Webbasierte Dienste datenschutzkonform betreiben
This is a modal window.
The media could not be loaded, either because the server or network failed or because the format is not supported.
Formal Metadata
| Title |
| |
| Subtitle |
| |
| Title of Series | ||
| Number of Parts | 62 | |
| Author | ||
| License | CC Attribution 4.0 International: You are free to use, adapt and copy, distribute and transmit the work or content in adapted or unchanged form for any legal purpose as long as the work is attributed to the author in the manner specified by the author or licensor. | |
| Identifiers | 10.5446/59734 (DOI) | |
| Publisher | ||
| Release Date | ||
| Language |
Content Metadata
| Subject Area | ||
| Genre | ||
| Abstract |
| |
| Keywords |
00:00
InternetdienstService (economics)SoftwareComputerGoogleData centerFocus (optics)Open sourceWeb-AnwendungComputer animation
02:54
SoftwareWordSoftwareInformationService (economics)Computer animation
04:11
SoftwareHigh availabilityMir Docking ModuleIntegrierbarkeitInternetdienstService (economics)Plane (geometry)Open sourceDatabaseLöschen <Datenverarbeitung>MassBusiness modelPerspective (visual)SoftwareprojektService (economics)Electronic data processingRoute of administrationRoundingRow (database)Mainframe computerOnline chatDigitizingServer (computing)Mobile appComputerGoogleLösung <Mathematik>Point cloudJavaScriptSmartphoneVersion <Informatik>SakokuNoten <Programm>jQueryComputer fontParameter (computer programming)Electronic mailing listWeb pageAgreeablenessData centerOnline service providerEmailUpdateOperating systemComputer fileInternetAnwendungsschichtAnbindung <Informatik>Virtuelles privates NetzwerkUsabilityChain rulePlane (geometry)ZugriffHigh availabilitySoftware as a serviceIP addressWordPressSystems <München>Hausdorff spaceSystem identificationLinieSoftwareChainingLink (knot theory)Backdoor (computing)MittelungsverfahrenACCESS <Programm>Proxy serverLogarithmSource codeComputer data loggingDirection (geometry)Template (C++)Run-time systemBlock (periodic table)Quantum stateComputer animation
Transcript: German(auto-generated)
00:00
zum eigentlichen Thema, webbasierte Dienste datenschutzkonform betreiben. Untertitel, den ich gewählt habe, ist, warum Datensparsamkeit nicht genug ist, um DSGVO-konform zu sein. Das ist etwas, was ich relativ häufig beobachte, dass gesagt wird, freie Software, die ist besonders datensparsam, da gibt es keine komischen Geschäftsmodelle, die was mit Daten machen, mit Daten Geld
00:21
verdienen wollen und kann man natürlich auch sehr gut selber kontrollieren. Wo wird das gehostet? Hat man das selber irgendwo auf einem Rechner laufen, irgendwo im Rechenzentrum der Wahl? Man kann sehr viel selber steuern. Es ist sehr transparent über die Offenheit des Quercodes. Und von daher liegt der Schluss oft nahe, freie Software ist sehr privatsphärefreundlich.
00:44
Das ist auch in der Ausdrucksweise nicht falsch, aber privatsphärefreundlich ist nicht unbedingt gleich datenschutzkonform im DSGVO-Sinne. Und da geht es eben hier heute in dem Vortrag rum. Kurz zur Einordnung, das hatte ich auch im Abstract vorm Vortrag geschrieben.
01:00
Mir geht es hier vom Fokus her in webbasierte Anwendungen, also nicht Software, die man klassisch bei sich lokal auf dem Rechner ausführt, sondern eben Software, die webbasiert irgendwo läuft. Da gibt es eben ein paar Dinge mehr zu beachten, bei der Daten auf jeden Fall dadurch, dass es webbasiert ist. Es ist auf jeden Fall nach außen offen und deswegen
01:22
durch dieses Exponieren von der Web-Anwendung ins Netz hat man auf jeden Fall schon direkt ein paar Datenschutzpflichten zu beachten. Es gibt auch Ausnahmen, wenn man nicht unter Datenschutz fällt und wenn man es wirklich ganz privat für eigene Zwecke macht. Aber sobald es im Prinzip irgendwo am Netz hängt, muss man auch schon sich über die DSGVO Gedanken machen.
01:41
Also da endet dann diese Grenze, wann es wirklich rein privat ist, doch sehr, sehr schnell. Genau, jedenfalls mir geht es eben nicht um lokale Anwendungen, die man lokal ausführt und Beispiele, um was es beispielsweise geht, wenn man jetzt in einem Verein aktiv ist. Da stellt sich die Frage, wo packen wir eigentlich unsere Daten hin? Dann kommt der Erste und sagt, ich habe dann Google Drive oder Dropbox-Account
02:01
und dann ist man schnell dabei und sagt, nein, Leute, lasst das mal lieber, ich setze schnell eine Nextcloud auf. So, und dann hat man schwuppdiwupp eine Nextcloud für einen Verein aufgesetzt und dann gehen die Fragen, aber wenn man es eben datenschutzrechtlich betrachtet, ziemlich schnell los und ins Detail, weil dann eben auch die Frage ist, wer ist eigentlich dafür verantwortlich?
02:20
Ist das derjenige, der die Nextcloud aufsetzt? Ist das der Verein, der sie nutzt? Et cetera. Da schauen wir dann später mal drauf. Vielleicht seid ihr auch ein Verein, der Software für andere Vereine anbietet. Also, das gibt es durchaus im zivilgesellschaftlichen Bereich auch Organisationen, die für andere was hausten. Aber vielleicht geht es auch um ganz andere webbasierte Anwendungen,
02:41
die nicht für eine geschlossene Benutzerkreis sind, sondern relativ offen, beispielsweise eine Masterdown-Instanz oder andere Fediverse-Instanzen, einen Forum, et cetera. Da ist ja das Spektrum sehr breit und würde gerne von euch wissen, ob ihr selber einen webbasierten Dienst auf Basisfreier Software betreibt.
03:03
Gut, das ist so ganz grob gesagt die Hälfte der Hälfte. Das hatte ich auch in etwa so erwartet. Ja, steigen wir also ein ins Thema. Bevor ich jetzt aber ins Thema einsteige, würde ich ganz gerne noch ganz kurz ein paar Worte zur Stiftung Datenschutz sagen. Das ist meine Arbeitgeberin und ich mache den Vortrag im Rahmen
03:23
meiner Arbeit für die Stiftung Datenschutz. Die Stiftung Datenschutz ist eine gemeinnützige Stiftung, die der Bund initiiert hat, ist als Diskussions- und Informationsplattform tätig, als Diskussionsplattform für ein Fachpublikum aus dem Datenschutzbereich und als Informationsplattform.
03:42
Ja, für eine breitere Allgemeinheit. Und da richten wir uns vor allem fokussmäßig das letzte Jahr über auf den Bereich Ehrenamt und Vereine. Das ist dann auch eben meine Baustelle, wo ich vor allem bei der Stiftung Datenschutz aktiv bin. Und da bieten wir eben dann allgemein aus Sicht von Vereinsvorständen Informationen an, was müssen die an Datenschutz-Dingen beachten,
04:02
wenn die Datenschutze, was ich im Verein eben mit dem Thema angehen wollen. Was ist da formell eben zu beachten? Was muss man tun? Das zur Stiftung Datenschutz ganz kurz zu mir persönlich. Ich bin vom Background her ein Informatiker, habe noch Policy Analysis, ein zweites Studium gemacht und mich dann im Datenschutzbereich weitergebildet
04:21
und arbeite, wie gerade schon gesagt, hauptberuflich für die Stiftung Datenschutz. Ich bin selbst aber auch ehrenamtlich engagiert bei einem recht neu gegründeten Verein jetzt zuletzt freiburg.social.ev, ein Verein, wie der Name schon naheliegt, der eine Master-Date-Instanz für den Freiburger Raum anbietet. Dort bin ich als Datenschutzbeauftragter auch benannt.
04:42
Und davor war ich aber auch schon in anderen Vereinen aktiv, wo auch Privatsphäre, Datenschutz und freie Software eine große Rolle spielten. Ja, rechts noch kurz, wo man was zu mir findet, ist dann auch nachher in den Folie drin. Die werde ich dann auch noch ins Fragbuch laden.
05:00
Ja, steigen wir kurz mal ein mit so ein bisschen dem naheliegenden Schluss, den ich schon eingangs erwähnte. Oft ist so diese Gleichsetzung da, freie Software gleich datenschutzfreundlich. Und da möchte ich eben ein bisschen ein Fragezeichen dran machen, also um das vorwegzunehmen. Freie Software bietet super Voraussetzungen, um datenschutzfreundlich zu sein. Aber man muss eben noch ein bisschen was tun, je nachdem ein bisschen mehr oder ein bisschen weniger.
