Jump to content
Forum Geschlossen ×

der einfach-so-Thread

Johanna

By Johanna
in [SR] Smalltalk

 Share

Recommended Posts

  • Replies 2.2k
  • Created
  • Last Reply

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

Eadee
Eadee

DSA ist die achte Welt. Praiosgeweihte steuern mit ihren "Sonnenszeptern" Ares Kampfsateliten die dann mit ihrem "Bannstrahl" alles niederschmettern. Die einzige Caer die das letzte Zeitalter überstan

HeadCrash
HeadCrash

Nope, Threema löst das Problem vorbildlich und DSGVO konform.   Warum man keine Telefonnummern braucht?   -> Hashwerte! Hashwerte sind anonymisierte "Einwegverschlüsselte" "Ersatzdaten" für die Tel

Corn
Corn

Absolut. Deine Sammlung wird eingezogen und deine Charaktere verbrannt/gelöscht

Posted Images

n3mo Newbie

n3mo

Posted
Posted

Kommt wie _HeadCrash schon erwähnt hat darauf an was an Daten erhoben wird/werden muss und wie die verarbeitet werden. Klar mal eben hopplahopp bis morgen schnell nachzurüsten wenn vorher nichts gemacht wurde ist äh anstrengend  ;) ...

  • Like 2
Link to comment
Share on other sites
Doc-Byte Newbie

Doc-Byte

Posted
Posted

Irgendwie mache ich mir als Blogger schon gewisse Sorgen, jetzt auch noch potentiell Ärger wegen des Datenschutzes zu bekommen. (Zumal ich auch noch Fotos & Videos aufnehme.) Das mit dem Impressum war ja schon so ne Grauzone in Hinblick auf private Seite bzw. ob die Seite überhaupt als privat gilt... :unsure:

Link to comment
Share on other sites
HeadCrash Newbie

HeadCrash

Posted
Posted (edited)

Irgendwie mache ich mir als Blogger schon gewisse Sorgen, jetzt auch noch potentiell Ärger wegen des Datenschutzes zu bekommen. (Zumal ich auch noch Fotos & Videos aufnehme.) Das mit dem Impressum war ja schon so ne Grauzone in Hinblick auf private Seite bzw. ob die Seite überhaupt als privat gilt... :unsure:

Wenn du auf Google Analytics und co. verzichtest, ggf. ohne Cookies auskommst, dein Hoster seinen Webserver konform konfiguriert hat und du keine Bloggersoftware einsetzt die alle möglichen Daten von den Besuchern einsammelt und letztlich auch auf Werbung, ganz besonders personifizierte Banner Dienstleister wie Google Adsense verzichtest, kommst du in der Regel als privat durch und kannst Datenschutz und Impressum recht übersichtlich halten. Kannst du auf eines davon nicht verzichten, musst du dir halt mehr Gedanken machen und hast Arbeit damit.

 

BTW. hast du eine Kommentar Funktion und Social Media Plugins wird es wieder spannend. Auf jeden Fall sollte dein Blog dann ssl verschlüsselt sein. Mal Minimum. Und du hast ein bisschen was mehr zu dokumentieren im Datenschutz und Impressums disclamer.

 

Einfach mal einen Blog hosten und ggf. x Dienste nutzen die alle letztlich personenbezogene Daten ungefragt erfassen und verarbeiten ist jetzt nicht mehr einfach so schnell ok. Und eigentlich finde ich das richtig. Je mehr du dich aufs bloggen besinnst und auf diverse Zusatz Dienste und Datenverarbeitungen verzichtest, umso entspannter wird’s für dich.

 

Bei Bildern ändert sich fast nix durch die dsgvo.

Edited by _HeadCrash
  • Like 2
Link to comment
Share on other sites
HeadCrash Newbie

HeadCrash

Posted
Posted

Für Vereine wird es halt etwas anstrengend.

Vor allem wenn man als neuer Vorstand feststellt, das der alte in die Richtung nichts mitbekommen hat...

