Datenschutz - Privacy - Digitale Selbstverteidigung

"Unnötige Datenabfrage und Ausschluss von Kunden ohne Smartphone: Datenschützer äußern Kritik an der Regeln der Deutschen Bahn zu ihren Sparpreistickets. Das Unternehmen weist die Vorwürfe zurück.

Die Sparpreistickets der Bahn stehen bei Datenschützern in der Kritik. Nach ihrer Einschätzung werden beim Kauf unnötig persönliche Daten abgefragt, zudem seien durch den nahezu exklusiven Online-Vertrieb Millionen von Kundinnen und Kunden ausgeschlossen. "Menschen ohne Smartphone oder Computer ist der Weg zum vergünstigten Reisen versperrt", kritisierte der hessische Landesdatenschutzbeauftragte Alexander Roßnagel. Auch Verbraucherinnen und Verbraucher, die besonders auf Datenschutz achten, würden ausgegrenzt.

Digitalisierung darf "kein Selbstzweck" werden

Die Bahn biete das Ticket zwar noch zum Ausdrucken am Schalter an, jedoch müsse man auch dort eine E-Mail-Adresse oder Handynummer angeben, sagte Roßnagel der Nachrichtenagentur dpa. "Die Digitalisierungsstrategie der Bahn ist wenig rücksichtsvoll gegenüber Menschen, die datenschutzbewusst oder wenig technikaffin sind." Nicht jeder habe ein Smartphone und oder einen Internetanschluss.Die Bahn spreche zwar davon, dass ihre Angebote von mehr als 90 Prozent der Kunden online genutzt würden, so der Vorsitzende der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder. Im Umkehrschluss bedeute dies aber, dass Millionen von Menschen dies nicht tun. Da das Unternehmen quasi ein Monopol im Zugverkehr in Deutschland habe, trage es eine Gemeinwohlverantwortung, bekräftigte Roßnagel.

Auch die Verbraucherzentralen hatten zu Jahresbeginn kritisiert, dass bestimmte Fahrkarten nur noch stark eingeschränkt an Automaten oder Schaltern verkauft werden. "Digitalisierung kann das Reisen einfacher machen, darf aber kein Selbstzweck werden. Menschen dürfen nicht vom Ticketerwerb oder günstigen Tarifen ausgeschlossen werden, nur weil sie keinen Online-Zugang haben oder lieber ohne Angabe privater Informationen mit der Bahn fahren wollen", sagte die Vorständin Ramona Pop. Dass ausgerechnet der Erwerb günstiger Spar- und Superspartickets erschwert wird, berge zudem soziale Sprengkraft.

"Lassen niemanden auf dem Weg alleine"

Beim Online-Kauf eines Bahntickets müssen neben dem Namen des Reisenden auch Handynummer oder E-Mail-Adresse angegeben werden. Das sei datenschutzrechtlich unzulässig, betonte Roßnagel. "Wir als Datenschutzaufsichtsbehörde sind keine Digitalisierungsgegner". Er wende sich aber gegen einen unnötigen Zwang zur Preisgabe von Daten. Eine Individualisierung eines Tickets - etwa zur Vorbeugung von illegalem Weiterverkauf - sei auch mit anderen Methoden möglich, argumentierte er. Die Bahn erhebe nicht die geringstmögliche Anzahl an Daten, sondern die für sie interessanten Daten.

Eine Bahnsprecherin wies die Vorwürfe zurück. "Wir möchten unsere Reisenden bei Änderungen zu ihrer Fahrt informieren, zum Beispiel bei Gleiswechseln oder Verspätungen", erläuterte sie. Dazu müsse die Bahn die Kunden und Kundinnen aber erreichen können und benötige daher einen Kontakt - eine Mailadresse oder eine Mobilfunknummer.

Diese würden ausschließlich zur Übermittlung der Tickets und für Informationen zur Reise genutzt. "Wir werden niemanden auf dem Weg zur Digitalisierung allein lassen", sagte die Sprecherin. Die Berater und Beraterinnen in den Reisezentren und beim telefonischen Kundenservice würden umfassend geschult."

