[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [InetBib] Interview mit padeluun (Digitalcourage e.V.) im „Lesesaal“ von BuB: „Datensicherheit ist eine Illusion“



Hallo,

Weil hier die Diskussion zu den Thesen von padeluun so hoch schwappen, 
vielleicht ein etwas ausgewogener Blick:

Wir sollten uns als Bibliothek schon fragen, welche Daten wir warum erheben 
(und auch regelmäßig nachhaken, warum man dieses oder jenes Datum tatsächlich 
erheben muß). Dies ist die Kernbotschaft von Datenschützern. Der Beitrag von 
Padeluun ist überspitzt, trifft aber im Kern zu.

 Jedes Datum, was nicht erhoben und gespeichert wird, ist eines weniger um 
dessen (technische) Sicherheit man sich kümmern muß.

Nehmen wir das Datum "Geburtsdatum". In öffentlichen Bibliotheken wird es in 
aller Regel ausschließlich für die Altersfreigabe der Medien gebraucht. Andere 
Gründe konnten mir bisher von Kollegen nicht genannt werden. Die Frage von 
Padeluun ist also durchaus berechtigt, ob man "Geburtsdatum" erhebt oder 
einfach nur "<12", "<16", "<18". Da hier der Einwand in anderer Mail kam, daß 
die Nutzer ja auch älter werden und man gar nicht mitbekommt, daß die jetzt 
auch FSK18 ausleihen können trägt meines Erachtens nicht. Denn sollte ein 
Nutzer irgendwann ein FSK18 ausleihen wollen, läßt man sich kurz Ausweis zeigen 
und ändert in Benutzerdatenbank das Feld auf ">=18", fertig.

Oft wird gesagt, "Ja, aber in den sozialen Medien, da geben die und die Nutzer 
doch auch ihre Daten preis! Warum die Aufregung?". An der Stelle kann ich nur 
zurückfragen, wollten wir als Bibliothekare nicht Informations- und 
Medienkompetenz vermitteln? 

Meines Erachtens ist "Datensparsamkeit" zwar ein Thema mit dem auch 
Bibliotheken sich auseinandersetzen sollten, doch viel kritischer finde ich im 
Moment die Bestrebungen etlicher Bibliotheken ihre Benutzerverwaltung in die 
Cloud zu geben, Exlibris Alma wäre als ein Beispiel zu nennen.

Kritisch ist dies sowohl aus Datenschutzsicht zu sehen, Stichwort Safe Harbour, 
immerhin werden Nutzerdaten ins Ausland transferiert. Vergessen wird, daß aber 
auch da die jeweilige Bibliothek den Datenschutzgesetzen unterliegt. 
Problematisch daran ist, daß  jeweilige Bibliothek vlt. auf Papier, aber 
praktisch nicht ihren Kontrollpflichten nach kommt. Oft werden Sparzwänge für 
den Umzug in die Cloud ins Feld geführt, daß aber diese Bibliotheken immer noch 
verantwortliche Stellen sind und die Verarbeitung der Daten überwachen müssen 
und dies Geld kostet wird oft nicht erwähnt.

Auf der anderen Seite verlieren diese Cloud-Bibliotheken die Hoheit über ihre 
Daten, ihre Präsentation und damit Gestaltungsspielräume. Und wenn man als 
Bibliothek nicht mehr gestalten kann und eh nur noch an Dienstleister 
auslagert, wozu braucht es dann Bibliotheken noch? Und damit schließt sich der 
Kreis. 

Mit freundlichen Grüßen
With best regards,

Andreas Romeyke

PS.: An der Stelle sei an die Ethischen Grundsätze des BID 
(http://www.bibliotheksportal.de/themen/beruf/berufsethik7 und an die der IFLA 
http://www.ifla.org/faife/professional-codes-of-ethics-for-librarians erinnert 
:)
--
team member “long-term preservation“

Saxon State- and University Library Dresden (SLUB)
Department 2 (IT), Division 2.3 (infrastructure and digital long-term 
preservation) 
Zellescher Weg 18 | 01069 Dresden
phone: +49 351 4677 216
E-Mail: Andreas.Romeyke@xxxxxxxxxxxxxxx 
http://www.slub-dresden.de/ | @slubdresden


-----Ursprüngliche Nachricht-----
Von: InetBib [mailto:inetbib-bounces@xxxxxxxxxx] Im Auftrag von Christian
Pietsch
Gesendet: Montag, 9. November 2015 19:40
An: Internet in Bibliotheken
Betreff: [InetBib] Interview mit padeluun (Digitalcourage e.V.) im
„Lesesaal“ von BuB: „Datensicherheit ist eine Illusion“

Liebe Bibliothekswesen,

dieses Interview in BuB gefällt mir so gut, dass ich es einfach im Volltext
verschicken muss: http://b-u-b.de/datensicherheit-ist-eine-illusion/

