[Gelöst] Welche persönlichen Risiken ergeben sich bei der Nutzung dieser Plattform BeNe

@thies-stahl Vielleicht habe ich mich missverständlich ausgedrückt. Mit "manuell durchsuchen" meinte ich, alle Foren durch zu scrollen und zu schauen, wo die Beiträge von Anonym 28 sind.

@moderation-2 Danke für die Info. Man kann auch nach "@elsa-nicklas-beck" suchen und dann ein bisschen zurückgehen in jeweiligen Thread.

@heimschulekind Vielen Dank für die Einordnung Ihrer Kritik. Ich habe die Mitglieder der AG BeNe gebeten, sich hierzu zu äußern.

Ich hänge ein wenig an dem Begriff "Unschuldsvermutung", der suggeriert im Umkehrschluss, dass hier sich jemand schuldig gemacht hat. Und einen solchen Verdacht zu erheben, geht über eine Nachfrage hinaus. Sie können diesen Begriff hier verwenden, ich will aber zu bedenken geben, dass solche Begrifflichkeiten mitunter dazu führen können, dass hier jemand zu einem "Täter" gemacht wird ohne dass irgendwelche Hinweise und Beweise vorliegen, dass hier Schuld begangen wurde. Ich hoffe, Sie können die Intention meiner Worte hier nachvollziehen. Sonst melden Sie sich gerne.

@moderation-2

Danke für den Hinweis und schön, dass Sie bei dem nun gestarteten 7*24 BeNezugriff dabei sind.

Was ich versuchte zu sagen, dass ein sinnvoll eingerichteter Datenschutz (z. B. Protokollierung" nicht nur genutzt werden kann, um die Handlung eines Nutzenden zu belegen, sondern auch im Umkehrschluss genau das Gegenteil ("... der/die war zu dem Zeitpunkt nicht im System etc.)

Wenn sich Datenschutz anfangs als zusätzliche Last für Administratorinnen "anfühlt", dient so auch ihrem persönlichen Schutz durch nachvollziehbaren "Unschuldsnachweis"!

Reicht Ihnen das als Erklärung?

@walter An dieser Stelle möchte ich auf die Anonymität der jeweiligen User*innen hinweisen - und bitte sie diese weiterhin zu wahren und keine Hinweise oder Andeutungen zu geben, wer dies evtl. sein könnte oder Hinweise auf evtl. Gremien zu geben.

Aufgrund der Tatsache, dass der Post vom Nutzer Walter, einen Hinweis auf die Identität eine Person hier auf BeNe gibt, haben wir diesen Post von Walter gelöscht. Ausgangspunkt war eine Meldung eines anderen Nutzers, in der auf diese mögliche Bekanntmachung der Identität hingewiesen wurde.

Hier wurde in der Vergangenheit mehrfach Transparenz eingefordert, wenn Posts gelöscht werden. Diese Transparenz wollte ich mit meinem Beitrag eben herstellen. Nachdem dieser Post von mir gemeldet wurde, habe ich ihn abgeändert in "eines anderen Nutzers".

@heimschulekind Ich kann Ihren Punkt nachvollziehen, dem ich im Grundsatz zustimme. Zur Unschuldsvermutung habe ich dann aber doch noch eine Frage: Welche Schuld wurde denn begangen, die mit der Protokollierung widerlegt werden soll? Das würde mir helfen, das klar einordnen zu können. Vielen Dank.

Hallo @moderation-2

Ich versuche es an einem gängigen Beispiel darzustellen, also realen Datenschutz für Admins im Schnelldurchgang, aber auch mit Nennung der Konsequenzen bei erkannten Defiziten für Systemverantwortliche:

Ein Krankenhaus betreibt eine digitale Patientenakte (mit besonders schützenswerten Daten), auf die grundsätzlich nur behandelnde Ärzt*innen und Pflegekräfte Zugriff haben sollten.

Die IT-Administratoren des Krankenhauses haben allerdings technisch die Möglichkeit, auf alle Patientenakten zuzugreifen – selbst wenn sie dies nie wollen oder tun werden.

Warum ist das ein Datenschutzproblem?

1. Verstoß gegen die Zweckbindung:

   • Nach der DSGVO dürfen personenbezogene Daten nur für den Zweck verarbeitet werden, für den sie erhoben wurden.

   • IT-Administratoren haben keinen medizinischen Behandlungszweck, also sollte ihr Zugriff auf Patientendaten technisch ausgeschlossen oder stark eingeschränkt(!) sein.

2. Risiko des Missbrauchs:

   • Auch wenn keiner der IT-Administratoren auf die Daten zugreift, besteht das Risiko eines Missbrauchs, sei es durch neugierige(!) Mitarbeiterinnen oder sogar durch Hackerangriffe.

   • Eine ungenutzte, aber vorhandene Zugriffsmöglichkeit kann deshalb eine Schwachstelle im System darstellen.

