich? Und dann
ist das richtige, was Sie machen sollen,
-
ist, dass Sie nachgucken, ob das auch
wirklich ich bin, der es gestellt hat.
-
Sonst könnte ja einfach jede Person sagen
Hallo, ich bin Liv, Ich hätte mal gern
-
Livs Daten. Das wäre ja suboptimal. Also
bei der Uni hat das perfekt geklappt. Ich
-
hab meinen Personalausweis geschwärzt
dahin geschickt und die haben mir meine
-
Daten zurückgeschickt, genau so wie es
sollte. Also 10 out of 10. Das
-
funktionierte gut. Das war leider aber
auch das einzige Erfolgserlebnis. Genau
-
wenn wir erst mal weitergehen. Genau wie
Schule 1, Schule 1 hat auch würde ich
-
sagen können die Schulen am besten
abgeschnitten noch. Ich hab auch
-
geschrieben: "Hallo, welche Daten haben Sie
über mich?" Das ist übrigens nicht meine
-
Hauptschule, nicht Hauptschule aber nicht
meine sozusagen erste Schule. Genau die
-
wollten einen Personalausweis. Kann sagt
in der Pause mit meinem Perso
-
vorbeikommen. Das okay, das verstehe ich.
Genau. Was Sie mir dann gegeben haben.
-
war so ein Zettel auf dem nur stand, was
für Arten von Daten Sie von mir haben,
-
aber nicht, welche Daten Sie wirklich
haben. Also sie haben geschrieben, wir
-
haben deinen Vorname, deine Adresse und
deine Noten. Aber ich meine, der Sinn von
-
DSGVO ist ja auch, dass ich weiß, was
genau sie haben, damit ich es korrigieren
-
kann. So hab ich keine Ahnung, was die da
wirklich gespeichert haben und kann's ja
-
nicht korrigieren. Aber ich dachte, dass
es noch so ein bisschen am Ziel vorbei,
-
aber es ist okay. Also so vielleicht acht
von zehn. Aber oh, schön, es gibt Lob für
-
die Zeichnung. Dankeschön. Dann gibt's
Schule 2. Schule 2 ist auch nicht meine
-
richtige Schule und Schule 2 habe ich auch
genau die gleiche E-Mail geschickt. Wollte
-
wissen, was sie für Daten über mich haben.
Zurück kam, "wir kennen dich nicht, und
-
selbst wenn, du weißt ja wohl selber,
welche Daten du angeben hast". Du musstest
-
ja wahrscheinlich ein Formular ausfüllen.
Daraufhin hab ich dann geantwortet, dass
-
ich dort den und den Kurs besuche bei dem
und dem Lehrer. Und dann kam zurück. Ja
-
gut, aber du weißt ja selber, wo du
wohnst. Auch nicht ganz der Sinn von
-
DSGVO. Ja, ich würde sagen, das fande ich
so ein bisschen merkwürdig, weil alle also
-
allen Schulen, denen ich geschrieben hab,
haben eine beauftragte Person für
-
Datenschutz, ich dachte, die würden sich
vielleicht ein bisschen besser auskennen.
-
Also genau, danach war ich irgendwie sehr
verwirrt. Aber genau es gab je nach Schule
-
3,..
P: Kann ich dazu eine Frage, gleich ne
-
Frage stellen, und zwar hast du dann
irgendwas danach gemacht, als du so ne
-
Antwort bekommen hast oder hast du gesagt,
ich lasse es jetzt, ich spar mir die Mühe
-
oder?
L: Soll ich's? Ich beantworte es mal
-
gleich nachdem ich noch Schule 3
vorgestellt hab und das danach, weil da
-
hab ich auch ganz viel drüber nachgedacht.
Genau das ist dann meine richtige Schule.
-
Da wollte ich dann einfach mal so fragen,
was sie für Daten über mich haben. Und
-
mein Lehrer, also mein Informatik-Lehrer
ist dort Datenschutzbeauftragter und der
-
hat gesagt, dass er leider im Moment keine
Zeit hat. Genau, warum ich nicht
-
weitergemacht habe, erzähle ich euch auch
gleich. Aber das war leider das
-
Traurigste, sodass gar nichts
rausgekommen. Genau. Und dann gibt es noch
-
mein fünfter Versuch. Der ist dann beim
Kultusministerium, weil ich da persöhnlich
-
mal aktiv war. Und genau, hab genau die
gleiche E-Mail geschickt und hab dann
-
einfach meine Daten zurückbekommen ohne
Identifikation. Was ich persönlich ein
-
bisschen merkwürdig fand. Also das PDF war
passwortgeschützt mit dem Datum, an dem
-
ich es bekommen habe. Aber. Ich meine, es
hätte ja jeder schreiben können: Hallo,
-
ich bin Liv. Ich hätte gerne meine Daten
und hätte dann meine komplette Anschrift,
-
mein Geschlecht, meine Handynummer, mein
vollständigen Namen. Und eigentlich auch
-
die Herkunft der Daten bekommen. Also da
hatte ich ein bisschen Bauchschmerzen, als
-
ich die Antwort bekommen habe. Und genau
ich wollte jetzt nicht so gerne sagen,
-
welches Bundesland das ist, weil es da
eine Person gibt, die dafür zuständig ist.
-
Und ich glaube, da kommen wir auch schon
so; Warum mich dann nicht mehr gemacht
-
habe. An der Schule finde es einfach
schwierig, weil ich sozusagen; meine Note
-
hängt ja von den Lehrern ab und würde ich
da so sehr, wenn ich könnte, dagegen ja
-
vorgehen. Das ist ja nichts recht. Es ist
nicht rechtmäßig, was die gemacht haben.
