[Gelöst] Welche persönlichen Risiken ergeben sich bei der Nutzung dieser Plattform BeNe

@moderation-2

Danke für den Hinweis und schön, dass Sie bei dem nun gestarteten 7*24 BeNezugriff dabei sind.

Was ich versuchte zu sagen, dass ein sinnvoll eingerichteter Datenschutz (z. B. Protokollierung" nicht nur genutzt werden kann, um die Handlung eines Nutzenden zu belegen, sondern auch im Umkehrschluss genau das Gegenteil ("... der/die war zu dem Zeitpunkt nicht im System etc.)

Wenn sich Datenschutz anfangs als zusätzliche Last für Administratorinnen "anfühlt", dient so auch ihrem persönlichen Schutz durch nachvollziehbaren "Unschuldsnachweis"!

Reicht Ihnen das als Erklärung?

@walter An dieser Stelle möchte ich auf die Anonymität der jeweiligen User*innen hinweisen - und bitte sie diese weiterhin zu wahren und keine Hinweise oder Andeutungen zu geben, wer dies evtl. sein könnte oder Hinweise auf evtl. Gremien zu geben.

Aufgrund der Tatsache, dass der Post vom Nutzer Walter, einen Hinweis auf die Identität eine Person hier auf BeNe gibt, haben wir diesen Post von Walter gelöscht. Ausgangspunkt war eine Meldung eines anderen Nutzers, in der auf diese mögliche Bekanntmachung der Identität hingewiesen wurde.

Hier wurde in der Vergangenheit mehrfach Transparenz eingefordert, wenn Posts gelöscht werden. Diese Transparenz wollte ich mit meinem Beitrag eben herstellen. Nachdem dieser Post von mir gemeldet wurde, habe ich ihn abgeändert in "eines anderen Nutzers".

@heimschulekind Ich kann Ihren Punkt nachvollziehen, dem ich im Grundsatz zustimme. Zur Unschuldsvermutung habe ich dann aber doch noch eine Frage: Welche Schuld wurde denn begangen, die mit der Protokollierung widerlegt werden soll? Das würde mir helfen, das klar einordnen zu können. Vielen Dank.

Hallo @moderation-2

Ich versuche es an einem gängigen Beispiel darzustellen, also realen Datenschutz für Admins im Schnelldurchgang, aber auch mit Nennung der Konsequenzen bei erkannten Defiziten für Systemverantwortliche:

Ein Krankenhaus betreibt eine digitale Patientenakte (mit besonders schützenswerten Daten), auf die grundsätzlich nur behandelnde Ärzt*innen und Pflegekräfte Zugriff haben sollten.

Die IT-Administratoren des Krankenhauses haben allerdings technisch die Möglichkeit, auf alle Patientenakten zuzugreifen – selbst wenn sie dies nie wollen oder tun werden.

Warum ist das ein Datenschutzproblem?

1. Verstoß gegen die Zweckbindung:

   • Nach der DSGVO dürfen personenbezogene Daten nur für den Zweck verarbeitet werden, für den sie erhoben wurden.

   • IT-Administratoren haben keinen medizinischen Behandlungszweck, also sollte ihr Zugriff auf Patientendaten technisch ausgeschlossen oder stark eingeschränkt(!) sein.

2. Risiko des Missbrauchs:

   • Auch wenn keiner der IT-Administratoren auf die Daten zugreift, besteht das Risiko eines Missbrauchs, sei es durch neugierige(!) Mitarbeiterinnen oder sogar durch Hackerangriffe.

   • Eine ungenutzte, aber vorhandene Zugriffsmöglichkeit kann deshalb eine Schwachstelle im System darstellen.

3. Haftung und Compliance:

   • Datenschutzbehörden bewerten nicht nur den tatsächlichen Missbrauch von Daten, sondern auch die Möglichkeit(!) dazu.

   • Falls ein Datenleck oder ein unbefugter Zugriff auftritt, könnte das Unternehmen haftbar gemacht werden, selbst wenn nie aktiv auf die Daten zugegriffen wurde.

Lösung:

• Nachvollziehbarkeit notwendiger Zugriffe auf diese schützenswerte Informationen durch lückenlose Protokollierung

• Sind dann in der Protokolldatei keine Zugriffe durch z.B. einen zum Kreis der möglichen(!) Verdächtigen gehörenden IT-Administratoren dokumentiert, dann ist das quasi wie sein Alibi.

👉 Fazit:

Datenschutzverstöße entstehen nicht nur durch tatsächlichen Zugriff auf sensible Daten, sondern bereits durch unzureichende technische und organisatorische Schutzmaßnahmen, die einen solchen Zugriff theoretisch(!) ermöglichen.

@heimschulekind Vielen Dank für die Einordnung, dann kann ich Ihren Punkt und die Begriffswahl nachvollziehen.

@moderation-2

Prima - und ich sehe auch, dass Ihr Beitragszäher nun weiterzählt. Dann wäre das ja auch geklärt 🙂

An dieser Stelle auch noch der Verweis auf die #Pinnwand und dem Bericht des DLF zum Hack der Systeme der Bischofskonferenz, was nun auch große Besorgnis bei Betroffenen der kath. Kirche in DE ausgelöst hat.

https://betroffenen-netzwerk.de/community/forum-pinnwand/dlf-nach-cyberangriff-auf-bischofskonferenz-missbrauchsbetroffene-in-sorge-um-daten-podcast-vom-20-maerz-2025/

Guten Morgen

Vielleicht noch ein wichtiger Hinweis zum #Datenschutz im kirchlichen Umfeld, denn die Kirchen in DE haben jeweils eigene(!) Gesetze.