05:22
Und darum geht es eben heute. Aber nur weil man eben freie Software irgendwie einsetzt, ist es nicht automatisch datenschutzkonform. Aber das ist oft, ja, mit dieser Schluss nahegelegt. Und es wird zumindest in sehr große Nähe gerückt. Hier jetzt einfach mal ein paar Ausschnitte gerade. Das ist auch so ein Forum Digitalisierung
05:41
vom Bundesnetz für bürgerschaftliches Engagement, die letztes Jahr ein großes Projekt gemacht haben zum Thema Digitalisierung in der Zivilgesellschaft. Da steht beispielsweise drin, ne. Man kommt an Themen wie Open Source nicht vorbei, denn datenschutz hat dabei den Stellenwert, den er verdient. Zum einen Zitat, ein anderes aus einer Bundestagspetition,
06:00
die vielleicht manche von euch kennen, die im Februar dieses Jahres lief, wo Open Source für die Verwaltung noch mal ein bisschen gepusht wurde. Und da stand beispielsweise dann auch sehr prominenteren Vorteile durch Open Source. Und dann einer von den Vorteilen, die genannt werden, ist eben Datenschutz und Sicherheit stehen an oberster Stelle.
06:20
Anderes Beispiel von der Landesaufsicht im Baden-Württemberg für Datenschutz und Informationsfreiheit. Die haben im Rahmen von den großen Videokonferenztool-Debatten, die wir die letzten zwei Jahre hatten, dann eben auch für freie Software geworben und sagen eben Datenabflüsse und Datenerhebung, wo es man selbst kontrollieren könne. Und dazu eignen sich Lösungen auf Basis freier Software.
06:41
Und das ist aber so ein bisschen schon, da geht es schon ein bisschen mehr in die Details. Das ist genau der Punkt, ne. Die eignen sich dazu. Aber man muss eben auch selbst was tun. Und genau darum soll es hier heute gehen. Den Slogan hier kennen vermutlich die meisten von euch. There is no cloud, just other people's computers.
07:03
Recht, ja, in vielen Varianten, recht bekannt. Und wie auch hier die Bildquelle zeigt, von der Postkarte, von der FSFE. Auch gerade im Bereich freier Software oft genutzt das Slogan, wo es im Endeffekt darum geht, zu sagen,
07:20
okay, bei einer Cloud, wenn immer man was in die ominöse Cloud schiebt, wo alles automatisch funktioniert, dann sollte man sich klarmachen, das ist der Computer von jemand anderem und demjenigen sollte man vertrauen. Und da ist natürlich bei großen Cloud-Anbietern die Frage, wie groß kann da dieses Vertrauen sein? Gerade im Kontext US-Geheimdienste, US-Zugriffe.
07:41
Ja, sehr stark diskutiert das Thema, die letzten. Ja, zwischen einigen Jahren schon seit den Snowden Leaks. Und sicherlich absolut berechtigt, das zu hinterfragen. Der Punkt ist nur ein bisschen der, die Frage ist, was ist jetzt dieses Vertrauen, um das es geht? Da wird oft in diesem Bereich, wo man selber mal eben was für sich und andere aufsetzt, halt gesagt,
08:01
na ja, da kennt man sich gegenseitig, man vertraut sich gegenseitig. Das ist auch erst mal alles nicht verkehrt. Aber der Punkt ist der, dass eben die Datenschutz-Grundverordnung so Vertrauen in Anbieter, die für einen so einen Dienst erbringen, auch definiert und da Konzepte für bereithält. Ja, das nennt sich dann eben formell gesprochen Auftragsverarbeitung.
08:21
Das sieht man da manchmal im Hosting-Bereich. Man soll den Auftragsverarbeitungsvertrag abschließen. Und das ist aber im Prinzip genau dieser Punkt hier zu sagen, okay, ich schieb da meine Daten in die Cloud von den Dienstleister und wie kann ich dem jetzt vertrauen? Und da ist natürlich alle Kritik und Fragezeichen, die einem da kommen, ob so ein Stück Papier
08:41
mit US-Anbietern, US-Geheimdienst-Zugriffen, ob das das Papier wert ist, kann man diskutieren. Das machen ja auch Gerichte rauf und runter. Aber worauf ich hinausfülle ist, das ist jetzt diese Idee, dass man da dieses Vertrauen auch irgendwie formalisieren muss und beschreiben muss und irgendwie fassbar macht.
09:00
Das ist der DSGVO nicht fremd, sondern ist da eigentlich mit eingebaut. Andersrum eben Vertrauen gegenüber anderen Personen. Das funktioniert natürlich in einem kleinen Kreis, wo man sich kennt. Aber spätestens, wenn es irgendwie groß wird und bei einem Online-Dienst öffentlich zugänglich ist, ist halt die Frage, finde ich, auch, ob das ausreicht. Die DSGVO sagt, nee, das reicht nicht.
09:23
Man kann nicht irgendwie Auftragsverarbeitungsverträge dadurch ersetzen, dass man sagt, ich kenne denjenigen, ich vertraue dem. Dann muss man trotzdem so einen Vertrag aufsetzen. Aber das ist eben vielleicht so ein bisschen unterschiedliche Ebene von Vertrauen. Ich kann jetzt den Jitsi-Server von Freifunk München benutzen
09:41
oder ich benutze Zenfcall und weiß, das sind die Organisationen, die haben ähnliche Werte und die Advents da werden das schon gut machen. Aber ein richtig formelles Vertrauen, in dem Sinne, wie das jetzt diese Papierverträge, also Papiers, in Anführungszeichen, halt textbasierte, lange Verträge tun,
10:01
wie man das bei prophetären Diensten kriegt, ersetzt das halt formell nicht unbedingt. Und ja, das einfach so zu dem Gedanken, dass es da eben viel um Vertrauen geht und die Frage, was für eine Art von Vertrauen und dem vertraut man. Ja, ich hatte gerade auf den paar Zitaten,
10:22
die ich gezeigt hatte, so ein bisschen darauf hingespielt, dass ich sagen wollte, okay, freie Software und datenschutzfreundlich, das wird oft so in einem Gleichklang benutzt und nahegelegt, dass das eng zusammengehört. Und jetzt möchte ich mal kurz probieren,
10:41
rauszuarbeiten, inwiefern das eigentlich zusammenhängt oder auch nicht. Jetzt ist natürlich die Frage, was ist freie Software? Was ist Datenschutz im Sinne der DSGVO? Und da kann man recht tief natürlich jetzt in die komplexen Regeln einsteigen. Also ich kann mir jetzt konkrete Softwarelizenzen,
11:03
AGPL, MPL, wie auch immer, vornehmen, um zu verstehen, was ist freie Software. Ich kann mir die Datenschutzgrundverordnung mit ihren über 90 Artikeln vornehmen. Das wird dann relativ komplexes, langes Unterfangen. Deswegen habe ich es gerade mal jetzt versucht hier mit eher kurzen, abstrakten Grundprinzipien zu machen.
11:27
Und im Bereich freie Software, sicherlich bekannt bei den meisten von euch die vier Freiheiten, wie es Tollmann mal definiert hat. Und da ist eben ein Punkt zu sagen, okay, man kann die Software verwenden,
11:41
wie und wofür man will. Da steckt ein Stück dieser Kontrolle drin, die ich vorhin schon angesprochen habe. Man kann selber kontrollieren, wofür und wie nutze ich die Software eigentlich. Verstehen, die Transparenz, die Zugänglichkeit des Quellcodes, also der Open Source Aspekt, das ist natürlich im Hinblick auf Transparenz wichtig.
12:03
Ja, und Verbreiten und Verbessern, die auch erst nachträglich hinzugefügt wurden, die Punkte sind jetzt, finde ich, im Bereich Datenschutz nicht so maßgeblich. Das ist ja mehr diese Gedankesoftware weiterentwickeln zu können.
12:21
Gut, ja, das ist kurz freie Software bei der DSGVO. Gibt jetzt in der Datenschutz-Grundverordnung selbst im Artikel 5 so ein paar Grundsätze. Die sind aber schon sehr spezifisch regelmäßig formuliert, also in Form von Regeln. Es gibt das Standard-Datenschutz-Modell der deutschen Datenschutz-Aufsichtsbehörden, was teilweise für Prüfungen benutzt wird,
12:40
und das hat sieben Gewährleistungsziele drin. Und die sind vielleicht, wenn man sich da so nähern will, was sind eigentlich die Prinzipien, ist ein Tinkerts-Gut als Einstieg. Da gibt es zum einen die drei Prinzipien, die vielen bekannt vorkommen dürften, Vertraulichkeit, Intimität, Verfügbarkeit. Das sind die klassischen IT-Sicherheitsschutzziele.
13:00
Die werden auf Englisch auch abgekürzt oft CIA genannt für Confidentiality, Integrity, Authenticity. Und die haben natürlich damit zu tun, wie betreibe ich diese Software? Also ist das irgendwie auf einem sicheren System? Habe ich den Softwarestech, den ich nutze, gehärtet?