3. Haftung und Compliance:

   • Datenschutzbehörden bewerten nicht nur den tatsächlichen Missbrauch von Daten, sondern auch die Möglichkeit(!) dazu.

   • Falls ein Datenleck oder ein unbefugter Zugriff auftritt, könnte das Unternehmen haftbar gemacht werden, selbst wenn nie aktiv auf die Daten zugegriffen wurde.

Lösung:

• Nachvollziehbarkeit notwendiger Zugriffe auf diese schützenswerte Informationen durch lückenlose Protokollierung

• Sind dann in der Protokolldatei keine Zugriffe durch z.B. einen zum Kreis der möglichen(!) Verdächtigen gehörenden IT-Administratoren dokumentiert, dann ist das quasi wie sein Alibi.

👉 Fazit:

Datenschutzverstöße entstehen nicht nur durch tatsächlichen Zugriff auf sensible Daten, sondern bereits durch unzureichende technische und organisatorische Schutzmaßnahmen, die einen solchen Zugriff theoretisch(!) ermöglichen.

@heimschulekind Vielen Dank für die Einordnung, dann kann ich Ihren Punkt und die Begriffswahl nachvollziehen.

@moderation-2

Prima - und ich sehe auch, dass Ihr Beitragszäher nun weiterzählt. Dann wäre das ja auch geklärt 🙂

An dieser Stelle auch noch der Verweis auf die #Pinnwand und dem Bericht des DLF zum Hack der Systeme der Bischofskonferenz, was nun auch große Besorgnis bei Betroffenen der kath. Kirche in DE ausgelöst hat.

https://betroffenen-netzwerk.de/community/forum-pinnwand/dlf-nach-cyberangriff-auf-bischofskonferenz-missbrauchsbetroffene-in-sorge-um-daten-podcast-vom-20-maerz-2025/

Guten Morgen

Vielleicht noch ein wichtiger Hinweis zum #Datenschutz im kirchlichen Umfeld, denn die Kirchen in DE haben jeweils eigene(!) Gesetze.

Bei der Evangelischen Kirche heißt es "Datenschutzgesetz der Evangelischen Kirche in Deutschland" und wird mit #DSG-EKD abgekürzt.

Dies orientiert sich an den allgemeinen Datenschutzregeln, hat aber einige Besonderheiten:

1. Eigenes Datenschutzgesetz: Die evangelische Kirche hat mit dem DSG-EKD ein eigenes Datenschutzgesetz, das sich an der europäischen Datenschutz-Grundverordnung (#DSGVO) orientiert, aber speziell auf die kirchlichen Bedürfnisse zugeschnitten ist.

2. Kirchliche Datenschutzaufsicht: Statt staatlicher Datenschutzbehörden gibt es eine eigene kirchliche Datenschutzaufsicht, die überprüft, ob die Regeln eingehalten werden.

3. Datenverarbeitung nur mit gutem Grund: Deine Daten dürfen nur gesammelt und genutzt werden, wenn es dafür einen berechtigten Grund gibt – zum Beispiel für die Gemeindearbeit, die Seelsorge oder kirchliche Verwaltungsaufgaben.

4. Besondere Rücksicht auf Seelsorge und Glauben: Informationen aus Seelsorgegesprächen oder zum Glauben werden besonders geschützt und dürfen nicht ohne ausdrückliche Zustimmung weitergegeben werden.

5. Betroffenenrechte: Du hast aber das Recht zu erfahren, welche Daten über dich gespeichert sind, falsche Daten berichtigen zu lassen oder in bestimmten Fällen die Löschung deiner Daten zu verlangen.

Daraus ergeben sich besondere (juristische) Probleme, die es zu klären galt und gilt, z. B. die Untersuchung der Personalakten zu Forschungszwecken oder die Frage, ob und inwieweit die Geheimhaltung von Inhalten aus Seelsorgegesprächen auch für #Ehrenamtliche gelten.

Nachsatz

Damit soll es nun erstmal genug sein mit diesem für Laien sehr komplexe Thema; wer noch allgemeine Fragen dazu hat, bitte hier erstmal melden, ansonsten hoffen wir weiterhin auf private Foren oder persönliche Nachrichten, um auch individuelle Fragestellungen diskutieren zu können.

@heimschulekind Vielen Dank für Deinen unermüdlichen Einsatz!

@heimschulekind Könnten Sie vielleicht mal mit checken: Was für einen besonderen Zugang hat eigentlich @betroffeninberlin? Kann er oder sie wie ein Amin Posts ändern, ohne dass eine stattgefundere Veränderung angezeigt wird? Siehe meinen Beitrag im Thread „Strategisch missbrauchte Personalunionen und Verantwortungsdiffusion. EKD-Strategie salonfähig.“

@betroffeninberlin Hier der Screenshot mit getrenntem Post.