Bei der Evangelischen Kirche heißt es "Datenschutzgesetz der Evangelischen Kirche in Deutschland" und wird mit #DSG-EKD abgekürzt.

Dies orientiert sich an den allgemeinen Datenschutzregeln, hat aber einige Besonderheiten:

1. Eigenes Datenschutzgesetz: Die evangelische Kirche hat mit dem DSG-EKD ein eigenes Datenschutzgesetz, das sich an der europäischen Datenschutz-Grundverordnung (#DSGVO) orientiert, aber speziell auf die kirchlichen Bedürfnisse zugeschnitten ist.

2. Kirchliche Datenschutzaufsicht: Statt staatlicher Datenschutzbehörden gibt es eine eigene kirchliche Datenschutzaufsicht, die überprüft, ob die Regeln eingehalten werden.

3. Datenverarbeitung nur mit gutem Grund: Deine Daten dürfen nur gesammelt und genutzt werden, wenn es dafür einen berechtigten Grund gibt – zum Beispiel für die Gemeindearbeit, die Seelsorge oder kirchliche Verwaltungsaufgaben.

4. Besondere Rücksicht auf Seelsorge und Glauben: Informationen aus Seelsorgegesprächen oder zum Glauben werden besonders geschützt und dürfen nicht ohne ausdrückliche Zustimmung weitergegeben werden.

5. Betroffenenrechte: Du hast aber das Recht zu erfahren, welche Daten über dich gespeichert sind, falsche Daten berichtigen zu lassen oder in bestimmten Fällen die Löschung deiner Daten zu verlangen.

Daraus ergeben sich besondere (juristische) Probleme, die es zu klären galt und gilt, z. B. die Untersuchung der Personalakten zu Forschungszwecken oder die Frage, ob und inwieweit die Geheimhaltung von Inhalten aus Seelsorgegesprächen auch für #Ehrenamtliche gelten.

Nachsatz

Damit soll es nun erstmal genug sein mit diesem für Laien sehr komplexe Thema; wer noch allgemeine Fragen dazu hat, bitte hier erstmal melden, ansonsten hoffen wir weiterhin auf private Foren oder persönliche Nachrichten, um auch individuelle Fragestellungen diskutieren zu können.

@heimschulekind Vielen Dank für Deinen unermüdlichen Einsatz!

@heimschulekind Könnten Sie vielleicht mal mit checken: Was für einen besonderen Zugang hat eigentlich @betroffeninberlin? Kann er oder sie wie ein Amin Posts ändern, ohne dass eine stattgefundere Veränderung angezeigt wird? Siehe meinen Beitrag im Thread „Strategisch missbrauchte Personalunionen und Verantwortungsdiffusion. EKD-Strategie salonfähig.“

@betroffeninberlin Hier der Screenshot mit getrenntem Post.

Hallo @thies-stahl, der @betroffeninberlin hat hier bei BeNe keine Admin Rechte und kann so keine anderen Posts ändern außer die eigenen. Können Sie bitte näher erläutern wie sie zu dem Schluss kommen? Herzlichen Dank

@moderation-1 Siehe den Screenshot meines vorherigen Beitrages (Veröffentlicht: 24.03.2025 11:14).

Guten Morgen Moderation, Betroffene, BeFo-Mitglieder und IT_Dienstleister

Damit Ihr hier den Überblick behalten könnt, eine Zusammenfassung der Informationssicherheits-Kritik bei dieser Plattform. Die nummerierte Liste ist vielleicht hilfreich für die Bearbeitung?

1. Informationssicherheit: Risiken im Bereich Vertraulichkeit, Verfügbarkeit und Integrität der Daten wurden genannt​.
2. Datenschutz-Folgenabschätzung: Bedenken hinsichtlich der Datenschutzregelungen nach DSG-EKD​.
3. Missbrauch von E-Mail-Adressen: Die angegebene E-Mail-Adresse könnte für verschiedene Zwecke genutzt werden, einschließlich unerwünschter Benachrichtigungen​.
4. Foren-Abonnement-Problematik: In privaten Foren könnte die Abo-Funktion dazu führen, dass Inhalte über unsichere Mailgateways im Klartext weitergeleitet werden​.
5. Zugriffsrechte von Admins: Es wurde darauf hingewiesen, dass Admins möglicherweise unkontrollierten Zugriff auf sensible Daten haben könnten, was regelmäßige Prüfungen erfordert​.
6. Mangelnde Sicherheitsüberprüfung: Die Plattform sollte einer umfassenden Sicherheitsprüfung oder simulierten Angriffstests unterzogen werden, um Schwachstellen zu identifizieren​.

P.S.: Noch ein #Vorschlag für eine passende Erweiterung der Triggermeldung:

⚠ WARNUNG: Die NUTZUNG VON BeNe KANN IHRE DATENSICHERHEIT GEFÄHRDEN!

Ihre persönlichen Daten sind unzureichend geschützt.
Unbefugte können Zugriff auf sensible Informationen erhalten.
Erkannte Sicherheitslücken können zu Datenverlust führen.
Lange Reaktionszeiten des Supports können diese Probleme verschärfen.

🔒 Schützen Sie Ihre Daten – denken Sie nach, bevor Sie bei BeNe posten!

#SorryBeNe