"Egal, ob wir über die (real existierende) totale Überwachung der Geheimdienste sprechen oder über Digitale Souveräntität und Digitale Mündigkeit oder auf dem Elternabend von Schule oder Kindergarten: Eine Diskussion lässt einerseits Augen rollen oder Achsel zucken und andererseits Bäuche krampfen oder auch Fäuste ballen. So trivial die Frage einer praktischen und allgemein leicht nutzbaren und möglichst weit verbreiteten Lösung für „Instant Messages“ (Kurznachrichten) in Menschengruppen scheint, so sehr treffen hier globale Machtstrukturen, Datenschutz, individuelle Überforderung, Unwillen, Kapitulation und Gleichgültigkeit aufeinander."

via @kuketzblog@social.tchncs.de

Der gesamte Livestream unter dem Titel "Verbesserung der inneren Sicherheit und des Asylsystems - Anhörung des Ausschusses für Inneres und Heimat" läuft auf bundestag.de

Diesen "Hitchhiker’s Guide" gibt es leider nicht auf deutsch.

"Für ein Verbot von biometrischen Fernidentifizierungssysteme.

Macht Druck und versende mit einem Klick einen Brief an die zuständigen Bundestagsabgeordneten!

Wir fordern ein Verbot automatischer Gesichtserkennung und sonstiger biometrischer Fernerkennung in der Öffentlichkeit. Das gilt für Systeme zur nachträglichen als auch zur Live-Erkennung. (...) Wenige Überwachungsmaßnahmen bedrohen Freiheitsrechte und Demokratie so sehr wie automatische Gesichtserkennung: Sie macht Fehler, sie diskriminiert Frauen und People of Colour und gefährdet die anonyme Teilnahme an Demonstrationen. Das ist gerade in Zeiten des politischen Rechtsrucks gefährlich.

Unsere Forderungen

Ein Verbot automatischer Gesichtserkennung und sonstiger biometrischer Fernerkennung in der Öffentlichkeit. Das gilt sowohl für Systeme zur nachträglichen als auch zur Live-Erkennung.

Ein Verbot der wissenschaftlich höchst umstrittenen Emotionserkennung.

Die Bundesregierung hat sich im Koalitionsvertrag dazu verpflichtet, biometrische Erkennung im öffentlichen Raum zu verbieten. Wir nehmen sie beim Wort und fordern die Bundestagsabgeordneten auf, die im AI Act vorgesehene Möglichkeit zu nutzen und das entsprechende Verbot zu beschließen.

Warum Gesichts­erkennung verbieten?

Gefahr für die Demokratie

Selbst wenn Gesichtserkennung perfekt funktionieren würde: Sie wäre dann in der Lage, ganze Stadtgebiete zu überwachen und die Identität von Zehn- oder Hunderttausenden von Menschen gleichzeitig zu erfassen. Technisch möglich wäre das staatliche Erstellen von Bewegungsprofilen.

Darunter leiden Freiheitsrechte, individuelle Entfaltung und politische Teilhabe. Wer sich im öffentlichen Raum ständig von einer intelligenten Kamera abgescannt und analysiert fühlt, verspürt einen Überwachungsdruck. Selbsteinschränkung und aufgezwungene „Konformität“ ist die Folge. In einer gesunden, pluralistischen Demokratie ist es aber wichtig, dass sich Menschen bei ihrer Meinungsbildung, individuellen Entfaltung und politischen Partizipation nicht beobachtet fühlen.

Missbrauchs­potential

Gesichtserkennung birgt enormes Missbrauchspotential – sowohl für einzelne unberechtigt Handelnde als auch für etwaige zukünftige autoritäre Regierungen. Zivilgesellschaftliches Engagement gegen eine Regierung, die exakt weiß, wer wann wo ist, ist nur schwer denkbar. Es liegt in der historischen Verantwortung Deutschlands, keine Infrastruktur aufzubauen, die es ermöglicht, die gesamte Gesellschaft zu kontrollieren.