-
Aber die Frage ist, dass ich dort
irgendwie Abitur machen möchte und schon
-
ging mir das jetzt nicht so kaputt machen
möchte. Genau. Beim Kultusministerium hab
-
ich auch drüber nachgedacht. Aber ich
finde es schwierig. Weil es eine Person
-
ist und ich nicht weiß, wie genau. Also
ich möchte nicht, dass die Person jetzt
-
ihren Job verliert. Aber sowas ist ja
irgendwie ein blöder Fehler. Aber ich
-
finde, es ist eigentlich schon nicht
unwichtig. Genau deshalb hab ich da halt
-
nicht weitergemacht. Falls aber jemand
Ideen hat, wie man das so zu sagen
-
weitermachen könnte oder irgendwie so. Ich
hab, binjetzt auch nicht so auf
-
Konfrontation aus. Es war für mich
wirklich eher so ein kleines Projekt. Mal
-
gucken, wie funktioniert das überhaupt?
Und ich will auch keine Schule da jetzt
-
irgendwie schlecht darstellen oder sowas.
Und ja, das war für mich eher so ein
-
privates Projekt, so ein kleines. Aber.
Genau. Also ich finde es zeigt einfach,
-
dass es vielleicht ein strukturelles
Problem ist, dass die Schulen es auch
-
einfach alleine nicht hinkriegen. Und das
ist nicht die Schuld von den Lehrer:innen
-
ist, aber, dass der einfach ich vom Land
sehr viel mehr getan werden muss, dass die
-
Schulen da Unterstützung kriegen, weil es
ja anscheinend nicht funktioniert und auch
-
man selber nicht. Aber genau das ist so
ein bisschen das, was ich gemacht habe.
-
D: Ja 'n total cooles Projekt finde ich
und ich finde es gibt uns auch schon
-
ziemlich viel Erkenntnis darüber, wie
Datenschutz im Alltag tatsächlich
-
funktioniert und in Schulen ich mein, da
sind wir alle von betroffen. Alle jüngeren
-
Leute, wahrscheinlich das meiste Publikum
dieses Talks hier und was noch weiter so
-
schief läuft, gerade im Bezug auf Bilder
und auf Videoüberwachung, was ja total
-
sensible Daten sind. Ich meine, damit kann
mensch ja total einfach Leute
-
identifizieren. Da hat Paul auch ein total
interessantes Projekt mit Bahn, mit der
-
Bahn gemacht. Was da so schief läuft.
Vielleicht kannst du das einmal
-
vorstellen, Paul?
P: Ja, gerne. Und zwar ein leidiges Thema,
-
das auch jedes Jahr auf diesem Kongress
Gegenstand ist. Von entweder Vorträgen
-
oder Schill-, okay, dieses Jahr mit den
Schildern ist es nicht so super, aber so
-
Zetteln an der Wand. Das Problem ist
immer, man wird über-. Es wird viel mehr
-
videoüberwacht. Alles mögliche soll
videoüberwacht werden und die Frage ist
-
dann auch immer, ob das immer notwendig
ist. Ich meine an Bahnhöfen wird
-
videoüberwacht und ich sehe dann mal so
einen Zettel. Kennen Sie diese Person? Und
-
das Bild ist in total niedriger Pixel
Qualität. Weiß nicht, was es dann bringt,
-
ob das etwas bringt. Aber es wird immer
ziemlich bezweifelt. Aber jedenfalls das
-
Problem mit viel Video-Überwachung ist,
dass die die ganzen Daten bekommen und wir
-
aber eigtlich die nur eingeschränkt
überprüfen können, weil man kann in der
-
DSGVO immer Datenverarbeitung damit
begründen, man hat ein berechtigtes
-
Interesse daran. Das heißt es liegt an
irgendetwas daran und es ist auch schon
-
irgendwie ein bisschen wichtiger als das
Interesse, dass die Daten nicht
-
verarbeitet werden. Und damit kann man sie
mal ganz gut bei dem Thema Überwachung,
-
das begründen und das kann man dann halt
nicht so gut überprüfen. Und da hatte ich
-
dann neulich, als ich mit der S-Bahn
gefahren bin in Berlin. Da stand plötzlich
-
in einem der Züge so ein Zettel, ja, Alles
wird videoüberwacht. Dann hab ich mir die
-
Zugnummer aufgeschrieben und so ein paar
seltsame Gesten gemacht, so gezeigt, so da
-
hier auf das Zettel mal überwenkt und
gewunken. Und habt ihr dann irgendwie 2
-
Stunden später eine E-Mail geschrieben,
ja, schickt mir doch mal bitte meine
-
Daten. Ihr könnt mich daran
identifizieren, dass ich das und das
-
gemacht habe. Ich hab so eine Maske
getragen. Also eigentlich alles, um mich
-
zu identifizieren, weil es auch eher
unwahrscheinlich ist, dass eine andere
-
Person genau die gleichen Sachen macht.
Und dann ist es so, das stand auch noch
-
dabei, dass es innerhalb von
achtundvierzig Stunden gelöscht wird,
-
automatisch und dadurch gesagt, ja, man
kann so verlangen, dass das eben, das
-
heißt Verarbeitung einschränken. Also man
kann sagen, ja, verschließt das Mal, sorgt
-
dafür, dass es nicht gelöscht wird. Und
die so, nöö, sind überhaupt keine
-
personenbezogenen Daten. Und außerdem geht
es nicht Sicherheitsinteressen blabla
-
andere Interessen. Und dann, das ging
tatsächlich sehr schnell, muss ich sagen.
-
Das fand ich gut, dass ihr; dass die da
innerhalb von irgendwie ein paar Stunden
-
geantwortet hatten. Das Problem war dann
nur, ich hab dann zurückgemeldet und
-
gesagt naja, es war schon personenbezogene
Daten, weil man kann mich damit
-
identifizieren, wenn man z.B. weiß, dass
ich so eine Maske trage und so so so. Und
-
dann. Außerdem müsst ihr mir das dann
rausgeben und Sicherheitsinteresse stimmt
-
auch nicht so ganz. Weil erstens, wir
wissen ja alle oder ziemlich viel wissen,
-
dass Security by Obscurity nicht so
richtig was bringt. Und zum anderen ist es
-
auch so, dass
D: Ganz kurz.
-
P: Ja.
