Skip to content

Onionshare für den Dateiaustausch verwenden

In regelmäßigen Abständen habe ich das Vergnügen, auf Journalisten aus verschiedenen Ländern der Welt zu treffen. Ich schule diese, wie man Internetsperren umgehen kann, worauf es bei der Anonymität ankommt etc. Eines der Werkzeuge, die ich dabei erwähne und welche Begeisterung auslöst, ist OnionShare (Onion-Link).

Wie der Name schon sagt, geht es um den Austausch (von Dateien) über Onions (also das Tor-Netzwerk). OnionShare entstand ursprünglich als Werkzeug, um eine einfache und sichere Downloadmöglichkeit über Tor Onion Services zur Verfügung zu stellen. Das Gute hieran ist, dass der Austausch komplett über das Tor-Netzwerk läuft, Sender und Empfänger können also unerkannt kommunizieren. Wenn OnionShare beendet wird, dann verschwindet auch der Link und kann auch nicht wieder wiederhergestellt werden. Mittlerweile lassen sich über das Programm Downloads oder Uploads bereitstellen, chatten und auch Webseiten anbieten. All das passiert mit wenigen Klicks. Wie funktionier das?

Für Windows gibt es eine MSI-Datei und für macOS eine DMG-Datei, die man installieren kann. Unter Linux gibt es Flatpak- oder Snap-Pakete. Ich nutze in der Regel das Flatpak. Dazu müsst ihr zunächst Flatpak einrichten. Der konkrete Weg ist abhängig von eurer Distribution und verbirgt sich hinter dem Link. Wenn das eingerichtet ist, kann das dann über flatpak install flathub org.onionshare.OnionShare installiert werden.

Willkommen-Bildschirm beim Start von OnionShare
Willkommen-Bildschirm beim Start von OnionShare

Oben seht ihr das Menü nach dem Start von OnionShare. Im einfachsten Fall klickt ihr auf “Connect to Tor”, OnionShare verbindet sich mit Tor und ihr könnt nun aus vier Möglichkeiten auswählen:

  1. Dateien teilen
  2. Dateien empfangen
  3. Webseite
  4. Anonym chatten

Sollte keine Verbindung zu Tor hergestellt werden können, empfehle ich einen Blick in das Handbuch. Dort stehen verschiedene Möglichkeiten beschrieben, die ihr einstellen könnt.

Die weitere Benutzung von OnionShare ist recht einfach. Ihr wählt den entsprechenden Menüpunkt aus, beantwortet ein paar Fragen und schon kann es losgehen.

Wenn ihr Dateien teilen wollt, klickt auf Dateien oder Ordner hinfügen und wählt diese aus. Wenn ihr damit fertig seid, könntet ihr schon mit dem Teilen beginnen. Allerdings solltet ihr über zwei Punkte nachdenken:

  1. Standardmäßig lässt OnionShare einen Download zu und schließt danach den Onion Service. Das ist sinnvoll, wenn ihr einer Person die Datei(en) schicken wollt. Wenn sich der Download an mehrere richtet, solltet ihr den Menüpunkt “Dateifreigabe beenden, …” deaktivieren. Dann bleibt der Dienst bis zum Schließen von OnionShare erhalten.
  2. Weiterhin richtet OnionShare eine private OnionShare-Adresse ein. Damit wird neben der Onion-Adresse ein privater Schlüssel erzeugt, der an den Empfänger übertragen werden muss. Dies ist einerseits die sichere Variante, andererseits macht das aus meiner Erfahrung mehr Probleme. Daher wähle ich meist aus, dass das ein öffentlicher OnionShare-Dienst ist.

Beide Punkte findet ihr auch bei den anderen Menüpunkten von OnionShare. Wenn ihr eure Auswahl getroffen habt, klickt auf den grünen Knopf und das Teilen kann beginnen.

OnionShare teilt Dateien

OnionShare teilt Dateien

Die obigen Ansicht zeigt euch OnionShare an, nachdem das Teilen begonnen wurde. Ich habe mal eine Datei geteilt, die nsu-akten-gratis.pdf heißt. Wenn ihr den Artikel lest, wird es die Onion-Adresse nicht mehr geben. Die Datei bezieht sich auf eine Veröffentlichung von Frag den Staat und Jan Böhmermann (Alternative). Das Original liegt hier.

