Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

December 04 2019

Protokoll der mündlichen Anhörung zur VDS beim europäischen Gerichtshof

Bastien Le Querrec von La Quadrature du Net fertigte ein Protokoll der mündlichen Anhörung vor dem europäischen Gerichtshof an. Die klagenden Verbände sowie die Beklagten bekamen Zeit Stellung zu nehmen und Fragen der Richterinnen und Richter zu beantworten. Das Originaldokument gibt es nur in französisch. Ich habe es daher mit Hilfe von DeepL, Google Translate und von Chloé Berthélémy ins Deutsche übersetzt. An einigen Stellen ist die Übersetzung noch etwas holprig. Solltet ihr Verbesserungen haben, hinterlasst bitte einen Kommentar oder schickt mit eine E-Mail.

Im erweiterten Eintrag unten findet ihr den gesamten Text des Protokolls. Alternativ könnt ihr diesen auch als PDF-Datei herunterladen.

Protokoll der mündlichen Anhörung in den Rechtssachen C-623/17, C-511/18,C-512/18 und C-520/18 vor dem EuGH vom 9. und 10. September 2019 mit Privacy International, La Quadrature du Net, French DataNetwork, dem Orden der französisch- und deutschsprachigen Anwaltskammern und anderen

Bastien Le Querrec, übersetzt von Chloé Berthélémy und Jens Kubieziel

17. September 2019

Am 9. und 10. September 2019 fand die Anhörung vor dem EuGH in den Fällen Privacy International, La Quadrature du Net, French Data Network, dem Orden der französisch- und deutschsprachigen Anwaltskammern und anderen. Dies sind vier verbundene Fälle, weil sie auf dem gleichen Thema basieren:
die Rechtmäßigkeit von Systemen zur Speicherung von Verbindungsdaten für nachrichtendienstliche Zwecke. Das Gericht stellte den Parteien vor der Verhandlung mehrere Fragen. Im Laufe des Sommers wurden schriftliche Stellungnahmen vorgelegt, und diese Anhörung wurde durch Schriftsätze, mündliche Anfragen des Gerichtshofs und anschließende Antworten wiederholt.

Präsentation des Streitfalls

In allen vier Fällen wurden dem Gerichtshof Vorabfragen vorgelegt, in denen er aufgefordert wurde, die Konformität nationaler Maßnahmen zur allgemeinen Speicherung von Verbindungsdaten mit dem EU-Recht zu bewerten.

Verbindungsdaten sind die Daten, die eine Nachricht beinhalten. Wir können eine Parallele mit ein Brief in einem Umschlag ziehen: Die Verbindungsdaten sind das, was auf dem Umschlag steht und der Inhalt der Kommunikation ist das, was sich innerhalb des Umschlags befindet. Konkret, sind Verbindungsdaten der Empfänger und Absender einer Nachricht, die IP-Adresse eines Endgeräts, die Liste der Stationen, mit denen ein Telefon verbunden ist usw. Es sind in der Theorie nicht die Inhalte eines Gesprächs. Die klagenden Verbände haben jedoch gezeigt, dass diese Unterscheidung in der Praxis oft schwierig zu treffen ist. Die Mitgliedstaaten bewahren diese Verbindungsdaten aus Gründen der Kriminalitätsbekämpfung oder der nationalen Sicherheit auf. In Frankreich ist diese Aufbewahrungsfrist ein Jahr (Art. R10-13 EuRH). In den Urteilen Digital
Rights Ireland (EuGH, 8. April 2014, aff. C-293/12 und C-594/12) und Tele2 Sverige AB (EuGH, 21. Dezember 2016, Rechtssache C-203/15 und C-698/15) kam der Gerichtshof zu dem Schluss, dass der Grundsatz der allgemeinen Speicherung von Verbindungsdaten im Widerspruch zur EU-Charta standen.

In Frankreich haben La Quadrature du Net und andere Verbände nach der Entscheidung von Digital Rights Ireland die Aufhebung von Artikel R10-13 EuRH beantragt. Erst am 26. Juli 2018 stellte der Conseil d’État durch zwei Urteile (Rechtssachen 394922 und 393099) fünf Fragen zur Einhaltung des EU-Rechts des französischen Rechts zur Datenspeicherung der Verbindung.

Es muss zwischen Erhaltung und Zugang unterschieden werden. Alle europäischen Rechtsvorschriften erfordern eine allgemeine Speicherung von Verbindungsdaten: Die Betreiber sind verpflichtet, einer Verpflichtung nachzukommen, um die Zugangsdaten aller ihrer Benutzer für einen variablen Zeitraum zu speichern. Das Ausmaß dieser generalisierten Speicherung variiert je nach Staat: Es kann sich um Folgendes handeln alle Verbindungsdaten (z.B. in Frankreich), oder nur bestimmte Arten von Verbindungsdaten (z.B. in Schweden bei der anstehenden Reform). Die gespeicherten Daten sind in einem zweiten Schritt zugänglich. Dieser Zugang ist theoretisch immer begrenzt beispielsweise durch die Verpflichtung, die Gründe für den Antrag auf Zugang oder Überprüfung durch eine Kontrollbehörde anzugeben.

Die Parteien wurden vom EuGH aufgefordert, den Geltungsbereich der Richtlinie 2002/58 (ePrivacy) und die Anwendbarkeit des EU-Rechts auf die Wirkung von Chilling Effects zu überprüfen gemäß der Charta unter der Annahme eines allgemeinen, aber zielgerichteten Zugangsregimes, der Erfassung einer automatisierten Analyse der Verbindungsdaten mit dem Recht auf Privatsphäre oder einer Art der Aufbewahrung von Verbindungsdaten, die am wenigsten gegen die Rechte und Freiheiten der Charta verstoßen.

Schriftsätze (erster Tag)

Argumente der beschwerdeführenden Verbände

Die beschwerdeführenden Verbände sind der Ansicht, dass die Gesetze der Mitgliedstaaten, die eine allgemeine Speicherung von Verbindungsdaten vorschreiben, nicht mit der Charta übereinstimmen. Das Argument basiert auf demjenigen, das 2016 im Fall Tele2 entwickelt wurde: Die generalisierte Speicherung ist eine unverhältnismäßige Beeinträchtigung der Chartarechte.

In der mündlichen Verhandlung stellten die beschwerdeführenden Verbände fest, dass nach britischem, französischem oder belgischem Recht die Verbindungsdaten, in einigen Fällen aber auch der eigentliche Inhalt der Kommunikation, unter die Aufbewahrungspflicht für die Betreiber fallen. Nach Ansicht der Beschwerdeführer sind die Garantien zum Zeitpunkt des Zugangs zu diesen Daten unzureichend oder gar nicht vorhanden.

Die Plädoyers der französischen Verbände kritisierten auch die recht weit gefassten und unklaren Ziele der [französischen, britischen und belgischen] Gesetze, die die Einrichtung von Geheimdiensttechnik erlauben, zu denen auch der Zugang zu Verbindungsdaten gehört. Die Beschwerdeführer wollten nachweisen, dass es in Frankreich eine Massenüberwachung gibt: Durch diese ungenauen Zwecke wird der Zugang zu den Verbindungsdaten nicht eingeschränkt. In Verbindung mit der allgemeinen Speicherung trägt dieser uneingeschränkte Zugang dazu bei, dass das System nicht angemessen ist. Die Praxis des Informationsaustauschs zwischen den Staaten würde auch eine Massenüberwachung darstellen: Die Überwachung von
Nachrichtenmissionen wird im Bereich der Außenüberwachung immer lockerer; die Agenturen können jedoch durch die Zusammenarbeit zwischen den Staaten Informationen über ihre eigenen Bürger erhalten, die von einem ausländischen
Staat zurückgeholt wurden, also unter einem lockeren Außenüberwachungssystem. Auf der Grundlage dieser Massenüberwachung haben die Beschwerdeführer dann die schädlichen Auswirkungen einer solchen Speicherung von Verbindungsdaten beschrieben. Abgesehen von der mangelnden Verhältnismäßigkeit einer solchen Verpflichtung wiesen die Verbände auf den derzeitigen Missbrauch solcher Maßnahmen hin: Sie erinnerten daran, dass in Frankreich die Zwecke des Nachrichtenwesens bei den “gelben Westen” von ihrem Hauptziel und bei den sozialen Konflikten ganz allgemein von ihrem Hauptziel abgewichen wurden. Die Beschwerdeführer verwiesen auf die abschreckende Wirkung der Massenüberwachung
und verwiesen auf mehrere soziologische Studien im Zusammenhang mit der Überwachung.

Die Verbände verlangen die Benachrichtigung von Personen, die von der Überwachung betroffen waren. Der Fall des Journalisten Camille Polloni wurde zitiert: Nach einem langen, mühsamen und oft unverständlichen Verfahren von außen konnte der Journalist von einer illegalen Überwachungsmaßnahme gegen sie durch den militärischen Geheimdienst erfahren (ohne zu wissen, woraus die Überwachung bestand oder was sie illegal war) und wurde vom Conseil d’État versichert, dass der Antrag auf Löschung der illegal gesammelten Informationen tatsächlich gestellt worden sei. Dieses Beispiel veranlasst die Beschwerdeführer zu der Annahme, dass das derzeitige Verfahren vor dem Staatsrat nicht ausreicht, um Befürchtungen auszuräumen, weil es nicht transparent ist. Nur eine systematische Benachrichtigung würde dieses Problem lösen: Andernfalls können die zu überwachenden Personen nicht wissen, dass sie überwacht wurden, und können ihre Rechte im Falle von Missbrauch nicht schützen.

