Skip to content

Der IFG-Hack des Tages

Die Informationsfreiheitsgesetze sind ein wundervolles Instrument, um öffentliches Handeln transparenter zu machen. Mit einer Anfrage lassen sich verschiedene Informationen beziehen und die Plattform Frag den Staat macht es einfach, solche Anfragen zu stellen. Ein Blick auf die letzten Anfragen ist immer recht interessant.

So stieß ich kürzlich auf eine Anfrage einer Person, die von der TU Dortmund die Kosten für den Einsatz von Zoom und Webex wissen wollte. Spätestens seit Beginn der Corona-Pandemie setzen viele Unternehmen und auch Universitäten auf Videokonferenzen. Zoom und Webex sind zwei solcher Lösungen. Eine Frage nach den Kosten des Einsatzes sollte einfach zu beantworten sein. Jedoch beobachte ich, dass sich viele Stellen schwer tun und versuchen, “Gegenargumente” zu finden.

So war es auch im Fall der TU Dortmund. Zunächst wurde die Anfrage nicht innerhalb der gesetzlichen Frist beantwortet. Die Person mahnte zweimal eine Antwort an. Schließlich antwortete die Uni, dass sie die Antwort gern als Brief versenden wollen und daher die Adresse benötigen.

Die Angabe einer Adresse ist bei solchen Anfragen in der Regel nicht nötig, da Anfragen von jeder Person gestellt werden können. Die öffentliche Stelle kann einfach auf die E-Mail anworten. Die Uni beharrte jedoch auf der Angabe einer Adresse und so schaltete die Person den Landesbeauftragten für Datenschutz und Informationsfreiheit NRW (LDI NRW) ein. Der bestätigte, dass Anfrage und Antwort per E-Mai erfolgen müssen. Er schrieb in seiner Antwort auch von Ausnahmen, unter anderem kann bei einer Ablehnung der Anfrage die Adresse erfragt werden. Nach zwei Monaten Wartezeit kam die TU Dortmund dann zu dem Schluss, dass der Bescheid abgelehnt werden soll und fragte wieder nach der Adresse. Nach weiterer Vermittlung durch das LDI NRW schickte die Uni eine kurze Begründung über die Ablehnung. Sie beriefen sich auf den Schutz von Betriebs- und Geschäftsgeheimnissen nach § 8 IFG NRW.

An der Stelle begann der Antragsteller nun kreativ zu werden. Die Uni bat an, den Bescheid zuzusenden oder vor Ort abzuholen. Natürlich wollte die Person Letzteres, worauf die Uni meinte, dass die Gebäude wegen Corona verschlossen sein. Immerhin wurde eine Terminvereinbarung angeboten. In einer überraschenden Wendung verzichtete der Antragsteller nun auf die Abholung und brachte die DSGVO in Stellung. Der Art. 15 Abs. 3 Satz 1 DSGVO sagt:

Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung.

Im Rahmen der Anfrage wurden personenbezogene Daten verarbeitet. Insbesondere auf dem Bescheid sollte der Name und ggf. weitere Daten enthalten sein. Damit müsste der Bescheid im Rahmen der Anfrage nach der DSGVO an den Antragsteller geschickt werden.

Im weiteren Verlauf der IFG-Anfrage ist jedoch zu sehen, dass dies die Uni zunächst nicht gemacht hat und die Person das moniert. Es ist also spannend zu beobachten, wie die Anfrage weiter verläuft. Ich halte euch auf dem Laufenden.

Kommunikationswerkzeuge im Jahr 2021

Gegen Ende des Jahres 2019 habe ich eine Liste meiner Kommunikationswerkzeuge aufgeschrieben. Im Matrixkanal vom TILpod (übrigens sehr empfehlenswerter Podcast ;-)) haben wir über verschiedene Messenger gesprochen und dabei fiel mir auf, dass ich die Seite mal aktualisieren sollte.