Falsch­erkennung

Die Systeme funktionieren mangelhaft. In einem Test am Berliner Bahnhof Südkreuz wurde ca. jeder 200. Mensch fälschlich als gesuchte Person erkannt.[1] In der Praxis würde das an einem Bahnhof wie dem Berliner Südkreuz dazu führen, dass täglich 600 Menschen fälschlich als gefährliche Person erkannt werden. Diese Menschen wären unangenehmen Kontrollen ausgesetzt. Die Polizei wäre von Fehlalarmen überlastet.

Einfache Umgehung

Dreht eine gesuchte Person ihr Gesicht nur um 15 Grad von den Kameras weg, wird sie von den Systemen nicht mehr erkannt.[2] Die Erkennung lässt sich auch durch das teilweise Bedecken des Gesichts, z.B. mit einem Schal oder einer Mütze, vereiteln. Wer eine Straftat plant, kann sich einfach vor Erkennung schützen.

Diskriminierung

Gesichtserkennung diskriminiert Frauen, Kinder und People of Colour. Bei diesen Gruppen liegen die Falscherkennungsraten signifikant höher als bei weißen mitteleuropäischen Männern.[3] Das liegt daran, dass die hiesigen Systeme großteils mit Bildern von weißen, männlichen Gesichtern trainiert werden. Die negativen Folgen treffen also besonders Gruppen, die ohnehin schon Benachteiligungen ausgesetzt sind."

"Die Bundesregierung will biometrische Gesichtserkennung auch beim Kampf gegen Islamismus und bei der Entscheidung über Asylanträge nutzen. Das ist Teil des „Sicherheitspakets“, das Innenministerin Nancy Faeser (SPD) und Justizminister Marco Buschmann (FDP) am vergangenen Donnerstag vorstellten.

(...) Außerdem soll das Bundesamt für Migration und Flüchtlinge (Bamf) die Befugnis zum biometrischen Abgleich von Internetdaten erhalten. So sollen vor allem die Identitäten von Schutzsuchenden festgestellt werden. (...) Gegen die Radikalisierung bisher unauffälliger Geflüchteter wie beim Solingen-Attentäter hilft Biometrie jedoch nichts.

(...) Für den Abgleich mit Fotos aus dem Internet gibt es nun drei Möglichkeiten. Entweder durchsucht eine Software der Polizei bei jeder Anfrage das ganze Internet nach Fotos von Personen, fertigt für jedes Foto ein Template an und vergleicht dieses mit dem Template des Fahndungsfotos. Bei Hunderten von Milliarden Fotos im Internet und in sozialen Netzwerken wäre das ein recht aufwändiges Verfahren.

Die Polizei könnte sich aber auch eine Datenbank aller Templates von Fotos aus dem Internet anlegen. Das Fahndungsfoto würde dann nur noch mit den Templates dieser Datenbank abgeglichen. Das wäre deutlich einfacher und schneller. Dies wäre aber eine Vorratsdatenspeicherung der ganzen Weltbevölkerung, die vermutlich gegen EU-Recht und Grundgesetz verstieße.

Dritte Möglichkeit wäre eine Zusammenarbeit der Polizei mit kommerziellen Firmen wie Clearview oder PimEyes, die schon gigantische Sammlungen von Foto-Templates angelegt haben. Allein Clearview hat nach eigenen Angaben über 50 Milliarden Fotos erfasst. Die Leistungsfähigkeit dieser Datenbanken zeigte sich, als ein Journalist mit Hilfe von PimEyes die mehr als 30 Jahre untergetauchte RAF-Terroristin Daniela Klette identifizierte.

Allerdings verstoßen diese privaten Datenbanken nach Ansicht mehrerer Datenschutzbehörden gegen EU-Datenschutzrecht. Wie die geplante Gesichtserkennung konkret funktionieren soll, lässt die Bundesregierung bisher offen. Vermutlich weiß sie es selbst noch nicht und wollte lediglich vor den Landtagswahlen in Ostdeutschland ein Zeichen der Entschlossenheit setzen."