Die Verbände erinnerten daran, dass das EU-Recht anwendbar ist. Mit einer Gegenargumentation wollten sie zeigen, dass die Datenschutzrichtlinie, wenn sie nicht anwendbar wären, bedeutungslos gemacht würden. Die nationale Sicherheit ist für die Beschwerdeführer keine Quelle der Inkompetenz im EU-Recht. Es geht nicht nur immer noch um die Umsetzung des Unionsrechts im Sinne der Rechtsprechung von Pfleger (EuGH, 30.4.2014, Rechtssache C-390/12), sondern die betreffenden nationalen Gesetze gehen weit über die nationale Sicherheit allein hinaus.

Schließlich kritisierten die beschwerdeführenden Verbände den Wortlaut der vom Conseil d’État gestellten Fragen sehr kritisch. Diese würden so geändert, dass der Gerichtshof aufgefordert wird, seine Rechtsprechung zu überprüfen, was nicht die Rolle des Staatsrates wäre.

Während der Antworten bestand La Quadrature du Net auf einer ihrer Meinung nach zufriedenstellenden Lösung des Streits. Sie forderte den Gerichtshof nicht nur auf, seine Tele2-Rechtsprechung aufrechtzuerhalten, sondern auch zu präzisieren, dass nur ein System der spontanen Speicherung von Verbindungsdaten, wie es in den Vereinigten Staaten praktiziert wird, eine solche Effizienz ohne die Verpflichtung zur allgemeinen Speicherung von Verbindungsdaten ermöglichen würde (siehe unten).

Argumente der Mitgliedstaaten, der Europäischen Kommission und des Europäischen Datenschutzbeauftragten (EDSB)

Alle Mitgliedstaaten haben eine allgemeine Speicherung der Verbindungsdaten gefordert. Demnach können die Datenschutzrichtlinie für den elektronischen Geschäftsverkehr und die EU-Charta nicht auf den Rechtsstreit Anwendung finden, da es sich um eine Angelegenheit der nationalen Sicherheit und der ausschließlichen Zuständigkeit der Mitgliedstaaten handeln würde. Sie fordern, dass die Rechtsprechung von Tele2 nicht im Breich der Nachrichtendienste umgesetzt wird.

Die Mitgliedstaaten erklärten auch einstimmig, dass die Rechtsprechung von Tele2 nicht angewendet werden kann und dass sie sie nicht anwenden wollen, wenn diese beibehalten oder sogar auf nachrichtendienstliche Tätigkeiten ausgedehnt wird. Die Schriftsätze der Mitgliedstaaten wurden alle von vielen Beispielen für Strafsachen begleitet, die die Notwendigkeit eines allgemeinen Systems zur Speicherung von Verbindungsdaten veranschaulichen sollten. Der Eindruck war jedoch, dass die Mitgliedstaaten mit Emotionen spielen wollten, ebenso wie Child Focus, eine Vereinigung, die sich für allgemeine Speicherpflichten einsetzte und in ihren Beispielen aufgrund der Art und Weise, wie die verschiedenen Fakten erzählt wurden, und der immer schmutzigeren Details Unbehagen in der Öffentlichkeit hervorrief. Doch diese Beispiele vermischten sehr oft
Kriminalität und nationale Sicherheit, was der Gerichtshof in seinen Fragen vom zweiten Tag feststellte.

Viele Mitgliedstaaten haben vor allem Maßnahmen ergriffen, um ihre nationalen Rechtsvorschriften gegen folgende Probleme zu verteidigen generalisierte Speicherung von Verbindungsdaten. Garantien, die auf der Zugangsstufe gewährt werden.  waren Gegenstand vieler Entwicklungen. Auf diese Weise konnten wir regelmäßig feststellen, dass ein Richter oder eine unabhängige
Verwaltungsbehörde für die Überwachung der Anträge zuständig war. Zugriff auf die Verbindungsdaten und Überprüfung, ob die Bedingungen -- streng nach den zahlreichen Vorgaben der Mitgliedstaaten -- waren gut gefüllt. Es sei darauf hingewiesen, dass im französischen Fall La Quadrature du Net und die französische Regierung sind radikal dagegen. Frankreich behauptet, dass die Kontrolle a priori und a posteriori wirksam ist, während La Quadrature vor dem Staatsrat die Unwirksamkeit der von der Nationalen Geheimdienstkontrollkommission (CNCTR) genutzten Techniken demonstrierte.

Die Rechtsprechung des EGMR, insbesondere Big Brother Watch gegen das Vereinigte Königreich (EGMR, 13. September 2018, Big Brother Watch et.al, 58170/13, 62322/14 und 24960/15) wurde von den Mitgliedstaaten zur Unterstützung der Annahme von Maßnahmen durch den Straßburger Gerichtshof genannt. Die Mitgliedstaaten haben den Gerichtshof aufgefordert, diesem Urteil nachzukommen.

Einige Mitgliedstaaten wie Schweden sind der Ansicht, dass es nicht notwendig ist, eine allgemeine und undifferenzierte Speicherung von Verbindungsdaten vorzunehmen, sondern nur eine allgemeine Speicherung bei bestimmten Arten von Verbindungsdaten. Die Europäische Kommission und der Europäische Datenschutzbeauftragte (EDSB) teilen diese Position. Laut ihnen, sollte es eine vollständige Liste der Arten von Verbindungsdaten geben, die Gegenstand der allgemeinen Speicherung sind. Dies würde unter anderem Webadressen ausschließen, ein Thema der Diskussion zwischen Frankreich und La Quadrature du Net. Frankreich oder das Vereinigte Königreich haben insbesondere die Speicherung nur bestimmter Verbindungsdaten abgelehnt und für eine generalisierte und undifferenzierte Speicherung plädiert.

Alle Mitgliedstaaten waren der Auffassung, dass die einzige Alternative zur allgemeinen Speicherung die gezielte Speicherung wäre, um die Glaubwürdigkeit einer solchen Hypothese unverzüglich zu untergraben.

Danach muss die gezielte Konservierung nach Kriterien erfolgen, die notwendigerweise diskriminierend sind oder sogar die Unschuldsvermutung untergraben (was bei einer generalisierten Konservierung und einem gezielten Zugang nicht der Fall wäre). Diese Annahme basiert auf der vom Vereinigten Königreich bekräftigten Annahme, dass die Speicherung oder der Zugriff auf Verbindungsdaten keine Intelligenz schafft, sondern nur eine Voraussetzung für Intelligenz ist. Dabei lehnten die Mitgliedstaaten implizit die Hypothese einer gezielten Speicherung nach Kriterien ab, die sich aus der vorherigen Überwachung durch andere (individuelle) Nachrichtentechniken ableiten lassen. Man hätte sich vorstellen können, dass die Verbindungsdaten einer Person oder Gruppe von Personen, die zuvor als potenzielle Bedrohung identifiziert wurden, erhalten bleiben und dass nach der Erhaltung eine detaillierte Analyse der Verbindungsdaten durchgeführt wird, um die Befürchtungen zu bestätigen oder zu widerlegen. Die Mitgliedstaaten lehnten diese Hypothese ebenfalls ab und erklärten, dass eines der Ziele der Maßnahmen zur Speicherung und zum Zugriff auf Verbindungsdaten darin besteht, unbekannte Bedrohungen (schwache Signale) zu erkennen, nicht nachweisbar durch ausschließlich menschliche Analyse)

Fragen des Gerichtshofs (Tag zwei)

Der zweite Tag war den Fragen des Gerichtshofs gewidmet, zunächst dem Berichterstatter, dann dem Generalanwalt, gefolgt von den anderen Richtern bei der Bildung des Gerichts. Der Richterberichterstatter ist derselbe wie bei Tele2.

Der Eindruck, der sich aus den Fragen des Gerichtshofs ergibt, ist, dass er sehr vorsichtig ist, nicht in die Sicherheitsvision der Mitgliedstaaten zu fallen. In zahlreichen Erklärungen der Richter wurden die Widersprüche der Mitgliedstaaten hervorgehoben. Der Präsident und der Generalanwalt schienen verärgert über die wiederholten Appelle der Regierungen des Vortages. Richter und Berichterstatter erinnerten daran, dass das Big Brother Watch Urteil, das von den Staaten sehr regelmäßig angewandt wird. Mitglieder, um zu argumentieren, dass eine generalisierte Aufbewahrungsmaßnahme für Verbindungsdaten wäre nicht gegen die EMRK verstoßen, ist nicht endgültig, und der Generalanwalt hat die Mitgliedstaaten über die Relevanz ihrer Beispiele, die sich sehr selten mit der Problematik der nationale Sicherheit. Der Gerichtshof hat mehrmals die vom Ausschuss geäußerten Bedenken bekräftigt. von Venedig über eine generalisierte Speicherung von Verbindungsdaten.

Die Kommission und Frankreich wurden regelmäßig durch Fragen des Berichterstatters und des Generalanwalts in Schwierigkeiten gebracht. Sie schienen nicht von der Argumentation der Mitgliedstaaten über die Verhältnismäßigkeit einer allgemeinen Erhaltungsregelung mit gezieltem Zugang überzeugt zu sein. So fragte der Berichterstatter die Kommission beispielsweise, ob es nicht zu einer Umkehrung zwischen der Regel und der Ausnahme in Bezug auf den Datenschutz kommen würde, wenn eine solche Regelung akzeptiert würde. Frankreich konnte nicht erklären, wie man eine Analyse der Verbindungsdaten durch algorithmisches Monitoring (die “Black Boxes”) durchführen könnte, ohne auch eine Analyse des Inhalts der Kommunikation selbst zu haben.