13:21
Spiele ich da Updates ein? Also eher diese Dinge, die in Betrieb liegen, aber auch habe ich auf der Anwendungsebene vernünftige Login-Mechanismen, ist da alles sauber implementiert, Krypto, etc. Über solche Aspekte sprechen wir da. Das sind so die klassischen IT-Sicherheitsschutzziele.
13:42
Und die sind gewissermaßen Voraussetzung dafür, dass man Datenschutz im Sinne der DSG-VO machen kann. Also wenn es da schon hakt, dann braucht man sich irgendwie um die anderen Sachen auch nicht so viel Gedanken machen, weil wenn die Scheuntore offen stehen, dann sind die komplexeren, feingranulareren
14:02
Steuermechanismen vielleicht auch gar nicht mehr so relevant. Die DSG-VO hat eben noch weitere Schutzziele im Sinne dieses Standard-Datenschutzmodells. Das ist zum einen eben die Transparenz. Das ist dieser Gedanke, man muss immer sagen, was tut man, wer ist man, was tut man? Das ist dann zum Beispiel relevant,
14:22
wenn es um so Datenschutzerklärungen geht oder Datenschutzhinweise, wie ich es etwas lieber nenne. Das ist eine reine Informationspflicht, aber die ist einfach ziemlich umfassend und die ist vor allem immer da. Und wenn immer ich irgendwas webbasiertes mache, das ist das, was ich auch an einer Vortragsankündigung schrieb, ich habe eben ein webbasiertes Produkt,
14:42
ein Tool, was auch immer, ein Dienst, sobald da von außen darauf zugegriffen werden kann, ins Internet öffentlich ist, also jetzt nicht irgendwie nur über einen VPN und so, sondern halt, was am Internet hängt, dann kann jeder darauf zugreifen und dann wird von demjenigen, der darauf zugreift und wenn es nur die Login-Maske ist,
15:01
zumindest temporär, also flüchtig, die IP-Adresse verarbeitet, einfach im IP-Stack vom Betriebssystem, wo das gehostet wird. Und das reicht schon, um die DSGVO zu triggern und zu sagen, hier, da passiert Datenverarbeitung, jetzt bitte darüber informieren, was da passiert. Also wenn man es ganz eng betrachtet, muss man halt für jeden Dienst,
15:21
der am Netz hängt, ohne Login-Maske, nur zugänglich ist, schon Datenschutzhinweise zur Verfügung stellen und darüber informieren, was passiert mit den IP-Adressen. Das sind jetzt zugegebenermaßen so Grenzbereiche, da kann man darüber diskutieren, wie eng ist das alles auszulegen, wie weit geht da diese Haushaltsausnahme, die es gibt, etc. Aber ich will einfach mal so ein bisschen die Tragweite aufzeigen.
15:44
Ein anderes Grundprinzip ist die Intervenierbarkeit. Das ist so dieses klassische Ding von, ja, ich möchte meine Daten kontrollieren können, ich muss sie löschen können. Das ist natürlich, wenn ich selber jetzt irgendeinen Dienst für mich selbst toste, habe ich technisch alle Möglichkeiten im Bereich freier Software, wunderbar.
16:01
Aber was ist eben für den Fall, wo man das für andere tut? Können dann diese anderen das auch komplett steuern? Haben die die Möglichkeit zu sagen, da läuft gerade was nicht so, wie es sein soll, bitte ändert das mal. Das ist also mit Intervenierbarkeit gemeint, das sind dann in der Praxis die sogenannten Betroffenenrechte zum Beispiel, wo man eben sagen kann, hier, da ist mein Name
16:22
gespeichert, bitte korrigieren, die Daten dürften gar nicht mehr da sein, bitte löschen, etc. Mit Nichtverkettung ist gemeint, dass Daten, die für einen Zweck erhoben werden, nicht für andere auf einmal weiter verwendet werden dürfen und dass man das auch ein Stück weit technisch sicherstellen muss, dass es nicht zu einfach ist. Also so dieses klassische Ding von, ich möchte jetzt hier
16:42
irgendwie einen Nachrichtendienst anbieten, wo ich Kurznachrichten austauschen kann und dann bitte jetzt auf einmal werden die Daten analysiert für Werbezwecke um eine kontextbasierte Werbung anzuzeigen, das ist eigentlich so ein Fall von, war das von vornherein klar, dass die Daten auch dafür genutzt werden oder ist das jetzt erst nachträglich so ein bisschen durch die Hintertür
17:00
dazugekommen und das ist der Bereich der Nichtverkettung. Hat dann eben auch im technischen Sinne mit Identifiern je nach dem zu tun, das ist ja so in Deutschland eine große Diskussion jetzt im öffentlichen Bereich, wollen wir eine Bürger ID oder nicht, welche Vor- und Nachteile bietet das und das hat natürlich gerade im Blick auf diese Nichtverkettung viele Implikationen,
17:22
wenn man einen eindeutigen Identifier hat, der über verschiedene Systeme hinweg funktioniert, dann kann man natürlich sehr leicht solche Verkettungen herstellen, die vielleicht gar nicht gewünscht sind. Ja und dann ein Grundprinzip, das ist glaube ich den meisten intuitiv klar, das ist die Datenminimierung, man darf nicht mehr Daten erheben, als man eigentlich braucht.
17:41
Das klingt jetzt im Bereich webbasierter Dienste erst mal relativ trivial auf der Anwendungsebene, aber man muss bedenken, häufig passiert auf anderen Ebenen noch was, also so ganz typisch man hat irgendeine Webapplikation und hat dann für das eigentliche, für den eigentlichen Betrieb noch
18:01
einen Applikationsserver, einen Webserver oder einen transparenten Proxy davor und die machen ja häufig Access Logs. Ob diese Access Logs wirklich in der Form und in dem vor allem der Speicherdauer, wie es oft voreingestellt ist, gebraucht werden, das kann man halt im Datenschutzsinn diskutieren.
18:22
Deswegen ist eigentlich auch so ein Ding, wenn man halt so was aufsetzt, zu gucken, ok, brauche ich das Logging in der vollen Form, kann ich das rechtfertigen oder muss ich das nicht auf ein sinnvolles Maß zurechtstutzen. Das sind also so Aspekte, die bei Datenminimierung mit dranhängen. Ja und ich sprach das vorhin schon an, jetzt so nochmal den Bogen zu freier Software
18:41
zu bringen. Also sicherlich habe ich, wie ich vorhin ansprach, viele Kontrollmöglichkeiten, wenn ich den Quelltext hat, mir das selber bauen kann, Änderungen selber einpflegen kann, dann kann ich natürlich ganz viel dieser Aspekte steuern und kontrollieren. Das ist natürlich ein Vorteil gegenüber profitären Cloud Tools, wo es
19:01
oder Stilmentalität eher ist. Aber die Frage ist, bringt freie Software diese automatisch auch schon die richtigen Gegebenheiten mit, um diese Ziele zu erfüllen. Und das ist eben nicht unbedingt der Fall. Also sicherlich ist die Verfügbarkeit des Quellcodes im Hinblick auf die Transparenz ein riesen Vorteil.
19:21
Aber man muss auch bedenken, das ist Transparenz für Fachkundige, die den Quelltext auch lesen und interpretieren können. Die DSGVO will aber Transparenz für alle. Also wenn jetzt Beispiel in einem Verein sagt, wir nutzen eine Next Cloud, dann kann man die Datenschutzhinweise, die man den Vereinsmitgliedern
19:41
zur Verfügung stellen muss, nicht dadurch ersetzen, dass man sagt, ja hier, Next Cloud ist doch Open Source. Sondern man muss eben nochmal in einfacher Sprache erklären, was passiert da eigentlich. Deswegen sicherlich die Verfügbarkeit des Quelltexts ist ein großer Vorteil. Und wie gesagt diese Kontrolle,
20:01
die Möglichkeit, es zu verwenden, wie und wofür man will, das bietet viele Möglichkeiten, gerade im Hinblick eben auf mehr so die IT-Sicherheits Schutzziele, dass man einfach selber sich die Umgebung schafft und wählt, der man vertraut, die man möchte. Aber auch im Hinblick auf Nicht-Verkettung und Datenminimierung sicherlich ein großer Vorteil.
20:22
Zum Ziel der Datenminimierung noch, das hat auch häufig diese, glaube ich, dieser Schluss, der gemacht wird zu sagen, freie Software ist datenschutzfreundlich, hat oft auch was mit der Datenminimierung zu tun. Und da geht's gar nicht um die Eigenschaften von freier Software an sich, sondern es geht um die Abwesenheit kommerzieller Geschäftsmodelle.
