Ancestors

Written by Ulrich Kelber on 2025-01-13 at 10:02

Unberechtigte Zugriffe auf personenbezogene Daten durch Mitarbeitende in Behörden, Praxen/Krankenhäusern, Versicherungen/Banken und Digitalisierungsdienstleistern sind ein Riesenproblem.

https://netzpolitik.org/2023/tausende-landesangestellte-mit-berechtigung-zugriffe-auf-meldedaten-werden-kaum-kontrolliert/

https://www.rbb24.de/panorama/beitrag/2023/05/berlin-datenschutz-polizisten-unberechtigte-abfragen.html

[1/2]

=> More informations about this toot | More toots from ulrichkelber@bonn.social

Written by Ulrich Kelber on 2025-01-13 at 10:02

Dem muss endlich (verpflichtend) durch eine Reihe von Maßnahmen begegnet werden, u.a.:

1. Zugriff für Mitarbeiter:innen einer Institution nur, wenn unbedingt notwendig

2. Interne Protokollierung, welche Person auf was zugreift, Schluss mit offenen PCs mit Zugriffen mehrerer Personen unter gleicher Kennung

3. Ex-Post- und Ex-Ante-Stichproben, warum jemand auf ein bestimmtes Datum zugegriffen hat

4. Wo möglich Transparenz für die Daten"inhaber“

[2/2]

=> More informations about this toot | More toots from ulrichkelber@bonn.social

Written by 6erriet mit ie 😁🐧🍓 #FuckAfD on 2025-01-13 at 10:11

@ulrichkelber ist das nicht gesetzlich geregelt ? Wenn nein, wundert es mich doch sehr

=> More informations about this toot | More toots from gse@norden.social

Written by privacybydefault on 2025-01-13 at 10:33

@gse @ulrichkelber Selbst wenn - nur weil etwas gesetzlich geregelt ist bedeutet das nicht, dass es auch umgesetzt wird. Es bedarf daher mE zusätzlich zu einer Regelung mindestens Förderung des Verständnisses bei den Verantwortlichen WARUM etwas WICHTIG ist und, wie Herr Kelber schon vorgeschlagen hat, (Stichproben-)Kontrollen und, ich ergänze, empfindliche Sanktionen bei Verstößen. Mir werden insb Behörden immer noch zu kuschelig behandelt.

=> More informations about this toot | More toots from privacybydefault@chaos.social

Written by 6erriet mit ie 😁🐧🍓 #FuckAfD on 2025-01-13 at 10:57

@privacybydefault ja und für kontrollen wird es nicht genug leute geben

@ulrichkelber

=> More informations about this toot | More toots from gse@norden.social

Written by Ulrich Kelber on 2025-01-13 at 12:28

@gse @privacybydefault Diese Stichprobenkontrollen wären, bei gut aufgesetzten Systemen, in vielen Fällen nicht sehr aufwändig. Bei größeren Institutionen Aufgabe der Datenschutzbeauftragten

=> More informations about this toot | More toots from ulrichkelber@bonn.social

Written by Pascal_F 🇪🇺 on 2025-01-13 at 13:46

@ulrichkelber

@gse @privacybydefault

Die Kontrolle unterliegt genau dem Dilemma wie interne Ermittler bei Polizei, Staatsanwaltschaft und Gericht.

Wer überwacht die Wächter?

Dazu bedürfte es zwei unabhängigen gleichwertigen Einrichtungen, die sich gegenseitig beaufsichtigen würden, aus diesem Patt aber auch keine Kungelei entstehen darf.

=> More informations about this toot | More toots from pascal_f@infosec.exchange

Written by Ulrich Kelber on 2025-01-13 at 21:12

@gse @pascal_f @privacybydefault Ich kenne das aus eigener Erkenntnis von der Bundespolizei: Da prüft später die BfDI, ob ausreichend Stichproben gezogen wurden. Und zwar Ex-Post und Ex-Ante zu einer Datenabfrage.

=> More informations about this toot | More toots from ulrichkelber@bonn.social

Written by Pascal_F 🇪🇺 on 2025-01-14 at 09:24

@ulrichkelber

@gse @privacybydefault

Ich habe immer eine Technik- und Datengeneriererbrille auf.

In einem anderen Faden hat dazu ein Behördenmitarbeiter geschrieben, dass das System den Zugriff gar nicht erfasst.

Stichproben werden da nichts aufdecken.

Meine Kritik an den Systemen setzt immer da an, dass diese systemischen Fehler im Operativen liegen, aus der Gruppe aber bei Kontrollgremien per Hierarchie ausgeschlossen ist. Das sind aber zuweilen technische und methodische Probleme, die auf der Metaebene im prozessualen nicht auffallen, weil die Grundannahme ist, dass die Daten valide sind.

Und jedes Mal, wenn ich das an eine Landesdatenschutzbehörde kommuniziere, ist die Antwort, dass man das Problem auf der Tiefenebene nicht untersuchen wird. Bequemer ist dann einen Pauschalbescheid zu schreiben, dass nichts vorliegt, zu geringfügig, Triage, zu viele Anfragen, gnädig gegenüber dem Datenschutzverletzer.

Wenn man dort als Geschädigter nicht schnell Widerspruch einlegt, ist der Fall erledigt.

Bayern und Hessen sind Spitzenreiter beim Blocken, insbesondere, wenn es um die deutsche Bahn geht.

Noyb führt da mittlerweile Statistiken zu eigenen Fällen.

Dazu gehören Datenbankeinträge, Serverseitige Prozesse, Server- und Datenbankprotokolle, Backups, Dark Pattern, Pixeltracker, fehlende Checkboxen usw. (Schon die Aufzählung lasst die meisten Leute abschalten).

Die Vorbedingung, die Protokollierung des Systems zu überprüfen wird schon, oft aus Personalmangel, nicht erfüllt.

Im Agilen Bereich, mit Änderungen alle 14 Tage, ist das ein sehr hoher externer Aufwand. In der Praxis ist ein interner DSB befangen und weniger scharf.

Deshalb bin ich da eher desillusioniert, wenn auch Leute beginnen, mit Vorsatz Daten extrahieren, die sich damit beruflich auskennen.

=> More informations about this toot | More toots from pascal_f@infosec.exchange

Toot

Written by Ulrich Kelber on 2025-01-14 at 13:34

@pascal_f @gse @privacybydefault Verstehe ich, aber: Aufgeben ist keine Option

=> More informations about this toot | More toots from ulrichkelber@bonn.social

Descendants