»Datensicherheit ist eine Illusion«

padeluun spricht in Sachen Datenschutz Klartext: »Die Leitung einer Bibliothek, die dem Speichern von Daten in der Cloud zustimmt, gehört unehrenhaft entlassen.« Foto: Veit Mette

padeluun spricht in Sachen Datenschutz Klartext: »Die Leitung einer Bibliothek, die dem Speichern von Daten in der Cloud zustimmt, gehört unehrenhaft entlassen.« Foto: Veit Mette

 

Der Künstler und Netzaktivist padeluun vergibt mit seinem Datenschutzverein Digitalcourage jährlich die BigBrotherAwards für Einrichtungen, die besonders schlampig und fahrlässig mit Daten umgehen. Bibliotheken hält er für ernsthafte Anwärterinnen. Was Bibliothekare tun können, um den Datenschutz für ihre Nutzer zu verbessern – und damit der Negativauszeichnung zu entgehen –, erklärt er im folgenden Interview mit BuB-Redakteur Bernd Schleh.

 

BuB: Elektronisch erfasste Daten scheinen nirgends sicher zu sein. Selbst die Rechner von Nachrichtendiensten und Regierungen werden gehackt. Ist Datenschutz eine Alibi-Veranstaltung?

padeluun: Datensicherheit ist eine Illusion. Gerade deshalb ist Datenschutz notwendig und die unbedingte Voraussetzung dafür, dass Sicherheitsprobleme nicht in Katastrophen münden.

Bibliotheken speichern haufenweise Daten ihrer Nutzer. Was sollten sie beachten, um Katastrophen zu vermeiden?

Es gibt niemals hundertprozentige Sicherheit. Das bedeutet, dass alle Systeme potenziell löchrig sind. Deshalb sollten Daten gar nicht erst gespeichert werden, und wenn doch, dann nur die Daten, die unbedingt benötigt werden. Zudem sollte eine Speicherung niemals an einem zentralen Ort stattfinden. Beispiel: Wird die Kundendatenbank einer Stadtbibliothek »geklaut«, sind nur die Kundinnen und Kunden einer Bibliothek die gelackmeierten. Das ist schon schlimm genug. Wird dagegen ein Zentralrechner der »Weltbibliothekennutzerverwaltung« angegriffen, sind alle Daten aller Menschen, die je eine Bibliothek nutzten, in schmutzigen Händen.

Das heißt, auch wer sich an die rechtlichen Regelungen hält und technische Schutzmaßnahmen anwendet, hat letztlich keinerlei Garantie dafür, dass seine elektronisch gespeicherten Daten sicher abgelegt sind?

Exakt. Wir können technische Hürden schaffen, aber es könnte sich immer jemand finden, der diese Hürden locker überspringt.

Was hat das wiederum für Konsequenzen für Einrichtungen, die sensible Daten speichern – wie zum Beispiel Bibliotheken?

Kant lesen! Kategorischer Imperativ! Im Ernst: Ich muss mir als Entscheiderin oder Entscheider einer Bibliothek erst einmal gewahr sein, dass ich die verdammte Verpflichtung habe, die mir anvertrauten Daten zu schützen. Und ich muss mich solange weiterbilden, bis ich wirklich begriffen habe, warum diese Daten so schützenswert sind. Denn erst dann lerne ich, dass ich eher ein Merkmal »volljährig« speichere als ein Geburtsdatum, dass ich Bücherlisten physisch lösche und nicht aufbewahre, weil es doch interessant sei, »nach ein paar Jahren noch mal sehen zu können, was man gelesen hat«.

Wie lange sollten Kundendaten überhaupt in einer Bibliothek gespeichert bleiben?

Gar nicht. Vielleicht, solange ein Buch ausgeliehen ist. Aber sobald es wieder da ist: Restlos löschen! Name und Adresse muss auch nicht gespeichert sein. Kann auch auf dem Ausweis stehen und wird nur temporär erfasst, solange ein Buch ausgeliehen ist. Mir würden da einige Szenarien zur Verbesserung einfallen.

Gehört die Speicherung von Daten in der Cloud auch dazu?

Ganz sicher nicht. Die Leitung einer Bibliothek, die dem Speichern von Daten in der Cloud zustimmt, gehört unehrenhaft entlassen.

Unabhängig davon, ob die Cloud-Daten in Deutschland, Europa, USA oder in anderen Ländern gespeichert sind?

Spätestens seit Edward Snowden wissen es alle: Das macht keinen Unterschied.

Wie sieht es mit der Sicherheit beim Szenario »RFID-Technik« aus?

RFID und Datenschutz schließen sich aus. So einfach ist das.

Viele Bibliotheken lagern das Thema Datenschutz an externe Dienstleister aus. Sind sie damit aus dem Schneider?

