Covid19 App: Datenschutz 6 setzen

    Die technische Entwicklung der Corona App kann man ja durchaus als eine Glanzstück in der Geschichte der Softwareentwicklung durch den Staat bezeichnen. Quelloffen entwickelt und dezentral. Ich habe ja schon mehrfach geschrieben das dies wirklich toll ist.

    Wie aber so häufig wird das Thema Datenschutz in diesem Kontext auf einen kleinen Teil der Gesamtlösung betrachtet, nämlich der App auf dem Smartphone. Die DSGVO schreibt sinnvoller weise vor, das eine Datenschutzfolgeabschätzung durchgeführt werden soll. Diese soll im wesentlichen die Risiken einer Verarbeitung von personen bezogenen Daten aufzeigen und die geplanten Maßnahmen hierfür beschreiben.

    Eine Gruppe von Wissenschaftlern aus dem Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) hat den Bericht zu dieser Datenschutzfolgeabschätzung analysiert und für mich lautet das Ergebnis:

    Sechs, setzen

    Einige Highlights

    Der vorgelegte DSFA-Bericht weist typische Mängel von DSFA-Projektgruppen auf, die über wenig Erfahrung in der Durchführung einer DSFA und des Berichts verfügen. Das ist deshalb ein bedrückendes Fazit, weil DSFAen seit Mai 2016 aufgrund der DSGVO zum Standard-Repertoire eines jeden Projekts zur Verarbeitung personenbezogener Daten gehören müssen und es inzwischen auch Expertise, Anleitungen und Methoden zur Durchführung von DSFA gibt.

    und weiter

    Der vorliegende CWA-DSFA-Bericht impliziert ein hohes Maß an Orientierungslosigkeit bezüglich Datenschutz im allgemeinen, der Funktion einer DSFA im Besonderen sowie der methodischen Erfüllung der Anforderungen der DSGVO auf. Der DSFA-Bericht weist keinerlei Systematik aus, die aus der Problemstellung und der Erfüllung der – einzig maßgeblichen – Anforderungen der DSGVO abgeleitet ist

    Bei 20 Millionen Entwicklungskosten hätte man sich dort vielleicht etwas mehr Mühe geben sollen.

    Analyse der Datenschutzfolgeabschätzung für die Corona App
    2.7.20
    Weitere Beiträge zu: Covid19 ContactTracingApp

    Ist es in Ordnung bei Rot über die Ampel zu fahren?

    Was für eine doofe Frage. Alle werden sagen das ist keine “gute Idee”. Wir haben uns auf Regeln geeinigt die den Verkehr sicherer machen und nur wenn sich alle daran halten dann geht es möglichst ohne Geschädigte über die Bühne. Natürlich gibt es Regelungen die vielleicht nicht jeder auf Anhieb versteht und über die man reden könnte aber grundsätzlich akzeptieren (fast) alle die Regelungen die in der STVO festgelegt werden.

    Die Straßenverkehrs-Ordnung (StVO) der Bundesrepublik Deutschland ist eine Rechtsverordnung, die Regeln für sämtliche Teilnehmer am Straßenverkehr auf öffentlichen Straßen, Wegen und Plätzen festlegt. (Wikipedia

    Niemand käme auf die Idee zu sagen:

    Wenn man […] kaputtmachen möchte, dann schwingt man mit der STVO-Keule.

    Warum passiert das aber häufig bei der DSGVO?

    Die Datenschutz-Grundverordnung (DSGVO ) ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch die meisten Datenverarbeiter, sowohl private wie öffentliche, EU-weit vereinheitlicht werden. Dadurch soll einerseits der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt, und auch andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden.

    Eine Verordnung die mit den Regeln sicherstellen soll das uns durch die Verwendung unserer Daten kein Schaden entsteht.

    Hier aber ist es üblich, daß wir von einer Datenschutzkeule sprechen und man es sich häufig herausnimmt selber entscheiden zu können, wie wir mit den personenbezogenen Daten von anderen umgehen.

    Es ist halt nicht ok wenn wir für LKW Fahrer (Behörden/Firmen) verlangen das sie die STVO beachten und wir mit unserem Auto immer bei Rot über die Ampeln fahren (mit anderen Daten umgehen wie es uns bequem ist).

    Es ist noch ein weiter Weg bis “wir alle” verinnerlicht haben das Datenschutz die Aufgabe von uns allen ist. Auch wenn es “im Augenblick” unbequem ist.

