Lehren aus Corona

Besten Dank! Ich stimme voll zu.
Um das Digitalverständnis weiter zu verdeutlichen, ein kleine Geschichte aus dieser Woche:
Ich habe MRT Bilder machen lassen und einen Zettel mit QR code und schriftlichem Link bekommen. Mein erster Eindruck: Nice. Modern, überall verfügbar, nicht an eine CD gebunden. Von allen internetfähigen Geräten abrufbar und unabhängig von CD Laufwerken, die manchmal schon gar nicht mehr verbaut werden. Eine CD könnte man auch verlieren.
In der Arztpraxs angekommen:
Arzthelferin: Wo ist die CD?
Ich: Es gibt keine. Hier ist der QR Code.
AH: Was soll ich damit? Was ist das? Ich kann den nicht scannen.
Ich: Da ist auch noch ein Link. Damit kann der im Browser geöffnet werden.
AH von Nachbarplatz: Das geht nicht wegen Datenschutz.
Das war dann auch das Ende der Diskussion und ich sollte es dann auf meinem Handy öffnen und die Bilder so mit der Ärztin durchgehen.
Eine dritte Aztherlferin kam dann aber kurz vor dem Termin zur Rettung und hat den Link auf dem Rechner der Ärztin geöffnet.

Die für mich hier wichtigen hintergründigen Probleme:

1. Datenschutz ist wichtig, gerade bei ärztlichen Angelegenheiten. Hier war aber nicht der Datenschutz direkt das Problem, sondern, dass Internetbrowser (laut AH) in vielen Praxen gesperrt sind.
   So sperrt man das Tor zur Welt anstatt eine sichere Lösung zu suchen. Und es geht dabei ja nicht um Datenschutz direkt, sondern um den Schutz vor Viren. So bleibt die CD zentraler Datenträger und man ist auch vom Mindset noch Meilen weit weg von irgendwelchen Cloudlösungen oder der gleichen.
2. Die Radiologie hat hier ein System eingeführt, das für Praxen schwierig umzusetzen ist. Hier wurde also eine Innovation eingeführt, die im zweiten Schritt nicht geöffnet werden kann, oder man nicht öffnen will. Stickwort: Fehlende Absprachen und Koordination.
3. Der Datenschutz wurde als Grund vorgeschoben, obwohl dies kein direktes Datenschutzproblem war. Ob dies aus fehlendem Digitalverständnis kam oder aus einfache Ausrede mir gegenüber bleibt offen.
4. Es wird nicht zukunftsorientiert gedacht. Wenn wir es weiter verschlafen, haben solche Links zu Arztportalen in 10 Jahren Werbebanner und diverse Trackingprogramme die im Hintergrund laufen und passende Verkaufslinks zu Medizintechnik geben, die zur Diagnose passen. Und das ist das zentrale Problem. Wir hinken hinterher und denken nicht mit. Wie oben erwähnt, sind wir lediglich Konsumenten und kreieren nicht. Wir erschaffen keinen Weg, der mit Datenschutz funktiert. Wir bauen uns die digitale Zukunft nicht selbst. Wir lassen uns abhängen und müssen dann nehmen, was angeboten wird. Und das wird dann halt Mist.

Um ein neues Thema zu öffnen zu den Lehren aus Corona
Ich möchte behaupten, dass eine Lehre sein kann:
„Wenn wir wollen, können wir das“
Wir haben Wirschaftszweige geschlossen, um die Bevölkerung zu schützen. Wir haben in Corona vieles angestoßen, was tiefe Einschnitte und Änderungen mit sich gebracht hat.
Das zeigt, das es hier absolut um Prioritätenlegung geht. Wenn wir den Klimaschutz angehen wollen, könnten wir das, wollen aber nicht.
Wenn wir die Digitalisierung angehen wollen, können wir das, wollen aber nicht.
Wenn wir die Bildung verbessern wollen, können wir das, aber es fehlt an der richtigen Prioritätensetzung.
Nun möchte ich verstehen, was die die Poltik aufhält und die Prioritätensetzung so unglaublich verzerrt und deise Dinge nicht angegangen werden. Wirtschaft? Das Volk? Korrupte Politiker? Alles ein bisschen? Anderes?