Sie haben nicht wirklich geglaubt, auf diese Frage etwas anderes als »nein« zu hören? (lächelt) Ich muss schon den Mut haben, mich meines eigenen Verstandes zu bedienen. Das bedeutet, dass ich nicht einfach »passt schon« sagen darf, sondern dass ich mich selbst informiere und dann erst entscheiden kann, ob mein Dienstleister überhaupt selbst qualifiziert ist. Allerdings wird RFID nicht dadurch datenschutzfreundlicher, indem ich einen Dienstleister beauftrage, »RFID datenschutzfreundlich umzusetzen« und der mir das mit seiner Unterschrift bestätigt. Datenunsicherheit wird nicht dadurch besser, dass ich die Gefahren weglüge oder selbst die Augen davor verschließe.

Datenschutzbeauftragte haben haufenweise gute Ratschläge und kommen im Wettlauf mit den Datenabzockern dennoch regelmäßig hinterher. Was können sie überhaupt ausrichten?

Die amtlichen Datenschutzbeauftragten haben schon einige ordnungsrechtliche Mittel, die sie einsetzen könnten. Datenschutzbeauftragte von Firmen und Behörden haben auch einige Druckmittel, die sie verwenden können. Uns erzählte mal jemand, dass er seinem Chef nur sagen musste, dass »wir als Firma ja keinen BigBrotherAward bekommen« wollen – und seither darf er bei Planungstreffen zu Produktentwicklungen gleich mit am Vorstandstisch sitzen.

In Europa soll nun ja alles besser werden. Die Europäische Union ist momentan dabei, mit einem Entwurf für die Datenschutz-Grundverordnung den Datenschutz komplett neu zu regeln. Ist das die Lösung?

Es bleibt abzuwarten, wie sehr dieser Entwurf vor der Verabschiedung noch verwässert wird.

Warum wird in Brüssel gerade beim Datenschutz so wenig auf die Interessen der Verbraucher geachtet?

Verbraucherinnen und Verbrauchern – ich spreche lieber von im Lande lebenden Menschen – ist ihre wichtigste Lobby abhandengekommen: die Parlamente. Deshalb rate ich vielen Menschen, sich auch mit Geldspenden und Mitgliedschaften neue Sprachrohre zu schaffen, die für Grundrechte in der digital vernetzten Welt kämpfen. Deshalb bauen wir meinen Verein »Digitalcourage« zu einer großen NGO, also Nichtregierungsorganisation, aus.

Das neue EU-Gesetz will den bisher wichtigsten Grundsatz bei der Datenerhebung, die Zweckbindung, also die Prämisse, dass Daten nur zu einem zuvor vereinbarten Zweck verwendet werden dürfen, aufheben. Was hätte das für Folgen?

Ich hoffe, dass wir das noch verhindern können. Denn dies liefert uns allen Datenkraken hemmungslos aus. Stellen Sie sich vor, dass Sie auf der Straße alle paar Meter angestarrt, taxiert, angesprochen, angebettelt werden und jemand Ihnen etwas verkaufen will. Statt – bildlich gesprochen – den kurzen Weg zum Bahnhof in 10 Minuten zu gehen, brauchen Sie nun 30 Minuten. Das wirft uns kulturtechnisch mindesten 500 Jahre zurück.

Wie können Volksvertreter auf so eine Idee kommen?

Cherché d‘Argent: Organisationen, wie die meine, haben zu wenig Geld, um genügend gegen die Industrie- und Finanzmarktinteressen »anlobbyieren« zu können. Hinzu kommt: Es hat noch kaum jemand die IT-Revolution wirklich verstanden. Digitale Äpfel lassen sich nun mal nur schwer mit analogen Birnen vergleichen. Da fällt es nicht leicht, die richtigen Prioritäten zu setzen.

Zur Person

padeluun, der öffentlich nur unter seinem Pseudonym auftritt, ist ein deutscher Künstler und Netzaktivist, der für digitale Bürgerrechte eintritt. Er gründete 1984 zusammen mit Rena Tangens das Kunstprojekt und die Galerie Art d’Ameublement. Er ist einer der Vorsitzenden des Datenschutzvereins Digitalcourage (vormals FoeBuD), Mitarbeiter im Arbeitskreis Vorratsdatenspeicherung und einer der Organisatoren sowie Jurymitglied der deutschen Big Brother Awards. Diese präsentiert er bei der seit dem Jahr 2000 jährlichen Preisverleihung in Bielefeld, wo er auch lebt und arbeitet.

Schlagworte:

2 Kommentare auf "»Datensicherheit ist eine Illusion«"

  1. Christian Pietsch postete diesen Beitrag am 09. November in der Mailingliste Inetbib und es entwickelte sich dort eine lebhafte Diskussion zu diesem Beitrag, den Sie im Listenarchiv verfolgen können, indem Sie jeweils am Ende des Beitrages auf „Next by thread“ klicken.

Kommentar schreiben

*