Heute mal wieder ein kleiner Fingerzeig in Richtung: Wie riskant jegliche Online-Aktivität sein kann – oder gut gedacht ist nicht immer gut gemacht. Es geht dieses Mal um eine Onlineumfrage der Stadt Bielefeld zum Projekt „altstadt.raum". Anfang Februar 2022 hat es dabei eine Datenpanne gegeben, bei dem E-Mail- und IP-Adressen von Teilnehmern online einsehbar waren. Wie heißt es so schön "vermutlich war ein zu schneller Klick die Ursache".
Anzeige
Ein Blog-Leser hat mich auf das Thema hingewiesen (danke dafür) und meint: "In Bielefeld läuft derzeit ein ohnehin nicht unumstrittenes Projekt zur geänderten Verkehrsplanung der Altstadt. Für die Bevölkerung werden Informationen und Abstimmungen über die Seite altstadtraum.de bereitgestellt." Hätte ich normalerweise nicht thematisiert. Aber es ist mal wieder ein typischer Fall von "da kennt jemand, jemanden, der einen kennt, der mit einem Dritten bekannt ist, der so etwas schon mal gemacht hat, den frag ich mal und mache das auch".
Projekt altstadt.raum
Böse Zungen behaupten zwar, Bielefeld gibt es gar nicht. Aber immerhin hat die Kommune, die es so nicht gibt, eine Webseite für das Projekt altstadt.raum aufgesetzt. Es geht bei diesem Projekt darum, die Altstadt von Bielefeld lebenswerter zu gestalten.
Und dort haben die Projektverantwortlichen im Oktober 2021 eine Umfrage gestartet, an der sich Bürger beteiligen konnten. Und ganz lobenswert: Viele Daten sind im Open Data-Portal der Stadt Bielefeld einsehbar. Doof war allerdings, die Ergebnisse dieser Umfragen ebenfalls in dieses Open Data-Portal einzustellen – so etwas muss, sofern es überhaupt gemacht wird, im Hinblick auf Datenschutz sehr genau bedacht und kontrolliert werden. Das ist aber wohl nicht erfolgt bzw. ziemlich schief gelaufen.
Anzeige
Der Datenschutzvorfall
Bei der Bereitstellung der Daten dieser Onlineumfrage kam es am 1. Februar 2022 wohl zu einem Datenschutzvorfall, wie z.B. dieses Medium (Artikel gelöscht) berichtet. Die Daten der Umfrageteilnehmer wurden dort bis zum 2. Februar 2022 zur Einsichtnahme bereitgestellt. Problem war, dass das nicht anonymisiert erfolgte, sondern Email- und IP-Adressen von Nutzern, die sich im vergangenen Oktober an der Umfrage beteiligt hatten, öffentlich für einen Tag in den betreffenden Datensätzen einsehbar waren. Von 4.500 Personen waren die IP-Adressen zu sehen, bei etwa 2.400 davon zusätzlich auch noch die E-Mailadressen.
Als das Ganze auffiel, wurden die Daten sofort offline genommen und der städtische Datenschutzbeauftragte eingeschaltet. Mit der Landesbeauftragten für Datenschutz und Informationsfreiheit wurden die weiteren Schritte abgestimmt und alle Betroffenen, deren Mailadresse sichtbar war, über das Versehen informiert. Das Problem bei diesem Datenschutzvorfall: Die Mail-Adressen könnten für Phishing missbraucht werden. Bei den IP-Adressen ist es halt lediglich ein DSGVO-Verstoß.
Der Vorfall zeigt, wie riskant die Bereitstellung von Daten sein kann. Dazu heißt es in obigem Medium: Die Stadt entschuldigt sich für die Panne, die vermutlich durch einen „zu schnellen Click" entstanden sei, und warnt die betroffenen Nutzer vor möglichen Spam- und Phishing-Versuchen. Bislang habe es aber noch keine Hinweise auf einen Missbrauch der Daten gegeben.
Anzeige
Dürfte alles nur halb so schlimm sein, wenn überhaupt. Na gut, einige werden aufschreien und was von Privatsphäre und Datenschutz blöken und sich via Facebook/WhatsApp ausgeifern.
Der Datenschützer wird (zurecht) wegen des Missssstandes viel Staub aufwirbeln und im März erleben, dass die Windmühlen sich weiterdrehen.
Letztlich entschuldigt das nicht diesen "übereilten" Klick aber der normale Bielefelder wird es bereits nächste Woche zu den Akten gelegt haben. GNTM läuft an, Olympiade rennt, es gibt genügend Soaps und Ukraine brennt viel mehr. Läuft.
Man mag persönlich von Datenschutz halten, was man will, aber Menschen, die das für wichtig erachten und die Einhaltung dessen erwarten (nicht nur weil dies gesetzlich geregelt ist), als "geifernde" und "blöckende" Minderheit zu bezeichnen und den Rest der Menschen als brainwashed zu bezeichnen , zeugt nicht gerade vom Respekt anderer Meinungen und Ansichten.
Du zitierst mich ohne kompletten Kontext. Es ging mir um die Menschen, die zuerst was von Datenschutz erzählen aber selbst diese Diskussionen auf Facebook oder WhatsApp austragen.
Sehe ich auch so. Hier wird viel Wind um nichts gemacht. Man kann es auch übertreiben.
Die ISP ändern zwar täglich die IP-Adresse, aber in meinem Fall immer nur 1 von 500 (das letzte Byte ist zufällig, das vorletzte Byte hat nur 2 Variante). Damit erfolgt eine GeoLokalisierung auf ca 100 Meter.
Anonym ist anders!
> Die ISP ändern zwar täglich die IP-Adresse.
Äh, nein. Evtl. macht Dein ISP sowas, aber allgemeingültig ist diese Aussage nicht. Viele behalten über Wochen die gleiche IP, wenn DSL-Router nicht manuell getrennt bzw. manuell neu gestartet werden.
Ich hatte heute gerade ein Gespräch dazu, wie schnell das geht mit einem Datenschutzverstoß.
Und das "schnell" ist da meist genau der Punkt.
Alles muss schnell gehen, gerade bei der Datenverarbeitung. Zack, zack. Und schon ist es passiert.
Wobei das dann meist heißt, dass man schneller gearbeitet hat, als man es durchdenken konnte. Oder dass man prinzipiell nicht mehr über auch nur irgendwas nachdenkt.
Ein Zustand, den ich bei überforderten und/oder stark unter Druck stehenden Mitarbeitern immer wieder sehe. Dann ist Denken nicht mehr möglich. Und auf Erklärungen folgen nur tote Augen.
Regeln und Anweisungen helfen da auch nicht.
Dieser Zustand ist im öffentlichen Dienst leider sehr, sehr häufig anzutreffen.
Der Druck auf die einen Sachbearbeiter kann da wirklich enorm sein, während andere Tageszeitung lesen.
Sind wir mal ehrlich. Hier wird wieder aus einer Mücke ein Elefant gemacht. Wer kann mit den Daten etwas anfangen? Am Ende ist alles halb so wild. Man kann Datenschutz auch zur Paranoia machen.
Glücklicherweise interessiert deine persönliche Befindlichkeit herzlich wenig. Und bei Sätzen der Art "seien wir mal ehrlich ..:", sträuben sich mir die Nackenhaare. Mit wir fühle ich mich nicht angesprochen.
Es gibt seit Mai 2018 eine DSGVO, die ist verbindlich, und es wurde definiert, dass sowohl E-Mail-Adresse als auch IP-Adresse persönliche Daten sind. Diese sind zu schützen und haben bei so etwas nichts, aber auch gar nichts zu suchen. Jeder kleine Website-Betreiber, jeder Sportverein etc. macht Klimmzüge, um das einzuhalten. Und dann kommst Du mit einer Relativierung. Wie ist es denn, wenn die persönlichen Daten eines COVID-19-Tests plötzlich im Internet einsehbar sind? Nicht so schlimm und "Mücke zum Elefanten gemacht"?
Und damit sind wir beim Punkt: Das Thema gehört angesprochen und an die Öffentlichkeit – egal, ob jemand da Mücken oder Elefanten bewegt oder nicht. Es ist genau diese Haltung "Datenschutz auch zur Paranoia", die aus Dumpfbackigkeit von interessierter Seite immer mal wieder hochgeholt wird. So ganz spontan fällt mir Brandenburgs Justizministerin Susanne Hoffmann (CDU) ein:
Wie wusste Honnecker: Dümmer geht's (n)immer.
Hier kann ich nur empfehlen den Internetstecker zu ziehen. Dann klappt's auch mit dem Datenschutz. Vielleicht. Wenn nicht woanders Daten anfallen.
Am Ende bewegt man sich mit solchen überhasteten Aktionen zurück ins letzte Jahrhundert. Wundert mich nicht dass wir in Deutschland nichts auf die Reihe bekommen und andere Länder uns schon lange rechts überholt haben. Hauptsache dem Michel sein Datenschutz ist sicher. Zumindest in seinem Kopf.
naja das ist nun mal gesetzlich geregelt und auch vollkommen zu recht.
Wenn dich deine Daten und Privatsphäre nicht jucken ist das dein Ding, andere jucken diese aber. Wenn mit deiner email und IP Schindluder getrieben wird ( Phishing oder unter deiner eMail Addy zum Beispiel ein Politiker bedroht wird und du dann morgens früh von nem SEK aus dem Bett geholt wirst) denkst du vielleicht auch anders.
Aber , sind wir mal ehrlich ;-P die Masse hat eben einen sehr kleinen aber hohen Tellerrand.