Datenschutzpraxis Zoom vs Republik Österreich: 1:0 für Zoom!
Einleitung⌗
Beim sogenannten Imposter Syndrom hält sich jemand für beschränkt kompetent, obwohl er oder sie zu den Besten seines oder ihres Faches gehört: Diese Person kennt sich in einem Fachgebiet nicht nur perfekt aus, sie weiss auch genau, dass es noch viele unerschlossene Untiefen des Faches und viele weitere benachbarte Themen gibt, wo sie sich eben (noch) nicht so gut auskennt. Das macht diese Person bescheidener und zurückhaltender, als es notwendig wäre.
Beim Dunning-Kruger Effekt ist es umgekehrt: Jemand hat sich in ein Thema überblicksmässig eingearbeitet und meint, es damit auch schon im Detail zu beherrschen. Er oder sie fühlt sich als Experte – hat aber keinen Überblick über das Thema und weder eine Ahnung von der Tiefe, die das Thema aufweist, noch von weiteren angrenzenden Themengebieten, von denen er oder sie sich noch nicht einmal je etwas gehört hat.
In diesem Beitrag vergleiche ich die in den letzten Wochen heftig kritisierte Datenschutzpraxis des US-Unternehmens Zoom mit der der Republik Österreich, vertreten durch das Finanzministerium und das Ministerium für Wirtschaft und Digitalisierung.
Eric Yuan: Ein Imposter?⌗
Die Datenschutzpraxis der Videkonferenzsoftware Zoom war in den letzten Wochen ein Lieblingsthema in den Medien. Das Zoom-Bashing auch durch Qualitätsmedien nahm erstaunliche Ausmasse an. Sicherheitsforscher hatten eigentlich nur wenige mittelschwere Probleme verortet, die in bestimmten Unternehmensnetzwerken auftreten konnnten und keine Privaten betrafen. Im Sog der Diskussion mutmasste dann aber selbst der Sicherheitsguru Bruce Schneier, dass sich im Hause Zoom wohl überhaupt niemand mit IT-Sicherheit auskenne und dass das wohl erst der Anfang der üblen Sicherheitsnachrichten aus dem Haus Zoom sei. Thomas Lohninger von epicenter Works in Wien sprach von einer “desaströsen Datenschutzpraxis”, und so stimmten viele Medien und Experten weitgehend unreflektiert in diesen – man muss es so bezeichnen was es war – Shit-Storm ein.
Der CEO von Zoom, Eric Yuan, war angesichts der exponentiellen Nutzung des Dienstes durch die Corona-Krise und der Vielzahl unbedarfter Benutzer, die sich keine Zeit nahmen, um Sicherheitseinstellungen korrekt anzupassen, überrascht. Er entschuldigte sich, zeigte sich reuig und fokussierte die ganze Firma für drei Monate auf Sicherheitsthemen. Für Yuan steht viel auf dem Spiel, ideell und materiell. Er war von den Problemen offenbar auch persönlich betroffen. Er hat umgehend reagiert, inhaltlich korrekt und konsequent. Vielleicht leidet er sogar unter dem Imposter Syndrom: Er kaufte zur Sicherheit gleich eine Firma für Verschlüsselung dazu, um so jedenfalls das Sicherheitsniveau auf längere Sicht optimal steigern und perfektionieren zu können.
Wenige Wochen danach hat Zoom jedenfalls einen wesentlich höheren Sicherheitsstandard, eine 256-bit Verschlüsselung und neue Sicherheitsfeatures.
Datenschutz und Informationssicherheit sind Prozesse, keine statischen Eigenschaften. Die Fehler sind nicht das Problem, sondern die (fehlende) Reaktion darauf.
Zoom hat gezeigt, das es Datenschutz und Informationssicherheit ernst nimmt und genau weiss, wo seine Stärken sind und wo es Schwächen ausbügeln muss. Zoom hat angesichts der Kritik aktiv und professionell kommuniziert.
Nach dieser Aufregung und der angepassten Reaktion darauf dürfte Zoom mit einiger Sicherheit jetzt schon eine der und demnächst die sicherste Software für Videokonferenzen sein.
Republik Österreich: Ein Fall für den Dunning-Kruger Effekt?⌗
Vor einer Woche wurde das “Ergänzungsregister für sonstige Betroffene” offline geschaltet. Zuvor hatten die Neos nach Hinweisen von Bürgern über diese Datenbank berichtet, in der über eine Million Datensätze mit personenbezogenen Daten auf einem von der Republik Österreich betriebenen Server weltweit frei im Internet zugänglich waren.
