Datenschutzverstöße sollen weh tun
Die sog. Digitale Gesellschaft, die ich zu ihrer Gründung hier bereits kritisiert hatte, tritt soweit ersichtlich, erstmals mit inhaltlichen Forderungen zum Datenschutz an die Öffentlichkeit und meint, Datenschutzverstöße müssten weh tun. Von den vier Forderungen der Digitalen Gesellschaft habe ich mir zwei näher angeschaut.
Gefordert wird u.a. eine Beweislastumkehr für solche Fälle, in denen ein Unternehmen die Datensicherheit vernachlässigt hat. Man hat dabei ersichtlich den aktuellen Sony-Fall vor Augen. Die Forderung der Digitalen Gesellschaft lautet konkret:
„Wer ein Datenleck verursacht, muss beweisen, dass es nicht sein Leck war das zu Missbrauch geführt hat. (Risikoverschiebung)“
Wie das rechtlich umgesetzt werden soll, bleibt allerdings unklar. Man muss sich vor Augen führen, dass es hier vor allen Dingen um die Frage der Kausalität geht. Soll also eine Kausalitätsvermutung geregelt werden? Die Forderung erscheint mir inhaltlich nicht präzise durchdacht und formuliert zu sein.
Des weiteren wird gefordert, im Datenschutzrecht Sammelklagemöglichkeiten für Verbraucher einzuführen.
Das Institut der Sammelklage ist dem deutschen Recht bislang fremd. Seine Einführung müsste deshalb für alle möglichen Bereiche sorgfältig geprüft werden. Weshalb Sammelklagen allerdings gerade im Datenschutzrecht ein sonderlich effektives Instrument darstellen sollten, erschließt sich mir nicht. Insoweit wäre zunächst die Frage zu stellen, welche materiellen Ansprüche/Forderungen mit einer solchen Sammelklage verfolgt werden sollten bzw. typischerweise verfolgt werden könnten. Die Durchsetzung von Schadensersatzforderungen dürfte bereits deshalb schwierig sein, weil jeder einzelne Kläger nachweisen müsste, ob und in welcher Höhe ein Schaden tatsächlich eingetreten ist. In Fällen wie bei Sony wird es nur bei den wenigsten Betroffenen zu einem Schaden kommen.
Wenn Datenschutzverstöße stärker weh tun sollten, dann wäre es vor allen Dingen sinnvoll, den Bußgeldrahmen des § 43 Abs. 3 BDSG deutlich auszuweiten und anschließend in Fällen gravierender Verstöße großer Unternehmen auch zügig empfindliche Bußgelder zu verhängen.
Kann ich nur bestaetigen, fand ich auch sehr seltsam. Beim ersten kommt noch hinzu das gerade auch unter Security Experten teilweise das Motto gilt das es meistens immer irgendwo einen Fehler gibt den man ausnutzen kann, klar weiß man im Nachhinein wo der war und vielleicht auch haette vermieden werden koennen, aber ich denke das es einfach unredlich ist dann zu verlangen zu beweisen das es kein Leck gab.
Von Sammelklagen halte ich sowieso generell nichts, habe mich letztens erst damit beschaeftigt (allerdings mit dem Bezug auf Wettbewerbsrecht) und ich sehe nicht warum sie bei Datenschutzverstoessen sinnvoller sein sollen.
Comment by step21 — 4.05, 2011 @ 12:09
Ich kenne das Papier der Digitalen Gesellschaft nicht, aber:
Die Einführung einer Sammelklage für Datenschutzverstöße ist per se schon eine ganz interessante Idee, da man in der Regel sehr viele Personen hat, deren Rechte verletzt wurden, aber kein praktisches Interesse des Einzelnen, dagegen vorzugehen.
Der Nachweis eines Schadens ist in der Tat schwierig. Im Bereich der datenschutzwidrigen Werbung könnte man die Lizenzanalogie aus dem Urheberrecht übernehmen: Der Gesamtschaden entspricht dem, was der Verletzer für entsprechende Lizenzen hätte zahlen müssen (z.B. bei einem Adresshändler). Das kann bei einer größeren Datenmenge schon ein nennenswerter Betrag sein, der dann an die Personen geht, denen der Wert zusteht.