Nutze ich

  • E-Mail (ist für mich eines der Hauptkommunikationsmittel. Hinweise zum Schlüssel findet ihr auf der Kontaktseite.)
  • Signal
  • Matrix (@qbi:matrix.kraut.space)
  • XMPP/Jabber
  • Threema (PWB22538)
  • Jitsi
  • BigBlueButton (meist für Videokonferenzen des Hackspace Jena)
  • Briar (Kontakt gern auf Anfrage)
  • Keybase
  • Mumble
  • SMS
  • Twitter oder Mastodon DM (nicht aktiv genutzt, wird aber als Kanal genutzt)
  • Wire
  • Zoom
  • Delta.Chat (deltachat[]kubieziel.de ist die korrekte Adresse)
  • Auf einem Extra-Rechner kommt für Kundenprojekte noch MS Teams und Google Meet zum Einsatz. Das erwähne ich hier aber eher der Vollständigkeit halber. :-)

Delta.Chat und Wire werden recht selten verwendet. Daher kann es sein, dass die beim nächsten Update in die untenstehende Kategorie verschoben werden.

Nutze ich nicht (mehr)

  • Mattermost
  • Slack (ist im wesentlichen durch Matrix ersetzt worden)
  • Telegram
  • WhatsApp

Alles, was nicht genannt ist, fällt vermutlich in die Kategorie nicht genutzt. ;-)

Thomas L. Kemmerich und der Datenschutz

Kürzlich stolperte ich über einen Tweet des Spitzenkandidaten der FDP, Thomas L. Kemmerich. Darin steht »Bei der DSGVO haben wir Maß und Mitte verloren. Hier muss Datenschutz bedeutend praxisnäher gestaltet werden für Fußballvereine, Ehrenamt und Handwerker. […]« Das wirft natürlich die Frage auf, wie er und sein Unternehmen es damit halten.

Kemmerich ist Vorstandsvorsitzender der Friseur Masson AG. Also besuchte ich die Webseite des Unternehmens und schaute mich dort um. Im Hintergrund lasse ich ein kleines Plugin laufen, welches mir Anfragen an andere Seiten anzeigt. Der weiße Punkt in der Mitte ist der Aufruf der Originalseite. Die Dreiecke weisen darauf hin, dass meine Daten noch an weitere Webseiten weitergegeben wurden. Insgesamt waren es 19 fremde Seiten. Darunter sind Unternehmen wie Facebook, Google, Doubleclick, Squarespace usw.

Was sagen denn die Datenschutzhinweise auf der Webseite? Laut der Datenschutz-Grundverordnung (DS-GVO) müssen Kontaktdaten des Verantwortlichen und die des Datenschutzbeauftragten (DSB) genannt werden. Doch die Kontaktdaten eines DSB sucht man auf der Seite vergebens. Heißt das, dass kein DSB benannt wurde? Die Friseur Masson AG wies im Jahresabschluss vom Jahr 2017 eine Zahl von 160 Beschäftigten aus. Das BDSG fordert schon ab 10 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, eine solche Position. Da scheint es schwer vorstellbar, dass bei 160 Beschäftigten keine solche Pflicht anfällt.

Die Datenschutzhinweise gehen auf eine Weitergabe der Daten an Instagram und Google Maps ein. Ich konnte weder eine Erwähnung von Facebook, Google, Doubleclick, Alphabet, Squarespace oder anderen finden. Das heißt, ein argloser Besucher, der sich über die Datenverarbeitung informieren will, bekommt hier nur sehr halbherzige Informationen.

Das Analysewerkzeug Webkoll findet insgesamt 111 Anfragen an 17 eindeutige Rechner und 6 Cookies von fremden Quellen. Über all das schweigen sich die Datenschutzhinweise aus. Da muten sich die schwachen Algorithmen bei der TLS-Verschlüsselung fast wie eine Lappalie an.

Natürlich muss der obligatorische Satz in den Datenschutzhinweisen nicht fehlen:

Die Betreiber dieser Seiten nehmen den Schutz Ihrer persönlichen Daten sehr ernst. 