Ich erläutere nochmal, warum ich zwar aus Eigeninteresse und grundsätzlicher Überzeugung für den Schutz von Daten bin, aber glaube, dass die Umsetzung in Deutschland über das Ziel hinausschießt und kontraproduktiv ist.

Damit meine ich nicht nur die Irrsinnsbeispiele, die ich weiter oben aufgezählt habe

Ergänzung:

• Cookie-Banner: wer fühlt sich ernsthaft durch diese nervigen Dinger besser geschützt?

Ich meine, dass der Datenschutz grundsätzlich eine problematische Prioritätensetzung beinhaltet:

1. Grundprinzip: wie Dir jeder Datenschützer bestätigen wird, ist die Verarbeitung personenbezogener Daten grundsätzlich verboten, wenn die nicht durch Rechtsgrundlage und/oder Einwilligung im Einzelfall erlaubt ist. Hier steht also als Grundprinzip die Verhinderung, nicht die sinnvolle Datennutzung bei gleichzeitiger Wahrung berechtigter Schutzinteressen!
2. Einwilligung: Diese muss natürlich freiwillig sein. Das ist natürlich richtig, führt aber in der Praxis dazu, dass man Produkte und Leistungen, die primär auf Datenverarbeitung beruhen für Verweigerer nochmal in abgespeckter Form z.B. auf Papier anbieten muss (z.B. Gesundheitsservices der Krankenkasse), auch, wenn das offensichtlich suboptimal ist und dem Konzept vollständig widerspricht.
3. Datensparsamkeit und Zweckbindung: diese Grundprinzipien europäischen Datenschutzes klingen erstmal gut, verhindern aber, dass Daten gesammelt werden, deren Nutzenpotenzial aktuell unklar ist, und dass in Zukunft Daten vorhandene Daten einfach für andere Zwecke genutzt werden können, als sie zum Zeitpunkt der Produktkonzeption absehbar waren.

Umgesetzt werden diese Prinzipien in Deutschland zudem durch ein Dickicht der Regulierung: neben dem BDSG hat noch jedes Land ein eigenes Landesdatenschutzgesetz (wozu auch immer), dazu kommen Regelungen in anderen Gesetzen wie SGB, UWG u.a.

Sinnvollerweise beachtet man diese ganzen Regeln „By Design“ bei der Entwicklung neuer Produkte. Leider sind gute Datenschützer (die nicht nur Gesetze, sondern auch IT verstehen und lösungsorientiert sind) selten und teuer.

Dazu kommt die ganze Bürokratie (Datenschutzfolgeabschätzung, Führung eines Verzeichnisses von Verarbeitungstätigkeiten, Dokumentation von Technisch-organisatorischen Maßnahmen, Auftragsverarbeitungsverträge für jeden Pups, amerikanische Software nicht nutzen können, weil nicht 100% konform). Das ist für Startups und KMU nach meiner Erfahrung extrem aufwändig - und lähmt damit die Innovationsfähigkeit.

So Dinge wie meine Beispiele oben, sind da nur die grotesken Auswüchse einer Kultur und Regulierung, die strukturell auf Verhinderung statt auf Ermöglichung ausgerichtet ist.

Bis zum DVG war es Krankenkassen untersagt (bzw. zumindest nicht klar erlaubt, was leider ungefähr dasselbe ist), die Gesundheits-Daten ihrer Versicherten zu nutzen, um diejenigen zu identifizieren, die ein hohes Risiko haben, z.B. demnächst ins Krankenhaus zu kommen und sie zu unterstützen, um dies zu vermeiden. Oder um sie in ein Versorgungsmanagementprogramm aufzunehmen, das nicht explizit im Gesetz genannt war (wie die sog. DMPs).
Solche Programme haben aber einen nachgewiesenen hohen Nutzen, auch für die Patienten (und damit natürlich auch wirtschaftlich).

Du hast also auch die Freuden gehabt, dich in der Praxis mit der DSGVO auseinanderzusetzen?
Das ist exakt meine Erfahrung. Dazu kommt, dass dann noch Informationssicherheit und Datenschutz in Diskussionen mächtig durcheinander gebracht wird.