D: Dazu vielleicht kannst du auch einmal
-
nochmal erklären, was Security by
Obscurity ist. Das wissen vielleicht nicht
-
alle unsere Zuhörer:innen
P: Genau gerne. Also Security By Obsucrity
-
heißt im Prinzip wenn ich was
verschlüssele oder geheim halten will,
-
dann soll ich nicht geheim halten, wie das
funktioniert. Also des
-
Verschlüsselungsverfahren, sondern nur den
Schlüssel. Also im Prinzip könnte man sich
-
bei einer Haustür vorstellen, ich soll
mein Haus nicht dadurch verstecken, dass
-
ich mein Haus geheim halte, sondern dass
ich einen Schlüssel habe, den niemand
-
anderes hat. Und das funktioniert halt
eben. Es ist halt so ein relativ
-
grundlegender Grundsatz von Sicherheits-
Technologie. Und außerdem ist es so, dass
-
in vielen Supermärkten ja immer man
teilweise noch sieht, ein Live-Stream der
-
Videoüberwachung. Das heißt, es kann auch
nicht so das Problem sein und dann hab ich
-
das jetzt geschrieben und das ist jetzt
aber, da haben die dann irgendwie ein paar
-
Wochen später darauf geantwortet. Und
jetzt habe ich inzwischen mich bei der
-
Landesbeauftragten für Datenschutz
beschwert. Kann man nämlich machen, wenn
-
man der Meinung ist, die Daten werden
unrechtmäßig verarbeitet oder von
-
Betroffenrecht wird verletzt, dann kann
man sich beschweren und dann ermitteln die
-
und es kann dann auch Geldbußen geben. Und
wenn man will, kann man danach auch klagen
-
oder sowas. Aber ja. Aber das ist jetzt
erstmal noch nichts weiter. Aber dann noch
-
erstmal zurück zum Thema Schule. Jetzt
gerade ist ja so, dass man viel online
-
Lernen und sowas hat über verschiedene
Technologien. Ja, der ganze Rest ist ja
-
online und die, viele Schulen verwenden ja
Software, die nicht ganz so Datenschutz
-
konform ist oder die Probleme bereitet und
nicht Open Source ist. Und Dфҿ, du hattest
-
ja dich mit Zoom beschäftigt, willst du
dazu was erzählen?
-
D: Ja, genau. Also Zoom ist ja total
populär geworden seit Anfang des ersten
-
Lockdowns, gerade in Schulen und in
Unternehmen wird es total viel zu
-
Videokonferenzen verwendet, genauso wie
andere Software, die mindestens genauso
-
fragwürdig ist. Und wir hatten mal in der
Jugend Hackt Community online darüber
-
diskutiert, wie der Datenschutz bei Zoom
ist. Und daraus hab ich dann mal einfach
-
den Entschluss gefakt, gefasst. Ich frag
da mal an, ich bin von der Schule aus
-
verpflichtet, Zoom zu verwenden. Ich frage
mal an, was die über mich haben. Die
-
Reaktion war gar nichts. Sie haben erst
einmal nichts gemacht. Ich habe die
-
mehrfach daran erinnert. Ich glaube, zwei
Tage vor der, vor dem Ablauf der 30 Tages
-
Frist auf die Antwort nach Artikel 15
haben Sie mir geantwortet, und eine Kopie
-
der Datenschutzerklärung geschickt. Das
ist natürlich überhaupt keine valide
-
Anfrage. Ich hab nämlich nach sehr
speziellen Punkten gefragt. Ich hab
-
gefragt, ob Daten von mir dauerhaft
gespeichert werden, wenn ich an einem
-
Meeting teilnehme auf Zoom. Ob die End-zu-
End Verschlüsselung, also ich wusste, dass
-
sie nicht existent ist, obwohl es genannt
wird. Ob die existiert? Darauf sind sie
-
nicht eingegangen und ich hatte gefragt,
ob die Daten, die sie speichern von mir
-
eventuell wie Logging Daten von Clarifying
Lawful Oversea Act, vom sogenannten US-
-
Cloud Act betroffen sind. Auf keinen der
Fragen haben sie geantwortet. Halte ich
-
auch nicht erwartet. Ich hab ihn dann noch
geschrieben. Ich, dass Sie bitte die
-
letzten 2 Tage, die sie noch Zeit haben,
das bitte beantworten sollen, haben sie
-
nicht gemacht. Danach hab ich das an den
zuständigen Landesdatenschutzbeauftragten
-
gegeben. Der hat das nach ich glaube 3, 3
mal nachhaken hat er das angefangen zu
-
bearbeiten. Und ich habe irgendwann eine
Antwort bekommen von Zoom und die war: Sie
-
können nichts dazu sagen, weil sie von mir
keine Daten haben. Ich könne nur eine
-
Anfrage stellen, wenn ich einen Zoom
Account hätte. Das ist erstmal per se
-
falsch, weil Daten auch ohne Account von
mir verarbeitet werden. Das ist natürlich
-
ein Skandal. Da habe ich zurück an den Landes-
Datenschutzbeauftragten geschrieben, der
-
meinte ja, sie geben das gerne mal weiter
und werden sich persönlich da nochmal
-
erkundigen. Rund eine Woche später hab ich
eine Antwort von denen nochmal bekommen,
-
also vom Landesdatenschutzbeauftragten. Ja
also, sie können das jetzt erstmal nicht
-
weiter bearbeiten. Sie wissen einfach
nicht, wer in der Europäischen Union für
-
die Beantwortung der Anfrage zuständig
ist. Sie wussten nicht, ob Sie das jetzt.