Comment by Nils — 4.05, 2011 @ 13:36
Man sollte Geister nicht rufen die man später nicht mehr los wird.
Dass es Datenschutz gibt, ist bewiesene Tatsache, aber dass diese Daten damit absolut sicher wären, ist reinste Illusion. Es ist geradezu eine Kausalität, dass Daten die vorhanden sind, irgendwann mal gefunden werden können. Der beste Schutz ist nur so lange gut, bis er geknackt wurde. Erinnert sich noch jemand an die alten Zeiten mit 16 bit und 32 bit Verschlüsselung? Das galt mal als sicher.
Folglich würde bei einer Erhöhung der Bußgelder und eine Beweislastumkehr ausnahmslos alle Online-Betriebe mit Datenhaltung in unkalkulierbare Situationen bringen.
Wer sichere und total abgeschottete Systeme täglich bedienen muss, kotzt regelmäßig ab bei dem Umstand der da betrieben werden muss.
Sichere Webseiten zum Beispiel sind eine Wissenschaft für sich (wirklich, es dreht sich um Wissenschaft) und am Ende unbedienbar (Usability Null) und unbezahlbar.
Folglich droht entweder die Pleite durch den Aufwand oder die Pleite durch das Strafmaß.
Wer es mir nicht glaubt, soll doch selbst mal ein Websystem absolut sicher machen.
Wehe den Geistern die ich rief…
Comment by Frank — 4.05, 2011 @ 15:54
Dass Sammelklagen von Mandanten und hier (scheinbar un- oder halbwissenden) Lobyisten gefordert werden, ist nicht neu. Aber auch Richter im Zivilrecht scheinen das als jetzt schon mögliches Mittel antzupreisen. Zumindest berichtet das Kollege Gerstel auf seiner Seite:
http://abmahnberatung.de/component/content/article/1395-die-hammer-rechtsprechungstendenz-zu-den-themen-gegenabmahnung-retourkutsche-mehrfachabmahnung-wissenszurechnung-rechtsanwalt-als-wissensvertreter-rechtsmissbrauch.html
(Stichwort: Anwalt organisiert Sammelklage für bunte Mischung an Mandanten statt rechtsmissbräuchlich für jeden Mandanten separat gegen den ursprünglichen Abmahner vor zu gehen)
Auch die Risikoverschiebung ist „nett“. Was wenn ein Nachbar behauptet, mein Telefonbuch sei weg, deswegen würden nun immer Unbekannte bei seiner Mutter(steht im Telefonbuch) anrufen. Ich müsste nun nachweisen, das es noch da ist? Das niemand sich dort was rausgeschrieben hat? Was wenn ich nieeieins hatte? Dann könnte ich nicht beweisen, dass es NICHT gestohlen wurde!!
Klingt politisch „nett“, juristisch aber völlig undurchdacht!
Comment by RA Peters — 4.05, 2011 @ 16:43
Die Digitale Gesellschaft entlarvt sich also als Dilettantenverein, der politisch motiviert fordert aber keinen Plan und keine Ahnung hat.
Wenn es keine absolut sicheren Daten gibt (man siehe Wikileaks), wie will man dann jemandem beweisen, dass er ein Datenleck hätte, das nicht jeder Datenspeicher auch in irgendeiner Form hätte?
Wenn also Datensicherheit immer nur relativ ist (nie wurde bewiesen, dass es absolut sichere Systeme gäbe), fragt man sich, wo man das Maß für einen fiktiven Status „Sicherheit“ ansetzen will, um ein Urteil zu fällen und ein Strafmaß anzusetzen?
Angenommen man hätte sich weltweit auf einen Standard geeinigt, ab dem ein Datensystem als sicher gilt und man hätte den Standard 2007 verabschiedet, wie viel wäre der Standard heute noch wert?
Von der Datensicherheit her nicht mehr viel, aber vor Gericht schon, weil man ja ein Papier mit Standards vorweisen kann.
Würde so ein Quatsch wie von der Digitalen Gesellschaft gefordert, durchgeboxt werden, könnte man das Internet auch abschalten, weil das Haftungsrisiko zu groß wird.
Nur mal angenommen ich bekomme Spam auf meine hier eingegebene Emailadresse, wie könnte Herr Stadler nachweisen, dass nicht von seinem System die Adresse bekannt wurde?
