Kuketz-Blog 🛡Jan 13, 2023

Die Deutsche Bahn lernt es einfach nicht. Auch die App "Next DB Navigator" trackt den Nutzer ohne jegliche Einwilligung. Nicht einmal ein Consent-Banner ist bis dato eingebaut. Es wird Zeit, dass unsere Klage an Geschwindigkeit zulegt. 🚄

@peterhense @digitalcourage

#bahn #klage #tracking #dsgvo #ttdsg #teamdatenschutz #fail

https://www.kuketz-blog.de/deutsche-bahn-wir-reichen-klage-ein-klageschrift-oeffentlich/

Deutsche Bahn: Wir reichen Klage ein – Klageschrift öffentlich

Wir klagen, um die Deutsche Bahn dazu zu zwingen, die Privatsphäre ihrer Fahrgäste (endlich) zu respektieren.

Show threadJörg HenneJan 13, 2023
@kuketzblog @peterhense @digitalcourage Wo ist genau nochmal das Problem an einer App, die im Falle eines Absturzes anonymisierte Diagnosedaten schickt? Die Alternative ist, dass es den Entwicklern drastisch erschwert wird, Probleme zu beheben. Und das ist den Nutzenden dann sicher auch wieder nicht recht.
Show threadpatze_popJan 13, 2023

@joerg
@kuketzblog @peterhense @digitalcourage

Bei guter Software gibt es gute Sitten: Im Falle eines Crashs wird dir angezeigt, dass die Software den Entwickelnden gern nen Bericht schicken würde. Du kannst den auch direkt einsehen und nicht nur entscheiden ob das ok ist sondern ggf. selbst draus schlau werden. Oder du kannst "dump mitschicken" ankreuzen, kriegst nen Link zu bugzilla, whatever.

Das nennt man Transparenz und gutes Verhalten. Was die Bahn da macht, nennt man Drecksscheisse.

Show threadJörg HenneJan 13, 2023
@patze_pop @kuketzblog @peterhense @digitalcourage naja, offenbar ist es ja ausschaltbar. Dem durchschnittlichen Benutzer ist es einfach völlig schnürt, was da gesendet wird.
Show threadpatze_popJan 13, 2023

@joerg
@kuketzblog @peterhense @digitalcourage

Ich glaub die meisten gehen schlicht und legitim davon aus, dass die Bahn sowas nicht macht. Die is ja auch kein Unternehmen das sich aus Werbung finanziert. Genau das ist IMHO das fatale daran.

Dazu kommt, dass sich sowas nur dann verbreitet, wenn es keinen Wiederstand gibt, das wird von den Betreibenden oft ja regelrecht als Einverständnis interpretiert.

Show threadJörg HenneJan 13, 2023
@patze_pop @kuketzblog @peterhense @digitalcourage was ist denn überhaupt "sowas"? Ein paar Stacktraces, ein wenig Applikationszustand. Was sollte jemand damit anfangen? OK, ich weiß damit wahrscheinlich, daß irgend eine IP zu irgend einem Zeitpunkt die App verwendet hat. Und jetzt?
Show threadpatze_popJan 14, 2023

@joerg @kuketzblog @peterhense @digitalcourage

Ich hab deine Posts in der App nicht gesehen aber in deinem Profil steht "hacking". Deshalb werden wir "dazu" verschiedene Meinung haben weil ich mich leider allgemein und auch noch auf persönliche Prinzipien berufen muss, was du sicherlich unsachlich findest. Aber wenn du magst:

Ich finde es falsch, den Leuten anzugewöhnen, dass Optionen, die auch aus Lai_innensicht eindeutig in den Bereich privacy gehören standardmäßig enabled sind. ->

Show threadpatze_popJan 14, 2023

@joerg @kuketzblog @peterhense @digitalcourage

-> Es führt meistens entweder zu einem Resignationsgefühl, einer Ablehnung, in den seltensten Fällen Interesse. Aber Gewöhnungseffekte stellen sich ein.

Ich mein, wenn du die paar Daten so gut verteidigen kannst, wäre es auch k.P den Schalter einfach wegzumachen, oder? Aber er ist, sicher auch zur rechtlichen Absicherung, vorhanden und die Leute, auch ich, wissen nichts von der offenbar "grundsätzlichen Unbedenklichkeit". ->

Show threadpatze_popJan 14, 2023

@joerg @kuketzblog @peterhense @digitalcourage

-> Wenn ich nen kernelpanic hab kann ICH entscheiden was ich mit dem trace mache. Und zwar default. Wenn ich meine Tasche im Zug wohintue, geht keiner ran, default. Wenn ich am Kassenschalter bin wird Abstand gehalten, default.

Mit "Sitte" mein ich den Anstand, allen Menschen einen persönlichen Sicherheitsbereich, eben ne art #Privatsphäre zuzusichern. Default.

Eine Übertretung muss als solche empfunden werden sonst können wir privacy abhaken.

Show threadpatze_popJan 14, 2023

@joerg @kuketzblog @peterhense @digitalcourage

Noch was. Dass Apps "gegen Google gebaut sind" bekommen spätestens alle mit, sollten sie es überhaupt schaffen, sich gegen diese Krake zu wehren (via Firewall, pm disable, AppOps, lineage...).

Diese Menschen werden gef***t wenn der nächste wichtige Service einen auf Firebase macht. Steht oft nichtmal im changelog.

Ich hab bis vor kurzem die uralte #Teilauto-App nicht updaten können weil keine playservices.

Das zermürbt. Kannst du das verstehen?