Der Berichterstatter des Richters wies auch das Argument der Mitgliedstaaten zurück, sich der allgemeinen Erhaltung und Erhaltung zu widersetzen. Letzteres ist nicht die einzige Alternative zur allgemeinen Erhaltung. Die Frankreich konnte dem Generalanwalt nicht mitteilen, welche Arten von Verbindungsdaten es gibt. wäre es unerlässlich, in die von der Kommission vorgeschlagene vollständige Liste aufzunehmen, um zu vermeiden, dass undifferenziertere Erhaltung, wobei anerkannt wird, dass eine solche Liste durch folgende Maßnahmen möglich ist z.B. Webseitenadressen ausschließen.

Der Gerichtshof versuchte auch, die Folgen zu ermitteln, die die Kommission und der EDSB aus dem Urteil Digital Rights Ireland gezogen haben. Der Gerichtshof erinnerte daran, dass er in Digital Rights Ireland erklärt hat, dass es keinen Grund gibt, zu dem Schluss zu kommen, dass eine weitreichende Speicherung erforderlich ist, um die Ziele der Verbrechensbekämpfung zu erreichen. Anschließend fragte sie die Kommission und dann den EDSB, ob nach diesem Urteil Studien durchgeführt wurden und ob sie zu dem Schluss kommen würden, dass eine allgemeine Erhaltung erforderlich ist. Es wurde jedoch keine Studie von der Kommission oder dem EDSB durchgeführt.

Schließlich bat der Generalanwalt die beschwerdeführenden Verbände um Klärung der US-Regelung für die Speicherung von Verbindungsdaten. Im Anschluss an diese Frage konzentrierte sich die Antwort auf La Quadrature du Net insbesondere auf die Lösung eines spontanen Aufbewahrungsregimes für Verbindungsdaten nach dem amerikanischen Modell. Die spontane Speicherung von Verbindungsdaten basiert auf der Annahme, dass die Betreiber bestimmte Verbindungsdaten aus legitimen Gründen (einschließlich Abrechnung und Infrastrukturschutz) und spezifisch für ihre Aktivitäten aufbewahren müssen (nicht alle Betreiber haben die gleiche Aktivität und speichern daher nicht die gleichen Arten von Verbindungsdaten für diesen Zweck). Nach Ansicht von La Quadrature du Net würde ein System der spontanen Speicherung von Verbindungsdaten es nach Ansicht von La Quadrature du Net ermöglichen, keine allgemeine oder differenzierte Speicherung vorzuschreiben (siehe oben), und wäre daher mit der Rechtsprechung des EuGH Tele2 vereinbar und bietet gleichzeitig eine ähnliche Wirksamkeit wie das deutsche Modell, das dem in den Vereinigten Staaten am nächsten kommt.

Weiterverfolgung des Streits

Die Schlussanträge des Generalanwalts werden voraussichtlich Ende Dezember 2019 oder Anfang Januar 2020 vorliegen. Das Urteil des EuGH wird einige Monate später ergehen. Der Gerichtshof scheint mit seinen Fragen auf die Feststellung hinzuarbeiten, dass das Unionsrecht auf die nationale Sicherheit und die Aufrechterhaltung eines allgemeinen und undifferenzierten Verbots der Speicherung von Verbindungsdaten anwendbar ist.

Andererseits kann sie eine allgemeine Speicherung nur bestimmter Arten von Verbindungsdaten akzeptieren (d.h. die Speicherung wäre nicht mehr unterschiedslos), wie von der Kommission, dem EDSB oder einigen Mitgliedstaaten wie Schweden gefordert. Es ist auch möglich, dass die Position von La Quadrature du Net, die darin besteht, jede, auch differenzierte, generalisierte Erhaltung zu verbieten, beibehalten wird, wobei die einzig mögliche Lösung eine Gesetzgebung, die auf der spontanen Speicherung von Verbindungsdaten basiert.

October 22 2019

Thomas L. Kemmerich und der Datenschutz

Kürzlich stolperte ich über einen Tweet des Spitzenkandidaten der FDP, Thomas L. Kemmerich. Darin steht »Bei der DSGVO haben wir Maß und Mitte verloren. Hier muss Datenschutz bedeutend praxisnäher gestaltet werden für Fußballvereine, Ehrenamt und Handwerker. […]« Das wirft natürlich die Frage auf, wie er und sein Unternehmen es damit halten.

<!-- s9ymdb:245 -->Kemmerich ist Vorstandsvorsitzender der Friseur Masson AG. Also besuchte ich die Webseite des Unternehmens und schaute mich dort um. Im Hintergrund lasse ich ein kleines Plugin laufen, welches mir Anfragen an andere Seiten anzeigt. Der weiße Punkt in der Mitte ist der Aufruf der Originalseite. Die Dreiecke weisen darauf hin, dass meine Daten noch an weitere Webseiten weitergegeben wurden. Insgesamt waren es 19 fremde Seiten. Darunter sind Unternehmen wie Facebook, Google, Doubleclick, Squarespace usw.

Was sagen denn die Datenschutzhinweise auf der Webseite? Laut der Datenschutz-Grundverordnung (DS-GVO) müssen Kontaktdaten des Verantwortlichen und die des Datenschutzbeauftragten (DSB) genannt werden. Doch die Kontaktdaten eines DSB sucht man auf der Seite vergebens. Heißt das, dass kein DSB benannt wurde? Die Friseur Masson AG wies im Jahresabschluss vom Jahr 2017 eine Zahl von 160 Beschäftigten aus. Das BDSG fordert schon ab 10 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, eine solche Position. Da scheint es schwer vorstellbar, dass bei 160 Beschäftigten keine solche Pflicht anfällt.

Die Datenschutzhinweise gehen auf eine Weitergabe der Daten an Instagram und Google Maps ein. Ich konnte weder eine Erwähnung von Facebook, Google, Doubleclick, Alphabet, Squarespace oder anderen finden. Das heißt, ein argloser Besucher, der sich über die Datenverarbeitung informieren will, bekommt hier nur sehr halbherzige Informationen.

Das Analysewerkzeug Webkoll findet insgesamt 111 Anfragen an 17 eindeutige Rechner und 6 Cookies von fremden Quellen. Über all das schweigen sich die Datenschutzhinweise aus. Da muten sich die schwachen Algorithmen bei der TLS-Verschlüsselung fast wie eine Lappalie an.

<!-- s9ymdb:246 -->Natürlich muss der obligatorische Satz in den Datenschutzhinweisen nicht fehlen:

Die Betreiber dieser Seiten nehmen den Schutz Ihrer persönlichen Daten sehr ernst. 

Wie ernst das zu nehmen ist, muss jeder für sich selbst entscheiden. Herr Kemmerich hat mit dem Tweet ein Indiz gegeben, wie ernst er es selbst mit dem Datenschutz meint.

October 17 2019

Delta Chat mit GMail betreiben

Vor kurzem schrieb ich in einem Artikel über meine Kommunikationswerkzeuge. Dort fehlte ein Werkzeug, welches ich schon seit längerem auf dem Schirm habe, aber noch nie wirklich getestet hatte: Delta.Chat.

Die Software erlaubt es, mit anderen zu chatten und nutzt im Hintergrund E-Mail zur Verteilung der Chatnachrichten. Damit kann man mit allen Leuten chatten, die eine E-Mail-Adresse haben. Das hat natürlich den großen Vorteil, dass nahezu alle erreichbar sind. Delta Chat legt einen OpenPGP-Schlüssel an und verschlüsselt die Nachrichten, sofern der Empfänger ebenfalls einen hat.

Somit werden die Nachrichten von Leuten, die Delta Chat einsetzen verschlüsselt verschickt. Vermutlich klappt das auch. Ich habe es noch nicht probiert. Bei allen anderen werden die Nachrichten als E-Mails unverschlüsselt geschickt.

Nun wollte ich ein GMail-Konto benutzen, um einen Test mit Delta Chat zu machen. Ich gab meine Zugangsdaten ein und es klappte nicht:

<!-- s9ymdb:241 -->Fehler bei Delta Chat

Delta Chat nimmt zu Port 143 Kontakt auf, obwohl 993 eingestellt ist.

Auf eine Nachfrage bei Twitter und qbi/102966823140651632">Mastodon meldete sich einer der Entwickler und bat darum, das Log zu exportieren. Ein Blick auf diese Meldungen verriet mir, dass Delta Chat erfolglos versuchte, sich bei Google anzumelden. Dies lag an der aktivierten Zwei-Faktor-Authentifizierung. Wer dies aktiviert hat, muss unter Umständen pro Anwendung ein spezielles Passwort anlegen. <!-- s9ymdb:243 -->App-Passwort

Geht dazu auf euren Google-Account. Im Bereich Sicherheit gibt es einen Menüeintrag für App-Passwörter. Unten auf der Seite wählt ihr eine App und ein Gerät aus. Danach könnt ihr die App-Passwörter generieren. Dieses 16-stellige Passwort könnt ihr nun direkt bei Delta Chat als Passwort zusammen mit eurer E-Mail-Adresse eintragen. Solltet ihr einen “normalen” GMail-Account haben, so bestätigt ihr die Einstellungen und mit etwas Glück seid ihr fertig.