Das Wichtige oben ist die Onion-Adresse. Diese schickt ihr weiter und der Empfänger öffnet diese mit dem Tor-Browser. Dort wird dann folgendes angezeigt:

Download im Tor-Browser
Download im Tor-Browser

Mit einem Klick auf “Download Files” werden die Dateien schließlich heruntergeladen. Probiert das mal aus. Ihr werdet sehen, dass dies wirklich einfach ist.

Doch wie funktionieren die anderen drei Punkte? Findet es heraus! Probiert es mal für euch und teilt eure Erfahrungen in den Kommentaren. Ich freue mich, von euren Erfahrungen zu hören. ;-)

Warum eine Onion-Adresse betreiben anstatt Menschen animieren, Tor zu nutzen

Dieser Text ist eine Übersetzung des Blogpostings Why offer an Onion Address rather than just encourage browsing-over-Tor? von Alec Muffett. Alex pflegt auch eine Liste nützlicher Onion-Adressen.


Es gibt eine Reihe von Gründen, eine Onion-Site einzurichten. Ein Reihe von Vorteilen waren für Plattformen wie Facebook, BBC oder NYTimes von Nutzen.

Die ersten Vorteile sind Authentizität und Verfügbarkeit: Wenn du den Tor-Browser benutzt und genau die richtige Onion-Adresse eingibst, bist du garantiert mit der erwarteten Seite verbunden, was du erwartest - oder eben gar nicht.

Das ist für die Menschen sehr einfach zu begreifen und auch einfach zu erklären.

Diese Funktion entschärft Angriffe, die von möglicherweise bösartigen “Tor-Exit-Knoten” ausgehen können. Die Angriffe sind zwar selten, existieren aber dennoch. Die Tatsache, dass du eine “.onion”-Adresse verwendest, setzt voraus, dass du Tor und den Tor-Browser verwendest. Dies entschärft die folgenden möglichen Angriffe:

  • landesweite Websperren
  • Man-in-the-Middle-Angriffe auf das TLS-Protokoll
  • SNI-Filter
  • Tracking und Zensur von DNS-Anfragen (betrifft sowohl Clients wie auch Exitknoten)
  • Probleme beim Tracking durch Cookies und Fingerprinting-Angriffen
  • … sowie eine Reihe weiterer Probleme

Um es anders zu formulieren: Die Werbung für eine Onion-Adresse ist ein implizites Verkaufsargument für die Nutzung von Tor.

Update: Eine Sache, die ich in der ursprünglichen Version dieses Beitrags vergaß zu erwähnen, ist, dass die Nutzung von Onion-Netzwerken für Seiten mit hohem Traffic den Druck auf die Exit-Node-Infrastruktur von Tor reduziert. Denn der Traffic fließt stattdessen durch die größere und reichhaltigere Menge an Middle-Relays, ohne Exit-Nodes und/oder das Klartext-Internet zu nutzen.

Letzteres ist wichtig und bringt uns zum zweiten (dritten?) Satz von Vorteilen:

Der Betrieb einer Onion-Site ist eine Verpflichtung [der Plattform], mit Tor-Benutzer:innen gerecht umzugehen; bei der normalen Benutzung von Tor werden die Benutzer mit allen anderen vermischt, die aus dem Internet kommen, und (seien wir ehrlich) einige Leute benutzen Tor manchmal zum Herunterladen einer kompletten Webpräsenz (Scraping) oder anderem unangenehmen Verhalten.

Das führt zu der Herausforderung, die “Spreu vom Weizen zu trennen”.

Das Einrichten einer Onion-Adresse ist jedoch ein praktischer Schritt, der zeigt, dass die Plattform explizit auf die Bedürfnisse von Tor-Nutzern eingeht, und nun kehrt sich das Problem um: Ein gewisses Maß an schlechtem Verhalten über die Onion-Adresse kann überwacht und als “schlechtes Verhalten” eingestuft werden, was den Tor-Nutzern maximale Freiheit gewährt.

Dies ist eine Angelegenheit, die ich bei Facebook hautnah miterlebt habe und auf einer Tor-Mailingliste beschrieben habe.

