naph
Apropos #39c3, Konsens und Datenschutz 🙃 Seit mittlerweile einem halben Jahr warte ich auf eine Rückmeldung, mit welcher rechtlichen Grundlage eigentlich die vollständige Mitgliederdatenbank des #CCC an den Kassensystemen beim Einlass zum Congress zur Verfügung gestellt wird. Neben mir wartet mittlerweile auch schon eine ganze Weile der Hamburgische Beauftragte für Datenschutz auf Rückmeldung dazu, aber auch auf diesem Kanal ist es bisher ziemlich still. Finde ich sehr schade.
Nov 22 at 5:07pmWeb
Show threadVarbin  ​Nov 22
@naph Könnte es zur Prüfung der rabattierten Mitgliedstickets sein?
Show threadnaphNov 22
@varbin Ja das ist richtig, beim Kauf eines rabattierten Tickets musste man aber keine Chaosnr. angeben, die wurde an der Kasse abgefragt. Da ich meine nicht zu Hand hatte konnte ich dann freundlicherweise meinen Namen nennen und es wurde in der Datenbank nachgeschlagen. Bedeutet also dass die gesamte Datenbank auf dem Kassensystem war, nicht nur die Daten derjenigen die ein Mitgliedsticket gekauft haben.
Show threadVarbin  ​Nov 22

@naph Sonst wären die Tickets ja nicht mehr übrtragbar...

Wird dann auch Ausweis o.ä. überprüft?

Show threadnaphNov 22
@varbin Ich bin mir nicht mehr sicher ob ich einen Ausweis zeigen musste, ich glaube nicht. Mich stört aber auch eher dass dort dann offenbar auch Daten von Leuten lagen die überhaupt gar keine Teilnehmenden des Congress waren.
Show threadlobingeraNov 22
@naph Ich rätsel immer noch, wie du ohne kompletten Zugriff deinen Fall lösen möchtest?
Show threadnaphNov 22
@lobingera Gar nicht. Oder von mir aus Nachzahlung an der Kasse. Aber es ist nicht okay random Engeln die komplette Mitgliederdatenbank des Clubs in die Hand zu drücken. Zumal der Club und der Veranstalter des Congress rechtlich zwei unterschiedliche Entitäten sind.
Show threadMichiKNov 22

@naph @lobingera Die Kasse hat keine komplette Mitgliederdatenbank, sondern nur eine Liste von Chaosnummern und Namen.

Das ist das Minimum dessen was nötig ist, um anonym kaufbare rabattierte Tickets für Mitglieder anbieten zu können.

Zugänglich sind die Daten nur über eine Suchfunktion, nachdem ein ermäßigtes Ticket gescannt wurde.

Und selbstverständlich lassen wir uns keine Ausweise zeigen.

Quelle: Ich hab mal ein paar Kassenschichten gemacht.

This is why we can't have nice things.

Show threadnaphNov 22
@michik @lobingera na viel mehr als namen und chaosnummern sind ja auch nicht in der datenbank, finde das trotzdem inakzeptabel
Show threadnaphNov 22
@michik @lobingera chaosnummern würden ja reichen. war für mich turnbeutelvergesser in dem moment natürlich praktisch das die namen dabei sind, bleibt aber ein räudiger verstoß gegen den umgang mit personenbezogenen daten den ich vom club eigentlich erwarten würde
Show threadFelix  EckhoferNov 22
@naph @michik @lobingera Wie überprüfst du denn ohne Namen, dass die Person am Einlass nicht einfach eine random Nummer gesagt hat? Für mich sieht es so aus, als ob hier wird ein legitimer Zweck mit der scheinbar minimal notwendigen Menge an Daten verfolgt wird?!
Show threadnaphNov 22
@tribut @michik @lobingera kannst ja gucken ob das ne existierende mitgliedsnummer ist. afaik musste man an der kasse bisher dafür auch nicht seinen namen sagen. und das ist halt auch nur für leute legitim die zum congress gehen, alle anderen mitglieder haben auf einmal ihre namen (bzw. die information über ihre mitgliedschaft) auf einem usb stick an der congress kasse ohne das sie irgendwas mit diesem event am hut haben. das ist der teil den ich nicht okay finde.
Show threadFelix  EckhoferNov 22

@naph @michik @lobingera Die Mitgliedsnummern sind afair einfach die Zahlen von 1 bis X. Was soll das beweisen?

Außerdem passieren Zahlendreher — selbst wenn alle maximal ehrlich sind wäre das schwierig, wenn dann schon jemand mit "deiner Chaosnummer" im Event ist.

Ich verstehe dein Bauchgefühl, aber halte das soweit du da nicht mehr Informationen hast schlicht für die datenschutzfreundlichste, praktikable Variante. Insbesondere wenn die Suchmaske nur nach Scan eines Member-Tickets aufgeht.

Show threadnaphNov 22
@tribut @michik @lobingera Wenn das nicht funktioniert ohne die Namen von allen Mitgliedern an der Kasse zu haben dann gibt es meiner Meinung nach keine datenschutzfreundliche Variante. Dann braucht es ein anderes System, bei dem die Mitgliedschaft beim Ticketkauf erfasst wird oder so. Aber ich sehe nicht wie man das nicht-teilnehmenden gegenüber rechtfertigen soll, dass ihre Daten da auf einem Kassensystem einer Veranstaltung rumliegen mit der sie nichts zu tun haben.
Show threadstefanNov 23
@naph @lobingera geht's dir einfach nur darum, technically correct zu sein oder hast du ein greifbares Bedrohungsszenario im Kopf, wie dadurch irgendeiner Person ein tatsächliches Übel angerichtet werden kann?
Show threadnaphNov 23
@stk @lobingera Der Club hat in der Vergangenheit vor Gerichten viel Einsatz gezeigt um die Mitgliederliste zu schützen. (Und das zurecht.) Ich würde behaupten, mit ein bisschen Vorbereitung wäre ich in der Lage ebendiese Liste an der Congress Kasse abzuziehen. tl;dr: ja ich habe ein greifbares Bedrohungsszenario im Kopf
Show threadSchratNov 22

@naph @varbin Ich verstehe nicht, wie du zu dem Schluss kommst. Du hattest ein Ticket mit Rabatt und genau die entsprechenden Infos hatten die an der Kasse.

Woher kommt die Vermutung, dass die Menschen an der Kasse noch andere Informationen über Mitglieder hatten?

Show threadnaphNov 22
@schrat @varbin Weil ich zum Nachweis meiner Mitgliedschaft meinen Namen angeben konnte und dieser beim Ticketkauf nicht abgefragt wurde.
Show threadSchratNov 22
@naph @varbin got it. Danke
Show threadNik | Klampfradler 🎸🚲Nov 22
@naph Naja, der offizielle Obersprecher des CCC, Linus Neumann, sagt ja persönlich auch, dass Datenschutz doof sei und Leute, die sich über das Tracking auf seiner Wrbsite beschweren, noch doofer.