In der Regel aber nur einmal Aufwand. Und solange es sich nicht um sowas wie eine ehrenamtliche Drogenberatung oder Aids Hilfe als e.V. Handelt, ist das auch nicht so wild, wenn man sich an das Prinzip der Datensparsamkeit hält. Es gibt dann hierzu viele Muster, die man nutzen kann.

Link to comment
Share on other sites
n3mo Newbie

n3mo

Posted
Posted

Da muß man auch immer gucken inwieweit das Sinn macht. Messenger- und Clouddienste sind je nach Datenlage schon sehr sensibel... aber wenn keine personenbezogenen Daten verwendet werden und die reinen Dienstnummern eh öffentlich gelistet sind kann das auch Overkill sein. Ist eben sehr branchenabhängig... Viele Datensätze waren auch schon vor den Änderungen sensibel genug. Und da helfen dann auch Verbote nicht wirklich. Ohne das es im Kopf klick macht kriegst du die meisten Leute nicht dazu sensibel damit umzugehen.

Link to comment
Share on other sites
HeadCrash Newbie

HeadCrash

Posted
Posted

Da muß man auch immer gucken inwieweit das Sinn macht. Messenger- und Clouddienste sind je nach Datenlage schon sehr sensibel... aber wenn keine personenbezogenen Daten verwendet werden und die reinen Dienstnummern eh öffentlich gelistet sind kann das auch Overkill sein. Ist eben sehr branchenabhängig... Viele Datensätze waren auch schon vor den Änderungen sensibel genug. Und da helfen dann auch Verbote nicht wirklich. Ohne das es im Kopf klick macht kriegst du die meisten Leute nicht dazu sensibel damit umzugehen.

Sobald du auch Kundenkontaktdaten in deinem dienstlichen Smartphone unter Kontakten speicherst hast du mit WhatsApp ein Problem. WhatsApp kopiert bei Installation und Entsprechender Zugriffserlaubnis dein gesamtes Smartphone Telefonbuch auf die WhatsApp Server und mittlerweile auch ganz offen auf die Server von Facebook. Damit wird Facebook und WhatsApp zum Auftrags Datenverarbeiter für dich und du brauchst einen AV Vertrag mit Facebook. Alternativ müssten alle deine Kunden der Datenübermittlung an WhatsApp und Facebook explizit zustimmen.

 

BTW. Das war auch schon unter dem BDSG alt bisher so, hat nur keinen Interessiert.

  • Like 1
Link to comment
Share on other sites
HeadCrash Newbie

HeadCrash

Posted
Posted (edited)

Ja, es ist schon erstaunlich, was Bußgelder bewirken, deren Höhe sich am Jahresumsatz orientieren. Als ob die DSGVO die Nutzung von WhatsApp problematisch gemacht hätte.

 

Wir müssen schon auch ehrlich zu uns selbst sein. Ein einfaches Gleichnis hierzu: Wenn ich bequem vor der Tür falsch parken kann, und dafür hin und wieder mit einem Bußgeld in Höhe von 10 Euro rechnen muss und alternativ korrekt im etwas weiter weg stehenden Parkhaus den ganzen Tag für 40 EUR parken kann, dann ist die Entscheidung die ich treffe schnell die, dass ich vor der Tür falsch parke. Es ist bequemer, einfacher und billiger. Das ich damit gegen Regeln verstoße wird mir schnell egal.

 

Das war das Prinzip des BDSG in Deutschland bisher. Wenig Kontrollen, lächerliche Bußgelder. Datenschutz war eher was Freiwilliges, als was Verpflichtendes. Und aus Unternehmersicht kann ich dies auch grundsätzlich nachvollziehen. Denn die ordnungsgemäße Einhaltung des Datenschutzes unter BSDG alt war auch schon mit Aufwand also mit Kosten verbunden, ohne dass es einen nenennswerten Mehrwert gegeben hätte. Denn Datenschutz hat jeder seinen Kunden versprochen. 

 

Übertagen auf das Gleichnis: Würde nun das Falschparken vor der Tür aber bei mehrmaliger Wiederholung bis zu 1000 Euro und schon beim ersten mal min. 50 EUR Strafe/Bußgeld kosten, ist es sofort attraktiver und sinnvoller den vorgesehenen Parkplatz im Parkhaus für 40 EUR zu benutzen, wenn ich mal einen Parkplatz suche. Das kostet zwar Geld und ist unbequemer, aber es ist immer noch günstiger als die mögliche Strafe für das Falschparken.