20:41
Weil natürlich, also Facebook, als bestes Beispiel, die haben ihre Nutzungsbedingungen tatsächlich vor kurzem dahingehend geändert, dass schon im ersten Absatz geht's halt los. Der Dienst, den man bekommt, ist ein personalisiertes Erlebnis. Also die sagen nicht hier, was wir dir bieten ist, du kannst dich mit Freunden
21:00
connecten und austauschen, sondern die starten tatsächlich mit, wir bieten dir ein personalisiertes Erlebnis. Und dann kommt so ein bisschen dieses Thema, connecten mit Freunden, austauschen etc. Und dann kommt auch als einer der Punkte, was Teil der Dienstleistung ist, ist personalisierte Werbung. Das haben die als Bestandteil ihrer Dienstleistung definiert,
21:20
damit ihnen das eben im Blick auf Datenschutzsachen nicht noch leichter um die Ohren fliegt, als es das vielleicht eh schon tut. Und ja, das ist natürlich dieses Dilemma, wenn man das Geld mit der Auswertung von Daten irgendwie verdienen muss, dann wird's relativ hakelig, wie man das alles oder noch mit der DSGVO rechtfertigt
21:41
und in Einklang bringt. Wenn man gar nicht die Notwendigkeit hat, irgendwie so ein Geschäftsmodell zu bedienen, dann ist das mit der Datenminimierung auch deutlich einfacher. Aber das hat, wenn wir ehrlich sind, nichts mit freier Software zu tun, sondern das ist einfach eine Frage von Geschäftsmodellen und Motivationen Software herzustellen
22:01
und zu betreiben. Das hat vielleicht viel mit der Community von freier Software zu tun, die freie Software nutzt und weiterentwickelt, aber nicht so viel mit der freien Software an sich. Ja, das war jetzt relativ abstrakt, aber ich glaube, vielleicht ganz hilfreich, diese Grundprinzipien ein bisschen zu verstehen.
22:23
Wie gesagt, ich denke, freie Software bietet viele Möglichkeiten, die DSGVO gut zu erfüllen und datenschutzkonforme Dienste bereitzustellen, aber man muss eben selbst was tun. Und das, was man selbst tun möchte, möchte ich
22:40
kurz in Anführungszeichen erläutern, dann hat es dann doch der konkreten Vorschriften, ich meinte vorhin schon diese sieben Grundprinzipien, die ziehen sich so ein bisschen durch die DSGVO durch, aber es gibt natürlich konkrete Pflichten. Und da sind diese Grundsätze im Artikel 5, die haben wir jetzt mit diesen Prinzipien gerade schon recht gut abgehandelt. Aber dann gibt es eben so etwas
23:01
wie Rechtsgrundlagen. Ich muss aus Sicht von einem Verantwortlichen, also jemand, der das irgendwie Datenverarbeitung macht, zum Beispiel, weil ich als Verein die Mitgliederverwaltung irgendwie mache, weil ich muss halt wissen, wer ist Mitglied, damit ich die zur Mitgliederversammlung einladen kann, dann brauche ich eine Rechtsgrundlage. Das kann eine Vertrag sein, das kann eine Einwilligung sein, das kann aber
23:21
auch so ein bisschen flexibleres, berechtigtes Interesse sein, wo ich argumentiere, dass das letztendlich für alle Seiten von Vorteil ist. Aber man muss sich mit diesem Thema Rechtsgrundlagen eben beschäftigen. Das hat ganz viel mit der konkreten Anwendung zu tun, was man konkret macht.
23:41
Und das kann einem dann auch so eine Software nicht abnehmen, also das muss letztendlich jeder selbst tun, egal ob er jetzt Nextcloud nutzt, OneDrive nutzt, oder ob er Papierakten durch die Gegend fährt. Damit muss man sich einfach selber beschäftigen, das hat nichts mit der Software zu tun. Informationspflichten, das ist das Thema Datenschutzinweise,
24:01
was ich gerade schon angesprochen hatte. Also ich muss darüber informieren, was passiert mit den Daten, sowas wie einen Access-Log erwähnen. Ich muss erwähnen, wenn Daten an Dienstleister gehen, also auch Hoster eingeschlossen. Also da muss ich mich drum kümmern. Ich muss selber für mich den Überblick haben, das ist ein Verzeichnis von Verarbeitungstätigkeiten, nennt sich das dann, führen
24:21
was mache ich eigentlich alles mit Daten. Wenn ich mit anderen kooperiere, Daten austausche, oder auch einfach ganz klassisch Dienste von einem Hoster in Anspruch nehme, dann habe ich schnell mit Auftragsverarbeitung zu tun, das ist das, was ich schon eingangs ansprach, diese Vertrauensschiene
24:42
in vertraglicher Form herstellen. Übermittlung in Drittländer, das ist das Thema, wenn Daten die EU verlassen, da würde ich jetzt ja heute gar nicht groß drauf eingehen, weil ich glaube, das ist wahrscheinlich Konsens in der Runde hier, wenn man schon Daten, also wenn man eben einen Dienst selber betreibt und da selber alles steuert, dann
25:02
wird vermutlich keiner jetzt zu einem Nicht-EU-Hoster gehen, sondern dann ist das vielleicht gerade eins der Ziele, dass man das gut kontrollieren und steuern will. Aber wenn man das eben nicht tut, wenn Daten die EU verlassen, dann kommen noch extra Regeln dazu. Betroffenen an Fragen, das ist so das Thema, da hat man meistens
25:21
wenig mit zu tun, aber wenn dann doch mal was kommt und einer sagt, was für Daten sind über mich gespeichert? Das dürfte da nicht sein, bitte löschen, dann muss man sich da entsprechend auch drauf kümmern. Technisch-organisatorische Maßnahmen, das ist so dieser ganze Block, wo mehr diese
25:41
IT-Sicherheit, also die Ziele, die ich vorhin hatte, Verfügbarkeit, Vertraulichkeit, Integrität, dass man das sicherstellt, aber auch so ein bisschen die anderen Dinge hier drum rum, dass man überhaupt organisiert, dass das auch vernünftig passiert. Und Privacy by Design und by Default, das ist letztendlich der Aspekt, dass man all diese Dinge schon
26:02
bei der Software außerhalb berücksichtigen muss. Also ein Beispiel dafür, die Deutsche Wohnen, hatte eine Software, die hat es gar nicht erlaubt, Datensätze zu löschen. Die hatten dann jahrelang von Mietinteressenten die kompletten Daten, die sie sich da mal geholt haben, da auf Halde liegen, auch wenn die die Wohnung gar nicht gekriegt haben. Und als die Aufsichtsbehörde das
26:21
mal beanstandelt hat, haben sie versucht, sich rauszureden mit, ja, das kann unsere Software nicht, wir können da gar nicht löschen. Und das ist genau der Punkt, der halt in der Datenschutz-Grundverordnung auch neu ist, den es davor noch nicht gab. Da ist ganz klar verankert, man muss sich zum Zeitpunkt der Software-Auswahl da schon Gedanken machen, ob das überhaupt diese anderen
26:42
Anforderungen sinnvoll zu erfüllen sind. Jetzt kam gerade die Frage nach Google Analytics im Chat. Habe ich ehrlich gesagt gerade nicht ganz verstanden. Ich weiß nicht, ob das im Kontext Drittstaatentransfers war, also wenn ich natürlich einen webbasierten Dienst betreibe und ich binde da Google Analytics ein, falls das gemeint ist,
27:02
dann gehen über Google Analytics Daten möglicherweise in Drittstaaten, eben verlassen die EU, und dann hänge ich in der Thematik eben doch wieder drin. Also das ist klar, also auch, das ist ja auch was, was tatsächlich an vielen Stellen gerade zur In-App passiert, also schönes Beispiel, irgendwie Jitsi, wo das
27:20
Server muss man erstmal so umkonfigurieren, dass kein S-Tone-Server von Google genutzt wird, und dann hängt da noch ein Analyse-Tool in der App drin, die man sich halt auf ein Smartphone installieren kann. Also das muss man dann eben doch auch wieder bei Freier Software genau mal hingucken. Was ist da alles noch mit eingebaut, sind vielleicht solche Dienste, die aus dem kommerziellen
27:40
privatären Umfeld kommen, dann doch auch bei irgendwo wieder mit drin. Gut, das so kurz zu den Pflichten, die man hat. Was ich gerade schon so ein bisschen ansprach, ist, also ich möchte jetzt rausarbeiten, was ist denn im Bereich Freier Software,
28:03
was kann ich da gut steuern, was kann ich nicht so gut steuern, was muss ich noch machen, und dieses Privacy by Design by Default, das ist halt bei den meisten Freien Software Tools relativ gut schon umsetzbar. Das hat eben auch mit, wie ich schon sagte,
28:21
mit dieser Abwesenheit von schwierigen Geschäftsmodellen zu tun und ein Stück weit eben auch mit der Steuerbarkeit, die man ja aber bei Freier Software eben hat. Man ist eben nicht auf den Hersteller angewiesen, der einem sagt, ne, sorry, ne, Funktion haben wir nicht vorgesehen, sondern zur Not kann man sich die eben selber einbauen.