-
Also Sie sind auf jeden Fall nicht
zuständig, konnten Sie mir sagen. Aber sie
-
waren sich jetzt nicht sicher. Es ginge
darum, ob die französische, die
-
niederländische Niederlassung zuständig
für meine Anfrage ist. Und Sie konnten
-
sich einfach nicht entscheiden, ob die
niederländische oder die französische
-
Niederlassung von Zoom, und dem die
entsprechend französischen oder
-
niederländischen Behörden für meine
Anfrage zu Verständ-, zuständig sind und
-
haben dementsprechend erst mal nichts
gemacht. Währenddessen hab ich mich noch
-
weiter beschwert bei Zoom, und dann haben
sie mir irgendwann auf meine erste Frage,
-
ob das nämlich alles verschl- Ob das alles
verschlüsselt ist. Da steht ja zu Ende-zu-
-
End Verschlüsselung oben drin. Das habe
ich im März habe ich das in der Anfrage
-
formuliert. Da haben Sie mir gesagt Ja,
seit August wäre End-zu-End
-
Verschlüsselung verwendet und
dementsprechend ja, alle meine Daten seien
-
verschlüsselt worden. Das klingt ja ganz
toll. Nur leider haben Sie mir im August
-
geschrieben, dass seit August
Verschlüsselung ist. Und meine Frage aus
-
dem März, ob das verschlüsselt ist, haben
Sie mit Ja beantwortet, obwohl Sie da
-
gerade gesagt haben - nee, meine Daten von
damals wurden gar nicht verschlüsselt. Und
-
das ist ein Skandal, dass mir so
geantwortet wird. Ja, das ist jetzt beim
-
Bundesdatenschutzbeauftragten gelandet. Da
war die Antwort sie sind nicht zuständig.
-
Und jetzt warte ich, bis ich mal Zeit
habe. Und ich habe vor, das auf jeden Fall
-
vor Gericht zu bringen, weil ich finde, so
ein Verhalten, das er seit mehreren
-
Punkten klar Verstöße gegen Artikel 32 bis
34, gegen Artikel 15. Ja, und das ist ein
-
absolutes No-Go!
L: Genau, du hast uns ja gerade schon
-
nochmal angesprochen so. Also ich meine,
das ist ja schon ziemlich erschreckend,
-
dass du das in der Schule irgendwie
benutzen musst.
-
D: Jetzt nicht mehr.
L: Und es aber diese Lücken auch gab.
-
D: Hat was gebracht.
L: Bin ich sehr glücklich. Ich habe von
-
Anfang an haben wir uns Big Blue Button,
und es ist besser, genau. Und nochmal mit
-
Schule. Da hat doch eine Person auf
Twitter geschrieben, dass eine
-
Sicherheitslücke irgendwo in einem System
der Schule gefunden hat, womit man die
-
Namen aller Schüler nachschauen konnte,
die sitzengeblieben sind, und das dann die
-
Personen zu dem Software-Hersteller gegangen
ist, und das bekannt war und das war ein
-
Sonderwunsch des Schulträgers war und das
dann Datenschutzbeauftragte der Schule
-
meinten, das ist legal und richtig so.
Ich finde das zeigt ja auch nochmal, wie
-
viel Arbeit noch in Schulen gemacht werden
muss. Und total gut aber, dass du dich
-
dafür dann so einsetzt. Ich meine, das ist
ja auch nicht selbstverständlich. Da gibt
-
es ja dann auch viele Schüler:innen die
sozusagen einfach nur mitmachen müssen und
-
halt nicht das richtige Know-How haben,
sich vielleicht wirklich sozusagen dagegen
-
zu wehren, wie du das jetzt gemacht hast.
Also ich finde, das ist sehr gut, dass du
-
das gemacht hast.
D: Genau. Ich finde, das zeigt, dass ist
-
natürlich total schlimm ist, dass diese
ganze Problematik gerade in Schulen gibt,
-
wo total sensitive Daten wie
Leistungsdaten von Schüler:innen
-
verarbeitet werden. Das ist ein Problem,
dass es diese Problematik da gibt.
-
Natürlich. Aber ich finde, das ist ja
genau. Paul sagt gerade Kinderdaten, es
-
ist ja nicht von irgendwem, sondern von
Kindern, die ja eigentlich schützenswert
-
sind. Aber es ist gar nicht das zugrunde
liegende Problem. Ich persönlich sehe das
-
zugrunde liegende Problem viel tiefer, und
zwar darin, dass die Informatik in Schulen
-
völlig veraltet ist. Die Lehrer:innen sind
häufig gar nicht qualifiziert und der
-
Datenschutz wird häufig an irgendwelche
Lehrer:innen abgetan, die keine Ahnung
-
davon haben. Ah, und das in Kombination
mit sowieso schon schlecht qualifizierten
-
Informatik Lehrkräften vielerorts in
Deutschland und generell ein geringen
-
Stellenwert von der Informatik in Schulen.
Das ist ein Riesenproblem und vielleicht
-
da hab ich, ich habe auch die Hoffnung,
dass sich das vielleicht irgendwie wann
-
ändern wird, und dass dann das eben der
Datenschutzthemen mit einher gehen wird.
-
P: Ja, jetzt zu dem konkreten Fall. Ich
weiß gar nicht, ob man das jetzt aus
-
Datenschutzgründen vorlesen darf. Nein.
Also da ging es darum, dass Lücken die
-
Namen der sitzengebliebenen Schüler
verraten haben und dann wurde anderen noch
-
bedroht. Das geht natürlich gar nicht. Es
kann tatsächlich sogar teuer werden. Ich
-
weiß jetzt nicht, ob das jetzt der Fall
für die Person, die das gefragt hat, schon
-
abgeschlossen ist, aber ich. Mein Tipp
wäre sich bei die oder der dann, also der
-
oder dem Landesbeauftragten zu beschweren.
Die müssen einem eigentlich auch innerhalb
-
von drei Monaten antworten, sonst kann man
sich da auch nochmal. Kann man da gegen
-
auch nochmal vorgehen. Weil so was kann
teuer werden, weil hier in der DSGVO
-
drinnen, personenbezogene Daten müssen
geschützt werden und wenn die
-
unbeabsichtigt weitergegeben werden, dann
müssen auch die betroffenen Personen
-
informiert werden. Also das ist, das
sollte man. Da kann man sich dann gut
-
beschweren. Und genau hier hat, wurde auch
hingewiesen, jemand. Man kann auch den CCC
-
oder Jugend Hackt konsultieren. Ich denke,
die können da auch vermitteln, was man da
-
machen soll. Aber Beschwerde bei der
Landesbeauftragten hilft sicher. Und wenn
-
die einem dann blöd kommen mit, wir
schmeißen dich raus oder sowas, dann
-
kriegen die nur noch mehr Ärger. Also es
geht einfach nicht.