Ist die Emailadresse in der Datenbank verschlüsselt gespeichert? Wird die Datenübertragung hier mittels HTTPS vorgenommen?
Wer hat noch alles Zugriff auf dem Blog und den Server? usw.
Und angenommen jeder der Spam auf seine Emailadresse bekommt, würde sich an Herrn Stadler wenden, er solle seine Unschuld beweisen?
Ich glaube, eher würde er die Kommentarfunktion abschalten als diesen Unsinn mit zu machen.
Und Sony würde eher auf so ein System verzichten, als ein hohes Haftungsrisiko eingzugehen, oder sich viele gute Anwälte leisten.
Und wer fühlte sich berufen, den Quellcode bei Sony zu prüfen ob ein Verschulden vorlag?
Aber ändern an der Situation, dass Daten nie 100% sicher sind, würde es nichts.
Aber man hat halt wieder mal was getan oder gesagt…
Comment by Frank — 4.05, 2011 @ 20:29
Danke an @Frank – deine beiden Postings schildern hervorragend die Problematik der Forderungen und sind dabei sehr sachlich und voll mit nachvollziehbaren Beispielen. Meine spontane Abneigung diesen Forderungen gegenüber war zunächst eher „intuitiv“, deshalb bin ich sehr froh über deinen Argumentationsnachschub. Jedenfalls sollten wir sehr genau darauf gucken, wessen Interessen diese selbsterklärte Lobby tatsächlich vertritt. In diesem Fall sieht es so aus, als ob sie unter dem Vorwand des Verbraucherschutzes die Interessen des Verordnungs&Auflagen-Bürokrakratismus gegenüber kreativen Data Companies im Netz vertreten. Not my Lobby.
Comment by Stefan Münz — 4.05, 2011 @ 21:14
Als passender Link zum Thema Websicherheit (auch wenn es eine Buchvorstellung ist, aber der Autor plaudert dort etwas aus dem Nähkästchen):
http://websicherheit.wordpress.com/2011/01/31/mein-buch-web-sicherheit-ist-nun-offiziell-erschienen/
Besondes der Teil, wo über den Mythos Sicherheit geschrieben wird.
Comment by Frank — 4.05, 2011 @ 21:14
Danke Stefan für Deine Unterstützung.
Mir scheint es, je weniger einer Ahnung vom Thema hat, desto frecher fordert er.
Und tatsächlich könntest du recht haben, dass dieser „Verein“ noch andere Interessen verfolgt.
Comment by Frank — 4.05, 2011 @ 21:16
Ich bin ‚mal so frei und lege über diese Zeilen den üblichen, besonders bei Politikern scheinbar sehr beliebten, „Autovergleich“ darüber (den ich selbst in solchen Zusammenhängen übrigens regelmäßig unpassend finde Daß der hinkt, weiß ich also selbst)! Also:
„Daß es AIRBAGS/ ESP / ABS (etc.) gibt, ist bewiesene Tatsache, aber dass die Autos damit absolut sicher wären, ist reinste Illusion. Es ist geradezu eine Kausalität, dass Auto die auf der Straße fahren, irgendwann mal einen Unfall haben. Der beste Schutz ist nur so lange gut, bis etwas passiert ist. Erinnert sich noch jemand an die alten Zeiten mit den 3-Punkt-Gurten? Das galt mal als sicher.“
@all, @Frank (sorry, daß ich deinen Beitrag als Aufhänger quasi „mißbraucht“ habe):
Wie oben betont, weiß ich selbst, daß dieser Vergleich natürlich keiner ist. „Wir“, d.h. diejenigen, die z.B. hier in diesem blog Beiträge schreiben, sind i.d.R. ausreichend technik-affin um ziemlich viele Details rund um das Thema INTERconnected NETworks zu kennen. Meiner persönlichen Meinung nach verlieren wir uns aber auch hin- und wieder ganz gerne zu sehr in Details.
Die Entscheidungsträger, d.h. diejenigen die letzten Endes entsprechende Gesetze durch den Bundestag und Bundesrat bringen und diese dann letzten Endes den Präsidenten unterschreiben lassen, sind von Natur aus relativ unbedarft bei derartigen Detailfragen, denn meistens hapert es bei denen bereits bei den „Basics“.