28:40
Aber auch hier muss man natürlich, ich habe das jetzt grün automatisch abgehakt, aber es ist einfach erfüllbar. Also mit der Auswahl der Software, wenn man dann eben auch noch ein bisschen Wert drauflegt, was für Software benutzt man ja, also irgendwie, was ich weiß, ich mache jetzt mal Beispiel, man will irgendwie Mailing-Listen betreiben, es gibt so verschiedene Mailing-Listen-Tools,
29:01
so einer repasierten Anmeldung, und dann schickt man die Mails da drüber raus im Massenversand und da gibt es dann vielleicht manche Tools, die können Löschungen, Widerspruch und so Themen nicht so gut, und andere haben das besser eingebaut, und das ist gemeint hiermit zum Zeitpunkt der Softwareauswahl, das passende Tool wählen, und dann hat man da schon
29:23
viel erreicht in den Punkt. Jetzt einfach, um das mal gegeneinander zu stellen, zwei Szenarien. Man könnte jetzt sagen, okay, ich habe da repasierte Anwendungen, freie Software,
29:41
jetzt gehe ich irgendwie zu einem Host da, mit dem ich vertraut bin, also da irgendwie im Rechenzentrum auf einem virtualisierten Server, einen Bare-Metal-Server oder irgendwie auch ein Webhosting-Paket, aber letztendlich die eigentliche Software, also jetzt sowas, sei es das Beispiel von wohin, wie dann eine X-Cloud,
30:00
setzt sich selber auf. Und wenn ich dann das Rechenzentrum gut gewählt habe, dass eben klar ist, es ist ein Anbieter, der hat eine EU-Rechenzentrin, und ich mit ihm so einen Auftragsverarbeitungsvertrag schließe, was dann auch die europäischen Anbieter eigentlich alle ohne Probleme machen, dann kann ich das relativ einfach erfüllen, diese beiden Punkte.
30:21
Technisch-Organisatorische Maßnahmen ist dann so ein gemischtes Ding. Also wenn ich jetzt ein Webhosting-Paket habe, dann kümmern die sich um das Betriebssystem und die Updates, aktualisieren dann auch noch vielleicht das PAP, aber ich muss selber dafür sorgen, dass die Nextcloud sich Updates reinholt, oder ich das halt manuell mache. Deswegen hier gelb, so ein geteiltes Feld.
30:42
Und sowas wie Informationspflichten erfüllen, was macht der Verein mit der Nextcloud, die da bei dem Webposter läuft, das kann der Webposter einem nicht abnehmen. Die wussten ja noch nicht mal, dass ich an der Nextcloud installiere. Wie sollen die einem da was abnehmen? Also das muss man alles, was hier grau ist, muss man alles noch komplett selber machen, da kann einem der Host dann auch nicht bei helfen.
31:04
Das ist halt so ein bisschen der Unterschied zur Software as a Service, wo ich wirklich, was ja häufig im propitären Umfeld eher bekannt ist, aber per se ja nicht so gekoppelt sein muss, ja. Also es gibt, da ist wiederum Nextcloud auch ein schönes Beispiel für, da gibt es ja auch einige Anbieter, die das als Managed Service anbieten,
31:21
einem einfach sehr viel der Administration abnehmen. Und deswegen ist dieser Bereich technisch organisatorische Maßnahmen, auch wenn dann so ein ganz kleiner Teil immer noch bei einem selbst verbleibt, einfach im Bereich Software as a Service sehr gut abgedeckt. Und wenn es gut gemacht ist, ja, dann kann auch ein Software as a Service Dienst einem im Bereich der Informationspflichten und betroffenen Anfragen unterstützen.
31:43
Können die einem auch nicht komplett abnehmen, aber zum Beispiel ein gutes Muster zur Verfügung stellen. Tools im Bereich der betroffenen Anfragen, wie man da einzelne Datensätze ausfindig machen und löschen kann. Also da kann einfach ein Software as a Service Dienst, der eine spezialisiertere Anwendung zur Verfügung stellt,
32:01
mehr bieten als ein ganz abstraktes, nacktes, technischeres Hosting. Und das ist, muss man dann auch ehrlicherweise eben sehen, natürlich einer der Vorteile, den dann Unternehmen haben, die Software as a Service Dienstleistungen in der Cloud nutzen, im Vergleich zu freier Software selbst zu betreiben,
32:21
dass einfach da diese Aspekte ihnen von Dienstleister abgenommen werden und sie das nicht selbst machen müssen. Das nimmt einem natürlich ein Stück weit Kontrollmöglichkeiten weg. Aber wenn es gut gemacht ist, bietet es eben auch Vorteile. Ja, das so zu den verschiedenen Optionen, die es da gibt. Theoretisch gibt es natürlich auch die Optionen,
32:41
da hatte ich jetzt hier gar nicht drauf. Ich stelle mir den Raspberry Pi zu Hause hin und gucke, dass ich da mit der statischen IP oder mit dem dünnen S oder ähnlichen Konstrukten den halt von außen erreichbar mache und hoste jetzt irgendwie Vereinscloud im Vereinsheim oder beim Vorstell im Wohnzimmer. Das sind Möglichkeiten, das kann man auch machen.
33:02
Nur dann ist natürlich dieser Bereich der physischen Sicherheit, Zutrittskontrolle, wie etc. Backups, gibt es ein vernünftiges Offsite-Backup, etc. Das sind dann alles Themen, die muss man sich komplett selbst kümmern. Und dann ist das halt einfach, ja, noch mehr zu tun als in diesem Bereich.
33:20
Ja, dann wäre hier halt technisch organisatorische Maßnahmen, die Sicherheit auch grau, muss man sich dann komplett selbst so kümmern. Das war jetzt alles, was ich gerade gesagt habe, immer so ein bisschen aus der Rolle von einem Verantwortlichen. Ja, das ist so dieses Beispiel in einem Verein, der entschließt sich selber, eine Nextcloud bereitzustellen,
33:41
eine Privatperson entschließt sich, eine Masterdown-Instanz öffentlich bereitzustellen. Solche Szenarien, da ist dann quasi die Person, die das auch ein Stück weit nutzt, diesen Dienst, die ist dann eben, entscheidet selbst, wie setzt sie das um, wie soll das technisch ablaufen und die ist dann eben verantwortlich.
34:03
Ja, da sagt man dann in einer DSG-Pro-Sprache, die Zwecke oder Mittel der Datenverarbeitung bestimmen. Das ist jetzt aber nur ein Szenario, was eben auch sein kann, ist, angenommen, ihr seid die Person da links und ihr betreibt irgendwie für euch selbst und auch andere,
34:22
beispielsweise jetzt verschiedene Nextclouds oder irgendwelche anderen Software-Tools und ja, und es kommt irgendwie ein Bekannter, der in einem Verein aktiv ist und sagt, du machst da irgendwie schon Nextclouds und ein paar Leute kannst du uns nicht auch einer aufsetzen und jetzt setzt ihr die nicht so auf, dass die auf einem Hosting-Vertrag,
34:41
der auf den Vereinen läuft, mit drauf ist, sondern bei euch selbst irgendwo zu Hause auf dem Rechner, zum Beispiel auf dem Server, im Kleinen und dann werdet ihr eben zum Auftragsverarbeiter für diesen Verein, aber trotzdem bleibt der Verein für dieses ganze Thema mit Datenschutzerklärungen, betroffenen Rechte,
35:01
da bleibt dann trotzdem der Verein verantwortlich für. Deswegen spricht man dann auch von Verantwortlichen. Jetzt so ein Verein als Beispiel, der hat mit Betroffenen zu tun, das sind zum Beispiel Mitglieder, Veranstaltungsbesucher, deren Daten bei einer Teilnehmerliste erfasst werden, aber auch, ja, also einfach alle Personen,
35:23
die irgendwie von dieser Datenverarbeitung betroffen sind, also zum Beispiel auch, wichtiger Punkt, die Personen, die einfach nur die Login-Seite von dem webbasierten Dienst aufrufen können, was ich vorhin ansprach, dieser Grenzfall, dadurch, dass eben deren IP-Adresse
35:40
für den Verantwortlichen zumindest flüchtig sichtbar ist, sind die schon eben in Datenschutzsprache Betroffene der Datenverarbeitung und die haben dann entsprechend das Recht, dass sie da nachfragen dürfen, die müssen informiert werden etc. Dann gibt es noch so Konstellationen, da gibt es dann mehrere Verantwortliche nebeneinander, ja,
36:02
also ein Verein, der irgendwie ein Sportverein, der nimmt einen Turnierteil und dann werden da Daten für das Turnier, werden die Spielerlisten ausgetauscht, vielleicht der Dachverband. Das ist dann ein eigener Verantwortlicher, da hat man dann nicht dieses Auftragsverarbeitungskonstrukt, sondern das ist dann halt ein eigener Verantwortlicher oder vielleicht noch so eine gemeinsame Verantwortung.