Das Finanzministerium (BMF) meint laut der Tageszeitung Der Standard vom (14. Mai 2020) dazu, dass “regelmässig” (das heisst wohl: automatisiert, Anmerkung PE) personenbezogene Daten von Personen hinterlegt worden seien, die in ihrem Leben einer selbständigen Tätigkeit nachgegangen seien und diese in einer Steuererklärung deklariert haben. Das Wirtschaftsministerium möchte sich dazu immer noch nicht äussern. Die ÖVP verweise auf die “bestehende Rechtsgrundlage”.
Nach der entsprechenden Verordnung ist das Register tatsächlich öffentlich über das Internet zugänglich zu machen.
Das Abschalten der öffentlichen Verfügbarkeit des Registers ist also mit hoher Sicherheit rechtswidrig.
In der Verordnung steht aber auch, welche Daten hineinkommen sollen:
Das automatisierte Hinterlegen überschiessender personenbezogener Daten und die öffentliche Verfügbarmachung dieser Daten ohne rechtliche Grundlage war deshalb mit hoher Sicherheit ebenfalls rechtswidrig.
Alles deutet also, wie zuvor vermutet, auf das grundlegende behördliche Fehlverständnis des Registers als Grundlage für die Stammdatenverwaltung hin: Nur Betroffene natürliche oder juristische Personen, für die es keine Stammdaten im Melderegister oder Firmenbuch gibt, wären einzutragen gewesen. Nicht hingegen alle Nebenverdiener mit Adresse und “Angabe des Datums, wann die Steuererklärung abgegeben worden sei”.
Die (fehlenden) Reaktionen eine Woche danach und die Ankündigung, eine Taskforce zur Klärung einzuberufen, lassen nicht nur vermuten, sondern es sogar als sehr sicher erscheinen, dass die Grundsätze der Datenschutz-Grundverordnung gleich mehrfach ignoriert worden sind: Nicht nur hätte es einer gesetzlichen Grundlage oder der Einwilligung der Betroffenen nach Art 6 Abs 1 der DSGVO bedurft, nach Art 30 leg. cit. wäre auch ein Verarbeitungsverzeichnis notwendig gewesen, aus dem klar hervorgeht, welche Daten in das Register einfliessen und wie oft diese von wem und aus welchem Grund aktualisiert werden.
Der Dunning-Kruger Effekt ist die systematische fehlerhafte Neigung im Selbstverständnis inkompenter Menschen (oder Behörden), das eigene Wissen und Können zu überschätzen. Hier tappen offensichtlich das Finanz- und das Wirtschafts- bzw. Digitalisierungsministerium (!) seit einer Woche über die Datenverarbeitungsvorgänge im eigenen Haus im Dunkeln, fragen nach Ideen zur rechtskonformen Anpassung und müssen noch eine Taskforce zur Auflärung über einen Umstand einberufen, den sie laut der DSGVO seit über 2 Jahren intern hätten dokumentieren müssen.
Dass es dabei um Stammdaten geht, also um die sichere Zuordnung digitaler Identitäten zu juristischen Objekten und Subjekten und damit um die sichere Grundlage jeder digitalen e-Government Infrastruktur in Österreich ist das eine, was weh tut. Nicht-normalisierte Daten mit redundanten Primärschlüsseln verunmöglichen jede korrekte und rechtskonforme Datenverarbeitung. Sie lassen sich, weil an solchen Primärschlüsseln jeweils viele weitere Datensätze mit Akten und Bescheiden hängen können, auch nicht einfach korrigieren.
Dass die Republik Österreich im Unterschied zu einem Silicon Valley Unternehmen offenbar nach einer Woche noch nicht einmal das Problem versteht, gewissermassen in der analogen Regierungshöhle sitzt und die digitalen Zeichen an der Wand einfach nicht deuten kann und ihr eigenes Manko damit noch nicht einmal mitbekommt, ist das andere.
Die Datenschutz-Fehler sind eben nicht das Problem, sondern die fehlende Reaktion darauf.
Die digitale Dominanz von US-basierten Firmen und von mit mehr Sachkunde digitalisierten Staaten wird wohl weiterhin bestehen bleiben und noch weiter zunehmen, wenn selbst ein Staat wie Österreich ausgerechnet beim Datenschutz abgeschlagen hinter einer Firma aus dem Silicon Valley hinterherhinkt, und sich darüber noch nicht einmal im Klaren ist.
Datenschutzpraxis Zoom vs Republik Österreich: 1:0 für Zoom!