Unberechtigte Zugriffe auf personenbezogene Daten durch Mitarbeitende in Behörden, Praxen/Krankenhäusern, Versicherungen/Banken und Digitalisierungsdienstleistern sind ein Riesenproblem.
https://netzpolitik.org/2023/tausende-landesangestellte-mit-berechtigung-zugriffe-auf-meldedaten-werden-kaum-kontrolliert/
https://www.rbb24.de/panorama/beitrag/2023/05/berlin-datenschutz-polizisten-unberechtigte-abfragen.html
[1/2]
=> More informations about this toot | More toots from ulrichkelber@bonn.social
Dem muss endlich (verpflichtend) durch eine Reihe von Maßnahmen begegnet werden, u.a.:
[2/2]
=> More informations about this toot | More toots from ulrichkelber@bonn.social
@ulrichkelber
Ich hatte mit 14 als Praktikant in einer Stadtbücherei Zugriff aufs Melderegister.
Und irgendwie habe ich ich wenig Hoffnung, dass diese Systeme mittlerweile nicht mehr verknüpft sind…..
=> More informations about this toot | More toots from Saupreiss@pfalz.social
@ulrichkelber ist das nicht gesetzlich geregelt ? Wenn nein, wundert es mich doch sehr
=> More informations about this toot | More toots from gse@norden.social
@gse @ulrichkelber Selbst wenn - nur weil etwas gesetzlich geregelt ist bedeutet das nicht, dass es auch umgesetzt wird. Es bedarf daher mE zusätzlich zu einer Regelung mindestens Förderung des Verständnisses bei den Verantwortlichen WARUM etwas WICHTIG ist und, wie Herr Kelber schon vorgeschlagen hat, (Stichproben-)Kontrollen und, ich ergänze, empfindliche Sanktionen bei Verstößen. Mir werden insb Behörden immer noch zu kuschelig behandelt.
=> More informations about this toot | More toots from privacybydefault@chaos.social
@privacybydefault ja und für kontrollen wird es nicht genug leute geben
@ulrichkelber
=> More informations about this toot | More toots from gse@norden.social
@gse @privacybydefault Diese Stichprobenkontrollen wären, bei gut aufgesetzten Systemen, in vielen Fällen nicht sehr aufwändig. Bei größeren Institutionen Aufgabe der Datenschutzbeauftragten
=> More informations about this toot | More toots from ulrichkelber@bonn.social
@ulrichkelber
@gse @privacybydefault
Die Kontrolle unterliegt genau dem Dilemma wie interne Ermittler bei Polizei, Staatsanwaltschaft und Gericht.
Wer überwacht die Wächter?
Dazu bedürfte es zwei unabhängigen gleichwertigen Einrichtungen, die sich gegenseitig beaufsichtigen würden, aus diesem Patt aber auch keine Kungelei entstehen darf.
=> More informations about this toot | More toots from pascal_f@infosec.exchange
@gse @pascal_f @privacybydefault Ich kenne das aus eigener Erkenntnis von der Bundespolizei: Da prüft später die BfDI, ob ausreichend Stichproben gezogen wurden. Und zwar Ex-Post und Ex-Ante zu einer Datenabfrage.
=> More informations about this toot | More toots from ulrichkelber@bonn.social
@ulrichkelber
@gse @privacybydefault
Ich habe immer eine Technik- und Datengeneriererbrille auf.
In einem anderen Faden hat dazu ein Behördenmitarbeiter geschrieben, dass das System den Zugriff gar nicht erfasst.
Stichproben werden da nichts aufdecken.
Meine Kritik an den Systemen setzt immer da an, dass diese systemischen Fehler im Operativen liegen, aus der Gruppe aber bei Kontrollgremien per Hierarchie ausgeschlossen ist. Das sind aber zuweilen technische und methodische Probleme, die auf der Metaebene im prozessualen nicht auffallen, weil die Grundannahme ist, dass die Daten valide sind.
Und jedes Mal, wenn ich das an eine Landesdatenschutzbehörde kommuniziere, ist die Antwort, dass man das Problem auf der Tiefenebene nicht untersuchen wird. Bequemer ist dann einen Pauschalbescheid zu schreiben, dass nichts vorliegt, zu geringfügig, Triage, zu viele Anfragen, gnädig gegenüber dem Datenschutzverletzer.
Wenn man dort als Geschädigter nicht schnell Widerspruch einlegt, ist der Fall erledigt.
Bayern und Hessen sind Spitzenreiter beim Blocken, insbesondere, wenn es um die deutsche Bahn geht.
Noyb führt da mittlerweile Statistiken zu eigenen Fällen.
Dazu gehören Datenbankeinträge, Serverseitige Prozesse, Server- und Datenbankprotokolle, Backups, Dark Pattern, Pixeltracker, fehlende Checkboxen usw. (Schon die Aufzählung lasst die meisten Leute abschalten).
Die Vorbedingung, die Protokollierung des Systems zu überprüfen wird schon, oft aus Personalmangel, nicht erfüllt.
Im Agilen Bereich, mit Änderungen alle 14 Tage, ist das ein sehr hoher externer Aufwand. In der Praxis ist ein interner DSB befangen und weniger scharf.
