iCloud und die DSGVO

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
  • safrakido
    Erfahrener Benutzer
    • 13.01.2010
    • 220

    #16
    Zum Thema Pseudonymisierung und Verschlüsselung:
    Die DSGVO schließt die beiden Begriffe ausdrücklich als Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung (Artikel 32) mit ein.
    Dies würde doch deuten, dass personenbezogene Daten personenbezogene Daten bleiben, Verschlüsselung hin oder her?
    Ich verstehe aber auch Jörns Argumentation. Wenn der Dienstleister keine Chance hat die Daten zu entschlüsseln, weil er den Schlüssel gar nicht besitzt, dann würde es sich auch nicht mehr um personenbezogene Daten handeln. Also könnte man auf diese Weise verschlüsselte Daten speichern, wie man will, ohne DSGVO Relevanz.

    ...bleibt kompliziert.
    amnamna

    Kommentar

    • Jörn
      Administrator
      • 05.01.2008
      • 10231

      #17
      Art 32 sagt u.a., dass die ganze Aktion verhältnismäßig sein soll. Stand der Technik, Kosten, realistische Abschätzung des Risikos. Die getroffenen Maßnahmen sollen diese Dinge berücksichtigen, um nicht zu überzogenen (oder zu laxen) Szenarien zu führen. Es geht "um ein dem Risiko angemessenes Schutzniveau".

      Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese … Art. 32 DSGVO – Sicherheit der Verarbeitung weiterlesen
      Zuletzt geändert von Jörn; 06.04.2019, 18:45.

      Kommentar

      • safrakido
        Erfahrener Benutzer
        • 13.01.2010
        • 220

        #18
        Mal ein konkretes Beispiel:
        Als Elternklassensprecher habe ich alle Kontaktdaten der Eltern meiner Klasse gesammelt, mit Einverständniserklärung. Gespeichert habe ich die Liste in einer Excel-Tabelle.
        A) Ich speichere die Datei in der iCloud. Kann ich das DSGVO konform?
        B) Ich packe die Datei in einen verschlüsselten Container, den Schlüssel besitze nur ich. Den Container speichere ich in der iCloud. Sind die Daten damit in Bezug auf die iCloud überhaupt noch DSGVO relevant?
        amnamna

        Kommentar

        • Jörn
          Administrator
          • 05.01.2008
          • 10231

          #19
          Ich würde den Container weglassen. „iCloud Documents“ sind sowieso verschlüsselt. Niemand außer Dir kann an die Daten ran. Sie sind nur auf Deinem Rechner entschlüsselt und nur Du kannst sie sehen. Lass Dich nicht verrückt machen.

          Kommentar

          • woreich
            Erfahrener Benutzer
            • 05.01.2008
            • 1053

            #20
            Wenn es sich tatsächlich um eine echte Verschlüsselung mit alleiniger Zugriffsmöglichkeit handelt und Dein Rechner nicht kompromittiert ist und die Zugriffsmöglichkeiten auf Deine Rechner ebenfalls beschränkt sind, würde ich das auch tun - Kirche-im-Dorf-lass-Prinzip .

            Wichtigste Frage dabei ist allerdings: MUSS diese Exceltabelle tatsächlich in iCloud gespeichert sein? Eine lokale Datensicherung auf Stick würde es sicherlich auch tun?

            In diesem Fall - Lehrer - geht es um besonders schützenswerte Daten (Kinder, Jugendliche, Eltern). An der Schule gibt es mit Sicherheit einen (ausgebildeten) Datenschutzbeauftragten. Ich würde also im Vorfeld mit diesem die nötigen und erlaubten Maßnahmen abstimmen und dokumentieren, was sowieso erfolgen muss.
            Zuletzt geändert von woreich; 07.04.2019, 10:01. Grund: Ergänzungen.

            Kommentar

            • woreich
              Erfahrener Benutzer
              • 05.01.2008
              • 1053

              #21
              Noch ein Einwurf meinerseits: Ich beobachte in meinem weiteren Umfeld immer wieder, dass viele Mitmenschen sich schlicht gar keine Gedanken an "Datenschutz" oder Privatheit verschwenden. Da werden persönlichste Dinge in Foren und sozialen Medien verbreitet, massenhaft Kinderfotos stolz der Öffentlichkeit präsentiert und niemand hat je auch nur die geringste Kontrolle über seine privaten Daten geschweige denn will das überhaupt oder begreift es nur nicht.
              Derzeit habe ich gegenüber Apple noch das größere Vertrauen in ernst gemeinten Datenschutz, zumindest im Privatbereich und ich hoffe, dass die genannte E2E-Verschlüsselung der meisten Daten in der iCloud das rechtfertigt.

              Kein Vertrauen habe ich z.B. in staatliche Projekte wie DE-Mail oder gar das BeA.