 

Will man also Falschparken vermeiden, hilft nur es einfach Bußgelder/Strafen deutlich zu erhöhen. Wer sich dann darüber beschwert, das er ja bisher immer fast ohne Risiko und ohne schlimme Folgen zu erwarten falsch parken konnte und nun so teuer parken muss, für den hat man dann ja auch nur wenig Verständnis. Außer natürlich man stellt fest, dass legales Parken einfach generell zu teuer ist, aber dafür kann eine Bußgelderhöhung zur Vermeidung von Falschparken ja letztlich nix.

 

Fairer Weise muss man aber auch hinzufügen, dass zwar vieles aus der DSGVO bisher zwar auch schon im BDSG vorgeschrieben war, aber gerade die Dokumentationspflichten mit der DSGVO schon zugenommen haben. Daher habe ich auch Verständnis dafür, dass kleine Vereine und KMUs hier stöhnen. Es ist Aufwendig und es kostet Geld. Aber ich bin der Meinung, es sollte einfach selbstverständlich sein, oder durch die DSGVO dann zukünftig werden, dass Daten, die einem Unternehmen oder einer Organisation anvertraut werden, entsprechend sorgfältig und sicher behandelt werden, und dies auch den Dateneigentümern jederzeit nachgewiesen werden kann, sowie sichergestellt ist, dass diese personenbezogenen Daten auch weiterhin dem Dateneigentümer gehören. Und letztlich ist es "einfach nur das" was die DSGVO versucht sicherzustellen.

Edited by _HeadCrash
  • Like 3
Link to comment
Share on other sites
n3mo Newbie

n3mo

Posted
Posted (edited)

Signal kopiert die Daten nicht unverschlüsselt. Es liegt aber in der Natur der Sache das du eine Telefonnummer brauchst. Auch wenn die verschlüsselt wird...
 

Sobald du auch Kundenkontaktdaten in deinem dienstlichen Smartphone unter Kontakten speicherst hast du mit WhatsApp ein Problem. WhatsApp kopiert bei Installation und Entsprechender Zugriffserlaubnis dein gesamtes Smartphone Telefonbuch auf die WhatsApp Server und mittlerweile auch ganz offen auf die Server von Facebook. Damit wird Facebook und WhatsApp zum Auftrags Datenverarbeiter für dich und du brauchst einen AV Vertrag mit Facebook.


Eben... Kunden- und Klientendaten fallen imho unter die sensiblen Daten die ich meinte. Man muss eben gucken in welchem Rahmen Diensthandys mit welchen Daten umgehen...

Edited by n3mo
Link to comment
Share on other sites
HeadCrash Newbie

HeadCrash

Posted
Posted (edited)

Nope, Threema löst das Problem vorbildlich und DSGVO konform.

 

Warum man keine Telefonnummern braucht?

 

-> Hashwerte! Hashwerte sind anonymisierte "Einwegverschlüsselte" "Ersatzdaten" für die Telefonnummern. Genau das tut Threema z.B. bei der Kontaktbuchsync.

Es errechnet für die Mail-Adressen und Telefonnummern aus dem Adressbuch über ein Einweg Verschlüsselungsverfahren Hashwerte. Diese Hashwerte werden in der Datenbank von Threema abgelegt. Und da eine Mailadresse und jede Telefonnummer immer den gleichen Hashwert erzeugen, kann so ein Bezug hergestellt werden, ohne die eigentlich nutzbaren tatsächlichen Daten speichern und verarbeiten zu müssen. Es werden nur Hashwerte verglichen. Und diese Daten sind für sonst nichts zu gebrauchen.