Deshalb kommen ja auch immer wieder die wildesten Vergleiche (besonders der „Auto-Vergleich“ kommt auffallend oft, wie ich finde). Aktuell wird auch der Fall „SONY“ in einem Atemzug mit dem Fall „APPLE“ genannt, obwohl „wir“ wissen, daß die Hintergründe anders gelagert sind (die besagten Details).
„Wir“ wissen auch alle, die halbwegs fit im Umgang mit dem Rechner sind, daß der Legislative in Berlin ein großer Sack voll mit Lobbyisten auf’m Schoß sitzt, die (ganz nüchtern und neutral betrachtet) völlig legitim ihre Interessen vortragen.
Und was machen „wir“? Wir verlieren uns sehr oft in den Details und geben unsere Interessen im Grunde kampflos auf bzw. formulieren „unsere“ Interessen erst gar nicht. Und DAS kann ich für meinen Teil nicht wirklich nachvollziehen.
Ohne die Forderungen dieser „Digitalen Gesellschaft“ im Detail gelesen zu haben und auch ohne zugegebenermaßen überhaupt zu wissen wer das überhaupt ist (muss mir echt durchgegangen sein), sondern nur basierend auf dem Eintrag hier von Thomas Stadler, habe ich für meinen Teil das trotzdem einmal gedanklich aufgegriffen. Warum denn nicht? Quasi als „brainstorming“.
Ich weiß auch daß es keinen sicheren server gibt, genau wie es auch beispielsweise keinen sicheren Tresor bzw. unfallsicheres Auto gibt – um das ‚mal auch für Politiker verständlich zu formulieren. Auch war ich persönlich anfangs zuerst geneigt zu argumentieren, daß beispielsweise SONY ja im Grunde gar nix dafür kann gehacked worden zu sein… bis ich mich selbst gefragt hatte, was „nichts für etwas können“ in dem Fall überhaupt konkret heißt.
Das Thema ist insgesamt betrachtet möglicherweise doch etwas komplexer. WIE wurden die denn eigentlich GENAU gehacked? WO stand denn der bzw. WO stehen die server? WER hatte denn bzw. hätte denn beispielsweise intern Zugriff darauf haben können? War die Bereitstellung und Wartung des servers in Eigenregie oder handelt es sich vielleicht sogar um die Dienstleistung eines Subs? Vgl.Datenskandale bei der Telekom, als die call-center-agents diverser Sub-Unternehmen scheinbar „ganz gerne“ USB-sticks mit Kundendaten vollgepackt hatten. Lagen bei SONY eigentlich alle Daten z.B. „schön“ zentral vor oder wurden Daten dezentral vorgehalten? Wie wurden die Daten verschlüsselt (besonders die Kreditkarteninformationen)? Und so weiter…
Kurzum: Auch wenn es sich vordergründig um einen Hacker-Angriff gehandelt hatte, so sind Fragen nach dem Data-Management-System des Unternehmens m.E. erst ‚mal absolut berechtigt. Darauf zielt unter Umständen und im Allgemeinen auch dieses Zertifizierungsverfahren, welches ich persönlich erst ‚mal auch absolut begrüße (für die Politiker: Ein Auto ohne TÜV baut möglicherweise schneller einen Unfall). Unter Umständen könn(t)en sich so die Unternehmen dann auch gegen einen evtl. Datenverlust versichern lassen, d.h. wenn der Kunde Schadensersatzansprüche stellt. Ähnlich, wie die Bank i.d.R. den Kunden entschädigt wenn der Geldautomat manipuliert wurde.
Es kann und darf m.M.n. auch zum Beispiel nicht sein, daß bei Abschluß eines Vertrages mit dem ISP im Kleingedruckten steht, daß meine Daten in der Weltgeschichte rumverteilt werden. D.h. an diese Auskunfteien, die dann erst „richtig“ damit handeln können. Eigentlich müsste das Gegenteil gelten: Der ISP müsste MIR unterschreiben, daß er die Daten NICHT weitergibt oder mich explizit fragen… Daten werden nämlich immer mehr zu einem wertvollen (Werbe- und Marketing-)Gut! Auch müsste man m.E. darüber informiert werden, welche Subunternehmen da denn da eigentlich mit rumhantieren. So gibt es jetzt schon regelrechte Daten-Pools von mehreren ISPs bei einer Firma, wie z.B. der Arvato AG (Tochter von Bertelsmann, Quellen kann ich bei Interesse selbstverständlich nennen). Vielleicht ergibt das auch einen gewissen volkswirtschaftlichen Nutzen, wenn die „großen“ Firmen weniger outsourcen und eigene Leute beschäftigen müsste (!?) Bei solchen Seelenverkäufern mit Lohndumping als Sub, juckt es unter Umständen schon eher ‚mal jemandenn zuzugreifen, oder!?