              Ich fürchte auch, wenn ich mir unseren Innenminister und seine Kollegen so anhöre, dass jede Art von sicherer und hintertürfreier Verschlüsselung bald illegal sein wird. Abgesegnet von Agrarausschüssen in Nacht und Nebelaktionen.

              Wir können also zwei gegensätzliche Strömungen in unserer Gesellschaft beobachten: Strenger Datenschutz für Bürger und Firmen und Staat - überhaupt keinen Datenschutz für die Executive.

              Dazu die sattsam bekannten Unwägbarkeiten der IT-Sicherheit an sich.

              Kommentar

              • Jörn
                Administrator
                • 05.01.2008
                • 10231

                #22
                Ich frage mich, ob es technisch überhaupt möglich ist, Verschlüsselung zu verbieten und zu verhindern? Irgendwo im Netz wird jemand eine Verschlüsselungssoftware anbieten, die keine Hintertür enthält. Wie will man das verhindern, selbst wenn die großen Betriebssysteme effektiv kontrolliert werden. Aber irgendwelche Dateien im Web kann man nicht effektiv kontrollieren, und jemand wird eine Software zur Verschlüsselung irgendwo deponieren.

                Außerdem: Selbst wenn unsere Regierung eine Hintertür bekäme, würde das wohl keine Auswirkung haben auf eine Excel-Tabelle mit Namen der Elternsprecher einer Schulklasse.

                Was Apple da an Sicherheitsgedöns (im besten Sinne) veranstaltet, ist einmalig in der Computergeschichte. Verschlüsselungen, Passwörter, PINs, Bestätigungen, nochmal Bestätigungen, hier klicken, da klicken, der absolute Wahnsinn. Wenn das der DSGVXZZREYXYX nicht ausreicht, dann sollen sie mich mal gern haben.

                Kommentar

                • woreich
                  Erfahrener Benutzer
                  • 05.01.2008
                  • 1053

                  #23
                  Wenn der politische Wille da ist und Mehrheiten findet, ist das Verbot von Verschlüsselung usw. möglich. Warum auch nicht.

                  Im schlimmsten Fall würden Bürger kriminalisiert und im Ernstfall entspr. bestraft.
                  In einem Land, das dieses so durchführen würde, wären auch weitere körperliche Maßnahmen zur Gewinnung illegal genutzter Schlüssel denkbar und wahrscheinlich.

                  Gibt es solche Länder? China? Diktaturen ganz allgemein?

                  Da Apple gezwungenermaßen in China auf staatlich kontrollierten Servern speichern muss, darf man sich die Frage nach Zugangsmöglichkeiten, Hintertüren trotz aller gegenteiligen Beteuerungen schon stellen.

                  Natürlich macht das der Elternsprecherexceltabelle nichts aus und man könnte die ja auch zusätzlich verschlüsselt (illegal dann) abspeichern. Dann wäre es immerhin unschädlich, wenn die Daten bei Apple, Amazon, Microsoft, China oder sonstwo lagern. Der Uploadfilter wird das dann womöglich feststellen, verhindern und eine Meldung an die Obrigkeit generieren. So einfach wäre das.

                  Kommentar

                  • Jörn
                    Administrator
                    • 05.01.2008
                    • 10231

                    #24
                    Schon jetzt kann mich z.B. das Finanzamt zur Herausgabe von Passwörtern zwingen, wenn das erforderlich ist, um geltende Gesetze durchzusetzen. Da nützt also die Verschlüsselung nichts.

                    Es kann mich auch so hoch veranschlagen, dass ich quasi-gezwungen bin, freiwillig das Bankgeheimnis zu lüften und meine Kontoauszüge vorzulegen. Auch hier nützt alle Geheimhaltung nichts.

                    Ich finde das aber in einem gewissen Rahmen gerechtfertigt. Man kann über den Rahmen und Bedingungen diskutieren, aber ich finde schon, dass hier zwei Interessen fair abgewogen werden müssen. Ich kann nicht nur mein eigenes Interesse zum alleinigen Maßstab machen, ebenso wie der Staat nicht einfach überall mitlesen darf.

                    Neu ist nun, dass auch die Interessen von Dritten berücksichtigt werden sollen. Auch das ist fair, aber auch diese Interesse übertrumpfen nicht alle anderen Interessen. Beispielsweise muss die ganze Shice noch für normale Leute handhabbar sein.

                    Wenn das Anlegen einer Adressliste für den Elternabend zu einer gefährlichen Wissenschaft wird, dann stimmt da was nicht.

                    Kommentar

                    • Jörn
                      Administrator
                      • 05.01.2008
                      • 10231

                      #25
                      Vor allem dachte ich, dass wir uns in Europa jetzt alle fit machen für die digitale Zukunft. Alles ganz neu und hip und vollautomatisch!