-
L: Genau. Eine Sache noch, genau ich hab
mir ja schon gesagt, ich wa so bisschen so
-
Landesschulbehörde aktiv. Und dort saß ich
auch in so nem Ausschuss. Und was daran
-
war, ist, dass auch das war, es muss 2018
gewesen sein, so kurz nachdem die dann
-
wirklich so in Kraft getreten ist. Und da
wurde dann drüber diskutiert, was denn
-
personenbezogene Daten in der Schule sind
und was davon besonders schützenswert ist.
-
Und das fand ich so überraschend, dass da -
wir saßen da alle in einem Raum, da waren
-
dann noch Vertreter von dings, von
religiösen Gemeinden und so, also
-
generell, das war so ein, ähm, so ein,
einfach so ein großes Treffen, Urbach, der
-
Kultusminister anwesend war. Und das fand
ich einfach sehr, sehr erschreckend, dass
-
das irgendwie da diskutiert wurde, und
dass das noch gar nicht so so sicher war.
-
Also zum Beispiel Religionszugehörigkeit
wird ja auch in der Schule gespeichert,
-
damit man den passenden
Religionsunterricht angeboten bekommen
-
kann. Und das sowas, ist ja auch irgendwie
personenbezogene Daten und auch sensitive
-
Daten. Meine Religionszugehörigkeit kann
mich ja für bestimmte Sachen vielleicht
-
angreifbar machen. Und das fand ich total
erschreckend irgendwie, dass das so offen
-
gelassen wurde. Genau. Und ich glaube, was
wir hier grade schon jetzt die ganze Zeit
-
angesprochen haben, war dieses
Konfrontation-Sachen, also wie geht man
-
damit um, wenn was falsch läuft? Habt ihr
beiden da vielleicht Ideen, weil ich bin
-
ja selber in der Position, wo ich sage
ich. Ich weiß nicht, wie ich damit umgehe,
-
Dфҿ mit dem Zopf, du bist ja sehr offensiv
da, aber ja, ich find's. Ich find's
-
schwierig, vor allem wenn man jugendlich
ist und vielleicht unter 18 und nicht
-
richtig weiß, wie man sich wehren kann.
D: Genau so, bei Schulen hab ich da ne
-
ganz schlechte Erfahrung. Ich hatte auch
schon in anderen Punkten mit verschiedenen
-
Schulen und verschiedenen Behörden um die
Bildung herum Auseinandersetzung mit
-
Datenschutz, da ist Konfrontation natürlich
extrem schwierig. Weil das am Ende die
-
Leute sind, die dir deine Zeugnissnote
geben. Und natürlich werden die nicht
-
sagen, du hast eine Anfrage über
Datenschutz gestellt, du hast dich
-
beschwert, wir geben dir eine schlechtere
Note, aber das ist natürlich so eine
-
unterschwellige schlechte Stimmung, die da
entsteht. Das heißt, ich würde eher
-
empfehlen, immer freundlich zu reagieren
und zu sagen, hm ey, ihr Lieben, hier
-
läuft irgendwas nicht ganz richtig. Könnt
ihr das nicht so und so machen? Das wäre
-
irgendwie besser. Damit seid ihr auf der
sicheren Seite. Also irgendwie eher so
-
Hilfe anbieten und zu sagen, so könnte man
es verbessern, als zu sagen: Hey, das ist
-
alles total falsch. Und wenn ihr es mit
einer doofen Firma zu tun hat, würde ich
-
da tatsächlich vorschlagen, auf
Konfrontation gehen. Es kann, die meisten
-
Firmen spielen auf Zeit. Aber wenn ihr denen
zeigt ihr seid hartnäckig, dann tun sie
-
meistens am Ende, was ihr wollt. Aber es
kann natürlich Monate oder bei meiner
-
Sache z.B. jetzt schon fast ein Jahr
dauern und man kommt nicht unbedingt immer
-
weiter. Vielleicht können wir damit zur
nächsten Frage weitergehen. Irgendwer
-
hatte doch im Chat reingeworfen, ja
einfach die Fälle alle an nen Abmahn-
-
Anwalt geben. Was haltet ihr davon? Findet
ihr das richtig, findet ihr das falsch,
-
findet ihr, das sollte man machen.
Vielleicht Paul hast du dazu ne Meinung?
-
P: Ja, Abmahnanwälte. Das war mal so ein
bisschen so eine Furcht, die alle hatten,
-
als die DSGVO in Kraft tritt. Jetzt gibt's
gleich tausende Abmahnanwälte und das
-
Problem ist auch immer, man kann gar nicht
immer abmahnen. Da muss man nämlich
-
irgendwie. Es gibt entweder
Verbraucherschutzorganisationen,
-
Verbraucherzentrale und sowas, da lohnt es
sich tatsächlich, weil die ja auch auf
-
systematische Probleme besser hinweisen.
Und das andere ist so klassische
-
Abmahnanwälte, die nach Fehlern suchen.
Das ist, finde ich tatsächlich
-
problematisch, weil ich die generell ein
bisschen zwielichtig halte. Wo vermehrt
-
sich Abmahnung - nein ähm Hass(?)
nein. Aber generell muss man natürlich
-
schon gucken. Also ich. Es ist
wahrscheinlich immer sinnvoll, sich bei
-
der oder dem Landesbeauftragten zu
beschweren bzw. wenn er zuständig ist beim
-
Bundesbeauftragten. Die sind dort sehr
kompetent, haben auch eben die
-
entsprechenden Mittel um das
durchzusetzen. Notfalls halt mit
-
Bußgeldern. Da ist man eigentlich immer
auf der sicheren Seite. Es dauert dann
-
halt ein bisschen, man hat nicht wirklich
den Einfluss, aber die können auch dafür
-
sorgen, dass das man eben, dass man eben
das notfalls durchgesetzt wird. Also da
-
muss man eben nicht darauf vertrauen, dass
die am Ende nachgeben. Und ansonsten, wenn
-
man überlegt, wenn man sich das lohnt,
kann man sich auch natürlich selber einen
-
Anwalt holen und klagen, was dann
natürlich noch aufwändiger ist. Wobei man
-
da z.B. aber auch relativ gut
Schadensersatz wollen kann. Da gibt's auch
-
inzwischen einige gute Entscheidungen
dafür, auch wenn's noch nicht ganz klar
-
ist mit Schadensersatz. Ja, Liv wollte
glaube ich noch was dazu sagen.