Und als Quadratur des Kreises: bringe DevOps und Continuous Deployment mit der Datenschutzfolgeabschätzung zusammen. :-

Ich habe schon mit einigen Datenschützern gearbeitet und die Einschätzung von Landesdatenschützern gelesen. Häufig mussten ihre Einschätzungen wieder kassiert werden oder sie haben sich widersprochen. Jedes Bundesland hat die Regeln anders interpretiert, zu Beginn von O365 2015/2016 hatten Unternehmen in Schleswig-Holstein einen schwereren Stand, weil die dortige Landesdatenschutzbeauftragte dogmatisch ohne Ende war, während das in NRW-Unternehmen schon fröhlich eingeführt wurde.

Zum Teil haben DSBs in Unternehmen selber die größte Angst, Fehler zu machen und sagen, wie @ChristianF so schön schreibt, was nicht explizit erlaubt ist, ist im Zweifel eher verboten. Bei DSBs in Unternehmen erlebe ich trotz Schulungen eine große Unsicherheit, so dass sie im Zweifel nicht entscheiden, sondern prokrastinieren.

Tut mir leid, das ist nun mal gelebte Praxis.

Was soll den „Selbstbetrieb“ in einer SaaS-Lösung sein?

Dein

Ein schönes Beispiel aus der Praxis! Dieses „geht nicht wegen Datenschutz“ ist schon ein geflügeltes Wort geworden. Das zeigt sich, wie eine ganze Geisteshaltung in konzentriert in einem Verständnissatz bei den normalen Bürgern ankommt.
Mittlerweile ist das schon ein schwarzer Running Gag bei mir, wenn ich keine Lust habe, etwas zu tun. Dann sage ich den Satz um zu prüfen, ob derjenige das akzeptiert. In mehr als 50% der Fälle sagen die Personen „Ach so, ja dann…“ - erschreckend.

Da öffnest du die Büchse der Pandora mit der Frage. Kann man das überhaupt in einem Thread beantworten?

1. Die Wirtschaft: die will, krankt aber an den Infrastrukturen wie digitale Netze und Bandbreiten sowie überbordender Bürokratie und absurder Steuergesetzgebung; innerhalb der Unternehmen passiert schon viel; vielleicht 4 Jahre zu spät, aber immerhin. Corona hat hier endlich für einen Boost gesorgt, das ist ein positiver Nebeneffekt. Anders gesagt, Corona war eine Fitnesskur für viele Unternehmen (die überleben, natürlich).
2. Das Volk: Ist gespalten zwischen den Jüngeren und die Generation mittleren Alters plus, grob gesagt. Hat sich in den letzten 20 Jahren unter Merkel in eine Webergrill-Idylle eingeigelt, mit wohligem Grusel ins Ausland geschaut (Trump!!!) und lange die Ineffizienzen toleriert (BER, Bundeswehrbeschaffung - nein wie drollig!) und sich Illusionen über den Stand Deutschlands gemacht. Generell risikoavers, was sich auch in der zunehmenden Präferenz vieler Jugendlicher äußert, wieder Beamte werden zu wollen. Auf die deutsche Bevölkerung kann man sich verlassen: Sie werden zwar murren über Digitalisierung und Bildung, aber wenn es darauf ankommt, nehmen sie es hin. Da ist kein großer Druck zu erwarten, das wissen die Politiker. Sehnt sich mittlerweile nach den 80ern, wo alles viel schöner war und Deutschland so führend. Die Aussicht, noch mal lernen zu müssen und sich fortzubilden, macht Angst.
3. Strukturen: Ein geriatrisiertes System, bei dem die Verantwortlichkeiten nur noch Experten klar sind. Bund, Länder, Kommunen - Finanzierung und Aufgaben sind schon lange in Schieflage, geändert wird aber nichts. Die Kommunen sind am schlimmsten dran. Gerade bei Digitalisierung und Bildung, die alle drei Ebenen betrifft, spielt so nichts zusammen, Initiativen versacken, reiben sich im Kompetenzwirrwarr auf.
4. Politiker: Nicht alle korrupt. Leider viele zu alt und noch im Stand der Vordigitalisierung sozialisiert. Haben kein Verständnis für die neue Welt und verstehen die Spielregeln nicht oder die Welt ist ihnen innerlich fremd. Zu lange im System, betriebsblind geworden. Das Parteienspiel interessiert schon lange niemanden mehr, aber für die Politiker ist es überlebenswichtig (Ochsentour, Machtbasis). Anreizsysteme: Wer 2 Legislaturen im Bundestag war, hat es geschafft, eine Pension fürs Leben. Da fasst man keine heißen Eisen an wie Bildung oder langfristige Dinge wie Digitalisierung.