So! *TimeOut*! Ich könnte nämlich noch’n paar Stündchen weiter philosophieren, aber das will ich euch natürlich nicht antun! ;-) Sorry!
Von daher abschließend:
Technisch ist das alles richtig und gut und schön, was man allgemein (auch hier) so lesen kann. Eine absolute Datensicherheit ist nicht (nie) zu gewährleisten, ein gewisses „Füttern“ mit Daten muss zudem bei der Nutzung diverser Dienste auch möglich sein…und so weiter.
Deswegen aber direkt resignieren und nicht darüber nachdenken, wie man das Pferd denn am besten satteln könnte, finde ich persönlich schwach und auch ein Stück weit traurig. Und das gerade jetzt, wo wir doch dem Kind das Laufen beibringen sollen…
Aus dem Grund bin ich persönlich z.B. beim Thema Datenschutz auch noch eher etwas strenger (auch wenn mir die technischen Abläufe durchaus bewusst sind). Es spricht allgemein auch nichts gegen Transparenz und es spricht auch nichts dagegen den Datenschutz an gewisse Bedingungen zu knüpfen (Stichwort: „Zweckbindung“!). Auch spricht für die Diensteanbieter m.E. nichts dagegen, das Thema Datenschutz als Marketing-Instrument zu entdecken.
Für die Politiker: Die Autoindustrie verkauft doch heute auch ihre Autos unter anderem mit dem Thema Sicherheit. Vor 20 Jahren hat sich doch diesbzgl. auch keine bzw. kaum eine Sau für ABS, ESP, EuroNCAP-Wertung etc. interessiert, oder!?
Last but not least: Solange Politiker auf der einen Seite Privatunternehmen für deren Datensammelwut rügen und auf der anderen Seite an den „digitalen STASI-Akten“ (VDS) und der „digitalen Mauer“ (Netzsperren) festhalten, darf man m.E. auch ruhig noch etwas strenger bleiben… ;-)
Ich persönlich finde, daß ein Investieren in den DatenSCHUTZ für ALLE (Kunde UND ISP UND Regierung) wesentlich sinnvoller sein könnte, als ein Investieren in unnötige/schwachsinnige VDS- respektive Zensursula-Infrastrukturen.
Hier könnte es sich zudem evtl. lohnen, know-how-Träger (international) zu werden. M.E. technisch wertvoller, als beispielsweise zu meinen Windräder wären Ausdruck von besonders technischem know-how – Windräder konnten allerdings schon die alten Ägypter bauen…
Was in der Praxis tatsächlich dann letzten Endes abläuft ist die eine Sache. D.h. ich bin auch nicht so naiv zu glauben, daß z.B. nur weil ’ne Firma zertifiziert ist, es keine Datenskandale mehr geben wird. Das wäre natürlich töricht.
Allerdings dürfen „Datenskandale“ m.M.n. nicht auch noch indirekt mit dem Argument „is‘ halt nun ‚mal so“ legitimiert werden und außerdem brauchen wir als Kunde/Verbraucher auch ‚was in der Hand…
Ich persönlich finde, daß es sich zumindest lohnen würde auch ruhig ‚mal etwas intensiver nachzudenken und bei Detail-Themen auch das Gesamtbild stets im Hinterkopf zu haben.
In diesem Sinne, Baxter
____________________________
Dieser Beitrag ist nichts weiter als die persönliche Meinung des Verfassers und erhebt
demnach auch keinerlei Anspruch auf Richtigkeit! Die Gedankengänge sind lediglich angerissen und natürlich nicht zu Ende gedacht. Dafür (für einen blog-Eintrag) ist das Thema insgesamt einfach zu komplex!