Wie ernst das zu nehmen ist, muss jeder für sich selbst entscheiden. Herr Kemmerich hat mit dem Tweet ein Indiz gegeben, wie ernst er es selbst mit dem Datenschutz meint.

Delta Chat mit GMail betreiben

Vor kurzem schrieb ich in einem Artikel über meine Kommunikationswerkzeuge. Dort fehlte ein Werkzeug, welches ich schon seit längerem auf dem Schirm habe, aber noch nie wirklich getestet hatte: Delta.Chat.

Die Software erlaubt es, mit anderen zu chatten und nutzt im Hintergrund E-Mail zur Verteilung der Chatnachrichten. Damit kann man mit allen Leuten chatten, die eine E-Mail-Adresse haben. Das hat natürlich den großen Vorteil, dass nahezu alle erreichbar sind. Delta Chat legt einen OpenPGP-Schlüssel an und verschlüsselt die Nachrichten, sofern der Empfänger ebenfalls einen hat.

Somit werden die Nachrichten von Leuten, die Delta Chat einsetzen verschlüsselt verschickt. Vermutlich klappt das auch. Ich habe es noch nicht probiert. Bei allen anderen werden die Nachrichten als E-Mails unverschlüsselt geschickt.

Nun wollte ich ein GMail-Konto benutzen, um einen Test mit Delta Chat zu machen. Ich gab meine Zugangsdaten ein und es klappte nicht:

Fehler bei Delta Chat

Delta Chat nimmt zu Port 143 Kontakt auf, obwohl 993 eingestellt ist.

Auf eine Nachfrage bei Twitter und Mastodon meldete sich einer der Entwickler und bat darum, das Log zu exportieren. Ein Blick auf diese Meldungen verriet mir, dass Delta Chat erfolglos versuchte, sich bei Google anzumelden. Dies lag an der aktivierten Zwei-Faktor-Authentifizierung. Wer dies aktiviert hat, muss unter Umständen pro Anwendung ein spezielles Passwort anlegen. App-Passwort

Geht dazu auf euren Google-Account. Im Bereich Sicherheit gibt es einen Menüeintrag für App-Passwörter. Unten auf der Seite wählt ihr eine App und ein Gerät aus. Danach könnt ihr die App-Passwörter generieren. Dieses 16-stellige Passwort könnt ihr nun direkt bei Delta Chat als Passwort zusammen mit eurer E-Mail-Adresse eintragen. Solltet ihr einen “normalen” GMail-Account haben, so bestätigt ihr die Einstellungen und mit etwas Glück seid ihr fertig.

In meinem Fall lautete das GMail-Konto nicht auf @gmail.com, sondern auf eine andere Domain. Delta Chat versuchte daher zuerst, sich mit einem Server unter der Domain zu verbinden. Da dieser nicht existierte, gab es eine weitere Fehlermeldung.

Wenn man bei Delta Chat die erweiterten Einstellungen öffnet, kann man dann die korrekten Server von GMail einstellen. Allerdings klappte dies bei mir auch erst im zweiten Versuch. Denn obwohl der Port 993 eingestellt war und automatisch die korrekte IMAP-Sicherheit gewählt werden sollte, klappte dies nicht. Ich musste explizit SSL/TLS einstellen:

Screenshot
Screenshot mit den korrekten Einstellungen

Nach diesen Einstellungen klappte alles und ich konnte meine ersten Versuche starten. Falls es also bei dir auch nicht klappen sollte, hilft dir vielleicht die obige Beschreibung.

Wenn ihr mit mir Kontakt aufnehmen wollt, so könnt ihr die Adresse <deltachat@kubieziel.de> verwenden. Es kann jedoch sein, dass ich irgendwann das Testen einstelle und die Adresse wieder lösche. :-)

Kommunikationswerkzeuge

Dirk beschreibt in einem Blogposting und dem Update dazu seine Kommunikationswerkzeuge. Ich habe mir mal angeschaut, wie das bei mir aussieht:

Nutze ich

  • E-Mail (ist für mich eines der Hauptkommunikationsmittel. Daher kann ich Dirks These so nicht unterschreiben.)
  • Signal
  • XMPP/Jabber
  • Jitsi
  • Keybase
  • Matrix (@qbi:matrix.kraut.space)
  • Mumble
  • Slack (nicht wirklich erreichbar, da ich den Client nur manchmal öffne)
  • SMS
  • Threema
  • Twitter DM (nicht aktiv genutzt, wird aber als Kanal genutzt)
  • Wire
  • Zoom

Nutze ich nicht (mehr)

  • Briar (würde ich gern, hier fehlen mir Leute, die das auch benutzen)
  • Mattermost
  • Telegram
  • WhatsApp

Alles, was nicht genannt ist, fällt vermutlich in die Kategorie nicht genutzt. ;-)

DSGVO-Aufwand bei den Aufsichtsbehörden

Ende 2018 veröffentlichte die CNIL einige Statistiken zu deren Arbeitsaufwand durch die EU-Datenschutzgrundverordnung (DS-GVO). Ich fragte mich damals, wie das wohl bei den deutschen Aufsichtsbehörden so aussieht. Also fragte ich dort nach.

Ich schickte eine E-Mail an alle 16 Landesbehörden sowie an die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI). In der Mail bat ich um Auskunft, wie viele Datenschutzbeauftragte gemeldet wurden, wieviel Datenschutzpannen bisher gemeldet wurden und wieviel Anfragen insgesamt eingetroffen sind. Wie sahen die Antworten so aus?

Anfragen

Alle Behörden antworteten durch die Bank, dass es einen enormen Anstieg der Anfragen gegeben hat. In einigen Fällen schrieb man von einer Verdrei- bis Vervierfachung der Anfragen. Leider erhielt ich nicht von allen konkrete Zahlen. Legt man die Meldungen mit Zahlen zugrunde, so liegt die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen mit mehr als 10.000 Anfragen an der Spitze aller Bundesländer. Dies erscheint auch logisch, da das Bundesland entsprecht groß ist. Auf der anderen Seite sprach die Landesbeauftragte von Bremen von etwa 30 monatlichen Anfragen (ggü. durchschnittlich 18 vor dem Mai 2018). Sachsen als Flächenland meldete mir 776 Anfragen in den sechs Monaten von Mai bis November 2018 zurück. Das entspricht knapp 130 Anfragen pro Monat.

Beschwerden

Leider hatte ich in meiner E-Mail das Wort Anfragen verwendet. Bei der Beantwortung stellte sich heraus, dass zwischen einfachen Anfragen und Beschwerden unterschieden wird. So wurden beim TLfDI 284 Beschwerden angelegt und Hessen verzeichnete über 1200 Beschwerden.

Anzahl der gemeldeten Datenschutzbeauftragten

Mit der DS-GVO sind die Firmen verpflichtet, Datenschutzbeauftragte (DSB) an die Behörden zu melden. Hier interessierte mich, wieviel Meldungen bei den Behörden eingegangen sind. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) meldete bereits im August die Zahl von 10.000. Im benachbarten Baden-Württemberg waren es mit 23.000 mehr als doppelt so viele. Aber auch hier liegt Nordrhein-Westfalen mit 24.800 DSB an der Spitze.

Beim BfDI gingen mit 1270 die wenigsten Meldungen ein. Ich würde vermuten, dass auch da einige fehlgeleitete Meldungen darunter sind. Denn zumeist sollten die Meldungen im jeweiligen Bundesland abgegeben werden. Wie schon bei den Anfragen hat Bremen mit etwas mehr als 1500 die wenigsten Meldungen zu verzeichnen. Schaut man in die anderen Bundesländer so haben das Saarland (knapp 2100) und Sachsen-Anhalt (2100) recht wenige erhalten. Aber auch der Freistaat Thüringen liegt mit ca. 3550 Meldungen weit hinten.