Wenn ich die Vorteile in einem Satz zusammenfassen sollte, wäre es folgender: Eine Onion-Adresse ist ein Versprechen und ein Mechanismus, der sicherstellt, dass du die Bedürfnisse der Leute, die Tor benutzen, ernst nimmst.

Anstatt ihnen zum Beispiel eine endlose Reihe von CAPTCHAs auf Basis der IP-Reputation aufzudrängen.

 

 

Erste Erfahrungen im Wissensmanagement mit Obsidian und Logseq

Graph meines kleinen ersten Projekts
Graph meines kleinen ersten Projekts

Im Podcast TILpod war Wissensmanagement mit Obsidian und Logseq kürzlich das zentrale Thema. Dirk Deimeke und Sujeevan Vijayakumaran berichteten über deren Erfahrungen mit den Tools Logseq und Obsidian. Im Rahmen meines Jobs betreue ich derzeit eine ERP-Software und dort gibt es viele Knöpfe, Einstellungen, Möglichkeiten etc. Daher wollte ich beide Werkzeuge mal testen und prüfen, ob die sich irgendwie in meine Arbeit integrieren lassen. Der Blogbeitrag ist das Ergebnis meiner ersten Schritte. Ich will hier mal die frischen Erkenntnisse niederschreiben.

Zettelkasten

Die Idee beider Software lehnt sich an das Zettelkastenprinzip von Niklas Luhmann an. Das bedeutet, man schreibt seine Ideen, Gedanken oder anderes auf einen Zettel. Diese Zettel sind, ähnlich wie in einem Wiki oder auf einer Webseite, miteinander verlinkt. Dadurch entsteht ein Wissensnetz und durch eine Graphansicht lassen sich neue Erkenntnisse und Einsichten gewinnen. Die Beschreibung ist sehr verkürzt. Wenn ihr euch mehr dafür interessiert, schaut euch mal das Video “Zettelkasten deutsch - Smarte Notizen schreiben” von Joshua Meyer an. Ich fand das eine gute Einführung in das Thema.

Obsidian und Logseq

Obsidian, Logseq wie auch andere Software setzen die Zettelkästen um. Es wird ein “Zettel” in Markdown geschrieben. Dadurch lassen sich die Notizen formatieren und der Text bleibt lesbar. Das heißt, die Notizen bleiben unter Umständen für die Ewigkeit erhalten. Mittels der Verlinkung in Markdown entsteht auch untereinander eine Verlinkung und ein Graph wird aufgebaut.

Obsidian ist eine proprietäre Software und wird über Github zum Download angeboten. Diese kann dann kostenlos oder derzeit einmalig für 25 bzw. 50 US-Dollar genutzt werden. Bei der kostenlosen Variante bleiben die Daten lokal auf der Festplatte liegen. Für 8 US-Dollar pro Monat lässt sich eine Synchronisation dazu buchen. Allerdings geht das durchaus auch über NextCloud, Dropbox oder ähnliche Dienste. Mir ist derzeit unklar, warum ich die Software kaufen sollte. Die Features, die beworben werden (Zugang zu “Insider Builds”, schöne Badges etc.), erscheinen mir wenig reizvoll für den Kauf.

Logseq ist Freie Software unter der AGPL-3.0-Lizenz. Sie wird ebenso über Github zum Download angeboten. Die Entwicklung der Software finanziert sich u.a. über Spenden. Wie auch bei Obsidian lassen sich die Dateien mit Cloud-Diensten synchronisieren. Zusätzlich ist auch ein Commit via git im Standardumfang enthalten.

Wann immer es geht, versuche ich, Freie Software einzusetzen. Daher würde ich gern Logseq einsetzen, sofern ich den Ansatz für das Wissensmanagement überhaupt weiter verfolge.

Mein Einstieg

Zu Anfang habe ich mir die Videoanleitungen “Zettelkasten in Obsidian” und “How to get started in Logseq” sowie ein paar andere angeschaut.