Puh, das war ein Brainstorming von mir. Wer will als nächstes?

Damit kommt der Spiegel jetzt im Jahre 2021? Das hätte man doch schon vor 5 Jahren sehen können. Immerhin, die Journalisten scheinen langsam aufzuwachen.
Schade, dass es fast schon zu spät ist.

Ist das jetzt ein Problem des Datenschutzes, oder ein Problem der Unwissenheit der Personen?
Gesundheitsdaten gehören geschützt, aber wenn man selbst die Daten mitbringt (wie auch immer sie vorliegen, sei es auf CD, USB Stick oder Weblink, dann gebe ich sie ja offensichtlich freiwillig her.

Die Mitarbeiter müssen geschult werden, das ist sicherlich ein langwieriger Prozess, aber deswegen den Datenschutz zu verdammen ist schlicht falsch.

Ich kann meinen Mailserver entweder selber betreiben, oder ich gehe zu einer Firma wie Mailbox.org der ich vertraue oder ich lasse es Google oder MS machen.
Je nach Bedürfnissen und Kenntnissen kann ich das dann dem überlassen dem ich das zutraue.
Das geht nicht wenn die Software nicht aus der Hand gegeben wird und strikt vom Ersteller gehütet wird.

Du verstehst die Pointe nicht: Datenschutz ist zu abgehoben und arkan. Niemand versteht ihn, aber alle haben Angst davor. Manche schieben ihn vor bzw. benutzen ihn als Totschlagargument. Wenn das alles möglich ist, ist hier offensichtlich etwas falsch.

Dass man nicht stehlen darf, versteht jeder. Was man mit Daten machen oder nicht machen darf, versteht man erst nach Schulungen???

Was man mit seinem Auto machen darf versteht man doch auch nur endgültig nach Schulungen. Klar kann man auch vorher schon fahren, aber dürfen darf man eben nicht. Viele Leute machen sich eben das Leben einfach in den Ämtern und Büros. Wenn ich etwas nicht verstehe, dann tue ich eben nichts und setze mich in meine Verweigerungshaltung.

Die Alternative wäre denn was? Der gläserne Bürger, die privaten Gesundheitsdaten bei Versicherern, die diese dann logischwerweise nutzen, der Staat der einfach alles über jeden weiss?

Auf mich wirkt es eher so, als hättest Du die Unterscheidung von @WilliWuff nicht verstanden. Es ist eben nicht zwangsläufig ein Problem „des Datenschutzes“, wenn Leute nicht wissen, wie sie gesetzeskonform mit Daten handtieren sollen oder wenn „Datenschutz“ als Vorwand für andere Einwände vorgeschoben wird.

Das hängt ja mit der Komplexität des Rechtsgebiets zusammen. Das Urheberrecht beispielsweise ist auch nicht gerade einfach durchschaubar. Die These, dass da „jeder versteht“, was man übernehmen darf und wo der Diebstahl geistigen Eigentums beginnt, finde ich ziemlich gewagt.

Und selbst wenn Du Recht hättest - was wäre die Konsequenz? Komplexe Rechtsgebiete einfach ersatzlos abschaffen? Oder soweit reduzieren, dass sie für alle Menschen intuitiv verständlich sind?

Danke für die Erläuterung der Pointe!

@WilliWuff : Wir haben jetzt seit Jahren die DSGVO eingeführt. Irgendetwas in der Berichterstattung hat in einem großen Teil der Bevölkerung dazu geführt, dass „Geht nicht wegen Datenschutz“ sich bei ihnen eingebrannt hat. Quasi die Essenz der DSGVO. Wie war es? Volksmund tut Wahrheit kund.