In meinem Fall lautete das GMail-Konto nicht auf @gmail.com, sondern auf eine andere Domain. Delta Chat versuchte daher zuerst, sich mit einem Server unter der Domain zu verbinden. Da dieser nicht existierte, gab es eine weitere Fehlermeldung.

Wenn man bei Delta Chat die erweiterten Einstellungen öffnet, kann man dann die korrekten Server von GMail einstellen. Allerdings klappte dies bei mir auch erst im zweiten Versuch. Denn obwohl der Port 993 eingestellt war und automatisch die korrekte IMAP-Sicherheit gewählt werden sollte, klappte dies nicht. Ich musste explizit SSL/TLS einstellen:

<!-- s9ymdb:244 -->Screenshot
Screenshot mit den korrekten Einstellungen

Nach diesen Einstellungen klappte alles und ich konnte meine ersten Versuche starten. Falls es also bei dir auch nicht klappen sollte, hilft dir vielleicht die obige Beschreibung.

Wenn ihr mit mir Kontakt aufnehmen wollt, so könnt ihr die Adresse <deltachat@kubieziel.de> verwenden. Es kann jedoch sein, dass ich irgendwann das Testen einstelle und die Adresse wieder lösche. :-)

October 07 2019

Kommunikationswerkzeuge

Dirk beschreibt in einem Blogposting und dem Update dazu seine Kommunikationswerkzeuge. Ich habe mir mal angeschaut, wie das bei mir aussieht:

Nutze ich

  • E-Mail (ist für mich eines der Hauptkommunikationsmittel. Daher kann ich Dirks These so nicht unterschreiben.)
  • Signal
  • XMPP/Jabber
  • Jitsi
  • Keybase
  • Matrix (@qbi:matrix.kraut.space)
  • Mumble
  • Slack (nicht wirklich erreichbar, da ich den Client nur manchmal öffne)
  • SMS
  • Threema
  • Twitter DM (nicht aktiv genutzt, wird aber als Kanal genutzt)
  • Wire
  • Zoom

Nutze ich nicht (mehr)

  • Briar (würde ich gern, hier fehlen mir Leute, die das auch benutzen)
  • Mattermost
  • Telegram
  • WhatsApp

Alles, was nicht genannt ist, fällt vermutlich in die Kategorie nicht genutzt. ;-)

Kommunikationswerkzeuge

Dirk beschreibt in einem Blogposting und dem Update dazu seine Kommunikationswerkzeuge. Ich habe mir mal angeschaut, wie das bei mir aussieht:

Nutze ich

  • E-Mail (ist für mich eines der Hauptkommunikationsmittel. Daher kann ich Dirks These so nicht unterschreiben.)
  • Signal
  • XMPP/Jabber
  • Jitsi
  • Keybase
  • Matrix (@qbi:matrix.kraut.space)
  • Mumble
  • Slack (nicht wirklich erreichbar, da ich den Client nur manchmal öffne)
  • SMS
  • Threema
  • Twitter DM (nicht aktiv genutzt, wird aber als Kanal genutzt)
  • Wire
  • Zoom

Nutze ich nicht (mehr)

  • Briar (würde ich gern, hier fehlen mir Leute, die das auch benutzen)
  • Mattermost
  • Telegram
  • WhatsApp

Alles, was nicht genannt ist, fällt vermutlich in die Kategorie nicht genutzt. ;-)

April 09 2019

Jahresempfang mit Julia Klöckner

Die CDU Jena lud heute zum Jahresempfang in das Rathaus der Stadt ein. Als Rednerin war die Bundesministerin für Ernährung und Landwirtschaft, Julia Klöckner, angekündigt. Die Ministerin wird voraussichtlich Mitte April 2019 über die geplante EU-Urheberrechtsreform abstimmen. Daher entschloß ich mich, zur Veranstaltung zu gehen und die Fragerunde entsprechend zu nutzen.

Der Schwerpunkt des Vortrages lag bei Themen, die ihr Ministerium betreffen. Dort fiel kein Wort in der Richtung. Also blieb die Fragerunde. Dort hatten recht viele der Leute eine Frage und direkt vor mir, meldete sich jemand von der Jungen Union. Seine Frage ging genau in die Richtung der Reform. Soweit ich es richtig verstand, ging es um die Enttäuschung der jungen Leute über den Stil der Partei. Die Leute fühlten sich nicht ernst genommen und würden sich eher abwenden. Den Rest der Frage konnte ich leider nicht gut verstehen.

Die Antwort von Frau Klöckner ließ mir dann doch den Mund offen stehen. Sie begann ihre Rede mit der Feststellung, dass die Leute sich zwar jetzt über die Uploadfilter aufregen würden. Aber sie würden später feststellen, dass es wichtigere Dinge gäbe und daher sich auch wieder der CDU zuwenden. Die Aussage ist sinngemäß wiedergegeben. Ihre Antwort war noch etwas länger ausformuliert.

Weiterhin erklärte sie, dass YouTube ja angekündigt habe, dass die Inhalte löschen oder sperren würden. Dies hat die Jugend so verärgert, dass die deswegen auf die Straße gegangen sind. Die Aussage von YouTube wäre aber falsch/irreführend. Die würden auf keinen Fall viele Inhalte löschen oder sperren. Natürlich geht es gegen die großen Konzerne und es geht nicht an, dass alle Inhalte kostenlos benutzen wollen. Zum Schluss bemängelte sie noch, dass sie alle Argumente der Protestierenden kennen würde und niemand von denen würde für ein Urheberrecht eintreten.

Schließlich fiel der maßgebliche Satz:

Die Bundesregierung wird dafür stimmen.

Der Herr von der Jungen Union und auch ich versuchten nochmal in die Diskussion zu kommen. Der Moderator brach das dann ab, da ja keine Zeit für individuelle Diskussionen sei und die Frau Ministerin wieder weg müsse.

Mich hat dieser Beitrag doch einigermaßen schockiert zurückgelassen. Denn es zeigte mir, dass sie sich gerade nicht mit den Argumenten der Protestierenden auseinandergesetzt hat, sondern einfach die herablassenden Kommentare anderer Politiker wiederholt.

Dies steht für mich im Widerspruch zu zwei Aussagen aus Ihrem Vortrag. Dort rief sie einerseits zur Europawahl auf und forderte möglichst viele auf, hinzugehen. Andererseits ermahnte sie alle Anwesenden, Leute, die auf die Straße gehen und Argumente vorbringen, ernst zu nehmen. Die 200.000 Leute, die gegen das EU-Urheberrecht protestierten, kann sie nicht gemeint haben …

February 13 2019

DSGVO-Aufwand bei den Aufsichtsbehörden

Ende 2018 veröffentlichte die CNIL einige Statistiken zu deren Arbeitsaufwand durch die EU-Datenschutzgrundverordnung (DS-GVO). Ich fragte mich damals, wie das wohl bei den deutschen Aufsichtsbehörden so aussieht. Also fragte ich dort nach.

Ich schickte eine E-Mail an alle 16 Landesbehörden sowie an die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI). In der Mail bat ich um Auskunft, wie viele Datenschutzbeauftragte gemeldet wurden, wieviel Datenschutzpannen bisher gemeldet wurden und wieviel Anfragen insgesamt eingetroffen sind. Wie sahen die Antworten so aus?

Anfragen

Alle Behörden antworteten durch die Bank, dass es einen enormen Anstieg der Anfragen gegeben hat. In einigen Fällen schrieb man von einer Verdrei- bis Vervierfachung der Anfragen. Leider erhielt ich nicht von allen konkrete Zahlen. Legt man die Meldungen mit Zahlen zugrunde, so liegt die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen mit mehr als 10.000 Anfragen an der Spitze aller Bundesländer. Dies erscheint auch logisch, da das Bundesland entsprecht groß ist. Auf der anderen Seite sprach die Landesbeauftragte von Bremen von etwa 30 monatlichen Anfragen (ggü. durchschnittlich 18 vor dem Mai 2018). Sachsen als Flächenland meldete mir 776 Anfragen in den sechs Monaten von Mai bis November 2018 zurück. Das entspricht knapp 130 Anfragen pro Monat.

Beschwerden

Leider hatte ich in meiner E-Mail das Wort Anfragen verwendet. Bei der Beantwortung stellte sich heraus, dass zwischen einfachen Anfragen und Beschwerden unterschieden wird. So wurden beim TLfDI 284 Beschwerden angelegt und Hessen verzeichnete über 1200 Beschwerden.

Anzahl der gemeldeten Datenschutzbeauftragten

Mit der DS-GVO sind die Firmen verpflichtet, Datenschutzbeauftragte (DSB) an die Behörden zu melden. Hier interessierte mich, wieviel Meldungen bei den Behörden eingegangen sind. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) meldete bereits im August die Zahl von 10.000. Im benachbarten Baden-Württemberg waren es mit 23.000 mehr als doppelt so viele. Aber auch hier liegt Nordrhein-Westfalen mit 24.800 DSB an der Spitze.

Beim BfDI gingen mit 1270 die wenigsten Meldungen ein. Ich würde vermuten, dass auch da einige fehlgeleitete Meldungen darunter sind. Denn zumeist sollten die Meldungen im jeweiligen Bundesland abgegeben werden. Wie schon bei den Anfragen hat Bremen mit etwas mehr als 1500 die wenigsten Meldungen zu verzeichnen. Schaut man in die anderen Bundesländer so haben das Saarland (knapp 2100) und Sachsen-Anhalt (2100) recht wenige erhalten. Aber auch der Freistaat Thüringen liegt mit ca. 3550 Meldungen weit hinten.