Die Regierung verschärft nach dem Attentat von Solingen nicht nur das Waffenrecht. Umstrittene Verfahren zur Gesichtserkennung sollen zulässig werden.

https://archive.ph/jNsr1

Wie sind Briefe, die das Uniklinikum Tübingen (UKT) an mehrere Patienten mit dem Befund Krebs geschrieben hat, in einen Straßengraben zwischen Metzingen-Glems und Eningen unter Achalm gekommen? Diese Frage beschäftigt gerade Ermittler der Polizei sowie das UKT. „Wir wissen es bislang noch nicht“, gab Bianca Hermle, Sprecherin der Uniklinik, gegenüber dem Reutlinger General-Anzeiger zu. Die Klinik bedauere die offensichtliche Datenpanne sehr. „Die Compliance-Beauftragte ist eingeschaltet, um die interne Aufarbeitung fortzuführen“, so die Sprecherin. Das soll bedeuten, dass die Klinik weiter herausfinden will, wie es zu dem Datenleck kommen konnte.

Das will auch die Polizei in Metzingen herausfinden, bei der die Briefe mittlerweile liegen. Die 78 Jahre alte Finderin hatte sie dort abgegeben. „Bislang sind die Briefe bei uns registriert. Die Kollegen wollen die Hintergründe klären und es steht ja für die Polizei die Frage im Raum, ob hier eine Straftat vorliegt“, sagt Ramona Döttling, Sprecherin des Polizeipräsidiums Reutlingen. Bislang gebe es noch keine Ergebnisse.

Es sei allen Beteiligten klar, so Kliniksprecherin Hermle, dass es sich bei dem Fund um hochsensible Daten handele. So seien die Patienten-Adressen ersichtlich, ebenso wie Einzelheiten zu den Krebsdiagnosen. Das UKT ist jetzt um Schadensbegrenzung bemüht: „Die Datenschutzverletzung wurde vom Datenschutzbeauftragten des Klinikums umgehend der Landesaufsichtsbehörde gemeldet. Unser Klinikumsvorstand hat die betroffenen drei Patientinnen und Patienten schriftlich über das Ereignis informiert.“ Von Angeschriebenen sei aktuell noch keine Rückmeldung erfolgt. Auch wisse die Klinik nicht, ob die früheren Krebspatienten überhaupt noch leben. Die Schreiben sind versehen mit den Jahreszahlen 2007 und 2008.

Die Aufklärung innerhalb der Klinik laufe weiter, berichtet Bianca Hermle. Ein Missbrauch der Daten sei bislang nicht festzustellen gewesen. Das habe die Überprüfung der digitalen Akten der betroffenen Patienten ergeben. Schriftlich teilt sie mit: „Überprüft wurde der gesamte Weg, den eine Papier-Patientenakte über die digitale Archivierung bis hin zur Vernichtung geht. Hier konnte kein Datenverlust festgestellt werden.“

Alle Patientendaten seien auf jeden Fall digital auf den Servern des Uniklinikums gesichert, erklärt die Sprecherin. Auch die älteren. Das sei bei dieser Überprüfung festgestellt worden. Doch gleichzeitig heißt aus dem UKT: „Wie Briefe mit einem derart sensiblen Inhalt im Straßengraben landen können, werden wir vermutlich trotz umfangreicher Bemühungen leider nicht aufklären können.“

Artikel von @rufposten@social.tchncs.de:

"Ich habe das Onlinebanking und die Banking-/Tan-Apps von 35 Banken getestet.

Nur eine kleine Privatbank ist datenschutzkonform - ein katastrophales Ergebnis auch für die Datenschutzbehörden.

Wie man sich bei manchen Banken trotzdem einen Zugang ohne Werbe- oder Analysetracking organisiert, erfahrt ihr im ausführlichen Test."

"Bayerns Innenminister Joachim Herrmann will eine Echtzeit-Gesichtserkennung einführen – mithilfe von vorhandenen Überwachungskameras. Grundsätzlich ist das zwar durch EU-Recht untersagt, aber Ausnahmen sind zugelassen."