@ChristianF hat es gut gesagt. Niemand versteht ihn, aber alle haben Angst davor. Anders gesagt: Weil ihn niemand versteht, haben alle Angst, etwas falsch zu machen und geben im Zweifelsfall gar keine Daten raus, weil der Shitstorm dann tödlich wäre.
Beispiele kann jeder aus dem digitalen Schulalltag bringen. Oder bei der Adress-Suche für die Impfpriorisierung.

Und warum ist das so? Weil die Entscheidungsträger selber nebulös sind. Wir haben ja den absurden Zustand, dass die Clouddienste immer noch unter einem Vorbehalt stehen, bis irgendwann mal das Bundesverfassungsgericht ein entscheidendes Urteil gefällt hat. Es ist bis jetzt kein eindeutiges Urteil gesprochen worden, was Leuten erlaubt, immer noch unheilschwanger von „kannst du einführen, aber da ist noch nicht das letzte Wort gesprochen“ zu reden. Obwohl sich alle in Europa angebotenen Dienste explizit an die europäischen Gesetze halten und entsprechend die Rechenzentren aufgesetzt haben.
Und vielen Landesdatenschutzbeauftragten spielt das in die Hände, weil sie meiner Meinung nach häufig technologiefern aufgestellt sind (weswegen sie sich mit Datenschutz überhaupt befassen) und ihre eigene Agenda fahren.

Und dieser diffuse Zustand kondensiert sich halt in ein „Geht nicht wegen Datenschutz“ im Volksmund.

Mailbox.org ist zweifellos ein guter Anbieter, ebenso wie posteo. Aber auch hier gebe ich die Daten aus der Hand. Es ist also grundsätzlich kein Unterschied. Nur - warum haben dann die meisten immer noch gmx oder webmail? Und versenden unverschlüsselt Emails mit privatesten Dingen? Weil es ihnen egal ist. Und S/MIME kompliziert ist. Von der Zertifikatsauswahl bis zur Installation und Konfiguration des Emailclients auf allen Endgeräten. Und es eben sonst niemand nutzt, mit dem sie verschlüsselt senden können. Aber sich über den Mailserver Gedanken machen. Schon klar.

Das ist doch kognitive Dissonanz par excellence.

Zu dem eigenen Mailserver im Unternehmen: Als Unternehmen muss ich immer mindestens 1 FTE für die Wartung/Patching etc einstellen. Die eine FTE brauche ich jetzt für die Entwicklung von Programmen statt an Infrastrukur zu schrauben. Absolut keine Wertschöpfung dahinter, auch wenn Infrastrukturler das nicht gerne hören.

Mit der Haltung kann ich auch mein eigenes Motherboard mit CPU zusammenlöten und das BIOS selbst programmieren, weil die Rechner alle aus China kommen und da zusammengeschraubt werden und ich gar keine Kontrolle habe, was da unterhalb meines OS läuft.

Oder MacOS und Windows oder Android oder iOS misstrauisch beäugen und Linux installieren. Ja, geht. Wann war noch mal das „Jahr des Linuxrechners“? Seit 2012 ausgerufen, aber kommt bestimmt mal. Der PC wird als Plattform ohnehin irrelevant, und auf dem Smartphone gibt es exakt 2 Betriebssysteme. Und ja, Android war mal Linux, aber das ist lange her. Und natürlich kann ich mein Smartphone jailbreaken und ein anderes OS installieren und administrieren. Kann ich alles machen.

Bitte nicht falsch verstehen: Auf Servern ist Linux das System der Wahl.

Nur bringt diese Haltung nicht weiter, während die Welt außerhalb Deutschlands sich mit Blockchain, skalierbare Plattformen, ML und Deep Learning, IoT, 3D-Druck und Softwarediensten beschäftigt.
Mit dieser Haltung wird Deutschland zu einem verschrobenen Außenseiter, der sich romantische Wolken baut, aber bestimmt nicht eine Cloud.

Danke für den Link. Ein Zitat daraus finde ich hart:
"Mit eigentlich meine ich: Ich hatte schon am Anfang der Pandemie verwundert auf viele Menschen in meiner Nähe geschaut, die weltoffen und progressiv sind, dachte ich, und dabei im Angesicht der eigenen Angst ziemlich rasch zu Reaktionen neigten, die ich zu eng fand und fast schon autoritär, teilweise im Alltag denunziatorisch, unduldsam, selbstgerecht und vor allem staatsnah, also im Einklang mit der Macht, den Maßnahmen, den Regeln.