Show threadJörg HenneJan 16, 2023
@patze_pop @kuketzblog @peterhense @digitalcourage Das Problem ist, dass diese ganze Google,-Microsoft,-whatever-ist-böse-Haltung zu solchen Absurditäten wie in B-W führt, dass Schulen MS-Teams nicht mehr verwenden dürfen. Das führt dann wiederum dazu, dass von einem Anbieter, der komplett durchzertifiziert ist, hinsichtlich allen relevanten Aspekten, auf eine vielzahl von Krauterlösungen gewechselt wird, bei denen nichtmal das operative halbwegs klappt (Umstellung Exchange-Server führt zu zwei Wochen Ausfall des Dienstes), geschweige denn Security, Datenschutz usw. sinnvoll gegeben sind.
Und obendrein entwickelt sich Schatten-IT, indem Schülerinnen, Lehrende usw. über alle möglichen Plattformen (Whatsapp, Dropbox, unverschlüsselte E-Mail, you name it) wild Daten austauschen. Und das soll datenschutztechnisch besser sein?
Show threadSven222Jan 16, 2023
@digitalcourage @kuketzblog @peterhense @patze_pop @joerg Ich sehe die Absurdität ja eher darin, dass MS es nicht schafft nach Jahren ihre Software DSGVO-konform in der EU zu vertreiben. Hier sollte nicht der Datenschutzbeauftragte des Landes sondern MS der Absurdität bezeichnet werden. Und weil der Dienstleister den Umzug der Mailkonten verkackt, ist ja keine Leistung von MS, sonder da wurde mal wieder auf ein billiges Pferd gesetzt. Mit Libreoffice gibt es wunderbare alternativen für jeden, auch finanziell schwache Schüler, und wer mit einem Programm einen Serienbrief erstellen kann, kann es mit dem anderen auch. Es gibt ja wunderbare Kollaborationstools, in Open Source, im Ländle betrieben, und nur weil auf allen Ebenen die Digitalisierung verschlafen wird, wenn es keine Admins an Schulen gibt, sondern ein Lehrer die Cloud in seiner Freizeit wartet, dann sind das alles keine Verdienste von MS. Also Digitalisierung kann man rechtskonform angehen, ohne die Daten aller Schüler der NSA in den Rachen zu werfen.
Show threadJörg HenneJan 16, 2023

@sven222 @digitalcourage @kuketzblog @peterhense @patze_pop Sorry, aber wunderbare Kollaborationstools? Als jemand, der beruflich und täglich BBB und Teams einsetzt (bzw. BBB eingesetzt _hat_), sehe ich das anders. "Admins an Schulen" geht halt einfach völlig an den Realitäten vorbei. Schulen können froh sein, einen halbwegs brauchbaren Lehrkörper zu haben, geschweige denn einen Admin. Von der Frage der Effizienz eines Admins pro Schule ganz abgesehen.

Und sorry nochmal, aber sobald von der NSA als Adversary die Rede ist, wird es mir zu aluhutig. Nicht, weil die NSA kein formidabler Adversary wäre, wenn sie sich für eine Schülerin interessierte, sondern deswegen, weil es naiv ist, anzunehmen, die NSA bräuchte das Schul-Teams, um an Informationen über eine Schülerin zu gelangen.

Show threadSven222
@digitalcourage @kuketzblog @peterhense @patze_pop @joerg Ich finde Vorwürfe wie "aluhutig" tragen nicht dazu bei, die Diskussion in geregelten Bahne weiter zu führen. Natürlich braucht die NSA keine Teamsschulcloud, aber wir machen es ihr viel einfacher, weil sie einfach darauf zugreifen können. Und das sollten wir nicht zulassen. Ein Großteil der Verschlüsselung mit HTTPS und sonstigem die man so verwendet, verwendet man ja nicht für sich selbst, sondern damit diejenigen, die darauf angewiesen sind sicher kommunizieren können, und wir das Grundrauschen erhöhen. Also ja, jeder Anbieter der nicht auf amerikanischem Boden ist, erhöht die Sicherheit, weil es den Arbeitsaufwand erhöht. Tatsächlich habe ich regelmäßig Probleme mit beruflichen Teams Meetings, und nehme dann per Telefon teil, ohne Videospur, und hatte so etwas noch nie bei BBB. Was aber auch daran liegt, dass unser BBB anständig gewartet und mit guter Hardware ausgestattet ist. Der Admin muss ja auch nicht an der Schule angestellt sein, weil jede Schule braucht keinen, wenn es eine Landeslösung gibt, aber es muss einfach Geld dafür bereitgestellt werden, Geld das man zur Verwendung hat, wenn man sich Lizenzkosten spart durch den Einsatz von Open Source.
Jan 16, 2023 at 10:15amWeb
Show threadpatze_popJan 16, 2023

@sven222 @digitalcourage @kuketzblog @peterhense @joerg

Ich persönlich sehe nicht so sehr das "was wir NICHT wollen" (M$) sondern das, "was wir wollen" z.B. Software wo nen code-audit überhaupt grundsätzlich möglich ist.

Außerdem glaube ich dass diese Diskussion ewig weiterführen könnte und trotzdem fruchtlos bleibt. Du @joerg würdest, angenommen der Punkt mit superduper M$ ist geklärt, wahrscheinlich mit dem nächsten Empörer um die Ecke kommen, IMHO der reinste #whataboutism.

Show threadJörg HenneJan 16, 2023

@patze_pop @sven222 @digitalcourage @kuketzblog @peterhense An der Stelle müsste vielleicht auch mal definiert werden, was "wir" genau ist? Die Schülerschaft? Die Lehrerschaft? Das Kumi?

Ich habe wenig Zweifel, dass wir, wenn wir die Genannten alle einzeln befragen würden, ein massives Votum für die alte Lösung mit Teams herausgekommen wäre. Der Durchschnittschülerin ist die Auditierbarkeit der verwendeten Lösung einfach ganz schön egal.