36:24
Und dann gibt es aber natürlich auch den Fall, dass, angenommen, ihr seid diejenigen, die für den Verein, die Nextcloud, hosten, dass ihr das nicht bei euch zu Hause auf dem Rechner laufen habt, sondern ihr seid selber irgendwie bei einem Host da, habt irgendeinen dickeren Server im Rechenzentrum gemietet, dann ist halt dieses Rechenzentrum euer Auftragsverarbeiter,
36:43
da hat man so eine Kette von Auftragsverarbeitern. Das heißt aber eben, dass der Verein mit euch so einen Auftragsverarbeitungsvertrag abschließen müsste und ihr dann wiederum mit dem Rechenzentrum, wo ihr halt die Dienst genutzt, jeweils natürlich auf einer anderen Ebene, was der eigentliche Dienst ist, der bereitgestellt wird,
37:02
aber formell ist das dann eben die Konstellation, dass man da so eine Kette von Auftragsverarbeitern hat. Aber wie gesagt, diese ganzen Pflichten, die ich hier vorhin auf der Folie hatte, die richten sich erst mal alle an den Verantwortlichen. Und jetzt gucken wir uns also mal an, was ist denn Aussicht von so einem Verantwortlichen,
37:21
also hier die linke Spalte auf der Folie. Was muss ich dann eigentlich tun? Klar, diese Pflichten, die ich vorhin auf der einen Folie hatte, erfüllen, aber ich versuche es mal ein bisschen zielgerichterter zu formulieren. Also zum einen muss ich die Software sorgfältig auswählen und sorgfältig auswählen ist eben nicht nur gemeint die Usability und die Features,
37:42
die ich halt für meinen konkreten Zweck brauche, sondern auch die Software so auszuwählen, dass die, ja, Datenschutzfunktionen letztendlich halt unterstützt, was ich vorhin schon meinte, Datensätze gezielt löschen können, aber vielleicht auch so ganz banale Dinge,
38:04
wie auf der Login-Seite die Möglichkeit anbieten, Datenschutzinweise und Impressungen zu verlinken. Also wenn ich die Pflicht habe als Verantwortlicher, dass ich schon oft an der Stelle Datenschutzinweise zur Verfügung stellen muss und die Software erlaubt mir das gar nicht, dann ist halt blöd. Klar, im Bereich freier Software kann ich dann wiederum Hand anlegen und das einbauen,
38:23
aber das können wiederum nicht alle, dann wird es relativ technisch. Dann die passende Ebene des Hostings auswählen, das ist das, was ich vorhin meinte, will ich jetzt hier irgendwie die Raspberry Pi-Variante im Verein sein, will ich ein Hosting bei einem Dienstleister, wo es mehr auf der Ebene vom Web-Hosting ist,
38:43
will ich da irgendwie einen Server, wo ich das Betriebssystem selbst administrieren muss oder, ja, auf welcher Ebene bin ich da unterwegs. Je nachdem, also der Hoster sollte natürlich sorgfältig ausgewählt sein, dass auch irgendwie eben das Vertrauen, über das ich vorhin schon sprach,
39:02
halt nicht nur auf dem Papier, sondern auch irgendwie gefühlt passt, aber dass das Papier eben auch passt, das heißt eben diesen Auftragsverarbeitungsvertrag abschließen und je nachdem, wie viel man eben selbst macht an administrativen Tätigkeiten, auch den eigenen Betrieb sicherstellen. Also gerade im Bereich Webseiten ist das ja so ein häufiges Ding,
39:21
wird dann einmal aufgesetzt und dann gammelt da irgendein altes WordPress vor sich hin, keiner pflegt das mehr. Da sind natürlich Dinge, da muss man dann auch einfach klären, wie macht man das. Dann für die eigentliche Nutzung die internen Zuständigkeiten und Zugriffsregelungen klären, das ist natürlich, wenn ich das für mich selber als Privatperson mache,
39:41
ist das nicht so ein Thema, aber wenn ich jetzt irgendwie in mehreren Personen da administrativ dran arbeite oder vielleicht auch auf Anwendungsebene auch Dinge, die man klären muss, also jetzt in der Nextcloud, wie lege ich da eine Berechtigungsstruktur an, diese Themen meine ich damit. Ja und dann wichtiges Thema Rechtsgrundlagen klären, hatte ich vorhin schon gesagt, kann einem die Software nicht abnehmen
40:00
oder der Anbieter der Software muss man immer selber machen, also für welche der Datenverarbeitung brauche ich eine Einwilligung und welche anderen tauglichen Rechtsgrundlagen gäbe es. Dann dieses Verzeichnis der Verarbeitungstätigkeiten ergänzen. Das heißt, man muss sich halt diese Eckdaten, über die ich gerade schon sprach, die muss man einfach notieren, dokumentieren, ist kein großes Ding,
40:22
aber so ein bisschen eine Formalität, die einem aber auch hilft, den Überblick nicht zu verlieren. Ja und dann wichtig der Punkt, der vor allem nach außen sichtbar ist. Vieles von dem, was jetzt hier so zur Sprache kam, das ist natürlich nach außen hier nicht so sichtbar und da ist man vielleicht auch nicht so angreifbar. Also angreifbar jetzt im rechtlichen Sinne.
40:42
Aber Thema Datenschutzhinweise, die muss man eben proaktiv zur Verfügung stellen und das heißt, das ist sehr schnell sichtbar, da ist man dann auch eben, wenn einem einer was Böses will, schnell rechtlich angreifbar. Das heißt eben, die Datenschutzhinweise muss man zur Verfügung stellen
41:01
und halt wie gesagt dran denken, allein schon der webbasierte Zugriff ist eine Form von Datenverarbeitung, also sollte es auch auf der Ebene, wo man über eine Webseite zugreifen kann, schon irgendwie einen Link geben zu Datenschutzhinweisen, wo das Thema aufgegriffen wird. Ja, und dann der Punkt, eventuelle Betroffenen an Fragen beantworten,
41:22
das ist so, wenn einer mal, was meistens nicht passiert war, wenn dann einer sich meldet und sagt, hier, ich mache meine Betroffenenrechte nach DSGVO geltend, das dann auch ernst nehmen und bearbeiten. Das, wie gesagt, ist so die Schiene, wenn ich jetzt als verantwortlicher einen Dienst aufsetze,
41:43
egal ob das jetzt für eine kleine Gruppe ist, für einen Verein, für mich selbst, hängt halt letztendlich nur davon ab, sobald es öffentlich ist, ist man eigentlich schnell aus diesem ganz privaten Kontext raus, den die sogenannte Haushaltsausnahme bildet.
42:02
Das heißt, da ist man einfach schnell in dieser verantwortlichen Rolle auch drin. Das ist aber wie gesagt immer die Stelle, die letztendlich die Datenverarbeitung macht. Das ist nicht unbedingt die Stelle, die technisch das Setup macht. Und das ist eben dieser Unterschied zum Auftragsverarbeiter, was ich auf der anderen Seite habe.
42:21
Wenn ihr jetzt in der Rolle hier von der letzten Folie, wenn ihr da die Person links oben seid, die halt irgendwie die Nextcloud für einen Freund aus einem Verein irgendwie betreibt, dann müsst ihr natürlich in erster Linie den eigenen Betrieb sicherstellen. Wenn ihr selber Dienste von einem Rechenzentrum, von einem Host annutzt,
42:45
also Rechenzentrum, sobald es jetzt mehr als Internetkollektivität ist, also wenn ihr wirklich einen Bare-Metal-Server habt, wo nur der Netzzugang von dem Rechenzentrum kommt, dann nicht.
43:01
Aber sobald die irgendwie Zugriff auf die Systeme haben, also virtualisierte Server etc., dann schon. Dann müsst ihr mit dem Host da eben auch einen Auftragsverarbeitungsvertrag schließen, also diese Kette, die ich vorhin angesprochen hatte. Und dann wiederum wichtig, das ist auch als Auftragsverarbeiter ein Teil der Pflicht.
43:22
Wie gesagt, diese ganzen Pflichten, die ich hier vorhin auf der Folie hatte, die gelten eigentlich alle nur für den Verantwortlichen. Aber als Auftragsverarbeiter hat man eben auch so ein bisschen, hängt man dann eben doch mit drin. Und Teil von diesem Artikel 28 der Datenschutz-Grundverordnung, wo es um die Auftragsverarbeitung geht, der ist eben auch, dass man als Auftragsverarbeiter ein paar Dinge machen muss.