Comment by Baxter — 5.05, 2011 @ 18:44
Das erscheint so leider wirklich nicht sehr gut vorbereitet. Statt der Sammelklage ist aber doch offenbar das Verbandsklagerecht gemeint, was tatsächlich eine leicht umzusetzende und durchaus sinnvolle Gesetzesänderung wäre.
Comment by Markus Hansen — 5.05, 2011 @ 21:19
@Baxter
Ich kann deine persönliche Meinung durchaus nachvollziehen, ich bin ebenfalls ein Freund des Datenschutzes, aber ich weiß auch um die Realität: Nicht alles was denkbar und machbar wäre, ist finanzierbar und in absehbarer Zeit realisierbar.
Dass bei Sony eingebrochen wurde, heißt nicht, dass sie keinen Datenschutz betrieben haben. Es zeigt lediglich, der Einbrecher war besser als der Datenschutz von Sony. Wie hoch der Schutz von Sony war, muss erst noch herausgefunden werden. Vielleicht gab es ja wirklich ein extrem leichtsinniges Verhalten, aber vielleicht gab es einfach nur einen genialen Hacker, der mehr konnte und wusste als die Sicherheitsexperten von Sony.
Um mal beim Auto zu bleiben: Hätte man in den 70’er Jahren verlangt, dass ein Jahr später alle Autos so sicher und getestet sein müssten wie die Autos heute, bevor sie eines verkaufen könnten, dann hätte es für sehr lange Zeit gar kein Auto mehr zu kaufen gegeben.
Die Maximalforderung, dass es keine Datenpannen mehr geben dürfe, ist hirnrissig, denn die wird es immer wieder geben und es muss für das Unternehmen eine Chance bestehen, trotz Datenpannen eine Existenzberechtigung zu haben.
Andernfalls wäre es konsequent, Angebote wie die von Sony, erst gar nicht zu ermöglichen.
Das heißt, sehr sehr viele Angebote im Netz würden weg fallen, weil das Haftungsrisiko zu groß wäre.
Man braucht keine Zensur um das Netz klein zu bekommen, man braucht lediglich das Betreiberrisiko so hoch zu schrauben, dass es existenzgefährdend ist, eine Community-Datenbank zu betreiben.
Auf das Auto und den TÜV bezogen hieße es, die Anforderungen und die Prüfkosten würden so hoch gesetzt, dass es für Normalbürger schlicht zu teuer ist, ein Auto zu halten.
Woran sich der Vergleich mit den Auto aber immer beißt: Ein Auto wird mit Standards gebaut, es gibt genaue Prüfvorschriften und Regeln, die ein Auto einhalten muss um als Verkehrssicher zu gelten. So muss ein Licht mit bestimmten Eigenschaften angebracht sein, es müssen Bremsen vorhanden sein, die eine bestimmte Bremswirkung erzielen, usw.
Das sind Standards, an die sich ein Autobauer halten kann.
Wo gibt es diese Standards im Internet?
Es gibt durchaus eingebürgerte Standards, wie relativ sicher programmiert werden sollte. Aber bleiben wir beim echten Leben, es sind Standards und nicht High-End. Jeder gute Hacker überwindet diese Standards.
Und dann müssen wir uns wirklich fragen: Wollen wir nur einen Schuldigen haben wenn was passiert? Und weil der Hacker nicht auffindbar ist, werfen wir das primäre Opfer auf den Scheiterhaufen?
Wollen wir Standards einführen und akzeptieren, dass Datenlecks oberhalb dieser Standards nicht mehr geahndet werden?
Oder wollen wir einfach nur polemisieren und kostenexplosive Maximalsicherheit (High-End der Datensicherheit) fordern und bei Versagen „Kopf ab“ rufen?
Wir leben in einer schädlichen Vollkasko Mentalität und die kranken Auswüchse sind solche, dass auf total trockenem Boden in Geschäften ein „Achtung Rutschgefahr“ Schild steht und auf Klopapiertüten ein Hinweis, dass „Plastiktüten kein Spielzeug wären und Erstickungsgefahr drohe“, usw.
Ein Kleinkind kann nicht lesen, es würde trotzdem ersticken. Es dient also nur der juristischen Absicherung.