Wenn man sich die beiden Kurse anschaut, stellt man schon interessante Unterschiede fest. Der Kurs zu Obsidian nimmt die Menschen in den Fokus, die die Software erstmalig einsetzen wollen. Es gibt es Erklärung zu dem Prinzip des Zettelkastens und dann wird mit einem konsistenten Beispiel über den Kurs hinweg gearbeitet. Nach dem Video hatte ich einen guten Eindruck, wie die Software funktioniert und wie ich die nutzen kann. Der Kurs zu Logseq erzählt auf einem sehr hohen Level Konzepte und Ideen. Ich hatte hier zunächst das Gefühl, dass dies für mich wenig hilfreich ist. Beim TILpod ist noch “Logseq beginner's course” verlinkt. Damit gibt es einen besseren Einstieg in das Thema. Den Kurs empfand ich wie ein Handbuch, was vorerzählt wird.

Nachdem ich das Gefühl hatte, in etwa die Software zu verstehen, habe ich mit einem künstlichen Beispiel in Obsidian erste Schritte unternommen und mit einem realen Beispiel Logseq bespielt. Unten habe ich dann das Beispiel aus Logseq auch in Obsidian genutzt.

Mein angedachter Arbeitsablauf

Meine erste Vorstellung des Arbeitsablaufs war, dass ich zunächst ein paar grundlegende Informationen in der Software hinterlege und später diese dann um aktuelles Wissen ergänze. So gibt es beispielsweise immer mal wieder das Problem, dass beim Login in der ERP-Software die Meldung kommt, dass der Nutzer schon angemeldet sei. Hier würde ich dann in Logseq oder Obsidian eine entsprechende Seite anlegen und die Lösung beschreiben. Dies würde ich dann entsprechend verlinken und hoffentlich später wieder finden.

Soweit ich das einschätzen kann, würde Obsidian diesen Ansatz recht gut unterstützen. Jedenfalls kann ich die Ideen mit der Standardinstallation einfach so umsetzen.

Logseq arbeitet standardmäßig mit einem Journal. Das heißt, zunächst wird dort eine Seite mit dem aktuellen Datum geöffnet. Dort lassen sich tägliche Notizen machen und dann verlinken. Dieser Ansatz fühlt sich anders an, als bei Obsidian. Allerdings lässt sich hier mein obiger, geplanter Arbeitsablauf durchführen.

Vom Start weg scheint Obsidian hier besser benutzbar zu sein und das zu unterstützen, was ich machen will. Bei Logseq fiel mir das erst auf den zweiten Blick auf.

Unabhängig von meinem angedachten Arbeitsablauf erscheint mir der Ansatz von Logseq recht gut zu sein. Hier kann man seinen kompletten Tag aufschreiben und verlinken. Dadurch bildet sich eine viel größere Wissensbasis als in meinen auf einen Zweck beschränkten Beispiel.

Erste Schritte mit Obsidian

Startansicht von Obsidian
Startansicht von Obsidian

Beim ersten Öffnen von Obsidian fragt die Software nach einem so genannten Vault. Das ist so eine Art Projektansicht. Nachdem entweder eine existierende geöffnet oder eine neue angelegt wurde, kann es losgehen. Datei um Datei entsteht dann ein Wissensspeicher.

Wenn das linke Vorschaufenster ausgeklappt ist, sind die Dateien sichtbar. Die Ansicht finde ich im Moment recht nützlich, weil sie mir einfach einen Überblick über existierende Dateien verschafft. Vermutlich wird das aber im Laufe der Zeit eine immer kleinere Rolle spielen.

In den Videoanleitungen zu Obsidian gab es noch einen Hinweis zu Aliasen. Dieses Feature fand ich recht nützlich. Denn im Rahmen meines Anwendungsfalles gibt es einen Baustein namens “Auftrag”. Wenn ich im Text hierauf verweise, kann es sein, dass ich manchmal Aufträge, Aufträgen etc. schreiben muss. Mittels Aliases kann das alles auf eine Seite umgebogen werden.

Ansicht eines Eintrages mit Graph
Ansicht eines Eintrages mit Graph

Erste Schritte mit Logseq

Initiale Ansicht von Logseq
Initiale Ansicht von Logseq

Beim ersten Öffnen von Logseq erscheint eine Art Info-Bildschirm. Dieser informiert über die ersten Schritte bei der Bedienung der Software. Allerdings fehlte mir die Information, wie ich über den Start hinaus komme. Innerhalb des Tutorials kann man arbeiten, neue Seiten anlegen etc. Aber wie arbeitet man nun produktiv? Erst später fiel mir auf, dass es rechts oben den Eintrag “Öffnen” gibt. Darüber kann man ein Verzeichnis angeben. Die Daten werden dann in diesem Verzeichnis abgelegt.