Meldungen zu Datenpannen

Wenn es zu Problemen bei der Verarbeitung personenbezogener Daten kommt, so muss gegenüber den Behörden eine Meldung abgegeben werden. Das heißt, wenn Seiten gehackt, Daten unbefugt gelöscht werden oder es andere Probleme mit der IT-Sicherheit gibt und dabei Risiken für die Menschen entstehen, entsteht eine solche Pflicht. Hier hatte mich interessiert, wieviele Meldungen entstanden sind.

Mit Abstand die meisten Meldungen gingen beim BfDI ein. Dort wurden knapp 4700 Meldungen verzeichnet. Hier wäre eine Übersicht nach einzelnen Bundesländern interessant. Denn vermutlich stammen diese aus dem kompletten Bundesgebiet.

Das BayLDA kommt dann an Platz 2 und hat mit 2005 weniger als die Hälfte der Meldungen des BfDI. Die Anzahl der Meldungen auf Platz 3 (NRW) halbiert sich dann noch einmal (1032). Baden-Württemberg (> 700) und Hessen (640) werden auf die weiteren Plätze verwiesen.

Auf den hinteren Plätzen liegen wiederum Bremen (29), Sachsen-Anhalt (>50), Saarland und Thüringen (<70).

Neben den reinen Zahlen würde mich eine Statistik über die Inhalte der Datenpannen interessieren. Auch fände ich es schön, die Zahl im Verhältnis zu den Firmen im jeweiligen Bundesland auszuwerten.

Sonstiges

Bei den obigen Zahlen fehlen zwei Bundesländer. Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern schrieb mir zurück, dass aufgrund des Arbeitsaufkommens eine Antwort nicht möglich sei. Vom Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit erhielt ich bis zum heutigen Tag keine Rückmeldung.

 

Bundesland Anzahl DSB Art.-33-Meldungen Anfragen Bayern 10000 im August 2018 2005 >4.000 Baden-Württemberg >23.000 >700 keine genauen Zahlen, Verdreifachung Berlin 8.192 303 2.157 Brandenburg ca. 4.000 108 deutlicher Anstieg, keine konkreten Zahlen Bremen 1.536 29 (ggü. einer Meldung nach § 42a BDSG bis Mai) durchschnittlich 30 pro Monat(?) Hamburg       Hessen 16.000 640 1212 Beschwerden, 1702 Beratungsanfragen Mecklenburg-Vorpommern Aufgrund Arbeitsaufwand Antwort nicht möglich     Niedersachsen 14.400 300 8.000 Nordrhein-Westfalen 24.800 1032 10.535 Rheinland-Pfalz fast 6.000 76 ca. 1.400 Saarland 2.087 65 hohes Niveau Sachsen 8.800 180 776 Sachsen-Anhalt 2.100 >50 deutlich höher als in Vorjahren Schleswig-Holstein 8.000 100 Verdreifachung Thüringen 3.547 68 Viele siehe auch https://fragdenstaat.de/anfrage/request-from-european-digital-rights-statistics-for-gdpr-today/112043/anhang/190109AW.pdf Bund 1.270 4.667 3.688

January 05 2019

Mein Vortrag beim 35C3

Der diesjährige 35. Chaos Communication Congress ist leider schon wieder vorbei. In den Leipziger Messehallen fanden sich 17.000 Hackerinnen und Hacker zusammen, um Vorträgen zu lauschen, neue Ideen zu probieren, zu hacken oder einfach eine schöne Zeit zu haben.

Ich hatte das Vergnügen zusammen mit Kristin Pietrzyk einen Vortrag zu halten: Unter findet ihr einen Mitschnitt. Viel Spaß beim Anhören.

December 20 2018

Weihnachtsüberraschung vom TLfDI

Der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit (TLfDI) verschickte in den letzten Tagen eine freiwillige Umfrage an 17.000 Thüringer Unternehmen. Wie der MDR berichtet, soll damit ein besserer Überblick über den Datenschutz und die Umsetzung der DS-GVO in Thüringen erreicht werden. Mich haben auch schon einige Unternehmen angesprochen, die den Bogen erhielten und wissen möchten, wie sie sich verhalten sollen.

Die Teilnahme ist freiwillig. Das heißt, Unternehmen können sich selbst entscheiden, ob sie teilnehmen wollen. Dr. Hasse sagte dem MDR, dass er aber auch eine verpflichtende Umfrage in Erwägung zieht, sofern zu wenige Anworten kommen.

Unternehmen haben für die Antwort eine Woche Zeit. Ich finde diese Frist recht kurz. Gerade in der Weihnachtszeit liegen meist die Prioritäten an anderer Stelle und so landete das Schreiben in vielen, mir bekannten Fällen entweder im Papierkorb oder auf einem Stapel von später zu bearbeitenden Vorfällen. Meine Vermutung ist, dass der Rücklauf bis Weihnachten eher dürftig ist. Eine längere Antwortfrist wäre hier durchaus angemessen gewesen.

Der Fragenbogen (lokale Kopie<!-- s9ymdb:239 -->) gliedert sich in sieben Teile:

  1. Datenschutzbeauftragter (DSB)
  2. Verzeichnis von Verarbeitungstätigkeiten
  3. Rechtsgrundlagen nach Art. 6 DS-GVO
  4. Informationspflichten
  5. Betroffenenrechte
  6. Datenschutz-Folgenabschätzung
  7. Auftragsverarbeitung

Dies sind auch wichtige Bereiche im Rahmen der Umsetzung der DS-GVO, die von allen Unternehmen berücksichtigt werden sollten. Einzig das Thema IT-Sicherheit spiegelt sich nicht in der Umfrage wider.

Viele Unternehmen fragen sich nun, ob es Probleme bei der Beantwortung des Fragebogen gibt. Ich würde ja erwarten, dass Unternehmen den Fragenbogen nur dann beantworten, wenn sie sich Gedanken zum Datenschutz gemacht haben. Andere werden vermutlich die Freiwilligkeit eher so auslegen, dass die den nicht abschicken. ;-) Die offene Frage ist nun, wo Probleme bei den Antworten entstehen können.

Datenschutzbeauftragter

Im Bereich zum Datenschutzbeauftragten versuchen die ersten vier Fragen zu eruieren, ob es eine Pflicht zur Benennung eines DSB gibt und die fünfte Frage klärt dann, ob ein DSB ernannt wurde.  Wenn es hier ein Unternehmen gibt, welches einerseits die Pflicht zur Benennung eines DSB hat, andererseits aber keinen ernannt hat, wäre das aus meiner Sicht ein eindeutiges Signal, genauer hinzuschauen. Als Behörde würde ich hier mal genauer hinschauen.

Gerade Unternehmen, die sich dieser Pflicht entziehen, fahren ein größeres Risiko. Denn der DSB muss der Behörde gemeldet werden. Eine Behörde könnte auf die Idee kommen, sich eine Auflistung aller Unternehmen mit mehr als 20 Beschäftigten (oder einer anderen Zahl) zu besorgen. Diese könnte mit der Liste der gemeldeten Verantwortlichen abgegllichen werden. Die Unternehmen mit mehr als 20 Beschäftigten ohne DSB könnte sich die Behörde zumindest genauer anschauen. Wenn man dann hier noch nach den Schwerpunkten unterscheidet (Eine IT-Firma mit den Kriterien wird eher einen haben müssen als ein Produktionsbetrieb.), ließen sich vermutlich recht schnell die Firmen ermitteln, die einen DSB haben müssen, aber keinen haben.

Die Fragen 6 und 8 überschneiden sich, denn Frage 6 möchte wissen, ob es einen externen DSB gibt, während Frage 8 sich nach einem internem erkundigt. Dies hätte in einer Frage abgehandelt werden können. Ich verstehe hier nicht, warum dies auf zwei Fragen verteilt wurde bzw. was passiert, wenn beide mit Ja beantwortet werden.

In der siebenten Frage soll angekreuzt werden, ob der DSB eine natürliche oder juristische Person ist. In verschiedenen Kommentaren zur DS-GVO wurde immer wieder angemerkt, dass der DSB eine natürliche Person sein sollte. Begründet wird dies nach meiner Erinnerung insbesondere mit dem Fachkundenachweis. Den kann eine natürliche Person führen, für eine juristische wird das schon schwerer.

Die folgenden Fragen beschäftigen sich dann auch mit der Fortbildung. Hier wird gefragt, wann die letzte Fortbildung war. Gerade im Hinblick auf den 25. Mai 2018 sollte die letzte entweder in diesem oder im vorigen Jahr liegen. Ansonsten sollte man sich schon fragen, wie der DSB seine Fachkunde erworben hat.

Frage 13 und 14 möchte wissen, ob der DSB gemeldet und veröffentlicht wurde. Beides sind Pflichten nach der DS-GVO.  Dies sollten die betreffenden Unternehmen also getan haben, wenn sie einen DSB ernannt haben.

Verzeichnis der Verfahrenstätigkeiten

Zunächst wird die Existenz abgefragt. Nach meinem Eindruck müssen 100% der angefragten Unternehmen ein solches Verzeichnis haben. Sollte hier jemand Nein ankreuzen, würde ich das als Gelegenheit nutzen, um genauer nachzufragen. Die nächste Frage möchte nur wissen, ob die bereitgestellten Formulare hilfreich waren.