Deshalb bin ich da eher desillusioniert, wenn auch Leute beginnen, mit Vorsatz Daten extrahieren, die sich damit beruflich auskennen.
=> More informations about this toot | More toots from pascal_f@infosec.exchange
@pascal_f @gse @privacybydefault Verstehe ich, aber: Aufgeben ist keine Option
=> More informations about this toot | More toots from ulrichkelber@bonn.social
@ulrichkelber Dass das - bis auf Punkt 4 aus Gründen - geht, weiss ich von Kolleg:innen der FV NRW. Dort werden Zugriffe auf Steuerfälle außerhalb der Zuständigkeit auch innerhalb eines FA protokolliert und vom DSB dann hinterfragt. Es hiess: "ich schreib mir immer mit Datum und Uhrzeit auf, warum ich aus welchem Grund nach den Daten gesucht habe." Zugriff auf die Steuerdaten selbst hatte man auch nur bei IT-gesteuerter Berechtigungszuweisung durch die GSt./IT im Rahmen der durch GVPl. festgelegten Zuständigkeit.
Ich warte indes darauf, dass das beim LBV NRW auch bald mal passiert, im Übrigen auf die seit Monaten ausständige Antwort des LBV, weshalb da bald die LDI NRW Post bekommt.
=> More informations about this toot | More toots from Martin@bahn.social
@ulrichkelber Wobei jetzt die Einsicht speziell im med Bereich nicht ganz so weit ist.
Ich hab' mir mal auf die Frage, ob ich für den Befundtransfer zusgestimmt hatte, den Kommentar "Wollen sie jetzt behandelt werden, oder rumzicken?" eingefangen ...
=> More informations about this toot | More toots from lobingera@chaos.social
@ulrichkelber besonders Punkt 2 habe ich in meiner Karriere in verschiedenen Institutionen, gerade im medizinischen Bereich, schon oft erleben dürfen. Domänenaccounts, die nach Standort benannt sind, gemeinsam genutzte Accounts in Branchensoftware und vertuschter Missbrauch von Datenprivilegien sind hier gang und gäbe.
Häufig liegt es an der unzureichenden Beratung bzw. Priorisierung durch externe Dienstleister, ein zentraler Loggingserver sollte in jedem mindestens mittelgroßen Unternehmen Standard sein.
Identität ist der neue Perimeter, nicht nur im Sicherheits- sondern auch im Datenschutzbereich.
=> More informations about this toot | More toots from packetfilter@infosec.exchange
@ulrichkelber ich weiß nicht wie es aktuell implementiert ist, aber jede Behörde mit Personendaten sollte ein kleines Team mit verantwortlichen Informatikern haben, die sich um sowas kümmern und das mal gescheit machen. Wenn es schlechte, von oben diktierte Rahmenbedingungen gibt sollten diese auch die Möglichkeit haben diese zu verbessern.
=> More informations about this toot | More toots from silenos@social.tchncs.de
@ulrichkelber Mich hat es vor Jahren (10+?) gewundert und erschrocken, dass solche Abfragen selbst polizeiintern nicht personenscharf protokolliert werden. Für mich als Programmierer und Bürger unvorstellbar.
Allerdings ist der Kundenkreis solcher Softwarebuden auch sehr übersichtlich. Das ist ein Problem, der Konkurrenzdruck fehlt.
=> More informations about this toot | More toots from gg@tuffidon.de
@gg Weil ja sonst immer gerne auf Estland und Finland und Israel als Beispiel für mehr Möglichkeiten der Digitalisierung als bei den bösen deutschen Datenschützer:innen verwiesen wird ... dort gibt es die personenscharfe Protokollierung natürlich
=> More informations about this toot | More toots from ulrichkelber@bonn.social
@ulrichkelber Es gibt tatsächlich schon seit Jahren (Jahrzehnten) etablierte Kontrollmechanismen in der Finanzverwaltung, wo man nach Personen A.K.A. Steuerbürgern suchen kann. Es wird alles protokolliert und kontrolliert.
Die gleichem Maßstäbe wie die im Steuerrecht sollten „eigentlich“ auch andere Behörden auf Datenzugriffe anlegen.
=> More informations about this toot | More toots from usi@ruhr.social
@ulrichkelber
Sowas ist doch auch eine strafbare Handlung, da jene Personen nicht berechtigt sind im Sinne der DSGVO!?🤔
Oder irre ich in dem Zusammenhang?🙄
=> More informations about this toot | More toots from kranzkrone@quasselkopf.de
@kranzkrone Oft in der Tat strafbar. Aber wenn man nur ein Ergebnis hat, dass eine Person aus einer Gruppe von x das gemacht hat …
=> More informations about this toot | More toots from ulrichkelber@bonn.social
@ulrichkelber
Also wenn bekannt wäre das Wer sowas gemacht hat oder Wo das passiert, dann müsste das lediglich bewiesen und zur Anzeige gebracht werden?🤔
=> More informations about this toot | More toots from kranzkrone@quasselkopf.de This content has been proxied by September (ba2dc).Proxy Information
text/gemini