Interessanterweise fand ich keine Möglichkeit, wieder zu dem Startbildschirm zurück zu wechseln. Man kann neue Seiten anlegen und zwischen diesen wechseln. Aber der Startbildschirm scheint verschwunden zu sein.

Der Arbeitsablauf bei Logseq basiert nun auf dem Journal. Es wird eine Datei mit dem aktuellen Datum angelegt. Dort lassen sich dann Informationen, TODO-Einträge und vieles mehr ablegen. Über Verlinkungen werden dann auch einzelne Seiten angelegt. Es fühlt sich für mich so an, als ob das Journal der Kern der Software wäre.

Mir fehlt eine Ansicht der Dateien. Es gibt zwar Neueste und Favoriten. Aber ich würde mir für den Anfang eine Überischt aller Dateien wünschen. Diese lässt nur über den Menüeintrag “Alle Seiten” öffnen. In dem Fall öffnet sich dann ein neues Fenster.

Neben den obigen Punkten muss ich mich vermutlich noch in die Software einfinden. Rein optisch stören mich die Punkte am linken Rand. Das ist vermutlich eine Markierung für den Block. Aber gerade bei Überschriften sieht das merkwürdig aus.

Detailansicht eines Eintrags in Logseq
Detailansicht eines Eintrags in Logseq

Vorläufiges Fazit

Für meinen Anwendungsfall (Wissen bei einer spezifischen Software dokumentieren) scheint mir Obsidian die passendere Software zu sein. Die unterstützt das, was ich will, bestmöglich. Das geht natürlich auch mit Logseq. Aber hier habe ich den Eindruck, dass ich da immer mal einen Klick oder einen Befehl zusätzlich verwenden muss und die Software da mehr im Weg steht.

Ganz allgemein finde ich jedoch den Ansatz von Logseq, alles in ein Log zu schreiben und Dateien zu pflegen, sehr gut. Dadurch erhält man einen guten Überblick über die täglichen Aufgaben, TODOs und anderes. Ganz nebenbei wird eine Wissensdatenbank aufgebaut. Logseq bietet auch die Möglichkeit, die Dateien in ein git zu committen. Das will ich mal ausprobieren.

Wenn beide Anwendungen ähnliche Voraussetzungen hätten, würde ich vermutlich Obsidian nutzen. Die Software macht mir den Eindruck, als ob sie meinen Arbeitsfluss deutlich besser unterstützen würde. Allerdings bevorzuge ich eben Freie Software, so dass ich die nächsten Schritte erstmal mit Logseq machen werde. Eventuell werde ich später über die weitere Erfahrungen berichten.

Nutzt ihr auch Obsidian, Logseq, Roam oder etwas ähnliches? Wie sind eure Erfahrungen und wie setzt ihr die Software ein?

Liste von Android-Apps

Bei Jörg sah ich kürzlich eine Liste von Android-Apps, die er verwendet. Solch eine Liste kann eine gute Idee sein, um neue interessante Apps zu finden. Daher habe ich beschlossen, auch eine solche Liste aufzustellen.

Systemfunktionen

Büro

Kommunikation

Multimedia

  • Antennapod: Verwaltung von Podcasts
  • Newpipe: Zugriff auf Youtube, Soundcloud, media.ccc.de und anderes
  • SkyTube: Zugriff auf Youtube
  • VLC: Video- und Musikabspielprogramm
  • Zapp: Streams der öffentlich-rechtlichen Sender anschauen

Sonstiges

Der IFG-Hack des Tages

Die Informationsfreiheitsgesetze sind ein wundervolles Instrument, um öffentliches Handeln transparenter zu machen. Mit einer Anfrage lassen sich verschiedene Informationen beziehen und die Plattform Frag den Staat macht es einfach, solche Anfragen zu stellen. Ein Blick auf die letzten Anfragen ist immer recht interessant.