    Dieser Artikel wurde übrigens angeregt durch eine Diskussion mit einem engagierten aber alleine gelassenen Lehrer über die Nutzung von Online Werkzeugen. In deren Haut möchte ich momentan nicht stecken und an deren Stelle würde ich vielleicht auch mal langsam bei Rot über die Ampel fahren, aber dabei wissen das es verkehrt ist. Ich finde als Arbeitnehmer muss man sich schon fragen ob man die Daten von Kunden, Interessenten oder Schutzbefohlenen verarbeiten darf und im Zweifelsfall seinen Arbeitgeber fragen. Und dann mit der Antwort leben.

    Image by Geralt

    26.6.20
    Weitere Beiträge zu: DSGVO Datenschutz Schulen

    Erziehungsauftrag

    Es gibt Dinge die man können muss :-)

    Das mit dem Hefeweizen klappt jetzt auch.

    25.6.20
    Weitere Beiträge zu: Kinder Erziehung

    Low Budget Teppichmesser EDC

    Ich gebe ja zu das ich immer noch ein kleiner Messerfreak bin. Allein die Anzahl der eigenen und bereits geerbten Taschenmesser hält mich kopfgesteuert noch davon ab mir neue Messer für die Hosentasche zu kaufen.

    Am Ende brauche ich aber recht selten ein echtes Messer sonder meistens nur eine scharfe Klinge um schnell etwas aufzuschneiden. Auch hier bietet der Markt an sogenannten “EDCs” (Every Day Carry) eine Vielzahl von teuren Gehäusen für Teppichmesserklingen an. Hier kann man schnell 50 bis 100 Euro für einen Schlüsselanhänger ausgeben.

    Wenn man einen 3D Drucker hat kann man sich die allerdings auch für Centbeträge auf Thingiverse ein Model laden und ausdrucken. Die kann man dann auch großzügig auf Taschen und Rücksäcke verteilen. Man ärgert sich auch nicht wenn man so etwas am Flughafen zurücklassen muss.

    Covid Virus
    21.6.20
    Weitere Beiträge zu: 3dDruck

    Covid19 Contact Tracing App: es wird nicht besser

    Ich bin ja bisher recht pessemistisch was den angeblichen Covid19 Heilsbringer der Corona-Warn-App angeht.

    Auch wenn ich wirklich zufrieden und überrascht bin mit welcher Offenheit und Transparenz das Projekt technisch durchgeführt worden ist. Es ist schon wirklich bemerkenswert das aus Sicherheits- und Datenschutzperspektive noch nicht einmal der CCC zu einer negativen Bewertung kommt. Also wirklich einen Glückwunsch an das technische Projekt. Es wäre toll wenn zukünftig mehr gesellschaftrelevante IT Projekte nach diesem Vorbild ablaufen würden.

    Aber es reicht halt nicht wenn ein Werkzeug toll gebaut worden ist. Es muss auch das Problem lösen für das es gebaut worden ist. Und da kommen neben meinen schon genannten organisatorischen Bedenken jetzt noch weitere Faktoren dazu.

    Die Einführung der Corona-Warn-App beschert den Gesundheitsämtern eine Flut von Anfragen. Noch am Tag der Einführung hätten allein bei der Hotline des Berliner Gesundheitsamtes 434 Menschen angerufen, die Probleme mit der App hatten, sagte die Vorsitzende des Bundesverbandes der Ärzte im öffentlichen Gesundheitsdienst Ute Teichert

    Das bedeutet eine eh schon überlastete Behörde kann sich noch weniger auf Ihre eigentliche Aufgabe konzentrieren. Wohl keine echte Hilfe.

    • Sprachprobleme hatte ich bisher nicht auf dem Radar. Deutsch und Englisch reicht halt nicht wenn gerade die Bevölkerungsgruppen die auf engstem Raum leben dieser Sprache nicht mächtig sind wie der Leiter eines Berliner Gesundheitsamts sagt:

    Die Leute haben tatsächlich Handys, aber die App gibt es auf Deutsch und auf Englisch, beides sprechen sie kaum.

    • Die App untertützt ältere Smartphones nicht. Das ist zwar keine Einschränkung der gut gemachten App aber der Basistechnologie von Apple und Google. Ist aber für die Nutzung egal.

