[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [InetBib] Interview mit padeluun (Digitalcourage e.V.) im „Lesesaal“ von BuB: „Datensicherheit ist eine Illusion“
- Date: Tue, 10 Nov 2015 20:39:18 +0100
- From: Till Kinstler <kinstler@xxxxxx>
- Subject: Re: [InetBib] Interview mit padeluun (Digitalcourage e.V.) im „Lesesaal“ von BuB: „Datensicherheit ist eine Illusion“
Am 10.11.2015 um 12:26 schrieb Mirko Tietgen:
Die Idee, Benutzungsdaten nur on the fly bei jeder Ausleihe
anzulegen, ist doch nicht realistisch. Wie sollten denn die (nur auf
meiner Karte gespeicherten?) Daten bei der Ausleihe in das
Bibliothekssystem gelangen? RFID und Datenschutz schließen sich, wie
wir bei padeluun gelernt haben, aus. So einfach ist das.
Es gibt schon Verfahren, mit denen man die "Stammdaten" von Nutzenden
und die Daten, die bei Nutzung von Dienste anfallen, auf einem deutlich
besseren Datenschutzniveau trennen kann, als das gängige (nicht nur
Bibliotheks-)Software tut. Eine im Hochschulumfeld verbreitete
Implementierung eines solchen Verfahrens ist zum Beispiel Shibboleth: Da
weiß der Service Provider (z.B. Ausleihe) so wenig wie möglich und nötig
über Nutzende, der Indentity Provider (z.B. Stammdaten der Studierenden
und Beschäftigten einer Hochschule) so wenig wie möglich und nötig über
das, was bei der Nutzung passiert. Im Idealfall lassen sich die Daten
gar nicht verknüpfen, weil der Service Provider gar nicht weiß, wer
(dennoch berechtigt) seine Dienste nutzt.
Für so etwas wie das Mahnwesen bräuchte man beim Dienst "Ausleihe" aber
schon eine Möglichkeit zur Verknüpfung eines Ausleihvorgangs mit einer
konkreten Person, zumindest dann, wenn die Mahnung fällig ist. Diese
Verknüpfung könnte man aber durchaus so gestalten, dass sie nur für eine
einzelne Transaktion (einzelne Ausleihe) gültig ist und nur nachträglich
durch Kooperation von Service und Identity Provider auflösbar ist. Das
bedeutet: Die Bibliothek bekäme im Idealfall nie persönliche Daten ihrer
Nutzenden zu sehen.
Den Begriff "hysterisch" hätte ich hier -- wie anderswo -- auch
lieber nicht gelesen.
Zumal BuB weder eine juristische Fachpublikation zu Fragen des
Datenschutzes noch eine informationstechnische Fachpublikation zu Fragen
der Datensicherheit ist. Dem Interview hätte vielleicht eine stärkere
Differenzierung (u.a. auch zu den beiden unterschiedlichen Teilaspekten
Datensicherheit und Datenschutz) gut getan, letztendlich hat es aber
seinen Zweck schon erreicht (wie man hier sieht): Eine Diskussion in der
Zielgruppe anzustoßen.
Und nur damit wir uns nicht missverstehen: Nur weil auf irgendwas zum
Beispiel "Shibboleth" steht, ist es nicht automatisch auf einem besseren
Datenschutz- oder gar Datensicherheitsniveau. Auch mit solchen Verfahren
kann man noch zu viele persönliche Daten übertragen und sie schlecht
geschützt zu lange speichern. Man muss schon hinschauen, was in einer
konkreten Implementierung genau passiert und darf "Datensparsamkeit"
nicht als Ziel aus den Augen verlieren. So verstehe ich zum Beispiel
padeluuns Aussage "Ich muss schon den Mut haben, mich meines eigenen
Verstandes zu bedienen. Das bedeutet, dass ich nicht einfach »passt
schon« sagen darf, sondern dass ich mich selbst informiere und dann erst
entscheiden kann, ob mein Dienstleister überhaupt selbst qualifiziert ist."
Viele Grüße aus dem leicht-feuchten Göttingen,
Till Kinstler
--
Till Kinstler
Verbundzentrale des Gemeinsamen Bibliotheksverbundes (VZG)
Platz der Göttinger Sieben 1, D 37073 Göttingen
kinstler@xxxxxx, +49 (0) 551 39-13431, http://www.gbv.de/
Listeninformationen unter http://www.inetbib.de.