Und es war ja richtig, diesen Regeln zu folgen, die sich aus dem Lernen und Reagieren ergaben – es war aber genauso richtig, von Anfang an darüber nachzudenken, was die Folgen der Maßnahmen sein würden, für die Armen, für die Geflüchteten, für die Frauen, für die Kinder, für die Abhängigen, für bestimmte Branchen, für den Alltag, für alles, was das Leben ausmacht. Vor allem war es richtig, fand ich immer, in Alternativen zu denken, in Szenarien jenseits des Lockdowns."

„Dennoch: Überraschend war für mich die bleibende Hinwendung so vieler progressiv denkender Menschen zum Staat – nicht einem Staat, wohlgemerkt, in der aktiven und handelnden Version, wie es etwa das neue ökonomische Denken von jemandem wie Mariana Mazzucato befeuert, die den Staat emanzipatorisch neu deutet; sondern einem Staat, der in seinem Tun so schwerfällig, realitätsadvers und letztlich ineffizient war, ein wenig Wilhelminismus im Schatten der Digitalisierung, und eine Exekutive, die sich auf sich selbst verließ und das Parlament vergaß, eine Bürokratie, die sich im Vollzug verlief, Verantwortung großenteils delegierte.“

Sätze zum Gruseln, aber absolut zutreffend.

Fairer Punkt.

Meine Sicht auf Daten ist, dass sie sinnvoll genutzt werden sollten, so es keine zwingenden Gegengründe gibt. Das könnte auch eine Verweigerung der Einwilligung sein oder die Wahrung der Privatsphäre. Aber wie gesagt: wir sind über das Ziel hinausgeschossen und ergehen uns in Bürokratie und leeren Ritualen des Datenschutzes, statt sinnvolle Produkte und Services zu schaffen.

Das wäre doch was, oder? Zumindest als Ideal, wenn es schon nicht erreichbar ist.
Wenn es verständlicher wäre, hätten wir

1. eine höhere compliance
2. geringere Nebenwirkungen (Beratungsaufwände, verhinderte Innovationen etc.).

Also ein wirklich guter Vorschlag!

Ich weiss gar nicht ob sich das in „der Bevölkerung“ eingebrannt hat. Es ist oft eine „Ausrede“ in der Arbeitswelt, entweder aus Unwissenheit oder als einfache Ausflucht die bekannten Pfade verlassen zu müssen („steht aber in meiner Arbeitsanweisung, dass das so nicht geht“). Ich würde vermuten dass die eingeschleifte Bürokratie oft dazu führt, dass der Datenschutz als Buhmann herhalten muss.

Es ist doch ganz einfach: Ich als Individuum habe ein Anrecht zu bestimmen, was mit meinen persönlichen Daten gemacht wird. Komme ich also mit meinen persönlichen Daten beim Arzt an, dann kann der Arzt diese natürlich verwenden, denn ich gebe sie freiwillig dort ab. Da muss man gar nicht diskutieren. Aber er darf sie eben nicht an den nächsten Pharmakonzern weitergeben. Zumindest nicht ohne mich vorher gefragt zu haben.
Wenn nun die Sprechstundenhilfe der Meinung ist, sie könne die Daten so nicht annehmen „wegen diesem Datenschutz“, dann will sie von ihrem gewohnten Pfad nicht abweichen, bzw hat Angst was falsch zu machen. Im ersten Fall muss man ihr klarmachen dass sie sich weiter entwickeln muss, im zweiten Fall muss man sie weiterbilden.

Es ist ein Unterschied die Wahl zu haben wer die Infrastruktur betreibt.
Wenn ich sage entweder betreibt mein Office Microsoft auf seinem Server oder ich hab kein Office is das was anderes als wenn ich mir den Betreiber aussuchen kann.

Vertrauen is immer wichtig, aber es gibt einen Wettbewerb. Das heisst auch ich kann mir nicht zuviel Freiheiten rausnehmen sonst sind die Leute weg.

zu 99,99% ist eine Anwendung besser ohne Blockchain als mit. Aber das nur nebenbei.