43:43
Und davon ist eben ein Punkt auch, dass man selber auch dafür sorgt, dass so ein Vertrag abgeschlossen wird. Also wenn jetzt euer Kunde, nenne ich es mal, vielleicht kostenlos und alles rein ehrenamtlich und goodwill, aber wenn euer Kunde da eben sagt, ach, Auftragsverarbeitung, Datenschutz, nee, uns doch egal,
44:03
ist es auch in eurem Interesse darauf hinzuwirken, dass er das sauber abschließt. Und auch als Auftragsverarbeiter braucht ihr so ein Verzeichnis der Verarbeitungstätigkeiten, wo dann halt drin steht, ein bisschen anders gelagert, aber wo dann halt drin steht, was macht ihr für welche Kunden, für welche Verantwortlichen in DSGVO-Sprache.
44:23
Wenn dann mal so eine betroffene Anfrage bei einem Verantwortlichen reinkommt, ist das als Auftragsverarbeiter erst mal nicht euer Thema, aber ihr müsst dann, wenn da die Frage nach kommt, auch bei unterstützen. Das heißt zur Not eben dann auch die Datenbank händisch durchkämmen und irgendwie mitgucken, wenn das über die Oberfläche nicht geht.
44:41
Also solche Szenarien. Und ja, was dann einfach ein Service ist, das ist nicht die Rolle des Auftragsverarbeiters, aber gerade so im Software-as-a-Service-Bereich fände ich es eigentlich auch angemessen, wenn die Auftragsverarbeiter einen dann schon Muster für Datenschutzhinweise zur Verfügung stellen. Das heißt, wenn ihr irgendwie die Next Cloud oder eine Jitsi-Instanz
45:01
für jemand anders betreibt, dann da schon noch Datenschutzhinweise. Wenn ihr das halt für irgendwie größere Anbieter, die das für viele machen, da gehört es dann eigentlich dazu, dass man da auch Muster bereitstellt, dass das halt die eigentlichen Verantwortlichen in DSGVO-Sprache halt einfach haben und da schon irgendwo einen Punkt haben,
45:21
auf den sie aufsetzen können. Ja, das so zu den Pflichten, mehr so ein bisschen als in Checklistenform, als verantwortlicher und als Auftragsverarbeiter. Jetzt kam im Chat die Frage vorhin, ob bei so einer Kette von Auftragsverarbeitern auch mit Privatpersonen beispielsweise Hosting erstellt werden.
45:45
Ja, also das ist ein schwieriges Feld, also Privatpersonen, die wirklich was rein für private Zwecke tun. Ja, das ist diese Haushaltsausnahme, die ich schon mehrfach angesprochen habe. Da ist es eben so, dass alles, was wirklich quasi für persönliche
46:02
und familiäre Zwecke gemacht wird. Also das ist dann, hört dann aber beim erweiterten Freundeskreis schnell auf. Also irgendwie jetzt die kleine Webseite mit Log-in-Bereich, mit den Fotos vor der Hochzeit, da kann man vielleicht noch sagen, das ist Haushaltsausnahme. Wenn es jetzt aber schon in Richtung geht, wo man dann auch irgendwie sagen würde, das ist ja eigentlich auch ein nicht eingetragener Verein,
46:22
irgendwie so die Sportgruppe, die sich nebenher organisiert. Das sind dann schon so grenzwertige Fälle, wo man schnell aus der Haushaltsausnahme rauskommt. Und ja, bei den Privatpersonen ist das tatsächlich eine rechtlich umstrittene Frage, ob der Auftragsverarbeitung relevant ist oder nicht,
46:42
weil die sind die Privatpersonen, wenn sie wirklich im Rahmen dieser Haushaltsausnahme handeln, die brauchen keinen Auftragsverarbeitungsvertrag, aber als Auftragsverarbeiter bräuchte man den eigentlich. Das ist also so ein bisschen so einer von mehreren Punkten, die einfach in der Datumverordnung nicht so ganz stimmig sind,
47:00
wo sich dann jetzt auch die Fachwelt so ein bisschen streitet, hat letztendlich keine große praktische Relevanz. Ich kenne jetzt nicht irgendwie Fälle, wo auf dem Punkt irgendwie Aufsichtsbehörden tätig würden oder so. Aber wie gesagt, diese Haushaltsausnahme und private Dinge ist halt alles sehr eng gesteckt.
47:23
Ja, das zu der Frage, was man eben als verantwortlicher oder als Auftragsverarbeiter tun muss. Was ich noch eine spannende Perspektive finde ich, so abschließend noch kurz mit reinwerfen möchte, ist die Frage, was kann man denn als Entwickler tun? Weil das finde ich halt ehrlich gesagt im Bereich freier Software ein bisschen erschreckend, muss ich ehrlich sagen, teilweise.
47:42
Wie da halt Entwickler die eigentlichen User ihrer Zielgruppe irgendwie im Stich lassen. Klar, freie Software ist erstmal nur freie Software. Ja, und da gibt es halt irgendwie manche Projekte, da macht wirklich einer was privat für sich und stellt es halt einfach zur Verfügung. Aber was ich jetzt meine, sind halt wirklich größere Projekte,
48:02
die auch ihren gewissen Organisationsgrad aufnehmen, irgendwie Öffentlichkeitsarbeit machen, dafür werben, dass man ihre Tools nutzt. Und da finde ich gehört es eigentlich schon dazu, dass man auch einfach mitdenkt, wie können denn, ja, wie können denn die User der Software, die halt jetzt gerade im Bereich der webbasierter Dienste,
48:22
wie können die das denn auch datenschutzkonform einsetzen? Und da hakt es halt, wie ich vorhin schon ansprach, bei manchen schon, dass man überhaupt mal irgendwie Datenschutzhinweise und Impressum verlinken kann. Also dieser Pflicht, ich möchte schon auf der Login-Seite auf meine Datenschutzhinweise verlinken. Das geht mit manchen Tools nicht. Also ich habe schon selber dann irgendwie Dienste aufgesetzt,
48:40
da habe ich das dann selber erst noch reingefriedelt. Und bei vielen geht es ja aber. Da kann man irgendwo sagen, okay, ich mache eine Art Customizing, Seaming, wo genau sowas vorgesehen ist. Der nächste Schritt ist halt, dass man auch Datenschutzhinweise als Template zur Verfügung stellt. Da finde ich zum Beispiel einfach wirklich ganz schön,
49:01
was sich bei WordPress im Jahr 2018 als CDSG-Programm getan hat. Da gibt es eine Standardseite Datenschutz, die standardmäßig eingebaut ist, die jetzt eine spezielle Kategorie fest eingebaut hat. Und da ist halt ein Template drin. Noch schöner ist natürlich, wenn das irgendwie im Setup-Prozess auch mit abgerufen wird. Adolf ist ja so gerade bei so typisch webbasierten Dingen,
49:23
wo man sich zu einer Datenbank verbindet, so eine Art interaktiver Setup-Prozess, wo man sich erstmal zur Datenbank verbindet und dann irgendwie, was ist denn hier der Titel und die Domain, auf dem das läuft und jetzt leg mal den Admin-Account an. Und Teil von so einem Setup-Prozess könnte eigentlich ja auch sein, dass man sagt, hier sind Sie in der EU,
49:41
gilt für Sie die Datenschutzrundverordnung, ja, dann hier bitte dran denken, datenschutzhilfweise mit aktivieren und hier guck mal, ist unser Template, musst du noch das und das anpassen. Da könnte man deutlich mehr tun, um auch einfach dafür zu sorgen, dass die Nutzergruppen, die vielleicht da nicht so tief einsteigen, so ein bisschen mit der Nase draufgestupst werden, dass ihre Pflichten sind.
50:04
Negativ-Beispiel, also jetzt nicht zu negativ gemeint, aber wo ich zwar schon so ein bisschen die Nase rümpfe, wenn ich ehrlich bin, ist Mastodon, was ja die letzten Jahre sehr groß geworden ist, sehr viel Verbreitung findet, von einer deutschen GGMBH sogar entwickelt
50:23
und da sind die Standard-Datenschutzhinweise, die mitgeliefert werden, die enthalten eben nicht die notwendigen Pflichtangaben nach DSGVO. Also da muss man eigentlich nochmal händisch dran und nicht nur irgendwo hier Name einfügen, so irgendwie Details ergänzen, sondern man muss komplett neue Blöcke hinzufügen,
50:40
die in dem Text gar nicht drin sind. Und die meisten Mastodon-Instanzen, die machen das einfach nicht. Und sind sich dessen aber auch nicht bewusst, dass das nicht ausreicht, was da drin steht. Und das ist jetzt, wie gesagt, ich will es nicht als das Negativ-Beispiel nennen, das gibt es bei ganz vielen. Ich bin nur selber eben der Datenschutzbeauftragter von der Mastodon-Instanz oder von einem Verein,
51:01
der eine postet. Deswegen habe ich mich damit beschäftigt und würde mir einfach wünschen, dass da Entwickler offen dafür sind. Häufig sieht man es auch, dass in Bug-Trackern Hinweise auf sowas gegeben werden. Aber dann sind das einfach Themen, die sind nicht so wichtig. Die sind entweder nicht so wichtig oder es sind US-basierte Projekte, die irgendwie sagen, EU-Datenschutz, was wird denn damit am Hut?