Vor über einer Woche veröffentlicht, aber ziemlich skuril:

In Schleswig-Holstein ereignete sich ein Vorfall, der die Bedeutung der Sicherung sensibler Daten auf fast komödiantische Weise verdeutlichte (vgl. Tätigkeitsbericht des ULD für den Berichtszeitraum 2023, S. 79 f.). Papierdokumente und digitale Datenträger, die auf einem Transportwagen gelagert waren, wurden von einer unerwarteten Sturmbö erfasst. Betroffen waren Unterlagen eines Planfeststellungsverfahrens, welche sowohl personenbezogene Daten als auch Informationen zu juristischen Personen enthielten.

Der Verlust ereignete sich, als ein Unternehmen Dokumente transportierte, die in geschlossenen Kartons und Aktenordnern sicher verwahrt waren. Der Transport verlief zunächst reibungslos, bis die Kartons am Austauschort geöffnet wurden. Die ausgetauschten Dokumente wurden nicht wieder in Aktenordner geheftet, sondern lose in die Kartons gelegt. Auch die Datenträger wurden in einem der Kartons verstaut.

Während sich der Mitarbeiter noch am Austauschort befand, erfasste eine Windbö einen der verschlossenen Kartons und verteilte die darin befindlichen Datenträger auf dem Boden. Beim Versuch, diesen Karton zu sichern, erfasste der Wind weitere Kartons und verwehte einige der Papierunterlagen. Die meisten Dokumente konnten zwar wieder eingesammelt werden, doch einer der Datenträger blieb verschwunden.

Der Verlust der Daten wurde fristgerecht innerhalb von 72 Stunden der Landesbeauftragten für Datenschutz gemeldet, und die vier betroffenen Grundstückseigentümer wurden über den Vorfall informiert. Das Unternehmen führte eine detaillierte Rekonstruktion des Ereignisses durch und konnte so nähere Erläuterungen zum Hergang geben.

Glücklicherweise existierte eine Kopie der Daten auf dem verlorenen Datenträger, sodass die Verfügbarkeit der Informationen weiterhin gewährleistet blieb. Dieser Umstand war entscheidend für die Bewertung der Risiken für die Persönlichkeitsrechte der betroffenen Personen.

[…]

Wenigstens wurden Konsequenzen gezogen:

In Reaktion auf den Vorfall hat das Unternehmen zusätzliche Sicherheitsmaßnahmen implementiert. Künftig werden immer zwei Beschäftigte die Dokumentenlieferungen durchführen, um eine doppelte Sicherung zu gewährleisten. Zudem wurde eine Anweisung erteilt, dass alle Dokumente und Datenträger mit personenbezogenen Daten stets in geschlossenen und gesicherten Behältnissen transportiert werden müssen, um Schutz vor äußeren Einflüssen wie Sturmböen zu bieten.

[…]

"Malware durch Steuergeld finanzieren und im Staatsauftrag einsetzen – das würde eine Gesetzesnovelle erlauben, die der österreichische Innenminister Gerhard Karner (ÖVP) in öffentliche Begutachtung geschickt hat. Damit möchte der rechtskonservative Politiker dem Geheimdienst Direktion Staatsschutz und Nachrichtendienst (DSN) erlauben, fremde Computersysteme, darunter Handys, Tablets und Cloudserver, zu infizieren, um dann Nachrichten vor Verschlüsselung oder nach Entschlüsselung auszuspionieren."

"Ausgeweitet werden soll der Einsatz falscher Mobilfunksender, sogenannter IMSI-Catcher. Gleichzeitig würden falsche WLAN-Hotspots (WLAN-Catcher) legalisiert ..."

"Findet der Geheimdienst bei seiner Arbeit zufällig Hinweise auf andere Straftaten, soll er diese Daten ohne Beweisverbot an andere Sicherheitsbehörden weiterreichen."

