20171102 Die Fortentwicklung des Datenschutzes

02.11.2017 Die Fortentwicklung des Datenschutzes

Aktion FsA auf dem Forum Privatheit

Wie auch in den vergangenen Jahren war Aktion Freiheit statt Angst auch diesmal wieder bei der sehr interessanten Konferenz des Forum Privatheit in Berlin dabei.

Das Thema des "Forum Privatheit und selbstbestimmtes Leben in der Digitalen Welt" war in diesem Jahr "Die Fortentwicklung des Datenschutzes". In den zwei Tagen ging es zuerst um die Folgerungen, die sich aus der EU Datenschutzgrundverordnung ergeben, die am 25. Mai 2018 als geltendes Recht in der gesamten EU in Kraft treten wird.

Wir wollen auch in diesem Jahr über unsere Erkenntnisse berichten - es wird aber noch einige Tage dauern, um unsere Mitschriften zu sortieren und zu konsolidieren.
Leider wurden aus Tagen 3 Monate und auch jetzt sind unsere Mitschriften nicht vollständig. Deshalb verweisen wir zusätzlich auf das Programmheft und die Webseiten des Forums.

Inhalt

Eröffnung durch Prof. Alexander Roßnagel
Datenschutz in Zeiten alles durchdringender Vernetzung - Herausforderungen für das Zusammenspiel von Technik und Regulierung, Frank Pallas (TU Berlin)
Sind neue Technologien datenschutzrechtlich regulierbar? Gerrit Hornung (Univ. Kassel)
Datenschutz unter Druck, Katharina Nocun
Was meint „Risiko“ im Datenschutz? Martin Rost (ULD Schleswig-Holstein)
Übersehene Probleme des Konzepts der Privacy Literacy, Thilo Hagendorff (Uni Tübingen)
Ungewollte Einwilligung? Die Rechtswirklichkeit der informierten Zustimmung, Robert Rothmann (Uni Wien)
Zertifizierung, Fachliche Leitung: Thomas Hess (LMU München)
Umsetzung von Privacy by Design, Fachliche Leitung: Michael Kreutzer (Fraunhofer SIT)
Erfolgsfaktoren für Privacy by Design, Sven Türpe & Andreas Poller (Fraunhofer SIT)
Privatsphäre als inhärente Eigenschaft eines Kommunikationsnetzes, Matthias Marx, Maximilian Blochberger, Dominik Herrmann & Hannes Federrath (Uni Hamburg)
Gewährleistung von Transparenz, Fachliche Leitung: Michael Friedewald (Fraunhofer ISI)
Podiumsdiskussion: Umsetzung der Datenschutz-Grundverordnung im institutionellen Kontext
Notwendige Schritte zu einem modernen Datenschutzrecht, Alexander Roßnagel (Forum Privatheit)
Missverstandene Technik-Neutralität - wir brauchen Risiko-Neutralität, Alexander Roßnagel
Schutzpflicht des Staates für die informationelle Selbstbestimmung? Martin Kutscha (Hochschule für Wirtschaft und Recht, Berlin)
Datenanalysesysteme bei Polizei im Lichte des neuen Datenschutzrechts, Paul Johannes (Uni Kassel)
Überwachungs-Gesamtrechnung, Benjamin Bremert, Felix Bieker (ULD Schleswig-Holstein) & Thilo Hagendorff (Uni Tübingen)
Ad-hoc-Kommunikation - Gesellschaftlich wünschenswert, rechtlich ungeregelt, Fabian Schaller (Uni Kassel), Patrick Lieser, Lars Almon, Flor Álvarez and Tobias Meuser (TU Darmstadt)
Datenschutz in der gesellschaftlichen Kommunikation, Fachliche Leitung: Jessica Heesen (Univ. Tübingen)
Abschluss-Gesprächsrunde zur Fortentwicklung des Datenschutzes

Eröffnung durch Prof. Alexander Roßnagel

Er sieht Herausforderungen für einen neuen Datenschutz, bei dem die EU DS-GVO helfen wird. Die hauptsächliche Herausforderung in nächster Zeit wird der Zwang zur Nutzung der neuen Geräte sein. Können wir uns dem verweigern?

Deren Kommunikation und die damit möglichen Auswertungen bedrohen unsere Informationelle Selbstbestimmung. Wir sind gefangen im Algorithmus.