So stieß ich kürzlich auf eine Anfrage einer Person, die von der TU Dortmund die Kosten für den Einsatz von Zoom und Webex wissen wollte. Spätestens seit Beginn der Corona-Pandemie setzen viele Unternehmen und auch Universitäten auf Videokonferenzen. Zoom und Webex sind zwei solcher Lösungen. Eine Frage nach den Kosten des Einsatzes sollte einfach zu beantworten sein. Jedoch beobachte ich, dass sich viele Stellen schwer tun und versuchen, “Gegenargumente” zu finden.

So war es auch im Fall der TU Dortmund. Zunächst wurde die Anfrage nicht innerhalb der gesetzlichen Frist beantwortet. Die Person mahnte zweimal eine Antwort an. Schließlich antwortete die Uni, dass sie die Antwort gern als Brief versenden wollen und daher die Adresse benötigen.

Die Angabe einer Adresse ist bei solchen Anfragen in der Regel nicht nötig, da Anfragen von jeder Person gestellt werden können. Die öffentliche Stelle kann einfach auf die E-Mail anworten. Die Uni beharrte jedoch auf der Angabe einer Adresse und so schaltete die Person den Landesbeauftragten für Datenschutz und Informationsfreiheit NRW (LDI NRW) ein. Der bestätigte, dass Anfrage und Antwort per E-Mai erfolgen müssen. Er schrieb in seiner Antwort auch von Ausnahmen, unter anderem kann bei einer Ablehnung der Anfrage die Adresse erfragt werden. Nach zwei Monaten Wartezeit kam die TU Dortmund dann zu dem Schluss, dass der Bescheid abgelehnt werden soll und fragte wieder nach der Adresse. Nach weiterer Vermittlung durch das LDI NRW schickte die Uni eine kurze Begründung über die Ablehnung. Sie beriefen sich auf den Schutz von Betriebs- und Geschäftsgeheimnissen nach § 8 IFG NRW.

An der Stelle begann der Antragsteller nun kreativ zu werden. Die Uni bat an, den Bescheid zuzusenden oder vor Ort abzuholen. Natürlich wollte die Person Letzteres, worauf die Uni meinte, dass die Gebäude wegen Corona verschlossen sein. Immerhin wurde eine Terminvereinbarung angeboten. In einer überraschenden Wendung verzichtete der Antragsteller nun auf die Abholung und brachte die DSGVO in Stellung. Der Art. 15 Abs. 3 Satz 1 DSGVO sagt:

Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung.

Im Rahmen der Anfrage wurden personenbezogene Daten verarbeitet. Insbesondere auf dem Bescheid sollte der Name und ggf. weitere Daten enthalten sein. Damit müsste der Bescheid im Rahmen der Anfrage nach der DSGVO an den Antragsteller geschickt werden.

Im weiteren Verlauf der IFG-Anfrage ist jedoch zu sehen, dass dies die Uni zunächst nicht gemacht hat und die Person das moniert. Es ist also spannend zu beobachten, wie die Anfrage weiter verläuft. Ich halte euch auf dem Laufenden.

DSGVO-Aufwand bei den Aufsichtsbehörden

Ende 2018 veröffentlichte die CNIL einige Statistiken zu deren Arbeitsaufwand durch die EU-Datenschutzgrundverordnung (DS-GVO). Ich fragte mich damals, wie das wohl bei den deutschen Aufsichtsbehörden so aussieht. Also fragte ich dort nach.

Ich schickte eine E-Mail an alle 16 Landesbehörden sowie an die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI). In der Mail bat ich um Auskunft, wie viele Datenschutzbeauftragte gemeldet wurden, wieviel Datenschutzpannen bisher gemeldet wurden und wieviel Anfragen insgesamt eingetroffen sind. Wie sahen die Antworten so aus?

Anfragen

Alle Behörden antworteten durch die Bank, dass es einen enormen Anstieg der Anfragen gegeben hat. In einigen Fällen schrieb man von einer Verdrei- bis Vervierfachung der Anfragen. Leider erhielt ich nicht von allen konkrete Zahlen. Legt man die Meldungen mit Zahlen zugrunde, so liegt die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen mit mehr als 10.000 Anfragen an der Spitze aller Bundesländer. Dies erscheint auch logisch, da das Bundesland entsprecht groß ist. Auf der anderen Seite sprach die Landesbeauftragte von Bremen von etwa 30 monatlichen Anfragen (ggü. durchschnittlich 18 vor dem Mai 2018). Sachsen als Flächenland meldete mir 776 Anfragen in den sechs Monaten von Mai bis November 2018 zurück. Das entspricht knapp 130 Anfragen pro Monat.