                      Aber stattdessen sind Webseiten kaum noch benutzbar geworden, hat jeder kleine Selbständige Angst vor Abmahnungen bekommen, scheinen Cloud-Dienste hochgefährlich und alles außerhalb Europas unbenutzbar.

                      So habe ich mir Europas Weg in die digitale Globalisierung nicht vorgestellt.

                      Ich dachte, ich könnte meinen Personalausweis online verlängern und meinen Umzug per Web-Formular an die Behörde melden. Ich dachte, ich könnte online einen Kindergartenplatz für meine Kinder buchen, aber in Wahrheit habe ich gar keine Kinder.

                      Ich dachte, wir kriegen Glasfaser an jede Milchkanne und 5G in jedem Tal. Aber wenn ich im ICE sitze, bin ich auf den gleichen Strecken offline wie vor 20 Jahren.

                      /rant

                      Kommentar

                      • woreich
                        Erfahrener Benutzer
                        • 05.01.2008
                        • 1053

                        #26
                        Ich habe auch einen E-Perso und könnte meine Autoversicherung damit managen. Immerhin. Internet und deren Vorgänger habe/hatte ich schon mit meinem Akustikkoppler und 300 Bd. Ist doch alles gut ! Und einer der Anbieter wirbt immer wieder damit, dass wir Glasfaserinternet bekommen könnten (ist aber nur Kabel). Vielleicht meinen die ja die armen Teufel wie einen Kumpel von mir, der im Kaff nur auf dem Dach und zusätzlich 3 m Leiter Edge mit dem Smartphone empfängt - und das nur bei Vollmond?
                        Der Lehrer der da nebendran wohnt, hat deshalb alle im Laufe eines Lebens gesammelten Arbeiten, Übungsblätter, Bücher, Hefte im Haus verteilt - alles offline und völlig undigital. Gut - brennen darf es da eher nicht...Dafür ist es egal, wenn der Strom ausfällt. Auch gut.

                        Aber wir (oder ich, sorry) gerade(n) auf die Nebenstrecke .

                        Nein. Es schadet nicht, sich über Datenschutz und das besonders im eigenen Bereich Gedanken zu machen. Die Entscheidungen, die dann auf diesen Überlegungen fußen sind die höchstpersönlich selbst getroffenen. In diesem Sinne viel Spaß beim Betreuen der Eltern und Kinder. Und das ist sicher das wichtigste dabei.

                        Kommentar

                        • hopsing27
                          Erfahrener Benutzer
                          • 11.04.2011
                          • 145

                          #27
                          Auch die Onlineausweisfunktion ist übermäßig kompliziert und wird deshalb bis jetzt nicht von mir genutzt. Es ist zwingend ein Kartenlesegerät erforderlich. „Für die Nutzung des neuen Personalaus‐ weises ist ein Kartenlesegerät für Karten mit kontaktlosem Chip nach ISO 14443 erforderlich. Empfohlen werden Kartenle‐ segeräte, die vom Bundesamt für Sicher‐ heit in der Informationstechnik (BSI) zerti‐ fiziert wurden. Drei Arten von Kartenlese‐ geräten werden unterschieden: Basis‐, Standard‐ und Komfortleser. Sie werden in der technischen Richtlinie BSI TR‐03119 spezifiziert.“ Mit der Ausweis App 2 sind Funktionen über das Smartphone möglich, jedoch nur für Android Geräte

                          Kommentar

                          • safrakido
                            Erfahrener Benutzer
                            • 13.01.2010
                            • 220

                            #28
                            Ich muss ein bisschen Catchup spielen. War ein paar Tage offline, sorry.

                            Mir ging's in meinem Post darum rauszufinden, unter welchen Szenarien man die iCloud DSGVO konform nutzen kann, oder auch nicht.
                            Ich fasse deshalb nochmal zusammen, was so zusammengekommen ist:
                            A) Im beruflichen Umfeld nicht nutzbar, unabhängig von der DSGVO, aufgrund der iCloud Nutzungsbedingungen. Da wünschte ich mir ein Angebot von Apple, würde ich sofort nutzen.
                            B) Rein persönliches und familiären Umfeld: ok, da die DSGVO für diesen Bereich nicht gilt.
                            C) Mischformen, wie Schulumfeld, Vereine etc.: eigentlich nicht, weil man ggf. einen AVV mit Apple abschließen müsste. Apple das nicht anbieten/vorsehen.
                            ABER: Durch die Verschlüsselung in der iCloud, so wie sie Jörn erklärt, könnte man es ruhigen Gewissens nutzen(?)

                            Frage: Gab's da nicht schon mal eine Sendung von Jörn über iCloud-Verschlüsselung? Ich glaube mich düster zu erinnern.
                            Zuletzt geändert von safrakido; 09.04.2019, 11:12. Grund: Keine Emojis?
                            amnamna

                            Kommentar

                            Lädt...
                            X