Erlaubnistatbeständen nach Art. 6 DS-GVO

Die erste Frage möchte wissen, ob jedem Vorgang ein Erlaubnistatbestand zugeordnet werden kann. Das Datenschutzrecht sagt nun, dass alle Verarbeitung personenbezogener Daten verboten ist, es sei denn, es gibt eine Erlaubnis. Das heißt, ein Nein würde hier klar zum Ausdruck bringen, dass das Unternehmen Daten rechtswidrig verarbeitet.

Die weiteren Fragen klären, bei welchen Erlaubnistatbeständen es Probleme gab und wie die Einwilligung eingesetzt wird. Soweit ich es beurteilen kann, haben Leute eher mit der Interessenabwägung Probleme. Nach der landläufigen Meinung würden viele jeden Vorgang über eine Einwilligung regeln. Hier wäre ich sehr gespannt auf die Antworten der Unternehmen.

Informationspflichten

Beim Abschnitt zu Informationspflichten wird gefragt, wie diese umgesetzt werden. Hier gibt es eine Liste mit fünf Möglichkeiten. Die zweite Frage zielt auf die Webseite ab und will wissen, ob die überarbeitet wurde, um Informationspflichten zu erfüllen. Wenn ich ein halbes Jahr (oder etwas länger) zurück denke, so steckten dort viele Unternehmen Aufwand hinein. Wer dies andererseits nicht getan hat, der hat eine wesentliche Pflicht aus der DS-GVO nicht erfüllt.

Betroffenenrechte

Bezüglich der Betroffenenrechte wird nach einem Prozess für die rechtzeitige Bearbeitung der Anfragen und zu eventuell aufgetretenen Problemen gefragt. Hier würde ich keine Probleme erwarten, egal wie geantwortet wird.

Datenschutz-Folgenabschätzung

Dem schließen sich Fragen zur Datenschutz-Folgenabschätzung (DSFA) an. Hier frage ich mich insbesondere, wie die Antwort auf die dritte Frage gewertet wird. Das TLfDI möchte wissen, ob der DSB (sofern benannt) einbezogen wurde. Das Wort “einbezogen” klingt für mich eher passiv und würde der DS-GVO entsprechen. Denn der Art. 35 Abs. 2 DS-GVO sagt, dass der Rat des DSB einzuholen ist. Das heißt, falls überhaupt eine DSFA durchgeführt wurde, so sollte der DSB mit einbezogen worden sein. Antwortet man hier jedoch Nein, stellt sich für mich die Frage, warum nicht. Die Antwortmöglichkeit “nicht zutreffend” wirft bei mir weitere Fragezeichen auf. Denn einerseits könnte dies angekreuzt werden, wenn keine DSFA durchgeführt wurde. Wenn jedoch eine durchgeführt wurde, so würde ich das nur ankreuzen, wenn es keinen DSB gäbe. Dies kann aber wiederum ein Verstoß gegen § 38 Abs. 1 BDSG-neu sein.

Auftragsverarbeitungsverträge

Der letzte Abschnitt möchte wissen, ob bestehende Auftragsverarbeitungsverträge an die DS-GVO angepasst wurden und ob die Formulierungshilfe nützlich war. Die Erneuerung von Auftragsverarbeitungsverträgen war einer der Hauptaufwände, die ich bei verschiedenen Unternehmen sah. Nach gängiger Ansicht mussten auch alle erneuert werden. Was kreuzt aber ein Unternehmen an, welches nur einige, aber nicht alle erneuert hat? Oder was kreuzt ein Unternehmen an, welches keine solche Verträge hat? Gerade im letzten Fall läge hier nahe, Nein auszuwählen. Wenn ich eine Behörde wäre, würde ich bei einem Nein jedoch wiederum stutzig werden.

Abschluss

Insgesamt bietet der Fragebogen aus meiner Sicht einige Stolperfallen. Ich würde erwarten, dass Unternehmen, die sich bisher nicht um die DS-GVO gekümmert haben, den Fragebogen eher links liegen lassen. Allerdings fände ich es wunderbar, wenn diese Unternehmen zumindest den Fragebogen als Anstoß nehmen, um sich mit den Pflichten nach der DS-GVO auszusetzen.

November 26 2018

CNIL veröffentlicht Statistik zur DS-GVO

Die französische Datenschutzbehörde CNIL hat sich kürzlich zum Arbeitsaufwand seit der Anwendbarkeit der Datenschutz-Grundverordnung (DS-GVO) geäußert. Die Zahlen finde ich recht beeindruckend.

Sie schreiben, dass im Gesamtjahr bisher 9.700 Beschwerden eingegangen sind. Davon sind etwa 6.000 seit dem 25. Mai entstanden. Das heißt, es gab einen enormen Anstieg der Beschwerden seit der Anwendbarkeit der DS-GVO.

Interessant finde ich auch die Zahl der gemeldeten Datenpannen. Sofern ich den Artikel richtig verstehe, gab es durchschnittlich sieben Meldungen am Tag oder insgesamt 1.000. Weiterhin gibt es 32.000 Datenschutzbeauftragte.

Der Bericht listet dann weitere Maßnahmen, die das CNIL gemacht hat. Insgesamt finde ich das sehr interessant und mich würde interessieren, wie die Lage in Deutschland ist. Vielleicht äußern sich die Aufsichtsbehörden in den nächsten Tagen.

(Übersetzung kam von Google Translate bzw. Deepl ;-))

October 22 2018

Von Saudi-Arabien gehackt

Im Dezember 2015 erhielt ich eine Nachricht von Twitter. Der Dienst informierte mich, dass ich Opfer staatlichen Hackings wurde. Die Nachricht selbst war recht allgemein gehalten:

Rein vorsorglich möchten wir Sie darüber informieren, dass Ihr Account zu einer kleinen Gruppe von Accounts gehört, die Ziel eines staatlich motivierten Hackerangriffs geworden sein könnte. Das bedeutet, dass die Hacker möglicherweise mit einer Regierung in Verbindung stehen. Wir vermuten, dass Daten und Informationen wie zum Beispiel Email-Adressen, IP-Adressen und Telefonnummern ausspioniert werden sollten.

Durch meinen Blogeintrag und die Suche auf Twitter fand ich damals weitere Betroffene. Wir waren alle recht ahnungslos, wer uns aus welchem Grund hacken sollte. Netzpolitik.org warf damals einen Blick auf die Twitterkonten und fand wenig Gemeinsamkeiten. Am ehesten war ein Großteil der Betroffenen als Aktivisten tätig. Die Zusammensetzung an Sprachen, Ländern etc. war jedoch sehr divers.

Mittels eines offenen Briefes versuchten wir Antworten von Twitter zu erhalten. Doch weder gegenüber uns noch gegenüber Journalisten äußerte sich Twitter. Damit könnte die Geschichte zu Ende sein.

Mitte Oktober 2018 gab es nun neue Bewegung. Die New York Times veröffentlichte den Artikel »Saudis’ Image Makers: A Troll Army and a Twitter Insider«. Der Aufhänger des Artikels ist der Mord an Jamal Kashoggi. Dieser wurde vermutlich in der saudi-arabischen Botschaft in Istanbul auf brutale Weise getötet. Der Artikel berichtet, dass sich eine Troll-Armee mit dem Ziel an ihm festgebissen, ihn zum Schweigen zu bringen. Er selbst plante Gegenmaßnahmen:

Before his death, Mr. Khashoggi was launching projects to combat online abuse and to try to reveal that Crown Prince Mohammed was mismanaging the country. In September, Mr. Khashoggi wired $5,000 to Omar Abdulaziz, a Saudi dissident living in Canada, who was creating a volunteer army to combat the government trolls on Twitter. The volunteers called themselves the “Electronic Bees.”

Diese Troll-Aktivitäten wurden im Artikel auf das saudische Königshaus zurückgeführt. Daneben gab es auch Bestrebungen, Twitter direkt zu infiltrieren. Eine Person namens Ali Alzabarah wurde 2013 bei Twitter eingestellt und stieg dort Stück für Stück auf. Irgendwann hatte er direkten Zugang zu personenbezogenen Daten und saudische Geheimdienstler kontaktierten ihn. Er sollte diese Daten an die Saudis weitergeben. Twitter begann eine Untersuchung und entließ die Person. Im Rahmen der Untersuchung fand Twitter keine Hinweise, dass Daten an Saudi-Arabien weitergegeben wurden.

Damit sind zumindest einige der Fragen beantwortet. Jedoch frage ich mich immer noch, warum Saudi-Arabien gerade Interesse an meinen Daten haben könnte.

September 17 2018

Bad Bank von Dirk Laabs

<!-- s9ymdb:237 --><!-- s9ymdb:238 --><!-- s9ymdb:238 --><!-- s9ymdb:238 -->Bad BankVor kurzem stöberte ich durch die Regale des lokalen Buchhändlers. Dabei fiel mir u.a. das Buch Bad Bank von Dirk Laabs auf. Der Autor schrieb zusammen mit Stefan Aust vor einigen Jahren ein Buch zum NSU, Heimatschutz. Das gefiel mir damals inhaltlich und vom Stil her sehr gut und so überlegte ich kurz, ob ich auch dieses Buch kaufen solle. Zunächst entschied ich mich dagegen.