Was man als Kunde von Sony tun kann und was wirklich weh tut, wenn man mit den Füßen abstimmt und einfach den Account kündigt. Dann ist von Heute auf Morgen Schluss mit den Einnahmen aus dem Online-Geschäft.
Und davor haben wirklich alle Online-Betreiber Angst, dass sich die Community abwendet.
Und diese Angst ist das beste Argument für guten Datenschutz bei solchen Diensten.
Anders ist das bei Banken wo man quasi angewiesen ist auf ein Konto und heutzutage auch auf Online-Banking. Man kann nicht einfach mit den Füßen abstimmen, es hängt zu viel für einen selbst dran.
Da man völlige Datensicherheit niemals herstellen kann, ist es eine logische Folge, dass es immer wieder Datenskandale geben wird und dann es es ebenso logisch, dass man sich damit abfinden muss, dass „es halt nunmal so ist“, denn sonst wäre man realitätsfremd.
Kausalitäten führen manchmal zu Schlüssen, die einem unangenehm sind.
Wer das umgehen will, gibt seine Daten nicht überall preis, denn es ist ebenso Kausalität, dass wenig verteilte Daten weniger Chance zum „Datenverlust“ haben.
Was in der breiten Masse helfen würde, wären offene und verständliche Standards für Datensicherheit, die jedem Entwickler in jeder Programmiersprache leicht zugänglich wären.
Die gibt es schon, werden viele denken, und das stimmt, aber ich meine, es gibt sie nicht so offen und transparent wie das ABC des Programmierens.
Es fehlt an der Schulung dafür, selbst ein Uni-Bachelor in Informatik hat scheints keine Ahnung von richtigem Programmierhandwerk. Ich weiß nicht was die dort heutzutage lernen, aber praxistauglich ist es nicht. Das Thema Datenschutz und Sicherheit musste ich mir auch selbst aneignen.
So klar wie POST und GET erklärt wird, sollte z.B. auch gleichzeitig die Sicherheitsproblematik dazu erklärt werden.
Sollte… denn hier wirds schon fraglich, welchen Aufwand man betreibt. Soll man die Formulardaten schon vor absenden auf dem Client verschlüsseln oder reicht es erst auf dem Server? Wer gibt einem die Antwort, welcher Aufwand für welchen Fall gerechtfertigt ist?
Sind wieder Maximalforderer hier, die sagen, jeglicher Aufwand muss betrieben werden?
Sollte HTTPS zum Standard werden?
Warum kosten Authentifizierungszertifikate Geld?
usw.
Wir drehen uns eigentlich im Kreis, weil es beim Thema Datenschutz und Sicherheit ein Ende der Fahnenstange gibt.
Ich hatte mal den Spaß mit einem Hacker, online und live. Je mehr wir uns mühten, ihn rauszuhalten, desto mehr gab er sich Mühe, wieder rein zu kommen. Es ist ein Katz und Maus Spiel, das wir nicht gewinnen konnten ohne massivste Kollateralschäden in Kauf zu nehmen.
Ein in dieser Hinsicht noch erfahrenerer Kollege hatte mir den Rat gegeben, lass den Hacker machen, wenn der Schaden verschmerzlich ist, denn den Krieg kannst du nicht gewinnen.
Recht hatte er, denn es wäre zur Materialschlacht wie im ersten Weltkrieg gekommen, denn der Hacker hatte Ressourcen die wir nicht hatten und auf der Strecke bleibt der, dem die Munition ausgeht.
Das ist der Wahrheit.
Auch wenn es manch verträumter Datenschützer nicht wahrhaben will, Hacker sind keine DAUs und wenn man sie herausfordert, wachsen sie über sich hinaus.
Ich vermute, Sony hatte einfach bestimmte Hacker herausgefordert, erinnern wir uns an die Anklage eines Hackers der PS3 in den USA. Es war vermutlich eine Herausforderung, Sony zu blamieren und unter Druck zu setzen.
Es gibt Spielregeln im Netz, die eben nicht rechtsstaatlich sind, aber trotz der Maximalforderer existieren.
Angenommen es wäre so eine Retourkutsche, würde man den Hackern einen Dienst erweisen, würde man Sony auch noch dafür bestrafen :-)
Comment by Frank — 6.05, 2011 @ 09:59
ups, ein „k“ vergessen.
Es gibt natürlich kein Ende der Fahnenstange.