    Deshalb kann die App auf der großen Mehrheit der gängigen Endgeräte und mit den gängigen Betriebssystemen genutzt werden. Das benötigte Update auf das passende Betriebssystem (iOS, Android) wird im üblichen Regelprozess auf Ihr Smartphone gespielt.

    Auch wenn ich selbst nie ein Smartphone ohne aktuelle Sicherheitsupdates verwenden würde müssen wir davon ausgehen das ein große Anzahl von alten Geräte die Anwendung nicht nutzen können. Da ist es dann auch etwas überheblich einfach zu sagen das die sich halt ein neues kaufen sollen. Selbst wenn ich ein passables Gerät neu kaufe bin ich bei 200 Euro. Nehmen wir eine Familie mit 5 Personen in finanziell grenzwertigen Bereichen sind das 600 Euro nur für 3 neue Smartphones. Ich bin sicher sagen zu können: Das wird nicht jeder machen.

    Die fast 70 Mio hätte man besser in die notwendingen Massentests investieren sollen.

    Ich bleibe bei meiner bisherigen Vorhersage

    Die Covid19 Contact Tracing Apps oder Corona Apps sind Geldverschwendung

    Covid Virus
    20.6.20
    Weitere Beiträge zu: Covid19 ContactTracingApp

    Zoom: kein Homeoffice für Sicherheitsanalysten

    Also wenn Zoom der eigenen Sicherheit und Nutzung als Werkzeug für verteiltes Arbeiten nicht mehr traut…

    Neben allen anderen Diskussionen über die Sicherheit dieser Technologie wäre diese Stellenausschreibung für mich der Sargnagel für die Nutzung von Zoom.

    Ein Security Analyst für das Produkt muss vor Ort arbeiten. Homeoffice ist nicht erwünscht.

    Must reside in or be willing to relocate to San Jose, CA or Denver, CO areas; this is not a “remote” role.

    Warum will Zoom einen Sicherheitspezialisten nicht remote arbeiten lassen?
    11.6.20
    Weitere Beiträge zu: Zoom Videokonferenzen Sicherheit

    Miniflux mit Ansible auf Freebsd installieren

    Bisher verwende ich den RSS Feed Reader ttrss. Eigentlich bin ich damit zufrieden aber das Design und die Komplexität der Installation haben bei mir den Entschluss reifen lassen diesen Reader bei der nächsten Gelegenheit gegen Miniflux zu tauschen. Eine defekte SD Karte in dem Raspberry Pi erforderten nun diesen Schritt.

    Seit einiger Zeit versuche ich soweit wie möglich die Jails auf meinem Freenas mit Ansible zu verwenden. Zu meiner Überaschung ging das eigentlich recht zügig. Hier das Playbook ohne die Anteile Letsencrypt, Nginx und Postgres DB export. Nur den letzten Befehl für das Anlegen des Admins konnte ich nicht mehr automatisieren. Da ich aber eh beim nächsten mal automatisiert das Backup der Datenbank einspielen werden ist das nicht weiter tragisch.

    Wichtig: Wahrscheinlich nicht sicher. Nur in sicheren Umgebungen verwenden

    Miniflux
    - hosts: miniflux
      become: yes
      roles:
         - freebsd-letsencrypt
         - freebsd-nginx
         - restic
         - postgresql-backup 
           postgresql_backup_dir: /root/postgresql-backups
      tasks:
          - name: Add packages on FreeBSD 
            pkgng:
                name: rsync,curl,git, htop, bash
          - name: Add postgresql 
            pkgng:
                name: ""
            with_items:
            - postgresql96-server
            - postgresql96-client
            - postgresql96-contrib
            - py37-pip
          - name: Enable the postgres service
            shell: "sysrc postgresql_enable=yes"
          - name: Intialize the database
            shell: service postgresql initdb
            args:
               creates: "/var/db/postgres/data96"
          - name: Start database
            service:
                name: postgresql
                state: started
          - name: Pip install into system python
            pip:
               name: ""
               executable: pip-3.7
            with_items:
            - psycopg2
          - name: Create a new database 
            postgresql_db:
                name: miniflux2
          - name: create a miniflux user 
            postgresql_user:
               db: miniflux2
               name: miniflux
               password: miniflux
               role_attr_flags: SUPERUSER
          - name: Adds extension to the database
            postgresql_ext:
               name: hstore
               db: miniflux2
          - name: Add miniflux
            pkgng:
                name: miniflux
          - name: Run the SQL migrations 
            shell: "/usr/local/bin/miniflux -migrate"
          - name: Enable service miniflux, and not touch the state
            service:
               name: miniflux
               enabled: yes 
          - name: Start service miniflux, if not started
            service:
              name: miniflux
              state: started
    #     - name: Create an admin user by hand
    #       shell: "/usr/local/bin/miniflux -create-admin"
     