Beschwerden

Leider hatte ich in meiner E-Mail das Wort Anfragen verwendet. Bei der Beantwortung stellte sich heraus, dass zwischen einfachen Anfragen und Beschwerden unterschieden wird. So wurden beim TLfDI 284 Beschwerden angelegt und Hessen verzeichnete über 1200 Beschwerden.

Anzahl der gemeldeten Datenschutzbeauftragten

Mit der DS-GVO sind die Firmen verpflichtet, Datenschutzbeauftragte (DSB) an die Behörden zu melden. Hier interessierte mich, wieviel Meldungen bei den Behörden eingegangen sind. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) meldete bereits im August die Zahl von 10.000. Im benachbarten Baden-Württemberg waren es mit 23.000 mehr als doppelt so viele. Aber auch hier liegt Nordrhein-Westfalen mit 24.800 DSB an der Spitze.

Beim BfDI gingen mit 1270 die wenigsten Meldungen ein. Ich würde vermuten, dass auch da einige fehlgeleitete Meldungen darunter sind. Denn zumeist sollten die Meldungen im jeweiligen Bundesland abgegeben werden. Wie schon bei den Anfragen hat Bremen mit etwas mehr als 1500 die wenigsten Meldungen zu verzeichnen. Schaut man in die anderen Bundesländer so haben das Saarland (knapp 2100) und Sachsen-Anhalt (2100) recht wenige erhalten. Aber auch der Freistaat Thüringen liegt mit ca. 3550 Meldungen weit hinten.

Meldungen zu Datenpannen

Wenn es zu Problemen bei der Verarbeitung personenbezogener Daten kommt, so muss gegenüber den Behörden eine Meldung abgegeben werden. Das heißt, wenn Seiten gehackt, Daten unbefugt gelöscht werden oder es andere Probleme mit der IT-Sicherheit gibt und dabei Risiken für die Menschen entstehen, entsteht eine solche Pflicht. Hier hatte mich interessiert, wieviele Meldungen entstanden sind.

Mit Abstand die meisten Meldungen gingen beim BfDI ein. Dort wurden knapp 4700 Meldungen verzeichnet. Hier wäre eine Übersicht nach einzelnen Bundesländern interessant. Denn vermutlich stammen diese aus dem kompletten Bundesgebiet.

Das BayLDA kommt dann an Platz 2 und hat mit 2005 weniger als die Hälfte der Meldungen des BfDI. Die Anzahl der Meldungen auf Platz 3 (NRW) halbiert sich dann noch einmal (1032). Baden-Württemberg (> 700) und Hessen (640) werden auf die weiteren Plätze verwiesen.

Auf den hinteren Plätzen liegen wiederum Bremen (29), Sachsen-Anhalt (>50), Saarland und Thüringen (<70).

Neben den reinen Zahlen würde mich eine Statistik über die Inhalte der Datenpannen interessieren. Auch fände ich es schön, die Zahl im Verhältnis zu den Firmen im jeweiligen Bundesland auszuwerten.

Sonstiges

Bei den obigen Zahlen fehlen zwei Bundesländer. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern schrieb mir zurück, dass aufgrund des Arbeitsaufkommens eine Antwort nicht möglich sei. Vom Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit erhielt ich bis zum heutigen Tag keine Rückmeldung.

 

Continue reading "DSGVO-Aufwand bei den Aufsichtsbehörden"

Mein Vortrag beim 35C3

Der diesjährige 35. Chaos Communication Congress ist leider schon wieder vorbei. In den Leipziger Messehallen fanden sich 17.000 Hackerinnen und Hacker zusammen, um Vorträgen zu lauschen, neue Ideen zu probieren, zu hacken oder einfach eine schöne Zeit zu haben.

Ich hatte das Vergnügen zusammen mit Kristin Pietrzyk einen Vortrag zu halten: Unter findet ihr einen Mitschnitt. Viel Spaß beim Anhören.

tweetbackcheckcronjob