51:22
Und das ist einfach schade, weil ich finde, wenn da schon quasi so viel Arbeit in die Verbreitung auch und Nutzbarkeit von freier Software gesteckt wird, fände ich es halt einfach schön, wenn der Datenschutz im formelleren Sinne eben auch mitgedacht wird,
51:40
weil, wie ich eingangs sagte, freie Software bietet super Voraussetzungen, aber man muss halt diese paar extra Schleifen dann noch geben. Weil die Frage hier gerade im Chat kam, ob ich denn die, ob ich bei meinem Bug-Report am Mastodon gesandt habe, also ich selbst habe jetzt dafür noch nichts abgeschickt. Ich habe nur ein paar gesehen, die offen sind. Das ist aber ein Punkt, den wir bei uns im Verein
52:01
tatsächlich bei uns auf der To-Rule-Liste haben, dass wir sagen, wir wollen da auch dann mal einen Standard entwickeln, den wir dann anderen zur Verfügung stellen und der optimalerweise dann vielleicht auch im Mastodon integriert wird. Genau. Also das ist wichtig, dass man, einfach auch diese Datenschutzhinweise,
52:21
das ist einfach ein Thema, da sind dann eben auch die anderen, die Software nutzen schnell angreifbar, deswegen reite ich darauf rum, dass da einfach mehr passieren sollte. Ein anderer Punkt ist, dass Daten gezielt gelöscht werden können, da auch wieder jetzt als Beispiel WordPress auf dem Screenshot rechts drin, da gibt es halt so Tools, dass man die Kommentare einzeln finden kann, also da schreibt jetzt ein User hin und sagt, hier, ich bin
52:42
hans-edmeyer.de und ich bitte, Auskunft, welche Daten gibt es eigentlich über mich und dann kann man irgendwie raussuchen, welche Kommentare gibt es von dem, kann die löschen. Also einfach diese Sicht auch zu bieten, dass man halt nicht in der Datenbank rumfremeln muss, sondern das an der Oberfläche kann. Ja, und der
53:01
Königsweg wäre natürlich, dass man irgendwie als Softwareprojekt auch irgendwie einen Guide erstellt, was man denn tun muss, um die Software DSG4O konform einzusetzen, zugebermaßen liegt die Messleiter dann schon sehr hoch, man kann den sogenannten Verantwortlichen auch nicht alle Verantwortung abnehmen, aber eben diese Perspektive mitdenken, darum geht es mir.
53:24
Ja, jetzt sind wir zeitlich auch eigentlich schon rum und wie gesagt, als Fazit von meiner Seite, freie Software, die ist oft datensparsam, aber DSG4O Compliance ist halt mehr, als datensparsam zu sein und weil eben keine schwierigen Geschäftsmodelle im Weg stehen
53:42
und weil man schon so ein hohes Maß auf Kontrolle und Transparenz bietet, ist es eigentlich auch einfach, die DSG4O Compliance noch mit einzubauen, ob die jetzt endlich eben den Verantwortlichen, aber als Entwickler kann man da auch unterstützen und das finde ich einfach, ja, ein Stück weit mein persönliches Anliegen, weswegen ich dazu zum Beispiel auch in so einem Bereich engagiert bin,
54:02
das halt einfach mit einzubauen, mitzudenken, das eben voranzutreiben, hat aber ein Stück weit, muss man auch ehrlich sagen, natürlich mit den politischen Rahmenbedingungen zu tun, es gibt ja auch so, was man manchmal als digitale Zivilgesellschaft bezeichnet, dass da zivilgesellschaftliche Organisationen eben auch immer mehr Infrastruktur
54:22
für die Allgemeine zur Verfügung stellen und da habe ich mir auch zu den politischen Rahmenbedingungen schon mal Gedanken gemacht und das verblockt, findet ihr hier. Und wie gesagt, die Folien lade ich auch noch ins Fragbuch nachher, da könnt ihr dann also dann hoffentlich auch bald runterladen. Jetzt sind wir zeitlich
54:40
auch mit der Stunde fast rum. Eine Person, Schreibkart schon, muss los. Nichtsdestotrotz hätte ich noch fast Zeit für Fragen, ist natürlich per Chat jetzt nicht so schön, als wenn wir in einem Hörsaal auch auf Hauskonstanten, aber vielleicht gibt es ja noch Fragen, die noch nicht zwischen durchgestellt wurden. Ja, das Nachladen von Fonts kam
55:02
jetzt die Frage, also Google Fonts als wahrscheinlich das Paradebeispiel, aber auch nicht nur das. Also kurz die Thematik erläutert, es gibt im Bereich von Webseiten, aber auch webbasierten Anwendungen. Natürlich seit längerem das Ding, man lädt externe Ressourcen nach, zum einen vielleicht tatsächlich für
55:22
gezieltes Tracking, dass man irgendwelche Analyse-Tools einbindet, aber eben auch für vermeintlich legitime Zwecke, dass man einfach sagt, hier jQuery lade ich jetzt nicht in der jeweils aktuellen Version als JavaScript Bibliothek auf meinen eigenen Webserver hoch, sondern ich bin es halt direkt von der externen Seite ein. Ähnlich bei Schriften, Google Fonts
55:41
als Beispiele, aber es gibt ja auch freie Projekte, die sowas machen. Und das hat natürlich den einen Hintergrund, dass man es nicht so selber aktualisieren und pflegen muss, der andere Grund ist, dass halt argumentiert das ist, wenn es dann über Content Delivery Netzwerke geht, halt besser, weil die, dann kann es besser gecached werden im Client, da muss es nicht so oft nachgeladen werden.
56:03
Ja, und letztendlich das Problem ist, dass allein schon dieses Einbinden, halt potenziell ja auch über ein Referrer, irgendwie diesem Dienst, wo die, wo man dann die Schriftart oder eine Grafaskripto-Bibliothek halt her hat,
56:22
einen gewissen Analysespielraum ermöglicht und was mit den Daten gemacht werden könnte. Das passiert in vielen Fällen nicht, das ist auch gar nicht die Intention. Aber allein dieses, da könnte was gemacht werden, triggert dann halt wiederum diese Datenschutz-Informations-Klichten. Deswegen würde ich sagen, sowas
56:42
ist auf jeden Fall ein Thema, was man in den Datenschutz- Hinweisen mit einbauen muss, was man erläutern muss. Ein großer Diskussionspunkt jetzt gerade im Hinblick auf Google Funds ist halt auch, dass es potenziell Drittstaatentransfers in den USA sind. Da läuft auch gerade so eine kleinere Abmahn-Schadenersatzwelle an,
57:01
was konkret Google Funds betrifft. Die Aufsichtsbehörden waren dann auch eher die Füße stillgehalten bei dem Thema in Deutschland, aber auch da tut sich inzwischen was. Also das ist wegen so einem Themenbereich, da ist es tatsächlich diskussionswürdig, wenn das ein CDN ist von einem amerikanischen Anbieter mit Servern in der EU, ist es dann Drittstaatentransfer, ja oder nein?
57:21
Wenn da keine Analysen gemacht werden, ist es dann Datenverarbeitung, braucht man dann Auftragsverarbeitungsvertrag. Das sind aber letztendlich alles Fragen, da muss man dann sehr tief einsteigen und ganz ehrlich, sich kurz die Datei rüber kopieren, auf den eigenen Web-Server lokal einbinden, hat vielleicht kleine
57:41
Performance-Nachteile, wo man bei den meisten Webseiten sagen muss, das fällt echt nicht ins Gewicht und zum anderen erspart man sich einfach diesen ganzen formellen Datenschutz- zirkus, wenn ich es jetzt an der Stelle bewusst weil diese ganzen Fragen, die dann diskussionswürdig sind, wo es gute Argumente für verschiedene Meinungen gibt, die sind dann einfach mit einem
58:01
Schlag erledigt, weil es kommt vom selben Server, der die Webseite, der die Anwendung ausliefert und dann ist das Thema klar. Deswegen, ja, kann man da über die Details diskutieren, wie kritisch ist das, ist das zulässig, ist es nicht zulässig, was muss man machen, was muss man nicht machen, aber wenn man es einfach lokal mit einbindet, dann, also lokal
58:21
meine ich jetzt, über den Server, der die Anbindung ausliefert, dann ist man das Thema los, sollte einfacher sein in der Praxis. Gut, das war, auch wenn ich es richtig gesehen habe, die einzige Frage, die jetzt noch kam. Ja, dann bedanke ich mich für eure Aufmerksamkeit.
58:43
Ich hoffe, der Vortrag war hilfreich. Die Folien, wie gesagt, lade ich gleich noch hoch und das wird es dann hoffentlich auch als Aufzeichnung geben, muss ich mit dem Froskon-Team noch klären, ob das alles klappt. Dann, vielen Dank nochmal und einen schönen Abend in die Runde.