Lasst mal aktuelles NFC & RFID hier aus dem Spiel...

auch ganz ohne "Alu-Hut" senden/veröffentlichen aktuelle Chips nur noch eine "RandomUID" als quasi SessionKEY... ISO-14443/4 sowie ISO18xxx lassen das zu, bzw. sehen sogar explizit nun so vor!

An die echte "UniqueID" des Transponders/der Karte kommt man nur nach komplettem ISO konformen "Select" und aktivem mehrstufigem Verbindungsaufbau... definitiv nicht für mal 100 beliebige einfach im Vorbeigehen binnen ein paar Millisekunden.
Und mithören "richtiger Verbindungen" macht da dann wegen (3)DES/AES gesicherter Übertragung auch mit noch so guten Antennen einfach wenig Sinn

Zufällig mache ich das RFID Zeug hauptberuflich auf Bitebene... DE-Ausweis, DE-Reisepass, DE-Gesundheitskarte und die neuen VISA-Karten sind gut(gegen NDA) dokumentiert und somit "per offenem Design sicher".
Klar gibt es böse Tools für einfache Speicherkarten oder das "geknackte"MifareClassic... aber nun die MifareDesfireEV1/EV2 wie im Reisepass oder Ausweis sind "technisch sicher", außer es man glaubt an böse Mächte mit einem Hardware Masterkey/Backdoor... und ja deshalb steckt auch mein Perso weiter in einer Funk dichten Hülle Ich verbiete es niemandem das Ding zu lesen, ich möchte aber einfach nur wissen wann sich wer dafür interessiert


Aber es stimmt, das "haben oder nicht haben" so einer "deutschen RFID-Karte" wird bereits aktiv z.B. bei Zutritt zu XY automatisch abgefragt und wer es "nicht hat", muss sich einer besonderen manuellen Überprüfung stellen. Das ist OK, denn es ist z.B. das Hausrecht eines Veranstalters nur Leute mit vorhandener el. "DE"-Identifikation oder nur nach persönlicher Prüfung rein zu lassen.
(DSGVO ist da völlig wurscht, max. ist das diskriminierend gegen "Nichtbesitzer" oder "abschirmende Aluhutträger"... aber eben wegen letzterer ist es doch gegenüber allen legal!)

Zugegeben, ein etwas weit hergeholtes Beispiel. Wobei es leider schon oft so war dass selbst das beste offene Design sich später als unzureichend heraus stellt. Stichwort Heartbleed beim OpenSSL.

Am eigentlichen Problem ändert das jedoch nichts. Du hast einfach eine nahezu unüberschaubare Menge an Wegen, wie du Informationen sammeln kannst. Nicht mal immer absichtlich. Das wollte ich damit eigentlich sagen: Personenbezogene Daten können auch zufällig anfallen, ohne das dies geplant wäre.

Nehmen wir handelsübliche Webhosting-Angebote. Du bastelst dir einen einfachen REST-Service mit einem LAMP-Backend. Du dokumentierst sämtliche Informationswege wunderbar und streng nach Vorschrift. Irgendwann stellt sich heraus, dein Webhoster hat sein automatisiertes Mysql-Backup bei irgendeinem Cloudservice ausgelagert und von dort sind deine Kundendaten "verdunstet".

Oder du betreibst einen Webshop, hast viel Geld für Anwälte und AGB + Datenschutzerklärung ausgegeben und deine Magento-Agentur klemmt dir mal fix Google Analytics ins Shoptemplate, weil man die SEO-Plugins evaluieren will. Nur dass das in deinen teuer eingekauften Unterlagen nicht vorgesehen war.

Das Problem dabei ist, dass immer den letzten die Hunde beißen. Und der darf dann sehen wie er die Verantwortlichkeitskette nach oben aufgedröselt bekommt.

Darum finde ich den ursprünglichen Ansatz der hier im Thread genannt wurde, das Prinzip der Datensparsamkeit, immer noch den sichersten. Weniger für den Kunden/Nutzer, dem das sowieso meist piepegal ist sondern mehr für den Anbieter.

Das versuche ich ja auch, aber wenn man den Gesetzestext sehr streng auslegt kann eben Alles drunterfallen.

Kennt vielleicht jemand irgendwelche Präzedenzfälle wo soetwas schonmal offiziell bewertet worden ist ?
Oder gibt es eine "Guideline" von offizieller Stelle, so wie bei den EU-Richtlinien üblich ?

Rollo

Wie denn? Das entsprechende Gesetz ist doch noch nicht mal in Kraft getreten

Ich habe schon viele verschiedene Texte gelesen. Manches wurde ja hier schon verlinkt. Allen gemeinsam scheint aber zu sein, dass es kaum bis gar keine Praxisbeispiele gibt.

Ich denke, genau das ist auch damit beabsichtigt. Denn ob etwas personenbezogen ist, hängt vom konkreten Anwendungsfall ab. Wenn man z.B. um zwei, drei Ecken ein Cookie doch wieder mit einer Postanschrift verknüpfen kann, ist es personenbezogen. Gibt es nirgends etwas, das man einer Person zuordnen kann, dann nicht.

Ja richtig, aber Datenschutz gab es vorher auch schon.
Es könnte ja etwas z.B. zu Sammeln von Daten im Web oder in der Cloud entschieden worden sein.
Da würde man ja mögliche Argumente für uns wider sehen können.

Ich habe nur etwas von den ganz großen Fällen gehört (Google, Amazon, etc.), aber da gibt es doch bestimmt noch etwas Realeres dazwischen.

Rollo

Ich habe die Erfahrung gemacht, dass man sich mit solchen Fragen durchaus an den nächst zuständigen öffentlichen Datenschutzbeauftragten wenden kann. Jedes Bundesland hat einen, manchmal auch die Verwaltungsebenen darunter. Die wissen es zu schätzen, wenn sie mal einer fragt. Da wird einem nicht gleich ein Strick draus gedreht. Dafür müssen i.d.R. medienwirksam FB & Co. herhalten.

Super Tipp, dankesehr
Ich werde mich mal umhören.

Hätte ich auch selber drauf kommen können
"(Teil)Verursacher zu Beteiligten machen" ist eigentlich auch mein Motto.

Rollo

Ich stehe auf dem Schlauch. Wo soll ich den "öffentlichen Datenschutzbeauftragten" finden. In Google finde ich dann nur den Datenschutzbeauftragten für den öffentlichen Dienst. Aber der wird ja wohl nicht gemeint sein.