Meldungen zu Datenpannen

Wenn es zu Problemen bei der Verarbeitung personenbezogener Daten kommt, so muss gegenüber den Behörden eine Meldung abgegeben werden. Das heißt, wenn Seiten gehackt, Daten unbefugt gelöscht werden oder es andere Probleme mit der IT-Sicherheit gibt und dabei Risiken für die Menschen entstehen, entsteht eine solche Pflicht. Hier hatte mich interessiert, wieviele Meldungen entstanden sind.

Mit Abstand die meisten Meldungen gingen beim BfDI ein. Dort wurden knapp 4700 Meldungen verzeichnet. Hier wäre eine Übersicht nach einzelnen Bundesländern interessant. Denn vermutlich stammen diese aus dem kompletten Bundesgebiet.

Das BayLDA kommt dann an Platz 2 und hat mit 2005 weniger als die Hälfte der Meldungen des BfDI. Die Anzahl der Meldungen auf Platz 3 (NRW) halbiert sich dann noch einmal (1032). Baden-Württemberg (> 700) und Hessen (640) werden auf die weiteren Plätze verwiesen.

Auf den hinteren Plätzen liegen wiederum Bremen (29), Sachsen-Anhalt (>50), Saarland und Thüringen (<70).

Neben den reinen Zahlen würde mich eine Statistik über die Inhalte der Datenpannen interessieren. Auch fände ich es schön, die Zahl im Verhältnis zu den Firmen im jeweiligen Bundesland auszuwerten.

Sonstiges

Bei den obigen Zahlen fehlen zwei Bundesländer. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern schrieb mir zurück, dass aufgrund des Arbeitsaufkommens eine Antwort nicht möglich sei. Vom Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit erhielt ich bis zum heutigen Tag keine Rückmeldung.

 

Continue reading "DSGVO-Aufwand bei den Aufsichtsbehörden"

Krankenscheine per AU-Schein.de

Heise berichtete von einer Firma, die Krankenscheine über das Internet anbietet. Das heißt, man gibt auf der Seite seine Symptome ein, muss noch Risikofaktoren angeben und schließlich Name, E-Mail-Adresse, WhatsApp-Nummer und anderes eingeben. Anschließend muss ein Foto der Krankenkarte senden. Über WhatsApp und später per Post wird dann die Arbeitsunfähigkeitsbescheinigung zugeschickt.

Gerade wenn man die Berichte und Warnungen zu WhatsApp liest, fragt man sich: »Kann das denn im Sinne der DS-GVO sein?« So lässt sich die Hamburger Ärztekammer auch mit Datenschutzbedenken zitieren.

Die Firma selbst schreibt in deren FAQ:

WhatsApp ist zwar datenschutzkonform, Ende-zu-Ende verschlüsselt und kann die Daten selbst nie einsehen. Dennoch laufen die Daten über deren Server in USA.

Der Hauptkritikpunkt bei WhatsApp ist der Zugriff und Upload der Kontaktdaten. Gerade wenn im Adressbuch Personen enthalten sind, die kein WhatsApp benutzen und der Verarbeitung durch WhatsApp keine Einwilligung erteilt haben, so ist dies eben nicht von der DS-GVO gedeckt und rechtswidrig.

Der obige Dienst spricht jedoch genau nur WhatsApp-Kunden an. Das heißt, die haben WhatsApp installiert und den Nutzungsbedigungen zugestimmt. Weiterhin speichert die Firma nach eigenen Angaben keine Kontaktdaten. Insofern wird aber das kritische Problem umgangen. Die anderen kritischen Punkte, wie Übertragung ins Ausland und Auftragsverarbeitung, sind nach jetzigem Stand geklärt. Damit wäre der Dienst nach meiner Meinung mit der DS-GVO vereinbar. Insbesondere werden die Daten verschlüsselt übertragen und sind damit besser geschützt als bei diversen anderen Angeboten.

Nichtsdestotrotz finde ich die Benutzung und Unterstützung von WhatsApp nicht unterstützenswert. Ich würde es begrüßen, wenn die Firma einen anderen Weg gänge. Denn im Normalfall möchte man weder WhatsApp noch den Mutterkonzern Facebook unterstützen.

tweetbackcheckcronjob