 

Da gleichzeitig Threma Nutzer über IDs zuordnet, und die private Keys der E2E Verschlüsselung nicht auf den eigenen Servern, sondern nur auf dem Endgerät speichert, und diese auch noch vom Benutzer bei Registration selbst zufallsgeneriert erzeugt wird, speichert und verarbeitet Threema tatsächlich überhaupt keine personenbezogenen (nicht pseudomisierten) Daten. Und weil die IDs nicht unmittelbar personenbezogen sind, sind sogar die Meta-Daten aus der Kommunikation nicht direkt weiter zu verarbeiten, solange man nicht über weitere Daten verfügt, welche die Threema IDs wiederum Personen zuordnen. Diese Zuordnung erfolgt auch wieder dezentral auf den Endgeräten der Nutzer über die Informationen vom Threema Server.

 

Also Hashwert H1 (ehem. Telefonnummer) gehört zu Threema ID T1

Ich habe im Telefonbuch Kontakt mit Nummer N123 die ergibt Hashwert H1, also kenne ich Threma ID T1.

Da mein Endgerät weiß, dass Hashwert H1 zu Nummer N123 gehört kann mein Threema Client auf meinem Endgerät auch wieder den Kontakt der Threema ID zuordnen und so den Personenbezug herstellen.

 

Aber keine der Informationen die der Threema Client zum Server schickt, sind als personenbezogene Daten nutzbar sondern vollständig annomyisiert. Sie können auch zu nichts anderem als zu diesem Zweck verarbeitet und genutzt werden. Und ohne die Daten auf den jeweiligen Clients (incl. dem privaten schlüssel zu einer Threema ID) sind die ganzen Daten nutzlos und für dritte nicht zu verwenden.

 

Vorbildliche Datensparsamkeit und Zweckgebundene Verarbeitung mit Sternchen!

Da Threema auch bereits unnabhängig auditiert wurde, und die Verfahren und die Wirksamkeit der Verschlüsselung bestätigt wurden, sowie der Client vielfach von IT-Sec. Dienstleistern untersucht wurde, einschließlich des Datenverkehrs, kann relativ sicher gesag werden, dass ausgerechnet der Messenger eines Nicht  EU-Mitglieds einer ist, der alle Vorgaben erfüllt.

 

Das erklärt jetzt auch warum Threema Geld kostet. Wenn die Daten einschließlich der Meta-Daten quasi nicht weiter wirtschaftlich genutzt werden können, muss man sein Geld anders verdienen. Das heißt auch andersherum, jeder Messenger der "kostenlos" ist, muss irgendwie sonst sein Geld verdienen. Und das erfolgt in der Regel durch Auswertung von min. der Meta-Daten. Sonst hätte Facebook auch kein Interesse daran gehabt WhatsApp zu kaufen.

 

Signal sollte das prinzipiell auch tun, ich weiß aber noch von keinem externen Audit, welches die Verfahren und Wirksamkeit bestätigt hätte. Deshalb ist für mich Threema mein Favorit.

 

Ein guter Beweis, warum Threema sehr vertrauenswürdig ist, ist auch die Tatsache, dass man keine Chance hat, bei einem Gerätewechsel wieder an seine ID zu kommen, wenn man sich nicht vorher selbst auf dem Endgerät um ein Schlüssel (aka ID-)Backup gekümmert hat. Probleme die ein WhatsApp Nutzer nicht kennt z.B. Daher habe ich auch schon oft fluchende Freunde und Bekannte gehabt, die nach einem Handywechsel Threema scheisse fanden. Als ich ihnen dann erklärt habe, das der Grund für ihren Ärger über die empfundene "Umständlichkeit" ein Feature und kein Bug ist, haben die meisten es verstanden und eingesehen... und direkt ein ID-Backup erstellt und mit Passwort verschlüsselt gespeichert. ;)

 

Sympathisch finde ich auch die Tatsache, dass die Angabe von Telefonnummer und Mail-Adresse, damit andere dich automatisch in Threema finden können, optional ist. Man kann auch ohne Angabe von Telefonnummer oder Mail Threema nutzen. Nur muss man dann jedem, der dir schreiben soll, die Threema ID geben, so wie früher mal ICQ, wenn das noch jemand kennt. ;) finde ich unpraktisch, aber allein die Option anzubieten vorbildlich.

Edited by _HeadCrash
  • Like 6
Link to comment
Share on other sites
 Share
Go to topic listing
×
×
  • Create New...