Wenn ich nichts Gegenteiliges höre, gehe ich davon aus, dass die hier
vorgetragenen Einschätzungen Konsens sind und alle Bibliotheken als
ersten Schritt die „Library Digital Privacy Pledge“ unterzeichnen:
http://lj.libraryjournal.com/2015/10/technology/with-privacy-pledge-
library-freedom-project-advocates-for-https/

---------------------8<-------------------8<------------------------

»Datensicherheit ist eine Illusion«

Der Künstler und Netzaktivist padeluun vergibt mit seinem
Datenschutzverein Digitalcourage jährlich die BigBrotherAwards für
Einrichtungen, die besonders schlampig und fahrlässig mit Daten umgehen.
Bibliotheken hält er für ernsthafte Anwärterinnen. Was Bibliothekare tun
können, um den Datenschutz für ihre Nutzer zu verbessern – und damit der
Negativauszeichnung zu entgehen –, erklärt er im folgenden Interview mit
BuB-Redakteur Bernd Schleh.


BuB: Elektronisch erfasste Daten scheinen nirgends sicher zu sein.
Selbst die Rechner von Nachrichtendiensten und Regierungen werden
gehackt. Ist Datenschutz eine Alibi-Veranstaltung?

  padeluun: Datensicherheit ist eine Illusion. Gerade deshalb ist
  Datenschutz notwendig und die unbedingte Voraussetzung dafür, dass
  Sicherheitsprobleme nicht in Katastrophen münden.

Bibliotheken speichern haufenweise Daten ihrer Nutzer. Was sollten sie
beachten, um Katastrophen zu vermeiden?

  Es gibt niemals hundertprozentige Sicherheit. Das bedeutet, dass alle
  Systeme potenziell löchrig sind. Deshalb sollten Daten gar nicht erst
  gespeichert werden, und wenn doch, dann nur die Daten, die unbedingt
  benötigt werden. Zudem sollte eine Speicherung niemals an einem
  zentralen Ort stattfinden. Beispiel: Wird die Kundendatenbank einer
  Stadtbibliothek »geklaut«, sind nur die Kundinnen und Kunden einer
  Bibliothek die gelackmeierten. Das ist schon schlimm genug. Wird
  dagegen ein Zentralrechner der »Weltbibliothekennutzerverwaltung«
  angegriffen, sind alle Daten aller Menschen, die je eine Bibliothek
  nutzten, in schmutzigen Händen.

Das heißt, auch wer sich an die rechtlichen Regelungen hält und technische
Schutzmaßnahmen anwendet, hat letztlich keinerlei Garantie dafür, dass
seine elektronisch gespeicherten Daten sicher abgelegt sind?

  Exakt. Wir können technische Hürden schaffen, aber es könnte sich
  immer jemand finden, der diese Hürden locker überspringt.

Was hat das wiederum für Konsequenzen für Einrichtungen, die sensible
Daten speichern – wie zum Beispiel Bibliotheken?

  Kant lesen! Kategorischer Imperativ! Im Ernst: Ich muss mir als
  Entscheiderin oder Entscheider einer Bibliothek erst einmal gewahr
  sein, dass ich die verdammte Verpflichtung habe, die mir
  anvertrauten Daten zu schützen. Und ich muss mich solange
  weiterbilden, bis ich wirklich begriffen habe, warum diese Daten so
  schützenswert sind. Denn erst dann lerne ich, dass ich eher ein
  Merkmal »volljährig« speichere als ein Geburtsdatum, dass ich
  Bücherlisten physisch lösche und nicht aufbewahre, weil es doch
  interessant sei, »nach ein paar Jahren noch mal sehen zu können, was
  man gelesen hat«.

Wie lange sollten Kundendaten überhaupt in einer Bibliothek gespeichert
bleiben?

  Gar nicht. Vielleicht, solange ein Buch ausgeliehen ist. Aber sobald
  es wieder da ist: Restlos löschen! Name und Adresse muss auch nicht
  gespeichert sein. Kann auch auf dem Ausweis stehen und wird nur
  temporär erfasst, solange ein Buch ausgeliehen ist. Mir würden da
  einige Szenarien zur Verbesserung einfallen.

Gehört die Speicherung von Daten in der Cloud auch dazu?

  Ganz sicher nicht. Die Leitung einer Bibliothek, die dem Speichern
  von Daten in der Cloud zustimmt, gehört unehrenhaft entlassen.

Unabhängig davon, ob die Cloud-Daten in Deutschland, Europa, USA oder in
anderen Ländern gespeichert sind?

  Spätestens seit Edward Snowden wissen es alle: Das macht keinen
  Unterschied.

Wie sieht es mit der Sicherheit beim Szenario »RFID-Technik« aus?

  RFID und Datenschutz schließen sich aus. So einfach ist das.

Viele Bibliotheken lagern das Thema Datenschutz an externe Dienstleister
aus. Sind sie damit aus dem Schneider?