"Daten sind wertvoll. Sie können andeuten, welchen Preis ein bestimmter Verbraucher für ein Produkt oder eine Dienstleistung zu zahlen bereit ist. Zu den Datensätzen zählen beispielsweise der Browserverlauf, genutzte Software oder Geräte, Bonitätsbewertungen, bisherige Einkäufe oder Aufträge, Bewegungsmuster und vieles andere mehr. Anbieter wie Accenture, McKinsey und Mastercard haben entsprechende Datensammlungen und Algorithmen kombiniert und bieten Surveillance Pricing als Dienstleistung an (Überwachungspreisbestimmung). Dritte sollen mit dynamischen Preise möglichst viel verlangen – angepasst an den jeweiligen Kunden. Die US-Handelsaufsicht FTC (Federal Trade Commission) fürchtet nun negative Auswirkungen auf den Wettbewerb und eröffnet eine Untersuchung (Az. P246202).

Denn wer solche Algorithmen hat, schadet nicht nur den konkret betroffenen Konsumenten, sondern verschafft sich auch einen Wettbewerbsvorteil gegenüber datenschutzfreundlicheren Mitbewerbern. Damit steigt auf diese der Druck, ebenfalls alle möglichen personenbezogenen Daten sammeln und auszuwerten zu lassen. Ein Teufelskreis. "Unternehmen, die die personenbezogenen Daten von Amerikanern ernten, riskieren deren Privatsphäre. Jetzt können Firmen diese erheblichen Mengen personenbezogener Informationen dazu verwenden, den Leuten höhere Preise abzuverlangen", sagte FTC-Vorsitzende Lina M. Khan, "Amerikaner verdienen, zu wissen, welche Firmen ihre detaillierten Verbraucherdaten dazu nutzen, um Überwachungspreise zu veranschlagen."

Mastercard & Co sollen Einblick gewähren

Ihre Behörde widmet sich jetzt acht Unternehmen, die die Berechnung höchstmöglicher Preise als Dienstleistung anbieten. Accenture, Bloomreach, JPMorgan Chase, Mastercard, McKinsey & Co., PROS, Revionics und Task Software sollen der FTC umfangreich Auskunft erteilen,

Die Fragen beziehen sich auf vier Bereiche:

Welche Arten von Surveillance Pricing jede Firma konkret entwickelt oder ausgerollt hat, wie das technisch umgesetzt ist und wie das genutzt wird oder genutzt werden soll. Woher die jeweils genutzten Daten stammen und wer sie wie gesammelt hat Welchen Firmen sie das Surveillance Pricing angeboten haben und wie diese das nutzen möchten Die potenziellen Auswirkungen auf von Verbrauchern gezahlten Preise Ein Großteil der Auskünfte dürfte allerdings als Geschäftsgeheimnis eingestuft und damit nicht öffentlich werden. Nicht befragt werden derzeit Unternehmen, die Überwachungspreise tatsächlich veranschlagen. Zu den üblichen Verdächtigen zählen Fluggesellschaften und alle möglichen Unternehmen, die ihre Angebote nur digital unterbreiten oder ihre Kunden zu bitte noch einer Smartphone-App drängen.

Der Fahrtenvermittler Uber hat schon 2016 ein interessantes Detail verraten: Demnach sind Kunden bereit, höhere Preis für Beförderungen zu zahlen, wenn der Akkustand ihres Handys gering ist. Die belgische Tageszeitung La Dernière Heure hat voriges Jahr in einem kleinen Feldversuch festgestellt, dass Ubers Preise für die selbe Route zum selben Zeitpunkt für unterschiedliche Konsumenten tatsächlich unterschiedlich ausfallen. Ein Merkmal laut dem Bericht: Der Akkustand. Uber stellte jedoch in Abrede, den Ladezustand der genutzten Geräte auszuwerten."

"Auf einem Datenmarktplatz standen wochenlang Passdaten von Tausenden Personen offen im Netz. Erst lange nach unseren Hinweisen nahm das belgische Unternehmen die Daten offline. Menschen aus mehreren Ländern waren einem hohen Risiko für Datenmissbrauch und Betrug ausgesetzt."

Ich wollte weg von Windows und auf Linux umsteigen: Vor welchen Herausforderungen ich stand und wie ich sie (weitgehend) gemeistert habe.
Ein Erfahrungsbericht von Michael Bröde

Erster Teil:

• Golem: Telemetrie, Datenschutz, Cloud: Mein wachsendes Unbehagen mit Windows
• Feddit-Post