    
    10.6.20
    Weitere Beiträge zu: TTRSS Miniflux Ansible Freebsd

    Vertikales Palettenbeet

    Ich hatte die Idee aus Paletten eine Art vertikales Hochbeet zu fertigen. Meine Tochter hat sich der Sache angenommen. Einfache aus 2 Paletten mit zwei Brettern rechts und links verbunden und mit Brettern aus einer dritten Palette den Boden der Blumenkästen angeschraubt. Dann noch etwas Teichfolie in die “Kästen und fertig.

    Das gute Stück steht jetzt mit Kräutern, Salat und Beeren bepflanzt an einer Sonnenseite des Hauses.

    Wir sind gespannt.

    Beet aus Paletten an der Wand
    7.6.20
    Weitere Beiträge zu: Paletten Beet Garten

    COVID19 Gesichtsschutz Manufaktur

    Auch wenn der Bedarf im medizinischen Umfeld nach selbsterstelltem Gesichtsschutz abgenommen hat gibt es immer noch ehrenamtliche Organisationen die so etwas brauchen.

    Diese 20 Exemplare gehen an eine Tafel.

    Falls Ihr also selbst einen 3D Drucker habt ist es immer noch sinnvoll in seinem Umfeld zu schauen ob man nicht helfen kann.

    COVID19 3D Druck Gesichtsschutz


    6.6.20
    Weitere Beiträge zu: COVID19 3D-Druck FaceShields

    Digitale Nachhaltigkeit an Schulen ist möglich

    Es ist schön zu lesen das es im Gegensatz zu meinen negativen Erfahrungen auch schöne Beispiele für eine nachhaltige und vernünftige Vorgehensweise möglich ist.

    In Hannover werden “alte” Geräte mit Opensource Software weiterverwendet.

    Wir arbeiten mit Gebrauchthardware und reparieren die größtenteils selbst. Wir haben Notebooks, die sind über zehn Jahre alt, aber die funktionieren mit Linux wirklich noch einwandfrei. Als wir viele Laptops angeschafft haben, hatte ich Unterstützung von Schüler:innen in Form einer AG. Die haben dann geholfen, die zu installieren und haben die auch teilweise repariert, wenn die kaputt waren.

    3.6.20
    Weitere Beiträge zu: Schulen

    Schulpolitik nach dem "Wie auch immer" Prinzip

    Unsere großartige Bundesbildungsministerin hat das Kernprinzip unserer bundesweiten Bildungspolitik auf einen guten Nenner gebracht.

    Nach den Ferien muss überall ein strukturierter Unterricht angeboten werden - und zwar so, dass möglichst ein volles Schulprogramm gewährleistet ist. Wie auch immer.

    Eine Bundesministerin die offensichtlich den Bezug zur Realität verloren hat äußert eine Erwartungshaltung für die seit Jahren die notwendigen Grundlagen verweigert werden.

    Ich bin wirklich sehr unzufrieden was manchen Schulleitungen so leisten. Aber damit muss man rechnen wenn man strategische Themen wie E Learning und Digitalisierung den Amateuren in den einzelnen Schulen und Kommunen überlässt.

    Aber zu glauben man könne mal eben in 2 Monaten die Fläche der Klassen deutschlandweit durch Vereinsheime und Container zu verdoppeln ist im besten Fall naiv, auf jeden Fall ein Zeichen für die Amtsuntauglichkeit.

    Eigentlich könnte es ja egal was “die da oben” so faselt. Aber das dies zu einer Demotivierung der eh überforderten Lehrerinnen und Lehrer führt dürft klar sein. Und das kann einem mit Blick auf die Schüler nicht mehr egal sein.

    31.5.20
    Weitere Beiträge zu: COVID19 Schulen AnalogeSchulen

Dies ist ein privater Blog von Hagen Bauer- berufstätiger Vater, Ehemann, Naturliebhaber, Läufer, Zelter, technikverliebt.


Creative Commons License
This blog is licensed under a Creative Commons License