-
L: Genau. Ich finde, es ist irgendwie ein
ganz schwieriges Thema, weil auf der einen
-
Seite möchte man ja irgendwie, dass sich
das ändert und dass es irgendwie für alle
-
gut läuft und vor allem, dass es nicht nur
für die ganzen technikaffinen Leute
-
irgendwie einfach ist. Aber gleichzeitig
finde ich es irgendwie schwierig, so eine
-
Person. Also wenn ich hier so zum Beispiel
ich meine im einen Fall weiß, ich ist eine
-
Person, die diesen Fehler gemacht hat, so
und dann möchte ich auch nicht dafür
-
verantwortlich sein, dass die Person dann
irgendwie davon irgendwie sowas blödes mit
-
trägt. Also das empfinde ich das ganz
schwierig und ich glaube, was ich eher
-
machen würde ist, dass ich vielleicht der
Person selber schreiben würde. Genau. Also
-
ich finde das. Ich finde das ganz
schwierig, weil ich find, auf der einen
-
Seite steht so dieses, es soll besser
werden und die, es ist ein Gesetz, und die
-
haben da eine Verpflichtung zu und auf der
einen Seite ist so dieses, sind ja auch
-
nur Menschen, aber wer auch eine
Verpflichtung hat, sind ja
-
Programmierende, vor allem auch bei Jugend
hackt. Und ich glaube damit kennt sich Dфҿ
-
mit dem Zopf gut aus.
D: Genau. Da war ja, so kam auch im Chat
-
die Frage: Wie können wir selbst damit
umgehen, wenn wir irgendwie als
-
Hacker:innen, als Nerds irgendwie unsere
kleinen Sachen entwickeln? Und da ist,
-
finde ich, immer der erste Satz: Erst mal
überlegen was für Daten brauche ich
-
überhaupt, wenn ich irgendwie eine kleine
App baue, wo ich mich anmelden kann?
-
Brauche ich eine E-Mail-Adresse oder
reicht es, wenn ich mir einfach nur einen
-
Benutzer:innennamen gebe und ein Passwort?
Dann habe ich gar keine personenbezogenen
-
Daten außer dem Passwort und dann ist es
sehr viel einfacher, das zu schützen und
-
so weiter. Das heißt, was ich damit sagen
will, Privacy By Default und Privacy by
-
Design, also erst mal die Anwendung so
entwickeln, dass sie so wenig Daten wie
-
möglich überhaupt braucht und auch gar
nicht die Möglichkeit bietet, unnötige
-
Daten, also z.B. Geschlecht, Alter,
Nationalität, das sind Daten, die kann man
-
eigentlich immer weglassen, vielleicht
bevorzugte Sprache. Das kann sinnvoll
-
sein. Aber selbst das braucht man häufig
gar nicht. Viel wichtiger ist dann auch
-
die Dinge, die zu verarbeiten, oder
mindestens genauso wichtig ist es, die
-
Dinge, die auf jeden Fall verarbeitet
werden müssen, zu minimieren. Also z.B.
-
einfach mal nicht standardmäßig die IP
Adressen auf den Webservern speichern von
-
den Leuten, die es besuchen, automatisch
Posts z.B. in eine Chat App nach zwei
-
Wochen löschen oder generell alle Logging
Daten löschen, personenbezogene Daten
-
verschlüsseln. Also in der Datenbank, wo
Daten gespeichert werden irgendwie alles
-
mit Passwort verschlüsseln, was nicht für
andere zugänglich sein muss. Somit habt
-
ihr ganz eine minimale Angriffsfläche und
gewährleistet eben auch diese geforderte
-
Datensicherheit. Das heißt einfach, würde
ich sagen, immer minimieren, was wir
-
machen müssen.
P: Genau da würde ich nämlich auch sagen
-
das Wichtigste ist eigentlich erstmal,
dass man eben sagt, dass man. Also
-
Datenschutz ist grundsätzlich erst mal
Datensicherheit, also dass man Daten, die
-
man hat, sicher verarbeitet. Das heißt
eben verschlüsselt, sichere Transport
-
Kanäle nutzt. Also vielleicht habt ihr's
mitbekommen, es gab jetzt ja vor ein paar
-
Wochen so ein Bußgeld. Irgendwie 900 000
Euro gegen 1&1. Das lag nicht daran, dass
-
die irgendwelche seltsamen Sachen gemacht
haben, irgendwelche kryptischen
-
Vorschriften gegen die, die verstoßen
haben, sondern die haben einfach nur dafür
-
gesorgt, dass andere Leute, die dazu nicht
befugt sind, auf die Daten zugreifen
-
können. Und das heißt, das sind eben
solche grundlegenden Sachen, dass man
-
erstmal dafür sorgt, dass die Daten
gesichert sind. Und das Zweite ist dann
-
eben, dass man vermeidet, personenbezogene
Daten zu verarbeiten. Das heißt auch
-
nicht, dass man nie welche verarbeitet
darf, sondern immer nur, ist es notwendig
-
und wenn ja, dann kann man sie
verarbeiten. Und sind die Daten überhaupt
-
geeignet? Also jetzt zum Beispiel hat
jemand beschrieben, dass das mit dem
-
Usernamen Namen guter Ansatz ist, aber
wenn man ohne Verifizierung Account
-
erstellen kann, ist das auch nachteilhaft.