(sollte ich den Hersteller meiner Tastatur auf Schadenersatz verklagen?)
Comment by Frank — 6.05, 2011 @ 10:05
Langsam. Das kommt darauf an, welche Absicht die Hacker mit den Aktionen verfolgen.
Wenn die Medien nämlich mit den Begriffen um sich schmeißen, dann wissen die wenigstens von denen scheinbar, daß in der Szene durchaus differenziert wird.
Ich kann mich z.B. noch gut daran erinnern, als wir damals noch aus Spaß an der Freud C64-Spiele gecracked hatten und uns ernsthaft überlegt hatten, wie man sich denn dann am besten, d.h. szenemäßig bezeichnet!.
D.h., daß die Motivation verschiedene Ursachen haben kann: Hinweis auf die offensichtlich gravierenden Sicherheitslücken, Protest (!), Profit, „Auftrags-Hack“ (Konkurrenzunternehmen), Herausforderung („geistiger Sport“) oder aber auch, wie es Frank ja beschreibt, „persönliche Gründe“ einzelner.
Das werden wir aber in Kürze ja erfahren. ;-)
Mit dem eigentlichen Thema hier (Datenschutz im Allgemeinen) hat das aber nur am Rande zu tun. Es liegt ganz offensichtlich auf der Hand, daß SONY sehr geschlampt hat und fast schon stümperhaft mit den Daten umgegangen ist.
Und @Frank, diesbzgl. bleibe ich auch dabei, daß das NICHT AKZEPTABEL ist!
Firmen, wie SONY wollen am liebsten nur noch schnelles Geld machen und dafür nichts tun. So funktioniert das aber nicht. Geld für deren schwachsinnigen „anti-piracy“-Apparat haben die doch auch scheinbar zu Hauf, aber die Daten der eigenen Kunden sind denen scheinbar scheißegal. Sorry, aber dein „Kosten-Argument“ ist nicht wirklich überzeugend. Außerdem nennt man das „Wettbewerb“ und wenn der ein- oder andere über die Wupper geht, dann ist eben so! Das ist in allen Branchen so.
Auch deine Meinung, daß es ein Ende der Fahenstange gibt erachte ich persönlich als viel zu einfach gedacht. Mag sein, aber wo siehst du das Ende? Ist das deiner Meinung nach bereits erreicht? Dann können wir ja jetzt gehen und Feierabend machen, oder wie!? Sorry, aber da spielt allein meine Berufsehre nicht mit, denn ich wäre kein guter Ingenieur wenn ich nicht von technischen Weiterentwicklungsmöglichkeiten überzeugt wäre.
Meiner Meinung nach versteifst du dich zudem zu sehr auf ein schwarz- und/oder weiß- Denken („Maximalforderer“). Dem ist aber nicht immer so. Das Thema muss man einfach ‚mal vernünftig und vor allen Dingen differenziert durchüberlegen.
Die „Maximalforderer“ sitzen aktuell nämlich in den Regierungen und fordern maximale Datensammlungen (VDS & Co.). DAS darf man m.E. auch ruhig im Hinterkopf behalten.
Kurzum: Wir leben derzeit in einer äußerst sonderbaren Zeit!
In diesem Sinne, Baxter
Comment by Baxter — 6.05, 2011 @ 17:01
@Baxter
Ich sehe es eben nicht schwarz oder weiß, sondern denke daran, wenn man bei Sony hart durchgreifen würde und null Toleranz zeigen dürfe, würde man das beim kleinen Webshop an der Ecke ebenso tun müssen?
Ich sehe nicht nur Sony, sondern auch die vielen anderen Leute die ebenso Daten sammeln (müssen). Ich habe auch Daten meiner Kunden, zwar nicht im Internet, aber dennoch habe ich sie.
Würde man von Sony maximalsten Datenschutz verlangen, müsste man das dann nicht auch bei den Kleinen tun?
Sony kann sich eine ganze Security-Abteilung leisten, viele Webseitenbetreiber noch nicht einmal einen Entwickler.
Aber mit welchem Recht würde man Sony zur Rechenschaft ziehen und die Kleinen laufen lassen? Gibt es diese Ausnahmen?
Wenn ja, warum?
Comment by Frank — 10.05, 2011 @ 21:01