  Sie haben nicht wirklich geglaubt, auf diese Frage etwas anderes als
  »nein« zu hören? (lächelt) Ich muss schon den Mut haben, mich meines
  eigenen Verstandes zu bedienen. Das bedeutet, dass ich nicht einfach
  »passt schon« sagen darf, sondern dass ich mich selbst informiere
  und dann erst entscheiden kann, ob mein Dienstleister überhaupt
  selbst qualifiziert ist. Allerdings wird RFID nicht dadurch
  datenschutzfreundlicher, indem ich einen Dienstleister beauftrage,
  »RFID datenschutzfreundlich umzusetzen« und der mir das mit seiner
  Unterschrift bestätigt. Datenunsicherheit wird nicht dadurch besser,
  dass ich die Gefahren weglüge oder selbst die Augen davor
  verschließe.

Datenschutzbeauftragte haben haufenweise gute Ratschläge und kommen
im Wettlauf mit den Datenabzockern dennoch regelmäßig hinterher. Was
können sie überhaupt ausrichten?

  Die amtlichen Datenschutzbeauftragten haben schon einige
  ordnungsrechtliche Mittel, die sie einsetzen könnten.
  Datenschutzbeauftragte von Firmen und Behörden haben auch einige
  Druckmittel, die sie verwenden können. Uns erzählte mal jemand, dass
  er seinem Chef nur sagen musste, dass »wir als Firma ja keinen
  BigBrotherAward bekommen« wollen – und seither darf er bei
  Planungstreffen zu Produktentwicklungen gleich mit am Vorstandstisch
  sitzen.

In Europa soll nun ja alles besser werden. Die Europäische Union ist
momentan dabei, mit einem Entwurf für die Datenschutz-Grundverordnung
den Datenschutz komplett neu zu regeln. Ist das die Lösung?

  Es bleibt abzuwarten, wie sehr dieser Entwurf vor der Verabschiedung
  noch verwässert wird.

Warum wird in Brüssel gerade beim Datenschutz so wenig auf die
Interessen der Verbraucher geachtet?

  Verbraucherinnen und Verbrauchern – ich spreche lieber von im Lande
  lebenden Menschen – ist ihre wichtigste Lobby abhandengekommen: die
  Parlamente. Deshalb rate ich vielen Menschen, sich auch mit
  Geldspenden und Mitgliedschaften neue Sprachrohre zu schaffen, die
  für Grundrechte in der digital vernetzten Welt kämpfen. Deshalb
  bauen wir meinen Verein »Digitalcourage« zu einer großen NGO, also
  Nichtregierungsorganisation, aus.

Das neue EU-Gesetz will den bisher wichtigsten Grundsatz bei der
Datenerhebung, die Zweckbindung, also die Prämisse, dass Daten nur zu
einem zuvor vereinbarten Zweck verwendet werden dürfen, aufheben. Was
hätte das für Folgen?

  Ich hoffe, dass wir das noch verhindern können. Denn dies liefert
  uns allen Datenkraken hemmungslos aus. Stellen Sie sich vor, dass
  sie auf der Straße alle paar Meter angestarrt, taxiert,
  angesprochen, angebettelt werden und jemand Ihnen etwas verkaufen
  will. Statt – bildlich gesprochen – den kurzen Weg zum Bahnhof in 10
  Minuten zu gehen, brauchen Sie nun 30 Minuten. Das wirft uns
  kulturtechnisch mindesten 500 Jahre zurück.

Wie können Volksvertreter auf so eine Idee kommen?

  Cherché d‘Argent: Organisationen, wie die meine, haben zu wenig
  Geld, um genügend gegen die Industrie- und Finanzmarktinteressen
  »anlobbyieren« zu können. Hinzu kommt: Es hat noch kaum jemand die
  IT-Revolution wirklich verstanden. Digitale Äpfel lassen sich nun
  mal nur schwer mit analogen Birnen vergleichen. Da fällt es nicht
  leicht, die richtigen Prioritäten zu setzen.


Zur Person

padeluun, der öffentlich nur unter seinem Pseudonym auftritt, ist ein
deutscher Künstler und Netzaktivist, der für digitale Bürgerrechte eintritt. 
Er
gründete 1984 zusammen mit Rena Tangens das Kunstprojekt und die
Galerie Art d’Ameublement. Er ist einer der Vorsitzenden des
Datenschutzvereins Digitalcourage (vormals FoeBuD), Mitarbeiter im
Arbeitskreis Vorratsdatenspeicherung und einer der Organisatoren sowie
Jurymitglied der deutschen Big Brother Awards. Diese präsentiert er bei der
seit dem Jahr 2000 jährlichen Preisverleihung in Bielefeld, wo er auch lebt
und arbeitet.

---------------------8<-------------------8<------------------------

Links zum Thema, die auf http://b-u-b.de leider fehlen:
- https://digitalcourage.de/
- https://bigbrotherawards.de/

--
   Christian Pietsch, http://purl.org/net/pietsch
   Universität Bielefeld, Universitätsbibliothek,
   LibTec: Bibliothekstechnologie und Wissensmanagement


Listeninformationen unter http://www.inetbib.de.