Datenschutz in Zeiten alles durchdringender Vernetzung - Herausforderungen für das Zusammenspiel von Technik und Regulierung, Frank Pallas (TU Berlin)

Er sieht Möglichkeiten Fitness Tracker auch anonym freizugeben. Natürlich geht es auch nicht anonym und natürlich geht es auch um Bonuspunkte bei Krankenkassen oder Fitnessstudios.

Hinter einer App gibt es beliebig viele Module, die an den Daten interessiert sind und diese weiter verarbeiten und verknüpfen können. Darüber gibt es keine Übersicht und die Hersteller haben auch kein Interesse daran darüber aufzuklären.

Daten die einmal im Netz sind, sind nicht zurückziehbar. Das gilt praktisch auch weiterhin, wenn auch die EU DS-GVO uns theoretisch ein "Recht auf Vergessen" ermöglicht. Deshalb ist die Einwilligung allein nicht ausreichend. Es muss technisch sichergestellt werden, dass dann auch Daten, die in anderen Zusammenhängen weitergegeben wurden, gelöscht werden.

Seit 10 Jahren stehen 10 Prinzipien für den Datenschutz fest. Von diesen 10 sind bisher technisch nur zwei behandelt worden, nämlich die Minimierung (Vermeidung) und die Sicherheit (Verschlüsselung)
Offen sind bis jetzt noch:

die Einwilligung,
die Zweckbindung,
ihre Richtigkeit,
die Verantwortung,
die Portabilität und
eine technische Implementierung des Rechts.

Ein Blick in die Zukunft zeigt uns, dass die Mobilität der Computer dazu führen wird, dass bald an jeder Laterne eine Datenverarbeitung stattfindet. Wer hat die Aufsicht und die Kontrolle für diese Geräte? Blockchain, trustless und autonom sind die Begriffe der Zukunft.

Sind neue Technologien datenschutzrechtlich regulierbar? Gerrit Hornung (Univ. Kassel)

Von der Datenschutzrichtlinie 1995 bis zur Datenschutzgrundverordnung 2016 hat es 20 Jahre gedauert. Wie lange wird es bis zu einem Update in Zukunft dauern?

Die Datenschutzgrundverordnung hat in vielen Punkten offener Formulierungen. Dafür gibt es Öffnungsklauseln, die die Bundesrepublik auch zu Verschlechterungen genutzt hat . Die Öffnungsklauseln sind aber in beide Richtungen zu nutzen!

Die Arbeit mit der Datenschutzgrundverordnung wird interessant, so könnte ein europäischer Datenschützer theoretisch das US Einreisesystem ESTA des DHS (Department of Homland Security) kontrollieren dürfen. Man darf auf diesen Test gespannt sein!

Die Datenschutzgrundverordnung enthält keinen vergleichbaren Text wie § 28 BDSG (Datenerhebung und -speicherung für eigene Geschäftszwecke). Manche sehen darin einen Verlust an Rechtssicherheit. Ausgeglichen wird dies durch höhere Sanktionen (4% des Jahresumsatzes), einen Zwang zur Technikfolgenabschätzung, es gibt einen Kohärenzausschuss der offenen Probleme hoffentlich lösen soll und kann.

Erst der zukünftige Umgang mit der EU DS-GVO wird zeigen, wieviel mit ihr durchsetzbar ist..

Datenschutz unter Druck, Katharina Nocun

Sie beklagt den fehlenden Wettbewerb auf Plattformmärkten als Risiko für den Verbraucherschutz und verweist auf ein Zitat von Erik Schmidt von Google.

Leider wissen wir nicht mehr welches Zitat, wir haben folgende andere (wissenswerte) gefunden:

"Wenn es etwas gibt, von dem Sie nicht wollen, dass es irgend jemand erfährt, sollten Sie es vielleicht ohnehin nicht tun." http://www.spiegel.de/netzwelt/netzpolitik/0,1518,665813,00.html
"Für StreetView fahren wir exakt einmal vorbei - also können Sie einfach umziehen." - chip.de 27.10.2010
"Wir wissen, wo du bist. Wir wissen, wo du warst. Wir wissen mehr oder weniger, worüber du nachdenkst." - SPIEGEL Online Zitate

Sie beklagt die Gewinnmargen der Internetriesen, die trotzdem keinen Service anbieten, zum Beispiel zur Fehlerbehebung und Problemlösung. Der Nutzer ist kein Kunde sondern das Produkt.

