Datenschutztheater

Ich möchte heute anhand von Beispielen einen neuen Begriff einführen: Das Datenschutztheater. Der Begriff  lässt sich zurückführen auf das Buch „Beyond Fear“ welches der Sicherheitsexperte Bruce Schneier 2003, auch unter dem Eindruck der Gegenmassnahmen gegen den „Terror“, welche post-9/11 in den USA etabliert wurden, veröffentlichte und in welchem er den Begriff „Security Theater“ prägte.

Dabei bezeichnet Security Theater Sicherheitsmassnahmen, die das Gefühl verbesserter Sicherheit bieten sollen während sie faktisch nichts oder fast nichts für die Verbesserung der Sicherheit tun. („a term that describes security countermeasures intended to provide the feeling of improved security while doing little or nothing to actually improve security“ Quelle)

Analog definiere ich Datenschutztheater folgendermaßen:

Datenschutztheater bezeichnet eine Massnahme oder eine Sammlung von Massnahmen, die den gefühlten Schutz von Daten verbessern ohne dabei die Daten funktional vor Ge- oder Missbrauch zu schützen.

Betrachten wir Beispiele für Datenschutztheater.

Piwik

Das Webseitenanalysetool Piwik wird gerne als datenschutzkompatible Alternative zu Google Analytics empfohlen, auch vom Unabhängigen Datenschutzzentrum Schleswig Holstein (ULD). Dabei hat das ULD sogar einen Leitfaden herausgegeben, wie man Piwik datenschutzkonform einsetzt. Wie immer gehts dabei um IPs. Um in den Logs keine direkt tracebaren IPs mehr anzuzeigen, kann ein Plugin eine beliebige Anzahl der IP-Oktets auf 000 setzen (also steht bei der Einstellung 2 statt „123.456.123.456“ „123.456.000.000“ in den Logs). Auf diese Weise soll eine direkte Nachverfolgung des Nutzers ausgeschlossen werden ohne die Funktionalität der Anwendung (die ja auch darstellen will, aus welchen Gegenden die Nutzer der Seite kommen) unnötig zu beschneiden. Die echte IP wird intern noch genutzt, um die einzelnen Nutzer voneinander unterscheiden zu können, sie wird allerdings mit mit anderen Daten verknüpft und „gehasht“. Das ULD geht davon aus, „dass eine Rückrechnung aus dem gebildeten Hashwert bei Kenntnis der anderen zusätzlich genutzten Parameter und innerhalb der Lebenszeit des Cookies zwar theoretisch möglich, jedoch mit derartigem Aufwand verbunden wäre, dass das Restrisiko in diesem Fall hinnehmbar ist (vlg. Leitfaden)“.

Warum ist das Datenschutztheater? Erstens ist die eindeutige Identifikation der Nutzers schon alleine über seine Browserkennung (vgl. panopticlick) möglich (was das ULD selbst im Handbuch sogar anspricht!) und zweitens ist die maximale Anzahl der Hashes, welche ich bei zwei anonymisierten IP Oktets ausprobieren muss, um die IP des Nutzers zu rekonstruieren, 254^2 (=64516), was für einen modernen Prozessor absoluter Kinderteller ist. Die IP in den Logs wird zwar umgeschrieben, aber da die Daten dann doch noch drinstecken und leicht zu rekonstruieren sind ist das eine völlig sinnlose Spielerei ohne Mehrwert. Datenschutztheater eben.

TÜV Siegel auf den VZ Netzwerken

Fangen wir an mit einem Zitat von der meinVZ Seite: „Jetzt haben wir es schriftlich: Die VZ-Netzwerke sind das erste soziale Netzwerk, dessen Softwarequalität und Datensicherheit offiziell durch ein Zertifikat des TÜV SÜD bestätigt ist. Geprüft und getestet wurden die Funktionalität unserer Seiten sowie der Datenschutz und die Datensicherheit – und dafür hat der TÜV SÜD uns zertifiziert.“ (link). Das klingt doch nach ner super Sache!

