Es ist so eine Sache, auf Hackerevents persönlich kritische (Bezahl-) Infrastrukturen zu nutzen. Die erste Morgenaktion war das Aushängen einiger Hackerspace-Passport-Plakaten vom Chaos West. In dem Zug testete ich nochmal den zugehörigen QR-Code und nachdem ich angefangen hatte, gleich auch den Shop. Ich greife vor: man kann sich beim Chaos West einen Diplomatenpass klicken, der dann für Sichtvermerke diverser Hackerspaces genutzt werden kann. Bearbeitungsgebühr kann man bar oder wahlweise über vier verschiedene Onlinepayments abwickeln, im letzteren Fall kriegt man den Pass postlagernd bei der Chaospost.
Ruppsel testet also Paypal auf dem 36c3, es funktioniert. Pass kann ich ab vier Uhr abholen. Bis dahin setzte ich mich spontan in einen „Wir bauen uns zuhause einen Quantencomputer„-Talk, das Projekt ist noch nicht ganz abgeschlossen, aber das Hochvakuum plus Ionenfalle steht, die Laserbeschaffung wird der nächste Schritt. Lebe deinen Traum, ich finds fein und würde gerne spontan einen Utopiastadt-Teilchenbeschleuniger anregen.
Das Peng-Kollektiv machte einen sehr schönen Arbeitsrückblick über die Aktionen der letzten Jahre, teils auch durchaus sehr selbstkritisch. Einer der „Mutmach-Talks“, aber angesichts dessen, was grade die öffentliche Debatte dominiert, und wie die einschlägigen Akteure dabei unterwegs sind… ich weiß nicht. Ich ertappte mich dieses Jahr ein paar mal dabei, nicht wirklich in die diesbezüglichen Sessions/Talks gehen zu wollen, weil es mich deprimiert. Whatever. Peng deprimierte nicht. Und dann wars vier und ich ging meine Papiere abholen.
Später guckte ich mir ein wenig den Swingby-Vortrag zu planetarem Transport mit minimalem Schub an, dabei meldete sich Alvar, und ich zog Richtung Wikipaka, wo sich die Möglichkeit zu einer Selforganized Session mit vier Vertretern verschiedener Landesdatenschutzbehörden ergab. Das wiederum im Saal M3, was quasi kurz vor dem Rand der Welt ist, wo man entweder runterfällt oder von Drachen gefressen wird.
Ich verlief mich dann versehentlich erst nach M2, wo ich ins Ende des „Mechanical Keyboard“-Meeting reinplatzte und sehr angenehme Peripherie bewunderte.
Anschließend klappte es aber mit der Runde, und es war spannend. Die Nähkästchen will ich jetzt nicht wirklich ausbreiten, aber klar wurden einige Punkte:
· die Wahrnehmung der DSGVO und den zuständigen Behörden in der Öffentlichkeit bzw. deren internes Selbstverständnis geht auseinander
· die Gesetzeslage sollte grob klar sein, so „richtig live“ ist sie aber noch nicht, und
· das bleibt angesichts knapper Personaldecke/Ressourcen, Unsicherheit und teils sich widersprechender Interessen/Ziele/Akteure auch mittelfristig wahrscheinlich noch der Fall.
Ich wills grob an ein paar Beispielen verdeutlichen. Thema Datenlecks. Alle Vertreter der Landesdatenschutzämter waren sich beispielsweise einig, dass Datenlecks im Zweifelsfall (bei gegebenem Risiko, dass personenbezogene/kritische Daten in falsche Hände kommen) gemeldet werden müssen. Die Frist nach Bekanntwerden ist 72 Stunden. Aber: was ist ein Risiko? Und was ist ein Leck? Verbreitete Fälle beispielsweise: Fehlversendungen (Mail wie postalisch). Ist jeder CC/BCC-Dreher meldepflichtig? Was für ein Fall wäre ein verlorener USB-Stick? Ein verschlüsselter verlorener USB-Stick? Wie verschlüsselt?
Was ist mit einem versehentlich zugänglichen Nutzerdatenbank-Backup in einem Amazon-AWS? Wenn es verschlüsselt war? Wenn PWs gehasht waren? Wenn sie gehasht und gesalted waren? (Letzteres kam gar nicht zur Sprache, ich finds interessant auf einer Veranstaltung, wo GB-weise die Rainbowtables auf den FTPs liegen, das Thema Salt rauszulassen, aber geschenkt).