Es gilt die Forderung nach Standards, nur Standards können gegen die ausufernde Verbreitung proprietärer Software helfen.

Die in der Datenschutzgrundverordnung verlangte Datenportabilität, das heißt, dass ich meine Daten mitnehmen kann, wenn ich den Anbieter verlassen will, muss umgesetzt werden. Das wird zum Beispiel, von Facebook bisher noch immer nicht unterstützt. Auch das Auskunftsrecht ist in der Praxis bisher ein stumpfes Schwert.

Die Netzneutralität ist in Gefahr: Facebook bietet seinen Dienst in Südafrika und Südamerika in Kombination mit einem (kastrierten) "Internetzugang" an.

Das Interventionsbedürfnis des Kunden wird durch mangelnde Transparenz behindert. Es gibt kein Hintergrundverständnis sondern lediglich ein Bedienverständnis .

Was meint „Risiko“ im Datenschutz? Martin Rost (ULD Schleswig-Holstein)

Datenschutz soll die Machtasymmetrie verringern.
Informationelle Selbstbestimmung ist kein privates Bedürfnis sondern notwendig für die Individualität.
Grundrechte sind Abwehrrechte gegen den Staat.
Die EU-Grundrechtecharta ist besser als das Deutsche Grundgesetz.
Apple, Facebook, Google sind in ihrem Handeln nicht legitim.
Die alten Begriffe von Zwecksetzung, Zweckbestimmung, Zwecktrennung, Zweckbindung und der „Fetisch der Einwilligung“ funktionieren nicht. Deshalb ist staatlicher Zwang notwendig.
Art. 35 der Datenschutzgrundverordnung erlaubt die Folgen zu beurteilen (Folgenabschätzung) und muss offensiv genutzt werden um die Machtasymmetrie zu verringern.

Übersehene Probleme des Konzepts der Privacy Literacy, Thilo Hagendorff (Uni Tübingen)

Das Privacy Paradoxon: Gerade Schichten, die im Umgang mit Daten sehr gefährdet sind haben kein Wissen oder zu wenig Wissen darüber.

Proprietäre Algorithmen stellen eine Diskriminierung dar. Gebraucht wird Rationalität contra Affekte und Emotionen. Die Kompetenz der Nutzer kann nur der Staat durch Hilfen und Regeln erzwingen, denn auf der einen Seite fehlen Wissen über das Backend, auf der anderen Seite stehen Geld, Macht, Durchsetzungsfähigkeit aber keine Anreize etwas zu tun.

Ungewollte Einwilligung? Die Rechtswirklichkeit der informierten Zustimmung, Robert Rothmann (Uni Wien)

Robert Rothmann stellt seine Dissertation über Facebook vor. Zentrales Thema ist die ungewollte Einwilligung bei Facebook.

In vielen Beispiele aus den AGBs von Facebook macht er Fragen an Nutzer der Anwendung. Fazit: nur 1% wollte den AGBs wirklich zustimmen. Also: niemand liest sie und wenn, dann versteht sie niemand.

Die Folien zum Vortrag sind hier als .pdf herunterzuladen https://www.forum-privatheit.de/forum-privatheit-de/publikationen-und-downloads/veroeffentlichungen-des-forums/2017-11-02-Jahrestagung-2017/1.1c_Rothmann_Folien_Vortrag_Forum_Privatheit_Berlin_Uni_Wien_2017.pdf.
Wir möchten insbesondere auf die den Auszug aus den AGBs auf Folie 15 hinweisen!!!

Zertifizierung, Fachliche Leitung: Thomas Hess (LMU München)

Maximilian von Grafenstein (HIIG ) referiert über Datenschutz als Wettbewerbsvorteil: Die Zertifizierung von Privacy-by-Design und der Stand der Technik

Johanna Hofmann (Uni Kassel) über Dynamische Zertifizierung: Der Weg zum verordnungskonformen Cloud Computing

Sie meint, dass eine Zertifizierung das Vertrauen in Cloud Computing erhöhen würde. Cloud Computing ist rechtlich eine Auftragsdatenerarbeitung. Unklar bleiben dabei: Anbieter, Serverstandorte, Softwareversionen der Änderungen und Zusatzdienste. Transparenz kann nur durch eine kontinuierliche Zertifizierung geschaffen werden.
Preise von 10 bis 20.000 € für eine Zertifizierung sind zurzeit üblich. Unternehmen in den USA wollen zertifiziert werden aus Angst vor der EU Datenschutzgrundverordnung.

