Re: [InetBib] Interview mit padeluun (Digitalcourage e.V.) im „Lesesaal“ von BuB: „Datensicherheit ist eine Illusion“

[Till Kinstler <kinstler@xxxxxx>]

Am 10.11.2015 um 12:26 schrieb Mirko Tietgen:

> Die Idee, Benutzungsdaten nur on the fly bei jeder Ausleihe
> anzulegen, ist doch nicht realistisch. Wie sollten denn die (nur auf
> meiner Karte gespeicherten?) Daten bei der Ausleihe in das
> Bibliothekssystem gelangen? RFID und Datenschutz schließen sich, wie
> wir bei padeluun gelernt haben, aus. So einfach ist das.

Es gibt schon Verfahren, mit denen man die "Stammdaten" von Nutzenden 
und die Daten, die bei Nutzung von Dienste anfallen, auf einem deutlich 
besseren Datenschutzniveau trennen kann, als das gängige (nicht nur 
Bibliotheks-)Software tut. Eine im Hochschulumfeld verbreitete 
Implementierung eines solchen Verfahrens ist zum Beispiel Shibboleth: Da 
weiß der Service Provider (z.B. Ausleihe) so wenig wie möglich und nötig 
über Nutzende, der Indentity Provider (z.B. Stammdaten der Studierenden 
und Beschäftigten einer Hochschule) so wenig wie möglich und nötig über 
das, was bei der Nutzung passiert. Im Idealfall lassen sich die Daten 
gar nicht verknüpfen, weil der Service Provider gar nicht weiß, wer 
(dennoch berechtigt) seine Dienste nutzt.
Für so etwas wie das Mahnwesen bräuchte man beim Dienst "Ausleihe" aber 
schon eine Möglichkeit zur Verknüpfung eines Ausleihvorgangs mit einer 
konkreten Person, zumindest dann, wenn die Mahnung fällig ist. Diese 
Verknüpfung könnte man aber durchaus so gestalten, dass sie nur für eine 
einzelne Transaktion (einzelne Ausleihe) gültig ist und nur nachträglich 
durch Kooperation von Service und Identity Provider auflösbar ist. Das 
bedeutet: Die Bibliothek bekäme im Idealfall nie persönliche Daten ihrer 
Nutzenden zu sehen.

> Den Begriff "hysterisch" hätte ich hier -- wie anderswo -- auch
> lieber nicht gelesen.

Zumal BuB weder eine juristische Fachpublikation zu Fragen des 
Datenschutzes noch eine informationstechnische Fachpublikation zu Fragen 
der Datensicherheit ist. Dem Interview hätte vielleicht eine stärkere 
Differenzierung (u.a. auch zu den beiden unterschiedlichen Teilaspekten 
Datensicherheit und Datenschutz) gut getan, letztendlich hat es aber 
seinen Zweck schon erreicht (wie man hier sieht): Eine Diskussion in der 
Zielgruppe anzustoßen.

Und nur damit wir uns nicht missverstehen: Nur weil auf irgendwas zum 
Beispiel "Shibboleth" steht, ist es nicht automatisch auf einem besseren 
Datenschutz- oder gar Datensicherheitsniveau. Auch mit solchen Verfahren 
kann man noch zu viele persönliche Daten übertragen und sie schlecht 
geschützt zu lange speichern. Man muss schon hinschauen, was in einer 
konkreten Implementierung genau passiert und darf "Datensparsamkeit" 
nicht als Ziel aus den Augen verlieren. So verstehe ich zum Beispiel 
padeluuns Aussage "Ich muss schon den Mut haben, mich meines eigenen 
Verstandes zu bedienen. Das bedeutet, dass ich nicht einfach »passt 
schon« sagen darf, sondern dass ich mich selbst informiere und dann erst 
entscheiden kann, ob mein Dienstleister überhaupt selbst qualifiziert ist."

Viele Grüße aus dem leicht-feuchten Göttingen,
Till Kinstler


--
Till Kinstler
Verbundzentrale des Gemeinsamen Bibliotheksverbundes (VZG)
Platz der Göttinger Sieben 1, D 37073 Göttingen
kinstler@xxxxxx, +49 (0) 551 39-13431, http://www.gbv.de/