Später stolperte ich über die Ankündigung von Dirk Laabs auf Twitter. Er schrieb, dass sein Buch in zehn Tagen erscheinen würde. Ich warf einen Blick auf die Inhalte und entschied mich, das Buch zu kaufen. Sozusagen als Early Bird. ;-)

Die Finanzkrise jährt sich gerade zum zehnten Mal und das Buch wirft einen Blick auf die Rolle der Deutschen Bank. Der Startpunkt und Rahmen ist die Geschichte von Bill Broeksmit. Hiervon ausgehend erzählt Dirk Laabs die Geschichte verschiedener Probleme im Bankensektor. Der Zusammenbruch der Continental Illinois im Jahr 1984 hat bereits alle Zutaten der späteren Bankenkrisen. Aber auch die verschiedenen Krisen in den 1990er Jahren, die Insolvenz von Orange County, die Krise des Hedgefonds LTCM und anderen.

Daneben wird die Geschichte der Deutschen Bank erzählt. Mit der Übernahme der Morgan Grenfell wollte diese in das Investmentbanking einsteigen. Dies wurde später mit der Einstellung verschiedener wichtiger Personen sowie der Übernahme von Bankers Trust weiter ausgebaut. Ich hatte beim Lesen den Eindruck, dass diese Schritte halbwegs konzeptionslos durchgeführt wurden. Das heißt, es gab die Vorstellung, dass das Investmentbanking Gewinne abwerfen wird. Aber dem Vorstand der Bank schien unklar zu sein, wie das Geschäft genau integriert wird und wie damit umgegangen werden soll. Dies legte dann den Grundstein für die weiteren Fehlentwicklungen. Das Buch schildert sehr schön, wie sich die diversen Abteilungen verselbstständigten, Geschäfte machten und wie wenig auf die entstehenden Risiken geachtet wurde. Am Ende stand dann ein Konzern, dem wenig klar war, wie es genau um die Geschäfte bestellt ist. Und am Beispiel von Eric Ben-Artzi wird gezeigt, wie mit Leuten umgegangen wurde, die genauen auf die Risiken schauen wollten. Er endete als Whistleblower, nachdem er von der Bank kaltgestellt wurde. Das Buch schließt mit dem Tod von Bill Broeksmit und einem Ausblick auf den aktuellen Vorstand der Bank.

Wie schon Heimatschutz fand ich das Buch sehr gut zu lesen. Es erzählt die Vorgänge in Form einer spannenden Geschichte. Neben den eigentlichen Vorfällen bei der Deutschen Bank werden auch andere Vorfälle beleuchtet und so gewinnt man einen guten Überblick über den geschichtlichen Verlauf. Das Buch korrigiert auch den Eindruck, dass bei der Deutschen Bank immer alles glatt lief, nie staatliche Gelder entgegengenommen wurden usw. Insofern kann ich dies nur allen zur Lektüre empfehlen. Einzig eine Sache störte mich: Naturgemäß wird im Buch immer wieder von Derivaten, Swaps, CDOs, RMBS’ usw. gesprochen. Diese Instrumente werden aus meiner Sicht zu kurz erklärt. Hier würde ich mir eine bessere Erklärung wünschen. Dies könnte als Anhang oder auf einer speziellen Webseite passieren.

Insgesamt bietet das Buch einen erschreckenden und gut geschriebenen Einblick in die Finanzszene, speziell die Deutsche Bank. Ich kann das nur uneingeschränkt zur Lektüre empfehlen.

August 31 2018

Benötigt die Universität meine Einwilligung für die Bewerbung?

<!-- s9ymdb:236 -->Stellenausschreibung OVGU
Stellenausschreibung von der Otto-von-Guericke-Universität Magdeburg

Ich stolperte vor kurzem über Stellenauschreibungen. Rechts seht ihr beispielhaft eine Ausschreibung der Otto-von-Guericke-Universität in Magdeburg (OVGU). Am Ende des Textes findet sich folgende Anmerkung:

Zur Verarbeitung Ihrer Bewerbung ist gemäß der Datenschutz-Grundverordnung sowie des Bundesdatenschutzgesetzes (neu) Ihre Einwilligung zur zweckgebundenen Speicherung Ihrer personenbezogenen Daten schriftlich beizulegen. Die Zustimmung kann jederzeit widerrufen werden.

Jetzt stellt euch vor, ihr interessiert euch für die Stelle und macht eure Unterlagen fertig. Neben Anschreiben, Lebenslauf, Zeugnissen etc. muss natürlich auch die Einwilligung mitgeschickt werden. Doch woher bekommt ihr die?

Meine Annahme war, dass diese auf den Seiten der Universität zu finden ist. Eine Suche nach dem Schlagwort ergab zwar mehr als 250 Treffer. Soweit ich es sah, fand sich darunter kein relevantes Formular. Ihr sagt euch nun, früher benötigte auch niemand eine Einwilligung und schickt eure Unterlagen einfach so raus.

Doch was muss der Sachbearbeiter an der OVGU tun bzw. denken? Er öffnet eure Unterlagen und hat eine Vielzahl von personenbezogenen Daten vor sich. Im Sinne der Datenschutz-Grundverordnung verarbeitet er diese. Aber hat die Universität nicht oben erklärt, dass diese meine Einwilligung benötigt? Ohne diese wäre doch dann eine Verarbeitung nicht rechtmäßig und der Sachbearbeiter müsste eventuell alle personenbezogenen Daten unverzüglich löschen!

Die Situation klingt ganz schön vertrackt und man könnte durchaus auf die Idee kommen, auf die DS-GVO zu schimpfen, weil sie ja alles so kompliziert und unpraktikabel macht. Natürlich könnte man auch auf die Idee kommen, sich zu fragen, ob eine Einwilligung überhaupt das richtige Mittel ist. Denn erst dadurch entstehen die oben geschilderten Probleme. In der Tat bietet der Artikel 6 der DS-GVO andere Rechtsgrundlagen. Eine Bewerbung wird ja eingereichtet, mit dem Ziel einen Vertrag abzuschließen. Zu dem Zweck dürfen personenbezogene Daten auch ohne Einwilligung verarbeitet werden. Das wäre doch für diesen Fall perfekt.

Das heißt, aus meiner Sicht macht es sich die OVGU hier unnötig schwer. Vielleicht sind sie ja nicht ohne Grund gerade auf der Suche nach einem Datenschutzmanager. :-)

May 27 2018

Pizza.de und die neue Datenschutzerklärung

Pizza.de gehörte zu den vielen Firmen, die ihre Datenschutzerklärung aktualisieren. Mit Spannung öffnete ich die E-Mail und fand Deals, Deals und nochmal Deals:

<!-- s9ymdb:235 -->Screenshot von pizza.de
Screenshot der E-Mail von Pizza.de

May 26 2018

Eine Auskunft nach der DS-GVO bitte

Viele von euch werden Ende Mai viele E-Mails erhalten haben. Firmen wollten unbedingt Informationen über deren hervorragenden Datenschutz loswerden und in einigen Fällen wurde dazu aufgerufen, in irgendetwas einzuwilligen. Doch ging es euch auch so, dass da Firmen dabei waren, von denen ihr noch nie gehört habt?

Mir ging es so. Ich bekam einige E-Mails von Firmen, die ich nicht kenne und wo ich mich nicht erinnern kann, mit denen in einer Beziehung zu stehen. Ein Blick in die Datenschutz-Grundverordnung zeigt, dass es da ein wichtiges Recht für mich als Bürger gibt: das Auskunftsrecht.

Also werde ich das jetzt mal anwenden. Mit dem untenstehenden Muster schreibe ich die Firmen an und bitte um Auskunft. Falls ihr mögt, könnt ihr dies ebenfalls verwenden. Das lässt sich aber auch noch erweitern bzw. anpassen.

Sehr geehrte Damen und Herren,


die untenstehende E-Mail erreichte mich auf meiner persönlichen E-Mail-Adresse <FOO@example.com>. Nach Art. 15 DS-GVO habe ich ein Auskunftsrecht über meine personenbezogenen Daten.


Bitte teilen Sie mir daher gemäß Art. 15 Abs. 1 DS-GVO mit, ob Sie personenbezogene Daten verarbeiten und geben Sie ggf. Auskunft über diese Daten. Insbesondere möchte ich Sie bitten, mir die folgenden Informationen mitzuteilen:

  1. Welche Daten über meine Person sind bei Ihnen gespeichert oder werden durch Sie verarbeitet?
  2. Zu welchem Zweck wurden diese Daten verarbeitet?
  3. Welchen Empfängern oder Kategorien von Empfängern wurden meine personenbezogenen Daten offengelegt?
  4. Sofern die personenbezogenen Daten nicht bei mir erhoben wurden, geben Sie mir bitte alle verfügbaren Informationen über die Herkunft der Daten.
  5. Falls meine personenbezogenen Daten an ein Drittland oder eine internationale Organisation übermittelt wurden, bitte ich Sie, mir mitzuteilen, welche Garantien gemäß Art. 46 DS-GVO vorgesehen sind.

Gemäß Art.15 Abs. 3 DS-GVO bitte ich um eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind.


Ich bitte Sie, mir diese Auskunft unverzüglich zu erteilen. Sollte ich binnen eines Monats nach Versand dieser E-Mail keine Rückmeldung erhalten, werde ich mich an die zuständige Aufsichtsbehörde wenden.

Mit freundlichen Grüßen

Der oben zitierte Art. 15 bietet noch das Recht auf mehr Informationen. Die in dem oben genannten Schreiben sind mir aber die wichtigsten Punkte. Daher habe ich das etwas eingekürzt.