Umsetzung von Privacy by Design, Fachliche Leitung: Michael Kreutzer (Fraunhofer SIT)

Robin Knote, Laura Friederike Thies, Christian Geminn, Matthias Söllner (Uni Kassel) referieren über Anforderungs- und Entwurfsmuster als Instrumente des Privacy by Design
Sven Türpe & Andreas Poller (Fraunhofer SIT): Erfolgsfaktoren für Privacy by Design
Matthias Marx, Maximilian Blochberger, Dominik Herrmann & Hannes Federrath (Uni Hamburg): Privatsphäre als inhärente Eigenschaft eines Kommunikationsnetzes
Robin Knote, Laura Friederike Thies, Christian Geminn, Matthias Söllner (Uni Kassel): Anforderungs- und Entwurfsmuster als Instrumente des Privacy by Design

Es gibt ein Spannungsfeld zwischen Nutzungsqualität und Datenschutz (Personalisierung-Profiling). Die Hersteller benötigen erweiterte Ressourcen um Datenschutz umzusetzen. Notwendig ist die Berücksichtigung bereits beim Konzipieren datenverarbeitender Systeme. Die Nutzung von Pattern/Muster muss die datenschutzrechtliche Aspekte bereits enthalten.

Die Uni Kassel entwickelt „smarten persönlichen Assistenten“ à la Alexa, Siri und Co., der Datenschutzrisiken bereits berücksichtigen soll:

Gefahren/Risiko Abschätzung (Welche Daten werden gezogen?) Projekt ANEKA - über Uni Kassel von DFG gefördert

Die Frage: "Wenn meine Stimme erfasst wird, ist es rechtens das automatisch Werbung je nach Stimmung / Laune geschaltet wird?" wird so beantwortet: "juristisch ist es kein Angriff aber es ist nicht datenschutzgerecht nach Art. 25 DS-GVO".
Es bleibt die Frage, was steht in den AGBs, kann sich das Unternehmen damit rechtlich abgesichern? Wenn in den AGB die Profilbildung festgehalten ist und erlaubt ist, ist diese dann rechtskonform?

"Wenn nun zusätzlich Gäste im Hause sind, haben diese dem Vertrag (AGB) ebenfalls unwissentlich zugestimmt?"

Laura Thies stellt dazu fest: "Die menschliche Stimme stellt einen biometrischen Datensatz dar (körperliche Eigenschaften). Nach Art. 9 Abs.1 ist deren Datenverarbeitung verboten mit Ausnahmen (Arzt usw.). Michael Kreutzer bemerkt dazu, dass Apple behauptet, die menschliche Stimme wäre kein biometrischer Datensatz.

Drum merke: Sprachassistenten speichern alles, es gibt keine selektive Abschaltung bei datenschutzrechtlichen Themen!

Erfolgsfaktoren für Privacy by Design, Sven Türpe & Andreas Poller (Fraunhofer SIT)

Wie bekommt man Privacy in Produkte und Software hinein? Ein schlechtes Beispiel ist die Gesundheitskarte. Die Beschreibung der Telematikinfrastruktur ist 800 Seiten lang. Das ist Softwarebürokratie. Einweiteres Problem ist Big Design Up Front:

Design ist oft auf “Schönheit” ausgelegt/ausgerichtet
Verluste bei anderen wichtigen Dimensionen (Datenschutz)
Einwirkung auf Entwicklungsprozesse aus datenschutzrechtliche Hinsicht kaum möglich
Komplexe Fragestellungen
Programmierer besser schulen/weiterbilden
Missbrauch durch Re-Identifikation von Datensätzen
Kommunikationsprobleme zwischen Datenarchiv-Beauftragte(kennen Sicherheitsanforderungen) und IT-Experten (Bastler)
Entwickler übersehen wissentlich Security Maßnahmen (werden nicht explizit gefordert)
Entwickler brauchen explizite, spezifische Aufforderungen und müssen gutes Feedback und Raum für Arbeit daran erhalten
Managment muss Datenschutz fordern und auch forcieren

Privatsphäre als inhärente Eigenschaft eines Kommunikationsnetzes, Matthias Marx, Maximilian Blochberger, Dominik Herrmann & Hannes Federrath (Uni Hamburg)

Nachträgliche Maßnahmen gegen z.B. Tracking sind möglich aber schwierig, z.B. Tor Netzwerk
Keine wirklichen Schutzmaßnahmen bei smarten Geräten (Kühlschränke usw.)

Ihr Ziel: Entwicklung eines leichtgewichtigen Anonymisierungsdienstes (über Router oder Internetprovider)

adress sharing: - mehrere Nutzer teilen sich IP-Adresse
adress hopping: - häufiger Wechsel der IP-Adresse (viele Möglichkeiten durch IPv6)
Ihr Projekt: Onion Router - mit Rasberry Pi ermöglicht 10 neue Verbindungen pro Sekunde

Gewährleistung von Transparenz, Fachliche Leitung: Michael Friedewald (Fraunhofer ISI)

Sebastian Stein (Uni Tübingen): Mehr oder weniger frei? Bemerkungen zum Verhältnis von digitaler Werbung und individueller Autonomie
Charlotte Husemann & Fabian Pittroff (Uni Kassel): Smarte Regulierung von Informationskollektiven im Internet der Dinge
Lukas Hartmann (Univ. Regensburg), Matthias Marx (Univ. Hamburg), Eva Schedel (ULD Kiel), Christian Roth (Univ. Regensburg), Wolfram Felber (ULD Kiel) & Dogan Kesdogan (Univ. Regensburg): Can the ISP be trusted?

-- nicht teilgenommen --

Podiumsdiskussion: Umsetzung der Datenschutz-Grundverordnung im institutionellen Kontext

Impulsvorträge:

Philip Schütz (Universität Göttingen): Zum Leben zu wenig, zum Sterben zu viel? Die finanzielle und personelle Ausstattung deutscher Datenschutzbehörden im Vergleich
Barbara Stoeferle (Berufsverband der Datenschutzbeauftragten Deutschlands BvD): Eine Vision für die Rolle der betrieblichen Datenschutzbeauftragten

Diskussionsteilnehmer:

Thilo Weichert (Netzwerk Datenschutzexpertise)
Johannes Caspar (Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit, Ländervertreter in der Art. 29-Datenschutzgruppe )
Achim Klabunde (Europäischer Datenschutzbeauftragter EDPS)

Moderation: Sven Oswald (rbb)

Außer in Deutschland sind betriebliche Datenschutzbeauftragte auch nach der neuen EU Datenschutzgrundverordnung freiwillig. Aber es gibt nun in allen EU Staaten einen Landesdatenschutzbeauftragten. Der Datenschutzbeauftragte ist Unterstützer nach Art. 5 DSGVO.

Interessante Bemerkung: Die Datenschutzgrundverordnung wurde nur verabschiedet, weil die Politik nach den Snowden Enthüllungen „irgend etwas" tun wollte.

Notwendige Schritte zu einem modernen Datenschutzrecht Alexander Roßnagel (Forum Privatheit)

Der Begriff „personenbeziehbar“ ist im technischen Wandel und das ist weder gut noch schlecht. Die Auseinandersetzung ist immer wieder neu zu führen und für viele Daten im Bereich von IoT (Internet of Things) zum ersten Mal.

Der Art. 15 DS-GVO behandelt automatische Einzelentscheidungen. Sie sind nun nur noch verboten, wenn der Betroffene dadurch geschädigt wird.

Eine Bremer Kanzlei hat eine App entwickelt wie eine automatische Kontrolle von Hartz-IV Bescheiden durchführt. Das Ergebnis ist: sie gewinnen damit 90% der Fälle, da 50% aller Hartz-IV Bescheide falsch sind.

Die Sanktionen in der Datenschutzgrundverordnung mit Strafen von 4% Umsatz sind realistisch und keinesfalls zu hoch, denn im Wettbewerbsrecht sind es 10%.