Genau das ist halt eben so. Das ist immer
-
eine Abwägungssache, kann man jetzt. Man
kann nicht pauschal sagen, die Daten sind
-
gut, die sind schlecht, sondern man muss
halt immer sagen brauche ich diese Daten,
-
weil z.B. für jetzt eine Webseite, die nur
privat oder sowas ist, wo jetzt nichts
-
ist, braucht man vielleicht keine
Verifizierung. Andererseits gibt's
-
Webseiten, wofür man eine Verifizierung
braucht. Das heißt, es hängt immer
-
komplett davon ab, was man jetzt gerade
haben will. Und ja, das sind im
-
Wesentlichen die wichtige Sachen, dass
man's minimiert. Und dann gibt's noch so
-
ein paar seltsame Sachen, man muss so eine
Datenschutzerklärung hinschreiben, was
-
auch nicht so schwer ist, es klingt immer so,
-
als ob das total viel Aufwand ist. Aber
man muss im Prinzip nur schreiben, welche
-
Daten man verarbeitet, wofür und welche
Rechtsgrundlage das hat, gibt es
-
eigentlich im Wesentlichen nur "ist für
die Verarbeitung notwendig", "Ich hab ein
-
berechtigtes Interesse" oder die Person
hat explizit eingewilligt, wobei
-
Einwilligung auch wieder schwierig. Muss ich
nochmal kurz lesen. Vielleicht könnt ihr
-
dazu noch ein paar Fragen stellen, wenn
ihr wollt. Aber jetzt wollte glaub ich
-
noch jemand nochmal was sagen. Einer von
euch.
-
L: Du bist grad gemutet.
D: Äh ja, genau. Ich wollte noch eine
-
Kleinigkeit sagen, und zwar
Datenschutzerklärung. Ganz wichtiger
-
Punkt. Und da, find ich, ist, kann man das
Prinzip Privacy by Design ganz gut
-
durchsetzen. Zwar nicht privacy by design,
das englische Wort Design, sondern da
-
können wir das deutsche Wort Design
nehmen, also vom Aussehen her. Da möchte
-
ich mal die Software von Google namens
Kaggle anführen. Google ist ja eigentlich
-
Datenschutz mäßig, echt ne Katastrophe in
vielen Punkten. Aber Kaggle, das ist ein
-
Framework für Online Deep Learning. Und da
fand ich es ganz schön, wenn du dich da
-
registriert. Da hast du die
Datenschutzerklärung, alle Punkte, nicht
-
rechtskräftig irgendwie so in juristischer
Sprache beantwortet, sondern mit ganz klar
-
einfachen, ganz klaren ein Satz, Fragen,
Antworten ist da einmal die
-
Datenschutzerklärung bei der Anmeldung
aufgeschlüsselt, das sind irgendwie nur,
-
ich sag mal 10 Zeilen, wo alle Punkte, die
in der Datenschutzerklärung drinstehen,
-
ganz klar aufgelistet sind. Und dann
gibt's natürlich nochmal die große
-
Datenschutzerklärung wurde des Ganze in
juristischem Englisch aufgeschlüsselt ist.
-
Aber eben einfach nochmal bei der
Anmeldung ganz klar die wichtigsten Punkte
-
nennen und nicht nur sagen Ja, ich habe
die Datenschutzerklärungen gelesen und so
-
weiter, sondern das übersichtlich
gestalten. Das finde ich einen ganz tollen
-
Ansatz und ich glaube würden mehr
Entwickler:innen diesen Ansatz verwenden.
-
Das finde ich einen sehr guten Punkt, was
wir alle berücksichtigen können. Und Liv
-
wollte noch etwas sagen.
L: Genau ich glaube eine Sache, die jetzt
-
auch immer so klar geworden ist. Als wir
jetzt darüber geredet haben, ist es
-
einfach wichtig so, das Mindset zu haben.
Und das, ich glaube, hat auch vorhin eine
-
person gefragt, so wie macht man das denn
Entwicklenden Personen einfacher, sich
-
daran zu halten und ich glaube das ist
wirklich sozusagen dieses Mindset, dass
-
man schon von Anfang an so denkt. Okay,
eigentlich möchte ich gar keine Daten
-
erheben und nicht davon ausgeht mit okay,
ich erhebe ganz viele Daten und benutze
-
nur die, die ich wirklich brauche. Und ich
glaube das kann sowas sein, wo man
-
vielleicht auch an sich selber arbeiten
kann und dass man so denkt, so okay, Also
-
vielleicht kann man auch im echten Leben
mal durchgehen und gucken, so was es für
-
Daten gebe ich über mich auch selber preis
und dann, sozusagen der default ist,
-
nichts preisgeben und immer nur das
preisgeben, was man braucht und ich glaube
-
das ist ein ganz gutes Mindset ist
generell. Also natürlich muss man da auch
-
Ausnahmen machen, man hat ja auch Familie
und Freunde, die vielleicht mehr über
-
einen wissen können. Aber ich glaube, dass
sich das auch ganz gut so auf Technologie
-
übertragen lässt, also dass man sich da
wirklich irgendwie drüber, dass man drüber
-
nachdenkt und an ein bisschen mehr Zeit
rein auch steckt. Und ich glaube, dass es
-
auch bei Jugend Hackt Projekten ja machbar
ist. Also hat man ja oft ein Wochenende
-
und ich glaube dann findet man da 10
Minuten bis ne Stunde, um da mal drüber
-
nachzudenken. Und das ist ja auch ethisch
interessant und dann ja auch mit Code die
-
Welt verbessern. Ich glaube dazu gehört
auch, dass man die Welt verbessert in
-
Hinsicht auf Datenschutz. Und es ist ja
auch ein wichtiges Thema für Jugendliche.
-
Warum glaubt ihr denn, wissen vielleicht
so viele Jugendliche gar nicht so viel
-
über Datenschutz? Oder ist es ihnen nicht
so wichtig? Nochmal so ein ganz anderes
-
Thema ist, die vielleicht erst Social
Media, wo Datenschutz vielleicht
-
fragwürdig gehandelt wird. Warum glaubst
du, dass vor allem Jugendliche das so
-
ignorieren?
P: Ja, die Frage ist, kann ich natürlich
-
nicht beantworten. Ich weiß jetzt nicht
genau, was andere Jugendliche denken, aber
-
ich denke, ein Problem ist zum einen, dass
Datenschutz immer so ein abstraktes Thema
-
ist, also da. Das liest man davon.
Manchmal liest man nur irgendwelche Sachen
-
in Zeitungen oder Online-Zeitungen.
Wahrscheinlich eher, aber weiß auch nicht
-
so richtig, was bedeutet das jetzt? Wie
betrifft es mich? Und zum anderen ist auch
-
so. So Datenschutzerklärungen sind ja wie
gesagt meistens in so einem Jura-Sprech
-
geschrieben, was eigentlich, ganz
interessant, gar nicht notwendig ist.
-
Eigentlich ganz im Gegenteil. Die soll ja
wie gesagt gut lesbar sein, sodass
-
möglichst jede Person die versteht. Dieses
Microsoft Beispiel von vorhin ist da eher
-
ein komplettes Gegenbeispiel. Es ist
eigentlich eher schädlich und man könnte
-
argumentieren ist fast schon eher
eigentlich schon wieder ein Verstoß gegen
-
den Datenschutz. Und das ist eben so.
Datenschutzerklärung und so was, dass es
-
nicht gut formuliert ist und das andere
ist, dass man sich auch mit der DSGVO gar
-
nicht so beschäftigt hat. Ich kann
tatsächlich allen Leuten empfehlen, sich
-
die mal durchzulesen. Die ist relativ gut
formuliert, anders als manch andere
-
Gesetze, die. Man kann sich da mal den
Anfang durchlesen, alles was man nicht
-
versteht, überspringen. Aber die meisten
Sachen versteht man eigentlich relativ gut
-
so, ohne dass man davor erst ein
Jurastudium oder so was benötigt. Und das,
-
finde ich, ist halt eben vorteilhaft auch,
das heißt, man sollte sich damit immer
-
beschäftigen und zum anderen müssten halt
auch eben, finde ich, müsste mehr
-
Awareness dafür geschaffen werden. Ich
hoffe natürlich. Wir hoffen natürlich,
-
dass dieser Vortrag ein bisschen dazu auch
beihilft, aber vielleicht sollte es auch
-
irgendwie in der Schule oder so was
angesprochen werden. Es gibt ja immer mehr
-
Informatik- oder ITG-Unterricht, also was.
Da könnte man halt auch sich vielleicht
-
ein oder zwei Stunden damit beschäftigen.
Es würde, denke ich schon sehr viel
-
helfen.
D: Genau in die Richtung auch, weshalb das
-
gar nicht so häufig ankommt bei den
Leuten, ist glaub ich, weil sie gar nicht
-
so das Verständnis dafür haben und gar
nicht nahe gebracht bekommen, weshalb das
-
wichtig ist. Darüber haben wir jetzt auch
gar nicht gesprochen. Es ist, wär nochmal
-
was völlig anderes, aber, dass viele Leute
sich gar nicht dessen bewusst sind, was da
-
für ein Finanzierungs- und
Ausbeutungsmodell hinterm Datensammeln
-
steckt und wie viel. Und weshalb überhaupt
eine App kostenlos sein kann. Ich glaube,
-
diese Reflexion fehlt bei vielen Leuten.
Das finde ich total schade. Oder Liv?
-
L: Genau. Ja, finde ich auch so. Ich
glaube, dass. Ich glaub Paul hat hier grad
-
schon sozusagen angesprochen, so sollte
man das auch mehr in der Schule
-
thematisieren? Dem stimme ich total zu.
Aber ich weiß nicht, ob sich alle Lehrer
-
dem so gewappnet fühlen würden. Genau. Ich
habe neulich eine Präsentation gehalten,
-
über Datenschutz für Jugendliche in der
Schule und hab da z.B. auch diese Webseite
-
"Have I Been Pwned" gezeigt, wo man so
seine Email-Adresse eingeben kann. Dann
-
kann man sehen sozusagen, wo es irgendwie
Leaks gab, wo die rausgekommen ist. Das
-
ist ja auch, was mit Datenschutz zu tun
hat. Und das fanden alle total cool und
-
total interessant. Und dort hab ich auch
DSGVO vorgestellt und das kannte praktisch
-
keiner. Also ich finde, das ist ein guter
Punkt, wo man ansetzen muss. Aber ich
-
glaube, es reicht nicht. Also ich glaube,
da muss die Schule an sich noch das selber
-
mehr pushen, weil man das nicht auf die
Schüler ablagern kann. Genau. Falls ihr im
-
Chat oder wo auch immer ihr grad - nein
man guckt nicht im Chat zu - wo auch immer
-
ihr grad zuguckt, falls ihr noch mit uns
weiter diskutieren wollt und noch Fragen
-
habt, gehen wir danach noch in einen Big
Blue Button Raum, der ein bisschen
-
Datenschutz freundlicher ist als Zoom,
also müsst ihr euch da keine Sorgen
-
machen. Und genau, wir würden uns freuen,
wenn noch möglichst viele Leute dort mit
-
uns weiterreden, da dieser Stream in 3
Minuten zu Ende ist. Aber genau. Mir hat es total
-
viel Spaß gemacht mit euch zu diskutieren.
Und ich finde es ist ein total wichtiges
-
Thema, wo ihr auch, glaub ich, endlos
weiter drüber reden könnte.
-
D: Genau an der Stelle nochmal. Wir haben
jetzt total viele, viel Rückmeldung schon
-
im Chat bekommen, dass euch der Talk
vielleicht auch gefallen hat und es freut
-
uns natürlich auch total, dass wir euch da
irgendwie ein bisschen Input geben können.
-
Ja, war total nett. Wird euch als
Publikum, auch wenn wir euch leider dieses
-
Mal nicht vor Ort sehen.
P: Aber es hat ja auch einen Vorteil
-
datenschutzrechtlich dann egal nein. Ok,
so funktioniert es nicht, aber gut. Ne,
-
hat mir auch Spaß gemacht. Auch danke für
die, die zugehört haben und ich freu mich
-
auch gleich dann noch auf vielleicht falls
noch Fragen sind im Big Blue Button,
-
vielleicht auch zu eigenen Projekten, wenn
ihr da was habt, könnt ihr erfahren,
-
vielleicht könnt ihr euch ja da irgendwie
weiterhelfen oder sowas.
-
L: Super, dann tschüss und bis zum
nächsten Community Talk.
-
D: Tschüss, bis zum Big Blue Button.
-
Wikipaka Outro Musik
-
Untertitel erstellt von c3subtitles.de
im Jahr 2021. Mach mit und hilf uns!
