[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [InetBib] Interview mit padeluun (Digitalcourage e.V.) im „Lesesaal“ von BuB: „Datensicherheit ist eine Illusion“



Am 10.11.2015 um 12:26 schrieb Mirko Tietgen:

Die Idee, Benutzungsdaten nur on the fly bei jeder Ausleihe
anzulegen, ist doch nicht realistisch. Wie sollten denn die (nur auf
meiner Karte gespeicherten?) Daten bei der Ausleihe in das
Bibliothekssystem gelangen? RFID und Datenschutz schließen sich, wie
wir bei padeluun gelernt haben, aus. So einfach ist das.

Es gibt schon Verfahren, mit denen man die "Stammdaten" von Nutzenden und die Daten, die bei Nutzung von Dienste anfallen, auf einem deutlich besseren Datenschutzniveau trennen kann, als das gängige (nicht nur Bibliotheks-)Software tut. Eine im Hochschulumfeld verbreitete Implementierung eines solchen Verfahrens ist zum Beispiel Shibboleth: Da weiß der Service Provider (z.B. Ausleihe) so wenig wie möglich und nötig über Nutzende, der Indentity Provider (z.B. Stammdaten der Studierenden und Beschäftigten einer Hochschule) so wenig wie möglich und nötig über das, was bei der Nutzung passiert. Im Idealfall lassen sich die Daten gar nicht verknüpfen, weil der Service Provider gar nicht weiß, wer (dennoch berechtigt) seine Dienste nutzt. Für so etwas wie das Mahnwesen bräuchte man beim Dienst "Ausleihe" aber schon eine Möglichkeit zur Verknüpfung eines Ausleihvorgangs mit einer konkreten Person, zumindest dann, wenn die Mahnung fällig ist. Diese Verknüpfung könnte man aber durchaus so gestalten, dass sie nur für eine einzelne Transaktion (einzelne Ausleihe) gültig ist und nur nachträglich durch Kooperation von Service und Identity Provider auflösbar ist. Das bedeutet: Die Bibliothek bekäme im Idealfall nie persönliche Daten ihrer Nutzenden zu sehen.

Den Begriff "hysterisch" hätte ich hier -- wie anderswo -- auch
lieber nicht gelesen.

Zumal BuB weder eine juristische Fachpublikation zu Fragen des Datenschutzes noch eine informationstechnische Fachpublikation zu Fragen der Datensicherheit ist. Dem Interview hätte vielleicht eine stärkere Differenzierung (u.a. auch zu den beiden unterschiedlichen Teilaspekten Datensicherheit und Datenschutz) gut getan, letztendlich hat es aber seinen Zweck schon erreicht (wie man hier sieht): Eine Diskussion in der Zielgruppe anzustoßen.

Und nur damit wir uns nicht missverstehen: Nur weil auf irgendwas zum Beispiel "Shibboleth" steht, ist es nicht automatisch auf einem besseren Datenschutz- oder gar Datensicherheitsniveau. Auch mit solchen Verfahren kann man noch zu viele persönliche Daten übertragen und sie schlecht geschützt zu lange speichern. Man muss schon hinschauen, was in einer konkreten Implementierung genau passiert und darf "Datensparsamkeit" nicht als Ziel aus den Augen verlieren. So verstehe ich zum Beispiel padeluuns Aussage "Ich muss schon den Mut haben, mich meines eigenen Verstandes zu bedienen. Das bedeutet, dass ich nicht einfach »passt schon« sagen darf, sondern dass ich mich selbst informiere und dann erst entscheiden kann, ob mein Dienstleister überhaupt selbst qualifiziert ist."

Viele Grüße aus dem leicht-feuchten Göttingen,
Till Kinstler


--
Till Kinstler
Verbundzentrale des Gemeinsamen Bibliotheksverbundes (VZG)
Platz der Göttinger Sieben 1, D 37073 Göttingen
kinstler@xxxxxx, +49 (0) 551 39-13431, http://www.gbv.de/


Listeninformationen unter http://www.inetbib.de.