Zu den "offenen Formulierungen" in der EU DS-GVO meint er, dass ein perfektes Recht keine Freiheit und ein offenes Recht keine Eindeutigkeit besitzt. Beides zusammen ist unmöglich.

Missverstandene Technik-Neutralität - wir brauchen Risiko-Neutralität, Alexander Roßnagel

Es herrscht eine missverstandene Technik-Neutralität - wir brauchen eine Risiko-Neutralität.

Zu den "offenen Formulierungen" in der EU DS-GVO kann man sich zum Vergleich den Entwurf der EU eCall Regelung in Art. 6 nehmen. Dort und in der e-Privacy Regelung sind die Regelungen sehr konkret gelungen, siehe Artikel 8, 10, 12, 16, ff. Auch er spricht sich dafür aus, dass die Datenschutzgrundverordnung konkretisiert werden muss. Das ist mit dem Artikel über den Koheränzausschuss möglich.

Nebenbei wurde inhaltlich auf das Verfahren von Schremps gegen Facebook eingegangen: Dieser hatte einen App entwickelt, mit der er einerseits Facebook-Nutzer generieren konnte, die dannn Facebook die Weitergabe ihrer daten verweigerten und gleichzeitig von Facebook als "Unternehmer" Daten über genau diese Nutzer kaufen wollte. Damit konnte er Facebook datenschutzrechtlich unzulässiges Verhalten nachweisen.

Schutzpflicht des Staates für die informationelle Selbstbestimmung? Martin Kutscha (Hochschule für Wirtschaft und Recht, Berlin)

Wichtigste Entscheidungen des Bundesverfassungsgerichts war das Volkszählungsurteil. Seitdem können wir immer Aufklärung verlangen: "Wer speichert was und welche Daten ?“

Grundrechte sind Abwehrrechte gegen den Staat nicht gegen Unternehmen. <-- historisch ja , aber muss das bei der Übermacht der Internetgiganten weiterhin richtig sein?
Deshalb braucht der Bürger ein Schutzrecht des Staates gegen Unternehmen. Es besteht aber auch eine Selbstschutzpflicht.

Ein Problem bleibt: Der Staat ist selbst ein Datenkrake.

Datenanalysesysteme bei Polizei im Lichte des neuen Datenschutzrechts, Paul Johannes (Uni Kassel)

Er stellt das Projekt MUSKAT vor: Das Projekt soll Straftäter in Menschenmengen finden und ähnelt damit INDECT.

Als Abwehr gegen staatliche Überwachung verweist er auf die

EU Grundrechte-Charta, Artikel 7 und Art. 8
Informationelle Selbstbestimmung Art. 2 Datenschutzgrundverordnung und
ePrivacy Regelung (ab Mai 2018 )

Leider kommt noch eine JI Richtlinie der EU hinzu, die wiederum Polizeibefugnisse europaweit regeln soll und verschiedene der obigen Regelungen für die Polizei wieder öffnet.

Die Polizei befürchtet zusätzliche Arbeit durch Informationspflicht nach Datenschutzgrundverordnung. Automatische Einzelentscheidungen sind verboten, wenn nachteilige Rechtsfolgen entstehen können. Offen bleibt welche Zwischen- oder Weiterverarbeitung von Daten erlaubt sind.

Ein Paragraf des neuen Bundesdatenschutzgesetzes verbietet das Profiling, "wenn dadurch Diskriminierung entsteht". Dies ist eine Verschlechterung gegenüber der bisherigen Regelung.

Überwachungs-Gesamtrechnung, Benjamin Bremert, Felix Bieker (ULD Schleswig-Holstein) & Thilo Hagendorff (Uni Tübingen)

Das Bundesverfassungsgericht hat seit 2005 den Begriff additive Grundrechtseingriffe definiert. Beim Urteil zur Vorratsdatenspeicherung im Jahr 2010 wurde festgestellt, dass eine anlasslose Speicherung die Ausnahme bleiben muss, weil die Summe der Grundrechtseingriffe bereits an der oberen Grenze der additiven Grundrechtseingriffe liegt.

2010 war die Grenze erreicht alles danach geht darüber hinaus. Jedes neue Gesetz muss in die Bilanz der Gesamtrechnung aufgeführt und gewertet werden. Bereits im Volkszählungsurteil spricht man von der Gefahr der Anpassung. Es tritt eine Gewöhnung an die Überwachung ein.

Die Frage bei der Überwachungs-Gesamtrechnung ist:

Was gehört alles dazu?
Videoüberwachung, soziale Netzwerke, wie soll dies gewertet werden?
Es fehlt ein Maßstab dafür und
es fehlt ein Maßstab für die Gewöhnung.

Eine technische Implementierung der Gesamtrechnung ist schwierig.
Das Bundesverfassungsgericht traut sich bisher nicht, selbst diese Gesamtrechnung durchzuführen.

Ad-hoc-Kommunikation - Gesellschaftlich wünschenswert, rechtlich ungeregelt, Fabian Schaller (Uni Kassel), Patrick Lieser, Lars Almon, Flor Álvarez and Tobias Meuser (TU Darmstadt)

Eine Ad-hoc-Kommunikation zwischen Menschen und (mit) ihren Geräten ist gesellschaftlich wünschenswert aber rechtlich ungeregelt.

Es gibt 5 Milliarden Mobilegeräte auf der Welt. Die App FireChat hat sich bei den Protesten in Hongkong und im Irak 2014 bewährt. Allerdings ist ihre Kommunikation nicht verschlüsselt und deshalb unbrauchbar. Auch die Sicherheitskräfte verfügten darüber und konnten "Rädelsführer" erkennen und aus der Kommunikation eleminieren (IMSI Catcher).

Android als Linux-Abkömmling enhielt Ad-hoc-Netzwerke. Google hat in Android diese Direktkommunikation erst versteckt und dann unmöglich gemacht. Dafür bietet Google Nearby und Apple Multipeer als proprietäre Protokolle an. Es gibt auch noch Bluetooth 5 Mesh, LTE D2D u.a.

Rechtliche Probleme treten bei der Zwischenspeicherung auf: Wer ist datenschutzrechtlich der "Verantwortliche"?

Datenschutz in der gesellschaftlichen Kommunikation, Fachliche Leitung: Jessica Heesen (Univ. Tübingen)

Eva Schlehahn (ULD Schleswig-Holstein): Transparenz als zentrales Element von Datenschutzrecht, Ethik und Technik
Daniel Guagnin (Praemandatum GmbH, Hannover): Das digitale Mosaik verstehen, Mündigkeit als Grundstein für Selbstbestimmung in der digitalen Gesellschaft
Martin Degeling (Carnegie Mellon Univ. Pittsburgh) & Thomas Herrmann (Uni Bochum): Die Chancen von Invervenierbarkeit in (sozio-)technischen Systemen

-- nicht teilgenommen --

Abschluss-Gesprächsrunde zur Fortentwicklung des Datenschutzes

Marit Hansen (Landesbeautragte für Datenschutz Schleswig-Holstein)
Hannes Federath (Univ. Hamburg)
Nadine Absenger (DGB Bundesvorstand)
Martin Emmer (Freie Universität Berlin)
Sven Oswald (rbb) )Moderation:

Die Aufgabe des Datenschutzes ist, Fehler im System aufzudecken und zu beheben. Datenschutz ist nicht sexy, kann es aber sein.

Ein Beispiel: Im unabhängigen Landesamt für Datenschutz in Schleswig-Holstein sollten neue Kopierer angeschafft werden. In der Ausschreibung wurde Datenschutz verlangt. Das heißt, es sollten nur Kopierer angeschafft werden,

die eine Firewall enthielten,
die die Daten verschlüsselt ablegen,
ein abänderbares Passwort haben und
die keine Identifikation durch Muster (Yellow Dots) hinterlassen.

Es gab keine solchen Angebote.

In Schleswig-Holstein wird jetzt Datenschutz-gemäßes Verhalten bei allen Anschaffungen gefordert und Open Source oder Einblick in den Quellcode gefordert.

Nadine Absenger (DGB Bundesvorstand) stellt fest, dass der Arbeitnehmerdatenschutz durch die Grundverordnung schlechter geregelt ist als vorher im Bundesdatenschutzgesetz.

Auch dieses Beispiel lässt keine Freude aufkommen: Gelöschte Daten sind nie gelöscht. Bei dem Mail Anbieter Yahoo wurden Postfächer gestohlen, die seit 15 Jahren geschlossen waren. Diese hätten längst gelöscht sein müssen.