Innenwahrnehmung der Ämter: es gehe ihnen mitnichten ums Abstrafen, im Gegenteil, dass da in erster Linie unterstützt und beraten werden soll, kam auch rüber. Auf der anderen Seite kickte die mediale DSGVO-Berichterstattung eine andere Message, das wirkte oft schwer in Richtung „So, jetzt haben wir Zähne und können beißen“. Dass Akteure nach ihrer selbst initiierten Dsatenpannenmeldung dann aber ein Bußgeld kriegten, half da nicht, und folglich waren einige Leute nicht wirklich überzeugt, dass man da im Zweifelsfall proaktiv zur Selbstbezichtigung greifen soll, wenn mans auch lassen könnte.
Hintergrundinformation in einem konkreten Fall: das verhängte Bußgeld gab es (entgegen der Tonalität einschlägiger Berichte) nicht für die gemeldete Datenpanne, sondern für eine unabhängig davon und schon vorher bekannten Patzerei in Sachen Klartextpasswörter, die Strafe wäre so oder so gekommen und durch die Meldung fiel sie eher niedriger aus.
Knackig wurde es bei der angesprochenen E-Gesundheitsakte. Aktuell haben wir die paradoxe Situation, dass Arztpraxen, die sich nicht an das neue System anschließen lassen, 2% Strafabschlag bei der Kassenabrechnung kriegen. Vorgestern lernten wir bekanntlich, dass sie dabei ganz im Sinne der DSGVO handelten, weil die Technik im aktuellen Zustand eben ein Wrack ist. Und eigentlich wartet man ja drauf, dass T-Systems, Gematik und Co. bei den zuständigen Datenschutzbehörden eine Meĺdung machen, denn sie haben es ja nachweislich verkackt. Problematisch ist hier insbesondere die eigentlich zuständige Bundesebene. Ob eine Meldung einging, blieb unklar, sie sollten noch bis morgen Zeit haben, wenn sie den Fuckup erst zum Vortragszeitpunkt mitbekommen haben. Whatever. Es ist kompliziert und wirds auch bleiben.
Hauptproblem u.a. die Überlastung der jeweiligen Akteure. Es müssen Musterfälle diskutiert, best Practises entwickelt werden, das abgestimmt über die verschiedenen Länder plus Bundes- und EU-Ebene, dazu kommt die irische Trägheit in Sachen dort ansässiger IT-Großunternehmen, jene mal auch gröber anzufassen, wobei .de da schwer mit dem Finger drauf zeigen kann angesichts der eigenen, ähnlich laxen Haltung gegenüber der wiederum eigenen Schlüsselindustrie. Einerseits sollen Präzedenzfälle geschaffen, der jahrelange Wildwuchs mal reglementiert werden, andererseits ist das primäre Interesse eben, zu beraten und zu begleiten, das aber bei einer misstrauischen Klientel und dem Punkt, dass man
a) nicht zahnlos wirken will und
b) die Medienberichterstattung auch und grade gern die Zähne rausstellen will, weil nun, die Details sind meist kompliziert. Und einfach, ungenau, drastsch und mit der Extraportion Aufregerpotential ist medial ja grade auch der neue heiße Scheiß.
Und so weiter. Ich mag grade einfach ein wenig zuversichtlich sein, denn den anwesenden Akteuren nehme ich ihr Engagement und priorisiertem Interesse an konkreten Verbesserungen statt Bußgeldgenerierung durchaus ab.
Die und ein paar mehr Ambivalenzen wurden diskutiert, erläutert usw., und nun, ich fühl mich schlauer, aber die praktische Verwertbarkeit des Gehörten braucht wahrscheinlich noch ein wenig geistige Verdauung.
Dann wars auch schon wieder kurz vor Mitternacht und ich muss den Telematik-Slot morgen nachhören. Wir sortierten noch eine Stickerbox, nachdem die Clublocations allgemein als zu laut wahrgenommen wurden, und nun… ich tipperte ein wenig, und dann meldete sich die Chaospost mit einer Zustellung aus Wuppertal, und der Abend war auf einmal wieder ganz großartig. Jetzt ists irgendwie wieder früh am Morgen und ich hab das Gefühl, ich hab den halben Tag vergessen, aber das ist normal.