Warum ist das Datenschutztheater? Der TÜV SÜD hat keineswegs den Quellcode der Software geprüft sondern sich selbst durch die Webseite geklickt und geguckt, ob man die Datenschutzeinstellungen finden kann. Das ist keineswegs ein wertloser Test, aber über die wirkliche Sicherheit Missbrauch und Eindringlingen von Aussen gegenüber sagt das Siegel ganz genau nichts. Der TÜV gibt hier sein Qualitätssiegel her für etwas, was er einerseits nicht wirklich genau geprüft hat und was sich andererseits ständig verändert. Zwar lässt sich *VZ jedes Jahr neu zertifizieren, doch sagen alle diese Zertifikate wiederum herzlich wenig über die Sicherheit der Daten aus. Sie entsprechen nichtmal den Opt-In Anforderungen, die Thilo Weichert an Facebook richtet (vgl. diesen Spackeria Post). Klares Datenschutztheater.

Google+

Google Plus wurde gleich zu Beginn sehr für seine Datenschutzfreundlichkeit gelobt. Das „Circles“ Konzept macht es den Nutzern einfach, bestimmte Inhalte nur mit einem eingeschränkten Nutzerkreis zu teilen. Später kam sogar noch hinzu, dass man Posts, welche nur mit einen eingeschränkten Nutzerkreis geteilt wurden auch selbst nicht unbeschränkt weiterverbreiten konnte.

Warum ist das Datenschutztheater? Google unterbindet zwar das direkte Weiterleiten an die Öffentlichkeit, aber nichts, in Worten gar nichts, hält mich davon ab, den Text zu kopieren und als neuen Post abzusenden (mit „+Name hat geschrieben“ oben drüber). Der Mechanismus hat keine sinnvolle Funktion sondern soll nur eine Befindlichkeit stützen, das Gefühl, alles sei gut. Datenschutztheater at its best.

Viele der Datenschutzmassnahmen, die wir um uns sehen sind reines Datenschutztheater, die den Nutzern keinen Schutz bieten, ihnen aber eben solchen vorgaukeln. Und hier liegt die besondere Gefahr des Datenschutztheaters: Weil die Nutzer glauben, ihre Daten seien sicher, lassen sie sich dazu hinreißen, Dinge zu veröffentlichen, welche sie eigentlich lieber geheimgehalten hätten. So führt Datenschutztheater entgegen der Intention der Datenschützer faktisch zu größeren Datenschutzproblemen und mehr Datenleaks.

Advertisements

Über tante

Chimpanzee that!
Dieser Beitrag wurde unter Uncategorized veröffentlicht. Setze ein Lesezeichen auf den Permalink.

58 Antworten zu Datenschutztheater

  1. Pingback: Datenschutztheater | tante's blog

  2. xwolf schreibt:

    Die aktuellsten Theaterstücke hast du in deiner Aufzählung leider unter den Tisch fallen lassen:
    – Das komödiantische Stück im derzeit 4. Akt namens „ULD vs Facebook“.
    – Die Posse um das Zählpixel des IVW. In den Hauptrollen mit dem Datenschutzbeauftragten von Hamburg, den Lobbyisten des Anbieters und den Betreibern der Stadtwebsite.
    – Die Tragödie im Herzschmerztheater Hintertupfingen um ein Datenschutzcodex für Geodienste; EIn Geschichte voll von Verat und Intrige, bei der Datenschützer einen Anbieter zunächst in Sicherheit wiegen um ihn dann in einen politischen Hinterhalt zu locken.

  3. Thomas schreibt:

    Nach greenwashing und openwashing jetzt privacywashing?

  4. Sven Türpe schreibt:

    Ganz neu ist der Begriff nicht, Ed Felten war mit Privacy Theater knapp zehn Monate schneller.

    • tante schreibt:

      Das ist richtig, aber was er als „Privacy Theater“ bezeichnet ist glaube ich noch etwas anders gelagert als was ich hier anspreche (vielleicht verschwimmt das auch, weil wo wir im Deutschen Privatsphäre und Datenschutz haben, im Englischen nur Privacy geläufig ist): Er spricht darüber das Facebooks Datenschutzbestimmungen unlesbar lang sind und daher unsere Zustimmung Murks ist (in gewisser Weise sehr Spackeria!).
      Ich wollte das ganze nur auf Datenschutz-„verbessernde“ Mechanismen anwenden, sehe das also etwas enger als Ed Felten. Trotzdem danke für den Link, der ergänzt den Text sehr gut.

  5. ulf schreibt:

    Du könntest evtl die Beispiel-IP im Piwik (123.456.123.456) durch eine wirklich im Addressraum existierende IP ersetzen.

  6. Sehr gut geschrieben muss man mal sagen und endlich mal auf den Punkt gebracht was ich Seid Jahren sage. Man braucht keine Daten Crawler ob man damit nun Facebook, Twitter, Google oder sonstige Netzwerke meint ( vor allem diese ).

    G Phoenyx aka Martin

  7. Die Argumentation in Bezug auf Google+ ist ein bisschen unschluessig. Klar, ein Empfaenger einer Nachricht kann diese immer gegen den Wunsch des Senders an Dritte weiterleiten – aber das gilt such fuer PGP-verschluesselte E-Mails, Geheimnisse, dem man dem engsten Freund im Vertrauen verraet etc. Das ist ein generelles Vertrauensproblem, kein Problem von Google+

    • tante schreibt:

      Das was Du beschreibst, ist, was wir hier meist den „Kontrollverlust“ nennen, d.h. man kann einmal publiziertes nicht mehr zurücknehmen/kontrollieren. Da hast Du völlig Recht, das betrifft auch Google+.

      Worauf ich mich beziehe ist vor allem die Berichterstattung und die Positionierung von Google+ in den Medien: „Googles datenschutzkonformere Facebook-Alternative“ und große Feiern auf das Circles Prinzip waren da die Regel. Und im Speziellen Google’s Entscheidung, Posts, die nur einer beschränkten Menge von Menschen angezeigt wurden, nicht vollöffentlich weiterleiten zu können ist dabei großes Datenschutztheater.

      • Bauer schreibt:

        Das ist Schwarz-Weiß-Denken. In der Praxis hat man einen Mechanismus, seine Absichten festzulegen. Wer sich darüber hinwegsetzen will, kann das tun, aber nicht versehentlich.

  8. Pingback: Das Datenschutztheater – ein gewolltes Dilemma?

  9. YoungSocialist schreibt:

    Bei manchem muss ich zustimmen, bei anderem jedoch widersprechen.

    Bei den VZ-Netzwerken wird das Netzwerk dafür belohnt, dass es wenigstens solche Einstellungen anbietet, als Standardeinstellungen nicht ähnlich Facebook, eher zur Öffentlichkeit tendiert usw. Wenn hier also etwas zu kritisieren ist, dann vielleicht die Beschreibung und der Name des Siegels. Eine Funktion, die vielleicht ein paar Leute, die nicht mit den Einstellungem von Facebook umzugehen wissen und deshalb bei den VZ-Netzwerken bleiben, hat das Siegel, auch wenn die Auswirkungen, dank der FB-Dominanz eher marginal sind.

    Zu Google selbstverständlich hindert einen die Funktion von Google nicht, etwas von jemand anders zu kopieren und dann trotz der Einschränkungen zu kopieren. Google hindert ja auch niemanden daran, ein Geheimnis jemand anders im RealLife zu erzählen (die Welt außerhalb deines Rechners) und dieser Postet es dann bei Google oder wo auch immer. Google sorgt jedoch dafür, dass du dafür jedoch abstreiten kannst, dass du das gesagt hast. Klar, dann kann der andere noch Screenshots zum Beweis machen, aber man sollte ja gerade Leute bei Google in seine Freunde-Circles aufnehmem, denen man eben anvertraut, den Kram den du so postet, nicht gegen deinen Willen weiterzuverbreiten. Wenn du denen den Kram dennoch erzählst, dann ist es wie im echten Leben, dann gibt es kein Verlass, dass sie es weitersagen.

    Das Ganze ist also kein Datenschutztheater sondern hat durchaus eine gute Funktion. Wer dann fahrlässig die falschen Leute zu seinen Freunden zählt und sie nicht z.B. im Circle „Bekannte” unterbringt, ist selber Schuld, denn mehr kann Google nicht machen. Wenn du ein kopieren von Informationen verhindern willst, dann landen wir an einer Stelle, die du sicher auch nicht befürworten kannst.

    Mit freundlichem Gruß
    YoungSocialist
    Yacine Ghoggal

    • tante schreibt:

      Ganz doof gesagt: Dann gehts bei dem Siegel aber nicht um Datenschutz sondern um Usability (also darum, dass die Defaults besser gewählt und einfacher anzupassen sind). Über die Sicherheit der Daten sagt es nichts.
      Zu Deinem Google-Kommentar verweise ich auf meine Antwort zu Janko Roettgers: Der Kontrollverlust schlägt auch hier voll zu.

      Wie Du selbst geschrieben hast, kann man technisch das Teilen von Informationen nicht wirklich schwieriger machen und ich will das genausowenig wie Du. Dabei fällt halt der Datenschutz hinten runter.

    • Sascha (@der_sk) schreibt:

      Nur um das mal gesagt zu haben, weil ich das immer wieder mal sehe: Bitte nenne „Beweis“ und „Screenshot“ niemals wieder in einen Satz. Screenshots -gerade aus Browsern- sind so einfach fälschbar, da kann ich auch eine Rücktrittserklärung unserer kompletten Regierung echt aussehen lassen. Ohne Photoshop…

      • Ulf J. Froitzheim schreibt:

        Jetzt packe ich mal mutwillig „Beweis“ und „Screenshot“ in einen Satz: Ein Screenshot mag in einem Straf- oder Zivilprozess als Beweis nicht ausreichen, aber wenn er als Beweismittel in einen Prozess eingeführt wird und der Zeuge an Eides statt versichert, dass er keine Manipulation vorgenommen hat, dann hat er durchaus einen Nutzen. Eine mündliche Zeugenaussage ist ja auch kein Beweis. In der Juristerei geht es doch immer nur um Glaubwürdigkeit und darum, das Gericht zu überzeugen – aber praktisch nie um objektive Wahrheit.

        • Jan Dark schreibt:

          Das ist dummes Zeug, was Sascha schreibt. Natürlich kann ein Screenshot ein Beweismittel sein. Z.B. nach freiem Augenschein nach §370 ZPO. Auf der anderen Seite müssen Urkunden als Beweismittel anerkannt sein. Aber das Strafrecht weiß genau, dass Urkunden nicht fälschungssicher sind und hat die Urkundenfälschung besonders unter Strafe gestellt.

          • Ulf J. Froitzheim schreibt:

            Danke für die Aufklärung, Jan. Ich war mir nicht sicher, ob die Fälschung eines Screenshots als Urkundenfälschung i.S.d.G. gilt.

          • Jan Dark schreibt:

            Aufpassen! Eine Urkunde ist immer ein Stück Papier mit Datum, Ort und eigenhändiger Unterschrift. Von daher sind alle Machenschaften mit Elektronik nie eine Urkunde. Der Gesetzgeber wollte diese Sonderbehandlung. Du kannst Im Internet keine Urkundenfälschung begehen. Aber ein Screenshot kann vom Richter als Beweismittel zugelassen werden, anders als der Unsinn, der hier behauptet wurde.

  10. Pingback: DPMS INFO | MEINBLOG | DATENSCHUTZTHEATER | VON DENNIS SEVRIENS

  11. Andreas Krey schreibt:

    In dem Sinne ist freilich auch jedes Türschloß, jeder Sicherheitsgurt, jeder Zaun Sicherheitstheater.

    Und was die Spackeria gerne übersieht: Die Daten, die sie vor Veröffentlichung schützen möchten, indem sie sie nicht herausgeben, liegen gar nicht alle bei ihnen, sondern beim Finanzamt, bei der Bank, beim Arzt, beim Fotoentwickler.

    • tante schreibt:

      Das ist so nicht richtig. Ein modernes Türschloss erhöht die Sicherheit des Hauses signifikant, ist also kein reines Theater: Umgehung des Türschlosses kostet Zeit (Entdeckungsgefahr) oder zwingt andere Einbruchswege zu nehmen (was wiederum mit mehr Gefahr verbunden ist).
      Den zweiten Satz verstehe ich jetzt nicht. Die Spackeria will Daten schützen? Seit wann das denn? (Nur weil ich hier eine Kategorisierung populärer Datenschutzmechanismen vornehme, heißt das ja noch lange nicht, dass ich Datenschützer bin)

      • Andreas Krey schreibt:

        Eine Sperre, einen G+-Whatever direkt weiterzuverbreiten und den Umweg über C&P zu nehmen, vermindert auch die Wahrscheinlichkeit einer Weiterverbreitung. Allerdings hinken meine Beispiel etwas, weil es dort eher um die Verhinderung versehentlichen als absichtlichen Handelns geht.

        Und ich hatte das Spackifest bislang so verstanden, daß man halt nicht rausgeben soll, was man nicht veröffentlicht haben will – das stößt aber schnell auf praktische oder rechtliche Probleme. (Und wenn ich da was mißverstanden habe, darf das gerne als Darstellungsproblem verbucht – oder klargestellt werden.)

        • tante schreibt:

          Ich sehe, dass hier noch etwas Klärungsbedarf besteht. Ich werde versuchen das die Tage nochmal in einen Text zu gießen. Danke für den Hinweis, nur so können wir besser kommunizieren.

  12. Benni schreibt:

    Wir setzen Piwik nicht wegen der IP-Anonymisierung ein, sondern weil unsere Nutzer nicht wollen, dass Google in die Lage versetzt wird, die Daten von uns mit anderen zu verknüpfen. Dezentrale Datenbanken sind zentralen immer vorzuziehen aus Datenschutzsicht. Tatsächlich ist das die einzige wirklich funktionierende Datenschutzmaßnahme.

  13. PomPlomLom schreibt:

    Piwik.
    – speichert die Daten dezentral und nicht bei Google
    – kann das sogar IP-anonymisiert
    – nutzt im Gegensatz zu Google keinen panopticlick-foo
    – lässt dem Anwender die Möglichkeit, das alles sicherzustellen.
    Wenn das ULD also Webmastern empfiehlt, das zu nutzen, dann sind das mehrere wichtige unterschiede zu Google Analytics. Dein 254^2-foo ist vor dem Hintergrund ähnlich unsinnig, wie die Idee, dass ein Webmaster, der sich beim ULD informiert, dann noch detaillierte Browsererkennung implementiert – er will doch einfach nur die Features haben, ohne die Daten seiner Nutzer ausgerechnet mit Google zu teilen.
    Was ihr in eurer Spackeria einfach nicht verstehen WOLLT, ist, dass es nicht um die EINZELNEN Daten geht, sondern um die MENGE der Daten, und wo sie sich sammeln.
    Sorry, aber das ist teilweise echt schmerzhaft, was ihr hier für einen Unsinn verzapft.

    • Jan Dark schreibt:

      Personenbezogene Daten an vielen dezentralen Stellen zu speichern, deren Missbrauch man dann personalintensiv dezentral Überwachung und ahnden muss, ist kein Fortschritt, sondern Datenschutztheater. Der Überwachte hat keine Möglichkeit mehr an tauenden von Stellen zu erfahren, was die Piwik-Anwender tatsächlich machen, wie die ihre Logfiles von ihren Webservern auswerten. Bei Google und den anderen Großen hat man die Restchance, Missbrauch zentral ein wenigen Stellen zu bekämpfen. zudem sind die Behörden untereinander nicht abgestimmt: in Bonn beim BSI warnt man vor dem Einsatz von Cookies, in Kiel beim ULD macht man Werbung für bestimmte Cookie-Produkte. Ist es Aufgabe des Datenschuttbeauftragten Werbung für Produkte zu machen? Nein, das ist Datenschutztheater. Und Bürgerverunsicherung durch nicht koordinierte, dezentrale Provinzbehörden.

    • tante schreibt:

      Lieber PomPlomLom,
      hier ist wohl ein Missverständnis bzgl. des Focus entstanden. Es geht nicht um den Webseitenbetreiber der zu schützen ist sondern die Daten der Personen. Ob Google die sammelt oder sonstwer ist dabei egal (sogar die Dezentralität ist dabei Wumpe [um genau zu sein sogar schlimmer weil man plötzlich nicht nur Google wegen seiner Daten nerven muss sondern auch noch x andere Seiten]).
      Das IP „anonymisieren funktioniert nicht (wie gezeigt), damit ist der angeblich die Nutzerdaten schützende Mechanismus reines Datenschutztheater.
      Du guckst auf die falsche Seite der Gleichung: Beim Datenschutz gehts nicht um Webmaster, da gehts um die Nutzer.

      • Bernd schreibt:

        Liebe tante,
        es ist eben nicht egal, ob die Daten bei Webseitenbetreiber XY laden oder bei Google. Der Webseitenbetreiber kann nämlich nicht nachvollziehen, wo ich mich überall rumgetrieben habe. Google dank Aggregation der Daten schon.

        • tante schreibt:

          Dass Google (oder werauchimmer gerade „böse“ ist) mehr kann als andere ist irrelevant. Datenschutzrecht greift auch bei Anbietern ohne Massendaten.

    • Ulf J. Froitzheim schreibt:

      Klingt interessant, ist aber selbst für einen überdurchschnittlich jargon-erprobten Nicht-Informatiker ein wenig kryptisch. Was „Foo“ in diesem Kontext heißen soll, erschließt sich mir nicht mal via Wikipedia. Sinn dieser Debatte ist doch wohl nicht die konspirative Kommunikation zwischen Inhabern von Herrschaftswissen und die Exklusion von Normalusern, oder? 😦

      • Jan Dark schreibt:

        Das ist mehrdinensionale Grütze, die PloPlomPlom da schreibt. IP-Adressen kann man nicht anonymisieren, die haben keinen Namen. Auch Piwik kann im Internet nicht kommunizieren, ohne die IP-Adresse der Gegenstelle zu kennen. Bei der Verstümmelung der Google-IP-Adressen ist das auch diskutiert worden. Piwik zu empfehlen, ist dummes Zeug. Das BSI rät grundsätzlich davon ab, auf den Rechnern anderer Leute Daten wie Cookies zu speichern. Der ULD führt eine technische Schiendiskussion, die er für Datenschutz hält. Er hat keinen Rückhalt in der Justiz und nicht in den Parlamenten. Weichert ist neulich im schleswig-holsteinischen Parlament für seine entarteten Wirtschaftsfeldzüge gegen US-Firmen wie Google und Facebook: abgemahnt worden. Seine Erpressungsversuche mit Bußgeldern von 50.000 € sind da übelst aufgestoßen.
        Foo kimmt von fubar:
        http://de.wikipedia.org/wiki/Fubar :Fucked Up Beyond All Recognition (US Army Talk)

        • Ulf J. Froitzheim schreibt:

          2. Dann ist Foo also das aus Snafu bekannt Fu. Again what learned.
          1. Wie kann ein Parlament den Chef eines „Unabhängigen Landeszentrums“ abmahnen? Weicherts zweite Amtszeit geht bis 2014, er kann nicht noch mal wiedergewählt werden. Was hat er zu befürchten?

  14. Jan Dark schreibt:

    Vollste Zustimmung. Dieses Theater ist unerträglich. Für mich sieht das aus wie ein Wirtschaftsfeldzug gegen Google und Facebook von Alt68ern, die keine Böcke haben, den langen Marsch durch die Institutionen zu machen und statt Gesetze zu machen in der EU oder der UN für ein globales Medium, regional Seitenbetreiber mit einem Bussgeld von 50.000 € erpressen, weil man der absurden Meinung ist, dass das Einfügen eine Like-it-Button eine Auftragsdatenverarbeitung nach §11 BDSG sei, für die es eine schriftliche Vereinbarung zwischen Facebook und Seitenbetreiber bedarf (in Deutschland natürlich bei elektronischem Abschluss nur mit nichtexistenter qualifizierter Signatur, die es für den chicen neuen Personalausweis nach einem Jahr immer noch noch gibt). Das ist Bürokratie-GAU im Datenschutz-Theater.

    Neuerdings (letzte Woche bei Heinrich-Bölls) finden die ULD-Frieks Google und Facebook sogar so Scheiße, dass sie nicht nur Piwik sondern auch teutsche Software für deutschnationale Social Media Networks empfehlen. Werden die dann nationalsoziale Netzwerke heißen auf dem Boden des Bundesdatenschutzgesetzes? Widerlich.
    Um es klar zu sage: Wenn Facebook oder andere mit personenbezogenen Daten Mist machen, müssen die hart bestraft werden wie heute:
    http://www.heise.de/newsticker/meldung/Datenschuetzer-verhaengt-Bussgeld-gegen-Easycash-1341408.html
    Aber dieses deutschnationale Behauptungstheater des rechten Randes (die CSU-Aignerin hat ja auch, ohne einen einzigen Richter oder Gesetzgeber hinter sich zu haben, wieder vor dem ausländischen Krempel gewarnt (wahrscheinlich haben die Amigos kein Bimbes bekommen und zürnen)).

    Wir könnten uns die ganze technische Diskussion sparen um IP-Adressen, Cookies, nationale und internationale Software, wenn endlich jemand die Eier hätte, globale Mindeststandards durchzusetzen. Beim Zugangserschwerungsgesetz mit der riesigen HTTP-Live-Überwachungsmaschine, in der jeder HTTP-Zugriff jeden Bürgers „geprüft“ werden muss, ob er nicht in einer Sperrliste steht, wurde auch aus christlichen Kreisen behauptet, Löschen ginge nicht, man müsse den Dreck im Netz stehen lassen (mit einem roten Vorhang, damit pädophilen Kleriker den Dreck besser finden?). Nun hat das BKA in seiner letzten Statistik gesagt, dass es ihm gelänge, 99% zu löschen. Geht doch. Die Kleriker sollen verdammt noch mal heiraten und nicht Druck auf Christen ausüben, den Dreck im Netz stehen zu lassen.

    Die VZs sind Nebenschauplätze. Die gehen gerade den Bach runter. Den Kids ist das zu langweilig. Die wollen bei den Großen in Facebook dabei sein, wenn Bundestagsabgeordnete wie alle Menschen schreiben: Leck mich am Arsch!

    Wobei ich es nicht richtig finde, dass Innenminister Friedrich den Jugendschutz aufheben will mit seiner Klarnamenpflicht für alle. So lange die katholische Kirche auf dem Zölibat beharrt, ist das empirisch zu gefährlich weil die so Intensivtäter beheimaten mit bis über 200 Opfern wie bei den Tauben in USA.

    • tante schreibt:

      Die Nationalismusdebatte ist ein wichtiger Punkt. Gestern abend musste ich mich zwischen dem Artikel zu Datenschutztheater und einem zu Datenschutznationalismus entscheiden. Nationalismus schreibe ich aber auch nochmal zusammen. (Oder möchtest Du? Wir würden das dann hier gerne publizieren!)

  15. xwolf schreibt:

    Bettreffs des Arguments über den Schutz der Daten sollte nicht allein darauf geschaut werden, ob bürokratisch saubere Verfahrensbeschreibungen und Dokumentationen abgegeben werden können; Wie bspw. eben beim TÜV SIegel.
    Denn es kommt letzlich doch am Ende darauf an, ob die erfassten Daten wirklich sicher gegen den Missbrauch durch Dritte sind.

    Wenn ein Datenschützer nun sagt: „Die Nutzung von z.B. Google Sites hat zu unterbleiben“ (wegen dem auch dort sicher praktizierten Tracking), dann müssen auch Alternativen genannt werden.
    Was nämlich meiner realen Erfahrung nach durchaus schon passierte ist dies: Der Webbetreiber erfüllt gewzungenermaßen die Vorgabe des DSB dadurch, daß er einen eigenen Server aufsetzte in einem eigenen lokalen Netzwerk. Der DSB ist dann zufrieden, weil keine Auftragsdatenverarbeitung bei fremden Anbietern stattfindet, die er -egal ob in Deutschland oder anderswo- nicht kontrolieren kann.
    Da aber der Betreiber, der vorher Google SItes eben deswegen nutze, weil es leicht zu bedienen ist und keinen systemerfahrenen Admin benötigte, nun nicht plötzlich mehr IT-Fachwissen hat als vorher, ist dieses System dann alles andere als sicher.
    Kurzum: Durch eine Pauschale Ablehnung des Datenschützers für einen Dienst ohne das er mögliche Alternativen aufzeigte, kam es dazu, daß am Ende schützenswerte Daten technisch gesehen unsicher wurden.

    Google, Amazon und co. werben gerade mit der Sicherheit ihrer Infrastrukturen (auch wenn auch diese natürlich nur bis zu einem gewissen Grad sicher sein kann, wie man ja auch kürzlich wieder lesen durfte). Dieses Niveau an Sicherheit können kleine Firmen oder auch Einrichtungen des öffentlichen Dienstes nichtmal im Ansatz selbst erreichen.
    Was ist also wichtiger: Wirklicher Schutz der Daten durch professionelle Anbieter aber dafür Stress mit der Bürokratie? Oder erfüllte Bürokratie, aber dadurch Nutzung unsicherer IT-Strukturen?
    Was der gewöhnliche, verbeamteter behördliche Datenschutzbeauftragter hier antworten würde, ist mir schon klar. Aber was würde ein Mensch sagen, um dessen Daten es letzlich geht?

  16. Pingback: Aktuelles 14. September 2011

  17. Pingback: Datenschutztheater: Opt-Out für WLAN Access Points - Die wunderbare Welt von Isotopp

  18. Pingback: Kleine Datenschutztheaterlinksammlung « Erich sieht

  19. Pingback: Das Facebook-Projekt (war: Die Facebook-Bewegung) | marokiblog

  20. Pingback: Datenschutzirrsinn – made in Hamburg

  21. Pingback: Protokoll vom 17. September 2011beiTrackback

  22. Pingback: TRB 246: Datenschutztheater, Werbung, Bottleship, Commentarist, DrüberlebenbeiTrackback

  23. Pingback: Politiktheater - Gelassenheit durch Kompetenz

  24. jojoo schreibt:

    wenn die IP mit anderen werten zusammen gashd wird ist die entropie größer als dargestellt.

    ich hatte gedacht, ihr kennt euch mit technik aus?

    • tante schreibt:

      Wenn man bis auf die IP alle Daten hat, und in der IP nur 254^2 Bit Entropie sind und des weiteren der Hashing Algorithmus ebenfalls bekannt ist, wo kommt dann die zusätzliche Entropie her?

  25. Pingback: „Privacy By Default“ | Die datenschutzkritische Spackeria

  26. Pingback: Facebook: Viel Lärm um Nichts | Landesblog Schleswig-Holstein

  27. Hans schreibt:

    Was für ein Schrott

  28. Pingback: Stellungnahme zu Viviane Redings Datenschutzvorstößen | Die datenschutzkritische Spackeria

  29. Pingback: Kommentare zur "Charta der digitalen Grundrechte der Europäischen Union"

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s