Wenn ihr den Brief ebenfalls verwendet, würde ich mich über eure Erfahrungen freuen. Ich werde ggf. ebenfalls interessante Begebenheiten bloggen.

May 23 2018

Einbindung von Flickr doch konform zur DS-GVO

<!-- s9ymdb:234 -->GDPR
GDPR & ePrivacy Regulations von Dennis van der Hejden. Original bei Flickr

Vor kurzem stellte ich mir hier im Blog die Frage, ob man noch Bilder des Dienstes Flickr einbinden kann. Nach meiner Prüfung kam ich zu dem Schluss, dass dies nicht mehr der Fall ist und entfernte die Bilder aus meinem Blog.

Heute hielt ich einen Workshop, der u.a. auch die Datenschutz-Grundverordnung zum Thema hatte. Dort fragte mich ein Teilnehmer, ob denn das Land Thüringen eine korrekte Datenschutzerklärung (DSE) hat. Der folgende Abschnitt brachte mich dann doch ins Staunen:

Flickr

Innerhalb unseres Onlineangebotes können Funktionen und Inhalte des Dienstes Flickr eingebunden sein. Flickr ist ein Foto- und Bilder-Dienst des amerikanischen Unternehmens SmugMug Inc. (67 E. Evelyn Ave, Suite 200
Mountain View, California, U.S.)Wenn Sie selber Flickr aktiv nutzen und ein Bild oder Video veröffentlichen, können wir ihn ebenfalls sehen, wenn Sie ihn jedermann zugänglich gemacht haben oder wenn wir Ihnen über Flickr folgen. Ebenfalls können wir Ihre Angaben auf Flickr sehen, wenn thueringen.de Ihrem Profil folgt. Einzelheiten zur Verarbeitung der Daten bei Flickr und den Sichtbarkeitseinstellungen entnehmen Sie bitte den Datenschutzbedingungen von Flickr bzw. Oath (ehemals Yahoo): policies.oath.com/ie/de/oath/privacy/index.html  

Das heißt, das Land Thüringen ist der Meinung, rechtmäßig Flickr-Bilder einbinden zu können. Wie kann das sein?

Weder Flickr noch Yahoo! noch eine der anderen Firmen steht bisher auf der Privacy-Shield-Liste. Und die Datenschutzbedingungen von Flickr gaben doch bisher auch nichts her. Aber: Unter anderen ist das Datenschutzcenter von Oath mit verlinkt. Dort steht gleich am Anfang:

Für Produkte oder Dienste von Oath, auf die ohne Anmeldung bei einem Account zugegriffen wird, gilt diese Datenschutzerklärung für diese Produkte und Dienste ab 25. Mai 2018.  

Flickr gehört mit zu Oath. Also gelten diese Bedingungen auch für Flickr. In der DSE steht drin, dass die Oath (EMEA) Limited in Dublin diese Dienste bereitstellt und damit wohl Verantwortlicher im Sinne der DS-GVO ist. Also werden die Daten von einem Unternehmen mit Sitz in der EU verarbeitet und die DS-GVO möchte ja den freien Verkehr personenbezogener Daten fördern (oder zumindest nicht einschränken).

Weiterhin erklärt Oath, dass sie die Standardvertragsklauseln der EU-Kommission verwenden bzw. nur Daten mit Unternehmen austauschen, die nach Privacy Shield zertifiziert sind.

Insgesamt scheint die Datenschutzerklärung den Anforderungen der Art. 13 und 14 DS-GVO zu entsprechen. Und auch inhaltlich ist es jetzt so, dass man wohl doch bedenkenlos Bilder von Flickr in seinem Blog einbinden kann.

May 14 2018

Blog entflickt

In einem Beitrag vor ein paar Tagen kam ich zu der Ansicht, dass spätestens mit der Anwendung der Datenschutz-Grundverordnung am 25. Mai 2018 Flickr nicht mehr genutzt werden kann. Das bedeutete für mich, dass ich mein Blog auf Bilder prüfen muss, die über Flickt eingebunden werden. Soweit ich das sehe, ist das jetzt abgeschlossen. Es sollten keine Bilder mehr über Flickr und andere fremde Quellen kommen.

Weiterhin habe ich geprüft, ob ich bei YouTube-Videos die Domain youtube-nocookie.com verwende. Auch dies sollte jetzt der Fall sein. Damit kommen die Videos hier im Blog entweder von obiger YouTube-Seite oder von media.ccc.de.

Solltet ihr noch Sachen finden, die von woanders eingebunden werden, freue ich mich über einen Hinweis in den Kommentaren.

May 12 2018

Kann man Flickr-Fotos noch einbinden?

Ich bin gerade dabei, mein Blog durchzuschauen, was ich an fremden Inhalten einbinde oder was nach den Bestimmungen der Datenschutz-Grundverordnung (DS-GVO) relevant wäre. Dabei fiel mir auf, dass ich an einigen Stellen den Fotodienst Flickr verwende. Das heißt, ich habe auf deren Seiten Bilder gespeichert und für Beiträge werden diese Bilder hier mit eingebunden.

Wie verhält sich dies nun nach der DS-GVO? Wenn jemand einen Blogbeitrag mit einem solchen Flickr-Bild besucht, dann sehe (oder im Sinne der DS-GVO erhebe) ich bzw. mein Server die IP-Adresse des Besuchers. Unter anderem zählt diese als personenbezogenes Datum. Durch den Abruf des Bildes werden diese personenbezogenen Daten in ein unsicheres Drittland übertragen. Denn Flickr gehört US-Firmen (Yahoo! bzw. SmugMug) und deren Server stehen in den USA. Nun sagt der Artikel 35 DS-GVO, dass die Daten trotzdem in solche unsicheren Staaten übertragen werden kann, wenn es ein angemessenes Schutzniveau gibt. Dies kann durch verschiedene Faktoren passieren. Im Falle der USA ist der so genannte Privacy Shield eine der Varianten. Die US-Unternehmen können sich zertifizieren lassen und in eine Liste eintragen. Steht ein Unternehmen auf der Liste, ist der erste Schritt getan. Da ein solches Unternehmen personenbezogene Daten in meinem Auftrag verarbeitet, wäre wohl noch ein Auftragsverarbeitungsvertrag abzuschließen und die Datenschutzerklärung entsprechend zu ergänzen.

Im Falle von Flickr suchte ich also nach einem Eintrag in der Liste beim Privacy Shield. Dort fand ich weder einen Eintrag zu Flickr noch zu Yahoo! oder SmugMug. Auch anderweitige Suchen brachten mich nicht weiter. Damit muss ich wohl davon ausgehen, dass Flickr eben nicht nach Privacy Shield zertifiziert ist. Jetzt könnte ich versuchen, einen Vertrag gemäß der Standardvertragsklauseln der EU mit Flickr abzuschließen. Ich halte es aber für fraglich, dass Flickr dies mit jedem seiner Kunden tun wird und dass dies auch bis zum 25. Mai 2018 unterschrieben ist.

Daher ist es wohl so, dass eben kein geeignetes Datenschutzniveau gewährleistet werden kann und damit auch keine Bilder von Flickr eingebunden werden können. Zumindest dann nicht, wenn man der DS-GVO folgen will. Das heißt für mich, dass ich dies jetzt ändern werde und die Bilder lokal ausliefere.

Natürlich bin ich kein Jurist. Das oben Geschriebene ist daher als Meinung eines informierten Laien zu verstehen. Falls ihr andere Argumente oder Meinungen habt, freue ich mich über Kommentare.

April 27 2018

Fehler beim Aktualisieren in F-Droid

Beim letzten Update von F-Droid gab es Probleme. Updates wurden nicht mehr geladen und stattdessen zeigte das Telefon die Meldung »error getting index file« an. Nach einigem erfolglosen Herumprobieren stieß ich auf den Mastodon-Account von F-Droid. Laut der letzten Meldung versuchten die Entwickler einen anderen Fehler zu beheben. Dies löste dann dieses Problem aus.

Doch wie lässt sich das nun beheben? Ein Hinweis liefert der Blogbeitrag der Entwickler. Sie schreiben, man solle das alte Indexformat aktivieren. Dazu geht ihr im F-Droid auf Optionen. Recht weit unten in den Einstellungen müsst ihr den Expertenmodus aktivieren und dann findet ihr ganz unten den Menüeintrag «Altes Index-Format erzwingen«. Nun lassen sich, wie gewohnt, die Updates herunterladen und installieren.

Viel Spass mit aktueller freier Software auf euren Smartphones.

February 01 2018

Call for action: Please send me an encrypted file

tl;dr: Please encrypt a file and send it to me together with a (short) description, how I can make it readable for me.

Everyone is talking about encryption and nobody does it. This is a short summary of my initial asumption. Did you ever try to encrypt a file and to send it someone? How did you do it?

This is a fairly simple and basic task which you can present in a beginner’s course:

Assume another person uses a public computer (Internet cafe, library, etc.). You want to send a file to this person and keep the content confidential to other people. Encrypt a file on your computer and send it to the person.

I ask myself how you would do it. Thatswhy I decided to conduct a little experiment: Dear reader, please encrypt a (no so big) file and send it to me (via mail to enc2018@kubieziel.de, comment this post or use some other means to contact me). Add some information which to decrypt the file. You have no idea how to do this? I desperately want to know about it. Please write a mail or leave a comment. You tried and failed? I desperately want to know about it. Please write a mail or leave a comment. I would like to know how easy or hard this task is.

I plan to analyse the data on a anonymous basis and will introduce some tools in later posts.

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl